foto: www.pragodata.cz/Ing. Břetislav Moc
Co všechno nás (nejen nemocnice) čeká, o jaký fenomén se jedná, co všechno by už nyní měli manažeři nemocnic a zřizovatelů začít řešit? Bude toho mnohem víc, než nás ještě nedávno mohlo vůbec napadnout.
Velice přesný vhled a predikce nám poskytl CEO a předseda správní rady PragoData, a.s., Ing. Břetislav Moc:
Proces digitalizace zdravotnictví je dlouho ohlašován. Jak hodnotíte „zvenku“ aktuální stav Jsou státní a krajské nemocnice technicky na úrovni nebo aspoň jednotlivé organizace připravené?
Otázka je, co si představit pod "digitalizací českého zdravotnictví", to je hrozně široký pojem. Co je zřejmé, že proces elektronizace, možná lépe "informatizace", ve zdravotnictví probíhá, probíhá spíše od spodu a evoluční cestou. To znamená, že se dnes ve všech nemocnicích pracuje s nemocničními informačními systémy a s řadou dalších systémů pro různé specifické oblasti, nemocnice se vybavují moderní lékařskou technikou, což jsou v podstatě další sofistikované informační systémy, a samozřejmě nemocnice provozují vcelku rozsáhlou informační infrastrukturu, aby mohli přirozeně fungovat. Na úrovni zdravotnických zařízení tedy podle mě proces elektronizace běží a bude samozřejmě dál postupovat, a zdravotnická zařízení jsou podle mě dnes na digitalizaci připravena. Existuje zde samozřejmě řada problémů - například v oblasti integrace různých systémů, sdílení dat, kybernetické bezpečnosti atd.
Vaše otázka však asi míří k "politickým" proklamacím na téma digitalizace zdravotnictví, čímž se myslí především budování centrálních systémů ve zdravotnictví, tedy tzv. eHealth. Realizace těchto centrálních řešení/systémů samozřejmě vázne, i když i zde se objevují nějaké vlaštovky - například e-recept. Budování těchto centrálních systémů je však více než problém IT problém odborný, politický a možná i etický. Zatímco o nezbytnosti nemocničních informačních systémů nebo pořízení nového CT nikdo nepochybuje, tak koncept centrálního státního eHealth systému určitě vyvolá řadu polemik, bude zde řada příznivců a také odpůrců (především odpůrců tzv. Velkého bratra), a to jak mezi odbornou veřejností - lékaři, tak mezi politiky a obecnou veřejností. Jestli tedy nastane nějaký pokrok i v rámci zmíněných centrálních systémů eHealth, a jak velký to bude posun, je samozřejmě otázka.
Důležitější ale je, že pokrok v elektronizaci a digitalizaci zdravotnictví v podstatě nelze zastavit, ta bude dál pokračovat svou evoluční cestou, tam jsem optimista.
Rozvoj technologie, online komunikace, IT systémů, práce s daty a další nezbytné posuny vyžadují vysoce odborné pracovníky. Bude jich v nadcházejících letech dost?
Zde je odpověď jednoduchá - nebude. Není jich dost ani nyní a předpokládám, že do budoucna se bude situace ještě zhoršovat, to je bohužel trend nejen v ČR, ale v celé Evropě. Budou se proto muset hledat nové cesty zajištění odborné podpory, a to nejen pro zdravotnická zařízení. Bude se asi více směřovat k tzv. outsourcingu těchto ICT odborných služeb, využívání různých sdílených center atd.
Kde je podle vás nejslabší místo nemocnice, pokud se jedná o ohrožení kyberbezpečnosti?
Kyberbezpečnost je zase obrovsky široké téma, které není rozhodně jenom o odborně IT problematice, ale zasahuje do procesů řízení a managementu, procesů a pravidel fungování jednotlivých organizací, organizace práce, vzdělávání zaměstnanců, kontrolní činnosti atd. Častou chybou právě bývá, že se problematika kybernetické bezpečnosti ze 100 % spojuje s IT a u většiny organizací se také její řešení tzv. "hodí" na IT oddělení. Tam vznikají první mezery a slabiny v oblasti kyberbezpečnosti. S takovými názory se ale hodně potkáváme i mezi IT odbornou veřejností, která kouká na kyberbezpečnost optikou IT, hledají se jednoduchá řešení, tam kde jsou komplexní problémy. Častokrát slyšíte: my jsme si koupili nejdražší "krabičku A" nebo "software B" a ty nám problém bezpečnosti organizace vyřeší, a pak panuje údiv, že nevyřeší. Naši odborníci často říkají, že je 10x lepší koupit si nějaké normální standardní zařízení - například firewall a investovat především do odborných služeb, jeho kvalitního nastavení a vyladění, než si koupit nejdražší a technologicky nejvyspělejší zařízení, provozovat ho špatně nakonfigurované a žít ve falešném pocitu bezpečí. Řešit dobře kybernetickou bezpečnost je jako skládat rozsáhlou mozaiku z jednotlivých dílků, musíte se na tu mozaiku koukat z odstupu, aby by byly vidět mezery, chybějící dílky, nebo nevhodně vybrané a umístěné dílky mozaiky. V oblasti kybernetické bezpečnosti je každý takový chybějící nebo špatně zvolený dílek slabým místem obrany. V té IT rovině je důležité, aby spolu jednotlivé bezpečnostní komponenty (ať už hardwarové či softwarové) a bezpečnostní opatření tvořily jeden fungující celek, aby se vzájemně doplňovaly a nějak spolupracovaly, tedy vytvářely ucelené bezpečné prostředí. Pak je důležité se o takové prostředí trvale a kontinuálně starat, nasazovat upgrady, instalovat bezpečnostní záplaty, upravovat nastavení a konfigurace, reagovat na nové hrozby, modernizovat opatření atd.
V té netechnologické oblasti kybernetické bezpečnosti je potřeba se zaměřit na bezpečnostní pravidla v rámci organizace, organizaci práce, vzdělávání zaměstnanců - bez řešení v této oblasti můžete mít v IT nejlepší bezpečnostní technologie a vyladěné prostředí a stejně budete mít velké slabiny. V této oblasti však realizace opatření - například stanovení nějakých pravidel pro přístup uživatelů k systémům, omezení surfování zaměstnanců po internetu, omezení používání vlastních zařízení patřících zaměstnancům v interní síti organizace, pravidla pro stanovování přístupových hesel a jejich obnovu a řada dalších - naráží na odpor zaměstnanců. Jednoduše řečeno taková opatření znepříjemňují, leckdy lehce komplikují, zaměstnancům práci. Na druhou stranu jejich neřešení s sebou přináší velká bezpečnostní rizika.
Důležité podle mě je především podívat se na problematiku kybernetické bezpečnosti z nadhledu, vidět komplexnost té problematiky, a pak přistoupit k systematickému a strukturovanému řešení ve všech oblastech.
Může zdravotnictví „držet krok“ rozvojem a vynalézavostí útočníků? Existuje něco jako spolehlivá ochrana?
Takto položená otázka vede k nepříjemné odpovědi, že samozřejmě nejen zdravotnictví, ale v podstatě jakákoliv organizace na světe nedokáže držet krok s útočníky, a ani neexistuje žádná spolehlivá 100% ochrana proti útokům, nejsou žádná jednoduchá řešení. Na druhou stranu není třeba podléhat apokalyptickým vizím. Osobně si myslím, že pokud se ke kybernetické bezpečnosti v rámci jakékoliv organizace přistoupí dobře, rozumně, a hlavně s tím komplexním viděním problému, tak se může taková organizace útokům velmi dobře bránit, nebo může dopady napadení velmi efektivně eliminovat, aniž by to mělo fatální dopady na její fungování.
Ptáme se mnoha expertů: ke lepší budovat centrální, státem kontrolovaný systém, vlastní ochranu holdingů, nebo se starat o jednotlivá zařízení autonomně?
Toto je těžká otázka, na kterou bude i mezi odborníky řada rozdílných názorů. Osobně nejsem velký příznivec teorie, že by měl stát (nebo někdo jiný) vybudovat např. nějaký centrální bezpečný systém/prostředí, které by zaštítilo všechny nemocnice (jakýsi "Centrální mozek lidstva"). Za prvé si myslím, že je to trochu utopie, něco takového rozumně vybudovat, a za druhé si myslím, že jestliže nelze 100 % ochránit žádný systém na světě, pak nelze před útoky 100% ochránit ani takový centrální systém. Myslím si, že v oblasti bezpečnosti ve zdravotnictví mají nějaké sdílené (třeba v rámci krajů, měst, holdingů) "komponenty" pro podporu kybernetické bezpečnosti své místo, například sdílená centra pro bezpečnostní monitoring a dohled, nějaký jednotný sdílený koncept bezpečné výměny informací a vůbec ochrana citlivých zdravotních informací. Spíše tedy než o jednom centrálním "státním" řešení mluvme o sdílených bezpečnostních opatřeních, která jsou využívána několika zdravotnickými zařízeními, čímž se také sdílejí náklady a zdroje, což může být velmi efektivní a rozumná cesta.
Zároveň si ale myslím, že vždy zůstane důležitá a možná největší část odpovědnosti za bezpečnost na straně těch jednotlivých zdravotnických zařízení a jejich managementu.
Neměla by být také rozvíjena kybernetická gramotnost, učit už děti, jak se v digitálním online světě orientovat a chovat?
Určitě měla. Není k tomu moc co dodávat. To, jak to ale udělat je širší téma. Od toho "kdo" to má ty děti učit, přes to "co" se vlastně mají učit až po "jakým způsobem" se to má učit. Přiznejme si, že naprostá většina pedagogů a stejně tak i obecně veřejnosti je z hlediska kybernetické bezpečnosti naprosto negramotná. Pro české školství je takové téma z pohledu osnov komplikovaně uchopitelné, neboť se neustále dynamicky vyvíjí, mění, a to v relativně krátkém čase, oproti tomu tvorba a prosazení nějakých nových výukových osnov, neřku-li předmětů trvá roky. Samozřejmě se do toho ale budeme muset pustit, není jiná cesta, to je zřejmé. Nebude to ale cesta snadná a hlavně krátká. Vzdělávání i osvěta hrají v oblasti kybernetické bezpečnosti významnou a nepominutelnou roli. I proto jsme se také jako společnost rozhodli podporovat aktivně Iniciativu KYBEZ, která se právě o osvětu a popularizaci problematiky kybernetické bezpečnosti snaží.
Na světě už bylo zaznamenáno několik black outů. Zasáhly města nebo regiony. Je zcela vyloučena představa, že kyberútoky mohou zničit svět a civilizaci docela?
Jak už jsem psal výše nejsem extra příznivec apokalyptických vizí. Určitě můžou ale kybernetické útoky způsobit velké problémy, a to jak jednotlivým organizacím, tak i celým oblastem či státům. Obecně veřejnost podceňuje vliv informačních technologií na fungování společnosti, a tudíž ani většinou nevnímá tu potřebu ochrany. Je tomu tak i v rámci jednotlivých organizací. Zkušenost našeho expertního týmu, který se věnuje resuscitaci organizací po kybernetickém útoku říká, že většina organizací před útokem žila v domnění, že sice nějak používají IT, ale není to ten klíč jejich fungování (oni se věnují "léčení lidí", "výrobě trubek",...) a po kybernetickém útoku zjistili, že bez funkčního IT nejsou schopni dělat vůbec nic, že jde o totální nefunkčnost, neschopnost vyrábět, poskytovat služby. A ta resuscitace není na hodiny nebo jednotky dnů, většinou jde o dlouhodobější paralýzu a mimořádné finanční ztráty a dodatečně nemalé náklady spojené s resuscitací. Říkáme, že i když jsou náklady spojené s kybernetickou bezpečností často vnímány jako neproduktivní, tak včasná investice do zajištění dostatečné bezpečnosti je řádově levnější než náklady spojené s případnou následnou resuscitací organizace po kybernetickém útoku. A jelikož není otázkou, jestli se někdy obětí kybernetického útoku stanete, ale spíše jen kdy se obětí útoku stanete, a dříve či později se to skoro určitě stane, pak se včasná investice do kybernetické bezpečnosti určitě vyplatí.
Jaká nabídka zdravotnickým zařízením a nemocnicím by byla nyní na místě, kde by měly s ochranou začít?
Na místě by bylo určitě dát z centrální vládní úrovně jasný a jednoznačný signál, že řešení problematiky kybernetické bezpečnosti ve zdravotnických zařízeních je důležité a má prioritu.
Stát samozřejmě definoval právní rámec zákony - máme zákon o kybernetické bezpečnosti, je zřízen státní úřad který se problematice věnuje - NÚKIB, takže je evidentní, že na centrální úrovni je snaha problematiku kybernetické bezpečnosti řešit. Přesto si myslím, že silný signál z ministerstva zdravotnictví, že kybernetická bezpečnost je jedna z klíčových priorit by měl jasně zaznít, a to i s nějakými následnými kroky jako je příprava dotačních titulů pro oblast kyberbezpečnosti, v rámci nichž by zdravotnická zařízení mohla žádat o finance na realizaci kyberbezpečnostních opatření. A to si myslím je v dnešní době už ve fázi příprav.
Co je hlavním cílem útoku – zisk z vydírání. prodej ukradených dat, vyvolání strachu?
Ty cíle jsou různé, v podstatě všechny, co zmiňujete. Určitě jde většinou primárně o finanční zisk ať už vydírání (dešifrování zašifrovaných systémů) nebo ze zpětného prodeje ukradených dat. Spektrum důvodů, ale může být mnohem širší. Může jít například o součást tzv. hybridního boje, tedy prostřednictvím vyvolání problémů ve společnosti se vyvolávají nepokoje, ovlivňují nálady ve společnosti, ovlivňují například volby nebo důležitá rozhodnutí, vyvolává se strach nebo nedůvěra ve společnosti. Cílem může být také prostá krádež důležitých a citlivých dat a informací s cílem jejich dalšího využití/zneužití. Nebo může jít o nějakou prostou pomstu například bývalého zaměstnance a tak dále.
Co všechno může vaše firma nabídnout nemocnici, která se teprve rozhoduje, jak s budováním kyberochrany začít?
Je potřeba říct, že nikde nezačínají asi úplně na zelené louce, všude už nějaká opatření či řešení pro kybernetickou bezpečnost implementovali. Naše společnost určitě nepřichází s nějakou rychlou nabídkou typu kupte si od nás nějaký produkt, nebo software a celý svět bude růžový. Máme specialisty a odborníky, kteří se odborným rozsahem pohybují téměř v celém širokém spektru problematiky kybernetické bezpečnosti. Přistupujeme tedy k problematice kybernetické bezpečnosti komplexně, žádnou oblast nechceme zanedbat, pomáháme klientovi postupovat systematicky a strukturovaně s cílem vytvořit opravdu bezpečné prostředí organizace. Jednoduše řečeno spolu s klientem si definujeme klíčová aktiva organizace (tedy to co je potřeba opravdu chránit - jaké systémy, jaká data), podíváme se na aktuální stav IT prostředí a bezpečnostních opatření v rámci organizace, případně provedeme testy odolnosti, identifikujeme slabá místa a následně navrhneme ve spolupráci s klientem opatření, která je nezbytné nebo důležité realizovat. Vždycky se přitom snažíme respektovat finanční možnosti klienta a také již vynaložené investice.
Autor: JAN HOVORKA
Foto: PragoData