České nemocnice většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů. Nejsou tak dostatečně připraveny reagovat na kybernetické útoky, což může mít negativní dopad na jejich fungování, ale i ohrožovat data a zdraví pacientů. Vyplývá to z analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku.

„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí. O to více nás překvapuje stávající realita. Nemocnice sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu nestačilo k zajištění bezpečnosti a fungování nemocnice před pěti lety, natož nyní. Informační technologie jsou v nemocnicích přítomné prakticky na každém místě a v každém zařízení. Jakýkoliv jejich výpadek může mít dalekosáhlé následky a ohrožovat zdraví pacientů. Nejde vůbec jen o dodržování zákona, zajištění dostatečné kybernetické bezpečnosti by mělo být v dnešní době samozřejmostí nejen pro nemocnice," říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource, která se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje již od roku 2010.

Co stanovuje legislativa?

Legislativa určuje dva okruhy kyberbezpečnostních opatření: organizační a technické. Podle poznatků expertů ComSource plní nemocnice v průměru přibližně pouze třetinu z nich - 65 % opatření nefunguje správně (nebo dokonce není vůbec zavedeno), 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.

Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí.

Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.

„Důvodem je pravděpodobně i to, že jsou nemocnice již dlouhodobě zvyklé vybírat dodavatele v souladu se zákonem o zadávání veřejných zakázek, nebo kontrolovat trestní rejstřík nových zaměstnanců, seznamovat je s interními směrnicemi a řídit jejich přístupové účty. Často ale chybí pravidelná školení o informační bezpečnosti nebo základních hygienických pravidel online světa," komentuje Michal Štusák.

.......................

Společnost ComSource se od roku 2023 soustředí i na oblast datové analytiky. Poskytuje vysoce profesionální služby a dodává infrastrukturní a bezpečnostní řešení on-premise, v cloudu nebo v hybridních prostředích. Díky vlastní laboratoři vyvinula a dále rozvíjí i vlastní řešení a služby, nejvýraznější z nich je systém FlowGuard chránící před DDoS útoky. DDoS útoky patří mezi nejzávažnější kybernetické hrozby posledních let. Jsou rychlé, účinné a mimořádně levné. Nadbytečnými požadavky zahltí útočníci kapacitu cílového serveru, a tím znemožní běžným uživatelům přístup na webové stránky nebo k důležitým aplikacím, na kterých je závislý jejich business. Služby společnost ComSource využívá řada významných firem a institucí, například Seznam.cz, Ministerstvo zahraničí ČR, Ministerstvo obrany ČR, některé banky nebo třeba FN U sv. Anny v Brně. 

.......................

Příklady oblastí, které nemocnice obvykle NEMAJÍ dostatečně vyřešené:

- Systémy řízení bezpečnosti informací

- Organizační bezpečnost, zajištění bezpečnostních rolí

- Postupy pro zvládání kybernetických incidentů a řízení kontinuity činností

- Zabezpečení komunikačních sítí

- Správa a ověřování identit, řízení přístupových oprávnění

- Zaznamenávání IT událostí, detekce kyberbezpečnostních událostí

- Zabezpečení aplikací, využívání kryptografických prostředků, zabezpečení specifických systémů

Nový zákon o kybernetické bezpečnosti

Zatímco nyní se legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic. Ve schvalovacím procesu je totiž nový zákon o kybernetické bezpečnosti, který do českého práva implementuje evropskou bezpečnostní směrnici NIS2, a který rozšíří povinnost dostatečné kyberbezpečnostní ochrany na mnohem větší počet subjektů.

„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí - setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem," dodává Michal Štusák. 

Příklady oblastí, které nemocnice většinou MAJÍ dostatečně zajištěné:

- Řízení dodavatelů a bezpečnosti lidských zdrojů

- Řízení přístupu, fyzická bezpečnost

- Antivirová ochrana koncových stanic

Zdroj: EMC Public Relations