Kybernetické útoky představují ve 21. století významné bezpečnostní riziko. Hackeři jejich prostřednictvím dokážou ochromit chod klíčových státních orgánů, mezinárodních organizací, ale i zdravotnických zařízení.

Důkazem toho byl zatím největší kybernetický útok, který se uskutečnil v roce 2017, kdy byly napadeny počítače po celém světě a jehož cílem byly také banky a nemocnice ve Velké Británii, kde virus napáchal největší škody. Počítače ve více než 150 zemích světa byly napadeny vyděračským programem ransomware. Globálně se tak uskutečnilo více než 200 000 útoků. Stovky počítačů byly napadeny i v České republice. Cílem viru WannaCry bylo držet zasažený počítač jako rukojmí a žádat po obětech výkupné ve výši 300 dolarů. Požadovaná částka měla být zaplacena do tří dnů, jinak měl být počítač trvale zablokován.

V důsledku tohoto útoku byly v nesnázích i desítky zdravotnických zařízení. Nemocnice musely pacientům doporučit, aby vyhledali ošetření jinde a přicházeli jen v případech nejvyšší nutnosti, nebo rušit návštěvy objednaných pacientů. Kvůli napadení musely být odstaveny veškeré elektronické systémy mimo provoz. Útok ve svém důsledku vedl k omezení provozu a odložení veškerých neakutních případů. Když vir napadl jeden počítač, sám se pokoušel šířit dál v lokální síti.

Cílem těchto útoků jsou obvykle počítačové systémy pracující na zastaralé a již vývojáři nepodporované platformě Windows XP. V bezpečnostních kruzích bývá největší kybernetický útok v historii připisován skupině hackerů zvané Lazarus z KLDR.

Zachráncem mladý britský vědec

Software, který byl základem útoku, byl původně vyvinut americkou Národní bezpečnostní agenturou (NSA), ze které unikl, pro využití americkými bezpečnostními složkami.

Šíření viru se podařilo spíše náhodou zastavit mladému britskému vědci známému pod pseudonymem MalwareTech. Zaregistroval si doménu, na kterou se daný vir dovolával. Okamžikem registrace začala doména existovat a ransomware se odmítl dále šířit. Registrací této domény ale příběh bohužel nejspíš nekončí. Útočníci totiž mohou svůj vir jednoduše upravit a opětovně s ním napadat nedostatečně zabezpečené sítě.

Co kdyby byly napadeny české nemocnice? GDPR může pomoci

V České republice je zmiňovaná problematika upravena zákonem o kybernetické bezpečnosti. Dohled je vykonáván Národním centrem kybernetické bezpečnosti, které je součástí Nejvyššího bezpečnostního úřadu v Brně (NBÚ). Zákon stanovuje řadu kategorií subjektů, kterým ukládá povinnosti v oblasti zajištění kybernetické bezpečnosti. V souladu s vyhláškou NBÚ, která nabyla účinnosti 1 února.2018, mezi tyto subjekty patří poskytovatelé zdravotních služeb, kteří měli v posledních třech letech nejméně 800 akutních lůžek nebo jim byl přiznán statut centra vysoce specializované traumatologické péče.

Předtím byla kritéria pro určení prvku kritické infrastruktury stanovena nařízením vlády z roku 2010, přičemž pro nemocnice byla stanovena hraniční hodnota 2.500 akutních lůžek, čímž byly z působnosti zákona o kybernetické bezpečnosti vyloučeny v zásadě všechny nemocnice v České republice.

V září 2017 byl Ministerstvem zdravotnictví zveřejněn Metodický pokyn poskytovatelům zdravotních služeb k problematice kybernetické bezpečnosti. Vztahuje se na poskytovatele zdravotních služeb dotčené zákonem o kybernetické bezpečnosti, kterým stanoví postup a ukládá povinnosti při zajišťování kybernetické bezpečnosti. Ostatním poskytovatelům zdravotních služeb doporučuje dodržování stanovených postupů alespoň rámcově.

Česká republika dále ratifikovala Úmluvu o počítačové kriminalitě, jejímž účelem je sjednotit skutkové podstaty trestných činů spojených s počítačovou kriminalitou ve státech, které se staly signatáři této úmluvy.

Nepřímo se kybernetickou bezpečností zabývá také velmi aktuální obecné nařízení o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR), které v Česku a dalších 27 zemích Evropské unie nabude účinnosti na 25. května 2018. GDPR ukládá správcům a zpracovatelům osobních údajů, mezi které patří i poskytovatelé zdravotních služeb, řadu povinností, a to ve vztahu k osobním údajům evidovaným v papírové i elektronické podobě. Co se týče elektronických dat jsou správci a zpracovatelé především povinni zajistit jejich dostatečné zabezpečení a s ohledem na způsob a prostředky zpracování a také na technické možnosti zajistit, že nedojde k jejich zneužití.

Vedení nemocnic by tedy mělo přistoupit k GDPR jako k výzvě, která v dlouhodobém měřítku pacientům prospěje. Díky tomu, že budou plněny povinnosti stanovené GDPR – tedy posílené zabezpečení a nastavení procesů – poklesne i riziko kybernetických hrozeb.

Důsledkem plnění povinností stanovených GDPR bude posílení zabezpečení a nastavení bezpečnostních procesů sníží i riziko kybernetických hrozeb. Důsledkem plnění povinností stanovených GDPR bude posílení zabezpečení osobních údajů a nastavením bezpečnostních procesů i snížení rizika kybernetických hrozeb.

Budoucnost kybernetické bezpečnosti českého zdravotnictví?

Mezi českými společnostmi stále není ojedinělý přístup ve stylu „nám se nemůže nic stát“. Čísla ale mluví za vše. S krádeží informací nebo napadením počítače má podle Europolu už zkušenost většina Evropanů a 80 procent firem. Liknavost se opravdu nevyplácí, u kybernetické bezpečnosti zvlášť.

V současné situaci si lze bezpochyby klást oprávněnou otázku: Mají nemocnice dostatečně propracovaný systém ochrany dat svých pacientů? Většina nemocnic používá aplikace a systémy, které nejsou dostatečně chráněny před útoky zvenčí, ale Pokyn NBÚ dokazuje, že existují snahy to změnit. Bylo by žádoucí, aby například Ministerstvo zdravotnictví průběžně provádělo kontroly zranitelnosti sítí zdravotnických zařízení, informační bezpečnosti zdravotnické infrastruktury a podporovalo vývoj odolných systémů.

Pro realizaci zvýšení kybernetické bezpečnosti bude ale zásadní také to, kdo ponese náklady spojené se zvyšováním ochrany dat pacientů. Není totiž pochyb o tom, že zdravotnická zařízení budou mít problém s financováním kvalifikovaných IT odborníků i se samotnou úpravou svých systémů.