Kybernetické bezpečnosti v českých nemocnicích je potřeba věnovat mimořádnou pozornost, protože počet i závažnost hackerských útoků stále roste. Zdravotnická zařízení čelí nebezpečí, proti němuž musí postupovat společně, shodli se účastníci odborného panelu Stálé konference českého zdravotnictví na téma kybernetická bezpečnost v nemocnicích a Národní plán obnovy. Základním problémem již nejsou ani tak peníze jako naprostý nedostatek know-how a IT odborníků, neexistující společné standardy a roztříštěný postup. A pokud se nějaký projekt podaří zrealizovat, je třeba počítat s tím, že do pěti let se začíná nanovo. Zdravotnická zařízení tak volají po větší vzájemné spolupráci, společných základních pravidlech i větší koordinaci ze strany státu.
Počet kybernetických útoků na zdravotnická zařízení rok od roku stoupá. Podle Národního úřadu pro kybernetickou bezpečnost (NÚKIB) vzrostl loni výrazně počet a závažnost útoků, z nichž za nejzávažnější označil dva rozsáhlé útoky proti Fakultní nemocnici v Brně a Psychiatrické nemocnici Kosmonosy. Úřad zároveň konstatoval, že celkovou úroveň kybernetické zabezpečenosti je potřeba posílit. Nemocnice přitom čelí nebezpečí, na něž síly jich samotných nestačí, shodli se účastníci odborného panelu Stálé konference českého zdravotnictví na téma kybernetická bezpečnost v nemocnicích a Národní plán obnovy.
Na elektronizaci, digitalizaci a kyberbezpečnost proudily do sektoru v minulých letech – a ještě proudit budou – značné sumy peněz, především z evropských fondů. Velkou překážkou je však naprostý nedostatek kvalitních a zkušených IT pracovníků a do budoucna také udržitelnost již jednou realizovaných projektů. „Musíme myslet na obnovu, do pěti let ty peníze budete potřebovat znovu,“ upozorňuje náměstek ředitele pro informační technologie z Fakultní nemocnice Ostrava Petr Foltýn.
Peníze jsou jen začátek
Foltýn má bohaté zkušenosti. Nejen že má Ostrava zkušenost se závažnými kybernetickými útoky – kterým odolala – ale především si v minulých letech naplánovala a zrealizovala celkem patnáct projektů spojených s kyberbezpečností. Letos zbývá dokončit již jen poslední dva. „Není to ale vůbec nic jednoduchého. Pokud si to chcete řídit sami a nedostat se do vleku nějaké řídící společnosti, a navíc máte projekt doručit v konkrétním čase, jak si to žádají dotační podmínky, potřebujete na to vyčlenit značné personální kapacity. Projektové manažery a lidi, kteří dokáží dělat obojí – obsluhovat provoz nemocnice i realizovat projekty,“ popisuje náměstek.
Nemocnice si podle něj nemůže stěžovat na nedostatek peněz. Zhruba 170 milionů korun čerpala z evropských fondů, využila i vlastní zdroje. „Peníze jsou ale jen první fáze, ještě to musíte implementovat a přežít,“ konstatuje Foltýn. A pak, jak již bylo zmíněno, je třeba myslet na financování další podpory, kontinuity a obnovy. „Životnost těchto technologií je jen kolem pěti, šesti let,“ upozorňuje.
Cestou vlastních zdrojů s přispěním evropských fondů na elektronické zdravotnictví kráčí i Fakultní nemocnice Olomouc. Podle jejího náměstka pro informační technologie Antonína Hlavinky je neuralgickým bodem kybernetického zabezpečení českých nemocnic bezpečné zasílání dat. „Pokud tohle nebude zajištěno, je to všechno k ničemu,“ tvrdí.
Jednotná pravidla pro bezpečnou komunikaci a sdílení zdravotnické dokumentace mezi nemocnicemi sice nově definuje zákon o elektronickém zdravotnictví, který byl v druhé polovině srpna konečně schválen našimi zákonodárci, nemocnice však již své projekty vybudovaly, budují nebo je připravují. „Máme na starosti i krajský eHealth, připravujeme portál pro pacienty a výměnu elektronického záznamu. Ale bez zákona jsme byli ve vakuu, jdeme se zavázanýma očima. Stále nevíme, jak si budeme potřebná data s ostatními nemocnicemi vyměňovat. Bez kyberbezpečnosti to ale nepůjde,“ varuje Hlavinka. Problém vidí zejména u menších nemocnic, které nemají peníze ani personální kapacity a s eHealth a kyberbezpečností nijak výrazně nepokročily. „Ve srovnání s velkými nemocnicemi je to velká disproporce. Je to někdy až tristní, přitom se o ně nikdo moc nestará,“ myslí si Hlavinka.
Podle něj může pomoci sdílení know-how. Jeho nemocnice stála u vzniku, podle jeho slov „partyzánské“, iniciativy hSOC, do níž se doposud zapojilo kolem čtyřiceti poskytovatelů zdravotní péče i několik krajských zřizovatelů a dalších institucí. Vznikla právě vloni, kdy již tak přetížené nemocnice zažily vedle návalu covidových pacientů i nebývalý počet a sílu kybernetických útoků. Hlavinka nicméně připouští, že se zatím tuto spolupráci nedaří institucionalizovat. „Bylo by dobré to ale nějak propojit, protože iniciativa již nějakou dobu funguje,“ navrhuje.
Hlavinka také doporučuje nastavit standardy a benchmarky a ty prosazovat pozitivní či negativní motivací s přispěním zdravotních pojišťoven jako plátců. Nedostatek odborníků pak navrhuje řešit i cestou vzdělávání, kde by se mělo více myslet na oblast „digital healthcare“. Jeho nemocnice proto spolupracuje s Univerzitou Palackého na přípravě vzdělávacího programu, který by potřebné lidi pomáhal vychovat.
Praha si doposud musela poradit sama, peníze ale může přinést Národní plán obnovy
Pražské nemocnice mají od těch v ostatních krajích nevýhodu, že nemohou čerpat peníze ze strukturálních fondů, Praha jako bohatý region na ně nemá nárok. Musí si vystačit s vlastními zdroji, i když se potýkají se stejnými problémy jako jejich kolegové z mimopražských zařízení.
To potvrzuje Michal Tůma, náměstek ředitele Ústavu hematologie a krevní transfuze (ÚHKT). Jeho ústav (nepoměrně menší ve srovnání s fakultními nemocnicemi) již realizuje projekty související s kyberbezpečnosti v hodnotě zhruba 20 milionů korun. Připravuje i nový informační systém.
Situaci mu vedle již zmíněných problémů komplikuje další překážka: „V současné době máme problém s dostupností IT komponent. Již přes půl roku soutěžíme hardwarové vybavení a nedokážeme ho vysoutěžit. Dodavatelé nejsou schopni plnit své nabídky, které podali před měsícem,“ popisuje Tůma. Podle něj poptávají velmi profesionální techniku, která není k dispozici k okamžitému odběru ani v „normálních“ dobách „Takže i když máme peníze, nejsme schopni to realizovat. Pravděpodobně budeme muset požádat o prodloužení termínu,“ dodává náměstek.
Na lepším kybernetickém zabezpečení postupně pracuje i Fakultní nemocnice Královské Vinohrady. I zde se, jak připouští Marek Brosche, projevuje nedostatek financí i lidských zdrojů. Problém je o to závažnější, že do budoucna je nutné počítat s tím, že některé informační systémy budou certifikované jako zdravotnické prostředky (odečítají „živá“ data z monitorů apod.). „Tady je bezpečnost naprosto zásadní,“ upozorňuje.
Brosche by ocenil, kdyby bylo možné čerpat peníze nejen „na železo“, ale s ohledem na zoufalý nedostatek lidí i na služby od specializovaných dodavatelů. „Služeb jednoho odborníka by mohlo využívat i více nemocnice najednou,“ navrhuje.
Tak nějak „podomácku“ zápasí s kyberbezpečností malá pražská Nemocnice Na Františku, která zatím na žádný projekt z evropských fondů nedosáhla. „
Pokoušeli jsme se nahrát hackerský útok, který neprošel, čili nejsme úplně na stromech. Zdaleka však nejsme na úrovni jako třeba fakultní nemocnice v Ostravě nebo Olomouci. Když byl jednou ohlášený velký útok, tak z preventivních důvodů jsme systémy prostě vypnuli. Nevím, jestli to bylo úplně rozumné, ale když jsem se to dověděl den před tím, tak jsem jiné řešení neviděl,“ vypráví náměstek ředitele Václav Machek. I on zmiňuje personální problém a chybějící nástroje k tomu, aby se mohl o nemocnici starat.
Praha si však může v nejbližších letech polepšit díky projektům z Národního plánu obnovy, o němž budeme informovat v dalších vydáních Zdravotnického deníku.
Konsolidace do většího celku funguje
To, že spolupráce a konsolidace do většího celku přináší nemocnicím jednoznačné výhody, ukazuje společný postup zařízení v rámci společnosti Nemocnice Pardubického kraje, a.s. Ta zahrnuje pět menších lůžkových zařízení, které dohromady zaměstnávají téměř pět tisíc zaměstnanců. Spojení umožnilo nejen konsolidaci lůžkové péče, ale například také sjednocení postupu při elektronizaci provozu nemocnic a jejich kybernetického zabezpečení. „To, že jsme měli větší celek, určitě pomohlo. Malé okresní nemocnice se třemi lidmi IT by si na projekty ze strukturální fondů vůbec nemohly sáhnout,“ konstatuje ředitel ICT Martin Coufal.
Díky této konsolidaci tak vznikly centralizované projekty kyberbezpečnosti za 50 milionů a eHealth za dalších 50 milionů pro všechna zařízení najednou. Pomohl také Pardubický kraj, který připojil nemocnice do své regionální datové sítě. „Nemocnice to zvedlo na úplně jinou úroveň. Díky tomu mají jejich lidé i více času věnovat se koncovým uživatelům, poskytují daleko lepší podporu. Jsou v terénu a v případě problému dokáží poradit,“ popisuje Coufal s tím, že edukace a osvěta je také velmi důležitá. „Tu chybu udělá nakonec právě koncový uživatel, například otevřením nějakého phishingového emailu,“ zdůrazňuje.
Coufal doplňuje další těžkosti, s nimiž se nemocnice musí potýkat. „Svět IT přechází na formu předplatného. Licence se neprodávají, nabízejí se měsíčně jako služba. Na to ale dotační programy nejsou stavěny. Opouští se svět nákupu HW a SW, velcí výrobci jako Cisco a Microsoft již postupují jen takto,“ upozorňuje ředitel. V praxi tak zadavatelé naráží na to, že si platí drahý měsíční pronájem licence, na nějž budou muset sehnat peníze i v dalších letech.
Kybernetickou bezpečnost nemocnic mohou podle něj ohrožovat i již zmíněné zdravotní přístroje. „Jsou to dnes všechno počítače, na které ale nesmíme sáhnout. Jsou totiž certifikované od výrobce, který například tvrdí, že musí běžet na Windows 95. Pokud je máme zapojit do sítě, je ohrožení touto cestou vysoké. To je také velká výzva,“ dodává Coufal.
IT v roli Popelky
Význam spolupráce zdůrazňuje Karel Kantor z mezinárodní skupiny VAMED MEDITERRA. Ta v Česku provozuje sedm zdravotnických zařízení včetně nemocnic, které mohou čerpat ze zkušeností poučenějších kolegů z Rakouska či Německa. „Kyberbezpečnost bereme velmi vážně. I my jsme součástí českého zdravotnického systému a budeme rádi sdílet s ostatními zkušenosti a informace. Spolupráce je naprosto zásadní, protože čelíme přesile a a hackeři budou vždy pár kroků před námi,“ zdůrazňuje Kantor.
Situace je o to složitější, že podle něj je IT v českých zdravotnických zařízení stále tak trochu v roli Popelky. „Snad se to s nástupem digital health změní. Covid to urychlil, my sami už na tom pracujeme a připravujeme online produkty, například telerehabilitaci. Až budou tyto výkony přímo napojeny na výnosy, pak tam bude i spojnice s IT,“ myslí si.
Také podle Kantora by pomohlo nastavení standardů či benchmarků, které by měla zařízení splnit. „Kolik nemocnic má například nastavený sendbox, který přijímá emaily a testuje, nakolik jsou přílohy v emailu toxické, a pak ho teprve posílá dál?“ ptá se řečnicky. Podle něj však chybí sjednocující administrátor, který by to organizoval a nabídl zázemí. „Může to být kdokoli. Téma je silné, všichni se rádi přidají,“ je přesvědčený Kantor.
VZP: Je nepřijatelné, aby nemocnice kolabovaly
Jednu takovou platformu již chystá NÚKIB, jak ostatně zmiňoval i náměstek Hlavinka. V polovině září svolává úřad první setkání IT manažerů nemocnic, které spadají pod zákon o kybernetické bezpečnosti. Těch bylo původně šestnáct, ale po zkušenosti s covidem se na základě novely vyhlášky o provozovatelích základní služby ve vztahu k sektoru zdravotnictví jejich počet rozšířil o dalších zhruba čtyřicet. Podle Kateřiny Valentové z NÚKIB již pak bude záležet na členech této platformy, jak se bude diskuse dále ubírat a zda se k ní připojí i další nemocnice. „V našich silách není pozvat všechny české nemocnice, i proto, že každé zařízení řeší s ohledem na svou velikost různé problémy,“ vysvětluje Valentová.
Na překotný vývoj v oblasti digitálního zdraví a kyberbezpečnostních výzev začínají reagovat i plátci zdravotní péče, tedy zdravotní pojišťovny. „Je pro nás nepřijatelné, aby zdravotnická zařízení, naši partneři, kolabovala z důvodu nefunkčnosti svých vnitřních informačních systémů. Tyto případy jsme tu už v minulosti měli,“ prohlásil ředitel pražské pobočky VZP Jan Bodnár. Zároveň upozornil, že téma je již v současných mechanismech zakomponováno. „V úhradách například počítáme s obnovou běžné přístrojové techniky, kde jsou rizika největší,“ uvedl.
VZP se podle něj velmi zajímá i o oblast telemedicíny a možnosti úhrad výkonů na dálku. Na ministerstvu zdravotnictví k tomu již vznikly dvě pracovní skupiny. „A v této souvislosti bychom rádi implementovali i bezpečnostní standard, který by znemožňoval napadení těchto systémů,“ uzavírá Bodnár.
Helena Sedláčková
Foto: Radek Čepelák