Atak ransomware na ChipSoft zakłócił działanie systemów EHR w szpitalach w Holandii i Belgii - Security Bez Tabu

Atak ransomware na ChipSoft zakłócił działanie systemów EHR w szpitalach w Holandii i Belgii

Cybersecurity news

Wprowadzenie do problemu / definicja

Atak ransomware na firmę ChipSoft, dostawcę oprogramowania dla sektora ochrony zdrowia, doprowadził do zakłóceń w działaniu usług elektronicznej dokumentacji medycznej oraz portali pacjenta używanych przez szpitale w Holandii i Belgii. Incydent pokazuje, jak duże znaczenie ma cyberodporność dostawców technologii medycznych i jak szybko problem po stronie jednego podmiotu może przełożyć się na funkcjonowanie wielu placówek jednocześnie.

W przypadku środowisk medycznych skutki takich zdarzeń wykraczają poza typowe problemy operacyjne. Niedostępność usług cyfrowych może utrudniać komunikację z pacjentami, ograniczać dostęp do danych klinicznych i zwiększać obciążenie personelu, który musi przejść na procedury awaryjne.

W skrócie

Do ataku doszło 7 kwietnia 2026 roku. W odpowiedzi na incydent ChipSoft wyłączył część usług i połączeń do wybranych komponentów swojego ekosystemu, w tym elementów związanych z portalem opieki, mobilnym dostępem do platformy HiX oraz środowiskiem integracyjnym.

  • zakłócenia objęły portale pacjenta i wybrane usługi online,
  • problemy dotknęły placówki w Holandii i Belgii,
  • szpitale wdrażały obejścia organizacyjne i procedury awaryjne,
  • nie potwierdzono publicznie całkowitego zatrzymania krytycznych procesów opieki,
  • nadal analizowany jest potencjalny wpływ incydentu na poufność danych.

Kontekst / historia

ChipSoft należy do najważniejszych dostawców rozwiązań IT dla ochrony zdrowia na rynku holenderskim. Systemy tej firmy wspierają prowadzenie elektronicznej dokumentacji medycznej, komunikację z pacjentami, obsługę procesów administracyjnych i integrację z usługami online. Taka pozycja rynkowa oznacza jednocześnie wysokie ryzyko koncentracji.

Jeżeli jeden producent odpowiada za istotną część cyfrowego zaplecza szpitali, jego kompromitacja może uruchomić efekt kaskadowy. Właśnie taki scenariusz ujawnił incydent ChipSoft, który objął nie tylko placówki w Holandii, lecz także wybrane podmioty w Belgii. Zakłócenia transgraniczne potwierdzają, że ryzyko łańcucha dostaw w sektorze medycznym ma wymiar praktyczny, a nie wyłącznie teoretyczny.

Po wykryciu ataku rozpoczęto działania koordynacyjne z udziałem wyspecjalizowanych podmiotów wspierających cyberbezpieczeństwo ochrony zdrowia. Organizacje korzystające z rozwiązań dostawcy zostały poinformowane o konieczności zachowania podwyższonej ostrożności, monitorowania ruchu sieciowego i ograniczania wybranych połączeń do czasu zakończenia działań naprawczych.

Analiza techniczna

Na obecnym etapie nie ujawniono pełnych informacji o wektorze wejścia ani o konkretnej rodzinie ransomware wykorzystanej w ataku. Wiadomo jednak, że po wykryciu incydentu podjęto decyzję o odłączeniu części usług i integracji, aby zminimalizować ryzyko dalszej propagacji zagrożenia oraz ograniczyć możliwość nieautoryzowanego dostępu.

Z technicznego punktu widzenia taki model reakcji odpowiada standardowym praktykom stosowanym po wykryciu ransomware w środowiskach wysokiego ryzyka. Obejmuje on przede wszystkim szybkie odizolowanie usług wystawionych na zewnątrz, ograniczenie integracji między klientami a dostawcą, rotację poświadczeń oraz etapowe przywracanie systemów po potwierdzeniu ich integralności.

Szczególnie istotny jest wpływ na platformę HiX i usługi powiązane z dostępem mobilnym oraz portalami pacjenta. Jeżeli środowisko producenta pełni rolę centralnego punktu integracyjnego, jego kompromitacja może wymusić jednoczesne wyłączenie wielu kanałów obsługi. W praktyce oznacza to problemy z dostępem do historii leczenia, terminów wizyt, komunikacji z placówką i innych funkcji samoobsługowych.

Nie można też wykluczyć scenariusza podwójnego wymuszenia, w którym szyfrowaniu systemów towarzyszy wcześniejsza eksfiltracja danych. W przypadku EHR byłby to wariant szczególnie groźny, ponieważ obejmuje informacje o wysokiej wrażliwości, takie jak dane medyczne, identyfikacyjne i potencjalnie rozliczeniowe.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem incydentu była utrata dostępności części usług cyfrowych. Nawet jeśli podstawowe procesy kliniczne zostały utrzymane, zakłócenia w obszarze EHR i portali pacjenta oznaczają wyraźny wzrost kosztów operacyjnych i większe obciążenie zespołów administracyjnych oraz wsparcia.

  • Ryzyko operacyjne: opóźnienia w obsłudze pacjentów, większa liczba procesów manualnych, przeciążenie infolinii i personelu.
  • Ryzyko dla bezpieczeństwa informacji: możliwość uzyskania nieautoryzowanego dostępu do danych medycznych i osobowych.
  • Ryzyko regulacyjne: potencjalne obowiązki notyfikacyjne związane z incydentem i ewentualnym naruszeniem ochrony danych.
  • Ryzyko łańcucha dostaw: zależność wielu podmiotów od jednego dostawcy zwiększa skalę skutków pojedynczego ataku.
  • Ryzyko reputacyjne: spadek zaufania pacjentów do kanałów cyfrowych i jakości obsługi online.

Sektor ochrony zdrowia pozostaje atrakcyjnym celem dla operatorów ransomware, ponieważ każda przerwa w działaniu zwiększa presję na szybkie przywrócenie systemów. Atak na dostawcę oprogramowania medycznego bywa szczególnie skuteczny z perspektywy przestępców, gdyż umożliwia jednoczesne zakłócenie pracy wielu organizacji bez konieczności oddzielnego włamywania się do każdej z nich.

Rekomendacje

Incydent ChipSoft powinien skłonić zarówno szpitale, jak i dostawców technologii medycznych do ponownej oceny odporności na ransomware oraz ryzyko wynikające z zależności od partnerów zewnętrznych.

  • Segmentacja integracji: połączenia z dostawcami powinny być logicznie wydzielone i stale monitorowane.
  • Zasada najmniejszych uprawnień: dostęp do interfejsów, API i kont integracyjnych należy ograniczyć do niezbędnego minimum.
  • Rotacja poświadczeń: po incydencie trzeba resetować hasła, wymieniać tokeny, klucze API i certyfikaty.
  • Monitoring IOC i anomalii: zespoły bezpieczeństwa powinny analizować logi VPN, EDR, proxy i systemów integracyjnych pod kątem oznak ruchu bocznego oraz eksfiltracji.
  • Plany ciągłości działania: placówki muszą mieć gotowe procedury przejścia na tryb manualny w przypadku niedostępności EHR.
  • Ocena dostawców: umowy powinny uwzględniać wymagania dotyczące MFA, segmentacji, raportowania incydentów i testów odtworzeniowych.
  • Backup i testy odtwarzania: kopie zapasowe powinny być odseparowane, odporne na modyfikację i regularnie weryfikowane.
  • Ćwiczenia scenariuszowe: warto testować nie tylko lokalne incydenty ransomware, ale również kompromitację kluczowego dostawcy EHR.

Podsumowanie

Atak ransomware na ChipSoft to kolejny dowód na to, że ochrona zdrowia pozostaje jednym z najbardziej wrażliwych sektorów z punktu widzenia cyberzagrożeń. Nawet częściowa kompromitacja dostawcy może przełożyć się na szerokie zakłócenia operacyjne, obejmujące wiele placówek i więcej niż jeden kraj.

Najważniejsza lekcja z tego incydentu dotyczy ryzyka koncentracji oraz zależności od wspólnych platform medycznych. Organizacje korzystające z systemów EHR powinny rozwijać odporność operacyjną, wzmacniać nadzór nad relacjami z dostawcami i przygotowywać procedury na wypadek sytuacji, w której problem partnera technologicznego staje się problemem całego ekosystemu ochrony zdrowia.

Źródła

  1. Security Affairs — https://securityaffairs.com/190615/cyber-crime/ransomware-attack-on-chipsoft-knocks-ehr-services-offline-across-hospitals-in-the-netherlands-and-belgium.html
  2. Z-CERT: Ransomware-incident bij ChipSoft – UPDATE — https://z-cert.nl/actueel/nieuws/update-over-ransomware-incident-bij-chipsoft
  3. NOS: Bedrijf dat software levert voor patiëntendossiers aangevallen door hackers — https://nos.nl/artikel/2609548-bedrijf-dat-software-levert-voor-patientendossiers-aangevallen-door-hackers
  4. Anadolu Agency: Belgian hospital online services down after cyberattack — https://www.aa.com.tr/en/europe/belgian-hospital-online-services-down-after-cyberattack/3900819