Kybernetický útok na benešovskou nemocnici byl dosud největší svého druhu. Ačkoliv ale omezil provoz zdravotnického zařízení na tři týdny, povedlo se včas varovat ostatní a zabránit obdobnému útoku v další organizaci. Ministerstvo chce proto nyní v rámci auditů, metodik a dotací opětovně pomoci zdravotnickým zařízením s tím, aby se útokům dokázaly bránit. Poučit se z chyb a sdílet zkušenosti pak mohli manažeři nemocnic v rámci včerejšího workshopu konaného v Nemocnici Na Homolce.
„Rozhodli jsme se uspořádat seminář v návaznosti na nedávný útok v benešovské nemocnici, který je do jisté míry v českém zdravotnictví přelomový. Zatím jsme se s podobně rozsáhlým útokem s takovýmito dopady v českém zdravotnictví nesetkali, přestože všichni tušili, že se něco takového může stát a připravovali se na to. Stále je co zlepšovat, poučit se z chyb ostatních a sdílet zkušenost, proto jsme se spolu s Nemocnicí Na Homolce a benešovskou nemocnicí rozhodli uspořádat seminář pro manažery kybernetické bezpečnosti ostatních nemocnic,“ vysvětluje ministr Adam Vojtěch.
Na včerejší workshop se přitom na Homolku sjelo přes 250 lidí z nemocnic po celé České republice. „To, co se stalo nemocnici Benešov, se může stát libovolné jiné nemocnici či organizaci. Je to jen otázka času. Proto jsme zorganizovali tento workshop: abychom si vzali ponaučení nejen organizační, ale i technické. Jakým způsobem budeme řídit procesy kybernetické bezpečnosti? Jak si budeme mezi sebou, nemocnicemi a organizacemi vyměňovat informace, aby byly bezpečné? Technologie se vyvíjejí rapidním, exponenciálním tempem, my lidé lineárním – a rozdíl se zvětšuje. Proto je třeba neustále se dovzdělávat – základní počítačová gramotnost, kterou jsme nabyli kdysi dávno, už nestačí,“ konstatuje iniciátor workshopu a náměstek pro IT Nemocnice Na Homolce Dušan Chvojka.
Kybernetická bezpečnost ovšem není nic nového a na tomto poli už proběhla řada aktivit. Ministerstvo se snaží k problematice vydávat metodické materiály a poskytovat e-learning, z evropských fondů pak byly v oblasti IT podpořeny projekty v celkové hodnotě 2,2 miliardy. Pomoci se úřad podle Vojtěcha snaží i centralizovaným nákupem služeb, kybernetickými audity či penetračním testováním.
„Přesto stále vidíme, že útočníci či hackeři jsou vždycky krok před námi. Proto se musíme poučit tam, kde došlo k pochybením, hledat příčiny a snažit se je eliminovat. Ve Spojených státech jsou cílem těchto útoků ransomwarů – vyděračských virů právě zdravotnická zařízení. Převzali jsme tak doporučení FBI, která vycházejí z podobného útoku, jako byl proveden na benešovskou nemocnici. Doporučení jsme již publikovali na našich stránkách,“ dodává Vojtěch s tím, že ministerstvo na základě útoku chystá plošné prověrky zdravotnických zařízení, aby posoudilo stav a rizika kybernetické bezpečnosti u jednotlivých poskytovatelů zdravotnických služeb včetně LDN či psychiatrických nemocnic.
Prozatím škoda ve výši 40 milionů
Útok, k němuž došlo 11. prosince v benešovské nemocnici, byl zřejmě spuštěn otevřením podvrženého neboli phishingového mailu. Během útoku došlo ke zpomalení ICT systémů, podařilo se prolomit přístupy administrátorů a prostřednictvím ruského viru Ryuk byla zašifrována data. Útok přitom nebyl cílen jen na benešovskou nemocnici, ale i na další organizace, podobně byla před koncem roku napadena i OKD.
„My jsme se o útoku dozvěděli z médií. Chtěl bych pochválit vedení nemocnice, že informaci netutlalo, protože se to poměrně rychle podařilo začít řešit – spojili jsme se s odpovědnými pracovníky a podařilo se tam poslat tým, který pomáhal situaci řešit. Na základě toho jsme zajistili vzorky a indikátory kompromitace, které směřovaly k varování ostatních subjektů. Díky tomu se tuto nákazu povedlo zachytit v jiné, poměrně podstatné organizaci, ještě než propukla naplno,“ přibližuje ředitel odboru regulace Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Adam Kučínský.
K útoku se nakonec nikdo nepřihlásil ani nebylo požadováno výkupné. Fungování nemocnice však bylo do konce roku omezeno. „Po dobu sedmi dní byl provoz nemocnice zcela paralyzován, všechny akutní i plánované operace byly na konci roku 2019 zrušeny, nefungoval ambulantní provoz a byla poskytována péče pouze těm pacientům, kteří byli již hospitalizováni. Nejtěžší pacienti byli přeloženi do jiných nemocnic,“ řekla v pondělí hejtmanka Středočeského kraje Jaroslava Pokorná Jermanová (Ano) s tím, že nyní už jsou zprovozněna všechna oddělení i ambulance a objednané operace pacientů na rok 2020 probíhají podle naplánovaného harmonogramu. Odložené operace z konce roku 2019 budou provedeny tento a příští měsíc. Práce na zabezpečení informačního systému nemocnice dle instrukcí NÚKIB a reinstalace jednotlivých softwarů tak, aby byl provoz opět bez omezení plynulý, budou pokračovat i během prvního pololetí tohoto roku.
Škody se prozatím vyšplhaly na 40 milionů (38 milionů činily ztráty na úhradách způsobené omezením provozu, dva miliony stálo přeinstalování serverů). „Definitivní škoda bude vyčíslena poté, co bude zpracována fakturace od všech, kteří se podíleli na odstraňování vzniklých škod, a budou uzavřeny ambulantní a hospitalizační účty. Vzhledem ke ztrátě dat vykázaných pojišťovnám od ledna do prosince 2019 nelze provést ani přesnou kontrolu a finální dovykázání péče tak, jako v minulém období,“ uvedl ředitel benešovské nemocnice Roman Mrva. Pokrýt ztrátu chce nemocnici pomoci Středočeský kraj, který zamýšlí poslat neinvestiční dotaci ve výši 30 milionů.
Edukace lidí i lepší technická řešení
Jaké je poučení z benešovského incidentu? Zásadní je podle ministra Vojtěcha hlavně edukace uživatelů, protože často je slabým místem právě lidský faktor – například když zaměstnanec nemocnice otevře phishingový e-mail (tak jako v benešovské nemocnici), klikne na podezřelý odkaz či použije USB klíč, který je neprověřený. „To jsou snadno odhalitelné a preventabilní kroky. Na druhou stranu víme, že právě takto se ransomwary dostávají do sítě. V dnešní době, kdy se digitalizuje zdravotnictví a máme tu přístrojovou techniku, která využívá data a je napojena na celou síť nemocnice, což jsme viděli právě v Benešově, jsou dopady zásadní. Je to i o zálohování dat a tak dále,“ dodává Vojtěch s tím, že ministerstvo je ochotno problematiku metodicky i dotačně podpořit.
Vedle edukace uživatelů je na místě zaměřit se na technickou stránku. „Je třeba sítě segmentovat, aby se při napadení jedné části nákaza nedostala do celé organizace, ale dařila se izolovat. A pak je tu procesní management, kdy je třeba poslouchat bezpečáky a nepřehlasovávat je věcnými správci, kteří bezpečnost vnímají jako něco, co obtěžuje,“ shrnuje Adam Kučínský.
Podle něj jsou nejčastějšími nedostatky, které z benešovského incidentu vyplynuly, kromě zmíněných technických nedostatků v podobě slabé segmentace sítě, dále neošetřené zranitelnosti, neaktuálního softwaru či vystavování služeb do internetu bez reálného důvodu, také manažerská pochybení, jako je nedodržování pravidel minimálního přístupu k systému či ovlivňování bezpečnosti provozem či managementem, nedostatečné nebo žádné proškolení uživatelů, jak se chovat v prostředí internetu, a nedostatečný monitoring, co se v síti děje. Mezi nejčastější cesty, které útočníci využívají, přitom patří phishingové maily, veřejně dostupné služby z internetu, neautorizovaný přístup umožněný technickými nedostatky, jako je nezabezpečená wifi, a do sítě připojovaná osobní zařízení typu mobilů a notebooků, která nejsou pod kontrolou organizace.
Jak nemocnice varovat včas
Vedle toho je také třeba zaměřit se na infrastrukturu. „Nemocnice jsou vybaveny infrastrukturou z doby roku 2000, což je v tuto chvíli nevýhodné. Je proto nutné zvažovat investice do obnovy infrastruktury, jen je potřeba najít rozumnou architekturu, která bude ekonomicky přijatelná, zároveň ale pomůže integrovat více nemocnic dohromady a vytvořit jednotné security operations centrum pro určité úseky, aby každá nemocnice nemusela kupovat superdrahé technologie, které vyžadují superdrahý maintenance a superdrahého ajťáka, který musí mít velice kvalifikované znalosti – a takových lidí není moc. Je proto třeba zvážit, jak se dá efektivně rozdělit náklad, abychom uřídili bezpečnost a zefektivnili provoz,“ dodává Dušan Chvojka, podle kterého je také třeba zamýšlet se nad systémem včasného varování.
Systém včasného varování už dle Kučínského existuje a je zakotven v zákoně o kybernetické bezpečnosti, k povinným osobám však ze zdravotnických zařízení patří jen ta, co mají více než 800 lůžek nebo statut traumacentra. „Na tyto povinné osoby máme kontakty a musí nám hlásit incidenty, abychom mohli varovat ostatní. Většina subjektů ale pod zákon nespadá, takže na ně kontaktní údaje nemáme, pokud nejsou spolupracující organizací. Zveřejňujeme však hrozby, zranitelnosti a bezpečnostní upozornění, takže doporučujeme sledovat to na našich webových stránkách, hrozby reflektovat a přijímat opatření,“ podtrhává Kučínský s tím, že i velká zařízení se do systému včasných varování zařadila až v posledních dvou letech. Více nemocnic v něm přitom není proto, že zákon povinným subjektům ukládá povinnosti, které jsou finančně i personálně náročné, takže by je menší zařízení beztak nezvládla naplnit.
Pokud bychom poučení shrnuli, vyžaduje podle odborníků dostatečně silná ochrana před kyberútoky know-how, finanční prostředky a jednotnou koncepci architektury pro boj proti možným kybernetickým útokům. Je potřeba zřídit systém včasného varování všech nemocnic a nastavit spolupráci s NÚKIB i dalšími institucemi zabývajícími se kybernetickou ochranou. Musí být také nastaven systém jednotného vzdělávání pracovníků ve zdravotnictví v oblasti kybernetické hygieny a zavedena ochrana koncových uživatelů ICT, administrátorů s privilegovanými účty a všech medicínských zařízení. K tomu je na místě zajistit kontinuální několikaúrovňové zálohování a nastavit promyšlené segmentování sítě.
Michaela Koubová