Belgijski szpital AZ Monica odłącza serwery po cyberataku: odwołane zabiegi, transfer pacjentów i praca „na papierze”

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja luki

Incydenty cybernetyczne w ochronie zdrowia rzadko kończą się „tylko” utrudnieniami administracyjnymi. Gdy systemy EHR (elektroniczna dokumentacja medyczna), rejestracja, diagnostyka obrazowa czy łączność zespołów ratownictwa przestają działać, skutki natychmiast dotykają ciągłości leczenia i bezpieczeństwa pacjentów.

Tak właśnie wyglądał scenariusz w belgijskiej sieci szpitali AZ Monica (Antwerpia i Deurne), która po wykryciu ataku zdecydowała się na radykalny, ale często konieczny krok: odłączenie całej infrastruktury serwerowej, co przełożyło się na odwołane operacje, ograniczoną pracę SOR-u i transfer części pacjentów w stanie krytycznym.

W skrócie

  • AZ Monica odłączył wszystkie serwery po „poważnym zakłóceniu” IT; w relacjach pojawia się godzina ok. 6:32 jako moment decyzji/reakcji.
  • Wstrzymano planowe procedury i operacje; SOR działał w ograniczonym zakresie, a część usług ratunkowych (MUG/PIT) była czasowo niedostępna.
  • Siedmiu pacjentów wymagających intensywnej opieki przetransportowano do innych placówek przy wsparciu Czerwonego Krzyża.
  • Dostęp do cyfrowych kart pacjenta był utrudniony, więc szpital przeszedł na procedury manualne (papier) i ostrzegał o wolniejszej rejestracji.
  • Część doniesień sugeruje komponent ransomware, ale w pierwszych komunikatach podkreślano głównie „cyberatak” i trwające dochodzenie.

Kontekst / historia / powiązania

W atakach na placówki medyczne najważniejszy jest „czas do degradacji opieki” (time-to-care-disruption). choćby jeżeli atakujący nie uruchomią szyfrowania, samo odcięcie systemów (lub ich prewencyjne wyłączenie przez szpital) potrafi zatrzymać:

  • planowe bloki operacyjne,
  • diagnostykę (PACS/RIS, zlecenia badań),
  • ewidencję leków i zleceń,
  • przepływ pacjentów (rejestracja, wypisy, transporty).

W AZ Monica dodatkowym czynnikiem była konieczność utrzymania bezpieczeństwa danych pacjentów i ograniczenia rozprzestrzeniania się incydentu — stąd natychmiastowa izolacja serwerów i praca w trybie awaryjnym.

Analiza techniczna / szczegóły incydentu

Co wiemy „twardo” (na bazie komunikatów i relacji)

Z dostępnych informacji wynika, że:

  1. Wykryto poważne zakłócenie w systemach IT i podjęto decyzję o wyłączeniu/odłączeniu serwerów w obu kampusach.
  2. Z powodu niedostępności systemów cyfrowych ograniczono pracę izby przyjęć/SOR i wstrzymano planowe zabiegi.
  3. Dostęp do elektronicznej dokumentacji był utrudniony, co wymusiło manualne procesy rejestracji i odroczenia części konsultacji.
  4. Część pacjentów krytycznych przetransportowano do innych szpitali (wskazywano na wsparcie Czerwonego Krzyża).

Co jest prawdopodobne (ale niepotwierdzone) z perspektywy TTP

W mediach branżowych pojawia się wątek ransomware. To jednak nie jest równoznaczne z potwierdzonym szyfrowaniem lub eksfiltracją danych. W praktyce „ransomware w szpitalu” może oznaczać co najmniej trzy różne sytuacje:

  1. Szyfrowanie + wyłączenie usług – klasyczny wariant, gdy systemy stają, a odtwarzanie zależy od kopii zapasowych.
  2. Tylko eksfiltracja i szantaż – systemy bywają chwilowo sprawne, ale ryzyko wycieku danych jest kluczowe.
  3. Intruzja bez finalnego payloadu – placówka odcina serwery prewencyjnie, zanim dojdzie do „detonacji”.

Bez IoC, informacji o rodzinie ransomware lub wektorze dostępu nie da się uczciwie przypisać incydentu do konkretnego aktora. Na tym etapie sensowniejsze jest opisanie typowych wektorów wejścia w środowiskach medycznych:

  • phishing i kradzież tożsamości (M365/IdP),
  • zdalny dostęp (VPN, RDP, bramy aplikacyjne),
  • niezałatane urządzenia brzegowe,
  • kompromitacja dostawcy IT/outsourcingu,
  • słabe segmentowanie sieci (łatwa ruch lateralny).

Praktyczne konsekwencje / ryzyko

1) Ryzyko kliniczne i operacyjne

Najbardziej „namacalny” skutek to ograniczenie opieki: odwołane operacje, przesunięte konsultacje i ograniczona przepustowość SOR-u.
Dodatkowo, gdy transporty medyczne i zespoły interwencyjne są czasowo niedostępne, rośnie obciążenie sąsiednich placówek oraz ryzyko opóźnień w leczeniu.

2) Ryzyko danych pacjentów

Nawet jeżeli decyzja o odłączeniu serwerów miała charakter ochronny, sam fakt incydentu uruchamia typowe pytania:

  • czy doszło do dostępu do danych wrażliwych,
  • czy nastąpiła eksfiltracja,
  • czy atakujący uzyskali trwałą obecność (persistence),
  • czy doszło do naruszeń tożsamości (AD/Entra ID).

Wstępne komunikaty koncentrowały się na ciągłości opieki i śledztwie, bez potwierdzenia skali naruszenia danych.

3) Koszty i „dług techniczny” po incydencie

Nawet przy skutecznym odtworzeniu usług koszty rosną przez:

  • przestoje, nadgodziny i reorganizację grafików,
  • odtwarzanie środowisk i walidację integralności,
  • konieczność „resetu zaufania” (rotacja sekretów, ponowne wdrożenia),
  • audyty, forensics, komunikację kryzysową.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które w ochronie zdrowia zwykle dają największy efekt w pierwszych 24–72 godzinach oraz w fazie odbudowy. (To ogólne praktyki – konkret zależy od architektury i tego, co wykaże analiza śledcza).

Natychmiast (0–24h)

  • Izolacja i kontrola rozprzestrzeniania: segmentacja awaryjna, blokady egress, odcięcie niekrytycznych połączeń między strefami.
  • Utrzymanie opieki: przejście na downtime procedures (papier), priorytetyzacja świadczeń, komunikacja z pacjentami i innymi szpitalami (transfery).
  • Zabezpieczenie dowodów: obrazy dysków/VM, logi z AD/IdP, EDR, firewall, VPN, proxy; łańcuch dowodowy.
  • Kontrola tożsamości: wymuszenie resetów dla kont uprzywilejowanych, przegląd tokenów/sesji, ograniczenie kont serwisowych.

Krótki termin (24–72h)

  • Threat hunting pod scenariusz ransomware: artefakty lateral movement, narzędzia zdalne, anomalia w GPO, podejrzane zadania harmonogramu.
  • Bezpieczne odtwarzanie: odtwarzaj priorytetowo usługi kliniczne, ale dopiero po walidacji, iż środowisko nie jest „toksyczne” (persistence).
  • Komunikacja i koordynacja: ujednolicone komunikaty, jedna „prawda operacyjna”, kooperacja z organami ścigania.

Długofalowo (po przywróceniu usług)

W praktyce najbardziej „twarde” środki anty-ransomware to kombinacja:

  • kopii zapasowych offline/odłączonych i regularnie testowanych (w tym test odtworzenia pod presją czasu),
  • ograniczania uprawnień i separacji kont administracyjnych,
  • twardej segmentacji sieci (klinika vs biuro vs goście vs IoMT),
  • monitoringu i detekcji (EDR/XDR + logowanie krytycznych zdarzeń),
  • higieny zdalnego dostępu (MFA, ograniczenia geograficzne, ciągłe oceny ryzyka).

Wskazówki w tym duchu pojawiają się m.in. w zaleceniach NCSC dotyczących ograniczania skutków malware i ransomware (mocny nacisk na kopie offline, separację i gotowość odtworzeniową).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Warto rozróżnić trzy „klasy” incydentów, bo determinują reakcję i komunikację:

  • Atak powodujący niedostępność (availability-first) – jak w AZ Monica: choćby bez potwierdzonego wycieku, skutki kliniczne pojawiają się natychmiast.
  • Atak z eksfiltracją (confidentiality-first) – operacje czasem trwają, ale ryzyko prawne i reputacyjne rośnie (pacjenci, dane wrażliwe).
  • Atak hybrydowy (double/triple extortion) – najtrudniejszy wariant: przestój + szantaż + presja czasowa.

Z perspektywy zarządzania ryzykiem AZ Monica pokazuje, iż „plan B” (praca na papierze, procedury awaryjne, scenariusz dywersji karetek i transferów) jest równie istotny jak same narzędzia cyber.

Podsumowanie / najważniejsze wnioski

  • Incydent w AZ Monica to podręcznikowy przykład, iż cyberatak w szpitalu w pierwszej kolejności uderza w ciągłość leczenia: odwołane operacje, ograniczony SOR, praca manualna i transfer pacjentów krytycznych.
  • Na wczesnym etapie rozsądnie jest mówić o „cyberataku” i skutkach operacyjnych, a nie przesądzać o ransomware bez twardych danych (IoC, potwierdzone szyfrowanie/eksfiltracja).
  • Największą odporność budują: kopie offline + testy odtworzenia, segmentacja, kontrola tożsamości i gotowe procedury downtime dla personelu klinicznego.

Źródła / bibliografia

  1. BleepingComputer – opis incydentu, komunikaty szpitala i skutki operacyjne. (BleepingComputer)
  2. The Record (Recorded Future News) – kontekst, transfer pacjentów, doniesienia o ransomware i skutkach w mieście. (The Record from Recorded Future)
  3. The Register – potwierdzenie ograniczeń, dywersja karetek i niedostępność wybranych usług ratunkowych. (The Register)
  4. Techzine – informacja o kontynuacji odwołań i potwierdzeniu cyberataku przez prokuraturę wg cytowanych relacji. (Techzine Global)
  5. NCSC (UK) – praktyczne wytyczne ograniczania skutków malware i ransomware (m.in. kopie offline). (NCSC)
Idź do oryginalnego materiału
  1. Strona główna
  2. Ransomware
  3. Belgijski szpital AZ Monica odłącza serwery po cyberataku: odwołane zabiegi, transfer pacjentów i praca „na papierze”