Όταν το Πανεπιστημιακό Νοσοκομείο της Φρανκφούρτης έγινε στόχος μεγάλης κυβερνοεπίθεσης, ο Σίμον Μάιερ, ορθοπεδικός χειρουργός και υπεύθυνος σχεδιασμού έκτακτης ανάγκης, κάθισε σε έκτακτη σύσκεψη με τη διοίκηση. Οι ομάδες IT είχαν εργαστεί ολονύχτια χωρίς αποτέλεσμα. Η απόφαση ήταν κρίσιμη: να αποσυνδέσουν το σύστημα από το διαδίκτυο.
«Έπρεπε να κόψουμε εντελώς τη σύνδεση του δικτύου με το ίντερνετ», θυμάται. «Δεν θέλαμε να δώσουμε σε κανέναν την ευκαιρία να πειράξει το σύστημα». Οι βάσεις δεδομένων πάγωσαν, οι γιατροί επέστρεψαν σε χαρτί και τηλέφωνο, ενώ επανειλημμένα ραντεβού ακυρώνονταν και επεμβάσεις αναβάλλονταν.
Περισσότερο από ενάμιση χρόνο μετά, το σύστημα δεν έχει ακόμα αποκατασταθεί πλήρως. Η πρόσβαση σε δίκτυα και βάσεις δεδομένων παραμένει περιορισμένη, ενώ βρίσκεται σε εξέλιξη δαπανηρή ανακατασκευή για την κάλυψη των ευπαθειών.
Νοσοκομεία υπό πολιορκία
Η επίθεση στη Φρανκφούρτη είναι μόνο μία από τις 309 κυβερνοεπιθέσεις που καταγράφηκαν στον τομέα της υγείας στην Ε.Ε. το 2023 — περισσότερες από κάθε άλλο κρίσιμο τομέα. Το κόστος κάθε σοβαρού περιστατικού φτάνει τα 300.000 ευρώ, ενώ σε περιπτώσεις λύτρων, οι απαιτήσεις κυμαίνονται στα εκατομμύρια.
Η απειλή δεν είναι μόνο οικονομική. Στο Ηνωμένο Βασίλειο, πρόσφατος θάνατος ασθενούς συνδέθηκε με καθυστέρηση αιματολογικού αποτελέσματος λόγω κυβερνοεπίθεσης. Ο γενικός διευθυντής του ΠΟΥ, Τέντρος Αντανόμ Γκεμπρεγεσούς, χαρακτήρισε τις επιθέσεις στον τομέα της υγείας ως «ζήτημα ζωής και θανάτου».
Κι όμως, παρά το μέγεθος της απειλής, τα νοσοκομεία επενδύουν λιγότερο στην κυβερνοασφάλεια από οποιονδήποτε άλλο κλάδο.
Για τους χάκερ, τα δεδομένα υγείας είναι χρυσωρυχείο. «Είναι εύκολο να τα κλέψεις και μεταπωλούνται σε υψηλές τιμές», λέει στο Politico ο καθηγητής Ψηφιακών Συστημάτων στο Πανεπιστήμιο Πειραιώς, Χρήστος Ξενάκης. Οι επιθέσεις με λυτρισμικό (ransomware) κυριαρχούν: κλείδωμα δεδομένων, απαίτηση λύτρων, κερδοφορία εις διπλούν.
Η ΕΝΙΣΑ έχει καταγράψει εκτεταμένες παραβιάσεις, με στοιχεία να πωλούνται στο dark web για κλοπές ταυτότητας, ασφαλιστικές απάτες ή εκβιασμούς. Σε επίθεση στο νοσοκομείο Clínic της Βαρκελώνης, οι δράστες ζήτησαν 4,5 εκατ. δολάρια — χωρίς να εισπράξουν τίποτα.
Εκτός από το οικονομικό κίνητρο, αυξάνονται και οι επιθέσεις «χακτιβισμού», όπως από φιλορωσικές ομάδες που επιδιώκουν να παραλύσουν τις υπηρεσίες.
Επικίνδυνη άγνοια και υποεκπαίδευση
Μόλις το 27% των νοσοκομείων διαθέτουν εξειδικευμένο πλάνο άμυνας, ενώ το 40% δεν παρέχει ούτε βασική εκπαίδευση στους εργαζόμενους εκτός IT. Ο Ξενάκης περιγράφει περιστατικό όπου βρέθηκε μόνος σε ιατρείο με ανοιχτούς υπολογιστές: «Αν ήθελα, θα μπορούσα να κάνω τα πάντα».
Η έλλειψη αντίληψης για την κυβερνοασφάλεια, η χαμηλή τεχνολογική εκπαίδευση και η υπερκόπωση του προσωπικού επιδεινώνουν την κατάσταση. «Το νοσοκομείο δεν είναι πυρηνικός σταθμός, είναι λιμάνι με εισόδους και εξόδους», λέει η χειρουργός Σαμπίνα Μαγκαλίνι από τη Ρώμη, που ηγήθηκε του ευρωπαϊκού προγράμματος PANACEA για την ενίσχυση της ασφάλειας.
Ακόμα κι αν υπάρξει εκπαίδευση, ο Ξενάκης τονίζει πως «σε ένα νοσοκομείο με 2.000 εργαζομένους, είναι βέβαιο ότι κάποιος θα πατήσει το λάθος link». Η τεχνητή νοημοσύνη έχει ήδη ενισχύσει τη δυσκολία ανίχνευσης των επιθέσεων, καθώς «οι κυβερνοαπάτες είναι πλέον στοχευμένες, σοφιστικέ και μαζικές».
Λύση, λέει, είναι τα έξυπνα συστήματα ανίχνευσης, όχι η επίρριψη ευθυνών στο προσωπικό. Παράλληλα, η Μαγκαλίνι επισημαίνει ότι οι συμβουλευτικές εταιρείες κυβερνοασφάλειας που συνεργάζονται με τα νοσοκομεία προέρχονται συχνά εκτός Ευρώπης — από ΗΠΑ, Καναδά ή Ρωσία. «Η Ευρώπη χρειάζεται δική της προσέγγιση», τονίζει.
Οι κυβερνήσεις υποεπενδύουν – και το πληρώνουν
Ο Ξενάκης υποστηρίζει ότι καμία ευρωπαϊκή χώρα δεν έχει επενδύσει σοβαρά. Στη Γερμανία, παρά την πληθώρα ρυθμίσεων, τα νοσοκομεία στερούνται εξοπλισμού όπως συστήματα έγκαιρης ανίχνευσης.
Το κόστος της αδράνειας είναι τεράστιο. Στην Ιρλανδία, επίθεση το 2021 στο δημόσιο σύστημα υγείας (HSE) κόστισε τουλάχιστον 101 εκατ. ευρώ, με επιπλέον 657 εκατ. να διατίθενται για θωράκιση. «Το κόστος δεν ήταν από τη ζημιά, αλλά από την ανάγκη ανακατασκευής με ασφαλή τρόπο», σχολιάζει η Μαγκαλίνι.
Ο Ιρλανδός γιατρός Ρέι Γουόλεϊ θυμάται: «Δεν μπορούσαμε να στείλουμε παραπομπές στα νοσοκομεία, ούτε να λάβουμε αποτελέσματα εξετάσεων. Κυριολεκτικά κόπηκε η ροή φροντίδας».
Απαντώντας στην κλιμάκωση, η Κομισιόν παρουσίασε στις αρχές του 2025 νέο «σχέδιο δράσης» για την κυβερνοασφάλεια στην υγεία: κέντρο υποστήριξης στην ΕΝΙΣΑ, υπηρεσία άμεσης επέμβασης και «κουπόνια κυβερνοασφάλειας» για μικρούς παρόχους.
«Είναι καλή αρχή», λέει ο Μάρκους Καλλιόλα από το Sitra της Φινλανδίας, «αλλά μπορούσε να είναι πιο φιλόδοξη». Ζητά να θεωρείται η κυβερνοασφάλεια θέμα εθνικής ασφάλειας, να ενταχθεί στην εκπαίδευση των υγειονομικών και να καθιερωθούν πανευρωπαϊκές ασκήσεις.
Το αν οι προτάσεις θα ενσωματωθούν στο τελικό σχέδιο της Ε.Ε., μένει να φανεί. Ωστόσο, όπως σημειώνει ο Καλλιόλα, «δεν υπάρχει χρόνος για χάσιμο – οι κανονισμοί πρέπει να γίνουν πράξη».
Με πληροφορίες από Politico
