Názory k článku Rentgen jako zadní vrátka. Kyberbezpečnost nemocnic v ČR se moc nelepší, mezi ústavy jsou dramatické rozdíly

Takový ransomware je pro nemocniční ajťáky hotové požehnání. Než vám to smaže síť, tak nejsou lidi, nejsou peníze na bezpečnost, licence, zálohování, prostě na nic... A pak najednou jsou. To samozřejmě není návod, jen smutné konstatování. Je teda pravda, že se to v nemocnicích zlepšilo od doby kdy to pár z nich dostalo. To už i ty ostatní zbystřily a řekly si, že to IT asi teda trochu důležité bude a začaly investovat.

Nerozumím části "neplatné či špatně spravované certifikáty u webů a služeb dostupných z internetu. Právě v těchto oblastech (patchování a certifikáty) končí nejhůře hodnocené nemocnice."
Neměl by k tomu někdo příklad? Jde o webové stránky nemocnice s neplatným SSL certifikátem nebo nějakým způsobem neaktualizovaný webový prohlížeč na počítači sester nebo něco jiného?

K části "Do jejich sítí jsou navíc zapojené i sofistikované medicínské přístroje (CT, RTG apod.), které často běží na starých systémech a mohou se stát ‚zadními vrátky‘ pro útok,“ bych podotkl, že spousta počítačů se aktualizovat nedá a zabezpečení spočívá v jejich izolaci.
Historky z natáčení: K jednomu PC, které obsluhuje CNC stroj jsme dali nový větší disk, naklonovali na něj starý disk a aktualizovali na Windows 11. Aktualizace přeformátovala disk na větší 4096bitové sektory. Obslužný software zhavaroval, protože měl v databázi zadrátované 512bitové sektory. Po nějakém dohadování s dodavatelem jsme jako nejsnazší řešení sehnali "low-end" SSD, které nezvládá 4096bitové sektory.
Jiné CNC stroje vyžadují speciální paměťové karty od konkrétního výrobce, které se už nevyrábí. Bazarově jsme jednu sehnali mimo EU. Při dalším selhání asi neseženeme nic a tunová mašina bude na šrot.
Zkrátka do některých strojů/počítačů se nedá vrtat.

28. 1. 2026, 10:17 editováno autorem komentáře

A tedy jak toskutečně v NBK. bylo. Konkrétní "PC nula" ,nebo přesný technický způsob průniku nebyl veřejně specifikován . Pokud sem pochopil tak právě nejen v NBK rentgen fungoval , ale nefungovala ta "office" část. Tedy spíš opět někdo otevřel "faktura _rychle_zaplat­tit.pdf.exe".­...

Starý a uzavřený HW může být nebezpečný , ale s nějakým řízením rizika jde dopad nebo šanci na vznik incidentu eliminovat. už jen na úrovni přístupových oprávnění a interního FW.

Jinak obecně on to bude problém velké části státních institucí/ úřadů že to není žádná technologická hitparáda.

Pokud masina stoji za provoz je mozne si najmout nekoho na reverse engineering protokolu a vyrobit emulator na zakazku. Nevyhoda je ze asi masina bude stat a je ty urcita sance oddelani rozhrani. Casto ta "custom vec" muze byt nejaka hloupost typu idcko nebo prehozene draty. Predpokladam ze takovy clovek by tezko chtel pristoupit na deal "tak nam tu tunovou masinu kdyztak zaplatite".
Mozna by sel sehnat aspon ovladaci pocitac nebo jen jednotka k masine na experimenty.
Je to ale hlavne zalezitost manazera. Ten resi jestli se mu vyplati riskovat provoz jeste stareho stroje. Zvazit klady a zapory. Technik/servis neni od toho aby ucil management praci s rizikem v podnikani.

Co se tyce ruznych CT a RTG. Ma se to tak ze nez ten kram protahnete od puvodniho navrhu az k certifikaci pro ruzne trhy tak uz je to zastarale po strance sw v momente prodeje.

Vcelku víme, kolik by stál nový PLC modul a naprogramovat si obslužnou logiku. Je nejspíš vhodnější si místo toho pořídit stroj z tohoto tisíciletí. Akorát ty umělé překážky přivedou stroj do šrotu dříve, než by bylo záhodno (i při plánované výměně stroje by ten starý mohl sloužit jinde, v méně náročném provozu).
Uvádím tyto příklady sice z jiného oboru, ale jako ilustraci pro ty, kdo by snad považovali aktualizovaný software za výchozí stav. Není to tak snadné.

I v PLC muzou byt (bezpecnostni) diry. A dost casto se tohle prehlizi, proste se funguje stylem "jednou se to naprogramuje a necht to bezi az do smrti". A klidne je to pripojene nekam do site. Soucasne plati, ze i PLC nemaji neomezenou zivotnost a jejich vyrobci podporu starsich kousku ukoncuji. Navic v pripade diskutovanych CT/RTG tim pokryjete jen malou cast funkce celeho zarizeni.

Tohle pak uz spada do kategorie "right to repair" / "warranty engineering" a uz ne tolik cybersec. I kdyz jsou to obcas veci na sobe souvisejici. Protoze predpokladam ze ten stroj by naprosto v pohode jinak fungoval i v bunkru offline 100m pod zemi.