Satu per satu panggilan masuk dari rumah sakit, memperingatkan bahwa jaringan komputer mereka sedang diserang dalam peretasan massal yang membahayakan banyak nyawa.
Di pusat keamanan siber nasional Rumania (DNSC), para petugas hanya bisa menyaksikan dengan tak berdaya saat peretas menyebar ke seluruh negeri melalui perangkat lunak medis yang populer.
Kepala keamanan siber Dan Cimpean menghadapi keputusan sulit, tetapi menurutnya itu satu-satunya pilihan yang ada.
Perintah pun dikeluarkan ke lebih dari 100 rumah sakit: putuskan koneksi internet, sekarang juga.
Serangan siber terhadap rumah sakit di Rumania pada Februari 2024 ini disebut sebagai salah satu yang terburuk yang pernah menargetkan sistem layanan kesehatan di dunia, meski insiden semacam ini semakin sering terjadi.
Layanan kesehatan kini menjadi sektor infrastruktur nasional kritis yang paling sering diserang, menurut FBI.
Memutus akses internet 100 rumah sakit di Rumania berhasil menghentikan laju peretas, memberi waktu untuk menilai tingkat kerusakan.
Namun langkah itu juga membuat tidak ada perangkat terhubung, email, atau peramban web yang bisa digunakan.
Staf medis terpaksa kembali ke metode manual menggunakan pena dan kertas, menciptakan cara-cara darurat untuk tetap melayani pasien sementara tim IT bekerja cepat dan pusat respons siber nasional menyelidiki bagaimana peretas masuk dan bagaimana menghentikannya.
Langkah mereka selama empat hari sejak 10 Februari 2024, bersama para dokter dan perawat, mendapat banyak pujian.
Cara mereka bereaksi dan bertahan kini menjadi studi kasus bagi perencana penanganan bencana di tingkat internasional, ketika otoritas mencari panduan menghadapi serangan siber massal di rumah sakit.
Ahli bedah Oana Goidescu sedang bertugas di Rumah Sakit Buzău, sekitar 120 km timur laut Bucharest, ketika peringatan muncul bahwa penyerang telah menyusup ke perusahaan perangkat lunak berbasis di Bucharest, RSC, dan masuk ke sistem medis yang banyak digunakan bernama Hippocrates.
“Pengalaman itu sangat tidak menyenangkan, karena catatan IT bukan hanya daftar pasien,” katanya. “Untuk setiap pasien, kami meminta tes laboratorium, radiologi, obat-obatan, dan persediaan. Semua itu hilang.”
Hippocrates digunakan oleh dokter, perawat, dan ahli bedah untuk mengelola berbagai hal mulai dari penerimaan pasien, logistik farmasi, hingga hasil tes dan penggajian.
Tanpa terdeteksi, para peretas mulai menginfeksi rumah sakit di seluruh negeri yang menggunakan sistem tersebut dengan varian ransomware bernama BackMyData. File-file mulai rusak menjadi tidak dapat dibaca, dan tuntutan tebusan diajukan dalam bentuk bitcoin.
Staf di Rumah Sakit Anak Pitești, barat laut Bucharest, menjadi yang pertama menyadari gangguan pada Minggu pagi, sehari setelah serangan dimulai.
Pada Senin pagi, banyak rumah sakit lain melaporkan bahwa sistem Hippocrates tidak berfungsi.
Ketika rumah sakit offline, para ahli siber bekerja sama dengan pengembang Hippocrates untuk menghitung seberapa luas infeksi terjadi dan mengusir peretas dari sistem.
Para dokter kemudian menciptakan prosedur darurat untuk melindungi pasien hingga sistem kembali pulih.
“Ketika kami melihat sistem tidak akan segera diperbaiki, kami mengembangkan metode offline agar setiap pasien tetap bisa didaftarkan,” kata Vlad Paic dari Rumah Sakit Carol Davila di Bucharest.
“Kami meminta laboratorium memberikan hasil di atas kertas. Kami menggunakan Excel dan alat offline lainnya agar pelayanan tidak terganggu.”
Sejumlah dokter mengatakan bahwa kembali ke proses manual terbantu oleh transisi digital Rumania yang relatif masih baru.
Para penyelidik siber bekerja sepanjang malam dan menemukan bahwa 26 rumah sakit telah terinfeksi BackMyData.
Keesokan harinya, rumah sakit yang tidak terinfeksi mulai dikembalikan ke sistem online dengan perlindungan tambahan.
DNSC menyebut salah satu kunci keberhasilan operasi ini adalah penggunaan media untuk berkomunikasi dengan rumah sakit dan publik.
Pesan publik meminta pasien untuk tidak datang ke rumah sakit kecuali benar-benar diperlukan.
Namun ruang tunggu tetap penuh, dan Goidescu mengatakan sebagian pasien yang frustrasi melampiaskan kemarahan kepada staf medis.
“Kami ditanya, ‘Bagaimana jika itu ibu Anda?’ Mereka memang berhak marah, tetapi kami mencoba menjelaskan bahwa kami bukan penyebabnya,” katanya.
Pesan penting lainnya adalah agar rumah sakit tidak berkomunikasi dengan peretas atau membayar tebusan.
Para penyerang menuntut 160.000 euro (sekitar £138.000; US$183.000) dalam bitcoin, tetapi pemerintah memutuskan untuk tidak membayar.
Di rumah sakit yang masih offline, tim IT berpacu memulihkan sistem dari cadangan data.
Sebagian besar memiliki salinan data yang relatif baru, yang menjadi pelajaran penting: backup rutin memungkinkan pemulihan lebih cepat.
Dalam lima hari, sebagian besar rumah sakit kembali online dan beroperasi hampir normal, tanpa laporan kematian atau cedera serius pada pasien.
Namun diperlukan beberapa minggu tambahan untuk memasukkan kembali data yang dicatat secara manual selama gangguan tersebut, dan sebagian data hilang permanen.
Kepolisian belum memberikan komentar mengenai penyelidikan siapa pelaku serangan tersebut.
Namun tahun lalu, situs kelompok ransomware yang terkait dengan BackMyData ditutup dalam operasi internasional.
Empat warga negara Rusia ditangkap di luar Rusia, yang pemerintahnya tidak bekerja sama dengan penegak hukum Barat.
Cimpean mengatakan serangan seperti ini bisa terjadi di mana saja.
“Semakin banyak teknologi dan digitalisasi, semakin besar risikonya,” katanya.
Tahun lalu, layanan kesehatan Inggris NHS mengonfirmasi bahwa peretasan pada perusahaan pengujian darah yang berdampak pada sekitar selusin pusat medis di London berkontribusi pada kematian seorang pasien.
Itu menjadi kasus pertama kematian yang secara resmi dikaitkan dengan serangan siber.
Pada periode yang sama, Change Healthcare di AS juga diretas, menyebabkan gangguan luas, dan perusahaan tersebut membayar tebusan sebesar 22 juta dolar AS kepada peretas.
Peretas juga menyebabkan kekacauan pada akhir tahun di penyedia layanan kesehatan AS lainnya, Ascension.
Alina Bîzgă dari perusahaan keamanan siber Bitdefender di Bucharest mengatakan bahwa rumah sakit menjadi target menarik bagi pelaku kejahatan yang mencari keuntungan dari kekacauan.
“Rumah sakit menangani layanan kritis, dan para penjahat berpikir bahwa semakin besar gangguan yang bisa dibuat, semakin besar kemungkinan mereka dibayar tebusan,” katanya.
