Počet kyberútoků na nemocnice dlouhodobě stoupá. Na síle nabyly zejména v době covidové pandemie, kdy Národní úřad pro kybernetickou a informační bezpečnost vydal dokonce v polovině dubna varování ohledně zvýšeného rizika útoku. Závažné následky, které mělo napadení nemocnice v Benešově nebo Fakultní nemocnice v Brně se škodou dosahující stovek milionů korun, snad přesvědčilo i poslední nevěřící Tomáše, že nedostatečné zabezpečení informačních systémů a sítí spolu s nízkou informovaností a neznalostí uživatelů o tom, jak se ve virtuálním prostředí chovat, ohrožuje samou podstatu chodu nemocnice. „Data musíme umět rychle a bezpečně přenášet, vyhodnocovat a ukládat, abychom vůbec mohli léčit,“ prohlásil u Kulatého stolu Zdravotnického deníku ke kybernetické bezpečnosti českých nemocnic ředitel Fakultní nemocnice Plzeň Václav Šimánek.
Česko v době koronavirové krize čelilo zvýšenému počtu kybernetických útoků zaměřených zejména na zdravotnická zařízení. Napadení svých informačních systémů hlásily fakultní nemocnice v Ostravě i Olomouci, nemocnice v Karlovarském a Pardubickém kraji i samotné ministerstvo zdravotnictví. „Nelze říci, že by zdravotnictví bylo ohroženo více než ostatní obory, ale je to rozhodně lákavější cíl,“ prohlásil u kulatého stolu Zdravotnického deníku ke kybernetické bezpečnosti českých nemocnic Lukáš Kintr, náměstek ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který stojí v čele sekce Národního centra kybernetické bezpečnosti.
Hackery k častějšímu pokusům o napadení nemocnic vedly podle Kintra především dva důvody: větší tlak na zdravotnická zařízení a z toho vycházející spekulace, že budou více ochotná zaplatit výkupné, a dále vysoká míra práce z domova, která otevírá řadu možností pro útok, protože lépe odhalí „zapomenuté dveře“ do infrastruktury nemocnic.
Hackeři nejčastěji útočí pomocí podvodných phishingových (hromadných) nebo spear phishingových, (zacílených na konkrétní osobu, která odesilatele zná) emailů. Ty sází na neznalost nebo nezkušenost adresáta, který zadá citlivé údaje na falešnou stránku, která je prakticky totožná s tou oficiální. Přitom v dnešní době již zdaleka nejde pouze o emaily psané podivnou češtinou. V případě spear phishingu již vypadají velmi důvěryhodně a dovedou zmást i zkušeného uživatele.
Podle letošního Barometru zdravotnictví se celkem 92 procent z dotázaných ředitelů nemocnic domnívá, že nejpalčivějším místem českého zdravotnictví je v současnosti právě kybernetická bezpečnost. „Phishingových útoků máme tak půl milionu denně, pokusů o narušení citlivosti systému tak pět set denně, o víkendu tisíc, kdy aktivita útočníků stoupá – asi mají více času nebo si myslí, že nemocnice je méně chráněná,“ popisuje běžnou realitu Fakultní nemocnice v Plzni její ředitel Václav Šimánek. „Kyberútok nemocnici v podstatě zablokuje. Nedostanete se k datům pacientů, nedostanete se k vyšetření, nemůžete si vyšetření přeposlat.
Nemocnice má v tu chvíli holé ruce,“ popisuje dále svoji noční můru Šimánek. A jeho kolega a ředitel Fakultní nemocnice Královské Vinohrady Petr Arenberger doplňuje: „A nedej bože, aby si někdo na dálku hrál s nějakým kybernetickým operačním nástrojem, i to je teoreticky možné.“
Nejvíce viditelné jsou útoky ransomwaru, škodlivého programu, který zablokuje počítačový systém nebo zašifruje data v něm zapsaná, a pak požaduje výkupné za obnovení přístupu. Někteří hackeři však útočí také s cílem odcizit data pacientů, a například je dále zobchodovat jako pacientské souhrny, nebo zjistit informace o probíhajícím výzkumu. V obou případech pak nemusí nemocnice o útoku ani vědět. „Útočník po sobě zametá stopy a snaží se být maximálně neviditelný“ vysvětluje Kintr.
Mohlo by vás zajímat
Kde lze také zanechat vizitku
„Útoky na informační systémy a sítě nejen nemocnic mají v posledních letech vzrůstající tendenci,“ říká náměstek ministra vnitra pro ICT Jaroslav Strouhal. Podle NÚKIB, který se věnuje analýzám a monitoringu kybernetických hrozeb a rizik v ČR, zaútočili hackeři na nemocnici úplně poprvé v Janově na Rokycansku v polovině roku 2018. Nemocnici tehdy vyřadili prakticky z provozu a za nápravu požadovali výkupné ve virtuální měně, jejíž pohyb se nedá vystopovat. Dalším zásadním útokem se závažnými následky bylo loňské napadení nemocnice v Benešově nebo Fakultní nemocnice v Brně letos v březnu, ještě na počátku nouzového stavu. V prvním případě šly škody do desítek, v druhém do stovek milionů korun. U benešovské nemocnice vyšlo dokonce později najevo, že vir byl v síti o několik měsíců déle, než se původně myslelo.
Na síle pak útoky nabyly, jak již bylo zmíněno, v době covidové pandemie, kdy jejich počet narostl podle NÚKIB obecně o třetinu. „V každé krizové době se najde někdo, kdo se nechová, tak jak by měl,“ tvrdí Strouhal. V polovině dubna pak NÚKIB vydal varování, že nemocnice jsou ve zvýšeném riziku útoku, spolu s pokyny, jak se jim bránit. Česká republika se tehdy díky tomu dostala i na stránky zahraničních médií, útoky na zdravotnická zařízení v době krize silně odsoudilo vedení NATO nebo Evropská komise, obavy vyjádřil i americký ministr zahraničí Mike Pompeo. Šéfka Evropské komise Ursula von der Leyenová tento týden na závěr virtuálního summitu EU-Čína dokonce otevřeně z nepřijatelných kyberútoků na evropské nemocnice obvinila právě Čínu.
NÚKIB v květnu své varování zase odvolal, protože hrozba útoků na české zdravotnictví a další oblasti klesla na běžnou úroveň. Úřad tehdy uvedl, že díky varování byla řada zařízení v pohotovosti a povedlo se zabránit vážnějším následkům.
Náměstek Kintr nechce sdělit bližší detaily k tomu, zda došlo v některém případě ke kontaktu s útočníkem, který by požadoval výkupné. „Stále ještě probíhá vyšetřování. Ale obecně mohu potvrdit, že k tomu dochází. Stejně tak nelze ani vyloučit možnost, že již došlo či dochází k zneužití nebo prodeji získaných dat,“ dodává náměstek a vysvětluje, že dříve po útoku následoval obvykle útočníkův email s požadavky. „Dnes tam spíš zanechá svoji vizitku, obvykle podpis, kontaktní email s anonymním přístupem a výzvu, abychom se ozvali, aniž by konkrétně uvedl své požadavky.“
NÚKIB ale není ten, kdo by měl zjišťovat totožnost pachatele, to je podle Kintra úkolem policie. „My se hlavně snažíme co nejrychleji zjistit, s kým máme tu čest, abych věděli, co je třeba udělat. Jsme pak k dispozici ke konzultacím v průběhu obnovy. Vedle toho zajišťujeme vzorky malwaru a různé forenzní stopy, které tam útočník zanechal, abychom dokázali před podobným útokem varovat ostatní. Ty pak sdílíme vzájemně s policií.“
Jedním z napadených zařízení byla Fakultní nemocnice v Ostravě, které se ale dokázala ubránit. „Pokusy o útok zaznamenáváme prakticky denně, některé ale byly zajímavější,“ říká náměstek ředitele FN Ostrava pro ICT Petr Foltýn a popisuje případ ransomwaru, který k nim dorazil z již napadené partnerské organizace, čímž se mu podařilo ochranu systému oklamat. „Nevěděli jsme, že napadená je již samotná organizace. Útok odhalila až naše poslední linie obrany – sandbox (spouští programy nebo stažené soubory v bezpečném virtuálním prostředí, izolovaném od zbytku počítače – pozn.red.), který zjistil, že se na nás řítí stovky a stovky zavirovaných emailů, jež vypadají relevantně a dalo se tedy předpokládat, že je uživatelé otevřou.“ Větší obavy než emaily ale ve Foltýnovi vyvolávají spíše útoky na zabezpečení serveru s využitím mezer v systému. „To jsme zažili taky,“ dodává.
Lékaři ví o zásadách kyberbezpečnosti velmi málo
Po útoku na Fakultní nemocnici v Brně vydal NÚKIB jako koordinační orgán ve stavu kybernetického nebezpečí opatření, v němž nařídil vybraným nemocnicím lépe zabezpečit své systémy. Jednalo se o šestnáct zařízení, na něž se vztahuje zákon o kybernetické bezpečnosti a z nichž většina spadá přímo pod ministerstvo zdravotnictví (týká se to největších nemocnic s více než 800 lůžky nebo statutem traumacentra) a narušení jejich informačních systémů a sítí by mělo významný dopad na společnost. Jak ale upozorňuje náměstek ředitele Nemocnice na Bulovce a poradce ministra zdravotnictví pro ICT Martin Koníř, některá požadovaná opatření byla ve vyhrocené covidové době těžko realizovatelná. „Naprosto nerozporuji, že to bylo správné, ale velmi těžko se to provádělo. V době, kdy se zdravotníkům vozily balíky s kokakolou, aby to vůbec vydrželi, bylo velmi náročné prosadit takové zásadní omezení komfortu jejich práce, jakým byl zákaz internetu.“
Podle Koníře je navíc velkým problémem nízké povědomí zdravotnického personálu o zásadách bezpečného pohybu ve virtuálním prostředí, o nichž by se měli dozvídat již na lékařských fakultách. „Lékaři přicházejí do styku s jedním z nejcitlivějších osobních údajů. Přitom když vyjdou z fakulty, neví nic o GDPR ani kyberbezpečnosti. Nemocnice to pak musí řešit vlastními silami,“ dodává Koníř.
S tím souhlasí i ředitel Petr Arenberger, podle něhož i jim opatření NÚKIB velmi pomohlo při přesvědčování personálu o nutnosti odpojit některé otevřené emailové servery. „Měli jsme se na co odkázat,“ říká s úsměvem, ale zároveň dodává: „Stejně si ale nejsem jistý, nakolik je náš stávající systém bezpečný. Tahle naše elektronická nejistota by měla být nějak posílena.“ I přes veškerou metodickou podporu NÚKIB totiž stále nenahrazuje činnost správce nebo dodavatele systému. Arenberger by proto uvítal, kdyby na celostátní úrovni fungovala nějaká nezávislá konzultační skupina expertů, s nimiž by se mohl v případě potřeby spojit a kteří by poradili nebo doporučili vhodné řešení, aniž by měl obavy, že v tom mají nějaký komerční nebo bezpečnostní zájem. „Takových lidí je jistě spousta, ale jsou velmi drazí a my si to nemůžeme dovolit,“ dodal ředitel.
Čeká nemocnice větší míra koordinace?
Podle zákona o kybernetické bezpečnosti, který vznikl v roce 2014 a představuje vůbec jednu z prvních komplexních právních úprav kyberbezpečnosti v Evropě, si každý resort odpovídá za provoz svých informačních systémů a sítí sám, vysvětluje náměstek Jaroslav Strouhal. „A podle mě to není úplně dobře. I proto se již delší dobu vede diskuse o tom, jak posílit postavení NÚKIB, z něhož se za několik let fungování stala respektovaná instituce, a jeho dohledové a koordinační kompetence,“ řekl Strouhal.
Lukáš Kintr však varuje před tím, aby NÚKIB nesl odpovědnost za provoz všech veřejnoprávních systémů. „To je nepředstavitelné. Přineslo by to obrovské personální, finanční i technologické požadavky kapacity. Vznikl by moloch, který by časem ztratil na efektivitě. Za nás tudy cesta nevede,“ prohlásil s tím, že tento názor potvrzují i zahraniční zkušenosti. Podle něj je tu však rozhodně prostor pro větší míru koordinace a specializaci na určité sektory jako třeba ten zdravotnický. „Již se o tom vede poměrně intenzivní diskuse. Na druhou stranu situaci nemocnice dost komplikuje fakt, že mají různé zřizovatele a je složité vůbec nějaký koordinační rámec vymyslet,“ dodává náměstek, podle něhož se debatuje i tom, zda by pod kybernetický zákon nemělo spadat více nemocnic. „Zkušenosti z Benešova ukazují, že i menší nemocnice mohou mít pro společnost zásadní význam. Je tu sice jakýsi ostych to zafinancovat, ale podívejte se, jaké to pak má finanční dopady, které jdou do desítek a stovek milionů. Nebylo by lepší investovat před tím zlomek těchto částek?“ ptá se Kintr.
Na druhou stranu, jak upozorňuje Petr Přibyl, ředitel Úseku hlavního architekta a bezpečnosti společnosti CCA Group, která nemocnicím pomáhá se zabezpečením jejich systémů, rozšíření působnosti zákona by těmto nemocnicím přineslo značné technické, kapacitní i organizační náklady. „Jen ty mohou zvednout náklady o třetinu,“ varuje Přibyl.
Nedostatek peněz a také lidí je téma, které se v diskusi o kyberbezpečnosti neustále vrací. Útoky hackerů jsou stále propracovanější, přitom sehnat kvalifikované experty je problém nejen pro nemocnice, ale i samotný NÚKIB, přiznal náměstek Strouhal. Podle Martina Koníře může současný koordinační model zase fungovat jen tehdy, pokud provozovatelé budou vůbec schopní dělat to, co po nich NÚKIB požaduje. Ten se snaží zdravotnická zařízení zatím podpořit vedle metodiky i vzdělávacími akcemi. „Chystáme strategické cvičení pro manažery kybernetické bezpečnosti a IT manažery nemocnic, zdravotních pojišťoven, zastoupeno bude i ministerstvo zdravotnictví. Podobné cvičení proběhlo již se Státním ústavem pro kontrolu léčiv,“ popisuje Kintr. „Chystáme také vydat minimální bezpečnostní standard, který by měl pomoci s tím, na co se zaměřit,“ dodává na závěr.
Financování kybernetické bezpečnosti českých nemocnic se budeme ještě věnovat v některém z dalších vydání ZD.
Kulatý stůl vznikl za laskavé podpory společnosti CCA Group a.s.
Helena Sedláčková
Foto: Radek Čepelák