Evropská komise zkraje tohoto roku představila nový akční plán pro kybernetickou bezpečnost poskytovatelů péče, který cílí nejen na nemocnice, ale na celý zdravotnický sektor. Dokument obsahuje 42 návrhů zaměřených na prevenci, detekci, reakci na incidenty a odstrašení kybernetických útoků a plánuje vytvoření kyberbezpečnostního centra pro zdravotnictví na unijní úrovni. Jak plán hodnotí Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)? A jaký je nejslabší článek kybernetické ochrany tuzemských nemocnic?
Evropský akční plán reaguje na rostoucí kybernetické hrozby, jako je například ransomware, což je typ útoku, při němž útočníci zpravidla zašifrují a exfiltrují data napadeného subjektu a následně žádají výkupné za dešifrování či navrácení odcizených dat. Dokument tak má za cíl posílit ochranu nemocnic a poskytovatelů zdravotní péče prostřednictvím iniciativ zaměřených na prevenci, detekci, reakci na incidenty a odstrašení kybernetických útoků. Toho chce dosáhnout mimo jiné vytvořením nového podpůrného kyberbezpečnostního centra pro zdravotnictví v rámci EU nebo financováním některých bezpečnostních opatření z unijních prostředků.
Důraz je kladen i na zlepšení sdílení informací a schopnosti detekce – tedy posílení toho, že nemocnice nebo poskytovatel zdravotní péče vůbec zjistí, že na něj někdo v kyberprostoru útočí. Celkem obsahuje 42 návrhů, které by měly být prováděny jak na úrovni Unie, tak na úrovni konkrétního státu.
Pozor na zahlcení systému
NÚKIB ve spojitosti s aplikací mechanismů kybernetické bezpečnosti poukazuje na jeden důležitý aspekt. „Je důležité soustředit se na zlepšování stavu kybernetické bezpečnosti zdravotnického sektoru. Musí to však musí probíhat postupně, jinak bude už tak vytížený sektor zahlcen,“ uvedl úřad pro Zdravotnický deník s tím, že zaměření Plánu specificky na zdravotnický sektor se rovněž odchyluje od dosavadního důrazu na horizontální přístup ke kyberbezpečnostní regulaci.
Je důležité zmínit, že akční plán je nelegislativní povahy, což znamená, že zapojení do něj je dobrovolné. Neznamená to však, že by se jinak kybernetická bezpečnost neřešila. Členské státy včetně České republiky již v současné době pracují na transpozici směrnice NIS 2 (směrnice EU o zavedení vysoké úrovni kyberochrany napříč EU, pozn. red.), která pamatuje i na zdravotnický sektor a označuje ho za jeden z vysoce kritických. „Směrnici v České republice transponuje NÚKIB prostřednictvím nového zákona o kybernetické bezpečnosti, který aktuálně projednává Parlament,“ doplňuje NÚKIB, který proto podle svých slov vítá, že Akční plán zůstává na bázi dobrovolnosti a nepředstavuje podnět k nové legislativní činnosti.
Mohlo by vás zajímat
Úřad rovněž pozitivně vnímá to, že by poskytovatelé mohli díky Akčnímu plánu za pomoci unijních fondů posílit svou kybernetickou bezpečnost. „Akční plán se totiž dívá nejen na informační systémy, ale také na bezpečnost operačních technologií, které jsou typické pro zdravotnický sektor. Obsahuje například i návrh na zavedení kyberbezpečnostních voucherů pro mikro, malé a středně velké nemocnice a poskytovatele zdravotní péče,“ oceňuje NÚKIB na evropském dokumentu.
Slabým článkem je člověk
Část iniciativ Plánu se také věnuje vzdělávání zdravotnických pracovníků v oblasti kybernetické bezpečnosti. „Pokud by v celé EU byly například vytvořeny online kurzy určené pro pracovníky zdravotnického sektoru či doporučení k základům kyberbezpečnostní hygieny, věříme, že by to napomohlo ke zvyšování úrovně kybernetické bezpečnosti, a to nejen v tomto sektoru,“ dodává úřad.
Kybernetická osvěta je v prostředí, kdy dochází ke stále sofistikovanějším útokům, zásadní. Klíčovým faktorem totiž zůstává lidský faktor. „Nejslabším článkem kybernetické bezpečnosti byl, je a bude samotný uživatel,“ uvádí jednoznačně NÚKIB, který se sám z tohoto důvodu zaměřuje na osvětu a vzdělávání. „Útočníci se neustále zdokonalují a je potřeba být v obraze, abychom se nestali obětí,“ říká úřad, který nabízí zdravotníkům i široké veřejnosti online kurzy zdarma. Tyto vzdělávací aktivity mají pomoci lidem rozpoznat kybernetické hrozby, jako jsou podvodné telefonáty nebo phishingové e-maily, které patří mezi nejrozšířenější metody útoků.
Například jejich kurzu Dávej kyber!, určenému pro zdravotnictví, se každý rok daří zvyšovat počet proškolených uživatelů, a to téměř dvojnásobně. Úřad však doporučuje absolvovat kurz opakovaně, neboť kyberútoky se vyvíjejí. „Útoky jsou stále sofistikovanější a zdokonalují se i techniky kyberútočníků. Kybernetická bezpečnost není stav, ale proces, a je potřeba se neustále vzdělávat.“
Za poslední rok evidoval NÚKIB v sektoru zdravotnictví necelé tři desítky incidentů. Velkou část tvořily výpadky, které nemusely být způsobeny útočníky, několik případů však zahrnovalo úspěšné průniky do systémů nemocnic. „Nejrozšířenější formou kybernetického útoku, se kterou se organizace ve zdravotnickém sektoru běžně setkávají, zůstává i nadále phishing,“ potvrzuje NÚKIB. Mnozí útočníci spoléhají na lidskou chybu a lákají zaměstnance k otevření podvodných e-mailů či odkazů, které mohou vést k odcizení citlivých údajů nebo instalaci škodlivého softwaru, jako je ransomware. Ten zašifruje data a útočníci následně požadují výkupné za jejich odšifrování.
Otazníky k implementaci
Evropský akční plán NÚKIB hodnotí jako ambiciózní, upozorňuje však, že část návrhů je popsána jen stručně a předpokládaný harmonogram bude velmi těžké dodržet. „Akční plán ještě bude předmětem diskuzí. Těch se jako NÚKIB ve spolupráci s Ministerstvem zdravotnictví hodláme účastnit, protože je z našeho pohledu nutné vyjasnit, jak by představené návrhy měly být provedeny,“ dodává závěrem k implementaci úřad.
