Když loni padlo několik nemocnic pod útoky hackerů, musely odložit některé zákroky a nemohly se dostat k zablokovaným záznamům o pacientech. Ministerstvo zdravotnictví teď sice připravuje strategii, jak za miliardy korun z Evropské unie zdravotnická zařízení proti hackerům zabezpečit, podle nemocnic je ale vágní a neřeší hlavní problémy. Ajťáci z desítek nemocnic se proto rozhodli, že nebudou čekat a vytvoří vlastní obranu proti útokům. A se státem nyní jednají o tom, aby evropské miliardy mohli pro svůj plán také využít.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Nemocnice jsou pro hackery historicky snadný cíl. Když ale loni napadli zdravotnická zařízení po vypuknutí pandemie, ukázalo se, jak špatně na tom Česko v této oblasti je. Hackeři například zastavili při jarní vlně počítače ve Fakultní nemocnici Brno, která je druhou největší nemocnicí v Česku. To způsobilo škodu téměř za 100 milionů korun. O pár dní později hackeři útočili v psychiatrickém zařízení v Kosmonosech.  Ve známost vešel i dřívější útok na benešovskou nemocnici, kde odhad škody dosahuje zhruba 59 milionů korun.

Děravost obrany nemocnic je způsobená nedostatkem peněz a odborníků. Povinné bezpečnostní požadavky tak neplní ani 16 největších zdravotnických zařízení v Česku, pro které platí zákon o kybernetické bezpečnosti.

 „Jsme v situaci, kdy nemáme na IT peníze. Když už je máme, tak jsou určené takzvaně na nákup železa, nikoliv na investice do lidí. Když už nějaké lidi seženeme, tak nám nejsou příliš k užitku, neboť za ty peníze nemají znalosti, které potřebujeme,“ shrnuje Martin Zeman, ředitel odboru informatiky na ministerstvu zdravotnictví. 

Osamocené nemocnice lehce podlehnou útokům

Z obavy, že se budou útoky opakovat, vytvořili nemocniční IT experti iniciativu hSOC a pustili do boje s hackery po svém. „Když bude na pomyslném kybernetickém bojovém poli stát každá nemocnice osamoceně, tak nás každý hacker lehko shodí. Pokud se ale všechny spojí do kruhu a vytvoří uzavřenou obranu se vzájemným sdílením informací, zdrojů a technologií, budou to mít daleko složitější,“ říká Dušan Chvojka, jeden ze zakladatelů iniciativy hSOC a náměstek ředitele v Nemocnici Na Homolce.

Připojilo se k nim už 38 nemocnic a zdravotnických zařízení, například Fakultní nemocnice Bulovka, Fakultní nemocnice Olomouc či Ústřední vojenská nemocnice. Ve spolupráci s neziskovým sdružením vysokých škol a Akademie věd CESNET vytvořili během osmi měsíců uzavřenou síť, přes niž se nemocnice připojují k internetu. Tato síť je lépe zabezpečená a monitorovaná než běžné sítě.

Miliony odražených pokusů

Společný systém navíc podle tvůrců odrazí tisíce kybernetických útoků nebo jiných škodlivých událostí denně. „Útoky, které odkloníme, vůbec nezasáhnou vnitřní síť nemocnic. Nevyřeší to všechny útoky, protože některé jsou velmi cílené, ale můžeme tomu hodně pomoci,“ říká Radovan Igliar z CESNET.

Podle něj nemocnice poslední dobou nejčastěji čelí takzvanému phishingu, kdy útočníci od zaměstnanců loudí citlivá data přes on-line komunikaci. Hackeři se také často snaží uměle přehltit nemocniční servery velkým počtem požadavků, aby došlo k jejich selhání. Využívají i škodlivé programy, které mohou zašifrovat nemocniční počítače. Roste také počet takzvaných scanů, kdy útočníci zkoumají zranitelnost systému, aby zjistili, jak do něj případně proniknout.

Jen v dubnu zabezpečená síť odrazila 454 milionů pokusů o útok či jiných podezřelých aktivit, které se tak k nemocnicím vůbec nedostaly. Síť slouží „jako první zeď“ proti hackerům. Nutné je ale posílit i ochranu uvnitř nemocnic.

Tou už se začal zabývat Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Loni odstartoval sérii auditů, které mají nemocnicím pomoci nedostatky odstranit. Od letošního roku navíc platí nová vyhláška zvyšující počet nemocnic, jež své systémy zabezpečují povinně. Nově jich má být 44. Půjde o některé krajské a městské nemocnice. Zatím se jedná o tom, kterých se to bude týkat.

Změny mají zajistit, aby v případě velkého kyberútoku zůstala alespoň hlavní zdravotnická zařízení v provozu. Zřizovatelé nemocnic na ně však budou potřebovat desítky milionů korun, které nemají. Všechno proto závisí na dotacích z Evropské unie, které by do Česka letos měly přijít.

Jde o součást Národního plánu obnovy sloužícího pro restart ekonomiky po pandemii koronaviru. V něm je pro Česko připraveno 172 miliard korun v grantech a dalších 405 miliard korun formou půjček. Konkrétně na kybernetické zabezpečení nemocnic by měly jít tři miliardy korun, což je historicky největší částka, jakou kdy nemocnice na tuto oblast dostaly.

Ministerstvo zdravotnictví proto chystá strategii, která určí, kdo dotace získá a za jakých podmínek. Přípravy ale váznou, protože na ministerstvu nemají dost odborníků. Hrozí, že podmínky nestihnou připravit před tím, než peníze přijdou. 

Úřad si proto najal externí konzultační firmu Delta Advisory. Za práci na strategii jí zaplatilo 1,4 milionu korun. Hodnotu třetí smlouvy související s kyberbezpečností ministerstvo nezveřejnilo.

Současnou podobu strategie však kritizují tuzemské nemocnice, které HN oslovily v rámci anonymní ankety. „Je to vzdálené od reality a od potřeb nemocnic. Není tam nic konkrétního, co by nám pomohlo,“ hodnotí dokument zástupce jedné z pražských nemocnic. Další kritizují i využití externí firmy, která práci v nemocnicích nezná z vlastní zkušenosti.

Dokument, jehož pracovní verzi mají HN k dispozici, je obecný. Zatím nepopisuje bezpečnostní standardy, které mají nemocnice splnit. Ministerstvo jim místo jasného návodu poslalo excelovou tabulku, aby uvedly, jaké kusy techniky by se jim hodilo nakoupit. Ovšem bez vysvětlení, čeho s jejich pomocí dosáhnout. Nemocnice proto mají obavy, že se peníze z Evropy promrhají. 

Do strategie se nepromítly ani výsledky bezpečnostních auditů od NÚKIB. „Auditem prošly už všechny velké nemocnice. O výsledky bychom se měli opřít a zaměřit se na důležité detaily. Také uvádět dobré příklady jako inspiraci a špatné jako druhý extrém, čeho se vyvarovat,“ reaguje zástupce další nemocnice.

V čas útoků není nikdo v práci

I proto zakladatelé iniciativy hSOC na strategii nespoléhají. Přišli s vlastním nápadem a žádají ministerstvo, ať jim z evropských dotací přispěje na jeho další rozvoj. V nemocnici Na Homolce se proto setkali nemocniční náměstci pro IT z celého Česka. A zástupcům ministerstva prezentovali výsledky své práce za osm měsíců.

Představili také plán na založení sdíleného operačního centra, kde bude sedět tým odborníků a provoz v sítích nemocnic nonstop monitorovat a analyzovat. „Každá nemocnice nemusí nakupovat superdrahé přístroje a shánět odborníky. Můžeme je sdílet a koncentrovat na jednom místě, ušetříme tím peníze. Stejně tak můžeme efektivně sdílet informace o útocích a hrozbách, navzájem se varovat,“ vysvětluje Chvojka z Homolky.

Iniciativa by si přála, aby ministerstvo zapracovalo myšlenku na vytvoření centra do připravované strategie. Vyřešilo by jim to palčivý problém. „Jako informatici máme většinou osmihodinové směny pět dní v týdnu. Když večer odcházíme z nemocnice, už nevíme, co se tam děje. Hackuje se přitom zpravidla uprostřed noci v pátek nebo v sobotu,“ popisuje Ivan Veselý z Všeobecné fakultní nemocnice v Praze.

Ministerstvo je však opatrné. „Iniciativu podporujeme a budeme hledat cesty, jak to právně upravit, aby mohly nemocnice přes sdružení CESNET dostat podporu,“ říká Jiří Borej z odboru IT a elektronizace ministerstva. Ta by ale měla jít na konzultace, školení a také provoz zabezpečené sítě.

Vytvoření operačního centra vnímá jako hudbu budoucnosti. „Nemocnice nejdříve musí splnit minimální bezpečnostní standard, udělat si pořádek v tom, co  chránit, a nastavit si systém řízení kybernetické bezpečnosti. Během dvou až tří let se dostane do stavu, kdy bude bezpečnost tak nějak pod kontrolou. Potom lze informace o bezpečnostních incidentech předávat do operačního centra,“ uvádí Borej.