„V prvotní fázi vám nefunguje vůbec nic, musíte se vrátit o 30 let do papírové formy,“ vzpomíná na ráno loňského prvního července ředitel nemocnice ve středočeském Nymburce Martin Dvořák. V reportáži pořadu Reportéři ČT pak popisuje, jak mezi sebou nemocniční IT systémy přestaly komunikovat a nefungovaly. „Chod nemocnice se na několik hodin přibrzdil až zastavil,“ dodává.
Ransomwaroví útočníci v Nymburce zašifrovali data v systémech nemocnice, hrozili zveřejněním citlivých údajů a požadovali výkupné. Ve zprávě, kterou po sobě zanechali, nemocnici vyzývali ke komunikaci přes koncově (E2E) šifrovanou službu qTox založenou na peer-to-peer protokolu Tox nebo přes nově založený účet na Protonmailu. Nemocnice nakonec výkupné nezaplatila a data postupně obnovila ze záloh.
„První den si člověk nepředstavoval, že za týden už bude plně fungovat nemocniční informační systém, za měsíc budou funkční všechny důležité provozní systémy a za dva měsíce již téměř všechno ostatní,“ popisuje zkušenost Andrea Beranová, která je v nemocnici zodpovědná za PR a marketing. „Pomohl nám vlastní tým, pochopení a trpělivost zaměstnanců a pár našich nadstandardně fungujících dodavatelů, kterým je třeba velmi poděkovat za spolupráci při obnově, kdy se na zelené louce muselo prakticky postavit vše od nuly,“ dodává.
Útoků je méně, ale…
Ransomware v nymburské nemocnici je zatím posledním velkým kyberincidentem v tuzemských zdravotních ústavech. Jedním z prvních větších ataků, o kterém se dozvěděla laická veřejnost, bylo koncem roku 2019 ochromení provozu Nemocnice Rudolfa a Stefanie v Benešově, kde škody za 59 milionů Kč napáchal ransomware Ryuk.
O rok později čelila napadení Fakultní nemocnice v Brně, kde se s následky potýkali ještě několik let po útoku a do obrany poté nainvestovali přes 300 milionů Kč. Od té doby se útočníkům nepodařilo žádnou tuzemskou nemocnici zásadně ochromit. Ne že by to nezkoušeli: v roce 2020 se pokusili napadnout systémy psychiatrického ústavu v Kosmonosech, o dva roky provedli dvojitý útok na nemocnici v České Lípě, který se nakonec obešel bez větších omezení provozu, a pokusům o napadení čelila i další zdravotnická zařízení.
V posledních letech ale počet útoků na nemocnice klesal. Ve své zprávě o kyberbezpečnosti za rok 2023 (PDF) to hlásil i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který v daném roce zaznamenal nejméně ataků od roku 2020. O rok později NÚKIB v reportu už ransomware ve zdravotnictví vůbec nezmiňoval a varoval hlavně před phishingovými kampaněmi s využitím sociálního inženýrství a před relativně menším množstvím kyberbezpečnostních školení pro zaměstnance nemocnic. Útok v Nymburce je tak po delší době prvním vážným kyberincidentem týkajícím se zdravotnictví.
Barbora Tyllová je produktovou ředitelkou Mastercard pro Česko a Slovensko, kde řídí vše od platebních technologií a karet přes nástroje kybernetické bezpečnosti až po inovace jako tokenizace a AI řešení typu Agent Pay. Titul MBA získala na univerzitě Sheffield Hallam University ve Velké Británii.
Mastercard, partner seriálu Digitální bezpečnost o moderních platebních technologiích.
Relativní klid může být důvodem, proč se reálné zabezpečení nemocnic v čase příliš nelepší. Stagnaci alespoň ukazuje prověřování jejich IT infrastruktury, kterou nástrojem RiskRecon provádí firma Mastercard. „Dokáže neinvazivně ‚oskenovat‘ celou IT infrastrukturu podobně, jako by se na ni díval potenciální útočník, přičemž jediný zdroj, který je k tomu potřeba, jsou webové stránky dané instituce. Následně hodnotí kvalitu zabezpečení na škále A–F,“ přibližuje produktová manažerka Mastercard Barbora Tyllová.
„Z dlouhodobého sledování dat vidíme, že bohužel neexistuje nějaký významný zlepšující se trend, spíše naopak. Z celkového počtu sledovaných zařízení v aktuálním roce skončilo s nejhorším skóre D a F celkem 18 nemocnic, vloni to bylo 26, o rok před tím jen 5 a ještě před tím 12. Naopak na druhé straně spektra, tedy s hodnocením A a B v každém ze sledovaných let včetně letoška skončily více než dvě třetiny nemocnic. Celkový obrázek tedy nevypadá nijak špatně, ale rozdíly mezi jednotlivými zařízeními jsou dramatické,“ popisuje nejaktuálnější zjištění za rok 2025. Do projektu je zapojeno zhruba 150 tuzemských nemocnic a šest zdravotních pojišťoven.
Nemocnice mají podle skenování problémy hlavně se zastaralou IT infrastrukturou. „Mnoho nemocnic provozuje staré operační systémy, servery a aplikace, u nichž už výrobce nevydává bezpečnostní záplaty nebo je nemocnice z kapacitních důvodů neaktualizuje. Velkým problémem je tzv. software patching – tedy aktuálnost systémů a rychlost nasazování záplat a aktualizací – a také neplatné či špatně spravované certifikáty u webů a služeb dostupných z internetu. Právě v těchto oblastech (patchování a certifikáty) končí nejhůře hodnocené nemocnice. Do jejich sítí jsou navíc zapojené i sofistikované medicínské přístroje (CT, RTG apod.), které často běží na starých systémech a mohou se stát ‚zadními vrátky‘ pro útok,“ uvádí Tyllová.
Lepší situace podle ní panuje v zabezpečení e-mailových systémů, kde mají zdravotnická zařízení obvykle nastavenu alespoň základní úroveň ochrany. „Řada z nich používá autentizační záznamy a někdy i dvoufaktorové ověřování,“ říká manažerka.
Evropské plány
NÚKIB naopak mluví o všeobecném zlepšování přístupu nemocnic ke kybernetické bezpečnosti. „Zdravotnická zařízení si stále více uvědomují, že kybernetický incident není jen technický problém, ale může mít přímý dopad na poskytování zdravotní péče. Od přijetí zákona o kybernetické bezpečnosti a jeho novely je patrné, že zejména regulované subjekty ušly v oblasti zabezpečení výrazný kus cesty. Zároveň ale platí, že úroveň kybernetické bezpečnosti se mezi jednotlivými nemocnicemi může výrazně lišit,“ říká náměstek ředitele NÚKIBu Tomáš Krejčí. „Pozitivním trendem je větší ochota konzultovat bezpečnostní opatření a také důraz na základní bezpečnostní opatření, jako je zálohování, řízení přístupů nebo školení zaměstnanců,“ doplňuje.
Zmíněná novela kyberzákona implementovala evropskou směrnici NIS2. Právě z EU přitom přichází i další snahy o vylepšení zabezpečení nemocnic – aspoň na papíře. Evropská komise letos v lednu představila akční plán na ochranu zdravotnictví před kyberútoky, na jaře a v létě k němu proběhla veřejná konzultace a konkrétní doporučení by měla Komise podle svých plánů představit ještě do konce letošního roku. Plán se od začátku potýká s kritikou, že v něm chybí zásadní komponenta: kde na posílení kyberbezpečnosti nemocnic vzít peníze.
Právě to je totiž největší bolest zdravotnických ústavů. „Financování kybernetické bezpečnosti je v oblasti zdravotnictví dlouhodobou výzvou. Řada nemocnic se potýká s omezenými rozpočty a kyberbezpečnost často soupeří s jinými akutními potřebami,“ uznává i Krejčí z NÚKIBu. „Z našich zkušeností vyplývá, že nedostatečné financování se nejčastěji projevuje v oblasti personálních kapacit, modernizace technologií a pravidelné údržby systémů. Přitom právě investice do prevence jsou zpravidla výrazně levnější než řešení následků závažného kybernetického incidentu,“ dodává.
Zálohy, zálohy, zálohy
„Zdravotnické úhrady ze své podstaty neobsahují finanční prostředky na zajištění údržby, natož rozvoje kybernetické bezpečnosti. A ani dotační tituly nejsou v tomto případě úplně adekvátní řešení. Jejich distribuce je celkem nešťastná, ať už spektrem zaměření či dosažitelností. Mnoho poskytovatelů zdravotní péče je tak nuceno řešit spíše jiné záležitosti, než které by právě nejvíce preferovali, a to z důvodu neexistence vypsaného dotačního titulu, do něhož by bylo možné se vhodně zařadit,“ popisuje zkušenosti z praxe Andrea Beranová z nymburské nemocnice.
Při obvyklé zastaralosti infrastruktury jsou přitom investice do odpovídajících bezpečnostních systémů v nemocnicích obvykle poměrně vysoké. „Už před útokem jsme se zabývali komplexní výstavbou nové infrastruktury, takže oproti původním plánům jsme pouze pořídili XDR systém. V rámci nové infrastruktury jsme se zaměřili na výstavbu nových technických místností, optické a metalické kabeláže, vybavení aktivními prvky, datacentry a SIEM v rámci dotačního titulu, který se podařilo v roce 2022 získat. Ten nyní dokončujeme a souběžně s tím zavádíme i ISMS. V současné době se tedy seznamujeme s novými technologiemi a učíme se novým procesům, jak bezpečněji fungovat a problémům spíše předcházet, než je řešit,“ popisuje změny po červencovém útoku v Nymburce Beranová.
Jaké největší zkušenosti si nymburští z útoku odnesli? „Pomohlo to například odbourat nějakou historickou zátěž a uchopit řadu věcí jinak. Za hlavní zkušenost by se dalo považovat to, že je opravdu nezbytné mít zálohy a technologie, které umožní obnovu bez nutnosti naprostého ‚přečištění‘. Důležitým bodem změny byl také přesun z reaktivního na proaktivní přístup a zajištění eliminace rizik dříve, než se stanou hrozbou,“ uzavírá Beranová.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU