Není ničím výjimečným, když nemocnice má v jedné IT síti zapojený ultrazvuk, osobní počítač lékaře a televizi pro pacienty, říká Jan Váša, specialista na kybernetickou bezpečnost společnosti Eviden, v rozhovoru pro Zdravé zprávy.
Kyberbezpečnost je dnes často skloňované téma, chránit se musí jednotlivci i firmy. V čem je jiné zabezpečení nemocnic?
Zdravotnická zařízení jsou z hlediska bezpečnosti velmi specifickým prostředím. Spojují v sobě vše od fyzické bezpečnosti prostor, které jsou přístupné veřejnosti, přes ochranu skutečně velmi citlivých osobních údajů až po zabezpečení důležitých zařízení připojených k nemocniční sítí nebo internetu. Každá chyba, každé zaváhání i každé přehlédnuté riziko může mít významný dopad na péči o pacienty i jejich zdravotní stav.
Jak se útočníci do nemocničních sítí dostávají?
Kybernetické útoky nepřicházejí pouze prostřednictvím informačních technologií a služeb jako e-mail nebo web, ale také stále častěji přes zdravotnickou techniku a různá další zařízení připojená k nemocniční síti. Ty jsou pak bez odpovídajícího zabezpečení čím dál zranitelnější. Ať už jde o digitální glukometr, infuzní pumpu, plicní ventilátor, ultrazvuk nebo například magnetickou rezonanci. Každé z těchto zařízení dnes obsahuje software, který může obsahovat nějakou skrytou zranitelnost. A jejímž zneužitím může útočník snadno získat přístup.
Jaká je úroveň zabezpečení online zdravotnických prostředků v nemocnici?
Podle výsledků výzkumu, který jsme dali českým nemocnicím k dispozici, více než polovina současné techniky v nemocnicích obsahuje kritické zranitelnosti. Útočníci ji velice rychle napadnou. Většina zdravotnických zařízení dosud nemá jasnou představu, jaká aktiva – zdravotechniku a další non-IT technologie – má ve své síti připojena. Natož jaké obsahují zranitelnosti a jaká je jejich míra zneužitelnosti hackery. Přitom v případě úspěšného kyberútoku může být ohrožena nejen důvěrnost a integrita dat, která jsou v případě nemocnice obzvlášť citlivá, ale také dostupnost a kvalita péče. Což má přímý vliv na bezpečnost a zdraví pacientů. Zkrátka, nejde tu o peníze, ale o životy.
Obavy se naplnily. Nemocnice nemají zabezpečení
O jakém výzkumu mluvíte?
Výzkum Ponemon Institute provedl v amerických nemocnicích. Abychom zjistili, jak na tom jsou z tohoto pohledu české nemocnice, v několika zdravotnických zařízeních v Čechách i na Moravě jsme implementovali do reálného běžného provozu nové bezpečnostní řešení určené právě pro monitoring a ochranu zdravotechniky. Pracovníci IT oddělení, síťaři a zejména bezpečnostní specialisté tak získali ucelený zdroj informací o stavu infrastruktury obsahující detailní pohled na veškerou připojenou techniku nad rámec IT.
A výsledek?
Obavy se bohužel naplnily. Výsledky prokázaly, že diagnostická, medicínská a další technika používaná v nemocnicích v ČR obsahuje vysoký počet zranitelností obdobně závažných nebo stejných, jako jsou ty v USA. Velmi často jde o ty nejdražší zdravotnické přístroje, u kterých by se dala očekávat určitá míra zabezpečení.
Kdo za tuto zranitelnost nese odpovědnost? Nemocnice, dodavatelé…?
Určitě ne hlavně dodavatelé. Přístroje bývají nesprávně nastavené anebo chybně zapojené do sítě. Nezřídka dochází k tomu, že je ve stejné síti zapojen například ultrazvuk, počítač lékaře, který používá i pro osobní účely, a televize pro pacienty. To je velice rizikové. Například i přes tu chytrou televizi může dojít ke kompromitaci nemocniční sítě a zavlečení malwaru, tedy škodlivého kódu. Odsud je už jen krůček ke kybernetickému incidentu. Potíže způsobuje také pronajatá nebo vypůjčená zdravotnická technika, která není z pohledu kybernetické bezpečnosti nikým prověřená, správně nastavená a připojená do sítě. V některých případech lze rizika zcela odstranit nebo alespoň významně zmírnit důslednou instalací nejnovějších verzí napravujících známé zranitelnosti přímo od dodavatele či výrobce. Ne vždy je to ale možné. Zdravotnické přístroje jsou totiž specifické svým dlouhým životním cyklem. Jejich využití často o řadu let přesáhne dobu, po kterou výrobce poskytuje aktualizace a technickou podporu.
Správné zapojení a ochrana
Jaké je řešení problémů?
To „nejmenší“, co lze udělat, je zavedení kyberbezpečnostních standardů pro pořizování, připojování a používání zdravotechniky v nemocničních sítích, a jejich důsledné dodržování. Dalším je zavedení platformy, která nepřetržitě monitoruje provoz v nemocniční síti, průběžně identifikuje veškerou zdravotechniku a její stav nejen z hlediska bezpečnosti, a poskytuje návod, jak zjištěná rizika efektivně ošetřit. Slova nepřetržitě a průběžně bych chtěl zdůraznit, to je opravdu důležité. Jednorázová, byť periodicky opakovaná kontrola či test může poskytnout zprávu o stavu v danou chvíli, ale nemocnici neochrání. Ze zkušeností vyplývá, že až 80 procent rizik lze zmírnit pomocí takzvané segmentace sítí.
Co představuje segmentace sítě?
Segmentace je metoda vytvoření bezpečných síťových zón. Ta umožní veškerá zařízení v síti logicky uspořádat, vzájemně je izolovat a individuálně zabezpečit. Například v jednom segmentu mohou být IP kamery, v jiném glukometry, v dalším třeba jen jedno zařízení – například CT. Větší granularita [úroveň detailu daného datového souboru, pozn. red.] znamená bezpečnější síť, a tudíž větší odolnost proti útokům. My ke zmapování, analýze a vyhodnocení provozu v nemocniční síti využíváme platformu Cynerio. Ta útoky navíc i detekuje a reaguje na ně. Funguje jako mozek celého komplexního systému, využívá umělou inteligenci. A nutno dodat, že klíčové je i shromažďování podrobných forenzních dat pro vyšetření případných incidentů, například ze strany Národního úřadu pro kybernetickou a informační bezpečnost.
Specifika nemocnice a nároky na zaměstnance
Každá nemocnice je jiná, jak se s tím vypořádáváte?
Modularita a licenční podmínky námi používané platformy nám umožňují se individuálně přizpůsobit danému prostředí. Je to také o přístupu vedení nemocnice i finančních a personálních zdrojích. Digitalizace a s ní spojené zabezpečení je dlouhodobý proces, navíc financovaný z veřejných zdrojů. Proto jde bohužel spíše o postupnou evoluci než o rozhodné zavádění užitečných novinek. Každopádně termín implementace EU směrnice NIS2 a s tím spojené novelizace zákona o kybernetické bezpečnosti se blíží. Dříve nebo později se tím budou muset zabývat všechny nemocnice. Dobrou zprávou je, že tyto projekty lze nyní financovat z Národního plánu obnovy.
Co znamenají nová bezpečností opatření pro zaměstnance nemocnice?
Nezbytné je průběžné vzdělávání a opakované prověřování úrovně bezpečnostního povědomí veškerého personálu zdravotnických zařízení. Platí to pro pracovníky v administrativě, sanitáře, sestry a lékaře i vrcholové vedení nemocnic. Zařazení kyberbezpečnosti na úroveň BOZP, PO nebo školení řidičů je zatím v říši snů, bohužel.
Jakou roli v tom všem hrají IT oddělení nemocnic?
Pokud jde o pracovníky IT oddělení, síťaře a kyberbezpečnostní týmy, tak rostoucí nároky je mohou snadno zahltit. Nelze řešit vše najednou a je třeba dodržovat zásadu přiměřenosti. Pokud jsou nová opatření zaváděna vhodným způsobem, tedy s využitím integrace jednotlivých systémů a jejich automatizace, uvolní jim ruce. Mohou se soustředit na to hlavní – zajištění hladkého a bezpečného provozu ICT.
–DNA–
