V polovině ledna Evropská komise
představila nový plán pro zabezpečení a posílení odolnosti evropských nemocnic vůči kybernetickým útokům. Redakce Euractiv.cz se v reakci na to zeptala českých nemocnic, jestli je plán podle nich smysluplný.
Plán počítá s vytvořením celoevropského centra podpory kybernetické bezpečnosti, které by mělo poskytovat nemocnicím pokyny, nástroje, služby a odbornou přípravu.
Oslovené nemocnice unijní plán vesměs vítají.
„Plán Evropské komise představuje krok směrem k jednotnému přístupu k zabezpečení dat a technologií v celé Evropské unii. Tento rámec umožní zdravotnickým zařízením, jako je Fakultní nemocnice Motol, lépe chránit jejich infrastrukturu, sdílet ověřené postupy a využívat dostupnou podporu,“ zhodnotila
Miroslava Mikasová z odboru komunikace Fakultní nemocnice Motol.
Úspěch plánu bude ale podle největší nemocnice v Česku podmíněn koordinací mezi evropskými a národními institucemi. „Bude nutné zajistit přiměřené přidělení finančních a technických zdrojů všem členským státům bez ohledu na velikost nebo kapacity jednotlivých poskytovatelů zdravotních služeb,“ dodala Mikasová.
Otázku zdrojů a kapacit na posílení bezpečnosti zmiňují i další zástupci českých nemocnic.
„Naše nemocnice vítá jakákoliv smysluplná opatření EU na snížení kyberbezpečnostních rizik zdravotnických zařízení, která nemocnicím skutečně pomůžou a nebudou zvyšovat administrativní a technickou zátěž,“ řekla redakci
Michaela Konečná, tisková mluvčí Nemocnice ve Frýdku-Místku.
Jak ale upozorňuje mluvčí Fakultní nemocnice v Brně
Pavel Žára, akční plán Evropské komise na kyberochranu zdravotnictví musí nejdřív rozpracovat Evropská agentura pro bezpečnost sítí a informací (ENISA) do konkrétních opatření a služeb, které následně budou používat nemocnice a zdravotnická zařízení po celé EU.
Komise představila nový plán kybernetické ochrany nemocnic. Podle odborníka je aktuální stav žalostný
„Plány EU jsou pro naši organizaci zajímavé z pohledu vize a budoucí strategie, ale nejsou určeny k rychlé aplikaci. Od aplikace je zde právě NÚKIB
(Národní úřad pro kybernetickou a informační bezpečnost), v roli subjektu, který má tyto plány v nějakém rozsahu zapracovat do příslušné legislativy nebo zajistit s tím spojené aktivity,“ upřesnil mluvčí Žára.
Jako systémový krok vpřed vnímá plán Evropské komise
Tomáš Šenk, manažér kyberbezpečnosti Domažlické nemocnice. Druhým dechem ale dodává, že tato iniciativa měla přijít už dříve, a to hlavně v případě nemocnic.
„Zajištění kybernetické bezpečnosti je skládačka technologií, opatření a pravidel s nutností kontinuální adaptace na technologický rozvoj a vývoj ve světě. Ne každý to vnímal a vnímá jako rizikový faktor. Bohužel, četnost kybernetických útoků s významným dopadem na instituce (ať už z veřejného nebo soukromého sektoru) rapidně narůstá už několik let,“ řekl Šenk.
EU zpřísňuje nároky na kyberbezpečnost. Firmy se musí více chránit, mají obavy z náročných požadavků
O útocích se musí mlčet
Právě četnost a závažnost kybernetických útoků je často zahalena tajemstvím, částečně kvůli českým zákonům, které v citlivých případech vyžadují mlčenlivost. Něco se veřejnost dozví z
dat Evropské komise – členské státy v roce 2023 nahlásily 309 významných kybernetických bezpečnostních incidentů v oblasti zdravotnictví, což je více než v jakémkoli jiném kritickém odvětví.
Euractiv.cz se na statistiku za Česko zeptal Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). „Za uplynulý rok NÚKIB evidoval v sektoru zdravotnictví necelé tři desítky incidentů. Velkou část těchto incidentů tvořily výpadky, které typicky nejsou způsobeny škodlivou činností útočníků,“ řekla redakci mluvčí NÚKIBu
Alžběta Dvořáková.
„Zároveň však NÚKIB evidoval řadu incidentů v rámci kategorie Průnik, tedy takové incidenty, kde se útočníkům podařilo kompromitovat účty subjektů. V několika případech byly tyto kompromitované účty následně využity pro rozesílání spamu,“ upřesnila mluvčí.
Oslovené nemocnice se ale s těmito incidenty nepotkaly, nebo to nemohly sdělit. „FN Motol klade maximální důraz na ochranu dat a bezpečnostní opatření. Z tohoto důvodu neposkytujeme veřejnosti detailní informace o kybernetických incidentech. Nicméně můžeme ujistit, že v roce 2024 žádný z těchto případů nezpůsobil narušení provozu ani neohrozil osobní údaje pacientů,“ sdělila Mikasová. Nemocnice ve Frýdku-Místku se k této otázce nevyjádřila vůbec.
Česko má nevyužitý potenciál v oblasti digitalizace, říká zpráva Evropské komise
O něco otevřenější byl Tomáš Šenk z Domažlické nemocnice. „V minulém roce naše bezpečnostní systémy zaznamenaly několik pokusů o kybernetický útok. Naštěstí žádný z nich nebyl překlasifikován na bezpečnostní incident. Pokud bych měl být přesnější co se počtu týče, tak jich nebylo více než 10.“
Žádný bezpečnostní incident v roce 2024 nezaznamenala ani Fakultní nemocnice v Brně. Ta také zdůraznila, že vedení klade na kybernetickou bezpečnost velký důraz.
„Například v roce 2024 proběhly ve FN Brno dvě cvičení nácviku řešení kybernetického útoku, přičemž jedno dokonce v Kybernetickém polygonu Masarykovy univerzity (MUNI) za asistence kybernetického týmu této instituce,“ upřesnil Žára.
Kybernetický polygon je
virtuální cvičiště na Fakultě informatiky MUNI, kde kromě jiného probíhají simulované kybernetické útoky. Kritické státní instituce jako nemocnice, jaderné elektrárny či soudy se tady učí, jak na útoky reagovat.
V brněnském Kybernetickém polygonu se pravidelně provádějí i celonárodní kybernetická cvičení
Cyber Czech, které simuluje útok na část kritické infrastruktury a české instituce. Úřady musí v reakci na to kooperovat, aby útoku zabránily nebo vyřešily jeho dopad.
Česko musí implementovat evropskou směrnici NIS2
Největší kybernetickou výzvou posledního období je implementace evropské směrnice NIS2, tedy rozšířené kyberbezpečností směrnice, která
měla v České republice platit od loňského roku. Velkou změnou této směrnice oproti předcházející bylo rozšíření subjektů, které musejí dodržovat přísnější kybernetické normy. Nově se pravidla vztahují i na menší státní subjekty nebo firmy, které spravují pro stát nějakou důležitou infrastrukturu.
„Směrnice NIS2 bude do českého právního řádu transponována v rámci nového zákona o kybernetické bezpečnosti, který je aktuálně projednáván v Poslanecké sněmovně,“ upřesnila mluvčí NÚKIB Dvořáková.
Spor o podobu kybernetického zákona: Operátoři tvrdí, že NÚKIB chce ze sebe udělat superúřad. Ten nařčení odmítá
A právě NIS2 se týká i menších nemocnic, jako jsou ta v Domažlicích nebo ve Frýdku-Místku.
„V loňském roce byl spuštěn projekt modernizace kybernetické bezpečnosti a další návazné projekty, které reflektují požadavky zákona o kybernetické bezpečnosti a další související legislativy, nebo zohledňují parametry NIS2 případně dalších metodických doporučení s touto problematikou spojených,“ vysvětlil Tomáš Šenk z Domažlické nemocnice.
„Domnívám se, že na další unijní plány a doporučení dokážeme reagovat bez významných problémů,“ dodal.
Opatření vyplývající ze směrnice NIS2 implementuje i nemocnice ve Frýdku-Místku, jak redakci potvrdila mluvčí Michaela Konečná. Spolupracuje přitom s Moravskoslezským krajem, potažmo s jeho příspěvkovou organizací, Moravskoslezským datovým centrem.
Zmíněné Moravskoslezské instituce jsou podle Konečné největší oporou nemocnice v boji proti kybernetickým hrozbám. „Nemocnice má také podánu žádost o dotaci do Národního programu obnovy na zvýšení kybernetické bezpečnosti nemocnice. Zde však čekáme na souhlasné stanovisko Ministerstva vnitra.“
Nemocnice by měly spoléhat samy na sebe
Naopak Šenk z Domažlic chválí i úsilí kybernetického úřadu. „Odborné instituce, např. NÚKIB, jsou v oblasti kybernetické bezpečnosti velmi aktivní a významně nemocnicím pomáhají, ať už v odborně technické nebo i metodické oblasti. Úsilí českému státnímu aparátu nelze upřít.“
Zároveň ale upozorňuje, že toto úsilí může narážet na problémy spojené se změnami ve státní správě a obecným vývojem na poli kybernetické ochrany.
„Proto si myslím, že nemocnice by se měly primárně spoléhat samy na sebe, mít jasnou bezpečnostní strategii, která je v souladu s plány EU a s ostatními nemocnicemi nebo státními institucemi spolupracovat v dílčích oblastech nebo při řešení konkrétních témat,“ míní manažer kyberbezpečnosti Domažlické nemocnice Tomáš Šenk.
Budíček pro EU. Exprezident Finska jí řekl, jak se má lépe připravit na krizové časy
Velké nemocnice ale už tak pozitivní pohled na státní instituce nemají. „Z pohledu druhé největší nemocnice České republiky nemůžeme čerpat prakticky žádné centrální státní služby kybernetické bezpečnosti, jako třeba z Dohledového centra eGovernmentu. Jediné, z čeho FN Brno čerpá, je přístup k informacím z MISP (
Malware Information Sharing Platform) NÚKIB,“ řekl Pavel Žára, mluvčí Fakultní nemocnice Brno.
Vyzdvihuje však dotační programy, které jsou zaměřeny na pořízení technických bezpečnostních opatření. „FN Brno se podařilo dosáhnout na tyto dotační programy. Jen je potřeba mít vždy na zřeteli, že kybernetická bezpečnost není jen o technických opatřeních, ale také o organizačních, které si organizace zajišťují vlastních prostředky,“ dodal Žára.
„Do budoucna je ale potřeba větších investic do modernizace IT systémů a jejich zabezpečení, rozšíření vzdělávacích programů zaměřených na kybernetickou bezpečnost a zlepšení spolupráce mezi státními institucemi a zdravotnickými zařízeními. Stávající spolupráce je slibným základem, na kterém lze stavět,“ uzavřela Miroslava Mikasová z Fakultní nemocnice Motol.
