Nemocnice nejen v Česku, ale i velkých západních městech jsou stále v hledáčku hackerů, kteří zablokují data. Jejich zabezpečení totiž zůstávají slabá a útočníci je prorazí. Pak buďto žádají výkupné, nebo zcizená data prodají na darknetu.
Následky kybernetického útoku z října 2023 dodnes napravují specialisté na informační technologie v německé univerzitní nemocnici ve Frankfurtu s více než 8 500 zaměstnanci.
„Tehdy jsme museli rychle odpojit celou nemocniční síť od internetu,“ připomíná tehdejší slova Simona Meiera, traumatologa, ortopeda a člena krizového týmu nemocnice, bruselský list Politico v článku Why hackers love Europe’s hospitals.
Tamní oddělení IT sice reagovalo rychle. Okamžitě odstavilo systém od přístupu k internetu, došlo ke zmrazení databáze a zdravotníci fungovali pomocí tužky, papíru a telefonu.
„Nechtěli jsme jim dát šanci manipulovat s IT systémy,“ uvedl doktor Meier s tím, že přesto hackerský útok a následná reakce nemocnice vážně narušila elektronickou komunikaci celého zařízení.
Neodesílaly se výsledky vyšetření, laboratorních analýz a zdravotníci se nedostali ani k založeným datům o pacientech. A to byl problém, který vykolejil nemocnici z provozu.
„Museli jsme přesunout termíny a odložit některé plánované operace,“ řekl.
A ani teď, více než rok a půl od útoku, se podle doktora Meiera nevrátil systém nemocnice do plného provozu. Přístup k internetu a databázi zůstává omezený. A probíhá nákladná obnova infrastruktury tak, aby podobnému útoku zvládla nemocnice odolat.
Podle bruselského serveru Politico došlo jen ve zdravotnictví v zemích EU v roce 2023 k 309 takovým kybernetickým útokům s cílem získat nebo zašifrovat zdravotní data. A to je více než v kterémkoli jiném kritickém segmentu, upozorňuje.
Proč hackeři tak často útočí na nemocnice
Důvodů napadení nemocnic a dalších zdravotnických zařízení hackery je více dle Christose Xenakise, profesora na katedře digitálních systémů na Univerzitě v Pireus v Řecku.
„Je snadné ukrást u nich data. A to, co ukradnete, můžete prodat za vysokou cenu,“ říká.
Část útoků podle něj připadá na napadení pomocí škodlivého viru [malware], který zašifruje v systému uložená data a znemožní k nim přístup. Tito hackeři obvykle požadují výkupné za odblokování dat. Podle Agentury EU pro kybernetickou bezpečnost [ENISA] tyto útoky ve zdravotnictví převažují. Druhým cílem virtuálních útočníků je získat zdravotní data a následně je zpeněžit na darknetu, nikoli běžné části internetu známé pro své nelegální aktivity. Tam si je mohou koupit zločinci, kteří zdravotní data zneužijí ke krádeži identity, pojistným podvodům nebo vydírání.
„Útoky dosahují dvou cílů: Jedním je získat data a prodat je a druhým je zašifrovat celý systém, narušit celý systém a požadovat peníze,“ shrnuje hlavní důvody kyberútoků na nemocnice Xenakis.
Za obnovení zašifrovaných dat a zablokovaných systémů kriminálníci podle něj požadují i miliony eur. Příkladem jmenuje útok na nemocnici v Barceloně [Hospital Clínic], kde hackeři žádali za uvolnění systému 4,5 milionu dolarů [cca 95,1 mil. Kč].
Mimo finanční dopady upozorňuje Xenakis na velmi vážný důsledek špatně zabezpečených IT systémů v nemocnicích a jejich prolomení virtuálními zločinci. A tím jsou životy a zdraví pacientů. Zmiňuje nedávný případ v Británii, kde kvůli zpožděným výsledkům z vyšetření kvůli hackerskému útoku a dalším souvisejícím faktorům zemřel pacient.
Nemocnice drží obrovské objemy citlivých dat
V posledních letech jsou to hlavně nemocnice, jejichž informační systémy odstaví z provozu útok hackerů. A důvody jsou nasnadě. Jejich zabezpečení je slabé, přitom operují obrovskou datovou základnou s velmi citlivými daty o pacientech. Paradoxem podle specialisty na IT z řecké univerzity je, že je to právě zdravotnictví, v němž se do kybernetické bezpečnosti investuje vůbec nejméně ze všech odvětvích. Podle ENISA operuje v EU jenom 27 procent zdravotnických zařízení specializovaným programem na ochranu před ransomwarem [škodlivý software k zašifrování dat]. A 40 procent jich vůbec neškolí své pracovníky v oblasti IT rizik.
Digitalizace zdravotnictví ukáže tu pravdu online, říká Petr Foltýn
Takový přístup k bezpečnosti uchování zdravotních dat si Xenakis vysvětluje tím, že nemocnice vnímají kybernetickou bezpečnost stálo jako něco, co se jich příliš netýká. A co nechtějí řešit a investovat do toho. Proto ani pracovníci nemocnic nevnímají, že by se v jejich zařízení mohlo něco takového, jako je kybernetický útok na IT systém, odehrát. Tady Xenakis hovoří dokonce o jakési špatné kybernetické hygieně.
Přístup zdravotníků ke kybernetické bezpečnosti ilustruje na příkladu, kdy jej nechal lékař i zdravotní sestra samotného v ordinaci s nikterak zabezpečeným počítačem.
„Kdybych chtěl něco udělat, bylo by to pro mě tehdy hodně snadné,“ říká s tím, že pochybuje o tom, že by jej lékař nebo jiný zdravotník ponechal v místnosti, kde by na stole ležely léky na předpis, například morfium.
Nemocnice dobře chápou rizika, pokud se léky dostanou do nesprávných rukou. Ale stále nechápou kybernetickou bezpečnost, říká v této souvislosti.
„Vzdělávání v oblasti technologií je extrémně nízké,“ dodává Xenakis.
Za prolomení bezpečnosti nemůžou lidé z nemocnice
Podle Sabiny Magalini, která dříve pracovala v církevní nemocnici v Říme, kde čerpaly prostředky EU na zlepšení kybernetické bezpečnosti a která tento projekt koordinovala, přispívá ke slabé kybernetické bezpečnosti vysoká fluktuace personálu v nemocnicích. A dále nízké investice do školení a hodně práce v nich mimo zdravotní péči.
„Nemocnice není jaderná elektrárna. Je to jako s přístavem, lidé přicházejí, odcházejí a všechno je otevřené,“ řekla serveru Politico Magalini.
Nástroje eHealth mají být v Česku hotové do poloviny roku 2025
S jejími slovy souhlasí Xenakis. Podle něj je pravděpodobnost, že v nemocnici s více než dvěma tisíci zaměstnanci někdo klikne na phishingový odkaz, vysoká až nevyhnutelná. Říká, že kyberzločinci navíc stále častěji využívají umělou inteligenci k automatizaci útoků, jako je phishing a podvody založené na deepfake. Útoky tak pracovníci jen těžko odhalí.
„Nemůžete z toho ale vinit lidi,“ říká Xenakis s tím, že řešení vidí v inteligentních detekčních nástrojích, které sníží riziko otevření závadné pošty nebo odkazu.
Chybí včasná detekce napadení IT systému
IT expert Xenakis dále říká, že ve zlepšení kyberbezpečnosti zdravotních systémů v EU jsou na tahu národní vlády. Ty na těchto investicích ale stále hodně šetří. A nemá jediný příklad země, která by do zajištění kybernetické bezpečnosti investovala dostatek prostředků. Například v úvodu zmíněná frankfurtská nemocnice, pokud by měla systém včasné detekce, nemuselo by k útoku ani dojít.
Evropský komisař pro zdravotnictví Olivér Várhelyi také tvrdí, že tyto investice musí pocházet od národních vlád.
„Když jdete do nemocnice, vždycky uvidíte ve dveřích ostrahu. Na to jsou peníze, a tak by měly být peníze i na ochranu dat,“ nabídl pohled eurokomisař letos v lednu.
Nicméně nakonec i bruselské orgány, jak se zdá, se do ochrany zdravotních dat přeci jen zapojí. Evropská komise letos v lednu představila „akční plán“ pro kybernetickou bezpečnost nemocnic a zdravotnictví. Tento plán navrhuje zřízení Evropského centra podpory kybernetické bezpečnosti pro sektor zdravotní péče spadající pod agenturu ENISA.
Zároveň nabídne finance na kybernetickou bezpečnost, které umožní zemím EU rozdělovat podporu menším poskytovatelům zdravotní péče na posílení jejich kybernetické odolnosti.
Veronika Táchová
