Co si odnést z útoků na špitál?
Loni v prosinci došlo ke kybernetickému útoku na nemocnici ve středočeském Benešově. Zřejmě k největšímu nebo alespoň nejviditelnějšímu v historii České republiky. Provoz tohoto zdravotnického zařízení byl v jeho důsledcích významně omezen na tři týdny.
Nyní, zhruba osm měsíců po útoku, policie oznámila, že vyšetřování v této věci odložila. Nepodařilo se jí identifikovat útočníka.
Nejde o zcela překvapivé vyústění. Tento typ trestné činnosti se totiž objasňuje poměrně obtížně. A to platí zejména v případě, je-li proveden profesionálně, s cílem získat významný finanční zisk, poškodit konkrétní organizaci nebo zjistit slabiny v jejím systému informační bezpečnosti.
Počítačových útoků přibývá Ostatně, statistiky týkající se trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací (§ 230 tr. zák.) jsou poměrně vypovídající.
V roce 2018 evidovalo ministerstvo vnitra 893 těchto trestných činů, přičemž jimi byla způsobena škoda ve výši 18 milionů korun. Objasněno z nich bylo téměř 26 procent.
Loni se jednalo o již 1092 případů, škodu přes 50 milionů korun a objasněnost klesla lehce nad 19 procent. A za období od ledna do června letošního roku je evidováno 621 případů se škodou téměř 30 milionů korun a objasněností necelých deset procent.
Jinými slovy, trendem posledních let je, že počet kybernetických útoků rok od roku narůstá, způsobená škoda rovněž, nicméně míra objasněnosti se snižuje.
Tato skutečnost by nás, domnívám se, měla i v kontextu případu benešovské nemocnice vést k závěru, že spoléhat se na následné odhalení pachatele kybernetického útoku a jeho případné potrestání či vymožení náhrady škody, je skutečně málo.
Klíčové je zavádět dostatečná opatření k zabezpečení informačních systémů a využívaných dat v každé organizaci, ať už veřejné, či soukromé. Zdá se to jako samozřejmé, ostatně tato povinnost vyplývá z řady právních předpisů, například ze zákona o kybernetické bezpečnosti či z evropského obecného nařízení o ochraně osobních údajů (GDPR). Jak však ukazuje praxe, bezpečnost informací, včetně osobních údajů, nebývá vždy vnímána jako klíčová součást činnosti organizace, ale spíš jako něco navíc, více či méně volitelný doplněk. A teď nemám na mysli případ benešovské nemocnice, která zjevně čelila dosti fundovanému útoku, spíše obecný přístup některých subjektů, u nichž již pominula obava z astronomických pokut ukládaných dle evropského nařízení o GDPR a dosud se terčem takového útoku jako nemocnice v Benešově nestaly.
Při zabezpečení informačních systémů se ale nemá postupovat mechanicky ani formálně, ostatně i evropské nařízení o GDPR předpokládá aplikaci bezpečnostních opatření s ohledem na riziko, které zpracovávaným osobním údajům hrozí. Ten, kdo informační bezpečnosti nevěnuje patřičnou pozornost, riskuje nejen pokutu a další případnou finanční újmu, ale především nemalé dopady na svou vlastní reputaci.
V prosinci uplyne rok od napadení benešovské nemocnice počítačovými hackery. „Počet kybernetických útoků rok od roku narůstá, způsobená škoda rovněž, nicméně míra objasněnosti se snižuje,“tvrdí compliance manager František Nonnemann.
Autor působí jako compliance a operational risk manager