České nemocnice mají problém splnit požadavky zákona o kybernetické bezpečnosti. Na obzoru se ale rýsuje aspoň částečné řešení. Překvapivě nepřichází z vlády, ale úplně zespodu – od nemocnic.
Dušan Chvojka vede tým informatiků v Nemocnici Na Homolce. Ta má méně než 800 lůžek, a kyberzákonem se tedy řídit nemusí. Před hackery je však také zranitelná a útoky se jí nevyhýbají. Chvojka proto jménem nemocnic žádá vládní úřady, aby jim s kyberochranou pomohly.
"Lze použít analogii s ochranou vzdušného prostoru nad Českou republikou. Zajišťuje ji jedno řídicí středisko v Jenči," popisuje Chvojka, který se kromě informatiky věnuje také letectví a horské turistice.
Právě při leteckém pohledu na české nemocnice se myšlenka zrodila. "I zdravotnictví by mělo mít jedno dohledové centrum, které bude řídit kyberprostor a výměnu zdravotnické dokumentace," přibližuje obrysy projektu. Slibuje si od něj, že ušetří náklady a problém s nedostatkem odborníků. Podle zákona by už dnes každá nemocnice měla takové centrum mít a zaměstnávat strážce kyberprostoru na plný úvazek.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článekChvojkova iniciativa má pozitivní odezvu. Na svou stranu už získal nejvyšší muže českého IT. Podporuje ho Karel Řehka, šéf Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), dále Vladimír Dzurilla, vládní zmocněnec pro IT a současně ředitel Národní agentury pro komunikační a informační technologie (NAKIT), a také Vladimír Rohel, ředitel bezpečnosti v NAKIT. Agentura zajišťuje digitální bezpečnost pro záchranné složky a veřejnou správu, například pro ministerstvo vnitra.
Nová strategie jen pro nemocnice
Na první pohled to vypadá jako příběh sci-fi filmu Fantastic Four (Fantastická čtyřka), kde se čtveřice hrdinů rozhodne využít své schopnosti k tomu, aby překazili plány záporáků útočících proti lidstvu. Tentokrát ale nemusí zůstat jen u smyšleného příběhu.
Česká čtveřice pracuje na strategii, která by mohla od základu změnit systém kyberochrany českého zdravotnictví. V roli záporáků stojí hackeři, kteří nedávno předvedli, že svými útoky dokážou nemocnicím přivodit velké problémy. Plán stojí na třech pilířích. "Prevence, detekce, reakce," shrnuje Chvojka z Homolky.
"Běží tady super iniciativa a myslím si, že máme opravdu dobrou diskusi. Vznikla nějaká idea, jak by to mohlo vypadat. Ještě si ale musíme mnoho věcí ujasnit," říká brigádní generál Řehka, který od letošního roku stojí v čele NÚKIB.
"Vnímáme, že na bezpečnost je vždycky málo peněz a lidí, kteří by to dokázali dělat. Nedává tedy vůbec smysl, aby si to každé zařízení dělalo po svém. Proto to chceme co nejvíce propojit, aby nemocnice vykonávaly ty činnosti společně," přitakává Dzurilla z NAKIT. Především na něm bude, aby pro projekt vyjednal podporu u vlády a premiéra Babiše.
Projekt nebude zadarmo. Hrubé odhady ukazují, že stát bude muset investovat stovky milionů korun. Vše záleží na tom, kolik nemocnic se zapojí a jak rychle by se dohledové centrum rozrůstalo.
Dzurilla je odhodlaný si u premiéra o peníze říct. "Určitě to musíme začít řešit. To znamená, že jsem samozřejmě připraven jednat. Jestli si budeme stoprocentně jistí tím, že děláme dobrou věc, že ty peníze směřují do toho, kde je potřeba, tak se o to rozhodně budeme snažit," tvrdí Dzurilla.
Nechce však nic uspěchat. Premiér Babiš o plánu prý už ví, ale o penězích se zatím nebavili. "Chceme jít skutečně od začátku. Jednání o těch penězích v daném rozpočtu netrvá až tak dlouho. Výsledek ale je, že buď je máte, nebo je nemáte," míní Dzurilla. Aby uspěl, musí vysvětlit, kam půjde každá koruna. Zároveň věří, že strategie půjde financovat z evropských fondů.
"Musíme na začátek přinést koncept, abychom dokázali vyhodnotit, na co peníze požadujeme. Nelze rozdávat jen podle toho, kdo si o co řekne," míní Dzurilla, který by chtěl mít hotové podklady do půl roku. Vláda by pak měla koncepci zahrnout do rozpočtu na rok 2021.
Kyberútok na české nemocnice dává smysl. Ve válce chcete útočit na nejslabší místa, říká generál Řehka
Větší tlak na nemocnice
Chvojka a spol. teď připravují "návod", lépe řečeno knihu standardů, která přesně popíše, co mají nemocnice dělat, aby jejich ochrana odpovídala úrovni dnešních kyberhrozeb. I taková základní věc v Česku zatím chybí. Existuje pouze zákon o kybernetické bezpečnosti z roku 2017 a na něj navazující vyhláška. Ty ale necílí přímo na nemocnice. Zároveň jsou závazné pouze pro 16 největších zařízení, dalších asi 230 si bezpečnost buď řeší po svém, nebo se jí vůbec nezabývají.
"V některých nemocnicích je IT skutečně na úrovni uklízecích služeb. Prosadit změny u vedení je těžké. To se většinou týká menších nemocnic, tam se upřednostňují investice do medicínských přístrojů spíše než do IT technologií," popisuje ajťák Chvojka zkušenosti z praxe.
S tím by podle Dzurilly měly pomoci standardy s razítkem obou bezpečnostních agentur. "Ředitelé IT a bezpečnosti se na to mohou odvolávat, když budou chtít investice. Mohou ovlivňovat své šéfy, zřizovatele a tak dál. Mohou říci: Dívejte se, hrozí nám nebezpečí, nesplňujeme ani standard, který doporučují NÚKIB a NAKIT," plánuje Dzurilla.
Podle něj by se také mělo změnit, že pravidla pro kyberbezpečnost dnes zavazují jen 16 zařízení. "Všechny nemocnice spravují ta nejcitlivější data – o pacientech. Jsou to data každého z nás. Takže každá nemocnice by měla z hlediska bezpečnosti fungovat relativně stejně," je přesvědčený Dzurilla. Nemocnice si tak možná budou brzy muset poradit s vyššími bezpečnostními nároky a náklady.
Podle Karla Řehky je na zamyšlenou i změna zákonných kritérií. Hodnotit význam zařízení pouze počtem lůžek nemusí být dostatečné. Zatím však není jisté, zda bude kyberzákon závazný pro více nemocnic.
"Nebudu teď říkat jestli jo, nebo ne, protože tu odpověď nemám. Regulace je ale určitě jedna z oblastí, na kterou se musíme podívat," upozorňuje Řehka. Zohledňovat by se prý mohla spádovost daného zařízení. "Nemocnice může mít třeba méně lůžek, ale je důležitá, protože široko daleko žádná jiná není. Kdežto další může mít více lůžek, ale dá se v případě útoku nahradit jinou nemocnicí. To však musí rozhodnout odborníci z oboru zdravotnictví," vysvětluje Řehka.
Ajťáci i vedení dostanou vojenský výcvik
Skončit by mělo také nízké povědomí o kyberhrozbách. Management i ajťáky čeká výcvik jako na vojně. Kyberúřad připraví školení zaměřené speciálně na útoky v nemocnicích.
"Nasimulujeme vypnutí nemocnice. Úplný IT blackout. Budou se muset svolat na danou hodinu, a to ne v pracovní den, ale třeba v 10 hodin o víkendu. Většina manažerů nemá tušení, jak v takové situaci nemocnici řídit," vysvětluje Chvojka z Homolky.
To potvrzuje i Vladimír Rohel, vedoucí bezpečnosti v NAKIT a vzpomíná na kyberútoky z roku 2013, které v Česku zasáhly komerční sektor. "Když začaly kulky létat a střílelo se nad hlavami, tak vznikla neskutečná panika. Management s tím neuměl vůbec pracovat. Ajťáci potřebovali klid, vedení ale chtělo informace. Ten zážitek byl naprosto neuvěřitelný, bylo však třeba s tím začít rychle pracovat. Protože křivka zapomínání se aktivuje velmi rychle," míní Rohel.
Kyberúřad školení pro nemocnice nebo analýzu zranitelností počítačových systémů nabízí už dnes. Podle Řehky o to ale zatím není velký zájem. "Pandemie a kyberútoky, které jsme zažili, byly trošku probuzení. Netroufám si říct, jestli to už je, nebo není dostatečné. Je přirozené, že lidé se rychle oklepou a zapomínají, ale začalo se o tom daleko více komunikovat a probíhají různé konference," uvádí Řehka.
Podle něj si lidé prostě musí zvyknout, že kyberbezpečnost patří k manažerské odpovědnosti. "Úplně stejně, jako když šéfujete nějakému podniku. Musíte dodržovat požární pravidla, mít v budově bezpečnostní čidla nebo vědět, že nemá narušenou statiku," dodává Řehka.
Kyberochranka i jednotka rychlého nasazení
Najmout si na ostrahu nějakého objektu profesionální firmu je dnes běžné. Zaměstnanci bezpečnostní agentury obchází areál ve dne v noci. Když se objeví zloděj, buď si s ním sami poradí, nebo zavolají policii. Majitel areálu za ostrahu platí měsíční poplatek. Přesně tak by podle "IT čtyřky" měla vypadat i ostraha kyberprostoru nad českými nemocnicemi.
Stát vycvičí skupinu odborníků pro zdravotnictví. Ti budou 24 hodin denně, sedm dní v týdnu sedět ve společném dohledovém centru a dohlížet na datový tok v počítačových sítích. Pokud zjistí, že se do systémů snaží někdo nabourat, nebo zaměří nějakou jinou hrozbu, okamžitě vyšlou nemocnicím varování.
Součástí "kyberochranky" by měla být i jednotka rychlého nasazení, která bude v nemocnicích zasahovat v případě útoku. Složená bude z pracovníků obou bezpečnostních agentur, ale pravděpodobná je i spolupráce se soukromým sektorem a dobrovolníky z českých univerzit. "Zapojili bychom je jako takovou aktivní zálohu," přirovnává Dzurilla ke konceptu, kterým dobrovolníky dnes využívá česká armáda.
"Musíme to složit ze znalců, kteří rozumí těmto typům hrozeb. Potřebujeme tam mít analytiky, kteří mají přesné informace o tom, co se v síti děje, protože tu hrozbu předtím detekovali," popisuje jednotku Rohel z NAKIT. Podobný model už dnes zajišťuje právě pro ministerstvo vnitra. "Jednotka rychlého nasazení přijde do nemocnice a měla by zvládnout incident řešit. A třeba k tomu přizvat i komerční partnery. Jsou některé odborné věci, které stát nebude mít nikdy, protože se mu nevyplatí si je pořizovat," doplňuje Rohel.
Projekt, se kterým by chtěl Dzurilla koncem roku předstoupit před premiéra, budou přes prázdniny testovat v několika nemocnicích. Výsledky pilotní verze by měly být známy na podzim. Ministr zdravotnictví Adam Vojtěch (nestr. za ANO) už v rozhovoru pro HN řekl, že takové řešení podporuje. Prý by na pomoc uvolnil i pracovníky z ministerstva.
