Subscribe
Legal - ianuarie 28, 2025
La 14 mai 2021, Health Service Executive (HSE) din Irlanda a fost supus unui atac cibernetic ransomware fără precedent care a afectat toate sistemele online implicate în furnizarea serviciilor sale, de la radiologie, patologie/laboratoare, radioterapie, maternitate, îngrijire primară, servicii pentru persoanele cu handicap și analize de sânge.
Deoarece personalul HSE nu a putut accesa datele pacienților, întârzierile la admiterea și externarea pacienților și dificultățile legate de predarea pacienților au fost, de asemenea, rezultatul direct al atacului.
Ca măsură de precauție menită să limiteze impactul atacului, HSE, care la acel moment funcționa cu peste 70 000 de dispozitive IT în aproximativ 4 000 de locații, a luat decizia de a-și închide rețeaua de tehnologie a informației și comunicațiilor (TIC).
Acest lucru a însemnat că toate sistemele HSE, indiferent dacă au fost sau nu afectate, au fost afectate.
Consiliul HSE și directorul executiv al acestuia au solicitat ulterior PricewaterhouseCoopers (PwC) să revizuiască modul în care a avut loc atacul și cum a fost posibil ca un întreg serviciu național de sănătate să fie atât de eficient compromis.
HSE a însărcinat PwC să stabilească urgent faptele în legătură cu gradul actual de pregătire al organizației în ceea ce privește sistemele TIC, protecția informatică și informațională și gradul de pregătire operațională.
Raportul care a urmat analizei post incident a recunoscut acțiunile imediate întreprinse de HSE, care au inclus solicitarea de asistență din partea Biroului național Garda pentru criminalitate informatică, a Organizației Internaționale de Poliție Criminală („Interpol”) și a Centrului național de securitate informatică („NCSC”). De asemenea, raportul a evidențiat dedicarea și efortul enorme observate la toate nivelurile de personal în timpul reacției la incident.
Cu toate acestea, raportul PwC a criticat evaluarea pregătirii HSE, subliniind în același timp numeroasele oportunități pierdute care ar fi putut împiedica atacatorul să obțină acces la sistemele TIC ale HSE.
Mai exact, PwC afirmă că, în evaluarea sa, atacul cibernetic a putut provoca pagubele pe care le-a provocat deoarece HSE funcționa pe ceea ce a numit un patrimoniu IT fragil, care a evoluat mai degrabă decât să fi fost proiectat pentru reziliență și securitate.
De asemenea, a constatat deficiențe evidente de supraveghere, cum ar fi faptul că, la momentul incidentului, HSE nu avea un singur responsabil pentru securitatea cibernetică, la nivel de conducere sau de management.
De asemenea, a reieșit că au existat mai multe detecții ale activității atacatorului înainte de 14 mai 2021, dar acestea nu au dus la inițierea unui incident de securitate cibernetică și a unei investigații de către HSE. Prin urmare, au fost ratate oportunități de a preveni detonarea cu succes a ransomware-ului.
În ceea ce privește impactul financiar al atacului, costurile inițiale au fost estimate la aproximativ 40 de milioane EUR, iar costurile juridice suplimentare de 2,6 milioane EUR au fost suportate după atacul cibernetic. Aceste sume reprezintă doar o fracțiune din suma estimată de 657 de milioane EUR care va trebui cheltuită pentru a pune în aplicare pe deplin toate îmbunătățirile în materie de securitate cibernetică recomandate de raportul PwC post-incident.
De la atac, HSE a lucrat pentru a aborda în mod semnificativ deficiențele și vulnerabilitățile identificate în cadrul arhitecturii sale TIC. De asemenea, a luat o serie de măsuri-cheie, inclusiv recrutarea unui responsabil principal cu securitatea informațiilor pentru a conduce operațiunile de securitate cibernetică de la un capăt la altul.
Multe dintre problemele ridicate de atacul cibernetic asupra serviciului de sănătate irlandez, în special activitatea de actualizare a „patrimoniului IT fragil”, vor reapărea în urma publicării, la 15 ianuarie, a planului de acțiune al Comisiei Europene pentru consolidarea securității cibernetice a spitalelor și a furnizorilor de asistență medicală.
Obiectivele declarate ale planului de acțiune se axează pe îmbunătățirea detectării amenințărilor, a pregătirii și a răspunsului la crize în sectorul asistenței medicale la nivel european. De asemenea, planul de acțiune își propune să ofere spitale și furnizorilor de asistență medicală orientări, instrumente, servicii și formare adaptate, cu mai multe acțiuni specifice care urmează să fie puse în aplicare progresiv în 2025 și 2026, în colaborare cu furnizorii de asistență medicală, statele membre și comunitatea de securitate cibernetică.
Comunicarea Comisiei privind planul de acțiune identifică în mod specific atacul cibernetic irlandez drept un exemplu al tipului de incident capabil să demonstreze potențialul atacurilor cibernetice de a se răspândi rapid în sisteme interconectate. De asemenea, comunicarea menționează atacul cibernetic irlandez drept un incident care subliniază importanța asigurării consecvente a unei culturi fundamentale a igienei și securității cibernetice în toate organizațiile din UE.
În timp ce atacul cibernetic irlandez a fost un atac alarmant care a cauzat perturbări și costuri financiare semnificative, planul de acțiune al Comisiei se străduiește să evidențieze potențialul unor rezultate mai distructive și mai sinistre atunci când sunt puse în aplicare de actori statali și nestatali ca parte a unei campanii hibride mai ample împotriva întregului mediu de securitate al UE.
În opinia Comisiei, incapacitatea de a se pregăti în mod adecvat pentru atacurile cibernetice și de a le respinge poate duce, în cele din urmă, la destabilizarea societăților noastre de către cei care încearcă să profite de pe urma divizării și perturbării. Acest lucru nu înseamnă că planul de acțiune nu sugerează că există o soluție de tip „glonț de argint” la provocările de securitate cibernetică care există în ceea ce privește protecția platformelor digitale de asistență medicală ale UE.
În schimb, acesta se concentrează pe apelul la consolidarea prevenirii, a pregătirii și la „o abordare mai coordonată a solidarității, valorificând în același timp expertiza industriei europene de securitate cibernetică”. Ca atare, și după cum afirmă planul de acțiune, acesta reflectă abordarea mai largă a UE în materie de securitate, care va fi dezvoltată și formalizată în cadrul viitoarei Strategii europene de securitate internă.
Acesta este motivul pentru care planul îndeamnă în mod special toate statele membre să adopte o abordare „la nivelul întregii societăți” și „la nivelul întregii administrații”.
Acest aspect este, de asemenea, reflectat în documentele de orientare emise de Centrul național de securitate cibernetică (NCSC) al Irlandei, în special în Planul național de urgență cibernetică (NCEP).
NCEP stabilește abordarea națională pentru a răspunde incidentelor grave de securitate cibernetică care afectează confidențialitatea, integritatea și disponibilitatea sistemelor și rețelelor de tehnologie a informației și de tehnologie operațională importante la nivel național, cum ar fi cele afectate în timpul atacului asupra HSE din Irlanda.
Dorința Irlandei de a avansa în pregătirea sa în acest domeniu poate fi observată și în publicarea recentă a Programului de guvernare al viitoarei administrații irlandeze. În cadrul acestuia, s-a luat angajamentul că guvernul va elabora o nouă strategie națională de securitate cibernetică în 2025. De asemenea, se angajează să promoveze dezvoltarea unui centru de excelență pentru dezvoltarea competențelor în domeniul securității cibernetice.
Faptul că este nevoie de niveluri mai ridicate de competență tehnologică și de familiarizare cu securitatea cibernetică în rândul personalului din serviciile naționale cheie a fost, de asemenea, remarcat în analiza post incident a PwC.
Cu toate acestea, deși necesitatea de a adopta măsuri complexe de securitate cibernetică în cadrul sistemelor de sănătate irlandeze a fost acceptată, revizuirea a recunoscut, de asemenea, necesitatea de a echilibra acest lucru cu o nevoie de ușurință de utilizare, în special pentru personalul clinic.
Experiența atacului cibernetic al HSE și amenințarea globală crescândă din partea infractorilor cibernetici fac din realizarea acestui angajament specific al Programului pentru guvernare un imperativ național.
De asemenea, este important ca Irlanda să își continue activitatea de transpunere în legislația irlandeză a Directivei II actualizate privind rețelele și sistemele informatice (NIS2), directiva UE privind securitatea cibernetică.
Guvernul irlandez anterior a acceptat că această directivă reprezintă un pas înainte major în ceea ce privește reziliența cibernetică și va îmbunătăți gestionarea riscurilor cibernetice în întreaga Uniune, inclusiv generând îmbunătățiri semnificative în ceea ce privește capacitatea de a răspunde la incidente majore, cum ar fi atacul HSE.
În cele din urmă, se poate observa că, în timp ce Irlanda, prin Centrul său național de securitate cibernetică, ia măsuri active pentru a proteja și apăra securitatea și integritatea rețelelor și sistemelor informatice din stat, administrația anterioară a aprobat, de asemenea, elaborarea proiectului de lege privind securitatea cibernetică națională 2024.
Această schemă generală a proiectului de lege este demnă de remarcat pentru gama largă de activități care vor fi permise, inclusiv scanarea rețelelor accesibile publicului și schimbul de date personale cu autoritățile relevante. Acesta poate primi acum un impuls legislativ suplimentar în urma publicării planului de acțiune al Comisiei pentru consolidarea securității cibernetice a spitalelor și a furnizorilor de servicii medicale.
Acestea fiind spuse, atunci când va fi prezentat proiectul final de lege, este foarte probabil ca preocupările persistente cu privire la modul în care echilibrăm securitatea digitală, dorința de deschidere a datelor și dreptul la viața privată într-o perioadă de creștere a atacurilor cibernetice să ocupe, de asemenea, un loc proeminent.