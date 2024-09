Na konci roku 2019 hackeři ochromili nemocnici v Benešově, návrat do plného provozu trval skoro tři týdny.

Nemocnice, kde jsou vypnuté všechny počítače. Nefunguje rentgen, odesílání výsledků z laboratoří ani rezervační systém. Pacienti, kteří půl roku čekali na plánovanou operaci, mají smůlu. Akutní případy přebírají okolní zdravotnická zařízení. Nemocnice se uzavírá a funguje v krizovém režimu. Důvod popsaného fiktivního scénáře? Kybernetický útok. Povinnost zabezpečit se proti hackerům přitom některé české nemocnice nemají. Změnit to má projednávaný zákon.

Podobné útoky už se v České republice staly. Na konci roku 2019 hackeři ochromili nemocnici v Benešově, návrat do plného provozu trval skoro tři týdny. O několik měsíců později zacílili internetoví zločinci na Fakultní nemocnici Brno. „Postupně začaly vypadávat jednotlivé systémy. Připravujeme náhradní způsoby řešení, například se recepty budou psát rukou," uvedl tehdy ředitel brněnské nemocnice Jaroslav Štěrba.

Škoda v nemocnici v Benešově dosáhla téměř šedesáti milionů korun, mimo jiné jí neproplatily zdravotní pojišťovny zrušená plánovaná vyšetření, zákroky, operace a podobně. Brněnská nemocnice v roce 2020 takto přišla o 160 milionů.

Následovaly velké investice do posílení kybernetického zabezpečení. V roce 2022 na něj Fakultní nemocnice Brno čerpala 123 milionů korun z evropských dotací. „Průběžně doplňujeme a modernizujeme své bezpečnostní opatření tak, aby si neustále zachovávala svoji bezpečnostní účinnost i v souladu s legislativou,” doplnila mluvčí nemocnice Lenka Martinková.

Bezpečnostní pravidla pro nemocnice

Nový zákon o kybernetické bezpečnosti rozšíří povinnost chránit své počítačové systémy kromě jiných organizací právě i na de facto všechny české nemocnice. Zatím musí konkrétní pravidla dodržovat jen čtyřiačtyřicet největších. „Musí mít pořádek v datech a v systémech, mít bezpečnostní dokumentaci, řídit přístup, zálohovat, mít frekventovanou síť, aby se případný útočník nedostal všude. Spadají tam požadavky na to, jak se zaměstnanci mají chovat, jak mají nakládat s výpočetní technikou. Například, že nemůžou pracovní počítač používat na stahování filmů," vyjmenoval ředitel odboru regulace Národního úřadu pro kybernetickou a informační bezpečnost Adam Kučínský.

Odolnost organizací před hackery testuje v České republice například společnost Appsec, jež poskytuje technologie pro zabezpečení sítě. Při takzvaných penetračních testech její zaměstnanci zkoušeli proniknout k datům také některých nemocnic. Ve většině případů úspěšně. „Děláme to stejným způsobem a s použitím velmi podobných technologií, které mají k dispozici hackerské skupiny. Měli jsme i zákazníky, u kterých jsme pronikli do aplikací nebo do databází a viděli jsme, že už tam někdo byl před námi," podotknul ředitel firmy Adam Paclt.

Ani zákonem požadovaná ochrana není stoprocentní. Například Fakultní nemocnice Brno v době útoku již povinně dodržovala bezpečnostní opatření, jaká se v případě schválení zákona rozšíří i na menší nemocnice. „Je to podobné, jako když půjde člověk večer přes park a někdo ho přepadne. Máme tady policii, ale stejně se to stává. Důležité je, že ta pravděpodobnost je jen minimální a dopady jsou menší. Součástí zabezpečení je i plán, co v případě útoku dělat," popsal Kučínský.

Nový zákon o kybernetické bezpečnosti - Vypracoval ho Národní úřad pro kybernetickou a informační bezpečnost.

- Do českého práva zavádí evropskou bezpečnostní směrnici NIS2.

- Navíc přináší takzvaný mechanismus bezpečnosti dodavatelského řetězce, což je nástroj státu, kterým může zakázat rizikové dodavatele ve strategicky významných službách. Jde o část, která je nejvíce diskutovaná a u některých firem budí odpor, například u telekomunikačních společností.

- Cílí na firmy a státní správu. Ze současných zhruba 500 organizací rozšíří povinnost kybernetického zabezpečení na asi 6000 subjektů.

- Povinnost kybernetického zabezpečení bude mít podle nového zákona celkem 107 služeb ve 24 odvětvích od veřejné správy přes energetiku, ale i odvětví, které doteď regulované z pohledu kybernetické bezpečnosti nebyly, jako je třeba potravinářství či nakládání s odpady.

- Požadavky na kybernetickou bezpečnost podle nového zákona jsou téměř stejné jako podle současného. Patří mezi ně například zavedení bezpečnostních opatření a hlášení kybernetických bezpečnostních incidentů. Vychází z mezinárodních norem.

- Důvodová zpráva k zákonu uvádí náklady firem mezi osmi sty tisíci a milionem a půl korun na jeden zabezpečovací systém, přičemž organizace jich můžou mít víc.

- Zabezpečení firem je podle zástupců Národního ústavu pro kybernetickou a informační bezpečnost stěžejní. Podle aktuální zprávy izraelského ICT bude kybernetická kriminalita v roce 2025 třetí největší ekonomikou světa.

- Vláda zákon schválila v červenci, momentálně čeká v poslanecké sněmovně na první čtení.

Konkrétně u nemocnic je u kybernetického zabezpečení podle Paclta často problém s penězi. Není v nich dostatek kvalifikovaných lidí ani prostředků na nákup technologií. „Když už je nakoupí, tak zase chybí expertíza, aby je uměli nastavit a dlouhodobě využívat. Dokázali jsme proniknout do několika nemocnic, kde měli super firewall (zařízení, které slouží k řízení a zabezpečování síťového provozu, pozn. red.), ale my jsme ani nevěděli, že tam je,“ poznamenal.

Platnými předpisy a zákony tak, aby zajistila maximální bezpečnost počítačových systémů, a tím i poskytování zdravotní péče pro své pacienty, se už teď řídí například Oblastní nemocnice Kolín. „Součástí opatření jsou pravidelná školení zaměstnanců a plánujeme nasazení nástroje, který sleduje chování na koncových stanicích. Další podrobnosti nebudeme z bezpečnostních důvodů sdělovat. Nicméně na kybernetickou ochranu ročně dává kolínská nemocnice do dvou procent z celkového rozpočtu,“ sdělila mluvčí nemocnice Iveta Vávrová.

Hackerský útok může vrátit nemocnici o 60 let zpět, říká předseda asociace nemocnic

Nový zákon o kybernetické bezpečnosti rozšíří povinnost chránit se proti hackerským útokům i na menší české nemocnice. Potýkat se zřejmě budou s vysokými náklady a nedostatkem odborníků, prevence je ale stěžejní. „Když vyřadí počítačovou síť, tak se nemocnice vrátí o šedesát let zpátky," upozorňuje předseda Asociace českých a moravských nemocnic Michal Čarvaš.

Jaký dopad očekáváte od nového zákona o kybernetické bezpečnosti na nemocnice, které doposud povinnost zabezpečení neměly?

Bude to samozřejmě spousta práce, růst nákladů na administrativu a další věci. Nemocnice budou muset přijmout kyber manažery i další zaměstnance, sepsat k tomu dokumentaci a začít se řídit podle podmínek NIS II.

Jaké jsou největší překážky při zavádění kybernetických bezpečnostních opatření v nemocnicích?

Určitě bude složité sehnat dostatek odborníků pro všechny nemocnice. A také finanční stránka. Nebude to úplně levné.

Úspěšný kybernetický útok na nemocnici může ovlivnit poskytování zdravotní péče. Můžete přiblížit konkrétní dopady, které taková situace přináší?

Dopad je zásadní. Samozřejmě záleží, co všechno útok zasáhne. Nemocnice shromažďují data o zdravotním stavu pacientů, většinou jde ale hackerům o vyřazení počítačové sítě a následné výkupné. V okamžiku, kdy vyřadí počítačovou síť, tak se nemocnice vrátí o šedesát let zpátky. Takže ten dopad je fatální a může být samozřejmě fatální i pro pacienty. Proto je snaha, aby ta síť byla co nejvíc chráněna.

Mají české nemocnice momentálně dostatečné zabezpečení proti hackerským útokům?

Spousta nemocnic zákonné podmínky z velké části plní, i když zatím nemusí. Snaží se zabezpečit perimetr, emailový server, koncové stanice a tak dále, protože je to potřeba, ty hrozby na trhu jsou. Ale jestli jsou hackeři o kousek před námi, nebo jsme udělali dost, to ukáže vždycky až praxe.