Durante quatro dias, dezenas de hospitais na Romênia ficaram offline enquanto especialistas em cibersegurança trabalhavam para derrotar hackers que invadiram sistemas médicos. A alternativa foi voltar ao papel e caneta para continuar atendendo pacientes.
A cirurgiã Oana Goidescu estava de plantão quando o hospital foi atingido pelo ataque cibernético
Um após o outro, os telefonemas chegavam dos hospitais: criminosos estavam infectando redes de computadores em um ataque hacker em massa que colocava inúmeras vidas em risco.
No centro nacional de cibersegurança de Bucareste (DNSC), a equipe assistiu impotente enquanto os hackers se espalhavam pela Romênia através de um software médico popular.
- Mais de 100 hospitais na Romênia foram forçados a se desconectar da internet para conter o ataque hacker.
- O ataque aconteceu em fevereiro de 2024 e é um dos piores contra sistemas de saúde no mundo.
- Médicos e enfermeiros tiveram que usar papel e caneta para registrar pacientes e pedir exames.
- Nenhum paciente morreu ou ficou gravemente ferido por causa do ataque, mas alguns dados foram perdidos para sempre.
- Os hackers exigiram um resgate de 160 mil euros em bitcoin, mas o governo romeno decidiu não pagar.
O chefe de cibersegurança, Dan Cimpean, teve que tomar uma decisão difícil, mas era a única opção disponível. A ordem foi dada para mais de 100 hospitais: desconectem-se da internet agora.
O ataque cibernético aos hospitais da Romênia em fevereiro de 2024 é um dos piores já registrados contra sistemas de saúde no mundo. Esses incidentes estão se tornando cada vez mais comuns. A saúde é agora a área mais visada da infraestrutura nacional crítica, segundo o FBI.
Como os hospitais reagiram
Desconectar 100 hospitais da internet parou os hackers e deu tempo para descobrir a gravidade do ataque. Mas isso significou ficar sem aparelhos conectados, e-mails ou navegadores. A equipe médica teve que improvisar com papel e caneta para proteger os pacientes enquanto os times de TI corriam para descobrir como os hackers entraram e como detê-los.
As ações tomadas durante quatro dias, a partir de 10 de fevereiro de 2024, e o trabalho dos médicos e enfermeiros foram amplamente elogiados. A forma como reagiram se tornou um exemplo para planejadores de desastres internacionais, que buscam conselhos sobre como responder a um ataque hacker em massa em hospitais.
O drama nos hospitais
A cirurgiã Oana Goidescu estava de plantão no Hospital Buzu, a 120 km de Bucareste, quando chegou o alerta de que hackers tinham invadido a empresa de software RSC, que criou um sistema médico chamado Hippocrates. "Foi uma experiência desagradável, porque um registro eletrônico não é apenas uma lista de pacientes. Para cada paciente, pedimos exames laboratoriais, radiologia, remédios e suprimentos. Tudo isso desapareceu", disse ela.
O sistema Hippocrates é usado por médicos, enfermeiros e cirurgiões para gerenciar desde admissões até folha de pagamento, logística de farmácia e resultados de exames. Os hackers infectaram os hospitais que usavam o sistema com um tipo de ransomware chamado BackMyData, que embaralhava os arquivos e pedia um resgate em bitcoin.
Os funcionários do hospital infantil de Piteti foram os primeiros a notar erros no domingo de manhã, um dia após o ataque começar. Na madrugada de segunda-feira, muitos outros hospitais já tinham reportado que o sistema Hippocrates estava fora do ar.
A solução de papel e caneta
Com os hospitais offline, os especialistas em cibersegurança trabalharam com o criador do Hippocrates para descobrir quantos sistemas tinham sido infectados e expulsar os hackers. Os médicos criaram soluções improvisadas para proteger os pacientes. "Quando vimos que o sistema não seria consertado rápido, desenvolvemos um método offline para registrar cada paciente", disse Vlad Paic, do Hospital Carol Davila, em Bucareste. "Pedimos ao laboratório que nos desse resultados em papel. Usamos Excel e outras ferramentas offline para garantir que o atendimento não fosse afetado."
Alguns médicos disseram que a volta aos processos analógicos foi ajudada pela recente migração da Romênia para sistemas digitais. Os investigadores cibernéticos trabalharam a noite toda e descobriram que 26 hospitais tinham sido infectados pelo BackMyData.
Comunicação e recuperação
No dia seguinte, os hospitais não infectados foram reconectados com proteções extras. O DNSC diz que parte do sucesso foi o uso da mídia para se comunicar com hospitais e o público. As mensagens pediam que pacientes evitassem hospitais a menos que necessário. Mas as salas de espera ainda estavam cheias, e Goidescu disse que alguns pacientes frustrados descontaram a raiva nos funcionários. "Nos perguntavam: 'E se fosse sua mãe' Eles tinham razão de estar com raiva, mas tentávamos explicar que não tínhamos culpa", disse ela.
Outra mensagem importante era que os hospitais não deveriam contatar os hackers ou pagar o resgate. Os atacantes exigiram 160 mil euros (cerca de 183 mil dólares) em bitcoin, mas o governo decidiu não pagar. As equipes de TI correram para restaurar os sistemas a partir de backups. A maioria tinha cópias recentes dos dados, o que foi uma lição importante: backups regulares permitem que as organizações se recuperem mais rapidamente.
Em cinco dias, a maioria dos hospitais estava online e funcionando normalmente. Nenhuma morte ou ferimento grave foi relatado. Levou semanas para inserir todas as novas informações registradas em papel durante a paralisação. Alguns dados foram perdidos para sempre.
Investigação e lições
A polícia não comenta a investigação sobre quem está por trás do ataque. No ano passado, um grupo de ransomware ligado ao BackMyData teve seu site derrubado em uma operação internacional. Quatro russos foram presos fora da Rússia, cujas autoridades não cooperam com a aplicação da lei ocidental. Cimpean disse que o ataque poderia ter acontecido em qualquer lugar. "Quanto mais tecnologia você tem, mais digitalizado você é, maior o risco", disse ele.
No ano passado, o serviço de saúde do Reino Unido confirmou que um hack em uma empresa de exames de sangue, que afetou cerca de uma dúzia de centros médicos em Londres, contribuiu para a morte de um paciente. Foi o primeiro caso de uma morte oficialmente ligada a um ataque cibernético. Na mesma época, a Change Healthcare, nos EUA, foi hackeada, causando grandes interrupções. A empresa pagou um resgate de 22 milhões de dólares aos hackers. Hackers também causaram caos em outro ataque a uma empresa de saúde chamada Ascension.
Alina Bîzg, da empresa de cibersegurança Bitdefender, com sede em Bucareste, diz que ataques a hospitais são atraentes para criminosos que tentam causar caos por dinheiro. "Hospitais lidam com serviços críticos, e os criminosos pensam que quanto mais interrupção causarem, maior a chance de receberem o resgate", disse ela.
