Nemocnice patří do kritické infrastruktury každého státu, proto by měly být chráněné těmi nejlepšími možnými dostupnými prostředky – a to i v kybernetickém prostoru. Alespoň to je postoj Evropské komise, která ve středu předložila nový plán pro zabezpečení a posílení odolnosti evropských nemocnic vůči kybernetickým útokům.
Součástí
akčního plánu, který představila místopředsedkyně Evropské komise
Henna Virkkunen a eurokomisař pro zdravotnictví
Oliver Várhelyi, je celoevropské centrum podpory kybernetické bezpečnosti. To by mělo poskytovat nemocnicím pokyny, nástroje, služby a odbornou přípravu. Cílem je také posílení prevence a včasná identifikace hrozeb. Unie by pak měla mít připravený souhrn reakcí, které by měl subjekt učinit v případě, že je napaden.
„Pokud vejdete do nemocnice, uvidíte tam stát nějakou stráž. Pokud se najdou peníze na takovou bezpečnost, potřebujeme najít peníze i na bezpečnost v kyberprostoru,“ uvedl na středeční tiskové konferenci komisař Várhelyi.
Kybernetické útoky mají i lidskou oběť
„Největší problém, který může vzniknout při kybernetickém útoku na nemocnice, je únik citlivých osobních dat a zdravotnických záznamů,“ upozornila místopředsedkyně Komise Virkkunen. Jak ale dříve upozornil Český rozhlas
v podcastu Antivirus, v Německu už v důsledku kybernetického útoku na nemocnici zemřel člověk, když ho převáželi z jedné nemocnice do druhé právě kvůli nefunkčnosti systémů.
Podle dat Evropské komise členské státy v roce 2023 nahlásily 309 významných kybernetických bezpečnostních incidentů v oblasti zdravotnictví, což je více než v jakémkoli jiném kritickém odvětví.
Detailní statistika pro Česko není k dispozici, protože podle českého kybernetického zákona z roku 2023 se na případy kyberútoků na kritickou infrastrukturu vztahuje mlčenlivost.
České zdravotnictví je díky fondům EU silnější, nemocnicím pomáhají i s úsporou energií
Z veřejných zdrojů lze však vyčíst, že útoky se nevyhýbají ani českým nemocnicím. Příkladem je Fakultní nemocnice v Brně, která čelila útoku v roce 2020. O rok dříve se do nesnází dostala nemocnice v Benešově. Často se při takových útocích používá ransomware, tedy virus, který zašifruje data a vyžaduje výkupné pro jejich odšifrování. Podle dat
Evropské agentury pro kyberbezpečnost víc než polovina útoků na zdravotnická zařízení v EU je prováděna právě skrze ransomware a nejčastějším cílem v tomto odvětví jsou nemocnice, na které míří 42 procent všech útoků.
Odborník: Nemocnice se nepoučily
Česká kybernetická společnost ComSource provedla v průběhu loňského roku analýzu zabezpečení českých nemocnic a jejich zjištění není zrovna uspokojivé. „Nemocnice většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů,“ píše společnost v analýze, kterou má Euractiv.cz k dispozici. Nemocnice podle ní nejsou dostatečně připraveny reagovat na kybernetické útoky, „což může mít negativní dopad na jejich fungování, ale i ohrožovat data a zdraví pacientů“.
EU zpřísňuje nároky na kyberbezpečnost. Firmy se musí více chránit, mají obavy z náročných požadavků
„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí. O to více nás překvapuje stávající realita,“ popsal v tiskové zprávě
Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.
„Nemocnice sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu nestačilo k zajištění bezpečnosti a fungování nemocnice před pěti lety, natož nyní,“ dodal expert.
A právě na tento problém se zaměřila Evropská komise. Nový akční plán navrhuje zavést službu rychlé reakce pro zdravotnictví (Rapid Alert System), která bude platformou na rychlé sdílení informací mezi státy v případě útoku. V rámci plánu mohou proběhnout vnitrostátní cvičení v oblasti kybernetické bezpečnosti a vzniknout mají také příručky, které budou zdravotnickým organizacím sloužit jako vodítko při reakci na konkrétní kybernetické bezpečnostní hrozby, včetně ransomwaru.
Další opatření přijdou v následujících letech
Akční plán je však jen začátkem delšího procesu, kterým nová Evropská komise chce ochránit nemocnice a zdravotnická zařízení před kyberhrozbami. „Tento akční plán byl oznámen jako klíčová priorita během prvních 100 dnů nového mandátu. Iniciativa je důležitým krokem k ochraně zdravotnictví před kybernetickými hrozbami. Konkrétní opatření budou postupně zaváděna v letech 2025 a 2026,“ uzavírá dokument.
Podle Štusáka částečně situaci pomůže zlepšit i zavedení nových kybernetických předpisů a implementace evropské bezpečnostní směrnice NIS2. Zatímco nyní se podle společnosti ComSource legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic. NIS2 totiž rozšíří povinnost dostatečné kyberbezpečnostní ochrany na mnohem větší počet subjektů.
Spor o podobu kybernetického zákona: Operátoři tvrdí, že NÚKIB chce ze sebe udělat superúřad. Ten nařčení odmítá
„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu,“ dodává Štusák.
