Kyberbezpečnost zdravotních zařízení jako kritické infrastruktury tak v současné době nabírá na významu. Kybernetická vydírání způsobují velké ekonomické ztráty, ale především ohrožují lidské životy. Naštěstí rostou i počty a schopnosti firem nabízejících bezpečnostní řešení. Například společnost ProID nedávno uspořádala virtuální konferenci, na níž se spolu s odborníky z firem Monet+, eNovation a Ixperta podělila o své zkušenosti, zhodnotila aktuální stav, trendy a představila možnosti čerpání dotací určených na posilování ochrany nemocnic, lékařských ordinací i jiných zdravotních zařízení. Některé informace jsme využili v tomto článku.
Útok na Den díkůvzdání
K jednomu z nejnovějších obrovských hackerských útoků došlo ve Spojených státech letos koncem listopadu na Den díkůvzdání. V tento největší americký svátek se stala společnost Ardent Health Services cílem rozsáhlého ransomwarového útoku, jenž narušil klinické a finanční operace ve třech amerických státech. Společnost, která vlastní 30 nemocnic a 200 dalších zdravotnických zařízení, převedla svou síť do režimu off-line a pozastavila veškerý uživatelský přístup ke svým aplikacím informačních technologií, podnikových serverů a klinických programů. Vozy záchranné služby musely být odkloněny a v některých případech museli být pacienti dokonce převezeni do jiných nemocnic. Neakutní lékařské zákroky odpovědní pracovníci odsunuli na pozdější termíny. Jak uvedla americká média, přesměrovávání sanitek komplikovalo situaci nemocnic v New Jersey, v Novém Mexiku, v Oklahomě a v síti nemocnic UT Health East Texas. Útoky na Den díkůvzdání jsou podle expertů „mrazivým připomenutím toho, že vydírání nemocnic je epidemie na vzestupu“. Začátkem listopadu guvernérka New Yorku Kathy Hochulová navrhla soubor rozsáhlých nařízení kybernetické bezpečnosti, která by se vztahovala na nemocnice v celém státě. Součástí jsou finanční prostředky ve výši 500 milionů dolarů na pomoc zdravotnickým zařízením modernizovat jejich technologické systémy. Navrhované předpisy mimo jiné vyžadují, aby nemocnice zavedly obrannou infrastrukturu k prevenci kybernetických útoků a vytvořily plány reakce na incidenty, zřídily pozici Chief Information Security Officer (CISO), pokud již není zavedena, a aby používaly vícefaktorové ověřování. Začátkem října oznámila společnost McLaren Health Care, jež vlastní 15 nemocnic, přibližně 2,2 milionu pacientům, že jejich osobní údaje byly ohroženy v důsledku úniku dat, který odhalil čísla sociálního pojištění, informace o zdravotním pojištění, informace o předpisech léků a diagnostické a léčebné informace. A společnost HCA Healthcare nedávno utrpěla únik dat, který se dotkl 11 milionů pacientů, přičemž téměř jeden milion lidí byl loni postižen ransomwarovým útokem na společnost Practice Resources (PRL) se sídlem v New Yorku.
Nebezpečné ztráty
„Každý úspěšný průlom dokáže vyřadit nemocnici či ordinaci z provozu až na několik týdnů. Přitom nemusí jít jen o počítače a servery, v ohrožení jsou i chytré lékařské přístroje a veškerá data pacientů. Hackeři dokážou prolomit uživatelské účty i kritické zranitelnosti a webová rozhraní,“ říká Ivo Vrána ze společnosti ProID, která pro zdravotnická zařízení zajišťuje bezpečnost nasazením systému pro ověřování identit zaměstnanců mobilní aplikací a pomocí čipových karet. V české veřejnosti způsobil v roce 2019 velký rozruch kybernetický útok na Nemocnici Rudolfa a Stefanie Benešov, který způsobil škodu přes 59 milionů Kč. Pachatele se nepodařilo dohledat a policie případ odložila. Na nemocnici útočil takzvaný ransomware, počítačový vir šifrující data na počítači, serverech a dalších zařízeních. Ten následně požaduje po poškozeném výkupné, nejčastěji ve formě kryptoměny. Benešovská nemocnice přišla například o internetový objednávkový systém u dárců krve. Ztratila se také některá administrativní a ekonomická data. Při útoku ale podle policie neunikla data o složkách pacientů. Obětí kybernetického útoku se také stala Fakultní nemocnice Brno, a to natolik, že 20 dní nemohla být v provozu, což jí způsobilo škodu v desítkách milionů Kč. Kraj poskytl na odstranění následků 30 milionů korun. Hackeři tedy kradou zdravotnická data milionům lidí, na černém trhu totiž mají údajně pětadvacetinásobnou hodnotu proti ukradeným kreditním kartám, a jejich dalším cílem je vyděračství. Zašifrují systémy a napadená nemocnice tak ztratí přístup k datům o pacientech, k rezervačním systémům nebo k ovládání zdravotnických přístrojů. Za odblokování pak hackeři žádají peníze, nejčastěji bitcoiny, protože jejich tok je za určitých okolností prakticky nevysledovatelný. Zdravotnická zařízení, která zažila hackerský útok, uvedla, že v 59 % případů došlo k prodloužení pobytu pacientů, necelá čtvrtina zaznamenala zvýšený počet úmrtí. Podle amerického odborného tisku „nasměroval“ ransomware Black Basta od roku 2022 do bitcoinových peněženek kriminálních gangů výkupné ve výši více než 100 milionů dolarů. Black Basta provozuje obchodní model známý jako „dvojité vydírání“. Vyděrači šifrují data svých obětí, ale nejprve je zkopírují na své servery. Organizacím, které nechtějí platit, hrozí zveřejnění, nebo dokonce prodej odcizených dat konkurentům. Tento přístup se prosazuje i mezi dalšími kybernetickými gangy jako LockBit nebo Akira. Největší jednotlivá platba činila 9 milionů dolarů, v průměru oběti vydírání zaplatily jako výkupné za svá data 1,2 milionu dolarů. Platit výkupné ransomwarovým gangům by mohlo být brzy zakázáno zákonem ve více než 40 zemích. Státy doufají, že tento krok zastaví toky peněz zločinců a útoky ransomwaru tak nebudou atraktivní. K útokům často dochází během prázdnin nebo svátků, kdy hackeři předpokládají, že je ve službě méně bezpečnostních pracovníků. Experti a policie radí obětem ransomwarových útoků, aby nesouhlasily s požadavky na výkupné. „Čím více se platí, tím víc cena stoupá a je více obětí,“ říkají. Hackeři se začali zaměřovat na nemocnice (na jejich vydírání) od roku 2016, uvádí firma Recorded Future zabývající se kybernetickou bezpečností. Její analytik Allan Liska pro NBC řekl, že od roku 2020 bylo ročně zaznamenáno nejméně 300 zdokumentovaných útoků na zdravotnická zařízení.
Dotace pro bezpečnostní systémy
Z diskusí na konferencích vyplývá, že také současná česká vláda si je vědoma hrozeb kybernetických útoků a připravila štědré dotační programy na podporu kybernetické bezpečnosti v rámci Národního plánu obnovy. Pro zdravotnictví je určena NPO výzva č. 43, která nabízí v součtu 1,5 miliardy korun. Zatím je z této kvóty čerpáno jen 20 %. Žádosti přijímá sice až do konce dubna 2024, ale příprava projektu vyžaduje určitý čas, takže by zájemci neměli dlouho otálet. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval letos v říjnu 27 kybernetických incidentů. Jejich počet vzrostl proti předchozímu měsíci a již potřetí v řadě se drží nad průměrem za posledních dvanáct měsíců. Zvýšený počet incidentů se však nepromítl do jejich závažnosti. Naopak došlo k poklesu evidovaných významných incidentů. Stejně jako v minulých měsících dominovala v klasifikaci incidentů kategorie „Dostupnost“, kde i nadále převažovaly DDoS útoky. Více než třetina incidentů v této kategorii však zahrnovala primárně provozní výpadky. V mnoha zdravotnických zařízeních dobře funguje tým manažera kybernetické bezpečnosti, ale v některých je toto téma podceňováno. Nezodpovědný přístup by měl odstranit nový zákon o kybernetické bezpečnosti. Až 10 milionů eur nebo 2 % ze světového obratu jako pokuta nyní reálně hrozí firmám při nedodržení zákona o kybernetické bezpečnosti, který má vstoupit v platnost v druhé polovině příštího roku. Nanejvýš zajímavá a kontroverzní je také kompetence dozorového orgánu, který může požádat soud o vydání rozhodnutí, kterým bude konkrétní fyzické osobě v řídicí pozici zabráněno dočasně vykonávat řídicí funkce. Před necelým rokem byla přijata směrnice Evropské unie NIS2 o opatřeních k zajištění kybernetické bezpečnosti. Jednotlivé členské státy, včetně České republiky, musí do 16. října 2024 přijít s novou legislativou, prakticky s novelizací zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů. Zatímco některé povinnosti bude třeba začít plnit už v druhé polovině roku 2024, jiné budou muset být splněny až v druhé polovině roku 2025. I přes relativně dlouhou lhůtu by organizace podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) neměly odkládat přípravu a čekat na finální přijetí legislativy. Zavést v organizaci funkční proces řízení kybernetické bezpečnosti je komplexní záležitost, která může trvat několik měsíců až let. Organizace, které dosud neřešily kybernetickou bezpečnost systematicky, zejména ty spadající do kategorie „vyšších povinností“, by měly brát v úvahu, že zavedení systému řízení bezpečnosti informací a plnění požadavků zákona a jeho prováděcích předpisů bude dlouhodobým a náročným procesem. /Karel Sedláček/