羅馬尼亞醫院遭大規模勒索軟體攻擊，斷網應對成國際案例

Author, 喬·蒂迪（Joe Tidy）

Role, BBC網絡安全事務記者

Reporting from, Romania

Published 4 小時前

閱讀時間: 3 分鐘

醫院的求助電話接踵而至；犯罪分子正在發動大規模駭客攻擊，感染電腦網絡，危及無數生命。

在布加勒斯特的國家網路安全中心（DNSC），他們眼睜睜地看著駭客透過一款流行的醫療軟體在羅馬尼亞各地蔓延，卻無能為力。

網路安全主管丹·辛佩安（Dan Cimpean）面臨著一個艱難的決定，但這卻是他們唯一的選擇。

命令下達至100多家醫院：立即中斷網路連線。

2024年2月發生在羅馬尼亞醫院的這場網路攻擊是全球針對醫療保健系統規模數一數二的嚴重攻擊，但此類事件正變得越來越普遍。

美國聯邦調查局（FBI）近期表示，醫療保健如今已成為全國關鍵基礎設施中最常被攻擊的領域。

切斷羅馬尼亞100家醫院的網路連線阻止了駭客的行動，為他們爭取了時間來評估攻擊的嚴重程度。

但這同時也意味著所有連網裝置、電子郵件和網路瀏覽器都將無法使用。

醫護人員不得不改用紙筆記錄，臨時想出各種辦法來保護患者，與此同時，IT團隊忙得不可開交，國家網路響應中心也在努力查明駭客的入侵途徑以及如何阻止他們。

從2024年2月10日起的四天裡，他們的行動，以及醫生和護士們的英勇表現，受到了廣泛讚譽。

他們的應對方式和處理方法已成為國際災難應變規劃者的參考案例，各國官員都在尋求應對大規模醫院網路攻擊的經驗。

外科醫生奧娜·戈伊德斯庫（Oana Goidescu）當時正在布加勒斯特東北120公里處的布澤烏醫院（Buzău Hospital）值班。警報響起，布加勒斯特的軟體公司RSC遭到入侵，攻擊者侵入了一款被廣泛採用，名為希波克拉底（Hippocrates）的醫療系統。

「這真是一次糟糕的經歷，因為IT記錄不僅僅是病人名單，」她說，「我們為每位病人申請化驗、放射檢查、藥品和耗材。所有這些信息都消失了。」

醫生、護士和外科醫生都使用希波克拉底系統，管理從入院到工資、藥房物流和檢驗結果等所有事務。

網路攻擊者悄悄地開始用一種名為「BackMyData」的勒索軟體感染全國各地使用該系統的醫院。文件被竄改為亂碼，贖金要求以比特幣支付。

位於布加勒斯特西北部的皮特什蒂兒童醫院（Pitești children's hospital）的工作人員在攻擊開始後的第二天——一個週日早上——率先發現了系統故障。

到週一黎明時分，許多其他醫院也報告希波克拉底系統癱瘓。

由於醫院系統離線，網路安全專家與希波克拉底系統的開發商密切合作，確定了受感染的系統數量，並將駭客清除。

醫院醫生們迅速採取了應對措施，在系統恢復之前保護病人的安全。

「當我們意識到系統無法快速修復時，我們開發了一種離線方法，以便能夠登記每位患者的信息，」布加勒斯特卡羅爾·達維拉醫院（Carol Davila Hospital）的弗拉德·帕伊奇（Vlad Paic）說道。

「我們要求實驗室以紙本形式給我們提供檢測結果。我們使用Excel和其他離線工具來確保患者的醫療護理不受影響。」

一些醫生表示，羅馬尼亞相對較晚才開始向數位化系統轉型，這在一定程度上幫助了他們退回到更傳統的紙本流程。

網路安全調查人員連夜工作，發現有26家醫院感染了BackMyData病毒。

第二天，未受感染的醫院在加強防護措施後恢復了正常運作。

DNSC表示，行動成功的關鍵在於他們如何利用媒體與醫院和公眾溝通。

公共資訊敦促患者除非必要，否則不要去醫院。

但候診室仍然人滿為患，戈伊德斯庫醫生說，一些沮喪的患者將怒氣發洩在了工作人員身上。

她說：「有人問我們，『如果是你們的母親呢？』他們生氣是有道理的，但我們努力解釋這不是我們的錯。」

另一個關鍵訊息是，醫院不應該聯繫駭客或支付贖金。

攻擊者要求相當於16萬歐元（18.3萬美元；124萬元人民幣；579萬元新台幣）的比特幣（bitcoin）贖金，但全國上下一致決定拒絕支付。

在仍然離線的醫院，IT團隊爭分奪秒地從備份中復原系統。

大多數醫院都擁有相對較新的資料備份——這是一個重要的教訓。定期備份能夠幫助機構更快恢復。

五天內，大多數醫院恢復了在線運行，並接近正常運轉，沒有報告任何死亡或患者嚴重受傷的情況。

錄入所有在斷網期間記錄在紙上的新資訊需要數週時間。部分資料永久遺失。

警方拒絕就其對幕後黑手的調查發表評論。

然而，去年，一個與BackMyData有關聯的勒索軟體團伙的網站在一次國際行動中被關閉。

四名俄羅斯人在俄羅斯境外被捕，俄羅斯當局不與西方執法部門合作。

辛佩安表示，這種攻擊可能發生在任何地方。

去年，英國國民保健署（NHS）證實，一家血液檢測公司遭到駭客攻擊，導致倫敦約十幾家醫療中心受到影響，其中一名患者死亡。

這是首例官方認定與網路攻擊相關的死亡案例。

同年晚些時候，駭客攻擊了另一家美國醫療保健服務提供者Ascension，造成混亂。