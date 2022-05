Na začátku války na Ukrajině varoval Národní úřad pro kybernetickou a informační bezpečnost před zvýšeným rizikem kyberútoků. Kritická úroveň nebezpečí podle úřadu přetrvává i nadále. Jedním z cílů může být i zdravotnictví. I když se tam kyberbezpečnost postupně zlepšuje, pořád je co dohánět. „Kdyby se začalo už v roce 2015, tak jsme podstatně dál,“ hodnotí pro iROZHLAS.cz prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla. Praha 6:00 1. května 2022 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít Zdravotníci na jednotce intenzivní péče. (ilustrační foto) | Zdroj: Reuters

„Národní úřad pro kybernetickou a informační bezpečnost vydává varování před hrozbou v oblasti kybernetické bezpečnosti spočívající v realizaci kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy veřejné správy, ale i dalších strategických organizací. Tyto útoky mohou mít dopady na dostupnost, důvěrnost či integritu informací u důležitých informačních a komunikačních systémů,“ zní začátek varování, které Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal den po zahájení ruské invaze na Ukrajinu.

Reportérka Radiožurnálu: Odkud se šíří kyberútoky na české nemocnice nevíme, vyšetřování může trvat měsíce Číst článek

Podle mluvčí úřadu Aleny Minxové je toto varování stále aktuální. „Hrozba, kterou jsme definovali v našem varování, nadále zůstává stejná, tedy že útoky jsou velmi pravděpodobné, až téměř jisté,“ vysvětlila serveru iROZHLAS.cz.

Právě zdravotnický systém je častým a vyhledávaným cílem kybernetických útoků. I proto, že pracuje s citlivými informacemi a případné ohrožení systému se dotýká i zdraví lidí.

„Logicky, v jaké situaci budete nejvíce přístupní k tomu, že zaplatíte výkupné? Když vám jde o život. To platí jak v běžném světě, tak i v tom kybernetickém,“ přiblížil už dříve pro server iROZHLAS.cz Vladimír Rohel z Národní agentury pro komunikační a informační technologie (NAKIT).

S tím souhlasí i prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla. „Zdravotnická informace je jedna z nejdražších na černém trhu. Informace o kreditní kartě koupíte za pár centů, ale kompletní zdravotnickou informaci o nějaké zajímavé osobě, celebritě nebo politikovi, to jde do tisíce dolarů,“ vysvětluje Špidla.

Více útoků

Se zvýšenou aktivitou hackerů se už některá zdravotnická zařízení skutečně potýkají. Podle informací z nemocnic, které server iROZHLAS.cz oslovil, jde nejčastěji o takzvané phishingové útoky. Tedy typ útoku, kdy se hacker vydává za důvěryhodnou autoritu s cílem získat od oběti citlivé údaje.

„Zero day“ útok Zero day útok (zero-day attack) je druh kyberútoku, který využívá nových bezpečnostních chyb. Útočník objeví bezpečnostní slabinu a zaútočí dřív, než stihne vývojář zareagovat a chybu opravit. Uživatel s touto verzí programu je proto neustále ohrožen až do doby, než vývojář bezpečnostní slabinu opraví nebo se objeví jiný způsob obrany. Toto období je známé jako období zranitelnosti. Útočník může nezabezpečeného softwaru využít například k tomu, aby do zařízení dostal spyware, trojského koně, ransomware nebo jiný malware.

Jejich zvýšené množství pozorují třeba ve Fakultní nemocnici Plzeň. „V návaznosti na situaci na Ukrajině zaznamenáváme zvýšený počet útoků. Setkáváme se s nimi na denní bázi. Zejména se jedná o útoky vedené s cílem omezit nebo narušit dostupnost služeb nebo narušit dostupnost informací prostřednictvím phishingových e-mailů,“ popisuje mluvčí nemocnice Gabriela Levorová.

S pravidelnými útoky se setkává třeba i Fakultní nemocnice svaté Anny v Brně. „Nejčastěji se jedná o automatizované průzkumy zranitelnosti na systémech, které jsou dostupné z internetu. Nejčastějším útokem, který cílí přímo na uživatele informačních systémů, je phishing, kterým jsou uživatelé atakováni v průměru dvakrát měsíčně. Jedná se o e-mailové kampaně,“ přibližuje mluvčí nemocnice Jiří Erlebach s tím, že nechybí ani známé DDoS útoky, které mají za cíl zahltit server, aby webové stránky byly nedostupné.

Podobně jsou na tom i ve fakultních nemocnicích v Brně, pražském Motole nebo na Vinohradech. V olomoucké Fakultní nemocnici se jedná zhruba o dvacítku útoků ročně, přiblížil mluvčí nemocnice Adam Fritscher s tím, že mezi nimi jsou třeba i pokusy o zneužití zranitelnosti systému. Třeba takvzaný „zero day“ útok. Většinou jde ale podle mluvčích o takzvané „nedestruktivní útoky“, tedy spíše o snahy o průnik do systému.

Ransomware

Do českého veřejného prostoru ale asi nejvíce pronikla informace o takzvaných ransomware útocích na nemocnice. Jeden takový vyřadil v roce 2019 informační systém nemocnice v Benešově.

V nejbližších dnech můžeme čekat kybernetické útoky, varuje úřad. Cílem můžou být i nemocnice Číst článek

Postupně přestávaly fungovat počítače, ale i zdravotnické přístroje. Bylo třeba převést pacienty a náhle rušit operace. Obnovení systému nemocnice pak trvalo téměř tři týdny a stálo 60 milionů korun. Jen o čtvrt roku později postihl podobný útok i Fakultní nemocnici v Brně. I tam došlo k využití vyděračského programu a alespoň částečná obnova systému fungovala déle než týden.

Co je ransomware? Ransomware je škodlivý kód, který zamyká přístup k infikovanému zařízení nebo šifruje jeho obsah. Po uživateli požaduje výkupné s příslibem (samozřejmě negarantovaným), že po zaplacení dojde k zpřístupnění zařízení a/ nebo odšifrování dat. Jde o specifický druh škodlivého kódu, který se používá pro vydírání uživatelů. Po úspěšném infikování zařízení blokuje přístup k zařízení nebo šifruje definovaná data na disku. Na obrazovce se zobrazí výzva k zaplacení „výkupného“, v některých případech i s informací, kolik času uživateli na zaplacení zbývá. Po uplynutí doby se požadovaná částka navýší, vysvětluje společnost ESET.

O podobné útoky se pokoušejí hackeři stále. Jak potvrdil serveru iROZHLAS.cz náměstek ředitele pro informační technologie Fakultní nemocnice v Ostravě Petr Foltýn, pokus o jeho aktivaci zaznamenali právě i na severu Moravy.

„Vždy jsme dosud byli díky včasné detekci interních systémů úspěšní v zabránění útoku, jeho rozšíření a eskalace. Žádná infrastruktura, zejména tak rozsáhlá jako naše, nemůže být už ze své podstaty zabezpečena absolutně. Vhodnou kombinací technických a preventivních prostředků se nám daří výrazným komplikacím, které by mohly ovlivnit interní provoz IT systémům, zabránit,“ popsal serveru iROZHLAS.cz.

Zranitelnost systémů

Míru zranitelnosti systému zdravotnických zařízení NÚKIB z bezpečnostních důvodů nepřibližuje. Je ji ale možné usuzovat třeba právě z dřívějších případů napadení nemocnic v Benešově nebo Fakultní nemocnice v Brně.

Šéf kyberbezpečnosti Řehka: Tlačíme na ministerstvo zdravotnictví, aby vytvořilo strategii proti hackerům Číst článek

„Dění v uplynulých dvou letech ukazuje nakolik zranitelný je zdravotní sektor skrze kyberprostor a v konečném důsledku také vypovídá o stavu zajištění kybernetické bezpečnosti v daném prostředí. Zjištění u konkrétních subjektů je různé, konkrétní případy nekomentujeme. Přímo odpovídá přístupu a kvalifikovanosti odpovědných pracovníků a jim dostupných zdrojů,“ vysvětlila Minxová s tím, že není možné přístup jednotlivých nemocnic generalizovat.

Do roku 2021 spadalo pod kybernetický zákon pouze 16 nemocnic a zařízení se speciálním traumatologickým centrem. Tento počet byl rozšířený na základě požadavku Asociace krajů i na menší nemocnice, aktuálně jich je pod kyberzákonem 46.

Co to znamená? Že nemocnice jsou povinné provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti a vést o nich dokumentaci. Opatření zahrnují třeba i systém řízení rizik, zajištění organizační bezpečnosti, zvládání kybernetických hrozeb a incidentů nebo třeba provádění pravidelných bezpečnostních auditů. Ani to ale nezajišťuje zdravotnickým zařízením plnou ochranu.

V posledních dnech jsme svědky DDoS útoků, které nelze jednoduše automatizovaně mitigovat. Důležitá je příprava na rychlou a koordinovanou reakci. Proto připomínáme Varování, které NÚKIB vydal 25.2., kde zmiňuje hrozbu DDoS a jak se na ně připravit. Více: https://t.co/1rUO2GFROa — NÚKIB (@NUKIB_CZ) April 29, 2022

Podle Minxové sice nelze útokům hackerů předcházet, dá se ale předcházet jejich vážným důsledkům. „V případě, že nemocnice bude dodržovat vyhlášku o kybernetické bezpečnosti a bude implementovat organizační a technická opatření, tak může do značné míry zmírňovat dopady spojené s útoky,“ podotýká.

Řešením kyberzákon?

Jak ale vysvětluje pro server iROZHLAS.cz prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla, v kyberbezpečnosti zdravotnických zařízení Česko zaspalo a teď situaci pouze dohání.

Nemocnici v Horažďovicích napadli minulý týden hackeři. ‚Žádná data neunikla,‘ říká mluvčí Číst článek

„Začínáme v těch nemocnicích pozdě. Protože nespadají všechny pod zákon o kybernetické bezpečnosti, platí tady takové pravidlo, že když nespadám pod zákon, tak to nemusím řešit. Kdyby se začalo už v roce 2015, tak jsme podstatně dál,“ popisuje Špidla.

Největší nedostatky mají podle něj dodavatelé zdravotnické techniky, jako třeba diagnostických přístrojů, na dálku ovládaných infuzních pump a dalších.

„Mají ze zákona stejné povinnosti, i když sami o sobě pod ten zákon nespadají. Musejí třeba dodávat ty systémy s jakousi mírou bezpečnosti. To je ale často velký problém, protože mnoho těch zařízení funguje na starých, už nepodporovaných operačních systémech. A je velmi těžké je převychovat k tomu, aby tu bezpečnost respektovali a zajišťovali,“ dodává.

Důsledky pak mohou být podle Špidly fatální. „V Německu se třeba stalo, že vezli paní sanitkou do nemocnice, byla v akutním stavu. Ale ta nemocnice byla zrovna pod hackerským útokem, a tak ji nemohli přijmout. Museli ji poslat o třicet kilometrů dál. A těchto dvacet minut chybělo k záchraně jejího života. Je proto nezbytné si uvědomit s jakými hodnotami pracují,“ upozorňuje.

Jak se bránit?

Podle Špidly existuje zároveň spousta možností, jak kyberútokům bránit a jejich důsledkům předcházet.

„Aktuálně to už není tak moc o antivirech, jako o dalších opatřeních, které nám pomáhají ke zvýšení bezpečnosti. Aktualizovat operační systémy, pravidelně školit personál, provádět penetrační testy – nejen na systémy, ale i na samotné uživatele,“ popisuje.

Po stopách kyberútoků. ‚Největším problémem nemocnic jsou finance, na IT bezpečnost schází,‘ říká reportérka Číst článek

Dalším možným opatřením je podle Špidly rozdělení nemocniční sítě. „Když se pak virus dostane do jednoho zařízení, tak se nedostane do dalšího v odděleném segmentu. Když ale máte v jednom systému nainstalované počítače, které vám řídí docházku, počítají mzdy, je tam sonografie, magnetická rezonance, diagnostické přístroje... Tak je jenom otázkou času, kdy se vám škodlivý software dostane do sítě a schytá to celá nemocnice,“ říká s tím, že přesně k tomu došlo u zmíněných nemocnic vyřazených ransomwarem.

Podle mluvčích a náměstků oslovených nemocnic je pro ně kybernetická bezpečnost po zkušenostech z minulých let velmi důležitá. Do zabezpečení svých systémů postupně investují a zlepšují ho. Je to ale finančně velmi náročné a nemocnice tak jsou často závislé na dotacích státu nebo Evropské unie.

„Obměnili jsme v posledních letech tři z klíčových informačních systémů včetně centrálního Nemocničního informačního systému. Provádíme postupnou obnovu i dalších zásadních informačních systémů a v oblasti komponent kybernetického zabezpečení bylo v posledních dvou letech realizováno 15 samostatných infrastrukturních projektů. Celková částka těchto investic přesáhla 220 milionů korun,“ popsal pro iROZHLAS.cz třeba náměstek ostravské fakultní nemocnice Foltýn.

Víte, že máme na úřadě místnost, kde sídlí KOC? Ne, není to z hantecu. Znamená to Kybernetické Operační Centrum. Chrání mimo jiné i nemocnice a záchranku před útoky hackerů. Podívejte se dovnitř! pic.twitter.com/nF1mqXsf5w — Jihomoravský kraj (@Jihomoravsky_kr) March 11, 2021

V brněnské fakultní nemocnici pak už funguje třeba i samostatný útvar kybernetické bezpečnosti, který se zaměřuje i na pravidelná školení zaměstnanců, kteří jsou podle Špidly právě tím nejbolavějším místem každého systému.

„Útvar kybernetické bezpečnosti připravuje pravidelné vzdělávání pro vnitřní uživatele IT systémů. Opatření se vztahují rovněž na dodavatele nemocnice. Probíhá testování zranitelností zdravotnických prostředků a využíváme externího profesionálního dodavatele služeb,“ odpověděla mluvčí nemocnice Veronika Plachá s tím, že bližší informace nemůže kvůli bezpečnosti poskytnout.

Pomoc NÚKIBu

A s pomocí nemocnicím přichází i přímo NÚKIB, ačkoliv podle své mluvčí Aleny Minxové za jejich zabezpečení zodpovědný není.

„V nemocnicích probíhaly audity, skeny zranitelností, zapojení do detekce nebo obecně konzultace. NÚKIB nabízí přímo zdravotnickým pracovníkům e-learningové kurzy Minimum kybernetické bezpečnosti a Základy kybernetické bezpečnosti. Kromě toho se zástupci NÚKIB pravidelně účastní konferencí, webinářů a jednání, která řeší vzdělávání v sektoru zdravotnictví,“ popisuje mluvčí úřadu Minxová.

K přehledu jsme zveřejnili i zdrojová data ke kybernetickým incidentům a infografiku se čtvrtletním přehledem hrozeb, která vychází z incidentů hlášených NÚKIB. K dispozici zde: https://t.co/ZPGzm7FFbI — NÚKIB (@NUKIB_CZ) April 19, 2022

Dodává, že NÚKIB už uspořádal i první „netechnické cvičení kybernetické bezpečnosti pro sektor zdravotnictví“. Zúčastnilo se ho šestnáct největších nemocnic. Jak doplňuje, bezpečnost systémů nemocnic se postupně přeci jenom začíná zlepšovat. „Můžeme říci, že vzhledem k pozornosti, které se zdravotnictví dostalo dochází k postupnému zlepšení,“ dodává.