Obnovení provozu nemocnice po kybernetickém útoku

Jen měsíc používala Nemocnice Rudolfa a Stefanie Benešov, a. s., nemocnice Středočeského kraje, svůj nový nemocniční informační systém, když se 11. prosince loňského roku stala obětí kybernetického útoku ransomwaru Ryuk. Útok si jednak vyžádal bezprostřední rychlou reakci techniků a vedení nemocnice, jednak následně měsíce další práce při obnově provozu. Nemocnice otevřela dveře pacientům už devatenáct dní po útoku.

Obnova prozatímního provozu těsně před vánočními svátky v loňském roce znamenala svým způsobem bezprecedentní nasazení velkého množství lidí na straně jak nemocnice, tak dodavatele. „Celá situace se dá velmi dobře přirovnat k likvidaci následků přírodní katastrofy záchrannými složkami. Možná jen s tím rozdílem, že v tomto rozsahu to všechny strany dělaly poprvé a bez předchozího nácviku,“ uvádí Ing. Leoš Raibr, ředitel společnosti STAPRO, která dodala do Benešova informační systém. Ještě minimálně do konce března se ovšem bude pracovat na úplném obnovení a zprovoznění všech systémů.

Nový nemocniční informační systém získala benešovská nemocnice s pomocí Integrovaného regionálního operačního programu, výzvy určené pro elektronizaci státní správy. Přes společnost ARBES Technologies si pořídila FONS Enterprise, systém fi rmy STAPRO, který patří mezi nejvyspělejší nemocniční informační systémy na středoevropském trhu. Pořídila jej v ceně 24,5 milionu korun bez DPH včetně modernizace hardwaru.

V tomto novém nemocničním informačním systému se teprve rozkoukávali, když si zdravotníci všimli, že se něco děje. „Ransomware začal kryptovat databáze aplikací a složku s distribucí, což se projevilo jejich značným zpomalením. Na toto zpomalení upozornil zdravotnický personál oddělení IT, které začalo situaci okamžitě řešit,“ popsal projevy ransomwaru technický ředitel benešovské nemocnice PhDr. Jan Kolbaba.

Stovky počítačů a všechny přístroje se musely odpojit a vypnout. Do nemocnice zamířil tým lidí z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), a to přesto, že benešovská nemocnice bezprostředně gesci tohoto úřadu nepodléhá. Kam všude se virus skutečně dostal, to nebylo v tu chvíli až tak podstatné. „Podle doporučení NÚKIB jsme na celou naši síť nahlíželi jako na potenciálně napadenou. Žádná její část tedy nebyla v provozu,“ uvedl Kolbaba. Zásadní je, že nebyly ze sítě odcizeny ani zneužity osobní údaje. K tomuto závěru dospělo jak šetření samotné nemocnice, tak i NÚKIB. Útočníci nezískali, o co usilovali.

Nemocnice nejdříve přestala přijímat nové pacienty od záchranné služby a omezila provoz ambulancí, nakonec musela přemístit i pacienty z lůžkových oddělení. Výpadek sítí, počítačů a přístrojů ji úplně ochromil. Výsledkem je mimo jiné ekonomická ztráta 30 milionů korun za prosinec. Další dva miliony stálo přeinstalování serverů, a to ještě nejsou kompletní vyčíslené náklady. Středočeský kraj jako zřizovatel schválil mimořádnou dotaci pro nemocnici ve výši 30 milionů korun. „Celková částka na obnovení provozu, včetně nezbytných investic, a náhrada vzniklé škody bude postupně vyčíslována. Dle našich předpokladů celková částka nebude nižší než 50 milionů korun,“ uvedl Kolbaba.

Podle NÚKIB se nemocnice bezprostředně po útoku k věci postavila dobře. „Bylo dobře, že nemocnice o útoku bezprostředně otevřeně komunikovala,“ řekl před mimořádným seminářem pro sdílení zkušeností z kybernetického útoku v Benešově Bc. et Bc. Adam Kučínský z NÚKIB.

S nejvyšší pravděpodobností byl útok veden prostřednictvím nakažené přílohy v e‑mailu. Po útoku bylo podle slov technického ředitele Kolbaby nutné znovu nainstalovat všechny servery a koncové stanice a obnovit data ze záloh. „Ve své podstatě byla celá infrastruktura znovu vytvořena,“ říká Kolbaba.

Po rychlém znovuotevření nemocnice následovala dlouhá práce na obnově všech systémů a revize zabezpečení. Žádnou dramatickou otočku přístupu ke kyberbezpečnosti nemocnice neudělala. Ani posílení IT oddělení, které v současnosti sestává ze 3,5 úvazku plus externistů, neplánují. „Domnívám se, že naše obranná strategie nebyla špatná, takže ji budeme spíše opakovat a prohlubovat. Opětovně proškolíme zaměstnance, zvýšíme úroveň zabezpečení například nákupem nového fi rewallu a podobně,“ popisuje Kolbaba. „Jsem přesvědčen, že naše síť nebyla špatně zabezpečena, což samozřejmě neznamená, že úroveň zabezpečení nemohla být lepší. Na základě doporučení NÚKIB jsme podnikli kroky, které naši obranu před podobnými útoky zlepší,“ dodává. Kromě toho ředitel nemocnice MUDr. Roman Mrva už dříve v Českém rozhlase uvedl, že upravili některá režimová opatření ohledně vzdáleného přístupu k nemocniční síti.

Pro Kolbabu vyplývá z tohoto kybernetického útoku – nejdramatičtějšího, jaký české nemocnice dosud zažily – ponaučení. „Je velmi vhodné si připravit postupy obnovy počítačové sítě v případě odstraňování následků útoku. Mít připravený a promyšlený tento postup je podle mého názoru nejdůležitější věc. Na základě čerstvě nabytých informací je to jednoznačně největší poučení pro mě osobně,“ uvedl Kolbaba.

Žádná opatření nezabrání kybernetickému útoku na sto procent. Do čeho by určitě měla nemocnice v rámci kyberbezpečnosti investovat? „Nejdůležitější oblasti jsou zhruba tři. Určitě by měla nemocnice investovat do segmentace sítí, aby nebylo vše zapojené do jedné sítě. Dále pak zřídit monitoring provozu, aby věděli, co se jim v sítích děje. Pak je důležitá investice do vzdělání zaměstnanců, aby měli povědomí o kybernetické bezpečnosti a věděli, jaká rizika jim v kybernetickém prostoru hrozí,“ uvádí Kučínský.

Šestnáct českých nemocnic musí plnit standard kybernetické bezpečnosti podle příslušného zákona. Jsou to ty největší co do počtu lůžek a ty, které mají status traumacentra. I ostatní nemocnice ministerstvo zdravotnictví nyní prověřuje, jak na tom se zajištěním bezpečnosti svých informačních systémů jsou. V příštím programovém období evropských dotací je kybernetická bezpečnost jednou z priorit a mělo by být možné získat dotace na její posílení.

Podle Kučínského se dá předpokládat, že útoků na nemocnice bude přibývat. „Nemocnice spravují obrovské množství citlivých dat. Útočníci mohou očekávat, že když dojde k zašifrování dat, nemocnice budou mít tendenci výkupné zaplatit. I v zahraničí jsou tyto modely běžné,“ uvedl Kučínský.

Zdroj: MT