Připomínáme si první výročí rozsáhlého kybernetického útoku na Fakultní nemocnici Brno krátkým rozhovorem s jedním z přímých účastníků z Centra informatiky, který měl tenkrát na starost obnovu systému PACS, Ing. Petrem Čačíkem. V současnosti zastává funkci vedoucího oddělení systémů.
První myšlenkou bylo, že zaměstnance IT oddělení čeká neuvěřitelně mnoho práce, o kterou se právě i z bezpečnostních důvodů nelze podělit a kterou budeme muset zvládnout sami v co nejkratší době. Současně za vědomí, že odběratelé služeb budou v některých případech naprosto bezradní, nebudou vědět, co mají dělat, a budou po IT chtít nějaké náhradní řešení.
Od okamžiku zjištění incidentu byly veškeré práce směřovány na zastavení veškerého standardního IT provozu, byly informovány bezpečnostní složky PČR a NÚKIB, sdělen rozsah útoku vedení FN Brno a jednotlivým dodavatelům konkrétních informačních systémů. Současně začaly přípravné práce pro zajištění náhradních provozů IT bez použití datových sítí a zajištění urgentních provozů, než bude dokončena analýza rozsahu škod a stanoveny náhradní opatření.
Jednalo se o skupinu více virů typu ramsomware, každý dělal něco jiného (mapování sítě, prolamování uživatelských účtů, kryptování…). Cílem bylo kryptování běžných formátů dat a databází všude tam, kam se ramsomwaru podařilo dostat. Následovalo typické oznámení o požadavku na zaslání výkupného.
To si nemyslím, spíš vidím načasování na nešťastnou číslovku 13, ale to jsou dohady. Lockdown paradoxně IT pomohl, protože bylo jen minimum lidí v zaměstnání. Díky vytvoření operativních pracovních skupin, které se v zaměstnání střídaly v návaznosti na opatření proti šíření pandemie COVID‑19, měla IT podpora operativní prostor pro sanaci koncových stanic a zařízení.
Základní provoz byl obnoven do dvou (bazální podpora) až tří měsíců (drtivá většina specializovaných a doprovodných nástrojů). Největší brzdou bylo vytvoření plánu pro obnovu systémů podle doporučení NÚKIB, který se musel seznámit se strukturou organizace a ICT provozu ve FN Brno. Bylo nutné provést kontrolu všech ICT prostředků.
Ano, FN Brno pro krizové svolávání využívá externí službu, která v tomto případě zafungovala perfektně.
Maximálně v unavených lidech (nejen na IT), kteří si sáhli na dno svých sil. S obnovováním provozu bylo nutné nejen nově nabíhající provoz ICT udržovat, ale bylo nutné také vytvářet nová pracoviště spojená s pandemií nemoci COVID‑19 (odběrová místa, polní nemocnice na BVV…). Současně dále pracujeme na dalších bezpečnostních pravidlech, která implementujeme do provozu ICT, a obnovujeme postupně agendu spojenou s vnitřním informačním systémem, který byl útokem zcela zlikvidován a kde nemocnice přišla o šest let vývoje. Jedná se o systém řešící provozní workfl ow dokumentů a procesů, který sice není provozně ohrožující, ale způsobuje prodlevy při běžné komunikaci uvnitř nemocnice. Obnovu nemáme z mého pohledu za sebou, jedná se o dlouhodobý a konstantní proces a organizace se mu musí věnovat kontinuálně.
Hlavně silným a zkušeným týmem lidí, který dokázal tak velkou a heterogenní instituci (co se systémů a pestrosti provozů týká) dát tak rychle do rutinního provozu. Je nutné si uvědomit, že FN Brno má přes 2 500 koncových stanic (PC), 1 000 terminálů, více než 250 serverů, na kterých běží desítky informačních systémů a úzce specializovaných aplikací, několik stovek laboratorních přístrojů a modalit a přes 6 500 nedočkavých uživatelů. To vše navíc se sníženou dostupností externí podpory kvůli lockdownu, který se v ČR nastartoval. IT podpora čítá na 50 specialistů, kteří realizovali obnovu provozu a koordinovali práci s dodavateli technologií.
Nepodceňovat důležitost ICT a bezpečnost v instituci. ICT je dnes již základní komoditou zdravotnického zařízení stejně jako dodávka vody a elektrické energie. Drtivá většina IT specialistů jsou odborníci, kteří dokáží zabezpečit zdravotnické zařízení, ale musejí k tomu mít dobré nástroje a podpůrné služby. IT personál musí být pravidelně vzděláván. Do kyberbezpečnosti je nutné zapojit ve zdravotnickém zařízení všechny, dělat zaměstnancům osvětu a testovat je. Management zdravotnického zařízení by si měl dát otázku i odpověď, jak běžnou agendu zdravotnického zařízení zvládne personál zajistit bez ICT. A pro takovou situaci mít nachystány krizové plány, jejichž funkčnost je nutné tu a tam ověřit. Tedy nejlepším a nejlevnějším řešením je prevence a školení zaměstnanců. Cílenému útoku se dá špatně bránit a je potřeba předcházet útokům, kde je možná vysoká nevědomá spoluúčast zaměstnanců.
Tyto stránky jsou určeny odborným pracovníkům ve zdravotnictví. Informace nejsou určeny pro laickou veřejnost.