Birbiri ardına hastanelerden telefonlar geliyordu. Suçlular, çok sayıda kişinin hayatını riske atan büyük çaplı bir saldırıyla hastane ağlarına sızıyordu.
Başkent Bükreş’teki Romanya Ulusal Siber Güvenlik Merkezi’nde (DNSC) uzmanlar, saldırganların ülke genelinde yaygın kullanılan bir tıbbi yazılım aracılığıyla yayılmasını çaresizce izliyordu.
Siber güvenlik kurumu başkanı Dan Cimpean’ın vermesi gereken zor bir karar vardı. Ancak eldeki tek seçenek buydu.
100’den fazla hastaneye talimat gönderildi:
“İnternetten hemen çıkın.”
Şubat 2024’te Romanya’daki hastanelere yönelik düzenlenen siber saldırı, dünya genelinde sağlık sistemlerini hedef alan en ciddi saldırılardan biri olarak görülüyor. Ancak bu tür olaylar giderek daha yaygın hale geliyor.
ABD Federal Soruşturma Bürosu (FBI), son dönemde sağlık sektörünün kritik ulusal altyapılar arasında en çok hedef alınan alan olduğunu açıkladı.
Romanya’da 100 hastanenin internet bağlantısının kesilmesi, saldırganların ilerleyişini durdurdu ve yetkililere saldırının boyutunu değerlendirebilmek için zaman kazandırdı.
Ancak bunun bedeli ağırdı.
Bağlantılı cihazlar, e-postalar ve internet tarayıcıları kullanılamaz hale geldi.
Tıbbi personel kalem ve kâğıda dönmek zorunda kaldı. Bilişim ekipleri zamanla yarışırken ve ulusal siber müdahale merkezi saldırganların sisteme nasıl girdiğini ve nasıl durdurulabileceğini araştırırken, doktorlar ve hemşireler hastaları koruyabilmek için geçici çözümler geliştirdi.
10 Şubat 2024’ten itibaren dört gün boyunca yürütülen bu çalışmalar hem sağlık çalışanları hem de siber güvenlik uzmanları açısından geniş övgü topladı.
Olay sırasında verilen tepkiler ve geliştirilen çözümler, bugün dünyanın birçok yerinde afet ve kriz planlamacıları tarafından örnek vaka olarak inceleniyor. Yetkililer, büyük çaplı bir hastane saldırısına nasıl karşılık verilmesi gerektiğine dair bu deneyimden ders çıkarmaya çalışıyor.
Bükreş’in yaklaşık 120 kilometre kuzeydoğusundaki Buzau Hastanesi’nde görev yapan cerrah Oana Goidescu, saldırı uyarısı geldiğinde nöbetteydi. Uyarıya göre saldırganlar, Bükreş merkezli yazılım şirketi RSC’yi aşmış ve yaygın kullanılan “Hippocrates” adlı sağlık sistemine sızmıştı.
“Oldukça tatsız bir deneyimdi” diyor Goidescu.
“Çünkü dijital hasta kayıtları yalnızca bir hasta listesinden ibaret değil. Her hasta için laboratuvar testleri, radyoloji işlemleri, ilaçlar ve tıbbi malzemeler talep ediyoruz. Bunların hepsi bir anda ortadan kayboldu.”
Hippocrates sistemi; hasta kabulünden maaş işlemlerine, eczane lojistiğinden test sonuçlarına kadar birçok sürecin yönetiminde doktorlar, hemşireler ve cerrahlar tarafından kullanılıyor.
Saldırganlar sessizce, bu sistemi kullanan hastaneleri “BackMyData” adlı bir fidye yazılımıyla enfekte etmeye başlamıştı.
Dosyalar anlamsız karakterlere dönüşüyor, karşılığında ise Bitcoin cinsinden fidye talep ediliyordu.
Saldırının başlamasından bir gün sonra, pazar sabahı ilk sorunları fark edenler Bükreş’in kuzeybatısındaki Pite?ti Çocuk Hastanesi çalışanları oldu.
Pazartesi sabahına gelindiğinde ise çok sayıda hastane Hippocrates sisteminin çalışmadığını bildirdi.
Hastaneler çevrimdışı hale gelince siber güvenlik uzmanları, Hippocrates’in geliştiricileriyle yakın iş birliği içinde çalışarak kaç sistemin enfekte olduğunu belirlemeye ve saldırganları sistemlerden çıkarmaya çalıştı.
Bu sırada hastane çalışanları da hasta bakımını sürdürebilmek için alternatif yöntemler geliştirdi.
Bükreş’teki Carol Davila Hastanesi’nde görev yapan Vlad Paic şöyle anlatıyor:
“Sistemin kısa sürede onarılamayacağını görünce her hastayı kayıt altına alabileceğimiz çevrimdışı bir yöntem geliştirdik.
“Laboratuvardan sonuçları kâğıt üzerinde göndermelerini istedik. Hasta bakımının aksamaması için Excel ve diğer çevrimdışı araçları kullandık.”
Bazı doktorlar, Romanya’nın dijital sistemlere geçişinin görece yakın bir tarihte gerçekleşmiş olmasının, yeniden kâğıt temelli yöntemlere dönmeyi kolaylaştırdığını söylüyor.
Siber güvenlik araştırmacıları gece boyunca çalıştı ve 26 hastanenin BackMyData tarafından enfekte edildiğini tespit etti.
Ertesi gün enfekte olmayan hastaneler ek güvenlik önlemleriyle yeniden internete bağlandı.
DNSC’ye göre operasyonun başarısındaki önemli etkenlerden biri, medya aracılığıyla hastaneler ve kamuoyuyla kurulan iletişimdi.
Yapılan açıklamalarda vatandaşlardan zorunlu olmadıkça hastanelere gitmemeleri istendi.
Ancak buna rağmen bekleme salonları dolmaya devam etti.
Dr. Goidescu, bazı öfkeli hastaların tepkilerini sağlık çalışanlarına yönelttiğini anlatıyor.
“Bize, ‘Ya bu sizin anneniz olsaydı?’ diye soruyorlardı.
“Öfkelenmekte haklıydılar ama bunun bizim hatamız olmadığını anlatmaya çalışıyorduk.”
Verilen bir diğer kritik mesaj ise hastanelerin saldırganlarla iletişime geçmemesi ve fidye ödememesiydi.
Saldırganlar 160 bin euro tutarında Bitcoin talep etti.
Ancak ülke çapında alınan kararla fidye ödenmedi.
Hâlâ çevrimdışı olan hastanelerde BT ekipleri, sistemleri yedeklerden geri yükleyebilmek için yoğun çaba harcadı.
Çoğu hastanenin verilerinin güncel yedekleri bulunuyordu. Bu da olaydan çıkarılan en önemli derslerden biri oldu.
Düzenli yedekleme yapan kurumlar, krizlerden çok daha hızlı toparlanabiliyor.
Beş gün içinde hastanelerin büyük bölümü yeniden çevrimiçi hale geldi ve faaliyetlerini normale yakın şekilde sürdürmeye başladı.
Yetkililere göre saldırı sonucunda herhangi bir ölüm ya da hastalarda ciddi zarar meydana gelmedi.
Ancak saldırı sırasında kâğıda kaydedilen tüm bilgilerin sisteme yeniden girilmesi haftalar sürdü.
Bazı veriler ise sonsuza dek kaybedildi.
Polis, saldırının arkasında kimlerin bulunduğuna ilişkin soruşturma hakkında yorum yapmıyor.
Ancak geçen yıl BackMyData ile bağlantılı bir fidye yazılımı grubunun internet sitesi, uluslararası bir operasyon kapsamında kapatılmıştı.
Rusya dışında bulunan dört Rus vatandaşı gözaltına alınmıştı. Rus makamları Batılı kolluk kuvvetleriyle iş birliği yapmıyor.
Dan Cimpean, bu saldırının dünyanın herhangi bir yerinde gerçekleşebileceğini söylüyor.
“Ne kadar fazla teknoloji kullanıyorsanız ve ne kadar dijitalleştiyseniz, risk de o kadar büyük.”
Geçen yıl İngiltere’nin ulusal sağlık sistemi NHS, Londra’daki onlarca sağlık merkezini etkileyen bir kan testi şirketine yönelik siber saldırının bir hastanın ölümüne katkıda bulunduğunu doğrulamıştı.
Bu olay, resmi olarak bir ölümle ilişkilendirilen ilk siber saldırı vakası olmuştu.
Aynı dönemde ABD’de sağlık hizmetleri şirketi Change Healthcare de saldırıya uğradı ve ülke genelinde ciddi aksaklıklar yaşandı.
Şirket, saldırganlara 22 milyon dolar fidye ödedi.
Yılın ilerleyen dönemlerinde saldırganlar, ABD’deki bir başka sağlık kuruluşu olan Ascension’a yönelik saldırıyla da büyük karmaşaya neden oldu.
Bükreş merkezli siber güvenlik şirketi Bitdefender’da görev yapan Alina Bîzga, hastanelerin suçlular için cazip hedefler olduğunu söylüyor.
“Hastaneler kritik hizmetler sunuyor. Suçlular, ne kadar fazla kaos yaratırlarsa fidye alma ihtimallerinin de o kadar artacağını düşünüyor.”
BBC Dünya Servisi, 23 Haziran’da Romanya, Moldova ve Avrupa’nın diğer bölgelerindeki kitlelere güvenilir habercilik sunmak amacıyla Romence yayın yapacak yeni servisi BBC News România’yı başlatıyor. BBC News România; internet sitesi, Facebook ve Instagram üzerinden yayın yapacak.
Orijinali İngilizce olan bu makalenin çevirisinde yapay zekadan yararlandık. Yayınlanmadan önce çeviriyi bir BBC gazetecisi kontrol etti. .
