Lotnicze Pogotowie Ratunkowe odbudowuje systemy po ataku hakerów

Jeden z nowych śmigłowców LPR w Sanoku / MaciekSnk, Wikimedia Commons

W nocy z 13 na 14 lutego przestały działać kluczowe dla ratowników systemy łączności, w tym serwis umożliwiający przesyłanie szczegółowych informacji o interwencjach. 14 lutego przestała też działać strona LPR. To, co początkowo wzięto za awarię, nie zablokowało jednak działań pogotowia – informacje wymieniano przez prywatne telefony komórkowe i skrzynki pocztowe pracowników.

Jak poinformował serwis Niebezpiecznik.pl przyczyną problemów z komunikacją wewnętrzną był udany atak hakerski, zaszyfrowanie danych oraz usiłowanie wymuszenia okupu. Prawdopodobnie jeden z pracowników podłączony do systemu LPR kliknął zainfekowany załącznik do listu e-mail. Atakujący wykorzystali ransomware HIVE. Za odszyfrowanie danych mieli zażądać 390 tys. dolarów (ponad 1,5 mln złotych).

Serwis radia TOKFM twierdzi, że dyrekcja LPR nie podjęła prób negocjacji z hakerami i nie zapłaciło żadnego okupu. Rzeczniczka LPR poinformowała, że pogotowie zgłosiło sprawę organom ścigania i pozostaje w kontakcie z Komendą Główną Policji, Komendą Stołeczną Policji, Ministerstwem Zdrowia, CERT-em oraz Centrum e-Zdrowia, a także z innymi, właściwymi w tej sprawie podmiotami.

– Musieliśmy odbudować całą strukturę teleinformatyczną niemal od zera. W tej chwili już prawie wszystkie systemy i aplikacje działają w trybie sprzed ataku. Toczą się prace związane z odzyskiwaniem niektórych danych, ale nie są to dane mające kluczowe znaczenie dla działania LPR. Wezwania są przyjmowane na normalnych zasadach – powiedziała serwisowi TOKFM Justyna Sochacka, rzeczniczka LPR.

LPR informuje też, że stopniowo odtwarzane są dane i funkcjonowanie aplikacji. „Po cyberataku stopniowo przywracamy poszczególne systemy i aplikacje do pełnej funkcjonalności. Tym samym wracamy do Państwa z naszą stroną internetową. Przepraszamy za dotychczasowe niedogodności. Wierzymy, że informacje zawarte na naszej stronie będą dla Państwa pomocne” – informuje na swojej, ponownie działającej stronie LPR. Pogotowie wydało w tej sprawie również krótkie oświadczenie.

HIVE jest jedną z najbardziej agresywnych i aktywnych grup wykorzystujących strategię ransomware-as-a-service, czyli usług wykradania lub szyfrowania danych dla okupu. Od połowy ubiegłego roku atakuje średnio trzy organizacje dziennie, a dane firmy Group-IB zajmującej się cyberbezpieczeństwem mówią już o 355 zaatakowanych celach. Z informacji gangu wynika, że zdecydowana większość z nich woli zapłacić okup, niż odbudowywać systemy zniszczone przez hakerów.

Na liście celów HIVE znalazła się m.in. kanadyjska firma Altus Group i Division of Legislative Automated System w Wirginii. To również jedna z nielicznych grup, która nie uznaje swoistego „kodeksu etyki” hakerów działających dla okupu, który zaleca nieatakowanie organizacji z niektórych sektorów gospodarki. Dotyczy to m.in. infrastruktury krytycznej i szpitali. W przypadku hakerów nie chodzi oczywiście o dobrą wolę i sumienie, ale o pozostawanie w cieniu i unikanie gwałtownych akcji organów ścigania.

HIVE bierze jednak na celownik również jednostki ochrony zdrowia – w 2021 roku hakerzy zaatakowali Memorial Health System (trzy szpitale w Stanach Zjednoczonych). Według FBI wykorzystano wtedy zainfekowany załącznik do listu e-mail. Hakerom udało się wykraść dane 200 tys. pacjentów, w sumie 1,2 terabajty danych oraz unieruchomić oddziały radiologii i chirurgii. Za zwrot danych MHS musiał zapłacić blisko 2 mln dolarów.

Atak na Lotnicze Pogotowie Ratunkowe zbiegł się w czasie z usterkami w działaniu ogólnopolskiego systemu obsługującego numer ratunkowy 112 oraz z wprowadzeniem przez premiera Mateusza Morawieckiego stopnia alarmowego ALFA-CRP dotyczącego zagrożenia w cyberprzestrzeni. Nie ma jednak informacji, że atak na LPR, wadliwe działanie numeru 112 oraz wprowadzenie ALFA-CRP są ze sobą związane. Utrudnienia w korzystaniu z numeru 112 zdołano usunąć po zaledwie kilku godzinach i miały one być efektem wzmożonego korzystania z linii w związku z wichurami przechodzącymi nad Polską. ALFA-CRP to najniższy z czterech stopni alarmowych określonych w ustawie o działaniach antyterrorystycznych i nakłada on jedynie obowiązek monitorowania i weryfikacji, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej. Obecnie (do 15 marca) obowiązuje trzeci stopień alarmowy – CHARLIE-CRP, wprowadzany w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym w cyberprzestrzeni albo uzyskania wiarygodnych informacji o planowanym zdarzeniu.

Piotr Kościelniak
Dziennikarz specjalizujący się w popularyzacji medycyny i nowych technologii, konsultant ds. wydawniczych

Piotr Kościelniak kierował grupą magazynów popularnonaukowych Focus w wydawnictwie Burda Media Polska, gdzie uruchomił nowe tytuły zajmujące się m.in. medycyną, nowymi technologiami, psychologią i historią. Wcześniej kierował działem Nauki w dzienniku „Rzeczpospolita”, w ramach którego tworzył m.in. Rzecz o Zdrowiu, Styl Życia, a także Ranking Szpitali. Laureat nagród dla popularyzatorów nauki i problematyki medycznej.