Proč řešit kybernetickou bezpečnost nemocnic

Nemocniční sítě obsahují mimo jiné data vysoce ceněná na černém trhu, proto jsou častým cílem kybernetických útočníků. Navíc mají několik specifik, které jejich ochranu komplikují.

V roce 2020 všech 16 kritických nemocnic tehdy spadajících pod zákon o kybernetické bezpečnosti (ZoKB) nahlásilo kybernetický incident. Útoky se ale samozřejmě týkají i menších zdravotnických zařízení, jejichž ochrana je neméně komplikovaná. Ostatně od začátku roku 2021 pod ZoKB spadají už i menší zdravotnická zařízení, jejich výčet se rozšířil na 46.

Důležitou roli hraje složitá architektura nemocniční sítě, častá zastaralost systémů i nedostatečný počet kvalifikovaného personálu zajišťujících bezpečnost.

Vysoké nároky na zabezpečení kladou i legislativní požadavky. Vedle zákona o kybernetické bezpečnosti a rozšiřujících vyhlášek jsou další zásadní dokumenty i nezávazná doporučení:

• GPDR
• Norma o řízení bezpečnosti informací, ISO 27000
• metodické pokyny Národního centra elektronického zdravotnictví
• Mezinárodní standardy, které shrnují bezpečnostní doporučení v rámci využívání zdravotnických systémů a osvědčené postupy. (ENISA – Cyber security and resilience for Smart Hospitals, MDISS – Medical Device Innovation, Safety & Security Consortium)

V neposlední řadě se do úrovně zabezpečení propisují interní bezpečnostní předpisy. Ty vychází z analýz rizik nebo interních doporučení a požadavků zřizovatele nemocnice na provoz IT v ní.

Informace, jak se Mendel profiluje z pohledu zákona o kybernetické bezpečnosti, najdete v komentářích k již proběhlému webináři o odhalování kybernetických útoků v nemocnicích.

Nejčastější cíle útočníků

V prvních fázích útoků jsou obvykle získávány přihlašovací údaje zaměstnanců nemocnice, přes které se útočníci snaží získat přístupové údaje do VPN nebo do interních a zdravotnických informačních systémů. Všechny tyto systémy obsahují vysoce ceněná data, prostřednictvím kterých může útočník nemocnici vydírat.

Vedle toho jsou pro kybernetické zločince vysoce ceněným artiklem data o pacientech. Cena těchto informací, tedy údaje o člověku a jeho zdravotním stavu, se na černém trhu pohybuje okolo desítek až stovek dolarů za jeden záznam. Oproti tomu pouhé kontaktní údaje, například z napadeného e‑shopu, vychází na jednotky dolarů. Efektivně zpeněžit se dají také data z vědeckých výzkumů.

Existují ale také útoky, jejichž primárním cílem je vyřadit nemocnici z provozu. V případě napadených informačních systémů nedokáže nemocnice načíst zdravotnickou dokumentaci nebo zjistit dostupnost léků a materiálu, v horším případě útok zasáhne i provozní infrastrukturu. Zkrátka není ve finále schopna spolehlivě plnit svou funkci nebo vůbec fungovat.

Specifika vnitřních sítí nemocnic

Vnitřní sítě nemocnic mají specifickou a poměrně komplikovanou architekturu. Kombinuje nejen prvky IT, ale zahrnují i operační technologie specializovaných lékařských pracovišť (například rentgeny) nebo třeba je klimatizace, topení či ovládání žaluzií.

V nemocnici funguje řada různých druhů IT sítí, například:

• zdravotnické sítě, ve kterých lékaři a sestry přistupují ke zdravotnickým dokumentacím, skladovým zásobám a dalším zdravotnickým informacím,
• pacientské sítě, které využívají pacienti a návštěvníci nemocnice,
• sítě soukromých ambulancí, kteří mají od nemocnice pronajatou konektivitu a zároveň mívají přístup do vnitřní sítě k informačním systémům.

To vše je často doplněno častým užíváním zastaralých systémů a nedostatečnou personální kapacitou k zajištění kybernetické bezpečnosti organizace.

Uvedené vlastnosti je však třeba brát jako specifika, se kterými se bezprostředně nedá nic dělat, ale na která je potřeba při zabezpečení myslet. Například některé modality (diagnostická zařízení jako rentgen, ultrazvuk a další), nemocnice nakoupily i před deseti nebo patnácti lety, čemuž odpovídá také úroveň jejich zabezpečení. Od výrobce často nejsou k dispozici potřebné aktualizace, takže ovládání zajišťují zařízení s neaktualizovaným operačním systémem. Výjimkou tak nejsou zařízení s Windows XP, nebo dokonce DOS a zastaralé verze Linuxu, bez kterých by se zařízení nedalo využívat. 

Typická je také situace, že výrobce provede vzdálenou aktualizaci firmware bez předchozího vědomí nemocnice a ráno jsou následně veškerá přihlášení uživatelů neplatná.

Naše zkušenosti z několika desítek nemocnic v Evropské unii i v Asii nám ukázaly, že existuje řada nemocnic s vysokou úrovní kybernetické ochrany. Bohužel ale i ty s velkým množstvím nedostatků, které je potřeba řešit. Všem může GREYCORTEX Mendel pomoci.