Článek
Přišel vám loni před Vánoci, když jste měli objednáno zhruba 367 různých balíků a napjatě čekali na jejich postupné doručení, e-mail s hlavičkou České pošty s odkazem, na nějž máte kliknout, abyste odstranili nějaké drobné potíže při doručení jedné zásilky?
Phishingové útoky jsou stále chytřejší. Zdaleka už neobsahují tolik pravopisných chyb a jiných varovných signálů jako před pár lety. Těm poštovním, jakkoli bylo předvánoční načasování téměř geniální, jsem ještě celkem snadno odolal. Ale před pár dny mi přišel mail s velmi věrohodnou hlavičkou aplikace Zoom, podle nějž mi byl pozastaven účet. Přičemž na přiloženém odkazu jsem měl „podle pokynů“ zajistit jeho oživení.
Od bezelstného kliknutí na ten odkaz mě dělily sekundy. Vždyť Zoom udržuje v tomto období redakci v chodu a porada začíná už za půl hodiny! Naštěstí přesně v tu chvíli volal kolega a přišlo varování – Neklikat! Když jsem poté mail zkoumal blíž, nenašel jsem žádnou jinou chybu, než že odesílatelem i cílem odkazu byla doména zoom.con. Velmi důstojný a málem úspěšný pokus!
A bude hůř. Na konci roku 2019 stačil jeden takový podobný mail a jeden zaměstnanec, jemuž nikdo v pravou chvíli nezavolal, aby se nemocnice zhroutila na několik týdnů. A tak je dnešní Vizita o kyberbezpečnosti českých nemocnic.
Šestadvacet incidentů. Nemocnice si loni nevydechly
Nápor způsobený pandemií zdaleka není jediný problém, kterému v posledních letech čelí české nemocnice. Během prvního pandemického roku 2020 zažilo několik zdravotnických zařízení v Česku nepříjemné kybernetické útoky.
Zpráva Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) za rok 2020 uvádí, že úřad řešil v oblasti zdravotnictví 16 bezpečnostních incidentů (oproti šesti v roce 2019), z nichž největší publicity se dostalo útokům na nemocnici v Benešově, na Fakultní nemocnici Brno a na Psychiatrickou nemocnici Kosmonosy.
Zpráva za loňský rok zatím není hotová, kompletní souhrnné zprávy se obvykle publikují až ve druhé polovině roku. Ale mám v ruce alespoň dílčí data ze zdravotnické oblasti. V roce 2021 evidoval NÚKIB ve zdravotnictví 26 bezpečnostních incidentů. Stejně jako v roce 2020 patřilo zdravotnictví také loni k sektorům, v nichž jsou kybernetické útoky nejčastější.
I když by bylo žurnalisticky lákavé hovořit o výrazném nárůstu počtu kybernetických útoků na české zdravotnictví, data za loňský a předloňský rok nejsou navzájem příliš dobře porovnatelná. S platností od 1. ledna 2021 došlo ke změně vyhlášky, která určuje takzvané „provozovatele základní služby“. Zjednodušeně řečeno, jde o seznam institucí, které jsou kriticky důležité pro provoz státu, vztahuje se na ně zvláštní dohled NÚKIB a zároveň mají vůči úřadu povinnost hlásit kyberbezpečnostní potíže, události a incidenty.
V roce 2020 mělo tuto oznamovací povinnost v oblasti zdravotnictví kromě Ministerstva zdravotnictví a Státního ústavu pro kontrolu léčiv také 16 nemocnic. Od loňska se počet „regulovaných“ nemocnic zvýšil na 44.
Takže zvýšení počtu nahlášených incidentů nepochybně souvisí i se zvýšením počtu subjektů, které jsou mimořádné události povinny hlásit. Obecně ale platí dvě věci.
Zaprvé nahlášené incidenty jsou jen špičkou ledovce celkového počtu narušení kyberbezpečnosti v Česku. Jiné než povinné subjekty mohou na NÚKIB své incidenty hlásit také, ale nemusejí. A z reputačních i mnoha dalších důvodů to skutečně příliš často nedělají.
Na začátku loňského roku úřad udělal průzkum mezi více než dvěma stovkami firem a institucí, jehož výsledky se staly součástí již citované zprávy za rok 2020. Z dotázaných společností jen čtvrtina odpověděla, že v roce 2020 nezaznamenala pokus o kybernetický útok.
Ne všechny pokusy o útok skončí úspěchem a ne všechny jsou tak nebezpečné jako ty v benešovské či brněnské nemocnici. Lidé v kyberbezpečnostní branži se ale shodují, že mnoho útoků postižená firma nemusí vůbec zaznamenat. Může jít o „tichý“ průnik do systémů, z nichž pachatel jednorázově, nebo dokonce dlouhodobě čerpá data o klientech, pacientech nebo jiných subjektech, a posléze zase nepozorovaně zmizí.
Druhou smutnou jistotou je, že zdravotnictví se usadilo vysoko na žebříčku nejoblíbenějších cílů kyberzločinců. Následky „vypnutí“ nemocnice v podobě omezené péče o pacienty a ohrožení jejich zdraví dávají především ransomwarovým vyděračům do rukou mimořádnou páku, která zvyšuje naději, že ředitel nemocnice nebo zřizovatel raději zaplatí výkupné, aby nemocnici rychle „oživil“, než by dlouhé dny a týdny bojoval o obnovení nemocničních systémů ze záloh.
Podstatou ransomwarového útoku je průnik do IT systému oběti, kde následně virus zašifruje data a hackeři požadují výkupné za jejich opětovné zpřístupnění. Obnovení dat bez zaplacení výkupného je dlouhý a technicky náročný proces. Například brněnská fakultní nemocnice během něj přišla o část ekonomických dat a také o online objednávací systém. Přesto se experti jasně shodují v doporučení výkupné neplatit, protože to není nic jiného než pozvánka pro další zločince nebo opakování útoku stejným pachatelem.
Ransomwarové útoky stály za všemi třemi zmíněnými předloňskými incidenty. Benešovskou nemocnici vyřadil útok z provozu skoro na tři týdny na samém konci roku 2019 a vynutil si organizaci převozů pacientů do jiných zařízení. Brno zasáhl útok 13. března 2020, a i tam omezil odkladnou péči a nemocnice nějaký čas nebyla schopna přijímat ani akutní pacienty. Psychiatrickou nemocnici v Kosmonosech odsoudili hackeři k několikadennímu fungování „prostřednictvím tužky a papíru“, jak situaci tehdy popsala ředitelka nemocnice pro Aktuálně.cz.
„Trend koreluje i s celosvětovým vývojem, zdravotnictví je dlouhodobě jedním z nejčastějších cílů například ransomwarových skupin,“ napsal úřad ve vyjádření pro Vizitu k předběžným datům za loňský rok.
Problém, jak jsem naznačil v úvodu, spočívá v tom, že vstupní branou pro tento typ útoků není jakási díra ve firewallu nebo v antivirovém programu, ale může se jí stát, prostřednictvím stále chytřejších phishingových zpráv, kterýkoli zaměstnanec využívající firemní e-mail.
Jak zdůrazňuje například Petr Samek, jehož firma CNS se dlouhodobě věnuje kyberbezpečnosti ve zdravotnictví, zásadním bezpečnostním prvkem není jen IT oddělení a patřičné systémy, ale také edukace všech zaměstnanců. A ta zejména v nemocnicích během covidového období z pochopitelných důvodů vázla. „Segment zdravotnictví už byl temnou stranou internetu indentifikován jako zajímavý a útoky budou pokračovat. Nejpozději po skončení covidového tlaku se ředitelé zdravotnických zařízení budou muset podívat pravdě do očí,“ říká Samek.
Na případné bezpečnostní audity, školení i návrhy a realizaci řešení mohou nemocnice čerpat peníze z evropských fondů, ale vyžaduje to pečlivou přípravu projektů a výběrových řízení, což je pro ředitele zdravotnických zařízení v covidových časech extrémně náročné. Edukaci se věnuje i NÚKIB, ale ten se primárně soustředí na přísněji hlídané regulované subjekty. Přičemž jenom ve zdravotnictví zůstává mimo tento přímý dohled zhruba 140 nemocnic a tisíce ordinací, ambulancí a laboratoří.
Součástí poučení z Benešova, Brna a Kosmonos bylo rozšíření regulovaných subjektů o několik desítek. To není málo, ale pro srovnání bezpečnostního deficitu bude muset české zdravotnictví jako celek udělat mnohem víc.
V plném vydání newsletteru Vizita toho najdete ještě mnohem víc. Třeba vysvětlení zdravotnického výrazu HTA nebo tipy na zajímavé čtení nejen z lékařského tisku. Pokud chcete celou Vizitu dostávat každé úterý přímo do své e-mailové schránky, přihlaste se k odběru.