České nemocnice nemají dostatečně zajištěnou kyberbezpečnost, za poslední rok se situace prakticky nezměnila

S nástupem nového roku musí být prakticky všechny české nemocnice zaregistrovány jako poskytovatelé regulovaných služeb a následně splňovat pevně daná bezpečnostní pravidla. Za rozšíření působnosti zákona o kybernetické bezpečnosti na mnohem více subjektů může implementace evropské směrnice NIS2. Kybernetická bezpečnost v českých zdravotnických zařízeních přitom ale zůstává slabým místem. Podle aktuální analýzy české společnosti ComSource je v průměru zajištěna jen ze třetiny toho, co právní předpisy požadují. Nemocnice navíc často nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb a nejsou dostatečně připraveny reagovat na kybernetické útoky.
„Situace není o nic lepší než před rokem, kdy jsme vydali podobné varování. Naopak – zatímco se diskutovalo o legislativě, čas plynul. Nemocnice se sice snaží, ale mnohdy jen na papíře. Víme naštěstí i o pozitivních příkladech zdravotnických zařízení, která si vzala naši analýzu k srdci a začala intenzivně pracovat na modernizaci své kybernetické bezpečnosti. I tak jsou ale stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu k zajištění bezpečnosti a fungování nemocnice nestačí. Věříme, že rozšíření působnosti zákona o kybernetické bezpečnosti na téměř všechna zdravotnická zařízení bude pro ně dostatečným impulzem, aby kybernetickou ochranu brala vážně. Nejde jen o formální splnění legislativy,“ říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.
Novela zákona o kybernetické bezpečnosti implementující evropskou směrnici NIS2 výrazně rozšířila okruh subjektů, které se jí musí řídit. Tyto subjekty musí splnit řadu povinností a dodržet určité lhůty. Do konce roku se organizace poskytující tzv. regulovanou službu – kam patří právě i nemocnice – musely zaregistrovat u NÚKIB. „Subjekty, které nestihly v daném čase registraci provést, tak mohou stále učinit, ale hrozí jim pokuty až do výše 250 miliónů korun. Registrace ale není jen administrativní záležitost. Jde o to, aby si nemocnice uvědomily, jaký je skutečný stav jejich kybernetické bezpečnosti. Řada z nich to zjišťuje teprve nyní, a to je problém,“ upozorňuje Michal Štusák z ComSource.
Legislativa stanovuje dva okruhy kyberbezpečnostních opatření – organizační a pak samotné technické. Podle poznatků expertů ComSource plní nemocnice v průměru přibližně pouze třetinu z nich – 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.
Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí. Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.
„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem,“ dodává Michal Štusák z ComSource.