Vadim Petrov: Digitalizace zdravotnictví znamená také rozvoj kybernetické bezpečnosti

Vadim Petrov: Digitalizace zdravotnictví znamená také rozvoj kybernetické bezpečnosti
foto: Veronika Mašková/Vadim Petrov
26 / 11 / 2021

Přibývají útoky na IT systémy nemocnic, vydírání hackerů, paralyzování vnější i vnitřní komunikace a bezpečného fungování nejdůležitějších zařízení. A přibývají otázky: oč vlastně, a komu, jde? Proč jsou cílem nemocnice? Můžeme se vůbec nějak bránit?

Mezi přední odborníky, kteří hledají nejen odpovědi na podobné dotazy, ale i způsoby koordinace a ochrany proti napadení, metodiku pro vzdělávání potřebných expertů, nástroje kontroly či pomáhají tvořit platformu pro výměnu zkušeností, patří Vadim Petrov, prezident Iniciativy KYBEZ.

 

U nás jsou zatím známé dva incidenty, kybernetické útoky na informační systémy nemocnic, Brno a Benešov. Má se podle vás o podobných záležitostech mluvit, nebo vše raději tajit?

Útoků bylo více. MZČR informuje například i o Psychiatrické léčebně v Kosmonosech. O dalších se však mluví už jen v rámci bezpečnostních komunit kolem konkrétních postižených zdravotnických zařízení. Je to logické, jedná se o citlivou záležitost a zveřejnění takových informací může jen zvýšit dopady na majetek i na zdraví lidí. Mluvit se o nich proto musí uvážlivě – viz případ z USA (WSJ 30/9), kdy Ransomware útok způsobil smrt novorozence. To je pravděpodobně první úmrtí přímo způsobené Ransomwarem, kdy veřejnost by o takovém útoku měla vědět (//www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116).

Ty dva, o kterých píšete byly jen nejvíce medializované a tím i veřejnosti nejvíce viditelné. To může také budit falešnou představu a pocit, že když byly oficiálně jen ty "dva" útoky, tak problém kybernetických útoků na nemocnice v ČR není velký a není třeba se jím extra zabývat. 

Máte nějaké zkušenosti ze zahraničí, z oblasti prevence, které by mohly naše zdravotnická zařízení využít?

Existují bezpečnostní fóra různých oborových organizací věnujících se kyberbezpečnosti nebo fóra bezpečnostních firem. Vždy je ale v konečném důsledku podstatný výrobce konkrétních zařízení. Příkladem můžou být zjištěné zranitelnosti infuzních pump, kdy je bylo možné využít z vnitřní sítě nemocnice a měnit dávkování léčiva pacienta, což by mohlo mít fatální důsledky. Případů je mnoho a týkají se zejména různých zdravotnických přístrojů - rentgeny, CT, EKG, ale i holtery nebo kardiostimulátory. Je to dáno trendem, kdy výrobci u řady zařízení pro svoje firmwary umožňují přístup pro administraci – často i přes web rozhraní a tím vzniká potenciál pro nové netušené hrozby. Takové přístroje potom mohou působit jako brána pro útočníky do celé infrastruktury zdravotnických zařízení. Důležité je, že potřeby nemocnic/zdravotnických zařízení se z pohledu kybernetické bezpečnosti příliš neodlišují od potřeb jakýchkoliv dalších organizací, bank, výrobních podniků atd.. 

Bylo by dobré mít jednotný systém ochrany, nebo každý kraj nebo holding, případně nemocnice, vlastní?

 

Označení “jednotný” lze použít spíš v oblasti metodické a normativní – tedy v oblasti obecných požadavků na kyberbezpečnost v rámci zdravotnictví jako oboru – což náleží do gesce MZČR. Je vhodnější hovořit o individuálním nebo sdíleném řešení ochrany. Individuální řešení bezpečnosti na úrovni jednotlivých nemocnic jsou vždy v součtu drahá řešení a v zásadě nereálná – tolik odborníků, kteří by tato řešení obsluhovali na trhu ani není. Proto jsou vhodnější systémy sdílené ochrany. Tato řešení jsou jako celek dražší a mnohdy pro jednotlivá zařízení nedostupná. Centrální metodické vedení – pravidla pro kybernetickou bezpečnost ze strany MZČR (což má MZČR ve své strategii) může ovlivnit náklady všech provozovatelů zdravotnických zařízení. 

Na druhou stranu – jakékoliv centrální řešení narazí logicky na trh. Provozovatelé zdravotnických zařízení jsou v zásadě konkurenti. Zdravotnických zařízení v ČR jsou desítky (až stovky), mají různé vlastníky a zřizovatele, a tedy představit si, že se všichni shodnou na jednotném systému ochrany je iluzorní. 

Jaká je tedy role státu? 

Stát musí definovat pravidla, mantinely, nejnižší laťky, procesy a pak musí hlavně svými speciálními složkami pomáhat (NÚKIB, zpravodajské služby, a další). Nikdy ale nevyřeší jednotnou komplexní ochranu všeho a všech. Z hlediska bezpečnosti takticky výhodnější mít celou řadu navzájem nezávislých dobře chráněných organizací, než mít všechny organizace schovány pod jednou "centrální superochranou". V případě útoku a dobytí té jedné centrální ochrany "všech" jsou totiž ohroženi útokem všichni, v případě mnoha nezávislých samostatně chráněných organizací většinou budou napadeni jen někteří a jiní mohou dále fungovat bez problémů. 

Jak tedy rozložit odpovědnost? 

Stát má svou odpovědnost, stejně kraje, tak i firma. Ředitel společnosti, manažer IT i zaměstnanec. Včetně orgánů, která schvalují rozpočet organizace. Když se budou chovat všichni odpovědně a dají kybernetické bezpečnosti vyšší prioritu, pak je organizace do značné míry bezpečná. Přijetí vlastní odpovědnosti za bezpečné chování je klíčovým prvkem kybernetické bezpečnosti obecně.

Funguje něco jako odpovědnost státu za ochranu kyberprostoru, ve kterém působí veřejné instituce?

 

Absolutně ne. On-line svět, prostředí internetu, jsou velmi těžko regulovatelné. Je to daň za svobodu, kterou tyto technologie nastolily. Stát svoji odpovědnost přenesl do podoby zákona 181/2014. Sb. v rámci kterého zřídil správní orgán – NÚKIB do jehož gesce spadá kyberbezpečnost. Tímto je kyberbezpečnost definována a jsou definovány i požadavky na její zajištění ze strany státních institucí – nebo přesněji – povinných subjektů – tedy i soukromých subjektů. V rámci tohoto procesu stát také vytvořil centrální týmy - tzv. GOVCERT – prostřednictvím kterých poskytuje “povinným subjektům” podporu – varování, poradenství, a i některé služby – například testování odolnosti jejich systémů - tzv. penetrační testy. Odpovědnost za ochranu kyberprostoru však vždy leží na tom konkrétním “povinném subjektu” - resp. provozovateli – který příslušnou část kyberprostoru provozuje. 

Dělá stát dost? 

Může dělat víc. Měl by definovat klíčové systémy, klíčová data a tam by měl investovat do jejich ochrany především. Měl by upřít pozornost na kybernetickou ochranu systémů tzv. kritické infrastruktury. V případě nemocnic jako takových by měl stát samozřejmě podat pomocnou ruku, minimálně z hlediska metodického a z hlediska odborných doporučení a pak především z hlediska financí, tedy zajištění finančních prostředků, třeba formou dotačních titulů, směřujících do oblasti kyberbezpečnosti. Zároveň by měl ze strany státu vzniknout tlak na nemocnice, aby se kybernetické bezpečnost dostala výš na žebříčku jejich priorit. 

Jak si ten posun představujete? 

Je to věc přístupu. Nemocnice by měly postupovat systematicky a strukturovaně. Jedna z největších bolestí při realizaci kyberbezpečnostních opatření je, že se realizují nesystematicky, a dost často náhodně (jako, tak nám na konci roku zbyly nějaké peníze, tak kupme něco k posílení bezpečnosti). Nemocnice jsou také pod obchodním tlakem různých IT firem, které prodávají různé kyberbezpečnostní komponenty, software a potom nakupují tyto bezpečnostní komponenty a myslí si, že je to ochrání. To je hodně rozšířený omyl v laickém a bohužel někdy i odborném prostředí. 

 

Jak tedy postupovat konkrétně?

Při plánování a realizaci kybernetické ochrany organizace je klíčové postupovat systematicky, tedy nejprve identifikovat svoje klíčová aktiva (systémy, data, přístroje,), znát svoje IT prostředí a požadavky, jak má IT fungovat, a pak je možné teprve navrhovat opatření, jak klíčová aktiva chránit. Ta konkrétní opatření pak vedou samozřejmě právě ke konkrétním bezpečnostním komponentám a návrhu jejich nasazení do prostředí organizace, ale musí to vycházet z nějaké celkové bezpečnostní architektury organizace, aby se postupně začlenily všechny kamínky mozaiky, na nic se nezapomnělo, a aby spolu všechny ty bezpečnostní prvky tvořily v podstatě integrovaný bezpečnostní organismus.

 

Stále více se nabízejí aplikace typu online konzultace, kapesní doktor, virtuální klinika. umíme vyhodnotit nebezpečí, že sem může proniknout umělá inteligence, a sbírat velice intimní data?

Takové nebezpečí je samozřejmě zcela reálné a v podstatě je nelze nijak eliminovat. Horší však možná je, že v tom svobodném vesmíru, kterým internet je, pro laika je velmi těžko rozpoznatelné, jestli komunikuje opravdu s lékaři, specialisty. Umělá inteligence může působit jenom tam, kam bude mít přístup. Ten přístup může být slabým místem takové apky. Jakýkoliv webový projekt může spustit kdokoliv a prostřednictvím aplikace poskytovat rady může v podstatě také kdokoliv. Takže primárně je důležité najít skutečně důvěryhodnou aplikaci, za kterou stojí lékaři, odborníci nebo která je garantovaná nějakým zdravotnickým zařízením. Ale ani to, že aplikace má tyto "odborné" garance, tak neznamená, že je z hlediska kybernetické bezpečnosti dobře zajištěna a že se ubrání napadení nebo že nemá nějaké chyby. 

Máme málo lékařů a zdravotníků, zveme je ze zahraničí. Je zaměstnavatel povinen zajistit, aby nesdíleli data s někým v původní zemi? Jak se vztahuje GDPR na zahraniční pracovníky, jsou stejné předpisy pro celý Schengen?

Tak toho bych se bál opravdu nejméně. Nevím proč by to, kdo dělal a k čemu by to komu v zahraničí bylo. Máme málo lékařů a zdravotníků, zveme je ze zahraničí. GDPR je nařízení EU, které vytváří tlak na organizace, nemocnice, zdravotnická zařízení, aby se o osobní data a citlivá data řádně staraly, aby udělaly opatření k minimalizaci jejich zneužití kýmkoliv. Problém se netýká jen zdravotníků ze zahraničí, týká se v podstatě všech zaměstnanců zdravotnických zařízení, kteří mají přístup k osobním a citlivým datům pacientů. GDPR nařízení je závazné v rámci celé EU, tedy i v ČR, ale svým zaměřením se orientuje spíše na organizace než na fyzické osoby. Organizace, a tedy i zdravotnická zařízení, by měly zajistit, aby osobní a citlivá data pacientů byla u nich v bezpečí a chráněna před zneužitím.

Postupuje u nás digitalizace zdravotnictví dostatečným tempem, držíme krok s Evropou?

Za prvé je potřeba říct, že úroveň našeho zdravotnictví je vysoká. Digitalizace zdravotnictví však v ČR zaostává. Digitalizace zdravotnictví v ČR nebyla nikdy politická priorita ani klíčové téma. Jsme zvyklí spíše na osobní návštěvy lékaře a sdílení zdravotních údajů pacientů mezi zdravotnickými organizacemi je minimální. V nejbližších letech je tak třeba očekávat přirozený rozvoj digitalizace, a tedy i související nutnost řešení kyberbezpečnosti.

Měly by nemocnice posílit svá odborná oddělení, bezpečnostní vybavení a software? Kam se mají obrátit?

Ano. Zároveň vidím hořký úsměv na tváři ředitele nemocnice. Nemá peníze, odborníky…Většina toho, co stát má a může udělat, bylo zmíněno výše.  Na nemocnici je pak spolupráce s odbornými firmami, které se problematice kybernetické bezpečnosti věnují a v řadě případů dokážou nedostatek interních zaměstnanců organizace nahradit. Peněz nazbyt nemá nikdo, natož nemocnice. Proto je to věc priorit. Jinak to řešit nelze. A kybernetická bezpečnost by se takovou prioritou vedení nemocnic měla určitě stát. Je stokrát levnější investovat do kybernetické bezpečnosti než pak sanovat a řešit škody po kybernetickém útoku. Organizace obecně do kybernetické ochrany nerady příliš investují, protože je to investice bez výnosu. Pokud tedy si neuvědomí, že výnosem může být zabránění útoku, který může zničit nejen nemocnici, zničit její jméno, ale také může poškodit zdraví pacientů. 

 

Jste autoritou v PR. Jak by měl postupovat tiskový mluvčí, když nemocnice zjistí napadení? Co by měl udělat jako první?

V krizové nebo strategické komunikaci jde o důvěryhodnost. Přílišná otevřenost může firmu poškodit stejně jako embargo na informace. Každý případ je nutné posuzovat zvlášť. Je to nastavení komunikace celé firmy. Buď její management hledá informace, které může sdělit, nebo primárně staví na tom, co sdělit nechce. Umění dobré komunikace je najít rovnováhu mezi oběma principy.  Obecně platí, že kybernetická ochrana je klíčová a je třeba jí dát v rámci organizace vysokou prioritu. Je ale zřejmé, že i když se o kyberbezpečnosti mluví, tak málo kdo ji chápe jako svůj problém, a to i mezi majiteli a řediteli nemocnic, výjimku tvoří většinou ti, co si kybernetickým útokem prošli.

 Autor: Jan HOVORKA

Foto: Veronika Mašková 

Iniciativa KYBEZ

Iniciativa se obrací na přední firmy, instituce, organizace, školy a univerzity s výzvou přispět k růstu a rozvoji v oblasti kyberbezpečnosti a formou společenské odpovědnosti napomoci řešit problémy, nedostatky či potřeby v oblasti ICT technologií, jejich aplikace, legislativy, rozvoje a vzdělávání. Cílem Iniciativy KYBEZ je zvýšit úroveň bezpečnosti v digitálním prostoru a zlepšit celospolečenskou gramotnost v oblasti kyberbezpečnosti. Chceme se spolupodílet na kvalitním a bezpečném digitálním vzdělávání a jeho provázanosti s prezenčním studiem. Chceme také prosazovat doktrínu permanentního inovačního cyklu a strategii komplexního řešení kyberbezpečnosti napříč aktivitami veřejných institucí v digitálním prostoru.

www.iniciativakybez.cz

Více k tématu též na:

//www.hospitalin.cz/zpravodajstvi/kyberbezpecnost-nemocnic-problem-pro-it-specialisty-komunikacni-manazery-i-tiskove-mluvci-5311.html

Tagy článku