Důvodů k útokům na nemocnice je víc než dost
„Kybernetická bezpečnost není záležitostí zákonů, ale pudu sebezáchovy,“ řekl v úvodu konference o kybernetické bezpečnosti, která se konala počátkem února 2021, Ing. Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti. Konferenci pořádala Academy of Health Care Management. Předseda její správní rady, MUDr. Oldřich Šubrt, CSc., MBA, uvedl sérii prezentací prohlášením, že změnit návyky v tak konzervativním prostředí, jako je zdravotnictví, je velmi složité. „Málokdo z managementů zdravotnických zařízení si dovede představit, jak by mohla být cenná data uložená v digitální podobě zneužita,“ dodal.
Na virtuální konferenci vystoupili zástupci oficiálních a státních institucí, které se kybernetickou bezpečností zabývají, i odborníci z praxe, kteří kybernetickou bezpečnost a bezpečnostní incidenty řeší.
Jak na konferenci zaznělo, pandemie COVID‑19 vehnala zdravotnictví do živelné digitalizace a rozvoje telemedicíny, přičemž nebyly vždy dodrženy zásady ochrany dat. Zdravotnická dokumentace obsahuje velice citlivé a pro zločince cenné informace, z nichž lze mít ekonomický prospěch. Hackeři mohou zcela zablokovat provoz nemocnice nebo jejich některých částí, což může stát i lidské životy. Dalším „ziskem“ z bezpečnostních incidentů je „prestiž“ v jisté virtuální komunitě. Důvodů, proč napadnout elektronický informační systém jakkoli velkého zdravotnického zařízení, od jednotlivých ambulancí až po velké nemocniční holdingy, by se našlo více.
Podle Ing. Špidly má kybernetická bezpečnost (KB) tři pilíře: důvěrnost, integritu a dostupnost pro osoby s oprávněním, které je zapotřebí ochránit, aby mohla být poskytována kvalitní zdravotní péče.
Mapování rizik
Všichni řečníci se shodli v tom, že ochrana informačních systémů spočívá především v zabezpečení procesů a že nejrizikovějším článkem v kybernetické bezpečnosti jsou uživatelé systému. Je nutné mít zmapováno zabezpečení z vnějšího přístupu (například dodavatelé), vnitřní prostředí (přístroje, místnosti, lidé) a mít vytipována „slabá místa“.
Při pořizování či obnově informačního systému je klíčové myslet na jeho zabezpečení proti útokům ihned od počátku. Jakékoli jiné řešení („dovybavení o bezpečnostní prvky“) se prodraží a nikdy nebude fungovat tak, jako když je zabezpečení integrální součástí nového systému.
Za KB je vždy zodpovědný management, nikoli bezpečnostní technik nebo pracovník zabývající se rozvojem a správou informačních technologií a sítí.
Existují komerční společnosti, které se zabývají prověřováním KB tím, že se snaží prolomit zabezpečení, a tak upozornit na kritická místa. Tito „etičtí hackeři“ by měli testovat kybernetickou bezpečnost opakovaně, protože se vyvíjejí jak technologie, tak nebezpečnost kybernetických útoků.
Oficiální standardy KB?
Z pohledu Ministerstva zdravotnictví ČR je nutné usilovat o standardizaci zabezpečení pro subjekty kritické informační infrastruktury (KII), jejichž charakteristika je popsána v metodických návodech, které jsou vyvěšeny na stránkách Ministerstva zdravotnictví ČR (https:// ncez.mzcr.cz/cs/kyberneticka‑bezpecnost/ kyberneticka‑bezpecnost).
Naprosto chybí zákon o elektronickém zdravotnictví, podle jehož návrhu by měl mít každý občan ČR v roce 2030 svůj elektronický zdravotní záznam.
Realizace zabezpečení subjektů kritické informační infrastruktury naráží na zastaralost zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Návrh novely by měla projednat Poslanecká sněmovna Parlamentu České republiky co nejdříve, ale…
V současnosti spadají podle kybernetického zákona pod regulaci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s různou přísností tři kategorie subjektů. Kategorií s nejsilnějším dohledem a nejpřísnějšími pravidly je kritická informační infrastruktura. Další jsou významné informační systémy a třetí provozovatelé základních služeb.
Za prvek kritické informační infrastruktury jsou podle nařízení vlády č. 154/2020 Sb. ze dne 9. dubna 2020 považována zdravotnická zařízení, jejichž celkový počet akutních lůžek je nejméně 2 500 (1). Přitom největší česká nemocnice, Fakultní nemocnice v Motole, má 2 200 lůžek.
Nemocnice spadají do třetí kategorie subjektů, které přímo podléhají národnímu kybernetickému úřadu, tedy mezi provozovatele základních služeb. Aktuálně od prvního ledna spadá do této kategorie zhruba 46 největších nemocnic. Zjednodušeně jsou to ty, které mají více než 400 lůžek (viz box Poskytovatelé „základní služby“). Ty může NÚKIB kontrolovat a může jim poskytovat služby jako skenování zranitelnosti. Ještě loni to platilo jen pro 16 největších nemocnic, u ostatních byly možnosti NÚKIB jen omezené.
Nicméně v České republice je přes 30 000 zdravotnických zařízení. Bezpečí očekávají pacienti i v menších, regionálních nemocnicích (ať státních, nebo soukromých), v ambulantní sféře, zkrátka v každém zdravotnickém zařízení. Určitým řešením může být certifikace KB podle ISO 27 000, kterou poskytuje několik soukromých subjektů.
- Identifikace citlivých dat
- Ohodnocení aktiv a identifikace vazeb
- Identifikace hrozeb a zranitelnosti
- Management rizik a jejich řešení
Rozvoj a implementace principů KB
Strategie Ministerstva zdravotnictví ČR (2016–2020) v oblasti kyberbezpečnosti (KB) ve zdravotnictví měla pět cílů:
- Zavedení resortního systému řízení KB zaměřeného na klíčové organizace (MZ, SÚKL, ÚZIS); byla vypracována vzorová dokumentace řízení KB, která byla poskytnuta všem zdravotnickým zařízením bezplatně
- Ochrana resortní KII a významných informačních systémů
- Vzdělávání a osvěta všech pracovníků ve zdravotnictví, kteří přicházejí do kontaktu s informacemi
- Resortní předpisy pro KB
- Elektronizace zdravotnictví a implementace KB
Podle nově připravované koncepce KB (strategie na roky 2021–2025) se MZ zaměří na zdravotnictví jako na celek a chce vypracovat metodiky pro celý resort s touto soustavou globálních cílů:
- Zavedení řízení KB jako mandatorního procesu všech poskytovatelů zdravotních služeb
- Zajištění minimálního technického standardu KB
- Zvyšování bezpečnostního povědomí
- KB elektronického zdravotnictví
- KB zdravotnických prostředků
Při pohledu na tyto ambiciózní cíle vyvstává otázka zdrojů, a to jak finančních, tak technických, ale především personálních. Je známým faktem, že na personální zajištění KB nejsou ve zdravotnictví dostatečné zdroje, pokud by měly být čerpány z úhrad za výkony od zdravotních pojišťoven. Kvalitní specialisté na informační technologie jsou „úzkým profilem“ i v sektorech s daleko vyššími rozpočty, jimiž disponuje management jiných odvětví (například bankovnictví).
K zajištění KB lze čerpat z grantů EU v rámci projektu IROP 10.
Naléhavost řešení nejčastějších chyb
KB je nutné řešit ihned. Nutnost dokládají incidenty z posledních let, které ohrozily nejen malé, ale i fakultní nemocnice.
Co dělat v případě incidentu? Podle Národního úřadu pro kybernetickou a informační bezpečnost je nutné incident nahlásit a kontaktovat NÚKIB, který vyšetří charakter incidentu a rozsah poškození. Po analýze stavu je následně navrženo řešení, zajištěny stopy a indikátory kompromitace.
Incident přichází jako phishing, nabídka veřejně dostupné služby z internetu, jako neautorizovaný přístup k vnitřní síti (nezabezpečená WiFi), ale velmi často z osobních zařízení (soukromé notebooky, tablety, externí disky, USB disky apod.), které nesou ransomware.
K nejčastějším chybám při zajištění KB patří technické nedostatky: neexistence segmentace sítě, neaktualizace bezpečnostních postupů, absence bezpečného zálohování dat. Téměř vždy lze nalézt manažerské pochybení, nedostatečné školení uživatelů, které se musí pravidelně opakovat, a absenci monitoringu bezpečnostních rizik. V současnosti však není povinný ani minimální bezpečnostní standard.
KB přístrojového vybavení
Velkou hrozbu představují přístroje (zpravidla jde o nákladnou zobrazovací techniku s dlouhou dobou životnosti) s neaktualizovaným, respektive nepodporovaným soft warem. Doposud se prodávají přístroje se systémy Windows XP a Windows 7, které již nejsou Microsoftem podporovány. Některé přístroje tak představují doslova black box, přes který se nepovolaná osoba může dostat do celonemocniční sítě, odnést si jakákoli data či jiným způsobem prolomit KB.
Budování bezpečnosti informací
Specialista, který je odpovědný za KB, musí být plně respektován managementem zdravotnického zařízení, musí mu být svěřena důvěra a vyhrazen dostatečný čas k naléhavé komunikaci. Klíčové je zajištění jednotného přístupu k zajištění KB s přidělením správně formulovaných rolí i odpovědnosti. Principy a konkrétní zajištění KB je nutné přizpůsobit charakteru zdravotnického zařízení a typům poskytovaných služeb. Nesmírně důležitá je spolupráce všech, kteří přicházejí do kontaktu s informacemi, a sdílení zkušeností.
Rok 2020 a průběh pandemie onemocnění COVID‑19 s tlakem na omezení sociálních kontaktů zásadně urychlil rozvoj a používání elektronických metod ve zdravotnictví. Principem celého eHealth je digitalizace a následné sdílení zdravotních informací, což dává základ elektronizaci zdravotnické dokumentace každého občana (podle návrhu zákona o elektronizaci zdravotnictví).
Tato změna v práci s daty s sebou přináší potenciální zlepšení kvality i zvýšení efektivity poskytování zdravotních služeb. Nebezpečím je však zranitelnost elektronických systémů, a především organizační, technologická, finanční i personální náročnost jejich ochrany. Přestože se o eHealth hovoří minimálně deset let, elektronizace zdravotnictví a kybernetická bezpečnost stále patří k podhodnoceným problémům ze všech hledisek: legislativního, ekonomického i personálního. Z jiných oborů však víme, že technické nástroje a technologie jako takové existují. Snad nastane doba, kdy si vláda a zodpovědné instituce uvědomí, že se vyplatí je implementovat i do zdravotnictví. Tím není myšleno vypracování strategie do roku 2030, ale okamžité řešení.
Zdroj:
Nařízení vlády č. 154/2020 Sb. ze dne 9. dubna 2020, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění nařízení vlády č. 315/2014 Sb. Vláda nařizuje podle § 40 odst. 1 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb. a zákona č. 430/2010 Sb., k provedení § 4 odst. 1 písm. d):
Čl. I
V příloze k nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění nařízení vlády č. 315/2014 Sb., bod IV. zní: „IV. ZDRAVOTNICTVÍ A. Poskytování zdravotních služeb Zdravotnické zařízení, jehož celkový počet akutních lůžek je nejméně 2500.“
Zdroj: MT