Na aktuální vývoj cyber security právě v této oblasti jsme se zeptali Aleše Špidly, prezidenta CIMIB, Českého institutu manažerů informační bezpečnosti.
NÚKIB v únorové nabídce kurzů pro zdravotnickou veřejnost upozornil, že nemocnice a zdravotnická zařízení jsou vystaveny rostoucí hrozbě kybernetických útoků. Je úroveň kybernetické a informační bezpečnosti ve zdravotnictví přiměřená uvedeným hrozbám?
Obecně se dá říct, že doháníme skluz, způsobený představou, že kybernetická a informační bezpečnost se týká jen těch institucí, které spadají pod zákon o kybernetické bezpečnosti. Jenže o tom to vůbec není. Kybernetická a informační bezpečnost je v prvé řadě otázkou pudu sebezáchovy, a ten byl v řadě zdravotnických zařízení potlačen. Je třeba si také přiznat, že odborníků na kybernetickou bezpečnost, kteří by byli ochotni ve zdravotnictví pracovat, zas tak moc není.
Můžete naznačit nějakou prvotní nebo zásadní příčinu podcenění kybernetických hrozeb?
Když začal být účinný zákon o kybernetické bezpečnosti v lednu roku 2015, tak parametrem pro zařazení nemocnic pod tento zákon byl počet akutních lůžek. A to 2500 akutních lůžek. Tento parametr žádná nemocnice nesplňovala. Bohužel k radosti těch, kteří si mysleli, že tím ušetří.
Nastal viditelný obrat? Co ho nastartovalo?
V okamžiku, kdy vstoupila v platnost evropská směrnice o bezpečnosti sítí a informací NIS, a skupina osob povinných vůči zákonu o kybernetické bezpečnosti byla rozšířena o kategorii Poskytovatelé základní služby. A opět začala bitva o parametry, podle kterých by mezi osoby povinné měly být zařazeny nemocnice. Odborníci na kybernetickou bezpečnost navrhovali odpoutat se od počtu lůžek. Jenže se to úplně nepovedlo. A pod zákon o kybernetické bezpečnosti „spadlo“ jen 16 největších nemocnic. Těm, kteří za tento stav svým přístupem byli zodpovědní, zatřepaly hlavou až medializované útoky na nemocnice v Benešově, Brně a Olomouci. Zde se projevil katalyzující účinek průšvihu. Je smutné, že až po letech zanedbávání. Škody se vyšplhaly na stovky milionů a přitom při investování zlomku těchto financí do kybernetické bezpečnosti k těmto škodám nemuselo dojít.
Jsou důsledky kybernetických útoků popsány pro veřejnost dostatečně výstižně? Zůstanou dostatečně silným varováním?
Mě trápí, že se zmiňují jen ty finanční. I ty jsou ale na trestní oznámení na vedení těch, co vypnuli pud sebezáchovy. Větší škody vidím na zdraví pacientů, o kterých se zase až tak moc nemluví. Představte si pacienta, objednaného na vyšetření, které má potvrdit nebo vyvrátit diagnózu s nedobrým koncem. A takový pacient přijde do nemocnice, kde mu řeknou, že jej nemůžou vyšetřit, protože čelí hackerskému útoku. Co to udělá s jeho psychikou, o tom můžeme jen spekulovat.
Nemocnice jsou z pohledu bezpečnosti jedno z nejkomplexnějších prostředí. Velký pohyb lidí, vysoká heterogenita informační infrastruktury, mnoho dodavatelů. To všechno je velká výzva. | Zdroj: Endobariatric Endohospital/Unsplash
Jsou aktivity k nápravě nadějné? Dojde ke změně nebo budeme jenom lomit rukama po dalších útocích a škodách?
Samozřejmě, že nadějné jsou. Kdyby tomu tak nebylo, tak nemůžu dělat tuto práci. Jsem poměrně zarputilý evangelizátor kybernetické bezpečnosti a vnímám pozitivně to, že po zmíněných útocích došlo ke změně parametrů pro určování osob povinných vůči zákonu o kybernetické bezpečnosti i v oblasti zdravotnických zařízení. A to je dobře. A po uvedení revize evropské směrnice o bezpečnosti sítí a informací (NIS 2) se nepochybně situace v kybernetické a informační bezpečnosti zdravotnických zařízení neboli poskytovatelů základní služby v odvětví zdravotnictví velmi zpřísní. A to i co se týká letitého problému s dodavateli zdravotnické techniky. Někteří z nich nebyli zvyklí respektovat zásady kybernetické a informační bezpečnosti a často zneužívali monopolního postavení. Uváděli zdravotnická zařízení do stavu podřízenosti a diktovali si podmínky plnění smluv. Sám jsem se setkal při vznesení legitimních požadavků na dodání provozní, uživatelské a bezpečnostní dokumentace s argumentem "ale to po nás 15 let nikdo nechtěl". A je těžké vysvětlovat někomu, kdo byl tak dlouho v pohodlném postavení toho, kdo si sám vytváří prostředí ve kterém funguje, že doba se změnila.
Jde o dílčí administrativní kroky. Pomohou jenom ony nebo musí nastat nějaké podstatnější změny?
Tak bych to neviděl. U budování kybernetické a informační bezpečnosti je prvořadé přestat si lhát. Potom teprve můžete něčeho dosáhnout. Je nutný pravdivý popis stavu reality a jejích aktérů. Svět se změnil a kyberprostor už je všudypřítomný. Je nutná nejen digitalizace zdravotnictví, je nutná digitální transformace. To znamená nejen převod papírů do Wordu nebo PDF, ale i transformaci legislativy, a taky transformaci myšlení lidí. Zdravotnictví je specifické prostředí, kde primárním úkolem je léčení. Zároveň například nemocnice jsou z pohledu bezpečnosti jedno z nejkomplexnějších prostředí. Velký pohyb lidí, vysoká heterogenita informační infrastruktury, mnoho dodavatelů apod. To všechno je velká výzva. Myšlení lidí je nutno změnit trpělivým vysvětlováním, protože stále platí, že největší slabinou systémů jsou lidé. Chápu, že mají při plnění svých povinností spoustu jiných starostí, ale změny světa je nutno reflektovat i ve zdravotnictví. Slýchám argumenty typu „To snad nemyslíte vážně, silná hesla? Unikátní identity? To nás zdržuje a my musíme reagovat rychle.“ A ti lidé mají pravdu. Proto je nutné bezpečnost nastavit tak, aby nezdržovala, aby nekomplikovala zdravotníkům a lékařům jejich práci. Na druhou stranu i oni by měli pochopit, že je nutné na zmíněnou všudypřitomnost kyberprostoru a jeho bezpečnostních nástrah reagovat. A to nejlépe zodpovědným a obezřetným chováním. Což chce od odborníků pečlivý a trpělivý přístup. Pečlivou a trpělivou analýzu rizik. Pečlivé a trpělivé zavádění organizačních i technických opatření.
Analýza rizik měla být vždy součástí opatření ke zvýšení kybernetické bezpečnosti. Nebyla aplikovaná přiměřeně a důsledně?
Zmíněná směrnice NIS2 mimo jiné otáčí kormidlo kybernetické a informační bezpečnosti od bezhlavého nakupování nejrůznějších škatulí k nutnosti vytvořit analýzu rizik a podle jejího výsledku bezpečnost řešit. Ono to vlastně ani nijak nejde. Bohužel je řada institucí, které si nakoupily nejrůznější škatulky a neumí je používat. Nemají na to lidi, nedokáží vyhodnotit informace, které ty škatule poskytují. K analýze rizik je nutno přistoupit pohledem shora. Co je náš hlavní byznys. Které služby jsou klíčové. Co nás ohrožuje. Na čem je poskytování služeb závislé. Po takové analýze rizik jsme schopni si říct, jaké řešení potřebujeme přijmout.
Nemají-li zdravotnická zařízení lidi nyní, je možné doufat v lepší budoucnost?
No to je ten největší problém, to už jsem zmínil. Takže vzdělávat, testovat jejich obezřetnost, vysvětlovat. Bez toho to nejde a nikdy nepůjde. Je to nikdy nekončící proces a nikdo to za nás neudělá.
Martin Doležal
Aleš Špidla
Je prezidentem Českého institutu manažerů informační bezpečnosti (www.cimib.cz), garantem a pedagogem MBA studijního programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M programu „Ochrana informací“ na Vysoké škole CEVRO Institut. Je zarputilý evangelizátor problematiky kybernetické a informační bezpečnosti ve všech jejích aspektech. Přednáší na konferencích, vystupuje v médiích, publikuje články s touto tématikou.
Poznámka: Martin Doležal je senior konzultant pro oblast digitalizace zdravotnictví v renomovaných poradenských firmách. Dlouhodobě se věnuje politikám, strategiím a projektům v eHealth.
video
