Provocări cibernetice în sănătate

Vizibilitate și control asupra infrastructurii

Deficitul de infrastructură din domeniul sănătății

Majoritatea atacurilor cibernetice din sectorul sănătății nu pornesc de la vulnerabilități complexe, ci de la expuneri cunoscute: acces nesecurizat, lipsa segmentării rețelei sau dependența de sisteme critice.

Problema nu este doar compromisul inițial, ci modul în care aceste vulnerabilități permit propagarea rapidă prin infrastructuri interconectate. Un singur punct compromis poate afecta simultan mai multe sisteme, servicii sau organizații. În contextul sănătății, impactul unor astfel de atacuri depășește breșele de date, afectând direct continuitatea serviciilor medicale și accesul la îngrijiri critice.

În practică, aceste atacuri urmează tipare recurente, bazate pe metode de acces și propagare care apar în mod constant în incidentele din întregul sector al sănătății.

Încălcări ale datelor

Data breaches

Ingineria socială implică manipularea personalului medical, a personalului administrativ sau a partenerilor prin phishing, vishing, smishing sau conturi de e-mail instituționale compromise pentru a obține acreditări de acces, a introduce malware sau a redirecționa plăți.

Atacatorii pot uzurpa identitatea autorităților medicale, a furnizorilor de servicii medicale, a entităților naționale de asigurări de sănătate sau a personalului executiv, exploatând fluxurile de lucru interne de aprobare și condițiile de lucru la distanță.

Atacurile de inginerie socială

Atacuri de ransomware și malware

Ransomware-ul și programele malware sunt folosite pentru a cripta sistemele, a extrage date și a întrerupe operațiunile. Din ce în ce mai mult, atacurile implică mecanisme de „dublă extorcare”, combinând furtul de date cu întreruperea sistemului și, în unele cazuri, atacuri DDoS.

În multe cazuri, atacatorii rămân în infrastructură pentru o perioadă de timp înainte de a lansa atacul, de a mapa sistemele critice și de backup. Timpul de implementare a scăzut semnificativ, în medie de aproximativ 24 de ore.

Atacurile ransomware au un impact direct asupra sistemelor clinice (HIS, EHR, EMR), unde indisponibilitatea sistemului afectează imediat operațiunile medicale și accesul la datele esențiale ale pacientului. Aproximativ 92% din cazurile europene implică atât criptarea fișierelor, cât și exfiltrarea datelor.

Atacurile lanțului de aprovizionare

Atacurile lanțului de aprovizionare implică compromiterea aplicațiilor medicale terțe, a furnizorilor de servicii IT sau a proceselor externalizate pentru a obține acces indirect la spitale și clinici.

Atacatorii exploatează instrumente de administrare la distanță, actualizări de software, servicii cloud sau canale de schimb de date medicale pentru a ocoli controalele de securitate și pentru a obține acces legitim în rețea.

Furtul de acreditări

Furtul de acreditări este efectuat în mod obișnuit prin notificări false care uzurpă identitatea comunicațiilor de la spitale sau autoritățile naționale de sănătate, având ca scop capturarea acreditărilor de conectare.

Atacurile includ, de asemenea, redirecționări cu coduri QR către pagini rău intenționate și utilizarea unor furturi de informații (de exemplu, RedLine, Vidar) pentru a colecta automat acreditări. Există, de asemenea, o tendință în creștere de acreditări de asistență medicală compromise care sunt vândute online, inclusiv acces VPN sau RDP la rețelele spitalelor.

Cum se manifesta atacurile cibernetice in domeniul sanatatii in practica

1. AZ Monica Hospital, Antwerp, Belgium – 2026

Un atac cibernetic asupra spitalului AZ Monica din Antwerp a dus la indisponibilitatea sistemelor IT și la limitarea activității medicale.

Peste 70 de operații au fost anulate, iar pacienți au fost transferați către alte unități. Accesul la dosarele electronice a fost indisponibil, iar recuperarea a durat aproximativ o lună. Acest caz evidențiază impactul indisponibilității sistemelor asupra activității medicale.

2. Synnovis / NHS UK – 2024

Atacul ransomware asupra Synnovis, furnizor de servicii de laborator pentru spitalele NHS din Londra, a afectat direct capacitatea de diagnostic în mai multe unități medicale.

Peste 1.100 de intervenții au fost anulate, iar capacitatea de procesare a analizelor a scăzut semnificativ. În paralel, aproximativ 400 GB de date medicale au fost exfiltrate și publicate, iar recuperarea completă a sistemelor a necesitat o perioadă extinsă, estimată la peste 17 luni.

3. Atacul Ransomware asupra Spitalelor din România - 2024

Un atac ransomware asupra platformei HIS Hipocrate a afectat mai multe unități medicale din România, propagându-se rapid în lipsa segmentării.

Datele au fost criptate în 26 de spitale, iar peste 100 de unități au fost deconectate preventiv. În unele cazuri, activitatea medicală a fost transferată temporar către procese manuale. Răscumpărarea (~3.5 BTC) nu a fost plătită. Incidentul arată modul în care lipsa segmentării permite propagarea rapidă a atacurilor în mai multe unități.

4. Change Healthcare / UnitedHealth – 2024

Un atac cibernetic asupra Change Healthcare a afectat peste 100 de milioane de persoane și a perturbat procese critice precum facturarea și lanțul de aprovizionare farmaceutic. Accesul inițial a fost obținut prin compromiterea credențialelor, fiind considerat cea mai mare breșă din istoria sectorului medical.

5. Grupuri pro-Rusia (Killnet) – 2023–2024

În perioada 2023–2024, mai multe spitale din Europa, inclusiv din Danemarca, Germania și Olanda, au fost vizate de atacuri DDoS coordonate, asociate cu grupări pro-ruse precum Killnet.

Aceste atacuri nu au implicat compromiterea sistemelor sau exfiltrarea datelor, însă au afectat disponibilitatea serviciilor digitale, inclusiv accesul la platforme online utilizate de pacienți și personal medical.

În final, securitatea cibernetică devine eficientă doar atunci când tehnologia, procesele și factorul uman funcționează integrat. Instruiri regulate, simulări de atacuri de tip phishing și conștientizarea riscurilor contribuie decisiv la reducerea suprafeței de atac.

Expertware în partneriat cu Directoratul Național de Securitate Cibernetică (DNSC), organizează regulat webinarii de conștietizarea riscuirlor pe diferite de domenii, cel mai recent fiind cel din sectorul medical, iar prezentarea paote fi găsită aici.

Cum pot fi gestionate aceste riscuri

În infrastructurile de sănătate, obiectivul nu este o revizuire completă a arhitecturii, ci reducerea rapidă a timpului de expunere și de detectare.

Folosirea unor instrumente separate pentru vulnerabilități, monitorizare sau audituri duce adesea la puncte oarbe în care activitățile suspecte nu pot fi analizate la timp. În astfel de condiții, incidentele sunt depistate cu întârziere, iar impactul lor se extinde și asupra operațiunilor. În acest context, problema nu mai este lipsa datelor, ci lipsa corelației dintre ele.

Rolul unei platforme integrate de securitate

În contextul cerințelor NIS2, aceste capacități devin esențiale pentru asigurarea monitorizării continue, gestionării riscurilor și raportării incidentelor. Vizibilitatea deplină în infrastructură, inventarul de active și corelarea datelor în timp real permit organizațiilor din domeniul sănătății să îndeplinească cerințele de conformitate, reducând în același timp riscurile operaționale.

O platformă precum SIEMBIOT abordează această nevoie prin centralizarea și analiza datelor într-un singur punct. Diferența nu constă în volumul de date colectate, ci în capacitatea de a le corela și interpreta într-un context operațional.

La nivel tehnic, platforma corelează evenimentele de infrastructură (jurnale, autentificări, trafic) cu vulnerabilitățile existente, nivelul real de expunere și informațiile externe privind amenințările (CTI), cum ar fi acreditările compromise sau indicatorii de compromis.

În cele din urmă, securitatea cibernetică devine eficientă numai atunci când tehnologia, procesele și factorul uman lucrează împreună într-un mod integrat. Antrenamentul regulat, simulările de atac de tip phishing și conștientizarea riscurilor joacă un rol decisiv în reducerea suprafeței de atac.

Expertware, în parteneriat cu Direcția Națională de Securitate Cibernetică (DNSC), organizează în mod regulat webinarii axate pe conștientizarea riscurilor în diverse sectoare, cel mai recent fiind în sectorul sănătății. Prezentarea poate fi găsită aici.

Cauzele atacurilor cibernetice în sectorul sănătății

Atacurile cibernetice din domeniul sănătății nu sunt determinate doar de vectori de atac, ci și de caracteristicile infrastructurilor IT ale spitalelor, care limitează capacitățile de prevenire și răspuns.

Multe dispozitive medicale rulează pe sisteme vechi (Windows XP/7), cu cicluri de viață de 10-15 ani și fără suport de furnizor. În astfel de cazuri, patch-ul este limitat sau imposibil, lăsând sistemele expuse pentru perioade lungi.

În același timp, rețelele nu sunt adesea segmentate, folosind VLAN-uri partajate în medii administrative, clinice și IoMT. Odată ce accesul inițial este obținut, mișcarea laterală devine rapidă și dificil de controlat.

Sistemele critice precum HIS sau EHR funcționează continuu, fără ferestre reale de întreținere. Orice întrerupere afectează direct activitatea medicală, limitând capacitatea de a aplica actualizări sau intervenții de securitate.

În plus, multe protocoale utilizate în mediile de asistență medicală, cum ar fi DICOM, HL7v2 sau Telnet, nu au fost concepute având în vedere securitatea și nu acceptă mecanisme moderne de protecție, crescând suprafața de atac.

În cele din urmă, lipsa strategiilor de backup robuste sau testarea insuficientă a proceselor de recuperare face ca recuperarea după incident să fie dificilă și consumatoare de timp.

Drept urmare, nu evidențiază doar vulnerabilitățile sau alertele, ci și contextul acestora: ce este critic, ce este exploatabil și unde are loc activități suspecte.

Monitorizare 24/7 și detectare în timp real

Monitorizarea continuă permite identificarea rapidă a activităților suspecte, inclusiv în afara orelor de lucru sau în perioadele de personal redus, când semnalele timpurii sunt adesea ratate.

Într-un model SIEMBIOT cu SOC/MDR 24×7, jurnalele, telemetria și alertele din mai multe surse sunt corelate în timp real, iar evenimentele suspecte sunt prioritizate și analizate rapid. Acest lucru reduce semnificativ timpul de răspuns (de la săptămâni la ore sau zile) și limitează răspândirea incidentelor în infrastructură, inclusiv în mediile critice.

Fără o monitorizare continuă, timpul de identificare a unui atac și perioada în care acesta rămâne nedetectat („timpul de așteptare”) se pot extinde la săptămâni sau luni, oferind atacatorilor timp pentru deplasarea laterală, escaladarea privilegiilor și pregătirea impactului operațional.

În același timp, integrarea datelor externe permite corelarea între expunerea externă și activitatea internă, oferind vizibilitate asupra riscurilor reale. Fără o astfel de abordare, atacurile rămân nedetectate până când impactul lor operațional devine vizibil.

Cum poate fi testată platforma SIEMBIOT

Platforma SIEMBIOT poate fi testată gratuit timp de 3 luni printr-un grant european disponibil până în iunie.

Implementarea nu necesită schimbări majore de infrastructură, dar permite o creștere treptată a vizibilității sistemului. Inițial, jurnalele sunt centralizate și sunt identificate expunerile critice, urmate de monitorizarea continuă și corelarea evenimentelor și, în final, testarea proceselor de răspuns și generarea de rapoarte de conformitate.

Pentru a evalua platforma într-un context real, completați formularul de contact și echipa va continua cu mai multe detalii.

90 de zile de apărare cibernetică la nivel de întreprindere

Pășiți în viitorul securității cibernetice cu acces complet la o platformă unificată și inteligentă — gratuit timp de 90 de zile. Îmbunătățiți echipa de securitate cu:

SIEM avansat pentru vizibilitate în timp real, alerte inteligente și analize criminalistice aprofundate în medii cloud, on-prem și hibride
Management continuu al vulnerabilităților pentru a identifica, prioritiza și remedia riscurile pentru toate activele
Informații live despre amenințările cibernetice integrate direct în fluxurile dvs. de lucru, cu informații globale și profilarea atacatorilor
Detectarea amenințărilor bazată pe inteligență artificială, care învață din mediul dvs., explică alertele într-un limbaj simplu și sugerează pașii următori
Pregătire de conformitate încorporată pentru NIS2, GDPR, ISO 27001 și multe altele, cu instrumente automate de raportare și audit

Indiferent dacă gestionați un SOC eficient sau o echipă de securitate la scară largă, această platformă vă oferă instrumentele necesare pentru a detecta mai rapid, a răspunde mai inteligent și a fi cu un pas înaintea amenințărilor în evoluție — toate acestea fără complexitate.

Experimentați protecție la nivel de întreprindere, fluxuri de lucru simplificate și control total.

Avantajul tău de 90 de zile începe acum.

Deblocheaza perioada de proba gratuita de 3 luni