foto: www.nukib.cz/Ing. Karel Řehka, ředitel NÚKIB
Ještě před pár lety měl málokdo představu o potřebě, účelu a nezbytnosti této instituce. V roce 2017 Národní úřad pro kybernetickou a informační bezpečnost vznikl ze zákona a funguje jako ústřední správní orgán pro uvedené oblasti, včetně kryptografické ochrany.
Kromě souvisejících problematik, jako je třeba družicový systém Galileo, sleduje i ochranu zdravotnického sektoru a jednotlivých zařízení. Na celkovou situaci i podrobnosti jsme se proto ptali ředitele Ing. Karla Řehky.
Jaká je průběžná bilance incidentů v Česku - stoupá jejich četnost?
Data za celou ČR nemáme. Naši působnost vymezuje zákon o kybernetické bezpečnosti a naše data pocházejí primárně od systémů, které jsou nezbytné pro fungování státu a bezpečí jeho obyvatel, tudíž spadají pod naši regulaci. Nicméně naše data odrážejí globální trend neustálého nárůstu počtu incidentů i jejich sofistikovanosti. Během loňského roku jsme například přijali hlášení o 468 incidentech, přičemž předloni to bylo 217. Incidentů přibývá každoročně a zdá se, že ani letošní rok nebude výjimkou. Nicméně jak již bylo řečeno, naše data jsou jen špička ledovce. Například Policie, která má v kompetenci kyberzločin, eviduje incidentů násobně více. To samé platí například pro Národní CSIRT, který provozuje sdružení CZ.NIC a který slouží k hlášení incidentů od systémů, které naším zákonem regulovány nejsou. Takových systémů je samozřejmě násobně více a projevuje se to i na počtu incidentů.
Následkem pandemie se prudce rozvíjí i ve zdravotnictví komunikace online, eRecepty, poradny do kapsy, aplikace, modely virtuálních klinik a podobně. Nejsou to „vrátka“ do informačních systémů a databází pacientů právě pro vzdálené útočníky?
Rostoucí míra digitalizace se netýká jen sektoru zdravotnictví, ale jde o celospolečenský fenomén. Na technologiích jsme už dávno existenčně závislí a myslím, že během pandemie to došlo už úplně všem. Zároveň je nezpochybnitelné, že vyšší míra digitalizace s sebou nese i vyšší míru rizika a přináší i zcela nové hrozby. Nicméně jelikož víme, že jiná cesta, než digitalizace neexistuje, tak se zkrátka musíme naučit těmto hrozbám čelit. Lidé si postupně osvojují základy bezpečného chování v kyberprostoru, ale je to něco, v čem musíme přidat, protože úroveň povědomí o těchto hrozbách je stále ještě nízká. A byť musíme povědomí o hrozbách kyberprostoru zvyšovat hlavně u běžných uživatelů, neměli bychom zapomínat ani na vývojáře a obecně IT specialisty. Že nějaká aplikace funguje, ještě neznamená, že je bezpečná. Všechny nové prvky digitální infrastruktury by měly být od začátku navrhovány jako bezpečné, jde o tzv. přístup security by design. To se samozřejmě týká i oblasti zdravotnictví. Jako příklad si můžeme dát segmentaci sítě. Jde o jedno ze základních opatření proti útokům tzv. ransomwarem (jde o škodlivý kód, který zašifruje data a žádá zpravidla výkupné za jejich opětovné odemčení). V případě, že je toto opatření správně provedeno, zůstane nákaza jen v jedné části sítě a nemůže se šířit dál. Podobně je nutné přemýšlet i o aplikacích, které zmiňujete. Ve virtuálním modelu kliniky byste si měli být schopní projít kliniku místnost po místnosti, ale zcela jistě by nemělo být možné otevřít kartotéku a číst data o klientech. Tomu je třeba technicky zabránit.
Jsou trvale ohroženy české nemocnice, nebo jejich zabezpečení má stoupající úroveň? Měla by být budována specializovaná oddělení na ochranu systémů v nemocnicích, má resort dost odborníků nebo metodiku na přípravu těchto expertů?
Všichni jsme trvale ohroženi hrozbami z kyberprostoru a nemocnice nejsou výjimka. Navíc to není tak, že zavedete nějaká bezpečnostní opatření a máte po starostech. Kybernetická bezpečnost je nekončící proces, kterému je třeba se neustále věnovat, a to na úrovni nejvyššího managementu firem, úřadů i nemocnic, protože nejde zdaleka jen o technická opatření, ale často o organizační či právní opatření.
Pokud jde o otázky na kapacity a metodiky, tak tam se musíte ptát ministerstva zdravotnictví. My jako NÚKIB samozřejmě působíme v pracovních skupinách, které připravují strategii kybernetické bezpečnosti v sektoru zdravotnictví, ale koordinačním orgánem je ministerstvo zdravotnictví a nikdo jiný se k tomu nemůže vyjadřovat.
Čímž nechci říct, že nic neděláme. Od nového roku platí nová legislativa, která pod naši regulaci řadí podstatně více nemocnic než do té doby. Znamená to podstatně vyšší nároky na kybernetickou bezpečnost těchto nemocnic a také podstatně lepší přístup k našim službám, jako je penetrační testování či skeny zranitelností. Také s nimi můžeme lépe sdílet informace o aktuálních hrozbách a v případě incidentu mají samozřejmě regulovaná zařízení přednost před neregulovanými, pokud jde o alokaci našich kapacit na případnou pomoc na místě. K tomu jsme vytvořili speciální on-line kurzy kybernetické bezpečnosti speciálně upravené pro zaměstnance nemocnic. A menší nemocnice, které pod naši regulaci nespadají, bych rád upozornil na existenci materiálu s názvem Minimální bezpečnostní standard, který je zdarma k dispozici na našem webu. Jde o materiál, na jehož základě si může kterýkoli subjekt nastavit velmi slušnou úroveň zabezpečení.
Jsou nějak vyhodnoceny dva velké případy útoků z nedávné doby, na nemocnice v Brně a v Benešově?
U obou probíhalo či ještě stále probíhá vyšetřování, ale to je v kompetenci Policie ČR, takže tyto otázky musí směřovat k nim.
Pracuje NÚKIB primárně pro státní instituce, nebo také pro soukromé kliniky?
Pracujeme v rámci své zákonné působnosti, co jsou systémy, které jsou nezbytné pro fungování státu a bezpečí jeho obyvatel. Tyto systémy nejsou zdaleka jen ve správě státu. Řada jich je v soukromém sektoru, jiné zase ve státem vlastněných firmách, což je také dost odlišná sféra. V případě závažných incidentů však můžeme podat pomocnou ruku, ačkoli daný systém pod naši regulaci nespadá. Čímž mířím k oblasti nemocnic. Do konce loňského roku spadalo pod naši regulaci jen 16 největších nemocnic. Mimo jiné i v reakci na proběhlé incidenty jsme změnili vyhlášku a máme regulovaných 44 nemocnic tak, aby byla zohledněna například spádovost, počet lůžek a další parametry. Nicméně pokud by se dostala do potíží nemocnice, která nespadá do naší regulace, a my bychom měli zrovna nějaké volné kapacity, tak můžeme pomoci. To byl příklad třeba nemocnice v Benešově, která pod nás nespadá, ale přesto jsme jim pomáhali na místě. Jinou oblastí je pak hlášení incidentů. Ty nám může hlásit kdokoli a jsme rádi za každý nahlášený incident, protože to zvyšuje naše povědomí o aktuálním dění v kyberprostoru.
Co doporučujete jako první kroky ze strany nemocnice při zjištění napadení, nebo nebezpečí vzdáleného průniku?
To se moc nedá říct paušálně. Prvním krokem by mělo být ohlášení situace kompetentním úřadům, tj. například nám a obvykle i Policii, neboť neoprávněný zásah do systémů je trestný čin.
Mají tiskoví mluvčí oznámit incident, nebo spíš tajit a čekat na pokyny NÚKIB?
My ohledně komunikace žádné pokyny nejsme oprávněni dávat. Nicméně v případě incidentů se naše oddělení komunikace vždy spojí se zasaženým subjektem kvůli koordinaci komunikačních aktivit. My sami incidenty nikdy nekomentujeme, protože máme povinnost mlčenlivosti. Maximálně po dohodě se zasaženým subjektem potvrdíme, že nám incident byl nahlášen a že se jím zabýváme.
Nicméně na otázku, zda zveřejňovat, či nikoli, neexistuje univerzální odpověď. Pokud má incident dopad na běžný chod instituce a není možné v jeho důsledku dodávat obvyklé služby, bývá lepší jít s pravdou ven. Mlžit a zapírat nemá smysl, protože v dnešním světě sociálních sítí a on-line médií se okamžitě vyrojí nespočet různých alternativních vysvětlení, která mohou mít na reputaci instituce mnohem horší dopady než realita. Neinformovat o tom, že incident proběhl, má smysl tehdy, když služby nejsou nijak narušeny a klienti ani jejich data nejsou v ohrožení. V takovém případě by informace o incidentu spíše vyvolaly zbytečnou paniku.
Nehrozí jen vyřazení nebo ochromení celého systému napadením, ale i dílčí útoky na slabá místa, ransom viry, útoky na zranitelné systémy a podobně. Zajímají se přímo řízené a krajské nemocnice a zdravotnická zařízení, případně MZ ČR a Asociace krajů ČR, resp. krajské úřady, o možnosti ochrany SW, zjištění rizik, slabá místa?
Po útocích na nemocnice v ČR zájem o tuto problematiku značně vzrostl. U nemocnic, které jsou regulované naším zákonem, jsme navíc v posledních měsících prováděli komplexní audity, jejichž cílem byla právě detekce zranitelností a navržení kroků k jejich odstranění. Nicméně za kybernetickou bezpečnost je vždy odpovědný správce systému, v tomto případě nemocnice. Je tedy na nemocnicích a jejich zřizovatelích, jak s našimi doporučeními naloží.
Autor: Jan HOVORKA
Foto: NÚKIB
Ředitel NÚKIB:
Ing. Karel Řehka
od 20. března 2020
Dlouhodobě se zabývá tématem hybridní války a vojenských informačních operací. V armádě dosáhl hodnosti brigádního generála.
- Vystudoval vojenské gymnázium v Opavě a Vysokou vojenskou školu pozemního vojska ve Vyškově,
- absolvoval roční důstojnický kurz ve Velké Británii,
- absolvoval prestižní kurz rangers v USA,
- zúčastnil se vojenských misí na Balkáně a v Afghánistánu,
- v Armádě ČR působil u 601. skupiny speciálních sil generála Moravce, které od roku 2010 velel,
- od listopadu 2014 stál v čele Ředitelství speciálních sil ministerstva obrany,
- byl zástupcem velitele Mnohonárodní divize severovýchod,
- je ženatý, má dvě děti.
www.nukib.cz
Poznámka: S ředitelem NÚKIB Karlem Řehkou začínáme náš seriál rozhovorů na téma Kyberbezpečnost nemocnic - prevence, incidenty, krizová komunikace, zaměřený na ohrožení IT systmémů ve zdravotnictví.
Profesionální zájemci z oboru komunikace ve zdravotnictví (tiskoví mlučí, manažeři komunikace a další) se mohou ještě přihlásit na konferenční seminář, pořádany 25. 11. 2021 od 10:00 na adrese Opletalova 19, Praha 1. Podrobnosti najdete v sekci Kongresy & Semináře.
Kontakt: hovorka.jan@centrum.cz nebo 777047481. Počet míst je omezen.
www.akmz.eu