Útoky na nemocnice neustanou ani po koronaviru

Jak odborníci varují, opakované útoky hackerů na české nemocnice, k nimž v době epidemie docházelo, zde byly před epidemií a neustanou ani po jejím ukončení. Každému je zřejmé, že elektronická data a citlivé informace je třeba dobře chránit. To však vyžaduje včasné řešení, které stojí nemalou sumu peněz.

Právě na manažerech zdravotnických zařízení je nyní, v době, kdy řeší budgety, možnost tento problém začít řešit. Při nouzovém stavu čelilo útokům hackerů hned několik českých nemocnic. V Benešově a ve Fakultní nemocnici Brno byly jejich snahy ochromit systém úspěšné, naopak pokusům prolomit ochranu ve FN Olomouc, FN Ostrava či Nemocnici Pardubického kraje se tentokrát podařilo zabránit. Koronavirová krize a nebývale rozšířený home office ukázaly, kdo je dalším kybernetickým rizikem – jsou to samotní zaměstnanci, kteří pracují na počítačích a sítích s nedostatečným zabezpečením.

„Hackeři si vždy vybírají nejslabší článek systému, kde lze napáchat co největší škody. A to jsou v Česku bohužel také nemocnice. Krize kolem koronaviru útočníkům jen nahrála do karet,“ vysvětluje odborník na kybernetickou bezpečnost Ing. Karel Obluk, Ph.D., který dříve vedl vývoj antiviru AVG. Podle dostupných informací navíc tyto útoky nesledují vždy jen finanční zisk, jak tomu bývá obvykle. „Některé z nich se snaží jen škodit, zasévat nedůvěru a paniku mezi obyvatelstvo. To je taktika vlastní spíše hackerům napojeným na státní agentury než běžným kyberzločincům,“ dodává s tím, že tyto útoky s ukončením pandemie pravděpodobně neustanou. „Dokud budou nemocnice relativně slabé cíle, budou čelit útokům i nadále. Tady se ukazuje, jak je důležité, aby složky kritické státní infrastruktury měly ve svých IT odděleních schopné odborníky a dostatečný rozpočet na zabezpečení,“ říká Ing. Obluk.

Avšak schopní IT odborníci nejsou nejlevnější a ekonomický útlum již nyní vede mnohé firmy k úsporným opatřením. Šetřit se chystá i stát, i když asi každému je dnes již zřejmé, že ochrana proti kybernetickým hrozbám a elektronizace mají být jednou z posledních oblastí, kde by se mělo škrtat. „Už finanční krize v roce 2008 ukázala, že se firmy, které tehdy utlumily investice do IT, následně potýkaly s většími problémy a v důsledku je to výrazně poškodilo. Zločinci na síti navíc nezahálejí. Tak jako využívali pandemie koronaviru, najdou si příště jiné palčivé téma. Takové, které zrovna bude hýbat společností a třeba vzbuzovat i obavy či nejistotu. Hackeři v tom vždy byli a budou velmi vynalézaví,“ varuje expert.

„Proti kybernetickému útoku se uchránit nikdo stoprocentně nemůže. Záleží na šikovnosti hackerů, a ti jsou vždy o krůček před námi. Řekl bych, že rozdíl mezi zařízeními, která již napadena byla, a námi je ten, že u nich se to již stalo, my na to teprve čekáme. Jsme realisté a víme, že i přes veškerá opatření a miliony, které jsme do ochrany dali, to hackerům sice ztížíme, ale neznamená to, že je zastavíme,“ říká ředitel FN Královské Vinohrady prof. MUDr. Petr Arenberger, DrSc., MBA.

S přesunem velké části zaměstnanců do režimu home office také Ing. Obluk upozorňuje na problém, který přidělává vrásky nejen firmám v Česku, ale například i v USA. Zaměstnanci doma totiž pracují na mnohdy nedostatečně zabezpečených sítích, do kterých je mnohem snazší se nabourat a získat jejich prostřednictvím přístup k jinak dobře zabezpečeným firemním datům. Ke sdílení firemních dat také často používají nezabezpečené kanály, osobní e‑maily a podobně. Společnosti nebo úřady, které zaměstnancům práci z domu umožní, tak nutně čekají další investice, pokud se nechtějí vystavovat riziku.

„Snažíme se co nejvíce omezit přístupy z venku, takže zaměstnanec pracující v režimu home office se nemůže připojit k nemocničnímu systému. Vyhledáváme a uzavíráme všechny přístupové body, za dva miliony korun jsme nyní koupili nový firewall, neumožňujeme zaměstnancům užívání běžných volných poštovních serverů. Máme i obecný pokyn, aby se veškerá podezřelá korespondence nebo podezřelé přílohy neotvíraly, aby se tedy do systému nevpašoval nějaký elektronický virus,“ popisuje prof. Arenberger. Jako řada jiných nemocnic, i zde svá data zálohují a díky relativně častým zálohám systému jsou tak schopni systém rychle zrekonstruovat. „Je to obrovská výhoda mít nezávislou zálohu, ale i zde jsou hranice omezeny. Určitě je lepší mít data, která byla aktuální před hodinou, než před týdnem nebo vůbec žádná,“ dodává.

Hackeři nevynechávají ani praktické lékaře

I podle předsedy Sdružení praktických lékařů ČR (SPL) MUDr. Petra Šonky jde o zásadní problém, který se týká nejen nemocnic, ale hackerské útoky podle jeho slov zažila i řada soukromých praxí. „Lékař najednou zjistil, že mu zmizela data, a dostal vyděračskou zprávu vyžadující za vrácení dat výkupné. A to i přesto, že byly počítače poměrně dobře zabezpečené,“ popisuje MUDr. Šonka. Zabezpečení elektronických dat praktičtí lékaři podle něho dnes řeší jednak po stránce IT, kdy jich dnes již většina spolupracuje s IT specialistou, který se jim o bezpečnost systému stará. „Předpokládám, že všichni máme poměrně vysoký stupeň zabezpečení dat, antivirové programy a musíme se spolehnout, že lékařské ambulantní softwary, které používáme, jsou zabezpečené proti úniku dat,“ dodává.

Bezpečnost dat pak podle něho řeší každý lékař sám, někde funguje spolupráce více lékařů s jedním IT specialistou, který se na problematiku IT ve zdravotnictví orientuje. Jedná se o externího pracovníka, jehož služby si každý lékař platí. Žádný jednotný postup v tomto směru neexistuje. „Udržovat systém v chodu je celkem náročné, lékař potřebuje řadu certifikátů, kterými se přihlašuje k portálům zdravotních pojišťoven, kterým se dnes fakturuje elektronicky, certifikát potřebujeme i na eNeschopenku a eRecept. V době zavádění elektronického receptu, který nebyli lékaři technicky sami schopni instalovat, řada z nich poskytla své osobní certifikáty k použití nejrůznějším IT firmám, což znamenalo obrovské bezpečnostní riziko. Proto dlouhodobě požadujeme, abychom se ke zdravotnickým aplikacím nemuseli přihlašovat prostřednictvím svého osobního certifikátu, který samozřejmě může sloužit i k jiným úkonům a lze jím např. podepsat převodní smlouvu na majetek atd. Jeho případným zneužitím může lékař třeba přijít o osobní majetek. Proto trváme na tom, aby existoval jednotný certifikát zdravotnického pracovníka, který by všem lékařům poskytoval elektronickou identitu pro přihlašování do všech aplikací, které jako zdravotník musí používat, ale zároveň nebyl použitelný pro žádné jiné účely,“ vysvětluje MUDr. Šonka.

Opatrnost je namístě nejen při výběru produktů

S tím, jak se objevují některé telemedicínské projekty, začíná mít bezpečnost ještě jiný rozměr. Objevuje se celá řada subjektů, které mají ambici poskytovat telemedicínské služby, o jejichž zabezpečení nevíme vůbec nic. Pochopitelně všechny deklarují, že je v pořádku, ale tomu buď věřit lze, nebo nikoli, jinou možnost lékař nemá. „Proto považujeme za zásadní, aby bezpečnostní standardy takových aplikací definovala státní autorita, která bude také kontrolovat a vymáhat jejich dodržování. Samostatný lékař, jako poskytovatel zdravotních služeb, není schopen bezpečnost nabízených aplikací posoudit a kontrolovat, přitom mu ale v případě ztráty citlivých dat hrozí riziko sankcí. Proto jsme v pohledu na nejrůznější nově se objevující platformy velmi zdrženliví. V některých aplikacích dokonce informaci o zdravotním stavu, která směřuje od konkrétního a jasně identifikovaného pacienta k jeho lékaři, vyhodnocuje a dále zpracovává třetí osoba, o jejíž identitě neví nic lékař ani pacient, který se na něj s důvěrou obrátil. To je další aspekt, který může znamenat bezpečnostní riziko, a zcela jistě jde také o etický problém,“ popisuje MUDr. Šonka s tím, že to je jeden z důvodů, proč SPL ČR nepodporuje virtuální čekárnu. Také IT odborníci přitom upozorňují na nutnou obezřetnost při nákupu technologií nebo účasti na projektech, o kterých víme jen velmi málo. Jak se ukazuje, bagatelizování problému, že k útoku může dojít i přes silné zabezpečení nebo že databáze praktika je vystavena menšímu riziku útoku, protože jeho data nikoho nezajímají, je oprávněné jen částečně. Potvrzují to jak neúspěšné hackerské útoky na některé nemocnice, tak i útoky na malé praxe. „Nedomnívám se, že by byly tyto útoky cílené na jednotlivé lékaře. Šlo o náhodné útoky, kdy byla odcizena databáze za účelem následného vydírání. Obecně v tomto směru asi máme všichni nějaké rezervy,“ přiznává MUDr. Šonka a upozorňuje v této souvislosti na problematiku úhrad, protože veškerá činnost a náklady spojené s IT zabezpečením nejsou do režie praktických lékařů započítány. Složka minutové režie ordinace, kam by měly spadat i náklady na IT, je u PL ve výši 3,19 Kč a za posledních dvacet let se téměř nezměnila. Přitom je zřejmé, že v době, kdy se minutová režie počítala, nemohla být o IT a nákladech na ně ani řeč, protože počítač i ambulantní software nebyl součástí vybavení ordinace. Lékaři používali psací stroj, tužku a papír.

Jak lékaři upozorňují, problematika bezpečnosti dat vyžaduje z jejich strany stále více pozornosti a času. Zároveň přiznávají, že zřejmě téměř každý má v této oblasti nějaké rezervy. „Jiné doporučení než svěřit se serióznímu IT specialistovi, kterému důvěřuji, zatím nemám. Jsou zde jasné základní standardy a pravidla, která je třeba dodržovat, ale není v silách lékaře, až na pár nadšenců s hlubokými IT znalostmi, aby si věci spojené s bezpečností IT dokázal uhlídat a spravovat sám,“ shrnuje MUDr. Šonka.

Již nyní znamená pro lékaře péče o IT extra čas a finance. Jako nezbytné se ukazuje např. zálohování dat na externí disk, které, provádí‑li je lékař jednou týdně, trvá cca 30 minut. Automatické zálohování na záložní disk v počítači nestačí. Další náklady jdou na práci IT specialistů, které většina praktiků platí paušálně, protože nikdy nevědí, kdy budou jejich služby potřebovat. V dnešní době zůstává v tomto směru mnoho nejistot, jedno se však zdá být jisté: Bez bezpečného počítače dnes může i ten sebelepší lékař svoji ordinaci zavřít.

Zdroj: MT