Článek
Článek si také můžete poslechnout v audioverzi.
Když v březnu 2020 hackeři napadli FN Brno, jedna z největších nemocnic v Česku byla na několik dní paralyzována. Odkládala operace a složitě obnovovala některá důležitá digitální data. Množství kybernetických útoků na zdravotnická zařízení v Česku se od té doby ztrojnásobil.
Zvýšit kyberbezpečnost evropských nemocnic má za cíl směrnice Evropské unie, která dostala novou podobu letos v lednu. Přes devět set českých zdravotnických zařízení bude nově spadat pod zákon o kyberbezpečnosti. Dohlédne na ně Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Změna má začít platit v druhé polovině příštího roku. „Je v zájmu každého subjektu pohybujícím se v on-line prostředí mít svá data zabezpečená, o to víc to platí u zdravotnických zařízení, která disponují často citlivými daty svých pacientů,“ uvedl mluvčí úřadu pro kyberbezpečnost Marek Vala.
Podle oslovených nemocnic může problém představovat shánění nových kvalifikovaných IT techniků. „Nabírání nových IT pracovníků je ve zdravotnictví dlouhodobě náročné,“ uvedla například mluvčí Fakultní nemocnice Bulovka Eva Libigerová. Ta bude zařazena do skupiny zařízení, na něž budou kladeny vyšší požadavky.
Mluvčí fakultních nemocnic ale shodně uvádějí, že v obtížnější pozici budou nově zařazená pracoviště.
Většina nemocnic dosud neměla žádné povinnosti týkající se kyberbezpečnosti. „Specifická standardizace kybernetické ochrany pro zdravotnická zařízení není. Vycházeli jsme z obecných principů a již existujících doporučení Ministerstva zdravotnictví,“ vysvětlila mluvčí Karvinské hornické nemocnice Andrea Vargová.
Zavedení nových bezpečnostních opatření bude mít různou podobu, od technologií přes školení zaměstnanců až po nastavení systémů tak, aby byly schopné odolat kybernetickému útoku, nebo se v případě útoku vědělo, jak přesně postupovat.
Zařízení budou nově nahlašovat Národnímu úřadu pro kybernetickou a informační bezpečnost všechny bezpečnostní incidenty.
Celková specifika změn jsou ale stále nejasná, jelikož zákon je prozatím v připomínkovém řízení.
NÚKIB začal v roce 2018 dohlížet na prvních 16 nemocnic. Během pěti let pak stoupl jejich počet na 44. Tyto organizace budou nová bezpečnostní opatření implementovat jako doposud, dojde u nich pouze k drobným změnám.
Nemocnice se přetahují s bankami
Největší problém podle Libigerové představuje shánění odborníků. „Nabírání nových IT pracovníků je setrvale obrovský problém, který vyplývá z přebytku poptávky a nedostatku kvalitní nabídky na trhu práce,“ řekla.
Její slova potvrzuje vedoucí IT oddělení kolínské nemocnice Josef Nouzák. „Ajťáka na úřadu práce nepotkáte,“ prohlásil.
Nouzák rozděluje pracovníky IT do tří základních kategorií. První skupina řeší nejobyčejnější a nejčastější problémy. Druhou tvoří odborníci na lékařskou techniku.
Třetí skupinu tvoří elitní pracovníci, kteří mají na starosti právě síť. O ně je na trhu největší zájem. „Tyto specialisty se snaží přetáhnout banky či větší firmy, které jim třeba nabídnou víc,“ uvedl Nouzák.
Oproti bance jsou nemocnice v nevýhodě. Zatímco banky technologie častěji obměňují, u nemocnic to tak není. Nemocnice navíc jedná s více subjekty. „Banky mají svůj informační systém. Do systému nemocnic vstupuje více firem, například dodavatelé zdravotnické techniky,“ dodal.
Podle vedoucího ekonomicko-provozního oddělení kolínské nemocnice Romana Uhlíka je kromě kvalifikace třeba shánět důvěryhodné osoby, jelikož data nemocnic jsou choulostivá.
Libigerová doplnila, že vylepšování IT technologií nemocnice je nikdy nekončící proces. „Potenciální útočníci rovněž vyvíjejí neustále propracovanější systémy,“ dodala.
Kybernetických útoků přibylo násobně
Kybernetických útoků na zdravotnická zařízení jsou ročně desítky. Podle dat NÚKIBu mezi lety 2019 a 2020 stoupl počet bezpečnostních incidentů o 267 %, v roce 2021 pak o dalších 34 %. Celkově se tak počet kybernetických útoků oproti předcovidovým letům ztrojnásobil.
„V roce 2021 jsme měli 26 hlášených kybernetických incidentů, v následujícím roce byl počet podobný,“ uvedl mluvčí Vala.
„Často dochází k posílání phishingových mailů, které se snaží z uživatelů vymámit hesla,“ uvedl vedoucí IT oddělení kolínské nemocnice Nouzák. Dodal, že se snaží o hrozbě uživatele informovat.
Podle Nouzáka se jejich povědomí o kybernetických hrozbách lepší. Zároveň si management od útoku na benešovskou nemocnici před třemi lety uvědomuje důležitost IT oddělení.
„Oproti lékařům nebývá práce techniků viditelná. Když všechno dobře funguje, o IT ani nevíte,“ dodal.
Roman Uhlík z kolínské nemocnice dodává, že se síť snaží segmentovat. „Cílem je, aby v případě napadení byl zasažen jen malý úsek činnosti.“
Náklady i v milionech
Náklady se podle mluvčího NÚKIBu Valy špatně vyčíslují. Zatímco některé nově zahrnuté nemocnice budou muset investovat miliony, jiné by nemusely nic.
Odhady Evropské unie pro jeden zabezpečovací systém u veřejné instituce hovoří o částce v rozmezí 800 tisíc až 1,5 milionu korun. „Zatím neznáme finální znění zákona,“ zdůraznil Vala.
Třeba Oblastní nemocnice Kolín investuje podle Uhlíka do kyberbezpečnosti několik desítek milionů. Ještě vyšší čísla uvádí například uherskohradišťská nemocnice.
„Náklady na pořízení technologií se pohybují v řádech vyšších desítek milionů,“ uvedla mluvčí Lucie Sedláčková s tím, že na další miliony přijde udržení technologií v provozu a jejich doplňování. Prostředky na provoz podle jejího vyjádření musí nemocnice hradit z rozpočtu.
Některé nemocnice uvedly, že se finanční prostředky snaží čerpat z dotačních titulů. Jednou z nich je Thomayerova nemocnice. „Z vlastních zdrojů bychom požadavky pokrýt nedokázali,“ vysvětlil její mluvčí Petr Sulek.
Směrnice NIS2
- Směrnice NIS2 je klíčová legislativa Evropské unie, která má posílit kybernetickou bezpečnost v oblasti kritické infrastruktury. Do této oblasti spadají například energetika, doprava, zdravotnictví, finanční sektor a další strategická odvětví. Cílem NIS2 je chránit tato odvětví před kybernetickými útoky.
- V ČR se promítne do legislativy formou nového zákona o kybernetické bezpečnosti. Ten významně rozšíří počet regulovaných subjektů i rozsah jejich povinností.
- Nařizuje například existenci bezpečnostní dokumentace, určení bezpečnostních rolí v organizaci, řízení ICT dodavatelů, školení vrcholového vedení v oblasti kybernetické bezpečnosti, řízení identit a přístupových oprávnění, detekci nežádoucích aktivit v podnikové síti.