Romanya’da hastanelerden gelen yoğun ihbarlar, siber korsanların sağlık sistemine sızarak ülke genelinde geniş çaplı bir saldırı başlattığını ortaya koydu. Bu durum, çok sayıda hastanın güvenliğini riske atarken, sistemlerde ciddi aksamalara yol açtı.
Bükreş’teki Ulusal Siber Güvenlik Merkezi (DNSC), saldırının “Hippocrates” adlı yaygın kullanılan tıbbi yazılım üzerinden hızla yayıldığını tespit etti ancak yayılımı durdurmakta büyük zorluk yaşadı.
Siber Güvenlik Direktörü Dan Cimpean, kontrolü sağlamak için en zor kararlardan birini vererek 100’den fazla hastaneye internet bağlantısının kesilmesi talimatını iletti.
Şubat 2024’te yaşanan bu olay, Romanya sağlık sistemine yönelik en büyük siber saldırılardan biri olarak kayıtlara geçti. FBI’ın değerlendirmelerinde de sağlık altyapısının, küresel ölçekte en sık hedef alınan kritik sektörlerden biri haline geldiği vurgulandı.
Ağların devre dışı bırakılmasıyla birlikte e-posta sistemleri ve dijital erişimler dururken, sağlık çalışanları geçici olarak manuel yöntemlere yönelmek zorunda kaldı. Olayın ardından siber güvenlik ekipleri, saldırının kaynağını ve sistemlere giriş yöntemini ortaya çıkarmak için kapsamlı bir inceleme başlattı.
10–14 Şubat 2024 arasında süren kriz, sağlık altyapılarının siber saldırılara karşı kırılganlığını gözler önüne seren önemli bir örnek olarak değerlendirildi.
Hastaneler fidye yazılımıyla felç oldu
Bükreş'in 120 kilometre kuzeydoğusundaki Buzau Hastanesi'nde görevli cerrah Oana Goidescu, saldırganların Bükreş merkezli yazılım firması RSC'ye sızarak "Hippocrates" adlı yaygın tıbbi sisteme ulaştığı uyarısı geldiğinde nöbetteydi.
Goidescu, "Dijital kayıt sadece bir hasta listesi değildir; her hasta için laboratuvar testleri, radyoloji, ilaç ve malzeme talep ederiz. Hepsi bir anda yok oldu" ifadesini kullandı.
Hekimlerin, hemşirelerin ve cerrahların kabullerden maaş bordrolarına, eczane lojistiğinden test sonuçlarına kadar her şeyi yönetmek için kullandığı bu sisteme, siber saldırganlar "BackMyData" adlı bir fidye yazılımı bulaştırdı. Dosyalar şifrelenerek okunamaz hale getirildi ve bitcoin cinsinden fidye talep edildi.
Saldırının ertesi günü silsile halinde diğer hastanelerden de sistemin çöktüğü raporları geldi. Uzmanlar, yazılım üreticisiyle birlikte çalışarak korsanları sistemden çıkarmaya çalışırken, doktorlar da hastaları kaydetmek için Excel ve diğer çevrimdışı araçları devre dışı bırakıp kağıt üzerinde sonuç almaya başladı. Siber incelemeler sonucunda 26 hastanenin doğrudan bu yazılımla enfekte olduğu belirlendi.
160 bin euroluk fidye talebi reddedildi
Saldırganlar verileri serbest bırakmak için 160 bin avro değerinde bitcoin talep etti ancak ülke yönetimince fidyenin ödenmemesi yönünde kesin bir karar alındı.
Çevrimdışı kalan hastanelerdeki bilişim ekipleri, sistemleri yedeklerden geri yüklemek için zamanla yarıştı. Çoğu hastanenin verilerinin güncel kopyalarına sahip olması, organizasyonların daha hızlı toparlanmasını sağladı.
Beş gün içinde hastanelerin büyük kısmı yeniden çevrimiçi oldu ve normal işleyişine döndü. Olay nedeniyle herhangi bir ölüm veya ciddi hasta zararı rapor edilmedi.
Ancak kesinti sırasında kağıda kaydedilen tüm yeni bilgilerin sisteme girilmesi haftalar sürdü ve bazı veriler kalıcı olarak kayboldu.
Polis, saldırının arkasında kimin olduğuna dair soruşturma hakkında açıklama yapmazken, geçen yıl BackMyData ile bağlantılı bir fidye yazılımı çetesinin internet sitesinin uluslararası bir operasyonla çökertildiği ve Rusya dışında dört Rus vatandaşının tutuklandığı biliniyor.
Uzmanlar, hastanelerin kritik hizmetler yürütmesi ve aksamaların büyük olması nedeniyle siber suçlular için cazip bir hedef haline geldiğini, dijitalleşme arttıkça bu risklerin de beraberinde büyüdüğünü belirtiyor.
