
České nemocnice většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů. Nejsou tak dostatečně připraveny reagovat na kybernetické útoky, což může mít negativní dopad na jejich fungování, ale i ohrožovat data a zdraví pacientů. Vyplývá to z analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku.
„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí. O to více nás překvapuje stávající realita. Nemocnice sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu nestačilo k zajištění bezpečnosti a fungování nemocnice před pěti lety, natož nyní. Informační technologie jsou v nemocnicích přítomné prakticky na každém místě a v každém zařízení. Jakýkoliv jejich výpadek může mít dalekosáhlé následky a ohrožovat zdraví pacientů. Nejde vůbec jen o dodržování zákona, zajištění dostatečné kybernetické bezpečnosti by mělo být v dnešní době samozřejmostí nejen pro nemocnice," říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource, která se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje již od roku 2010.
Co stanovuje legislativa?
Legislativa určuje dva okruhy kyberbezpečnostních opatření: organizační a technické. Podle poznatků expertů ComSource plní nemocnice v průměru přibližně pouze třetinu z nich - 65 % opatření nefunguje správně (nebo dokonce není vůbec zavedeno), 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.
Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí.
Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.
„Důvodem je pravděpodobně i to, že jsou nemocnice již dlouhodobě zvyklé vybírat dodavatele v souladu se zákonem o zadávání veřejných zakázek, nebo kontrolovat trestní rejstřík nových zaměstnanců, seznamovat je s interními směrnicemi a řídit jejich přístupové účty. Často ale chybí pravidelná školení o informační bezpečnosti nebo základních hygienických pravidel online světa," komentuje Michal Štusák.
.......................
Společnost ComSource se od roku 2023 soustředí i na oblast datové analytiky. Poskytuje vysoce profesionální služby a dodává infrastrukturní a bezpečnostní řešení on-premise, v cloudu nebo v hybridních prostředích. Díky vlastní laboratoři vyvinula a dále rozvíjí i vlastní řešení a služby, nejvýraznější z nich je systém FlowGuard chránící před DDoS útoky. DDoS útoky patří mezi nejzávažnější kybernetické hrozby posledních let. Jsou rychlé, účinné a mimořádně levné. Nadbytečnými požadavky zahltí útočníci kapacitu cílového serveru, a tím znemožní běžným uživatelům přístup na webové stránky nebo k důležitým aplikacím, na kterých je závislý jejich business. Služby společnost ComSource využívá řada významných firem a institucí, například Seznam.cz, Ministerstvo zahraničí ČR, Ministerstvo obrany ČR, některé banky nebo třeba FN U sv. Anny v Brně.
.......................
Příklady oblastí, které nemocnice obvykle NEMAJÍ dostatečně vyřešené:
- Systémy řízení bezpečnosti informací
- Organizační bezpečnost, zajištění bezpečnostních rolí
- Postupy pro zvládání kybernetických incidentů a řízení kontinuity činností
- Zabezpečení komunikačních sítí
- Správa a ověřování identit, řízení přístupových oprávnění
- Zaznamenávání IT událostí, detekce kyberbezpečnostních událostí
- Zabezpečení aplikací, využívání kryptografických prostředků, zabezpečení specifických systémů
Nový zákon o kybernetické bezpečnosti
Zatímco nyní se legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic. Ve schvalovacím procesu je totiž nový zákon o kybernetické bezpečnosti, který do českého práva implementuje evropskou bezpečnostní směrnici NIS2, a který rozšíří povinnost dostatečné kyberbezpečnostní ochrany na mnohem větší počet subjektů.
„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí - setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem," dodává Michal Štusák.
Příklady oblastí, které nemocnice většinou MAJÍ dostatečně zajištěné:
- Řízení dodavatelů a bezpečnosti lidských zdrojů
- Řízení přístupu, fyzická bezpečnost
- Antivirová ochrana koncových stanic
Zdroj: EMC Public Relations
Srdečně vás zveme na první, prezenční kongres roku 2025, který se bude konat 9. dubna 2025 v Brně, v Quality Hotelu Brno Exhibition Centre. Kongres bude rozdělený na dopolední a odpolední část, každá bude samostatně akreditována. Kongres je určený pro lékárníky, farmaceutické asistenty a další nelékařské zdravotnické profesionály. Opět se můžete těšit na kvalitní odborný program a na setkání s lektory, partnery i kolegy z lékáren. Registrovat se můžete již nyní na stránce organizátora: https://www.healthcomm.cz/. Při registraci můžete využít volný vstup přes kód Magazínu: MAG25BR
Podle ředitele Odboru ochrany veřejného zdraví a zástupce hlavní hygieničky ČR, Matyáše Fošuma, je situace s chřipkou a ostatními respiračními infekcemi ve stavu očekávaném podle předchozích sezón. Zatím není důvod pro celoplošná protiepidemická opatření. Dále je v kompetenci jednotlivých krajských hygienických stanic nastavit potřebná protiepidemická opatření, a to podle aktuální situace v daném kraji. Státní zdravotní ústav dále uvádí, že od 1. září 2024 podstoupilo očkování proti covid-19 více než 300 tisíc osob, proti chřipce více než 725 tisíc osob. Ve 4. týdnu roku 2025 je stav na úrovni 1940 nemocných na 100 000 obyvatel, což představuje vzestup o téměř 30 % oproti předchozímu týdnu. V kategorii chřipkových onemocnění (ILI) se pak za stejné období nemocnost zvýšila o téměř 80 %. Čísla ovlivní začínající jarní prázdniny.
Zveme lékárníky a farmaceutické asistenty k účasti na jubilejním, desátém 3D 360° online kongresu Healthcomm Professional – BERN. Společně se od 20. března do 22. dubna 2025 podíváme do Švýcarska, speciálně do jeho hlavního města. Během 30dní můžete studovat v jedinečném konceptu kongresu ve virtuálním světě 3D prostoru. Na účastníky čeká pečlivě vybraný odborný i doprovodný program. Program kongresu bude rozdělen do dvou samostatně akreditovaných bloků přednášek, což vám umožní flexibilně si přizpůsobit účast podle vašich časových možností. Kongres se uskuteční online na platformě www.healthcomm.cz, kde se můžete již nyní zaregistrovat a získat všechny důležité informace. Pokud při registraci zadáte kód PHAR25BE, získáte bezplatný přístup.