V úterý 29. června proběhlo v Kongresovém centru Praha pokračování semináře z cyklu Metamorfosa 2021. Vzhledem k tomu, že se kyberútoky na naše nemocnice v době intenzivní pandemie vystupňovaly a neustupují, rozhodli jsme se pomoci zdravotnickým zařízením aktuálními poznatky a informacemi. V době pandemie muselo totiž naše zdravotnictví čelit nejen novému viru a jeho následkům, ale také kybernetickým útokům, které často ochromily běžné fungování. Byla představena nová strategie kybernetické bezpečnosti ve zdravotnictví, informace o fi nanční podpoře ze strany státu a ukázky, jak kyberbezpečnost řeší vybrané nemocnice. Byla to jedinečná možnost slyšet pohromadě zástupce NÚKIB, Ministerstva zdravotnictví ČR, FN Olomouc, FN Brno, FN Ostrava, Nemocnice Na Homolce, Policie ČR a dalších.
Akce se konala pod záštitou Asociace krajů ČR, ministra zdravotnictví Adama Vojtěcha, NÚKIB a poslance Vlastimila Válka.
Děkujeme partnerům ICZ, tispartners, Cesnet, insighti, PwC a T-Mobile, že se díky nim mohla akce uskutečnit.
Protože se TATE International a DSM věnuje kybernetické bezpečnosti ve zdravotnictví již delší dobu, připravili jsme pro Vás krátké rozhovory na diskutovaná témata s přednášejícími z konference.
Jan Kolouch, CESNET
Můžete krátce uvést, jaký byl cíl Vaší dnešní prezentace?
Cílem mé první prezentace bylo ukázat, že kybernetické útoky na nemocnice nejsou ničím novým, že je zdravotnický sektor cílem útoků stejně jako jakákoli jiná oblast a stává se cílem zajímavějším. Cílem druhé prezentace bude představit možnosti obrany proti kybernetickým útokům ve zdravotnictví.
Jak byste sám za sebe zhodnotil umístění kybernetické vybavenosti českého zdravotnictví v rámci Evropy nebo i světa? Jak jsme na tom, od koho se máme co učit?
Je to jen osobní názor, ale myslím, že jsme na tom velmi srovnatelně se zbytkem Evropy, potažmo západního světa. V tomto sektoru obecně chybí kvalitní personál, resp. jeho fi nancování. Dále procesy bezpečnosti ve zdravotnictví, protože to není o nákupu vybavení, které vás samo ochrání, ale o nastavení standardů, procesů a udržení kvality.
Ve Vaší prezentaci jsme slyšeli, že většina útoků probíhá prostřednictvím phishingových e-mailů, ransomewaru apod., což je cíleno na běžný personál. Ten se často neodstane na podobné konference a školení. Co se musí dít, aby se povědomí o kybernetické bezpečnosti dostávalo do širší společnosti? Co je možné dělat v rámci každodenního života?
Je třeba zvedat povědomí o kybernetické bezpečnosti, o útocích, o tom, jak se chovat v kybersvětě. Především o tom, že útoky tady jsou a budou, a to čím dál sofi stikovanější, propracovanější. Už nepůjde o e-maily typu „Drahoušek zákazník, my Vám posílat fakturu“, ale e-maily budou konkrétní, cílené, využívající jméno oběti. Školení jsou tedy značně podceňovaná. Zároveň je ale třeba dodat, že školit není schopen ajťák z nemocnice, protože má celou řadu jiných povinností. Je to spíš o podobných akcích a konferencích dalších subjektů, které se na vzdělávání a školení specializují.
Do jaké míry hrají v četnosti útoků a jejich neustávajícím výskytu roli finance, resp. jejich nedostatek, především v menších nemocnicích?
Finance, zejména jejich správné rozložení, hrají asi tu největší roli. Ono je hezké si myslet, že Plán obnovy EU nebo jakékoli fi nancování na národní úrovni pomůže nemocnicím. Částečně ano, nicméně podfi nancování nemocnic není o hardwaru, ale o lidech. Kvalitní ajťák asi nekývne na nabídku nástupního platu třicet tisíc s perspektivou zvednutí o tři tisíce v dalších pěti letech. To by musel být srdcař. Jde spíše o vhodné rozstrukturování peněz, cílení na lidské zdroje, jejich dlouhodobou udržitelnost, získávání a vývoj.
Lze předvídat, jakým směrem se bude kyberprostor a útoky v něm vyvíjet? Zmiňoval jste některé metody, které jsou ve hře už mnoho let, ač mnohem sofistikovanější. Lze odhadnout, co nás čeká, a připravit se na to? Nebo až další útoky ukážou, s čím se potýkáme?
Předvídat lze celkem jednoduše – fungovat bude to, co funguje, dokud proti tomu nenajdeme obranu. Tedy phishingové kampaně se budou zlepšovat, ransomeware či jiné malwary do nich budou zapojené. Otázkou je, jestli uložení bude ransomeware nebo jenom backdoor či trojan, který má krást data. Nicméně dokud tenhle typ útoku funguje, tak bude na scéně. Lze očekávat DDoSové kampaně, DDoS útoky, kde bude útočník zkoušet vydírat jiným způsobem, aniž by se musel dostat do zabezpečené organizace. A samozřejmě finále – prodej odcizených dat.
Antonín Hlavinka, FN Olomouc
Můžete prosím stručně uvést, na jaké pozici pracujete a jaké zodpovědnosti z toho vyplývají?
Ve FN Olomouc jsem na pozici náměstka IT a současně jsem předseda výboru pro kyberbezpečnost. Moje pozice zastává jakousi vizi digitalizace nemocnice, napojení na eHealth, a s tím samozřejmě související kyberbezpečnost, která nesmí zůstat opomíjená.
Co se týče žebříčku bezpečnostních priorit ve FN Olomouc, jaké jsou první příčky?
První prioritou je asi mít dostatek kvalifi kovaných lidí na kyberbezpečnost, druhou jsou peníze na kyberbezpečnost a právě na lidi. A dále jsou to pak jednotlivé body, které bych měl naplnit, abych se dostal stoprocentně do souladu se Zákonem o kybernetické bezpečnosti, o což se snažíme od roku 2018. V současné době jsme po auditu NÚKIBu, máme nějaké výstupy a také opatření, která musíme splnit a dohnat. Bohužel nás trápí finance, nedostatek personálu a s tím i spojená zastaralost vnitřních nemocničních systémů, které mají více než 25 let.
Zmínil jste finance. Jaké zhruba procento je u vás v nemocnici dedikováno na IT, případně na jakých místech peníze nejpalčivěji chybí – vybavenost, technika, školení…?
V současné době bohužel nemáme dostatek peněz, abychom udělali tzv. velký třesk a dostali kyberbezpečnost do potřebného bodu. Náš rozpočet je víceméně kontinuální, máme nějaké investice a nějaké provozní prostředky, řádově jsou to desítky miliónů ročně. A protože jsme v minulých obdobích nedostáhli na Výzvu 10 pro kybernetickou bezpečnost, kde podobné nemocnice jako my žádaly až o stovky miliónů korun, snažíme se pravidelně z rozpočtu plánovat elementární uspokojení kyberzákona, kterým je náhrada počítačů se starým operačním systémem. To je momentálně dosažitelná priorita. Stejně nám to ale pořád utíká, protože vyměníme 300 počítačů ročně a z toho nám zase 100 zastará a jedeme znova. Jak všichni vědí, tempo je v IT neúprosné.
Dnes jsme na konferenci mimo jiné slyšeli, že většina útoků probíhá prostřednictvím phishingových e-mailů, ransomewaru a podobných útoků cílených na běžný personál. Ten se často nedostane na podobné konference a školení. Co se musí dít, aby se kybernetická bezpečnost dostávala do širšího povědomí a byla považována za podobně důležitou jako například bezpečnost fyzická?
V první fázi namotivovat vedení organizací, v našem případě nemocnice, protože bez podpory vedení to nemá smysl prosazovat. Pokud to vedení bere na lehkou váhu, nikdy nebudete mít jako IT náměstek klidné spaní, protože taháte za krátký provaz a nic nezmůžete. V první fázi je to získání podpory od vedení, což byla i moje priorita – přesvědčit vedení za podpory NÚKIBu, který nám v tom hodně pomohl. Zavedli jsme také eLearning. Ten se pochopitelně pořád vyvíjí, protože musíte najít rovnováhu v obtížnosti školení. Pokud doktorům pustíte školení pro ajťáky, jako má právě NÚKIB, je to pro ně nesplnitelný úkol. Nelze to tedy „uškrtit“ až moc, protože pak se vám personál šprajcne a nehnete s ním. Je to o neustálém balancování.
Co by se ve vaší nemocnici stalo v případě výpadku proudu, blackoutu. Jak jste na to připraveni, jak dlouho by vydržely systémy?
Tohle je zrovna situace, která je pravidelně testována. Máme diesel generátory, agregáty, které pravidelně jednou za měsíc testujeme. Navíc kdyby opravdu vypadl proud, máme domluvenou spolupráci s Integrovaným záchranným systémem – naše nemocnice je největší v kraji, takže hasiči, armáda, všichni by byli v pohotovosti. Šlo by jen o překlenutí několika minut a jeli bychom dál.
Tom Philipp, Klinika revmatologie a rehabilitace 3. LF UK a FTN
Můžete stručně uvést, na jaké pozici pracujete a jaké zodpovědnosti z toho vyplývají?
Působím jako přednosta kliniky revmatologie a rehabilitace 3. lékařské fakulty a Fakultní Thomayerovy nemocnice. Pozice přednosty znamená starat se o chod kliniky, pečovat o pacienty a zároveň o to, aby klinika vědecky pracovala, publikovala a zároveň vyučovala studenty.
Z této pozice máte určitě přehled o prioritách nemocnice – je jasné, že na prvním místě budou pacienti a jejich bezpečnost, ale jak si stojí IT, kyberbezpečnost, technická vybavenost?
Bohužel bývá kyberbezpečnost nebo obecně IT v nemocnicích takovou Popelkou. Nakupuje se vybavení, přístroje potřebné k tomu, aby pacienti byli řádně ošetřeni, rekonstruují se pavilony, ale na kybernetickou bezpečnost se trošku zapomíná, a to jak na hardware, tak software. Ze své pozice nemám na tvorbu plánů ve Fakultní Thomayerově nemocnici zásadní vliv, nicméně dříve jako náměstek ředitele jsem měl lepší možnost a snažil jsem se kolegům z IT pomáhat se získáváním fi nančních prostředků na rozvoj nejen kyberbezpečnosti, ale IT obecně.
Co se týče zmíněných financí – kde jsou největší mezery, je to v rámci platů, školení, vybavení…? Kde peníze nejvíce chybějí?
Ze své zkušenosti z ministerstva vím, že je velmi obtížné získat opravdové IT odborníky, protože tabulkové platy neodpovídají platům v terénu. Z pohledu ministerstva, ale platí to i v nemocnici, je obtížné být pro odborníky fi nančně atraktivní. Dále si myslím, že kybernetickou bezpečnost stále velmi podceňujeme. Když se podíváte např. na ministerstvo, odbor vedený Martinem Zemanem je poměrně malý, podstatně menší než ostatní, tedy i s menší kapacitou připravovat plány, strategie apod. Je mi strašně líto, že se teď prošvihla velká šance, jak posunout dopředu IT a kyberbezpečnost. Jde o projekt React EU, kde se rozdělují fi nanční prostředky z EU – něco okolo dvaceti miliard. Nyní již probíhá rozdělování, jenže na IT a kyberbezpečnost se tam v podstatě vůbec nepomýšlí. Je to velká škoda, protože se mohlo poměrně rychle zainvestovat a dát těm stoupajícím útokům, kterým právě čelíme, nějakou hráz, zabezpečit se.
Jsou avizované nějaké podobné iniciativy na podporu kyberbezpečnosti, do kterých by se naše nemocnice mohly zapojit?
Tady na konferenci se mluvilo o projektech, které budou fi nancované z MPO, takže já věřím, že tam určitá alokace bude a že komunita kolem IT a kyberbezpečnosti na sebe dokáže upoutat více pozornosti, aby fi nanční prostředky skutečně šly i do tohoto odvětví.
Dnes jsme slyšeli o mnoha útocích zaznamenaných v Česku a o jejich následcích. Jak to bylo u vás, byla nějaká nová opatření, která jste zavedli?
Spíš to mohu posoudit jako uživatel. Vidím, že zabezpečení se zpřísnilo, přístupy na e-mail, na web, to vše je podstatně více omezeno než dříve. Z uživatelského pohledu i u nás vidím změny.
S lidmi pracujete denně. Co si myslíte, že by se muselo stát, aby kyberbezpečnost a relevance celé této tématiky vešla do běžného povědomí společnosti?
Říká se, že zálohuje ten, kdo už někdy o data přišel. Zrovna tak je to s nemocnými. Na prevenci jde ten, kdo už byl někdy nemocen nebo komu onemocněl někdo blízký a zasáhlo ho to. Je to tak vždy, lidé nejsou v tomto příliš zodpovědní a nejsou na prevenci připraveni. Pokud by se stal větší průšvih, jako byly některé větší útoky, nebo kdyby nastal blackout, tak to na nějaký čas zlepší povědomí o potřebě se bránit a zájem o kybernetickou bezpečnost vůbec. Bohužel je to ale vždy vlna, která když se nevyužije v danou chvíli, tak opadne a po čase budeme tam, kde jsme byli. Nechci ale být úplný pesimista, věřím, že se tady na konferenci sešlo mnoho lidí, které kyberbezpečnost zajímá. Toto téma ve společnosti rezonuje a určitým způsobem se posouvá. Věřím, že brzy budeme ve větším bezpečí, i když samozřejmě i protistrana vymyslí něco nového.
Tomáš Iránek, FN Brno
Můžete stručně uvést, na jaké pozici pracujete a jaké zodpovědnosti pod to spadají?
Ve FN Brno jsem náměstkem pro informatiku a mojí zodpovědností je provoz veškerých informačních systémů nemocnice. Pod nás spadá ještě dětská nemocnice a porodnice na Obilním trhu, takže spravujeme tři lokality. Neřeším kyberbezpečnost, ta byla z IT vyčleněna a spadá pod právní oddělení.
Jaké jsou v nemocnici priority a kde se na tom žebříčku nachází IT? Slyšeli jsme, že je to často oblast trochu opomíjená…
Správně bych měl odpovědět, že hlavní prioritou je bezpečí pacienta, tím se řídíme i my a k tomu směřujeme IT. Samozřejmě je naším primárním zájmem, aby lékaři měli dostupná data o pacientech v čase a kvalitě, jaké potřebují. Zvláště po nedávném kybernetickém útoku na naši nemocnici však musím říct, že do dnešního dne se nepodařilo obnovit 100 % všech systémů. Je to trošku složitější, ale naším cílem zkrátka je lékařům nabídnout tu kvalitu, na kterou byli zvyklí před útokem. Dnes se řeší fi nance jakožto téma se zdravotnictvím úzce spojené.
Zeptám se, jaké procento rozpočtu je u vás dedikováno na IT a kde jsou největší mezery, které je stále potřeba pokrýt?
Zjišťoval jsem si, kolik v minulosti nemocnice investovala do IT. Je to zhruba půl procenta z celkového obratu, který se pohybuje někde mezi devíti a desíti miliardami. V roce 2018 byly nějaké větší nákupy, tak to bylo skoro procento. Teď jsme kolem toho půl procenta, což je zhruba 80 miliónů korun. Největší rezervu vidím osobně ve mzdách pracovníků, protože je problém získat do IT v nemocnicích kvalitní odborníky. Zvláště my v Brně bojujeme s tím, že je to technologické město, máme tam S.A.B, Honeywell a další, ti všichni přeplácejí absolventy neuvěřitelnými částkami. My jsme státní organizace svázaná tabulkovými platy, takže máme problém ty lidi zaplatit. To teď vidím jako největší slabinu. Nemáme paradoxně problém si sáhnout na investiční peníze z různých dotací, ale z nich nemůžete platit mzdy zaměstnanců.
Co by se muselo stát, aby kyberbezpečnost vešla do běžného povědomí společnosti a lidé sami měli tendenci se v této oblasti vzdělávat?
Teď budu asi trochu zlý, ale myslím si, že asi neexistuje nic, co by k tomu lidi přimělo. Dívám se na to optikou kyberútoku v Brně, kterým jsme si před rokem a půl prošli. Dva tři měsíce lidé to povědomí měli, protože je to přímo zasáhlo, najednou museli psát na psacím stroji, neměli přístup k datům, byl to problém. Chvíli to řešili, ale když se s nimi o tom bavíme teď a chceme po nich nějaká bezpečnostní pravidla, tak se jich to prostě nedotýká. Jedinou možností je tedy osobní zkušenost. Kdyby se někomu ztratily jeho vlastní peníze a třeba by pár měsíců nedostal mzdu, protože nemocnice by byla paralyzovaná, tak by si to rozmyslel a začal o tom více uvažovat. Dokud se to ale lidí nedotkne přímo a nepocítí to finančně, nic je nedonutí.
Co by se ve vaší nemocnici stalo v případě výpadku proudu, blackoutu. Jak jste na to připraveni, jak dlouho by vydržely systémy?
Nemocnice má samozřejmě vlastní záložní zdroje, musí je mít. Elektrické systémy jsou zálohované. Bohužel, a to tady již dnes taky zaznělo, nejsme v nemocničním provozu schopni všechna ta opatření testovat. Nemůžeme si dovolit servisní okna, opravdu jedeme v režimu 24/7. Ačkoli některé banky tvrdí, že ony taky, mohou si tu odstávku dovolit. Úplně nevíme, co se stane. Zrovna ty diesel agregáty se testují pravidelně, nějaké výpadky jsou a víme, že se to nahodí a funguje. Jen skutečný blackout by nám ale ukázal, jak jsme vlastně připraveni. Podobně s tím kyberútokem – nikdo si to neuměl doopravdy představit, dokud se to nestalo.
Adam Kučínský, NÚKIB
Toto je již druhá část semináře, už loni jste přednášel. Mohl byste tedy stručně zhodnotit posun, který se za ten rok udál? Vzaly si nemocnice doporučení k srdci a implementovaly potřebná opatření?
Myslím si, že se to minimálně dostalo do širšího povědomí, např. management to už začíná více řešit. Co se týká celkové úrovně, tam se to nezlepší za půl roku ani za rok. Je potřeba dlouhodobá práce a systematický přístup. Co se NÚKIBu týče, vydal standard uzpůsobený pro organizace, které nemají tak velkou kapacitu, aby dokázaly zavést celou vyhlášku. Snažíme se je tedy metodicky podporovat. Navíc máme další služby, které nabízíme, jako jsou školení, monitoringy zranitelností apod.
Slyšeli jsme, že proběhla reforma Zákona o kybernetické bezpečnosti. Co to v praxi znamená?
Došlo k legislativní změně, změnila se konkrétně vyhláška o provozovatelích základních služeb. Byla rozšířena kritéria v oblasti zdravotnictví, a tím pádem bylo pod zákon zařazeno více nemocnic. Z původních 16 se to rozšířilo na 44.
Dnes tu slýcháme o problematice personální vybavenosti nemocnic v oblasti IT. Tyto pozice totiž podléhají tabulkovým platům, které se nerovnají nabídce soukromých firem. Myslíte si, že je možné stávající IT pracovníky pomocí kurzů, které pořádá např. NÚKIB, dostatečně vyškolit, nebo je potřeba změnit celý systém?
Personální poddimenzovanost a nemožnost najít a zaplatit odborníky je jednou z největších mezer. A je to systémový problém. Většina organizací jsou velké IT fi rmy, mají obrovské systémy a sítě, velké množství uživatelů a zaměstnanců. Nárůst počtu zaměstnaných ajťáků je veliký. Stejně tak banky. Ve zdravotnickém sektoru tomu tak není. Tabulky se nemění, lidé nejsou oceňováni. Když získají zkušenosti, mají samozřejmě tendenci odcházet. Školení a vzdělávání je potřeba – je to dynamické odvětví, ale celý problém by se měl řešit systémově. Měla by být možnost schopné lidi ocenit.
Ve své prezentaci jste zmiňoval preventivní kroky na úrovni státu a poskytovatelů, ale co byste řekl, že můžou dělat lidé v rámci každodenního života? Jak se dá zlepšit povědomí o této tématice v rámci široké společnosti a má vůbec smysl se o to snažit?
Smysl to určitě má, kybernetická bezpečnost je v zásadě distribuovaná a čím více jednotek je zabezpečeno, tím je systém odolnější. To znamená, že každý uživatel IT a zaměstnanec má vliv na kybernetickou bezpečnost. Sebelepší technologie neochrání organizaci, pokud tam zaměstnanci toho útočníka nějakým způsobem pustí. Takže obecně vzdělávání uživatelů a veřejnosti svůj smysl má a je potřeba. Vyhláška to po subjektech i zajištění vzdělávání požaduje, protože víme, že je to důležité.
Co se týče mediální propagace a vydávání varování – má to pozitivní efekt, díky kterému jsou lidé obezřetnější, nebo to naopak upozorňuje na zranitelnost a má to efekt kontraproduktivní?
V zásadě je určitě dobré o tom informovat. Administrátoři a uživatelé to tak alespoň zjistí a mohou to nějakým způsobem řešit. Tajit to nemá cenu – útočníci o tom stejně vědí. My potřebujeme informace dostat k adresátům, aby se mohli efektivně zabezpečit. Snažíme se kontaktovat subjekty buď adresně, nebo máme i celou řadu upozornění na webu.
Kdyby se chtěl člověk sám do prevence zapojit, začít se zajímat, případně i pomoci svému okolí, jaký jeden krok k lepší „kybernetické awareness“ byste mu poradil?
Jednak zveřejňujeme řadu podpůrných materiálů, nejen technických a pro ICT specialisty, ale i doporučení pro uživatele, kde se to snažíme shrnout srozumitelnou formou. Dále eLearning, který NÚKIB zdarma plošně poskytuje a může si ho vyzkoušet každý, ať už jde o fi rmu nebo uživatele.
Petr Foltýn, FN Ostrava
Můžete stručně uvést, na jaké pozici pracujete a jaké zodpovědnosti pod to spadají?
Pracuji na pozici náměstka pro IT ve FN Ostrava, z čehož vyplývá zodpovědnost garance funkčnosti a zastřešení IT. Potažmo to má přesah i do kybernetické bezpečnosti, o kterou se jako předseda výboru pro kyberbezpečnost také starám.
Jaké jsou v nemocnici priority a kde se na tom žebříčku nachází právě kyberbezpečnost?
Je to jeden ze dvou pilířů. Prvním je aplikační bezpečnost, kde se bavíme o tom, že bychom chtěli mít naše aplikace a systémy nejlépe v aktuální platformě. Druhým pilířem je zabezpečení, aby nám to zase nezhavarovalo pod rukama. Byli jsme podpořeni poměrně vysokou částkou, takže dva roky implementujeme projekty z Výzvy 10. Nepatříme do skupiny těch, kteří velmi naléhavě čekají na peníze. Naopak se naše projekty už chýlí ke konci a letos defi nitivně skončí. Prošli jsme si i tím trnitým obdobím, kdy peníze jsou a je potřeba vše nakoupit a zaimplementovat. Kyberbezpečnost je prioritou naprosto zásadní, rezonuje to pořád celou nemocnicí. Nese to s sebou obrovská rizika, protože peníze jsou teď a bůhví, kdy se nějaké další zase objeví, takže je potřeba je zužitkovat. Musejí se ale dělat velké celky naráz, i když bychom to radši rozložili na dva tři roky a měli klidné spaní. Protože se ale finance utratit musejí, dělá se vše poměrně dynamicky a rychle, což s sebou nese rizika, která by mohla ovlivnit i samotné poskytování péče.
Řešíte u vás také problém s personální vybaveností kvůli tabulkovým platům pro IT zaměstnance, a tedy nedostatek kvalifi kovaných odborníků, nebo jdou peníze, které jste dostali, využít i tímto směrem?
Popravdě to je téma číslo jedna. Pokud nemáte lidi, kteří s vámi ty věci posouvají dopředu, tak to můžete zabalit. Já jsem ryzí manažer, potřebuji, aby lidé odváděli svoji práci. Nemocnice si nakupuje nové „hračky“ a úředník, který má pracovat na těchto velkých celcích, to prostě technicky nezvládne. Potřebujeme, aby s tím lidé uměli pracovat, ale dodavatelsky to nejde, protože se porve trh nebo nastane problém s veřejnými zakázkami. To zkrátka nejde. A tabulkové platy jsou naprosto absurdní. Takže problém je to nesmírný. Je pravda, že se to liší nemocnice od nemocnice. Ty ekonomicky silnější, což Ostrava a Olomouc jsou, si snadněji o peníze říkají a sahají po nich. Občas se ještě objeví nějaká dotace, což je super. A stejně tak s lidmi je to region od regionu. Já si neumím představit, za jaké peníze bude ochoten kvalitní infrastrukturní bezpečnostní člověk dělat v Praze a jak to na těch tabulkách vyrobí. To přece není reálné, tabulky máme všichni stejné. Myslím si ale, že zrovna nám jako ostravskému regionu, který je ekonomicky trošku slabší, se o lidi říká lépe. Je to na diskuzi s ředitelem, který vás v tomhle musí podpořit, jinak to můžete zabalit. Otázka je, jestli tam budete chtít dále pracovat, když se vám to personálně rozloží pod rukama.
Takže u vás v této chvíli tento problém přímo neřešíte?
Ale to víte, že také ano. Máme tam Tieto, Okin, velké technologické fi rmy, takže když lidé přijdou s požadavky na plat, tak jim prostě nemůžu vyhovět. Také mi utekl nejlepší člověk, programátor, protože se mu plat zdvojnásobil. A to není vyjednávací pozice. Někdy ale funguje patriotismus a loajalita, levné obědy, provoz, který není optimalizovaný přímo na výkon a projekty… Snažíme se hledat benefi ty, kde to jde.
Dnes jsme slyšeli, že paradoxně proběhlé útoky zlepšily povědomí společnosti o této problematice. Stále to ale není dostatečné. Co by se muselo stát, aby byla kyberbezpečnost běžnou součástí každodenního života?
Já vím přesně, co by se muselo stát, ale nevím, jestli to chceme. Dnes ještě vidíte dozvuky Brna – nový manažer, který chce opravdu zapracovat na tom, aby to zlepšil, a přitom stále kompenzuje škody, které tam byly. Když padnou tři nemocnice naráz, tak se všichni postaví do pozoru a začnou to řešit. Ale to samozřejmě nikdo nechce. Ono to sice vypadá, že šlapeme vodu, ale pravda je, že se na klíčových pozicích objevují mladí manažeři, kteří se budou snažit. Takže věřím, že už nastala doba, kdy se to změní, aniž by se musel stát nějaký zásadní zlom. Je pravda, že covid to ovlivnil – digitalizace nám vyrostla pod rukama, každý se chtěl spojovat online, být v bezpečí, vidět do systémů… Takže si myslím, že i naši doktoři si uvědomují, že IT je denní chléb. Já pevně doufám, že se nemusí stát nic zásadního. Že se ale ještě něco stane, to se pojďme vsadit, to je bohužel stoprocentní.
Vím, že toto nejde kvůli nemocničnímu režimu 24/7 úplně testovat, ale co by se ve vaší nemocnici stalo v případě výpadku proudu, blackoutu. Jak jste připraveni, jak dlouho by vydržely systémy?
Děsíme se všech velkých penetračních testů. To je asi noční můra každého IT. Měl jsem nápad, že bych vypnul jedno ze dvou datových center, která jsou úplně redundantní, takže jako zrcadla. Ale taky jsem si to rozmyslel, protože co když ne, co když všechny naše teorie selžou? Máte tam pacienty na lůžkách a operačních sálech, kteří nepočkají, jestli se vám to povede.
Co se týče proudu, na to jsou nemocnice ze zákona připraveny, takže diesely máme, ty se testují pravidelně. No a naše klíčové systémy nějakým způsobem najedou. Nikdo ale nechce mít blackout v řádu dnů. Dokud je to výpadek hodinový, dá se to zvládnout, ale musí se něco rychle dít. Věřím, že jelikož jsme největší zdravotnické zařízení v kraji, přiletěla by na pomoc celá 112. Proudu se nebojím tolik jako kolapsu systémů. Ale jak říkáte, testovat tyhle věci v nepřetržitém režimu s lidmi na lůžkách nejde, je to loterie s lidskými životy.
Martin Zeman, Ministerstvo zdravotnictví
Můžete stručně popsat, jaké zodpovědnosti spadají do vaší funkce na ministerstvu?
Jsem zodpovědný za digitalizaci zdravotnictví včetně kyberbezpečnosti a digitalizaci úřadů resortu zdravotnictví.
Při své prezentaci jste mluvil o nově připravované strategii. Počítá tato strategie také s vývojem hrozeb a proměnou kybernetického světa? Ten je velmi dynamický a veškeré strategie se mění a upravují velmi dlouhým a složitým procesem. Nebojíte se, že zastará příliš rychle?
Strategie je nová právě v tom, že reaguje na prudký vývoj kybernetických hrozeb a zahrnuje do své působnosti celé zdravotnictví, ne jen prvky pod Zákonem o kybernetické bezpečnosti. Celkově vnímáme strategii kybernetické bezpečnosti vedle strategie o digitalizaci zdravotnictví jako nutnou a čím dál důležitější podmínku toho, aby vůbec zdravotnictví digitální být mohlo.
Uvedl jste řadu chystaných změn. Která podle Vás bude mít nejvýraznější praktický dopad?
Tak kromě peněz, těch z veřejných zdrojů bylo totiž dosud na kybernetickou bezpečnost jen minimum, je to důraz na to, aby každý subjekt ve zdravotnictví poskytující zdravotní péči měl návod jak se chovat, aby byl před kybernetickými hrozbami lépe chráněný.
Proces schvalování těchto změn a strategií je poměrně dlouhý, sám jste uvedl, že už je strategie zpožděna. Nemyslíte si, že je celý tento byrokratický proces neefektivní a pouze oddaluje dobu, kdy nemocnice reálně dostanou finanční a strategickou podporu?
Já myslím, že státní správa ve své podstatě je neefektivní, takže to snad ani jiné být nemůže.
Co se týče financí – je nějaká část plánovaných dotací vyčleněna přímo na kyberbezpečnost a na IT, je to v plánu zahrnuto?
Celkově máme dva nejpodstatnější zdroje fi nancí, kde očekáváme pomoc v digitalizaci zdravotnictví, a to je Plán obnovy, kde by to měly být celkem necelé tři miliardy, a z toho necelá miliarda přímo na kybernetickou bezpečnost v pražských nemocnicích. A IROP 2, kde se počítá se dvěma miliardami na kybernetickou bezpečnost a miliardou na další věci v oblasti digitalizace zdravotnictví. Taková jsou naše očekávání.
Za DSM se ptala Daniela Seigová.
