Průzkum: Bezpečné zdravotnictví v ČR 2020, část I.

Průzkum: Bezpečné zdravotnictví v ČR 2020, část I.

Je současné zabezpečení zdravotnických zařízení dostatečné? Jaké překážky stojí v cestě k vyšší bezpečnosti nemocnic? Do jakých opatření by se mělo primárně investovat, aby se situace zlepšila?

průzkum       kyberbezpečnost       zdravotnictví       ČR

Část I.

Úvod

Společnost PricewaterhouseCoopers Česká republika připravila ve spolupráci s TATE International, s.r.o. průzkum s názvem „Bezpečné zdravotnictví v ČR 2020“. Cílem průzkumu bylo zjistit aktuální situaci zabezpečení ve zdravotnickém sektoru a jeho další vývoj. Mezi další cíle patřilo prozkoumat citlivost dat a jejich bezpečné sdílení, vliv pandemie na zdravotnictví, vhodné investice do opatření za účelem zvýšení bezpečnosti a další. Vyhodnocení průzkumu bude rozděleno do tohoto a dalšího čísla DSM dle jednotlivých tematických oblastí. Prezentovány budou výsledky vybraných otázek. Tento článek přináší odpovědi respondentů na problémy kyberbezpečnosti v českém zdravotnictví a jejich možná řešení. V dalším čísle budou prezentovány výsledky zejména z oblasti hrozeb a ochrany soukromí.

Screenshot 2020 12 13 at 22.04.06

Data byla sesbírána během Letního Soirée pořádaného TATE International a také během Akademie ICT. Dotazníkového šetření se zúčastnilo celkem 104 osob. Majoritní cílovou skupinou byli manažeři, kteří tvořili téměř polovinu všech respondentů (27 % TOP management, 20 % nižší a střední management). Zbývající respondenti pracovali zejména na specializovaných/referentských pozicích. Více než třetina respondentů pochází z prostředí veřejné správy, 19 % z IT sektoru a další pracují ve financích, poradenství apod. 

Screenshot 2020 12 13 at 22.04.33Screenshot 2020 12 13 at 22.04.23

Výsledky

Bezpečnostní opatření ve zdravotnictví nejsou dostatečná. Shodlo se na tom 98 % respondentů, z nichž 34 % dokonce situaci označilo za velmi nedostatečnou. Aktuálně je tento fakt ještě umocněn nárůstem kyberútoků na nemocnice, před kterými už v dubnu varoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), kdy zdůraznil zranitelnost systémů zdravotnických zařízení. [2] Co stojí v cestě lepší bezpečnosti našeho zdravotnictví? Kam by se mělo investovat? Na to jsme se ptali v našem dotazníku.

Za hlavní důvody nedostatečného zabezpečení označili respondenti podfinancování a zastaralé vybavení a systémy. Oba tyto důvody se ukázaly významnými i v Grafu 4, který ukazuje největší překážky k vyšší bezpečnosti. Dalším, často zmiňovaným důvodem, bylo podceňování kyberbezpečnosti z pohledu vedení, což může mít dopad na výše zmíněné financování, udržování zastaralých systémů, nízké povědomí zaměstnanců o kyberbezpečnosti a další efekty. Pro nás překvapivě mezi méně zmiňované důvody patřila nejasná či chybějící strategie a nedostatek kvalifikovaných lidí. To ostatně můžeme vidět i v Grafu 4, kdy se lidské zdroje označující dostatečné množství kvalifikovaných lidí umístily až na čtvrtém místě. Strategie je potom v Grafu 6 vyznačena jako čtvrtá nejdůležitější investice.

V otázce o překážkách, se kterými se musí naše zdravotnictví vyrovnat na cestě k vyšší bezpečnosti, byla také vyzdvihnuta neefektivnost nákupu a zadávání veřejných zakázek. Důležitým aspektem při veřejných zakázkách jsou zdroje financování, které v oblasti kyberbezpečnosti mají různá omezení z pohledu struktury (podcenění provozního financování), příp. proporcionalitu např. mezi hardwarem, licencemi a údržbou řešení.

Screenshot 2020 12 13 at 22.04.49Graf 4: Překážky zdravotnictví v cestě k vyšší bezpečnosti

Screenshot 2020 12 13 at 22.05.01Graf 5: Trend finančních prostředků na kyberbezpečnost ve zdravotnictví v následujících letech

Finance jsou tedy shrnutím velmi důležitých aspektů, které brání v rozvoji bezpečnosti ve zdravotnictví. Zajímalo nás, jak naši respondenti vnímají budoucnost financování kyberbezpečnosti ve zdravotnictví v následujících letech. Minimum dotázaných se domnívá, že finanční prostředky budou klesat. Většina předpokládá růst v obou obdobích, a to hlavně z důvodu nárůstu kyberútoků. Reálné snížení či stagnace finančních prostředků by do budoucna znamenaly hluboký rozpor mezi očekáváním respondentů.

I výroční zpráva 2019 Národní centrály proti organizovanému zločinu [1] vidí jasnou souvislost mezi financováním a útoky. Do čeho přesně by se tedy mělo investovat, co se týče plánovaných/zavedených organizačních opatření? Více než polovina respondentů považuje za nejdůležitější investice v oblasti a) zvládání kybernetických bezpečnostních událostí a incidentů, b) řízení rizik, c) vzdělávání a zvyšování povědomí a bezpečnost lidských zdrojů a d) strategie bezpečnosti informací. Naopak jako investici s nejnižší prioritou vidí řízení změn.

Screenshot 2020 12 13 at 22.05.17Graf 6: Prioritní investice do organizačních plánovaných/ zavedených opatření

Screenshot 2020 12 13 at 22.05.39

Za nejdůležitější investice z plánovaných technických bezpečnostních opatření považuje více než 60 % respondentů bezpečnost komunikačních sítí. Druhé nejvýznamnější zastoupení měla detekce, sběr a vyhodnocování kybernetických bezpečnostních událostí.

Už víme, co jsou hlavní příčiny problému a kam investovat, aby se situace okolo kyberbezpečnosti ve zdravotnictví zlepšila. Co by dále pomohlo tuto situaci vylepšit? Polovina respondentů se shoduje, že cílený rozvoj a centrální strategie by nejvíce pomohly dosáhnout pozitivní změny. Přes 40 respondentů považuje za důležitou také finanční i nefinanční podporu ze strany Ministerstva zdravotnictví, regulace (metodická a kontrolní činnost) a dotace na technická opatření. Nejméně užitečná v tomto ohledu je nefinanční podpora ze strany Parlamentu ČR a dotace na organizační opatření.

Screenshot 2020 12 13 at 22.06.00Graf 8: Co pomůže dosáhnout pozitivní změny v kyberbezpečnosti ve zdravotnictví

V současnosti úplně neexistuje subjekt, který by byl pověřen koordinací řešení kyberbezpečnosti ve zdravotnictví, a mohl by tedy implementovat výše zmíněné návrhy. NÚKIB aktuálně poskytuje cílenou metodickou podporu, Ministerstvo zdravotnictví podporuje konkrétní zařízení z role jejich zřizovatele, ale v současnosti chybí jeden řídící subjekt, který by udával strategii, pomáhal zároveň metodicky i finančně. V průzkumu jsme se našich respondentů ptali, který subjekt by jím měl být. Více než polovina respondentů si myslí, že by to mě být NÚKIB, a cca třetina určila Ministerstvo zdravotnictví.

Screenshot 2020 12 13 at 22.06.18

Závěrem

Průzkum přinesl velkou řadu zajímavých výsledků. Jednoznačným zjištěním bylo subjektivní vnímání nedostatečného zabezpečení ve zdravotnictví. Tři hlavní důvody pro to jsou:

  1. podceňování či neporozumění významu této oblasti,
  2. podfinancování kyberbezpečnosti,
  3. nedostatek kvalifikovaných zaměstnanců.

Naši respondenti předpokládají spíše růst financí v tomto sektoru, které by nejraději viděli investované do jasnější koncepce a strategie kyberbezpečnosti, dále do zvládání incidentů a událostí, vzdělávání, řízení rizik a komunikační bezpečnosti. Upřesnění strategie a cíle hrálo také významnou roli v obecných otázkách směřujících na stav kyberbezpečnosti ve zdravotnictví.

V příštím dílu se dočtete o tom, jak ovlivnila pandemie COVID-19 kyberbezpečnost ve zdravotnictví, které technologické trendy mohou zdravotnictví ovlivnit v příštích letech nebo jak citlivě jsou vnímána některá zdravotnická data.

Screenshot 2020 12 13 at 22.06.57Michal Wojnar
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Screenshot 2020 12 13 at 22.06.37Karolína Kubínová
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

 



Použité zdroje:

[ 1 ] Národní centrála proti organizovanému zločinu, Výroční zpráva NCOZ 2019. 4. 11. 2020, str. 26. Dostupné online: https://www.policie.cz/clanek/web-informacni-servis-zpravodajstvi-vyrocni-zprava-ncoz-2019.aspx

[ 2 ] NÚKIB, Varování. Brno 16. 4. 2020, 350 – 231/2020, číslo jednací: 2066/2020-NÚKIB-E/350. Dostupné online: https://nukib.cz/download/archiv/Varovani-NUKIB-2020-04-16.pdf

Vytisknout