Incydent ten unaocznił wyzwania, przed jakimi stoi sektor opieki zdrowotnej w zakresie cyberbezpieczeństwa i zarządzania ciągłością działania.

Przebieg incydentu

Atak rozpoczął się 28 października 2020 roku. Według ustaleń, źródłem infekcji było otwarcie przez jednego z pracowników phishingowego e-maila podczas urlopu. Po powrocie, pracownik podłączył zainfekowany laptop do sieci szpitala, co umożliwiło uruchomienie złośliwego oprogramowania.

Skutki były natychmiastowe:

• Sparaliżowanych zostało 1300 serwerów
• Przestało działać 600 aplikacji
• Dotkniętych zostało 5000 komputerów

Funkcjonowanie szpitala zostało znacznie ograniczone. Personel medyczny musiał przejściowo korzystać z dokumentacji papierowej, aby utrzymać ciągłość opieki nad pacjentami.

W odpowiedzi na atak, szpital odłączył swoje systemy od sieci, aby zatrzymać rozprzestrzenianie się oprogramowania. W działania zaangażowano także FBI i Gwardię Narodową. UVM Medical Center nie zdecydowało się na zapłatę okupu. Proces odzyskiwania danych trwał około trzech tygodni, natomiast pełna odbudowa infrastruktury zajęła kilka miesięcy.

‍

Mocne strony reakcji szpitala

Pomimo trudności, w działaniach UVM można wskazać elementy, które mogą stanowić punkt odniesienia dla innych placówek:

• Działające kopie zapasowe – Backupy pozwoliły na odzyskanie większości danych bez konieczności negocjacji z przestępcami.
• Szybka izolacja systemów – Odłączenie sieci ograniczyło skalę incydentu i zmniejszyło ryzyko utraty danych.
• Współpraca z instytucjami zewnętrznymi – Udział FBI i Gwardii Narodowej przyspieszył dochodzenie i odbudowę.
• Ochrona danych pacjentów – Potwierdzono, że mimo przestoju nie doszło do wycieku wrażliwych informacji medycznych.

‍

Słabości i obszary do poprawy

Incydent uwypuklił także problemy, z których inne organizacje mogą wyciągnąć wnioski:

• Brak skutecznych szkoleń z zakresu phishingu – Błąd ludzki przyczynił się do incydentu, co pokazuje, jak istotne są regularne i praktyczne szkolenia.
• Przestarzałe systemy IT – Obecność tzw. systemów legacy oraz opóźnienia w aktualizacjach zwiększyły podatność sieci.
• Problemy z backupem jednego z systemów specjalistycznych (ROIS) – Brak dostępu do kopii zapasowej systemu radioterapii opóźnił przywrócenie kluczowych funkcji klinicznych.
• Niedoszacowanie kosztów w polisie ubezpieczeniowej – Całkowite koszty ataku znacznie przekroczyły zakres ochrony oferowanej przez ubezpieczenie.

‍

Wnioski dla sektora medycznego

Zdarzenie w UVM Medical Center może posłużyć jako źródło przemyśleń i zmian w podejściu do zarządzania ryzykiem cybernetycznym w instytucjach ochrony zdrowia. Wśród najważniejszych obserwacji:

1. Priorytetowe traktowanie cyberbezpieczeństwa – Ochrona infrastruktury IT powinna być istotnym elementem strategii każdej jednostki medycznej.
2. Testowanie planów ciągłości działania (BCM) – Symulacje awaryjne powinny obejmować scenariusze pracy offline i sprawdzenie dostępności backupów w izolowanych środowiskach.
3. Segmentacja sieci – Oddzielenie systemów klinicznych od biurowych może ograniczyć skutki ataków i utrudnić ich propagację.
4. Wdrożenie modelu Zero Trust – Ograniczanie uprawnień użytkowników i kontrola dostępu powinny być standardem.
5. Weryfikacja polis ubezpieczeniowych – Ubezpieczenie powinno uwzględniać nie tylko koszty techniczne, ale też potencjalne przestoje i koszty utraty zaufania.

‍

Kluczowe statystyki ataku UVM

• Całkowity koszt ataku:                               63 mln USD
• Dzienny koszt przestoju:                           1,5 mln USD
• Liczba oczyszczonych komputerów:       5000
• Czas pełnej odbudowy:                             Kilka miesięcy / 3 miesiące

‍

Perspektywa dla branży medycznej - nie ma "zmiłuj"

Atak na University of Vermont Medical Center pokazał, że nawet bez naruszenia poufności danych, cyberatak może zakłócić funkcjonowanie placówki zdrowia i spowodować poważne konsekwencje operacyjne oraz finansowe. Choć szpital zdołał ochronić dane pacjentów, koszt odzyskiwania systemów i przywracania pełnej funkcjonalności okazał się bardzo wysoki. Przypadek ten stanowi przypomnienie, że w obecnym krajobrazie zagrożeń organizacje powinny nie tylko inwestować w zabezpieczenia, ale również przygotowywać się na scenariusze awaryjne i dbać o odporność operacyjną w warunkach kryzysu.

‍