Stát příliš nehlídá IT nemocnic
Kvůli mezeře v zákoně patří pouhá hrstka IT systémů zdravotnických center do přísně střeženého režimu. Špitály napadené hackery
PRAHA Hackeři zablokují soubory s daty o zdravotním stavu pacientů a následně požadují výkupné za uvolnění těchto citlivých informací. Noční můra všech nemocnic, ve kterých se čím dál větší množství informací přenáší elektronicky. Navzdory popsanému nebezpečí je realita ve zdravotnictví taková, že do takzvané kritické informační infrastruktury státu, jež musí splňovat nejpřísnější bezpečnostní standardy, nepatří například fakultní nemocnice s celkem více než 13 tisíci lůžky.
„IT systémy fakultních nemocnic do kritické infrastruktury zařazeny nejsou. Důvodem je podmínka vyplývající z krizového zákona, podle níž je v rámci fyzické kritické infrastruktury nastaveno ze strany ministerstva zdravotnictví kritérium 2500 lůžek. A dle tohoto kritéria nebyla určena žádná nemocnice coby kritická infrastruktura,“uvedl LN Radek Holý, mluvčí Národní úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Přitom hned pět z devíti tuzemských fakultních nemocnic bylo podle dřívějších zjištění LN hackery napadeno.
Zabírá „střelba na malé“Teprve loni zahrnul některé nemocnice zákon o kybernetické bezpečnosti s přísnějšími povinnostmi pro takzvané provozovatele základní služby. I tak jde jen o část tuzemských nemocničních zařízení. „Do kategorie provozovatel základní služby spadají všechna zařízení, jež mají alespoň 800 lůžek akutní péče či status centra vysoce specializované traumatologické péče, což je v současné době celkem 16 poskytovatelů zdravotních služeb,“řekla LN Renata Povolná z tiskového oddělení ministerstva zdravotnictví.
Fakultní nemocnice Hradec
■
Králové – zašifrování dat na lokálních discích
Fakultní nemocnice Olomouc ■
– útoky na získání přihlašovacích údajů, ransomware
Fakultní nemocnice v Motole ■
– napadená souborová data
Fakultní nemocnice Brno
■
– ransomware, zašifrování dat
Fakultní nemocnice Ostrava
– virus
Internetoví zločinci si zpravidla nevolí za svůj cíl ty nejsilnější soupeře. Naopak, míří na nejslabší. Roztříštěnost IT řešení v různých nemocnicích a jejich relativní stáří nahrává možnosti, že se stanou terčem číslo jedna. „Kybernetické útoky proti zdravotním systémům mohou při nízkých nákladech a malém vynaloženém úsilí přinést relativně velké zisky,“potvrzuje zpráva o stavu kybernetické bezpečnosti za rok 2018, kterou vydal NÚKIB.
Slabé zabezpečení a chyba zaměstnance se stala osudným Léčebně v Janově na Rokycansku se 170 lůžky. Loni jí hackeři vyřadili na několik dní nemocniční systémy. Útoky v oblasti poskytování zdravotní péče považuje NÚKIB za mimořádně nebezpečné. „Možné dopady mohou být nejen do sféry ochrany osobních údajů pacientů, ale také do samotné léčby, v krajním případě se může jednat o vážné ohrožení lidských životů. Ze zahraničí jsou známé případy kybernetických incidentů, které zdravotnictví po určitou nezanedbatelnou dobu zcela paralyzovaly,“varoval mluvčí NÚKIB Holý.
Podle ministerstva zdravotnictví řízeného Adamem Vojtěchem (za ANO) však zákon o kybernetické bezpečnosti není jedinou normou, která chrání pacienty. Vztahují se na ně například přísná pravidla pro nakládání s osobními údaji a se zdravotnickou dokumentací. Resort chystá také celou řadu vzdělávacích programů a školení pro zaměstnance nemocnic.
Vojtěch slibuje miliardy
„Pro organizace resortu zdravotnictví, tedy přímo řízené nemocnice, psychiatrické nemocnice a léčebny, zdravotní ústavy, krajské hygienické stanice a také včetně poskytovatelů zdravotních služeb, plánujeme centralizovaný nákup služeb v oblasti kybernetické bezpečnosti, chystáme například audit kybernetické bezpečnosti,“napsala LN Povolná z ministerstva zdravotnictví.
Avizuje také masivní investice do ochrany IT systémů. „Zapojili jsme se do přípravy programu Digitální Česko a předložili 18 záměrů s alokací přes šest miliard korun. Z toho minimálně dvě miliardy jsou směrovány právě do kybernetické bezpečnosti,“uvedla Povolná.
Resort zároveň uklidňuje, že dosud nebyl odhalen případ, kdy by v Česku – s výjimkou zmíněného Janova – došlo k masivnímu ochromení nemocnice. Kybernetické útoky dosud nenapadly jejich systémovou úroveň; útočníci se zpravidla dostali „jen“do počítače jednotlivých zaměstnanců zdravotnického zařízení.
Optimismus však nejspíš není namístě. Řada nemocnic, a to včetně těch soukromých, incidenty spojené s kybernetickými útoky nemusí hlásit. Neexistuje proto ani přesná statistika. Zajímavé srovnání nabízí pohled do byznysové sféry.
„Napadením vyděračským softwarem (ransomwarem) se nikdo nechlubí. Jednak pro běžné společnosti neplatí oznamovací povinnost, společnost může klesnout na důvěryhodnosti v očích partnerů a zákazníků. A navíc platí, že samotným oznámením společnost nic nezíská,“uvedl Martin Haller, spolumajitel společnosti Patron.IT, na kterou se ročně obrací dvě desítky firem, které potřebují pomoc s odstraněním či ochranou před opakování ransomwaru.