Analýza: České nemocnice nemají dostatečně zajištěnou kyberbezpečnost

Kybernetická bezpečnost je v českých nemocnicích zajištěna v průměru přibližně jen ze třetiny toho, co definuje příslušný zákon. Tím se přitom musí řídit všechny velké nemocnice a v brzké době po implementaci směrnice NIS2 se povinnost rozšíří prakticky na všechny. Nemocnice většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů. Nejsou tak dostatečně připraveny reagovat na kybernetické útoky, což může mít negativní dopad na jejich fungování, ale i ohrožovat data a zdraví pacientů. Vyplývá to z analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku.

„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí. O to více nás překvapuje stávající realita. Nemocnice sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu nestačilo k zajištění bezpečnosti a fungování nemocnice před pěti lety, natož nyní. Informační technologie jsou v nemocnicích přítomné prakticky na každém místě a v každém zařízení. Jakýkoliv jejich výpadek může mít dalekosáhlé následky a ohrožovat zdraví pacientů. Nejde vůbec jen o dodržování zákona, zajištění dostatečné kybernetické bezpečnosti by mělo být v dnešní době samozřejmostí nejen pro nemocnice,“ říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

Legislativa stanovuje dva okruhy kyberbezpečnostních opatření – organizační a pak samotné technické. Podle poznatků expertů ComSource plní nemocnice v průměru přibližně pouze třetinu z nich – 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.

Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí.

Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti. „Důvodem je pravděpodobně i to, že jsou nemocnice již dlouhodobě zvyklé vybírat dodavatele v souladu se zákonem o zadávání veřejných zakázek, nebo kontrolovat trestní rejstřík nových zaměstnanců, seznamovat je s interními směrnicemi a řídit jejich přístupové účty. Často ale chybí pravidelná školení o informační bezpečnosti nebo základních hygienických pravidel online světa,“ říká Michal Štusák z ComSource. 

Zatímco nyní se legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic. Ve schvalovacím procesu je totiž nový zákon o kybernetické bezpečnosti, který do českého práva implementuje evropskou bezpečnostní směrnici NIS2, a který rozšíří povinnost dostatečné kyberbezpečnostní ochrany na mnohem větší počet subjektů. 

„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem,“ dodává Michal Štusák z ComSource. 

Příklady oblastí, které nemocnice obvykle nemají dostatečně vyřešené:

• Systémy řízení bezpečnosti informací
• Organizační bezpečnost, zajištění bezpečnostních rolí
• Postupy pro zvládání kybernetických incidentů a řízení kontinuity činností
• Zabezpečení komunikačních sítí
• Správa a ověřování identit, řízení přístupových oprávnění
• Zaznamenávání IT událostí, detekce kyberbezpečnostních událostí
• Zabezpečení aplikací, využívání kryptografických prostředků, zabezpečení specifických systémů

Příklady oblastí, které nemocnice obvykle mají dostatečně zajištěné:

• Řízení dodavatelů a bezpečnosti lidských zdrojů
• Řízení přístupu, fyzická bezpečnost
• Antivirová ochrana koncových stanic

Zdroj: ComSource

Zdroj ilustračního obrázku: Jair Lázaro on Unsplash