Vyjádření Ministerstva zdravotnictví k varování NÚKIB

Vyjádření Ministerstva zdravotnictví k varování NÚKIB
16 / 04 / 2020

V návaznosti na vydání varování Národního úřadu pro kybernetickou a informační bezpečnost o hrozbě kybernetických útoků na nemocnice a jiné významné cíle ČR přijalo Ministerstvo zdravotnictví řadu opatření. Ministerstvo zdravotnictví informovalo nemocnice, aby neprodleně upozornily uživatele na hrozby podvodných emailových zpráv.

Současně by se uživatelé, kteří v posledních dnech otevřeli podezřelé přílohy, měli obrátit na správce IT infrastruktury. Ministerstvo zdravotnictví také doporučilo okamžitě zablokovat vzdálené přístupy do IT infrastruktury a zablokovat otevřené služby do veřejné sítě, s výjimkou těch nezbytně nutných. Současně je nutné, aby nemocnice provedly kontrolu a zajistily případné vytvoření aktuálních offline záloh a postupovaly v zálohování dle důležitosti dat v organizaci. V neposlední řadě by také měly zkontrolovat konzistenci již vytvořených záloh. Nemocnicím bylo také doporučeno neprodleně aktualizovat antivirové řešení v IT infrastruktuře.

 

„Upozornění NÚKIB bereme velmi vážně, a proto jsme neprodleně zdravotnickým zařízením zaslali informaci o varování před hrozbou kybernetických útoků včetně hlavních kroků, které by měli IT odborníci neprodleně uskutečnit.  Kybernetická bezpečnost je pro nás prioritou. S NÚKIB jsme ve spojení a situaci budeme monitorovat,“ uvedl ministr Adam Vojtěch.

 

Již dříve, v reakci na kybernetický útok na Fakultní nemocnici Brno, zřídilo Ministerstvo zdravotnictví Akční výbor Kybernetické bezpečnosti. Akční výbor sdružuje IT profesionály z řad fakultních nemocnic i ostatních poskytovatelů zdravotních služeb s cílem sdílet informace a poskytovat metodickou i technickou pomoc při řešení bezpečnostních incidentů, událostí, ale i zvyšování úrovně kybernetické bezpečnosti v resortu. Zároveň sdružuje nabídky komerčních IT firem, které jsou připraveny v případě napadení zdarma poskytnout své specialisty a technologie na zmírnění dopadů kybernetických útoků. Další opatření v rámci možné hrozby kybernetického útoku je nadále komunikována napříč resortem právě prostřednictvím tohoto akčního výboru.

 

Kybernetická bezpečnost zdravotnických zařízení je pro Ministerstvo zdravotnictví klíčová. V oblasti zvyšování kybernetické bezpečnosti se ministerstvo kontinuálně věnuje jednak metodické podpoře v podobě vydávání metodických materiálů a vzorových dokumentů (např. vydání vzorové dokumentace systému řízení bezpečnosti informací ve věstníku MZ a na webových stránkách Národní strategie elektronického zdravotnictví), a dále také přípravou a vydáváním školících materiálů, včetně e-learningových, a dalších podkladů pro tuto oblast. Tyto metodiky slouží především k vyškolení samotných pracovníků, aby byl eliminován faktor bezpečnostního selhání jedince, a tím pádem se snížilo riziko poškození celé instituce jako takové. Paralelně ministerstvo organizuje pro jednotlivé organizace resortu včetně poskytovatelů zdravotních služeb centralizovaný nákup služeb v oblasti kybernetické bezpečnosti, jako je například audit kybernetické bezpečnosti, nebo penetrační testování a další odborné služby.

Ministerstvo zdravotnictví pravidelně poskytuje prostřednictvím investičních programů finanční prostředky na podporu a rozvoj materiálně technické základny, včetně oblasti informačních technologií a kybernetické bezpečnosti, pro fakultní nemocnice, nemocnice a ústavy ve státním vlastnictví, zdravotnická zařízení v majetku obcí a krajů, poskytovatele zdravotnické záchranné služby, ale také krajské hygienické stanice, zdravotní ústavy a Státní zdravotní ústav. Posilována je takto mimo jiné i centrální infrastruktura resortu Ministerstva zdravotnictví, provozovaná Ústavem zdravotnických informací a statistiky ČR.

Ministerstvo zdravotnictví vydalo na projekty ve spolupráci s EU celkem 2,2 mld. Kč. Resort se také zapojil do přípravy implementačních plánů programu Digitální Česko a předložilo do něj aktuálně 18 záměrů s alokací přes 6 mld. Kč, z toho minimálně 2 mld. jsou směřovány do kybernetické bezpečnosti. Konkrétní projekty naleznete zde.  Na základě rozsáhlého kybernetického útoku v Benešově jsme využili podklady americké FBI a pro uživatele a správce IT technologií zdravotnických zařízení připravili doporučení ve věci kybernetické hrozby, tedy jak se lze bránit a jak v případě kybernetické obrany postupovat. 

 

Ministerstvo zdravotnictví také uspořádalo workshop s názvem „Poučení z kybernetického útoku“, který byl určen pro manažery kyberbezpečnosti a managementy nemocnic. Impulsem k uspořádání byl právě útok na informační systémy Nemocnice v Benešově.

Současně jsme připravili průzkum stavu kybernetické bezpečnosti ve zdravotnických zařízeních. Tento průzkum je rozdělen na jednotlivé oblasti IT provozu: naplnění zákona o kybernetické bezpečnosti (pro ty, kterých se to týká), komunikační infrastruktura, servery, koncové stanice, Wifi, tiskárny, uživatelé, zdravotnické přístroje, zálohování, likvidace dat. Dotazník byl rozeslán na 179 největších zdravotnických zařízení.

 

 

Tagy článku