Serangan siber yang melumpuhkan sistem komputer di lebih dari 100 rumah sakit di Rumania pada Februari 2024 lalu memaksa para tenaga medis untuk kembali menggunakan metode manual, yakni kertas dan pena. Keputusan drastis ini diambil oleh Pusat Keamanan Siber Nasional Rumania (DNSC) untuk menghentikan penyebaran malware yang mengancam kelangsungan layanan kesehatan vital. Serangan ini menjadi salah satu insiden terburuk yang pernah menargetkan sistem kesehatan di seluruh dunia, menggarisbawahi kerentanan sektor ini terhadap ancaman siber yang terus meningkat.
Direktur Keamanan Siber Nasional Rumania, Dan Cimpean, dihadapkan pada keputusan sulit ketika jaringan komputer rumah sakit mulai terinfeksi secara berantai. Malware yang menyebar melalui perangkat lunak medis populer bernama Hippocrates, yang dikembangkan oleh perusahaan lokal RSC, dengan cepat melumpuhkan sistem di berbagai fasilitas kesehatan. Kepanikan menyelimuti pusat komando siber saat mereka menyaksikan penyebaran yang masif. Sebagai respons, Cimpean memerintahkan pemutusan koneksi internet untuk lebih dari 100 rumah sakit.
Langkah isolasi ini, meskipun menghentikan laju peretas, berarti seluruh perangkat yang terhubung ke internet, termasuk email dan peramban web, tidak dapat diakses. Para profesional medis terpaksa beradaptasi dengan cepat, mengandalkan metode pencatatan manual menggunakan kertas dan pena. Sementara tim IT berjuang keras untuk memulihkan sistem dan mengidentifikasi celah keamanan, pusat respons siber nasional bekerja tanpa henti untuk memahami bagaimana peretas berhasil masuk dan bagaimana cara menghentikan mereka.
Operasi penanggulangan yang dilakukan selama empat hari, mulai 10 Februari 2024, mendapat pujian luas dari berbagai pihak. Kemampuan para dokter, perawat, dan staf pendukung untuk beradaptasi dan memastikan kelangsungan perawatan pasien di tengah krisis menjadi studi kasus penting bagi para perencana bencana internasional. Mereka kini mencari panduan mengenai cara merespons serangan siber skala besar yang menargetkan rumah sakit.
Salah satu rumah sakit yang terdampak adalah Rumah Sakit Buzău, yang berlokasi sekitar 120 kilometer di timur laut Bucharest. Dr. Oana Goidescu, seorang ahli bedah yang sedang bertugas saat serangan terjadi, menggambarkan pengalaman tersebut sebagai hal yang "sangat tidak menyenangkan." Ia menjelaskan bahwa catatan IT bukan sekadar daftar pasien, melainkan integral dengan permintaan tes laboratorium, radiologi, obat-obatan, dan pasokan. Semua data tersebut lenyap akibat serangan.
Perangkat lunak Hippocrates sendiri digunakan secara luas oleh dokter, perawat, dan ahli bedah untuk mengelola berbagai aspek operasional rumah sakit, mulai dari penerimaan pasien, penggajian, logistik farmasi, hingga hasil tes medis. Tanpa disadari, para penyerang siber telah menyebarkan varian ransomware bernama BackMyData ke rumah sakit-rumah sakit yang menggunakan sistem ini. File-file pasien diacak menjadi format yang tidak dapat dibaca, dan tuntutan tebusan dalam bentuk bitcoin diajukan.
Staf di Rumah Sakit Anak Pitești, di barat laut Bucharest, menjadi pihak pertama yang mendeteksi adanya anomali pada sistem pada Minggu pagi, sehari setelah serangan dimulai. Menjelang Senin subuh, banyak rumah sakit lain melaporkan bahwa sistem Hippocrates mereka tidak berfungsi.
Dalam upaya untuk memulihkan sistem dan mengusir peretas, para ahli siber bekerja sama erat dengan pengembang perangkat lunak Hippocrates. Sementara itu, para dokter di rumah sakit yang terkena dampak harus menciptakan solusi darurat untuk tetap memberikan perawatan yang aman bagi pasien. Vlad Paic dari Rumah Sakit Carol Davila di Bucharest menyatakan, "Ketika kami menyadari sistem tidak akan segera diperbaiki, kami mengembangkan metode offline agar kami dapat mencatat setiap pasien. Kami meminta laboratorium untuk memberikan hasil dalam bentuk kertas. Kami menggunakan Excel dan alat offline lainnya untuk memastikan perawatan tidak terpengaruh."
Beberapa tenaga medis mengakui bahwa kembalinya ke metode analog dibantu oleh transisi Rumania yang relatif baru ke sistem digital. Hal ini memudahkan mereka untuk beradaptasi kembali dengan proses manual. Tim investigasi siber bekerja semalaman dan mengidentifikasi bahwa 26 rumah sakit terinfeksi oleh BackMyData.
Keesokan harinya, rumah sakit yang belum terinfeksi diaktifkan kembali secara online dengan lapisan perlindungan tambahan. DNSC menyatakan bahwa salah satu kunci keberhasilan operasi ini adalah pemanfaatan media untuk berkomunikasi dengan rumah sakit dan publik. Pesan publik disebarluaskan untuk mengimbau pasien agar menghindari rumah sakit kecuali dalam kondisi darurat. Namun, ruang tunggu tetap ramai, dan Dr. Goidescu melaporkan adanya pasien yang melampiaskan kekesalan mereka kepada staf medis. "Kami ditanya, ‘Bagaimana jika itu ibumu?’ Mereka berhak marah, tetapi kami mencoba menjelaskan bahwa kami tidak bersalah," ujarnya.
Pesan krusial lainnya yang disampaikan adalah imbauan agar rumah sakit tidak bernegosiasi atau membayar tebusan kepada peretas. Para penyerang menuntut uang tebusan sebesar 160.000 Euro, namun keputusan nasional diambil untuk tidak memenuhi tuntutan tersebut.
Di rumah sakit yang masih offline, tim IT berpacu untuk memulihkan sistem dari cadangan data. Kebanyakan rumah sakit memiliki salinan data yang relatif baru, sebuah pelajaran berharga yang menekankan pentingnya pencadangan data secara teratur untuk mempercepat pemulihan. Dalam waktu lima hari, sebagian besar rumah sakit berhasil kembali beroperasi normal, tanpa ada laporan kematian atau cedera serius pada pasien. Namun, dibutuhkan berminggu-minggu untuk memasukkan kembali semua informasi baru yang dicatat secara manual selama periode gangguan. Sebagian data ada yang hilang selamanya.
Pihak kepolisian enggan memberikan komentar mengenai perkembangan investigasi terhadap pelaku serangan. Namun, tahun sebelumnya, sebuah kelompok ransomware yang terkait dengan BackMyData pernah berhasil dilumpuhkan melalui operasi internasional, yang berujung pada penangkapan empat warga Rusia di luar negeri.
Dan Cimpean mengingatkan bahwa serangan semacam ini bisa terjadi di mana saja. "Semakin banyak teknologi yang Anda miliki, semakin terdigitalisasi Anda, semakin besar risikonya," katanya. Kasus di Rumania ini menambah daftar panjang insiden serangan siber terhadap sektor kesehatan global. Tahun lalu, layanan kesehatan NHS di Inggris mengonfirmasi adanya peretasan terhadap perusahaan tes darah yang berdampak pada selusin pusat medis di London, yang berkontribusi pada kematian seorang pasien – kasus pertama yang secara resmi dikaitkan dengan serangan siber.
Di Amerika Serikat, serangan terhadap Change Healthcare menyebabkan gangguan luas, dengan perusahaan dilaporkan membayar tebusan sebesar 22 juta dolar AS. Serangan lain terhadap penyedia layanan kesehatan AS bernama Ascension juga menyebabkan kekacauan. Alina Bâzgă dari perusahaan keamanan siber Bitdefender di Bucharest menjelaskan bahwa rumah sakit menjadi target menarik bagi penjahat siber karena mereka mengelola layanan kritis. "Penjahat berpikir bahwa semakin besar gangguan yang bisa ditimbulkan, semakin besar kemungkinan mereka mendapatkan uang tebusan," ujarnya. Insiden di Rumania ini menjadi pengingat yang kuat akan perlunya peningkatan pertahanan siber di sektor kesehatan di seluruh dunia.
