Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal reaktivní opatření pro vybrané subjekty ve zdravotnictví. Rozesílal ho 18. března a je sepsáno podle zákona o kybernetické bezpečnosti.
Jednotlivé subjekty mají provést nezbytné úkony pro zabezpečení důležitých informačních a komunikačních systémů před kyberbezpečnostními incidenty. Implementace je povinná pro konkrétní subjekty. Jejich jména NÚKIB nezveřejňuje, stejně jako údajně není možné sdělit více informací.
Zřejmě jde o reakci na nedávné napadení systémů Fakultní nemocnice v Brně. Národní centrum kybernetické bezpečnost (NCKB) k tomu zase vydalo doporučení pro chování v případě spear phishingu (PDF). Tato doporučení jsou nastavena obecně pro implementaci v každé organizaci, dle NCKB jsou ale určena především nemocnicím. NCKB také vydalo čtvrtou verzi doporučení pro administrátory.
Vyjádření NÚKIBu k rozeslanému reaktivnímu opatření je následující:
Jednotlivé úkony k realizaci reaktivního opatření je třeba provádět tak, aby nebylo ohroženo poskytování zdravotní péče a jiné nezbytné služby. NÚKIB za tímto účelem v rámci vlastních možností nabídl dotčeným subjektům konzultace a podporu při provádění některých specifických kroků. Cílem reaktivního opatření je předejít případným komplikacím, které by mohly nastat v dnes již tak nelehké situaci způsobené onemocněním COVID-19.
Toto reaktivní opatření bylo vydáno v souvislosti s kybernetickým bezpečnostním incidentem. Na základě podkladů, které byly zjištěny v průběhu řešení tohoto incidentu, bylo rozhodnuto, že pro to, aby bylo minimalizováno riziko dalších podobných incidentů, je nezbytné vydat právě toto reaktivní opatření.
K tomuto lze dále uvést, že NÚKIB podle zákona o kybernetické bezpečnosti může vydat reaktivní opatření rozhodnutím ve dvou případech – prvním je reaktivní opatření k řešení kybernetického bezpečnostního incidentu, druhým pak reaktivní opatření k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem. Protože je reaktivní opatření ze zákona prvním úkonem ve věci, nepředchází mu tedy zahájení správního řízení ani jiné úkony.
Dále NÚKIB informuje, že v souvislosti s výše zmíněným incidentem rozeslal dne 19. března dalším vybraným subjektům v oblasti zdravotnictví doporučení k zabezpečení svých informačních a komunikačních systémů.