Hlavní navigace

NÚKIB vydal povinná kybernetická opatření pro nemocnice, reaguje na útoky

Sdílet

Jan Sedlák 23. 3. 2020

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal reaktivní opatření pro vybrané subjekty ve zdravotnictví. Rozesílal ho 18. března a je sepsáno podle zákona o kybernetické bezpečnosti.

Jednotlivé subjekty mají provést nezbytné úkony pro zabezpečení důležitých informačních a komunikačních systémů před kyberbezpečnostními incidenty. Implementace je povinná pro konkrétní subjekty. Jejich jména NÚKIB nezveřejňuje, stejně jako údajně není možné sdělit více informací.

Zřejmě jde o reakci na nedávné napadení systémů Fakultní nemocnice v Brně. Národní centrum kybernetické bezpečnost (NCKB) k tomu zase vydalo doporučení pro chování v případě spear phishingu (PDF). Tato doporučení jsou nastavena obecně pro implementaci v každé organizaci, dle NCKB jsou ale určena především nemocnicím. NCKB také vydalo čtvrtou verzi doporučení pro administrátory.

Vyjádření NÚKIBu k rozeslanému reaktivnímu opatření je následující:

Jednotlivé úkony k realizaci reaktivního opatření je třeba provádět tak, aby nebylo ohroženo poskytování zdravotní péče a jiné nezbytné služby. NÚKIB za tímto účelem v rámci vlastních možností nabídl dotčeným subjektům konzultace a podporu při provádění některých specifických kroků. Cílem reaktivního opatření je předejít případným komplikacím, které by mohly nastat v dnes již tak nelehké situaci způsobené onemocněním COVID-19.

Toto reaktivní opatření bylo vydáno v souvislosti s kybernetickým bezpečnostním incidentem. Na základě podkladů, které byly zjištěny v průběhu řešení tohoto incidentu, bylo rozhodnuto, že pro to, aby bylo minimalizováno riziko dalších podobných incidentů, je nezbytné vydat právě toto reaktivní opatření.

K tomuto lze dále uvést, že NÚKIB podle zákona o kybernetické bezpečnosti může vydat reaktivní opatření rozhodnutím ve dvou případech – prvním je reaktivní opatření k řešení kybernetického bezpečnostního incidentu, druhým pak reaktivní opatření k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem. Protože je reaktivní opatření ze zákona prvním úkonem ve věci, nepředchází mu tedy zahájení správního řízení ani jiné úkony.

Dále NÚKIB informuje, že v souvislosti s výše zmíněným incidentem rozeslal dne 19. března dalším vybraným subjektům v oblasti zdravotnictví doporučení k zabezpečení svých informačních a komunikačních systémů.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 23. 3. 2020 17:20

    Panzer

    Palec nahoru! Jeslti vědí jak na to, nebo jak riziko minimalizovat, tak by to mělo asi platit i pro samosprávy, obecně pro jakékoli úřady.

  • 24. 3. 2020 8:01

    Martin P.

    A myslíte že tohle snad je o tom že neexistuje metodika?

    Tohle je protože tam nemáte lidi , software a hardware. Celé je to podfinancované a často je to ohromný skanzen. Vy tam často nemáte žádný SW který tu flasku zablokuje , nikoliv že ho jen někdo ještě "jen" nepoužil.

    ....nekompromisního nařízení šéfa nejvyššího.. jakého šéfa? Toho kterému se rozbije Internet po tom co se mu ikonka změní nebo přesune Ikonka prohlížeče?

  • 23. 3. 2020 19:33

    bez přezdívky

    Každé doporučení dobré, i když příklad uvedený u spearphingu mi připadá příliš zjednodušený, adresy bývají podvrženy lépe a je potřeba kouknout se do zdrojového textu mailu.
    Za základní problém vidím bohužel to, že uživatelé mají pořád příliš mnoho volnosti. Doma ať si dělají co chtějí, ale v práci nikoliv. Samozřejmě u menších firem je to problém, ale třeba ve špitálech, kde jistě mají své IT profíky, by to mělo jít prosadit. Jako vždy by se ale muselo jít cestou nekompromisního nařízení šéfa nejvyššího. Inspiraci bych viděl u pravidel pro systémy pracujícími s utajovanými informacemi, viz třeba vyhlášky NBÚ/NÚKIB aj. Třeba blokovat použití neevidovaných flešek, to by byl asi řev.

  • 25. 3. 2020 7:17

    joshik

    Přesně, oni admini v nemocnicích nejsou hloupí. Jen bohužel nemají prostředky a lidi aby to vyladili.
    Navíc získat cokoliv znamená to vysoutěžit, což je tak půl roku až rok práce a stejně nakonec dostanete něco jiného než jste si představoval.

    Tady je zpráva z NKÚ nakolik je státní IT na tom hůř jak to soukromé.

    https://nku.cz/assets/publikace-a-dokumenty/ostatni-publikace/zprava-o-digitalizaci-verejne-spravy.pdf