Achillovou patou obrany nemocnic před kyberútoky bývají řadoví zaměstnanci

Budova pražské Nemocnice Na Homolce

Budova pražské Nemocnice Na Homolce Zdroj: E15 Michael Tomeš

Nemocnice se musí lépe připravit na možné hackerské útoky. Útočníci, kteří za nimi stojí, vidí v pandemii příležitost, jak nemocnice zasáhnout ještě citelněji než dřív. „Kromě toho povinnosti na úseku kybernetické bezpečnosti vybraným nemocnicím nově ukládá zákon,“ říká právník Šimon Toman.

 „Tento problém existoval i v minulosti. V souvislosti s pandemií covidu však bohužel narostl na síle, protože se objevují skupiny, které se neštítí zneužít situaci, v níž se teď nemocnice nacházejí. Situaci, kdy jsou veškeré kapacity nemocnic plně vytíženy zachraňováním pacientů a zvládáním zdravotní krize a kdy jakýkoliv další nápor v podobě kyberútoku může nemocnici snadno přivést ke kolapsu,“ říká Šimon Toman z advokátní kanceláře Toman & partneři. V České republice v nedávné minulosti došlo k útokům na nemocnice v Brně, Ostravě, Olomouci či Benešově, nicméně informace z odborných webů potvrzují, že jde o celosvětový trend.

V praxi jde většinou o to zablokovat provoz napadené instituce nebo odcizit její data a žádat výkupné. V České republice není znám případ, kdy by k jeho výplatě skutečně došlo, ve většině případů, se útoky daří eliminovat. Jinde však hackerský útok vedl k dočasnému omezení zdravotnických služeb a dokonce i k finančním ztrátám.

„Způsobit nedostupnost informačních systémů ale nemusí být primárním cílem útočníků. Již dlouho jsou oblíbeným terčem zločinců také lékařské záznamy, které pro zločince představují lákavý cíl. Útočníci pak tato data nabízejí k prodeji, často v obrovských databázích obsahujících podrobnosti o tisících jednotlivců. Osobní údaje obsažené v běžném lékařském záznamu můžou být použity k dalším útokům, přičemž jména, e-maily a další identifikační údaje byly v minulosti použity k vytvoření cílených e-mailových phishingových útoků. Získané údaje se také často používají k podvodům a krádežím identity, či k vydírání. Zločinci mohou například vyhrožovat jednotlivci zveřejněním informací týkajících se lékařské diagnózy a požadovat zaplacení výkupného.

Digitalizace společnosti je podle slov Šimona Tomana nesmírně prospěšná, musí ji však doprovázet odpovídající zabezpečení systémů a intenzivní zvyšování kybernetické a digitální gramotnosti každého občana a uživatele.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na hrozby v oblasti kybernetické bezpečnosti nemocnic opakovaně upozorňuje, formou varování tak učinil v období mezi dubnem a květnem 2020. Upozornil tehdy na možné kybernetické útoky na informační a komunikační systémy zejména zdravotnických zařízení. Důsledkem takových útoků mohou být podle NÚKIB závažné dopady na dostupnost, důvěrnost či integritu informací u důležitých informačních a komunikačních systémů.

Začít je třeba u zaměstnanců

Z iniciativy Asociace krajů byl od letoška rozšířen počet nemocnic, které se musí na základě takzvaného kyberzákona zabývat kybernetickou bezpečností. Aktuálně je jich čtyřicet šest. „NÚKIB se velmi zodpovědně v rámci své edukativní činnosti věnuje i menším nemocnicím, na které působnost kyberzákona nedopadá, aby se i u nich riziko úspěšného kyberútoku efektivně snižovalo,“ dodává Toman.

Aktuální otázka ale zní, kde začít a jak zajistit účelné financování těchto aktivit. Mít řadu interních směrnic, jak zajišťovat kybernetickou bezpečnost je totiž užitečné jen v případě, že se podle nich lidé řídí. Podle odborníků je kritické ze všeho nejdříve začít se školením personálu a běžných uživatelů. Protože nejrizikovějším chováním bývá především otevírání nevhodných příloh u mailů, návštěvy nebezpečných webových stránek z firemních počítačů či stahování neprověřeného anebo neautorizovaného softwaru.

„Možnosti nemocnic rychle reagovat na aktuální kybernetické útoky jsou omezené časem, penězi a především zdravotnická zařízení nemají vždy k dispozici odborníky, kteří mohou rychle a účinně pomoci. Domnívám se, že nejrychlejším a nejvhodnějším aktuálním opatřením by mělo být vzdělávání všech, podtrhuji opravdu všech uživatelů IT zařízení a systémů, aby se uměli chovat zodpovědně, byli schopni odhalit útoky založené na sociálním inženýrství a dokázali tak napadení nemocnice předejít,“ říká i David Horad, šéf kybernetické bezpečnosti v české pobočce společnosti Huawei. Upozorňuje primárně na takzvané phishingové maily, které útočníkovi otevřou nejsnazší cestu do interních systémů prostřednictvím podvrženého odkazu na malware, tedy škodlivý software, který se tváří naprosto neškodně a nepozorný, nezkušený či nepoučený uživatel jej může snadno aktivovat jedním klinutím. Dobře je znají bezpečností IT experti bank. I v České republice proběhlo několik vln těchto e-mailů, jimiž se útočníci vydávající se za banku snažili od klientů získat přístupové údaje k jejich účtům.

„Ostatně uživatel je i v době všemožných bezpečnostních nástrojů tím nejzranitelnějším článkem řetězu a investice do jeho vzdělání se vrátí vždy. Třeba jako ušetřené náklady na obnovu ztracených dat,” zdůrazňuje Horad.

Pomoci může i cloud                                                                           

Pro nemocnice znamená řešení kybernetické bezpečnosti nejen nemalé úsilí, ale také náklady. Připravit je na ohrožení útokem, jejichž výskyt bude čím dál častější, by mělo být primárním zájmem státu.

„Souhlasím, že do kybernetické bezpečnosti by mělo směřovat mnohem více investic. Podle NÚKIB by měly alespoň částečně pomoct peníze z fondů Evropské unie, zatím však nelze určit, na co vše je lze využít. Lze uvažovat například nad využitím těchto prostředků pro bezpečné zavedení cloudů v nemocnicích,“ říká právník Toman. Cloudy znamenají umístění nejen dat ale i celých IT systémů u někoho, kdo se jejich ochranou zabývá profesionálně, přičemž uživatel se pouze vzdáleně připojuje. Za zcela primární však Toman považuje začít vzděláváním zaměstnanců: „Nejčastější bezpečnostní incidenty jsou totiž založeny na lidské chybě. Proto je v první řadě třeba nastavit vnitřní pravidla a postupy a dostatečně zaškolit všechny pracovníky.“