Digitalizace přináší do zdravotnictví nejen vyšší kvalitu a efektivitu péče o pacienta, ale také stále větší kybernetická rizika. Nejen nemocnice čelí stále častěji hackerským útokům a krádeží pacientských dat, která se stávají jejich nejcennějším aktivem, přibývá. Rezort zdravotnictví proto ve spolupráci s NÚKIB připravuje systém řízení bezpečnosti informací a základní standardy kyberochrany, které chce postupně v českých zdravotnických zařízeních zavádět. To by mělo jít ruku v ruce se vzděláváním personálu i pacientů. Kybernetická ochrana vždy stojí a padá s nejslabším článkem, a tím je uživatel, shodli se účastníci konference Kyberbezpečnost ve zdravotnictví, kterou minulý týden v Brně uspořádala společnost Atos IT Solutions and Services.
V dnešní době stále se prohlubující digitalizace a elektronizace musí všechna zdravotnická zařízení počítat s tím, že se dříve či později stanou terčem kyberútoků. Pokud je ovšem hackeři již nenapadli. Pomůžeme-li si slovy klasika, mohou o tom vést spory, mohou s tím nesouhlasit, ale to je asi tak všechno, co s tím mohou dělat. „Jde o standardní druh kriminální činnosti, s níž je třeba zkrátka počítat. Stejně jako s jinými druhy kriminality,“ prohlásil minulý týden na konferenci ke kyberbezpečnosti ve zdravotnictví v Brně Vojtěch Vágner z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
V nedávné době zažila i Česká republika případy, kdy kyberútok vyřadil z provozu nemocnici. Došlo nejen k omezení péče, ale i finančním škodám, které v případě velkých zařízení dosahují až stovek milionů korun. Známý případ útoku proti nemocničním serverům v německém Düsseldorfu z poloviny září 2020 pak ukázal, že v důsledku kolapsu informačních systémů může dojít i k úmrtí pacienta.
Přesto ještě před dvěma až třemi roky byla podle Vágnera kybernetická bezpečnost ve zdravotnictví tématem, které se sice vnímalo jako důležité, ale prakticky se nic nedělo. „Teprve útoky během covidové pandemie ukázaly, že tu máme instituce, kde stát garantuje poskytování určité služby, ale ony tu službu zkrátka nejsou vždy připraveny poskytnout,“ popisuje. Tehdy se podle něj naplno ukázalo, jak jsou zdravotnická zařízení na ICT technologiích závislá. „Přitom se do té doby našly dokonce nemocnice, které tvrdily, že ICT nepotřebují a počítače nepoužívají,“ kroutí hlavou Vágner.
Poddimenzovaná kyberochrana
Zdravotnická zařízení nicméně představují velmi komplexní, veřejnosti prakticky neustále otevřené prostředí, s velkým pohybem lidí, množstvím dodavatelů a různorodou informační infrastrukturou. Nastavit jejich bezpečnost tak, aby nekomplikovala zdravotníkům práci, kdy často rozhodují vteřiny, není rozhodně nic jednoduchého.
Po hackerských útocích na nemocnici v Benešově v prosinci 2019 a Fakultní nemocnici v Brně a Psychiatrickou léčebnu v Kosmonosích v následujícím roce vydal NÚKIB první metodiku určenou pro zdravotnická zařízení. Nabídl jim také svoji podporu formou konzultací, školení nebo prováděním skenů a monitoringů zranitelnosti. V šestnácti nemocnicích spadajících pod zákon o kyberbezpečnosti provedl bezpečnostní audit.
„ICT a kybernetická bezpečnost je ve zdravotnických zařízeních stále poddimenzovaná. Chybí sjednocující koncepce a standardy, a to jak v rámci architektury, tak v rámci zabezpečení. Zařízení mohou vycházet z best practice, ale nemají na to znalosti, personál, finance a ani motivaci, tedy povinnost, “ vypočítává Vojtěch Vágner hlavní nedostatky. Připouští však, že s ohledem na různorodost poskytovatelů zdravotní péče a jejich zřizovatelů nebude nastavení takové koncepce a standardů nic jednoduchého. „Detailní požadavky univerzálně platné pro všechny stanovit určitě nelze,“ dodal.
Povinnosti přibývají a přibývat budou
Povinnosti vyplývající ze zákona o kybernetické bezpečnosti č. 181/2024 platily ještě do konce loňského roku pro šestnáctku největších nemocnic, které byly označeny za poskytovatele tzv. základní služby. Zařadily se sem především fakultní nemocnice, ale také některá velká krajská zařízení jako například ta ve Zlíně, Liberci, Ústí nad Labem nebo v Českých Budějovicích. Od ledna letošního roku se tato skupina rozrostla o dalších 28 zařízení.
Pod zákon mimochodem spadají i některé rezortní informační systémy, jako je Národní zdravotnický informační systém NZIS, vedený Ústavem zdravotnických informací a statistiky ČR, a centrální úložiště e-receptů nebo registr zdravotnických prostředků Státního ústavu pro kontrolu léčiv. Od letošního roku pak přibyly například i informační systémy všech čtrnácti krajských hygienických stanic.
„A rozsah povinných subjektů se ještě rozšíří, až začne platit nová směrnice NIS 2 (směrnice EU o zavedení vysoké úrovni kyberochrany napříč EU, v účinnost by měla vstoupit v příštím roce – pozn.red.). Předpokládáme, že pod regulaci spadne něco mezi dvěma až třemi stovkami subjektů ze zdravotnictví,“ upozorňuje Vít Lidinský z ministerstva zdravotnictví.
Tato směrnice mj. zavádí povinnost provést analýzu rizik jako nezbytné podmínky pro čerpání veřejných peněz na investice do informační bezpečnosti, následované zavedením příslušných opatření k řízení rizik ohrožujících bezpečnost sítí a informačních systémů.
Resort chystá povinné standardy
Resort zdravotnictví má od loňského srpna svoji strategii kybernetické bezpečnosti do roku 2025, k níž letos v dubnu přibyl i akční plán. Jedním z jeho cílů je zavést systém řízení bezpečnosti informací jako povinnou součást řízení všech poskytovatelů zdravotních služeb a dále zakotvit odpovědnost managementu za kybernetickou bezpečnost ve vazbě na dodržování minimálních standardů. „Není ještě jasné, jakou formou tato povinnost bude stanovena. Ale stanovena bude,“ zdůrazňuje Lidinský.
Ministerstvo chce dále definovat minimální technický standard a úroveň kybernetické ochrany a určit okruh subjektů, které je budou muset dodržovat. „První ze standardů máme nyní v připomínkovém kolečku. Vychází z Minimálního bezpečnostního standardu vydaném NÚKIBem pro organizace, které nespadají pod zákon o kyberbezpečnosti. Chtěli bychom jej vydat v létě. Pak ještě přibude doporučující standard pro poskytovatele zdravotních služeb do deseti zaměstnanců,“ upřesňuje Lidinský. A dodává, že na podzim vyjde další standard pro ty poskytovatele, kteří se budou připojovat k Informačnímu a datovému resortnímu rozhraní (IDRR). „Ty budou rozlišeny podle typu subjektu,“ dodává.
S tím vším má jít podle Lidinského ruku v ruce i vznik a rozvoj resortního vzdělávacího programu v oblasti kyberochrany, který půjde jak za příslušnými experty, tak za zdravotníky a veřejností. Počítá se také s technickou a metodickou podporou subjektů zapojených do procesu elektronizace a digitalizace zdravotnictví. Samostatným tématem je pak bezpečnost zdravotnických prostředků a definice rámce pro jejich posuzování. „Připravili jsme pilotní projekt v Plzni s využitím izraelského software, který by měl být schopen tyto prostředky detekovat, rozčlenit a zhodnotit. Uvidíme, jak to proběhne, a pokud to vyjde, rádi bychom výsledky zobecnili a vydali jako metodický standard,“ popisuje Lidinský.
Finanční podporu na své resortní cíle i dílčí projekty jednotlivých zdravotnických zařízení chce ministerstvo čerpat z prostředků Národního plánu obnovy a Integrovaného operačního programu (podrobně jsme rozebrali zde).
Co dělat, abyste nemuseli vyjednávat
Vojtěch Vágner z NÚKIB upozorňuje, že mezi nejčastějšími vektory kyberútoku jsou tzv. phishingové emaily, které bývají spojené s odcizením přihlašovacích údajů a jejich následným zneužitím.„Kybernetická ochrana vždy stojí a padá s tím nejslabším článkem. A tím ve většina případů bývá uživatel,“ zdůrazňuje Vágner. „Útoky ale mohou být vedeny i přes nezabezpečené veřejné dostupné služby z internetu, přes špatně zabezpečené wi-fi prostřednictvím neautorizovaného přístupu k vnitřní síti či přes osobní zařízení a notebooky,“ popisuje.
Mezi základní pravidla kyberochrany patří podle něj správné nastavení obnovitelných záloh (pravidlo 3-2-1 – nejméně tři kopie na dvou různých zařízeních, z toho jedno mimo organizaci, minimálně jedna záloha musí být neaktivní), rozdělení sítě do více segmentů s různým přístupem, pravidelná aktualizace systémů, minimalizace otevřených služeb, bezpečné nastavení uživatelských účtů a hesel,logů nebo pravidelný monitoring infrastruktury včetně detekce anomálií. Nezbytné je také nastavit krizový plán, včetně postupu při reakci na útok a obnově systému, plán minimalizace dopadů případného útoku na chod organizace a také plán komunikace. To vše musí doprovázet pravidelná školení všech uživatelů s tím, že management musí jít příkladem, upozorňuje Vágner.
„Je to o systematičnosti, důslednosti a řízení rizik. A stejně nikdy nemůžete vyloučit, že se něco stane,“ komentuje to Vladimír Lazecký ze společnosti VIAVIS a.s., která se zabývá poradenstvím v oblasti kybernetické bezpečnosti. Její odborníci mají konkrétní zkušenosti s řešením kyberútoků a také vyjednáváním s hackery o výkupném. Podle Lazeckého došlo v roce 2021 obecně k dramatickému nárůstu kyberútoků. „V devadesáti procentech proto, že sama oběť o sobě komunikovala svoji zranitelnost. A v polovině případů bylo nutné vyjednávat. Někdy se zkrátka ocitnete v situaci, že vám nic jiného nezbývá,“ konstatuje Lazecký.
A upozorňuje, že ve většině případů byli hackeři v síti již dlouhou dobu předtím, než byl útok detekován. Důležité podle něj také je, aby napadený subjekt hned po útoku nepřistoupil k obnově systémů. „Je totiž nutné zajistit stopy po útočnících. Takové důkazy si žádá i policie,“ vysvětluje. A pokud už se oběť útoku rozhodne přistoupit na výkupné, doporučuje Lazecký postupovat po částech, tedy zaplatit nejprve malou částku za část obnovených dat. „Tím si ověříte, že útočník je data schopen poslat a dešifrovat,“ konstatuje a dodává: „Stejně tak je dobré neakceptovat podmínky útočníků hned na první dobrou a ani nedávat najevo, že nemám zálohy.“
Klíčové slovo důvěra
„Tak si to shrneme z globálního pohledu. Fiskální hodnota škod způsobených zdravotnickým společnostem kyberútoky na konci roku 2020 se odhaduje na šest miliard dolarů. Nemocnice jsou odpovědné za třicet procent všech úniků dat. 34 procent porušení ochrany pacientských údajů pochází z neoprávněného přístupu nebo zveřejnění. Na darknetu je průměrná cena zdravotního záznamu pacienta 26 dolarů,“ vypočítává rychle za sebou Marek Ertinger, pre-sales konzultant pro zdravotnictví a farmacii z britské pobočky společnosti Atos, která se specializuje zajištění kybernetické bezpečnosti svých klientů. „Nejslabším článkem jsou lidé. A nejhodnotnějším produktem data,“ dodává k tomu.
Ertinger upozorňuje, že zdravotnický personál má často problém s bezpečným sdílením údajů a používá nepovolené aplikace. „Chybné doručování dokumentů bývá tou nejčastější chybou,“ konstatuje. Při promýšlení digitalizace nemocnice a zároveň zajištění její kyberochrany tak nesmí její vedení nikdy pouštět ze zřetele procesy, které jsou v nemocnice nastaveny.
„Data se stávají strategickým aktivem. Možná ne dnes, ne zítra, ale již velmi brzy si pacienti budou vybírat zdravotnické zařízení nikoli podle primáře, ale podle toho, jak pracuje s daty, jak je chrání a jak spolehlivá a udržitelná je péče, kterou poskytuje. To klíčové slovo bude důvěra,“ dodává na závěr Ertingerův kolega a bezpečnostní ředitel české pobočky Atosu Tomáš Hlavsa.
Helena Sedláčková