Jak na IT bezpečnost Česka? Nebát se a táhnout za jeden provaz

Nové mezinárodní srovnání ukázalo, že Česká republika pokulhává v zabezpečení klíčových IT infrastruktur. Jak jsou na tom nemocnice? Jsou naše osobní zdravotní data v bezpečí? A nemají nakonec pravdu někteří seniorní lékaři, kteří nedají dopustit na staré dobré papírové kartotéky a záznamy? V rozhovoru na to odpovídá Radim Navrátil, vedoucí oddělení Security Response Teamu specializované firmy TOTAL SERVICE, a. s.

Podle mezinárodních srovnání se Česká republika posunula mezi méně bezpečné země, alespoň co se kyberkriminality týče. Spadli jsme o 15 míst až na 35. příčku. O čem tato informace vypovídá? Stali jsme se častějším terčem hackerů a počítačových virů?

O čem tato situace vypovídá? Osobně si myslím, že to vypovídá přesně o tom, co se děje a jak reaguje naše společnost. Všichni se nadchnout pro jednu věc a po nějaké době už prvotní nadšení opadne. A je tomu tak i v IT security. Tedy firmy (ať už musely nebo chtěly) „něco“ do zabezpečení investovaly, ale pak už bezpečnost dále nerozvíjejí – nemají na to vlastní zdroje a na odborníky zase nemají finanční zdroje. A ruku na srdce, jak se staráte o bezpečnost na svých domácích zařízeních vy? Máte například změněné výchozí administrátorské heslo na domácím Wi-Fi routeru? Ale světlo na konci toho dlouhého tunelu vidím. Firmy a i jednotlivci investují do edukace, a to je to nejdůležitější. Dokonce i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) otevřel pro veřejnost svůj online kurz Bezpečně v kyber!

Nemyslím si, že bychom se jako Česká republika stali častějším terčem hackerů, jen se jim více daří pronikat tam, kam by neměli a kde by to mělo být zabezpečené.

Vaší specializací je IT bezpečnost ve zdravotnictví. V jakém stavu jsou česká páteřní zdravotnická zařízení? Jsou dostatečně chráněna před vnějšími hrozbami?

Česká republika v tomto trošku zaspala, ale snaha o nápravu zde je. Hlavní náplní zdravotních zařízení je léčit, a ne IT bezpečnost, tedy nevěnovali tomu v minulosti moc energie a hlavně financí. Toto se ale změnilo a s novelou kybernetického zákona se toto rozšíří i na další ne jenom páteřní zdravotnická zařízení. Což je velice dobře. Vidím zde i snahu spojit síly a čelit hrozbám i centrálně, ale toto je běh ještě na dlouhou trať. Máme aktuálně jedinečné srovnání, a to díky projektům, jež realizujeme pro VZP, ÚZIS či Fakultní nemocnici v Ostrava.

Všechna zařízení se snaží být chráněna proti vnějším hrozbám a většinou jsou chráněna dostatečně, ale správná otázka je – jak jsou chráněna proti vnitřním hrozbám? Tedy jak jsou poučeni a proškoleni v bezpečnosti zaměstnanci. Bezpečnost je celek, který je tak silný, jak je silný nejslabší článek. Tedy učit se, učit se a učit se.

Předpokládám, že fakultní nemocnice jsou proti virům a hackerům lépe chráněny než například menší zařízení regionálního významu. Je to tak? A mění se tato situace?

Ano, přesně tak, fakultní nemocnice mají oproti menším zdravotním zařízením více prostředků, a to jak finančních, tak i třeba personálních. Tedy jsou lépe chráněny, neboť si to mohou ze svých rozpočtů dovolit. Nicméně po útocích v roce 2020 se toto mění a snaží se investovat do IT Security i ostatní zařízení. Sice ne tak moc (nemají miliony korun na NGFW, SIEM řešení a provoz SOC služby), ale i to málo je pozitivní a myslím si, že to jde dobrým směrem.

Jak si vedeme v IT zabezpečení zdravotnictví ve srovnání se svými nejbližšími sousedy? Můžete porovnat nás, Rakousko, Německo, Polsko?

No v této pandemické době je všechno složitější, a i toto porovnání není tedy jednoduché. Je zde hodně vstupů, které nejsou dostupné a okolní státy si je přísně střeží. Ale jak jste se ptal hned v první otázce – spadli jsme o 15 míst až na 35. příčku v obecném žebříčku, a to o něčem vypovídá. Nejsme ale na tom zase tak špatně – například Slovensko také spadlo o 8 příček a je až na 70. místě. Podle kyberžebříčku je na prvním místě nově Katar, který na druhou pozici odsunul Bhútán. Opačným směrem se nejvíce posunul Nepál, kterému patřila 13. pozice a nyní má 59. místo. Je tedy vidět, že „bohaté“ země investují do nových směrů a snaží si je i zabezpečit, a je tomu tak i v zabezpečení zdravotnictví.

Jak si vede například Maďarsko? Ptám se proto, že tamní politická situace je poměrně specifická, tamní politická reprezentace ovládá prakticky všechny klíčové instituce a podle premiéra Orbána je bezpečnost země „absolutní prioritou“.

Co se týče Maďarska a slov premiéra Orbána, o bezpečnosti země platí – vidíme to i na nákupu vakcín. Pro ochranu dělají vše, ale jak jsou na tom v oblasti ochrany ve zdravotnictví, aktuálně bohužel nemám informace.

To, že si Česká republika nevede v mezinárodním srovnání dobře, nás těšit nemůže. V čem bychom se mohli inspirovat v zahraničí, abychom tento trend otočili?

Nebát se a táhnout za jeden provaz. Podle mě to začíná u politiků a směřuje pak do úředních postojů. Co takhle zkusit zažít další „Nagano 98“, všichni v tu dobu byli hrdí na to, že jsou Češi a chodili se dívat na přímé přenosy. Potřebujeme se v tomto ohledu do jisté míry spojit a mít úspěch. Klíčovou roli může sehrát NÚKIB a finanční zdroje na obnovu z EU.

V čem se inspirovat v zahraničí – myslím si, že v edukaci a investování prostředků i do bezpečnosti.

Pokud jde o IT bezpečnost, která země je pro vás osobně vzorem? A co konkrétně se vám v ní líbí?

Můj vzor je Izrael – tato země je v bezpečnosti, a to už obecné nebo kyberbezpečnosti, míle před námi. Co se mi na ní líbí – tu ukázněnost lidí a vervu, s jakou do toho všeho jdou.

Čím dál více informací ve zdravotnictví probíhá nikoli fyzicky, ale elektronicky. Přesto se najde řada lékařů, slovutných odborníků v různých oborech, kteří vám řeknou, že nad papírové kartotéky není. A že papírové recepty a žádanky, stejně jako popisy z vyšetření, jsou ta nejbezpečnější věc vůbec. Souhlasíte? Jak byste argumentoval proti?

Na toto existují různé názory a nedá se říci, co je lepší a co ne. Ale papír je papír, i když se to třeba pak nedá po lékaři přečíst. Pořád víte, kdo k tomu papíru má přístup, je zavřený v plechové kartotéce a pak se třeba přesune někam do suterénu do archivu. Nicméně, když přijde nějaká pohroma (povodeň, požár), tak vám ten papír shoří nebo se rozmaže a nemáte nic. Tedy určitě jsem pro elektronizaci, ale starého psa novým kouskům nenaučíš. Je to i o změně myšlení, kdy především starší generace věří papíru.

Argumenty proti papíru – bezpečnost, záloha, možnost rychlého sdílení, není problém s převodem na jiného „vlastníka“, jednoduchost – nepotřebujete tolik fyzického prostoru, a v neposlední řadě asi i ekologie – není třeba list papíru, a i přesto máte vše zapsáno. Je to prostě vývoj a ten nezastavíme – ulehčila vám starosti elektronická dálniční známka? Mně ano.

Jak náročné je ochránit například nemocnici před internetovými hrozbami? Vím, že z bezpečnostních důvodů neprozradíte všechno, ale jen krátce pro laika… Stačí obyčejný antivirový program, který si zakoupím a nainstaluji na svém domácím počítači?

Je nepsané pravidlo, že neochraňujete nic před hrozbami, spíše se snažíte minimalizovat škody. Ale jestli si myslíte, že antivirus spasí vše, tak ne. Současné útoky nejsou již klasické viry, co jsme znali z období Windows 95. Již nenajdete sedět v garáži potenciálního útočníka, který se snaží cosi naprogramovat a různě se vám do sytému nabourat. Současné hrozby jsou sofistikovanější a specializovaně, dokonce na tzv. darknetu se různě obchoduje s know-how, co a jak je na jaké veřejné IP za možnosti. Tedy klasický antivirus už dávno nestačí, je třeba zapnout jeho rozšiřující funkcionality. A k zabezpečení firmy je třeba přistupovat komplexně a začít ochranou perimetru, pak komunikace (a to je v této době asi nejvíc žhavé téma), ochranou aplikací, ochranou dat v aplikacích, ochranou operačních systémů, fyzickou ochranou zařízení – nezapomeňte na to, že data nyní máme již i v mobilech či tabletech. Dále důležité je také správné nastavení oprávnění, co kdo a kde může a nemůže udělat – a toto všechno jsou schopni útočníci zneužít a jakoukoliv „chybičku“ trestat.

Tedy je třeba útočníky zkusit dohnat, vždy jsou o několik kroků před Vámi.

---

Radim Navrátil

Do IT se aktivně zapojil při studiu již v roce 1999, kde spolupracoval s IBM na unikátním projektu www.jobs.cz ve společnosti Libora Malého, kde si „přičuchnul“ k bezpečnosti a administraci Lotus Domino (nyní HCL Domino). Po devíti letech se přesunul od zákazníka k partnerovi, kde opět rozvíjel svoje vědomosti a znalosti v aplikační infrastruktuře a bezpečnosti. V roce 2016 nastoupil do společnosti TOTAL SERVICE, a. s., kde zastává funkci vedoucího oddělení Security Response teamu, jenž je mezinárodně akreditovaný SOC u sdružení Trusted Introducer. Radim bydlí v Praze na Černém Mostě a je aktivní i v neziskových organizacích KlaPeto a MDA Ride (pomáhá připravovat a organizovat jejich charitativní akce) a v organizaci Stop Zevling, která každoročně pořádá různé akce a sportovní vyžití právě na Černém Mostě. Radim je ženatý a má dvě děti.

---