Ochránit zdravotnická zařízení před útoky hackerů stojí dost peněz. Ty jsou však v současné době k dispozici prakticky jen díky fondům z Evropské unie, na které ovšem nedosáhnou pražská zařízení. Je to řešení krátkodobé a nesystémové, přitom kyberbezpečnost si vyžaduje pravidelný přísun financí, shodli se účastníci kulatého stolu Zdravotnického deníku ke kybernetické bezpečnosti českých nemocnic. V návaznosti na zkušenosti s útoky z posledních měsíců se navíc začalo uvažovat o tom, že by se rozšířila působnost zákona o kybernetické bezpečnosti i na menší nemocnice. To by si ovšem vyžádalo další náklady.
Zabezpečit dostatečně české nemocnice proti hackerským útokům na jejich sítě a informační systémy stojí nemalé peníze. Řádově se jedná o desítky až stovky milionů korun ročně. „V rámci výzvy č. 10 Integrovaného regionálního operačního programu (IROP) ke kybernetické bezpečnosti jsme požádali o 300 milionů korun, potřebujeme tedy sto milionů ročně,“ prohlásil ředitel Fakultní nemocnice v Plzni Václav Šimánek na kulatém stole Zdravotnického deníku ke kyberbezpečnosti českých nemocnic.
Při shánění peněz na IT zabezpečení jsou zdravotnická zařízení v současnosti prakticky závislá na fondech Evropské unie. To ovšem znamená, že pražské nemocnice musejí finance hledat jinde, neboť Praha jakožto bohatý region nárok na evropskou podporu nemá. „My na výzvu č.10 nedosáhneme,“ potvrzuje náměstek ředitele pro ICT Nemocnice Na Bulovce Martin Koníř. „Přitom vezmete-li to z hlediska systému financování nemocnic, tak tam žádná korelace s tím, že jsme v bohatém regionu, není. Jsme stejně chudí jako třeba nemocnice v Ostravě. Jiná alternativa toho, jak se dostat k desítkám a stovkám milionů korun na IT, pro nás ale zatím není.“ Jako určitou pomoc lze podle Koníře vnímat alespoň metodickou podporu a doporučení Národního úřadu pro kybernetickou a informační bezpečnosti (NÚKIB). „Ušetří nám to vlastní výzkum. Nicméně nejsme stejně schopní to naplňovat,“ dodává.
Stejně to vidí i ředitel Fakultní nemocnice Královské Vinohrady Petr Arenberger. „Jsme bez evropských peněz. Dostali jsme teď ale grant sto milionů na integrační platformu, tak se pokusíme tyto prostředky využít i na ochranu našich systémů. Máme nový firewall, ale určitě to není to, o čem tu mluvíme, není to cíleně na bezpečnost.“
Jak by ochránil informační systémy ve své nemocnici bez evropských peněz si nedovede představit náměstek ředitele Fakultní nemocnice v Ostravě pro ICT Petr Foltýn. „My jsme svou kyberbezpečnost podpořili částkou 170 milionů korun a vyčerpáme to do koruny. Ať se ale podívám na Bulovku, Homolku nebo do Motola, nemají vůbec šanci na tyto peníze dosáhnout. Navíc pro jejich ředitele budou vždy prioritou budovy nebo přístroje. Já osobně ani nevím, jestli bych chtěl nést osobní odpovědnost za něco, co nejsem schopný ufinancovat,“ svěřil se Foltýn, který ale zároveň upozorňuje, že i pro něj znamená závislost na financování z EU nejistotu z dlouhodobého hlediska. „Peníze potřebujeme každý rok. Musíme doufat, že za tři roky se na nás nezapomene,“ dodává.
Problémy s nedostatkem financí se ovšem netýkají jen zabezpečení nemocnic, ale i nezdravotnických sektorů, včetně ministerstva vnitra, které samo spravuje přes třicet různých informačních systémů. „Deficit jen toho, co by se mělo vynaložit, abychom plnili požadavky legislativy a opatření požadovaných NÚKIB, je asi 350 milionů korun,“ popisuje náměstek ministra vnitra pro ICT Jaroslav Strouhal.
Lze kyberbezpečnost financovat z veřejného zdravotního pojištění?
Z fondů EU podpořilo ministerstvo zdravotnictví v minulých letech téměř šedesát zdravotnických zařízení částkou zhruba dvě miliardy eur. Podle Martina Novotného z tiskového oddělení ministerstva zdravotnictví bude kybernetická bezpečnosti jednou z prioritních oblastí IROP i v následujícím období 2021 – 2027. „První výzvy bude možné vyhlásit v roce 2021, příp. 2022, až po schválení programového dokumentu Evropskou komisí. Co se týče cílů, počítá se s podobným modelem jako v 10. výzvě IROP 2014 – 2020, tedy s investicemi do technických opatření dle zákona o kybernetické bezpečnosti,“ dodává Novotný.
Ministerstvo chce nemocnicím pomoci i prostřednictvím vládního programu Digitální Česko. Předložený implementační plán obsahuje kolem dvacítky záměrů s alokací přes šest miliard korun, z nichž dvě miliardy mají směřovat přímo do kybernetické bezpečnosti nemocnic a zajištění povinností vyplývajících ze zákona o kybernetické bezpečnosti. „Jedná se o přípravné plány na období 2020 – 2025, u kterých se předpokládá financování formou operačních programů Evropské unie,“ doplňuje svého kolegu z tiskového oddělení Klára Doláková.
I v tomto případě se tedy ministerstvo spoléhá na časově omezené dotace z Evropské unie. To je však podle Martina Koníře systémově špatně. Kybernetická bezpečnost vyžaduje pravidelný přísun financí, aby se daly ošetřovat nové problémy, které se budou zcela jistě objevovat. „A jednou se celá ČR stane bohatým regionem, peníze z EU dojdou a budeme mít všichni stejný problém. Nemocnice by si proto měly umět vydělat v rámci poskytování zdravotní péče dostatek peněz na to, aby to ufinancovaly. Myslím si, že je naprosto legitimní, aby to šlo z veřejného zdravotního pojištění,“ tvrdí Koníř, podle něhož se dnes již nemocnice při poskytování zdravotní péče bez IT a bezpečně uložených pacientských dat neobejdou. „Jsou to sice investiční náklady, ale nikoli takové, na které by si nemocnice neměla vydělat ze svého provozu, stejně jako by si měla vydělat na opravu svých budov. V jejím provozu by tyto zdroje měly být zahrnuty.“
Právě na Bulovku a její IT tato nesystémovou velmi dopadá. Je silně podfinancovaná, úhrady nestačí pokrýt náklady, přitom podle Koníře na provozu už nelze ušetřit, jak je vidět ze statistik ohledně počtu technicko-hospodářských pracovníků, kam náleží i IT. „Máme 3,9 THP pracovníka na jedno lůžko. Za námi jsou Motol a Krč se 2,4. Nemáme už kde brát. A ve chvíli, kdy se nám hroutí budovy, máme nedostatečnou obsazenost personálem, máme havárie na polovině přístrojů, nelze z pohledu žádného managementu alokovat dostatek zdrojů, které potřebuje IT a IT bezpečnost,“ dodává náměstek ředitele Nemocnice na Bulovce.
Mít tak task force jako v Americe
Ministerstvo podle Kláry Dolákové považuje ochranu pražských nemocnic před hackery za svou prioritu. „Proto v současné době intenzivně jednáme o zajištění financování kyberbezpečnosti v pražských nemocnicích a dalších institucích zdravotnického systému v Praze,“ dodává Doláková, ovšem bez dalších podrobností.
Ředitel Petr Arenberger by mezitím uvítal, kdyby na celostátní úrovni fungovala alespoň nezávislá konzultační skupina expertů, s nimiž by se mohl v případě potřeby poradit. Podobná „task force“ funguje podle Koníře například v USA na federální úrovni, protože i tam mají veřejnoprávní úřady problémy najít a zafinancovat vlastní kvalifikované experty. „Tito experti chodí do institucí v jednotlivých amerických státech, kde mapují situaci, učí, pomáhají a své zkušenosti přenášejí dál. To je podle mne daleko účinnější řešení, než kdyby stát dal nemocnicím stejnou částku formou dotací,“ tvrdí Koníř, podle něhož pak nemocnice sice mají peníze, ale už nikoli kvalifikovaný personál, který udělá, co je potřeba.
Podle ředitele Úseku hlavního architekta a bezpečnosti CCA Group a.s. Petra Přibyla by stálo za úvahu, zda by stát nemohl vypomoci nemocnicím s tím, že by část sítě provozoval sám. „Tedy zda by nemocnice nemohly komunikovat podobně, jak dnes komunikují úřady,“ navrhuje Přibyl. Podle náměstka Strouhala se jedná o starou úvahu, nicméně její realizaci komplikuje nejen nedostatek financí, ale i konkurenční boj o potřebnou infrastrukturu. „Ministerstvo vnitra z podobného důvodu dlouhodobě a zatím neúspěšně usiluje o přidělení části spektra vyhrazeného pásma 700 MHz pro vybudování operátora pro bezpečnostní složky, narazilo ale na velkou averzi trhu,“ popisuje náměstek a dodává, že stát vlastní poměrně dost datových kabelů, ale neví kde, nedisponuje totiž žádnou mapou této infrastruktury.
„Debata se teď vede spíše o tom, zda a jak rozšířit působnost zákona o kybernetické bezpečnosti na další nemocnice,“ pokračuje dále Strouhal. V současné době se zákon vztahuje na šestnáct zdravotnických zařízení, která mají více než 800 lůžek a/nebo statut traumacentra, a narušení jejich informačních systémů a sítí by mělo významný dopad na společnost. Deset z nich patří pod přímou působnost ministerstva zdravotnictví, zbývajících šest má jiného zřizovatele. Podle náměstka ředitele NÚKIB pro sekci Národního centra kybernetické bezpečnosti Lukáše Kintra však zatím není jasné, jaké kritérium by se mělo pro určení takových nemocnic použít. „Jako vhodnější bych viděl spíše spádovost, ta však legislativně neexistuje. Mohli bychom také určit okresní nemocnice, nicméně ne všechny jsou zase z hlediska ČR tak významné,“ vysvětluje Kintr.
Nemocnicím, které by nově spadaly pod zákon, zejména pak těm malým, by rozšíření působnosti zákona přineslo další náklady, a to nejen po finanční, ale i organizační stránce. Podle Petra Přibyla by právě v tomto mohl pomoci NÚKIB. „Mohl by například poskytnout vzorovou dokumentaci,“ navrhuje Přibyl. „Je to otázka kapacit na naší straně,“ reaguje Kintr. „Stejně jako řešíme nemocnice, tak se věnujeme třeba energetickému sektoru. A pokud bychom na to přistoupili, zvýšil by se tlak z dalších odvětví. Pro nás to teď není reálné,“ vysvětluje náměstek ředitele NÚKIB. Zároveň však dodává, že nemá se vzorovou dokumentací úplně dobré zkušenosti. „Kdykoli jsme se setkali s nějakým vzorovým materiálem a jeho užitím v praxi, tak to bylo prostě překlopeno bez reflexe reálného prostředí. Vzniknou pak dokumenty pro dokumenty, které nakonec danému subjektu nic nepřinesou.“
Bezpečně komunikovat musí umět všechny nemocnice
Současný stav je podle Petra Přibyla obecně takový, že nemocnice budou hackery pořád dohánět. „Kyberbezpečnost je bude stát velké peníze, ale budou se pořád jen bránit a občas někde několik desítek milionů uteče. Aby se skutečně něco radikálně změnilo, musel by přijít opravdu silný impulz, hacker, před nímž se nikdo neubrání. Jinak nebude ke změně vůle,“ tvrdí Přibyl.
„Mělo by se to dělat systémově a dlouhodobě,“ dodává na závěr Foltýn. „Velké nemocnice si na kyberbezpečnost vždycky nějaké peníze najdou, i když v Praze je to těžší. V malých nemocnicích mají ale méně peněz a na IT dva nebo tři lidi. Když se něco stane, je to průšvih,“ dodává náměstek ředitele FN v Ostravě, podle něhož by se i menší zařízení měla pod nějaký dohled NÚKIBu dostat. Jde totiž především o to, aby si nemocnice mohly vzájemně bezpečně vyměňovat informace. „A jak si chcete vyměňovat data, když jejich zabezpečení nebude řešeno celoplošně?“ ptá se Foltýn.
Kulatý stůl vznikl za laskavé podpory společnosti CCA Group a.s.
Helena Sedláčková