Připomínáme si první výročí rozsáhlého kybernetického útoku na Fakultní nemocnici Brno krátkým rozhovorem s jedním z přímých účastníků z Centra informatiky, který měl tenkrát na starost obnovu systému PACS, Ing. Petrem Čačíkem. V současnosti zastává funkci vedoucího oddělení systémů.

• Je to téměř přesně rok, co byla FN Brno vystavena hackerskému útoku. Co se vám vybavilo jako první, když jste se o incidentu dozvěděl?

První myšlenkou bylo, že zaměstnance IT oddělení čeká neuvěřitelně mnoho práce, o kterou se právě i z bezpečnostních důvodů nelze podělit a kterou budeme muset zvládnout sami v co nejkratší době. Současně za vědomí, že odběratelé služeb budou v některých případech naprosto bezradní, nebudou vědět, co mají dělat, a budou po IT chtít nějaké náhradní řešení.

• Můžete stručně popsat průběh prvního dne po zjištění incidentu?

Od okamžiku zjištění incidentu byly veškeré práce směřovány na zastavení veškerého standardního IT provozu, byly informovány bezpečnostní složky PČR a NÚKIB, sdělen rozsah útoku vedení FN Brno a jednotlivým dodavatelům konkrétních informačních systémů. Současně začaly přípravné práce pro zajištění náhradních provozů IT bez použití datových sítí a zajištění urgentních provozů, než bude dokončena analýza rozsahu škod a stanoveny náhradní opatření.

• Co kryptovirus se systémem udělal?

Jednalo se o skupinu více virů typu ramsomware, každý dělal něco jiného (mapování sítě, prolamování uživatelských účtů, kryptování…). Cílem bylo kryptování běžných formátů dat a databází všude tam, kam se ramsomwaru podařilo dostat. Následovalo typické oznámení o požadavku na zaslání výkupného.

• Bylo načasování (podle vás) na samý začátek prvního pandemického lockdownu záměrné?

To si nemyslím, spíš vidím načasování na nešťastnou číslovku 13, ale to jsou dohady. Lockdown paradoxně IT pomohl, protože bylo jen minimum lidí v zaměstnání. Díky vytvoření operativních pracovních skupin, které se v zaměstnání střídaly v návaznosti na opatření proti šíření pandemie COVID‑19, měla IT podpora operativní prostor pro sanaci koncových stanic a zařízení.

• Jak dlouho vám trvalo obnovení základního provozu?

Základní provoz byl obnoven do dvou (bazální podpora) až tří měsíců (drtivá většina specializovaných a doprovodných nástrojů). Největší brzdou bylo vytvoření plánu pro obnovu systémů podle doporučení NÚKIB, který se musel seznámit se strukturou organizace a ICT provozu ve FN Brno. Bylo nutné provést kontrolu všech ICT prostředků.

• Četla jsem, že jste měli „záložní“ komunikační systém ke svolání krizového štábu, je to tak?

Ano, FN Brno pro krizové svolávání využívá externí službu, která v tomto případě zafungovala perfektně.

• Jsou rok po události nějaké oblasti, kde jsou „trosky“?

Maximálně v unavených lidech (nejen na IT), kteří si sáhli na dno svých sil. S obnovováním provozu bylo nutné nejen nově nabíhající provoz ICT udržovat, ale bylo nutné také vytvářet nová pracoviště spojená s pandemií nemoci COVID‑19 (odběrová místa, polní nemocnice na BVV…). Současně dále pracujeme na dalších bezpečnostních pravidlech, která implementujeme do provozu ICT, a obnovujeme postupně agendu spojenou s vnitřním informačním systémem, který byl útokem zcela zlikvidován a kde nemocnice přišla o šest let vývoje. Jedná se o systém řešící provozní workfl ow dokumentů a procesů, který sice není provozně ohrožující, ale způsobuje prodlevy při běžné komunikaci uvnitř nemocnice. Obnovu nemáme z mého pohledu za sebou, jedná se o dlouhodobý a konstantní proces a organizace se mu musí věnovat kontinuálně.

• Čím byste se chtěli jako tým pochlubit ve zvládání této krize?

Hlavně silným a zkušeným týmem lidí, který dokázal tak velkou a heterogenní instituci (co se systémů a pestrosti provozů týká) dát tak rychle do rutinního provozu. Je nutné si uvědomit, že FN Brno má přes 2 500 koncových stanic (PC), 1 000 terminálů, více než 250 serverů, na kterých běží desítky informačních systémů a úzce specializovaných aplikací, několik stovek laboratorních přístrojů a modalit a přes 6 500 nedočkavých uživatelů. To vše navíc se sníženou dostupností externí podpory kvůli lockdownu, který se v ČR nastartoval. IT podpora čítá na 50 specialistů, kteří realizovali obnovu provozu a koordinovali práci s dodavateli technologií.

• Máte pro ostatní zdravotnická zařízení „kuchařku“, jak se útokům bránit a jak je zvládnout?

Nepodceňovat důležitost ICT a bezpečnost v instituci. ICT je dnes již základní komoditou zdravotnického zařízení stejně jako dodávka vody a elektrické energie. Drtivá většina IT specialistů jsou odborníci, kteří dokáží zabezpečit zdravotnické zařízení, ale musejí k tomu mít dobré nástroje a podpůrné služby. IT personál musí být pravidelně vzděláván. Do kyberbezpečnosti je nutné zapojit ve zdravotnickém zařízení všechny, dělat zaměstnancům osvětu a testovat je. Management zdravotnického zařízení by si měl dát otázku i odpověď, jak běžnou agendu zdravotnického zařízení zvládne personál zajistit bez ICT. A pro takovou situaci mít nachystány krizové plány, jejichž funkčnost je nutné tu a tam ověřit. Tedy nejlepším a nejlevnějším řešením je prevence a školení zaměstnanců. Cílenému útoku se dá špatně bránit a je potřeba předcházet útokům, kde je možná vysoká nevědomá spoluúčast zaměstnanců.