Nemocnice na rozcestí: Kyberbezpečnost je životně důležitá

Kybernetických útoků na zdravotnická zařízení přibývá. Většina neví, jak jim čelit, musejí se to ale naučit. „Nulové riziko útoku neexistuje a nikdy existovat nebude. Rizikům se dá účinně předcházet, musí se ale od základů změnit přístup managementu nemocnic,“ říká David Dvořák, vedoucí oddělení IT Advisory ve společnosti Soitron.

Ve věčném boji s počítačovou kriminalitou může zdravotnickým zařízením pomoci i stát.

V prosinci 2019 paralyzoval počítačový virus benešovskou nemocnici. Po napadení fungovala týdny v omezeném provozu. Zrušeny byly plánované operace, zavřena většina oddělení. Ani v Česku nejde o první případ, cílem útoku byli ve zdravotnictví i další (například léčebna v Janově na Rokycansku). Někteří už zaplatili útočníkům výkupné za zpřístupnění dat.

Podobnou zkušenost mají i na Slovensku. Před dvěma lety zasáhl virus WannaCry přes 200 000 cílů zhruba ve 150 zemích. Nevyhnula se mu ani nemocnice v Nitře, jež měla několik dní vypnuté počítače a fungovala ve velmi omezeném režimu. Letos v listopadu napadli hackeři několik nemocnic v americké Alabamě a Austrálii. Lékaři přestali přijímat neakutním pacientům zrušit schůzky a zrušili některé výkony.

Lákavý cíl 

Poslední útok v Česku opět rozvířil debatu o kybernetické bezpečnosti a ukázal, že je ochrana zdravotnických zařízení nedostatečná.

„Pro nemocnice nebyla IT oblast nikdy prioritou. I když měly vždy nějaké podpůrné oddělení, které dohlíželo na to, aby fungovala konektivita a systémy důležité pro chod zařízení, nikdo koncepčně neřešil kybernetickou bezpečnost,“ říká vedoucí oddělení Kybernetické bezpečnosti ve společnosti Soitron Stanislav Smolár.

Nemocnice jsou přitom pro vyděrače lákavým cílem. Už v minulosti si ověřili, že jsou nedostatečně chráněné, navíc spravují citlivá osobní data a útoky mohou ohrozit zdraví či životy lidí. Útočníci si mohou říct o vysoké výkupné. 

„Ransomware útoků přibývá rychlým tempem. A všichni odborníci bez výjimky se shodují na tom, že bezpečnostních rizik bude přibývat,“ doplňuje Stanislav Smolár.

Nemocnice cyber security neřeší

Podle odborníků je problémem nízké povědomí o kybebezpečnosti, která se týká veškerého personálu nemocnice. Navíc ve zdravotnictví zoufale chybějí IT experti. Vedení nemocnic si neuvědomuje všudypřítomné nebezpečí, proto se (zatím) ochranou před kyberútoky nezabývá.

„Jeden z nejrozšířenějších mýtů zní: nás se to netýká. Svému IT oddělení věříme, tudíž se nemůže nic stát. Pokud management nevyburcuje ani legislativa, která existuje i v ČR a ukládá nemocnicím řešit kybernetickou bezpečnost, musí bohužel přijít kritická masa událostí, která ukáže, že ohrožuje každého. V tom momentě se z toho stane zásadní téma,“ připomíná David Dvořák. 

V rozpočtech nemocnic většinou není dostatek peněz na IT bezpečnost. Jen pokud ji management určí jako zásadní prioritu, dají se hledat účinná řešení.  

Medicínská zařízení a soubory s daty pacientů jsou pro zdravotnická zařízení nejdůležitější. Ztrátě dat a paralýze nemocnice se dá čelit oddělením životně důležitých systémů od uživatelských sítí. Ransomware totiž většinou útočí přes koncové počítače, ze kterých se nákaza šíří. 

Dobrým řešením je najmout si externího experta na cyber security. „Kontrola dokáže odhalit, jestli nemáte nějaký zranitelný software. To jsou věci, které si mohou nemocnice obstarat poměrně rychle a levně. Lze také zkontrolovat celou interní infrastrukturu nemocnice a analyzovat ji z hlediska bezpečnosti,“ uvádí Stanislav Smolár. 

Jak pomůže stát?

Nemocnice spravuje vzácná osobní data, za jejichž únik mohou čelit žalobám, náhradě škod dotčených osob, a především špatné reputaci, která může být až likvidační. Po útoku často trvá několik týdnů, než se podaří obnovit kritické systémy. V takovém případě potřebujete IT specialistu, aby vám ukázal, jak takové katastrofě čelit,“ doplňuje Martin Lohnert, ředitel dohledového centra kybernetické bezpečnosti Void SOC. 

Pomoci by subjektům ve zdravotnictví mohl i stát. Rada pro kybernetickou bezpečnost, což je poradní orgán předsedy vlády pro tuto oblast, ale zatím není příliš aktivní. Za své zájmy nelobují ani Asociace nemocnic ČR, Sdružení soukromých nemocnic ČR ani další organizace sdružující zdravotnická zařízení. 

Ministerstvo zdravotnictví by podle expertů mohlo vytvořit jakýsi manuál pro nemocnice, jak jednotně postupovat při zajištění kyberbezpečnosti. 

„Nemocnice fungují do značné míry na podobném principu. Pokud by existoval manuál, jak má ideálně vypadat bezpečnostní architektura nemocnic, jaká doporučení by se měla dodržovat, byl by to krok pozitivním směrem. Málokterá zdravotnická organizace má zkušeného IT architekta, který by dokázal takovou infrastrukturu navrhnout,“ upozorňuje Martin Lohnert. 

Nemocnice by tak nemusela vytvářet bezpečnostní architekturu sama případně se soukromými externími dodavateli, „V konečném důsledku ale řešení stejně zůstane na té organizaci. Musí tam být uvědomělí lidé, kteří vnímají, že to riziko je dnes reálné a obrovské,“ dodává ještě Lohnert.

Skokový nárůst

Policie monitoruje trestné činy v kyberprostoru od roku 2011, kdy bylo evidováno asi 1500 útoků. Od té doby narostl jejich počet téměř pětinásobně, v roce 2018 zaznamenala policie více než 7000 útoků.  Statistika přitom neukazuje skutečný počet případů, ale jen trestných činů, které byly kvalifikovány.

Pachatelé nepoužívají jen ransomware (vyděračské) útoky. „Někteří kradou data o konkrétních pacientech, což už je velmi cílený útok. Je tu snaha prodávat informace, které se dají zpeněžit,“ prozrazuje Stanislav Smolár.

Dále jde o takzvané kryptoútoky. „Infikovaná zařízení obětí těží pro útočníky kryptoměny, botnety kradou výpočetní výkon, což si zákazník často nevšimne, nebo si toho všimne pozdě,“ doplňuje.

Za posledních osm let také narostl více než dvojnásobně podíl hackingu na celkové kybernetické kriminalitě.