„Ziarul de Iași” a discutat ieri cu mai mulți actori implicați, inclusiv cu personal din ambele spitale, și a pus cap la cap cronologia evenimentelor. Întrebarea la care așteaptă toată lumea răspunsul vine începând de zilele următoare: dacă și cât s-a pierdut.

Primele semne: rețeaua încetinită, acces restricționat la server

La prima oră a dimineții de ieri, luni, 12 februarie, personalul medical de la IRO a remarcat că sistemul informatic funcționează cu dificultate. Aceștia au și una dintre cele mai digitalizate sisteme de înregistrare și gestionare a pacienților. Cei internați, de zi sau pe durată mai lungă, primesc o brățară care, scanată, oferă acces la întregul istoric al pacienților; mai mult, fiecare aparat de imagistică mai performant are și el istoricul tuturor pacienților analizați.

Însă problemă nu a fost cu sistemul intern, ci cu accesul la sistemul informatic cu numele Hipocrate, creat de compania Romanian Soft Company. Prin intermediul sistemului erau prelucrate toate datele pacienților, stocate, și transmise ulterior către Casa de Asigurări de Sănătate pentru determinarea serviciilor medicale efectuate și decontarea acestora. Angajații au observat întâi că nu pot transmite datele către CNAS, ulterior că și unele echipamente funcționau cu dificultate.

Managerul unității, ec. Mirela Grosu, spune că sistemul pur și simplu s-a oprit la un moment dat.

„De la firmă ne-au spus: este un atac cibernetic în desfășurare”

„Nu am mai putut accesa serverele, am luat legătura cu informaticianul, care a vorbit cu reprezentanții firmei Hipocrate, cei care au sistemul informatic la noi. Este un soft integrat, medical, economic, care urmărește pacientul din momentul în care intră în spital și până la externare. Cei de la firmă ne-au comunicat că este un atac cibernetic în desfășurare, că baza de date nu poate fi accesată și au precizat că vor reveni cu amănunte”, a declarat managerul.

În momentul de față, sunt 400 de echipamente digitale ale IRO aflate în rețea la toate punctele de lucru, fie că e vorba de terminale, de calculatoare, laptopuri sau chiar echipamente medicale performante conectate direct la internet. Primul pas a fost deconectarea întregii rețele de la Internet, iar în cursul zilei de ieri, la IRO nu a fost internet pe niciun terminal. Iar situația pare că va fi la fel măcar pentru cel puțin încă o zi.

„Am luat legătura cu firma Orange, cu care avem contract încheiat de asistență tehnică pe securitatea rețelei. Au realizat o verificare a bazei de date și au observat că există deja ceva în sistemul informatic care începe să se extindă. Au venit cu recomandarea să se deconecteze toate serverele de la Internet, astfel că am luat legătura cu cei de la Hipocrate, dar și cu Directoratul Național pentru Securitate Cibernetică – am fost în videoconferințe toată ziua cu ei. Breșa de securitate a fost la firma care are programul Hipocrate, nu la noi”, a precizat managerul.

Cum funcționează sistemele spitalelor

Din informațiile coroborate din mai multe surse de „Ziarul de Iași”, spitalele din municipiu folosesc în principal două sisteme informatice. Doar „Socola” și IRO folosesc Hipocrate, în timp ce restul folosesc un sistem care este considerat mai clasic, dar în cazul atacurilor cibernetice, și mai sigur. Dacă Hipocrate este un sistem „web-based”, care este centralizat, cu o interfață de control comună, celălalt sistem – Infoworld, folosește o stocare clasică, pe hard-disk-uri, compatibilă și cu unele computere de generație mai veche, ce necesită softuri și licență pentru a funcționa, ca sistemele de operare.

Hipocrate este un sistem care lucrează online, în cloud, iar fiecare spital are un server dedicat, la sediul firmei, unde sunt transmise toate datele și de acolo pleacă către CJAS sau alți furnizori de servicii medicale conectați la sistem. Atacul cibernetic s-a făcut la sediul firmei care gestionează platforma Hipocrate, iar de acolo a „coborît” către calculatoarele interne ale spitalelor. Chiar dacă doar 18 spitale au fost afectate în toată țara, sursele noastre ne-au spus că activitatea tuturor spitalelor care au bazele de date stocate la Hipocrate a fost sistată în cursul zilei de ieri. Practic, s-a lucrat offline.

IRO a apelat la o firmă, ieri, să le scaneze manual toate cele 400 de terminale

Asta s-a întâmplat și la Institutul de Psihiatrie „Socola” din Iași, unde alarma nu s-a dat la ora 07.30, ca la IRO, ci a venit mai greu. Însă recomandarea companiei a fost ca spitalul să taie orice legătură cu internetul, astfel că au fost deconectate din rețea toate calculatoarele și serverele au fost închise. Reprezentanții spitalului spun că au backup la toate datele pe hard-disk-uri la nivelul unității medicale și, din primele cercetări, nu a trecut nimic de sistemele locale de protecție. Dacă cumva vor fi pierdute bazele de date stocate la sediul central al firmei, prin Hipocrate, atunci se poate face o reactualizare din bazele de date locale.  Însă, în momentul de față, cei de la Socola nu știu cât sau dacă au pierdut date în serverul din sediul companiei.

Aceeași situație este și la IRO, doar că riscul este mai mare. Dincolo de pierderea informațiilor din serverul aflat la sediul companiei care gestionează programul Hipocrate, există confirmat faptul că virusul de timp ransomware a intrat și în rețeaua locală. Momentan, serverele sunt oprite, dar dacă la momentul opririi virusul va bloca accesul la informațiile din sursele de back-up, atunci o parte dintre informațiile despre pacienți riscă să fie pierdute.

Astfel că IRO a decis să contracteze serviciile unei firme de cybersecurity, ai cărei angajați au ajuns ieri seară în Iași, ca să vină și să scaneze individual fiecare dintre cele 400 de echipamente pentru a vedea dacă au fost compromise. Speranța acestora este că pot opri răspândirea virusului și nu vor fi pierdute deloc date.

„Vor fi scanate toate echipamentele din spital: calculatoare, laptopuri, servere, echipamente medicale. Să fim siguri că nu e ceva în stare latentă care să ne provoace probleme mai târziu. Vor lua fiecare server în parte și le vor deschide, pentru că noi avem servere de backup, dar ne este frică să le dăm drumul fiindcă atunci s-ar putea cripta și datele și informațiile de acolo. Cel de pe care lucrăm efectiv putem spune că este virusat, dar nu știm cât de mult că l-am închis înainte de a fi criptate datele, dar nu știu ce se va întâmpla când îl vom deschide”, a explicat ec. Mirela Grosu.

Există însă mai multe redundanțe

Tocmai lipsa de digitalizare a unor spitale poate fi salvarea în acest caz, explică specialiștii cu care am discutat. Compania care are sistemul Hipocrate are două back-up-uri făcute la nivel național, pentru toate spitalele din rețea. Acum, compania lucrează cu Direcția Naționale de Securitate Cibernetică pentru a le recupera pe acestea. Prima salvare ar cuprinde datele de pe 10 februarie inclusiv, în timp ce a doua salvare conține toate datele până la finalul lunii ianuarie. Aceasta ar fi cea mai sigură, fiindcă este făcută, conform informațiilor noastre, confirmate și de managerul IRO, pe CD-uri.

„Deci în cel mai rău caz avem de recuperat datele din 12 zile, ceea ce nu va fi deloc ușor”, a explicat ec. Mirela Grosu.

La IRO va fi mai greu, pentru că sistemul este puternic digitalizat. Majoritatea spitalelor din țară încă mai au foi de observație tipărite, care sunt centralizate din saloane și ulterior datele sunt introduse, de la terminale, în sistemul centralizat. „Urma de hârtie” în acest caz reprezintă salvarea pentru decontarea fără probleme a tuturor serviciilor medicale.

Înapoi la pix și foaie

Dar la spitalele afectate, ziua de ieri a fost una foarte complicată: pacienții au așteptat mult mai mult să fie preluați, iar reprezentanții unităților medicale spun că s-a trecut la pix și foaie pentru tot spitalul. Singurul lucru care nu s-a putut face concret este eliberarea de rețete compensate, care se face doar din sistemul centralizat al CNAS, care nu a putut fi accesat fără internet.

 „Miza foarte mare de ieri a fost să încercăm să dăm drumul la activitatea medicală, să nu fie blocată în totalitate. Iar la noi lunea este mereu aglomerat, pacienții vin, au încredere în noi. Așa că am avut o ședință rapidă cu toți asistenții șefi și cu șefii de departamente, și ne-am întors la pix pe hârtie. Recomandările de analize medicale s-au făcut pe foaie, s-au tipărit rezultatele de pe calculator ca să fie prescrise tratamente, s-au făcut internări pe foi, ca atunci când nu aveam la dispoziție calculatoare”, a spus managerul de la IRO.

56 de ședințe de chimioterapie în regim de internare de zi au fost la unul dintre centrele IRO, în timp ce la sediul principal s-au făcut 85 de internări de zi și 45 de internări continue. Au fost reprogramați sau rugați să revină zilele următoare pacienții din Iași, care nu erau urgențe, în timp ce persoanele venite din altă localitate au așteptat până au beneficiat toți de servicii medicale.

De zece ani, a spus una dintre asistentele șefe de la IRO, nu s-a mai lucrat integral pe sistem de hârtie, în contextul în care institutul a fost deschis în 2012 și are 12 ani. Iar situația este posibil să se perpetueze pentru măcar încă o zi, înainte să fie făcute verificările finale, pentru a vedea dacă s-au pierdut date în vreun fel.