Kybernetický útok na benešovskou nemocnici předminulý týden upozornil na významné riziko, které se v České republice zatím značně podceňuje – nedostatečné zabezpečení informačních systémů nemocnic. Lze ale před podobnou situací stoprocentně, nebo aspoň dostatečně, ochránit? A pokud ano, co – a především za kolik – je nutné udělat? První úvahou je, nakolik jsou nemocniční systémy součástí kritické infrastruktury.
Podle zákona tomu tak nyní není, s výjimkou těch největších, které poskytují základní služby dle vyhlášky č. 437/2017, což jsou zejména největší nemocniční zařízení nad 800 lůžek. Proto na rozdíl třeba od elektráren nebo tepláren nejsou plošně legislativně stanoveny konkrétní bezpečnostní úrovně a postupy. Ochranu svých IT systémů si proto nastavují samy. To neznamená, že se o toto téma nemocnice nezajímají. Často ale postrádají potřebné zkušenosti, a především peníze.
Rozdělení na oblasti
V praxi je třeba si rozdělit nemocniční IT agendu na oblasti dle toho, nakolik jsou životně důležité. Ekonomické a provozní informace až tak kritické nejsou. Pak jsou tu data pacientů – to je oblast citlivá a ochrany hodná. Jejich únik či zneužití by byl velký problém. A dále stěžejní systémy – dávkování léků, obsluhy přístrojů. Jejich zneužití či dočasné vyřazení by mohlo mít fatální následky. Ty je proto třeba chránit s nejvyšší prioritou.
Je třeba si rozdělit nemocniční IT agendu na oblasti dle toho, nakolik jsou životně důležité. Ekonomické a provozní informace až tak kritické nejsou. Pak jsou tu data pacientů – to je oblast citlivá a ochrany hodná. A dále stěžejní systémy – dávkování léků, obsluhy přístrojů. Jejich zneužití či dočasné vyřazení by mohlo mít fatální následky. Ty je proto třeba chránit s nejvyšší prioritou. |
V praxi se ukazuje, že koncepčně řeší kybernetickou bezpečnost zejména velké nemocnice, které spadají do uvedené vyhlášky. Tato zařízení si obvykle zakládají vlastní IT oddělení, jež se jí zabývá. Je to i pochopitelné – velká nemocnice je gigantický propojený organismus. U malých okresních nemocnic je situace horší. Jejich rozpočet jim vybudování speciálních oddělení jen těžko umožní, už teď mají s financováním provozu mnohdy problémy. Představa, že budou schopné zaměstnávat špičkové IT experty na bezpečnost, je iluzorní.
Bezpečnost IT v těchto nemocnicích mají obvykle na starosti in-house „ajťáci“ jako jednu z agend spolu se správou hardwaru a sítě. Úroveň zabezpečení proto bývá zhruba na úrovni základního nastavení firewallu a antiviru. Pokud se má zabezpečení nemocnic zlepšit, je faktor nákladů stěžejní. Případ od případu se bude lišit, ale pravděpodobně se bavíme o desítkách milionů korun na dva až tři roky pro každou.
První oblastí jsou nákupy – lepší síťové bezpečnostní prvky a zabezpečení infrastruktury, nový hardware, aktualizace a nejspíš i nový software. Druhou náklady na externí poradenské firmy, které se bezpečností zabývají. Protože si nemocnice jen obtížně postaví vlastní speciální tým, nejspíš sáhne po pravidelných auditech od firem, které se bezpečností zabývají. Lze očekávat, že první bezpečnostní audit bude dražší a návazné, opakované, levnější. Stejně bude potřebovat zpracovat krizový plán a pravidelné testovat situaci, kdy by vypadla část systémů.
Varianty obrany
Zároveň je třeba si přiznat, že dokonalá ochrana neexistuje. I instituce s aktualizovaným softwarem a správným přiřazením práv přístupu k jednotlivým účtům, firewallem a předpisy se může stát cílem úspěšného útoku zvenku. Klíčovou činností je tedy i kvalitní a časté zálohování dat i celého systému. To může pomoci třeba při ransomware útoku, kdy hacker zablokuje přístup k datům, dokud nedostane zaplaceno výkupné. Zkrátka, když vše předchozí selže, musí zde být ještě „krabička poslední záchrany“.
Lze očekávat, že u řady institucí bude kritická část jejich zařízení a systémů od internetu částečně či úplně odpojená. Některé nemocnice už podobný způsob obrany používají. Další variantou je samostatná síť buď jen pro nemocnice, nebo do níž by se mohly připojit. |
Vzhledem k tomu, jak přibývá útoků přes internet, a rostou bezpečnostní náklady,lze očekávat, že u řady institucí bude kritická část jejich zařízení a systémů od internetu částečně či úplně odpojená. Některé nemocnice už podobný způsob obrany používají. Samozřejmě nejbezpečnější je kritická zařízení zcela odpojit od okolní sítě. Otázkou je, nakolik je toto řešení reálné.
Další variantou je samostatná síť buď jen pro nemocnice, nebo do níž by se mohly připojit.Takovou síť už v podstatě český stát buduje v podobě Komunikační infrastruktury veřejné správy a Centrálního místa služeb (CMS). Ta je ovšem nyní zamýšlena pouze pro komunikaci orgánů veřejné moci. S tím, že by ji mohly využívat i další instituce se nepočítá. Výhodou takového řešení by bylo, že se zabezpečení řeší centrálně a s dostatečnou kapacitou investic a kvalifikovaných lidí.
