Jak COVID-19 ovlivnil zdravotnictví z pohledu IT bezpečnosti? Kdo nejspíš stojí za útoky na zdravotnická zařízení? Jakým komunikačním kanálem by se měly sdílet výsledky vyšetření?
průzkum kyberbezpečnost zdravotnictví COVID-19
Úvod
Článek shrnuje druhou část nejzajímavějších výsledků z průzkumu Bezpečné zdravotnictví v ČR 2020, který připravila společnost PricewaterhouseCoopers Česká republika ve spolupráci s TATE International.
Dotazníkového šetření se zúčastnilo celkem 104 osob. Majoritní cílovou skupinou byli manažeři, kteří tvořili téměř polovinu všech respondentů (27 % TOP management, 20 % nižší a střední management). Více než třetina respondentů pochází z prostředí veřejné správy, 19 % z IT sektoru a další pracují ve financích, poradenství apod. Metodiku a složení respondentů jsme podrobně popsali již v DSM 4/2020.
Výsledky
NÚKIB v roce 2020 varoval před rapidním nárůstem kyberútoků na nemocnice.[1] Nárůst bezpečnostních rizik ve zdravotnictví bude podle našich respondentů růst i v příštích letech. Předpokládá to 85 % z nich v letech 2020–2021 a 78 % v letech 2022–2025. Dále 14 % očekává stagnaci těchto rizik a jen 7 % předpokládá snížení.
COVID-19 výrazně zvýšil nároky na digitalizaci zdravotních zařízení. Vzhledem k nutnosti sdílení dat mezi nemocničními zařízeními téměř v reálném čase vznikla mimo jiné i potřeba zjednodušit online komunikaci mezi jednotlivými zařízeními a jejich bezprostředním okolím. Souběžně s tím se i výrazně zvýšil počet kybernetických útoků, které se často zaměřují na nemocniční zařízení, jejichž bezproblémové fungování je dnes ještě důležitější než kdy předtím.
Graf 1: Trend bezpečnostních rizik ve zdravotnictví v následujících letech
Jak COVID-19 ovlivnil zdravotnictví z pohledu IT a kyberbezpečnosti?
Tyto změny nás přiměly k dotazu na naše respondenty, jak COVID-19 ovlivnil zdravotnictví z pohledu IT a kyberbezpečnosti (graf 2). Dostali jsme velmi vyrovnané odpovědi v celkovém rozpětí zhruba 7 %. Tento výsledek může být daný faktickou znalostí dané situace i mediální interpretací. Nelze však říci, že by převažovala skupina jednoznačně pesimistická – její podíl je zde dokonce nižší než skupina vnímající situaci optimisticky.
Který technologický trend nejvíce ovlivní zdravotnictví v roce 2021?
Za technologické trendy, které nejvíce ovlivní v následujícím roce zdravotnictví, označili naši respondenti především výše zmíněnou digitalizaci (36 %), která je klíčem k dalším odpovědím a bez níž by se většina neobešla. Telemedicínu (19 %) a mobilní aplikace (18,1 %) považují za podobně důležitý prvek pro rok 2021. Za trendy, které nejméně ovlivní zdravotnictví, považují wearables (1,8 %) a cloud (8,6 %).
Vnímání nízké významnosti cloudu je velmi překvapivé. Tato služba se během pandemie výrazně rozrostla a stejný trend se očekává i v následujících letech, a to jak ve zdravotnictví, tak i v dalších odvětvích. Podle analýzy společnosti Gartner se ve světovém měřítku zvýší využívání veřejného cloudu v roce 2021 o 18 %. [2] Dlouhodobější perspektivu ve zdravotnickém sektoru ukazuje např. report od Research and Markets, který předpokládá složenou meziroční míru růstu 19,7 %. V roce 2018 představoval globální trh cloud computingu pro zdravotní péči 18,28 mld. dolarů a očekává se, že do roku 2027 dosáhne 92,24 mld. dolarů.[3]
S novými technologiemi se ve zdravotnictví již setkáváme a patrně nás budou ovlivňovat i v budoucnu. U kterých zařízení považují naši respondenti za vysoce rizikové, aby umožňovala přístup skrze internet (např. přes webovou aplikaci)? Jak je vidět z grafu 4, za nejrizikovější označili kardiostimulátory – nové modely jsou v dnešní době již běžně k síti připojeny. Případová studie z roku ale 2020 dokazuje, že kyberútoky je možné zhoršit odezvu kardiostimulátoru [4], což může mít pro pacienta fatální důsledky. Na pomyslné druhé místo umístili respondenti diabetickou pumpu a umělé orgány. Naopak za méně riziková považují chytrá zařízení jako brýle, hodinky nebo váhu, která o uživatelích většinou jen sbírají informace a nemají přímý vliv na zdraví.
Graf 4: Rizikovost zařízení v případě vzdáleného přístupu na internet
Co respondenti považují za největší dopad kyberútoků na zdravotnická zařízení?
Požádali jsme je, aby na škále od 1 (nejmenší) do 5 (největší) ohodnotili dopady pěti útoků. Na grafu 5 jsou vyobrazeny dopady a kolik respondentů ohodnotilo dopad jakou úrovní.
Za nejhorší dopady považují hlavně zašifrování/znepřístupnění dat. Příkladem tohoto útoku je ransomware, který požaduje výkupné za opětovné zpřístupnění dat. V USA jsou nemocniční zařízení oblíbeným terčem těchto útoků i vzhledem k zastaralým prvkům zabezpečení a relativní ochotě výkupné zaplatit, jelikož to považují za rychlejší i levnější cestu obnovy provozu. [5] Realitou spojenou se zaplacením ransomwaru (kromě podporování kriminální činnosti) je, že není 100% jisté, zda se nemocnici její data vrátí. V ČR zatím nejsou známy případy nemocnic, které by výkupné zaplatily.
Graf 5: Dopady kyberútoků na zdravotnická zařízení
Dalšími významnějšími dopady jsou nedostupnost sítě nebo pracovních stanic (např. DoS útok) a krádež či jiná kompromitace informací (např. krádež identity, únik zdravotních záznamů). Dopady destruktivní manipulace se zdravotnickou technikou (např. PACS, MIUC, modality) nejsou považovány za větší nebezpečí stejně jako fyzická destrukce dat či zařízení (např. zničení datacentra z důvodů živelné katastrofy).
Kdo je nejvýznamnějším aktérem bezpečnostních hrozeb mířících proti zdravotnictví?
Kdo podle respondentů za kyberútoky stojí? Nejvýznamnějším aktérem je dle průzkumu organizovaný zločin (37 %), tedy skupiny, které škodí primárně z finanční motivace. Další aktéři mají rovněž významné zastoupení – čtvrtina dotazovaných označila individuální hackery a insidery (jedince uvnitř organizace, kteří škodí z různých osobních pohnutek), 20 % státní aktéry (skupiny škodící pro strategické a špionážní zájmy států) a 16 % hacktivisty (internetové aktivisty motivované občanskými či politickými ideály).
Celosvětově má sektor zdravotnictví nejvyšší zastoupení vnitřních aktérů zneužívajících své pravomoci pro únik informací. V roce 2020 byli insideři zodpovědní za 48 % případů úniku dat. To je sice nižší procento než v minulých letech, ale dle DBIR to není způsobené nižší aktivitou těchto aktérů, ale spíše vyšší aktivitou externích aktérů. [6]
U otázky, který komunikační kanál by bylo vhodné používat na předávání výsledků vyšetření, aby se jich nikdo ze zmíněných aktérů (ani jiní) nemohl zmocnit, se skoro polovina respondentů shodla na datové schránce. Ta slouží již od roku 2009 jako elektronické úložiště určené k doručování elektronických dokumentů mezi orgány veřejné moci a fyzickými/právnickými osobami. I když nejvíce respondentů zvolilo tuto možnost, výsledek nám říká, že druhá polovina respondentů datovou schránku nepovažuje za důvěryhodný komunikační kanál. To může značit relativně nízké povědomí o této službě.
Graf 7: Dostatečně bezpečné komunikační kanály pro předávání výsledků vyšetření
Přibližně 40 % respondentů důvěřuje těmto komunikačním kanálům: úložiště přístupné přes webové rozhraní s vícefaktorovou autentizací, zašifrovaná příloha v e-mailové komunikaci s předáním hesla jiným kanálem, pro tyto účely vytvořené úložiště přístupné přes webové rozhraní s autentizací heslem/PINem. Za nedostatečné kanály označili telefonní hovor a nezašifrovanou přílohu e-mailu.
Zajímavým úkazem je, že jen 20 % respondentů považuje fyzické předání dokumentů v papírové podobě za dostatečně bezpečné, i když aktuálně je tento způsob nejčastější.
Respondenti se převážně shodli na čtyřech komunikačních kanálech, kterými by se data o zdraví dala sdílet. U kterých dat bychom si měli dát větší pozor na bezpečnost jejich sdílení, resp. která data jsou považována za obzvlášť citlivá? Jasná shoda panuje u platebních údajů a údajů o uskutečněných platbách, které většina považuje za velmi citlivé. Pouze minimum dotázaných je za citlivé nepovažuje. Naopak dobrovolnictví v oblasti darování krve spíše není bráno jako citlivé. V otázce dobrovolnictví v oblasti dárcovství orgánů panuje absolutní neshoda, kdy polovina respondentů tyto údaje za velmi citlivé považuje a druhá nikoli. Percepce citlivosti dalších údajů je vyobrazena v grafu 8.
Graf 8: Percepce citlivosti údajů zpracovávaných nemocnicemi
Závěr
Výsledky průzkumu nám ukazují, že oslovení respondenti předpokládají znatelný nárůst kybernetických rizik ve zdravotnictví v následujících letech. Největší hrozby představují aktéři využívající ransomware útoky. S těmito útoky se již některé české nemocnice během pandemie setkaly a byly na určitou dobu ochromeny. [7] Dosud nebyl oficiálně oznámen případ, kdy by česká nemocnice výkupné zaplatila. Útočníci mají za cíl zejména organizace, které s výkupným problém nemají (tzv. big game hunting).
V letošním roce bude také důležité připravit plány na rozvoj digitalizace zdravotnictví a do každého rozvojového projektu kyberbezpečnost velmi jasně ukotvit. Roli hrají nejen bezpečné komunikační kanály pro předávání výsledků lékařských vyšetření, ale i samotné zabezpečení elektronických zařízení.
Za rozporuplnou oblast považujeme vnímání současné situace v bezpečnosti ve zdravotnictví. Jedním z příkladů je otázka na vliv pandemie, kterou shodně za pozitivní i negativní označilo proporčně podobné množství respondentů. Ani ve způsobu předávání výsledků lékařských vyšetření nepanuje jednoznačná shoda. Největší důvěru respondentů (46 %) má datová schránka, ale zbylých 54 % ji za dostatečnou nepovažuje. Tato skutečnost podle nás vede k potřebě veřejné diskuse na toto téma.
Dlouhodobé dopady COVID-19 na kyberbezpečnost zdravotnictví se projeví až s odstupem času, ale určité trendy jsou patrné již dnes. Je proto ideální dosáhnout široké shody v systematické podpoře tohoto odvětví a mít pro tuto podporu jasnou strategii, měřit kontinuálně její přínos a nepřinášet pouze reaktivní či populistická gesta bez jasného benefitu.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Použité zdroje:
[ 1 ] NÚKIB, Varování. Brno. 16. dubna 2020, 350 – 231/2020, číslo jednací: 2066/2020-NÚKIB-E/350. Dostupné na: https://nukib.cz/download/archiv/Varovani-NUKIB-2020-04-16.pdf
[ 2 ] GARTNER. Gartner Forecasts Worldwide Public Cloud End-User Spending to Grow 18% in 2021. Stamford. 17. listopadu 2020. Dostupné na: https:// www.gartner.com/en/newsroom/press-releases/2020-11-17-gartner-forecasts-worldwide-public-cloud-end-user-spending-to-grow-18-percent-in-2021
[ 3 ] RESEARCH AND MARKETS. Healthcare Cloud Computing – Global Market Outlook (2018–2027). Leden 2020. ID: 4897440. Dostupné na: https://www.researchandmarkets.com/reports/4897440/
[ 4 ] Muhammad Muneeb Ur Rehman a spol. Cyber-Attacks on Medical Implants: A Case Study of Cardiac Pacemaker Vulnerability. Islamabad. 1. listopadu 2020. Dostupné na: https://journal.uob.edu.bh/bitstream/handle/123456789/4033/paper%2020.pdf?sequence=4&isAllowed=y
[ 5 ] KASPERSKY. Hacking the pandemic: New documentary reveals healthcare cybercrime surge amid COVID-19. 23. září 2020. Dostupné na: https://www.kaspersky.com/about/press-releases/2020_hacking-the-pandemic
[ 6 ] VERIZON. Data Breach Investigations Report 2020. Dostupné na: https://enterprise.verizon.com/resources/reports/2020/2020-data-breach-investigations-report.pdf
[ 7 ] NÚKIB, Analýza hrozby: Vyděračské útoky ransomwarem jsou cílenější: míří na velké firmy, státní a veřejné instituce. Brno. 7. srpna 2020. 3953/2020-NÚKIB-E/310. Dostupné na: https://www.nukib.cz/download/publikace/analyzy/Analyza_hrozby_ransomware.pdf
