Počet kybernetických útoků ve zdravotnických zařízeních roste, útoky jsou stále sofistikovanější. Odpovědí je nová směrnice NIS2, která si klade za cíl zvýšení bezpečnosti moderních zařízení i podpůrných systémů. Co a jak se přesně mění. Kdo je za co zodpovědný?
NIS2 kybernetická bezpečnost zdravotnická zařízení citlivá data
Evropská směrnice NIS2 (Network and Information Security Directive 2) představuje významný krok směrem k posílení kybernetické bezpečnosti v různých odvětvích ve členských státech Evropské unie. Je aktualizací směrnice NIS z roku 2016, která již před 8 lety zavedla první požadavky na zabezpečení sítí a klíčových informačních systémů. Směrnice NIS2 tyto požadavky pouze rozšiřuje, a reaguje tak na stále rozšířenější kybernetické hrozby. Zaměřuje se na posílení odolnosti kritické infrastruktury vůči kybernetickým útokům, zavádí přísnější požadavky na správu rizik a incidentů a posiluje dohled nad bezpečnostními opatřeními v celé EU.
Směrnice má zásadní vliv na tradiční kritická odvětví, jako je energetika a doprava, ale také právě na zdravotnictví. Je to jednak stále častějšími a sofistikovanějšími útoky, ale také tím, že je obzvlášť zranitelné a v mnohých ohledech (jak ukazují další odstavce) velmi specifické.
Nemocnice – nenahraditelný nonstop
Zdravotnictví vždy bylo, je a bude považováno za sektor s vysokou mírou citlivosti. A to jak z hlediska ochrany osobních údajů, tak z hlediska nutnosti zajištění nepřetržitého fungování. Nemocnice a jiná zdravotnická zařízení musí fungovat 24/7 a jakékoliv narušení jejich provozu, znemožnění přístupu k datům, nebo omezená možnost zobrazování výsledků z lékařských přístrojů může mít okamžité a závažné důsledky, v krajním případě i dopad na životy pacientů.
eHealth – riziko nebo příležitost?
S citlivostí dat souvisí i dlouhodobá diskuze o správné míře otevřenosti zdravotnických dat. Na jedné straně stojí potřeba maximální ochrany osobních údajů, jež obsahují citlivé informace, jako jsou diagnózy, léčebné postupy a osobní anamnézy. Na straně druhé ale existuje silný tlak na otevírání dat a zvyšování jejich dostupnosti pro zdravotnické pracovníky, výzkumníky i veřejné zdravotní organizace s cílem zvýšení efektivity léčby, rychlejšího rozhodováním při diagnostice, minimalizace rizika chybné medikace nebo opomenutí důležitých informací o pacientovi. Otevřenost dat má významný potenciál i pro zlepšení kvality zdravotnického výzkumu. Nicméně najít rovnováhu mezi těmito dvěma cíli (tj. chránit soukromí pacientů a zároveň umožnit využití dat k zajištění lepšího zdravotnického systému), není vůbec jednoduché.
Šedé IT a chaotický výzkum
Jeden z velkých problémů ve zdravotnictví je takzvané šedé IT. Výzkumné projekty, granty, dotace nejsou koordinovány s IT oddělením. Dnes už prakticky neexistuje moderní přístroj, který by nějakou formou nezasahoval to ICT technologií. Důsledkem jsou pak různá provizorní a polovičatá řešení.
Tento chaotický přístup představuje velká potencionální bezpečnostní rizika, ale v konečném důsledku omezuje i využití moderní techniky. Nadšení na jedné straně tak naráží na realitu standardních bezpečnostních požadavků (například v oblasti zálohování) a technologické limity dané infrastruktury.
Moderní systémy uprostřed ničeho
Svou roli ve zdravotnických zařízeních hraje i nedostatek finančních zdrojů. Nemocnice jsou většinou v nějaké formě závislé na státu (příspěvkové organizace Ministerstva zdravotnictví nebo akciové společnosti krajů), což do jisté míry limituje i jejich možnosti v oblasti zabezpečení.
Dotace a granty jsou často určeny jen na zdravotnické vybavení a není možné do nich zahrnout náklady na ICT. A až když se objeví výzva určená výhradně na ICT, tak se „lepí“ starší nedostatky.
Aby se to celé nerozpadlo, je nezbytné mít a dodržovat koncepci rozvoje kybernetické bezpečnosti a ICT obecně. Soutěžení výhradně na cenu, kde „každý pes - jiná ves“, je cestou do kybernetického pekla. Cestou, jak vyjít s omezenými finančními prostředky, je důsledně koncepční přístup.
Závislost na informačních technologiích
Zdravotnická zařízení jsou dnes souborem moderních přístrojů, informačních systémů, databází, serverů a firewallů atd., které spolu komunikují v rámci i vně nemocnice. Sjednocení pravidel napříč všemi systémy není často vůbec jednoduché. Vedle toho roste využívání cloudových řešení pro správu a ukládání dat. Mnoho nových přístrojů funguje v online režimu, a poskytuje tak lékařům data v reálném čase. To umožňuje okamžitou reakci na změny zdravotního stavu pacienta a může zachránit životy. Cloudová řešení jsou pro pacienty velkým přínosem, protože zajišťují rychlý přístup k datům odkudkoliv. Nicméně i to zvyšuje nároky na kybernetickou bezpečnost a je třeba zavést přísná pravidla pro šifrování a bezpečnost dat v cloudu.
Trvale působící hrozby a lidský faktor
Pro sektor zdravotnictví je typický i soubor tzv. trvalých hrozeb. Hrozeb, které přichází trvale z venku a nemocnice je nedokážou vyřešit. Patří sem hrozby související například vysokou fluktuací na některých pozicích (zejména z řad sanitářů a dalšího podpůrného personálu). Hrozby související s fyzickou bezpečností. V každé nemocnici se ze své podstaty pohybuje velké množství lidí, pacientů, doprovodu. Trvale tak hrozí vysoká míra incidentů jako poškození, drobné krádeže. Ochrana kritických prostor z pohledu lékařské péče a ICT vyžaduje řadu opatření, ale ve veřejnosti přístupných prostorách je to skutečně neřešitelné.
Novinky pro sektor zdravotnictví v důsledku NIS2
Pozitivní zprávou je to, že většina významných českých zdravotnických zařízení má s kyberbezpečnostní agendou již zkušenosti a ke klíčovým systémům si již zpracovala bezpečností dokumentaci. Je to odpověď na požadavky stávajícího zákona o kybernetické bezpečnosti.
Směrnice NIS2 v tomto ohledu nepřináší žádné velké změny a zařízení mohou zůstat u stávající dokumentace. Problém může nastat pouze u menších zařízení, které doposud nespadala mezi povinné subjekty a nově spadat budou. Jde například o některé psychiatrické kliniky, LDNky, velké domovy důchodců, či například zařízení se speciálními laboratořemi. Všechny tyto nové subjekty budou muset zpracovat bezpečnostní dokumentaci, což může trvat i několik měsíců!
Co se ale mění i pro již zapojené subjekty, je rozsah obsahu řízení bezpečnosti a změny kompetencí. Zatímco doposud stačilo vypracovat dokumentaci ke třem až čtyřem klíčovým systémům, nyní bude třeba řešit stejným způsobem i všechny systémy podpůrné. Systémy, které v nemocnicích vznikají často velmi neorganizovaně, až chaoticky, si s sebou nesou nějaký historický vývoj. Kromě toho NIS2 rozšiřuje požadavky i na dodavatele a nově bude povinná analýza dodavatelského řetězce.
Klíčové nemocniční systémy
V každém zdravotnickém zařízení vždy funguje několik klíčových systémů, které jsou pro dané subjekty zcela zásadní. Jsou podrobovány pravidelným kontrolám, neboť jejich výpadek by měl fatální důsledky na funkčnost celého zařízení. U těchto systémů nedochází v důsledku přijetí směrnice NIS2 k žádným zásadním změnám – za předpokladu, že je k nim již vypracována bezpečnostní agenda splňující požadavky aktuálně platného zákona o kybernetické bezpečnosti.
Mezi tyto klíčové systémy patří zejména Nemocniční informační systém, prostřednictvím kterého nemocnice spravují veškeré administrativní úkony spojené s péčí o pacienta, včetně jeho přijetí, ošetření a následné péče. Klíčovým prvkem je také systém PACS (Picture Archiving and Communication System) sloužící k ukládání a správě obrazových dat, jako jsou RTG, CT nebo MRI snímky. Tyto snímky jsou dnes ve většině zdravotnických zařízeních už pouze elektronické a lékaři bez nich nemohou provádět důležité lékařské úkony, včetně operací. Dále sem patří lékárenský systém na sledování zásob léčiv a zajištění správné distribuce v rámci zařízení či například systémy na vlastní výrobu léčiv.
NIS2 a rozšířená kompetence
Zdravotnická zařízení budou nově muset (na základě nového zákona o kybernetické bezpečnosti) zahrnout všechny zdravotnické přístroje a další aktiva do svých bezpečnostních opatření. Patří sem klasické lékařské přístroje, jako jsou CT nebo RTG, ale i podpůrné nemocniční systémy. Topení, přístupové systémy, řízení vzduchotechniky, výtahů, čističky odpadních vod, stravovací, bezpečnostní systémy, provoz prádelen atd. Tyto systémy a přístroje jsou často z bezpečnostního hlediska podceňovány. Přibývají a vznikají neorganizovaně, často až chaoticky. Na druhou stranu, jejich výpadek by mohl znamenat vážné narušení chodu zdravotnických zařízení, a proto je třeba je důkladně monitorovat a chránit před kybernetickými hrozbami.
V podzemí nemocnice Motol člověk vstoupí do zcela jiného světa. Roboti (místně zvaní želvy a oficiálně Automatizovaný dopravní systém – ADS) tu zajišťují klíčovou logistiku nemocnice. Systém je pro veřejnost zcela neviditelný, ale v případě jeho selhání by byla kriticky narušena logistika prádla a jídla v rámci celé nemocnice. Systém šetří práci desítek pomocných pracovníků a postupně se rozšiřuje.
Analýza dodavatelů
Dalším klíčovým bodem, na který NIS2 klade důraz, je analýza dodavatelů. Zatímco velké společnosti, které dodávají klíčové zdravotnické přístroje, mají obvykle dobře zavedené postupy kybernetické bezpečnosti, menší dodavatelé často tuto oblast podceňují. Dodavatelé ještě ani netuší nebo si nepřipouštějí, že se jich NIS2 také týká.
Personální zodpovědnost: IT vs. oddělení kyberbezpečnosti
Umístění kybernetické bezpečnosti v organizačním schématu zdravotnických zařízení je klíčovým faktorem pro zajištění efektivní ochrany proti kybernetickým hrozbám a pro splnění požadavků směrnice NIS2. Kybernetická bezpečnost by měla být včleněna do vrcholového vedení zdravotnického zařízení. Čím více zodpovědností a pravomocí oddělení kybernetické bezpečnosti dostane, tím lépe může reagovat na rizika a hrozby, a to jak v preventivním, tak reaktivním režimu. Pořád ale platí, že zodpovědnost nese CEO.
Dále platí, že kyberbezpečnostní agenda by v ideálním případě neměla být součástí IT oddělení. Bezpečnost by neměla být vnímána pouze jako technický problém, ale jako klíčová strategická oblast. Měla by fungovat samostatně a mít svůj rozpočet. Priority ICT oddělení jsou odlišné a v případě organizačního propojení bude většina investic směřovat na provoz IT a bezpečnost získá prioritu až po reálném kybernetickém útoku na nemocnici.
Platí to samozřejmě i naopak. Manažer kybernetické bezpečnosti nesmí zasahovat do ICT provozu nebo dokonce přebírat přímou odpovědnost za provoz některých části infrastuktury. Byť daná technika přímo souvisí s bezpečností.
Role manažera kyberbezpečnosti také není totožná s kvalifikovaným ICT specialistou. Manažer kyberbezpečnosti by měl mít spíše než pokročilé technické znalosti velmi dobré komunikační dovednosti. Měl by umět přesvědčit top management, pracovat pod tlakem, mít strategické myšlení a neměla by mu vadit administrativní práce, které je v kyberbezpečnostní agendě opravdu hodně. Jeho role by měla být podobná spíše projektovému manažerovi.
Odpovědnost na úrovni zdravotnického personálu
Jmenování kyberbezpečnostního manažera/týmu v rámci organizačního schématu nestačí. Klíčová je role garantů aktiv, který určuje parametry provozování dané služby. ICT z tohoto pohledu jen poskytuje vnitřní službu. A rozhodně neplatí, že všechna podpůrná aktiva jsou problémem ICT.
Tipy na závěr
Nespoléhejte na nabídky typu „Tahle krabice za vás vyřeší NIS2“, hodně povinností je více či méně administrativní povahy. Investujte do intuitivního softwaru, který s administrativní stránkou pomůže. Berte v potaz i to, že spravovat desítky dokumentů a excelových tabulek s deseti tisíci řádky je dlouhodobě neudržitelné. Pečlivě vyberte člověka do role manažera kyberbezpečnosti. Pozor na spojení s IT nebo naopak vytváření paralelního IT. Dejte přednost školení vlastních zaměstnanců před výhradním spoléháním na externí poradce a konzultanty. Externisté mohou mít svoji důležitou roli, ale musí je řídit manažer kybernetické bezpečnosti, ne naopak. Výsledkem pak může být kvalitní a velmi podrobná dokumentace, formálně správná metodika, velmi podrobná zpráva. Ale také se může stát, že jím bude složitý soubor zcela mimo realitu provozu, který díky své složitosti nedokáže nikdo udržovat. Mějte pod kontrolou aktuálně otevřené dotační tituly.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Ing. Josef Mynář
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Zbyněk Malý
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
