Kybernetické útoky na zdravotnická zařízení mohou mít vážné následky pro jejich provozy a následně mohou vést až k ohrožení zdraví pacientů. A problém je, že IT ve zdravotnických zařízeních zdaleka nefungují tak, jak mají.
Nemocniční informační systém [NIS], který je jádrem nemocničních procesů spolu s dalšími systémy a komponenty, by měl být hlavním prostředníkem pro digitalizaci zdravotnictví. V ideálním případě zahrnuje radiodiagnostické databáze, PACS [Picture Archiving and Communication Systems] databáze. Patří do něj ale i docházkové systémy, ekonomické a účetní systémy napojené na vykazování zdravotním pojišťovnám. Ne všude to ale takto funguje. Věc komplikuje ještě jeden háček, a tím jsou kybernetické hrozby.
„Kybernetická bezpečnost se stala klíčovým prvkem pro zajištění plynulého fungování zdravotních služeb,“ říká cybersecurity konzultant společnosti Soitron Ján Benka.
I proto podle něj dbalí vedoucí pracovníci nemocnic aktivně řeší otázky týkající se spolehlivosti informačních systémů. Automaticky počítají s kybernetickými útoky. A aktivně se na ně připravují.
„Stejně jako nemocnice mají připravené plány reakcí na mimořádné situace, jako jsou hromadné nehody, měly by být připraveny i strategie kybernetické bezpečnosti. To jsou ransomwarové útoky, selhání techniky, případně chyby v konfiguracích,“ dodává Benka.
Co potřebují nemocnice v oblasti IT
Podle odborníků nemocnice potřebují plány na minimalizaci dopadů v případě výpadku. Musejí rychle reagovat na nastalé situace, jako jsou problémy se sítí nebo celým NIS.
„Klíčové je věnovat pozornost budování a udržování plánů kontinuity činností [BCP] a plánů obnovy [DRP], identifikovat a hodnotit hrozby a scénáře, které mohou ovlivnit schopnost nemocnice poskytovat kvalitní péči,“ tvrdí Ján Benka.
Pět klíčových kroků pro tvorbu BCP a DRP plánů
- Analýza funkčního dopadu – identifikace kritických procesů a systémů a stanovení časových rámců obnovy činností. Tento krok je klíčem pro řízení kontinuity činností.
- Celkové IT prostředí – identifikace aktiv, hledání vzájemných vztahů a závislostí mezi aktivy a procesy, identifikace potenciálních míst selhání. Je důležité vědět, na jakých prvcích IT závisí naše kritické procesy a systémy.
- Identifikace hrozeb a definici scénářů – zaměřit se na hrozby, které mohou negativně ovlivnit běžné fungování organizace, nejen v oblasti IT technologií, zvážit oblasti ohrožení, jako je nedostupnost personálu a pracoviště.
- Definice reakčních plánů – podrobný popis kroků obnovy, zodpovědností, spolupráce týmů a dodavatelů, komunikační strategie a další aspekty.
- Testování a vylepšování plánů – pravidelné testy plánů pomocí simulací s praktickým nácvikem dle předem definovaných scénářů. Velmi důležité je po provedení jednotlivých testů zhodnotit, co bylo přínosné, co nepodchycené a následně plány upravit.
„Každý zaměstnanec by měl vědět, co dělat i v extrémních stresových situacích, kdy dochází k neočekávanému nárůstu počtu pacientů/zahlcení čekárny pacienty a tento případ vyžaduje rychlé řešení,“ doplňuje cybersecurity konzultant.
Je nejvyšší čas jednat, říká odborník
Podle něj je ale problém, že zdravotnická zařízení mnohdy nemají vypracované plány kontinuity činností a plány obnovy provozu zohledňující i kybernetické hrozby. To přesto, že riskují fatální dopady na chod zařízení, a tak i na pacienty.
„Není na co čekat. Je důležité předejít nefunkčnosti zdravotního systému nebo jeho výraznému omezení, podobně jako to bylo během pandemie covid-19,“ vysvětluje Benka.
A dodává: „Pokud zdravotnické zařízení nedisponuje potřebnými znalostmi v této oblasti, nabízejí se služby zkušených externích konzultantů. Klíčem ale zůstává získání podpory vedení zařízení. Bez něj to nepůjde, ale je-li, pak už jen stačí začít jednat.“
–Adman’s Choice–
