ComSource: České nemocnice nejsou dostatečně zabezpečené, hackeři ohrožují provoz i pacienty

Společnost ComSource zjistila, že kybernetická bezpečnost je v českých nemocnicích zajištěna v průměru přibližně jen ze třetiny toho, co definuje příslušný zákon. Tím se přitom musí řídit všechny velké nemocnice a v brzké době po implementaci směrnice NIS2 se povinnost rozšíří prakticky na všechny.

Nemocnice podle analytiků většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů. Nejsou tak dostatečně připraveny reagovat na kybernetické útoky, což může mít negativní dopad na jejich fungování, ale i ohrožovat data a zdraví pacientů.

„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí,“ říká Michal Štusák, spolumajitel společnosti ComSource.

„O to více nás překvapuje stávající realita. Nemocnice sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu nestačilo k zajištění bezpečnosti a fungování nemocnice před pěti lety, natož nyní,“ upozorňuje.

Jen desetina funguje tak, jak má

Legislativa stanovuje dva okruhy kyberbezpečnostních opatření – organizační a pak samotné technické. Podle poznatků ComSource plní nemocnice v průměru přibližně pouze třetinu z nich – 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.

Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí.

Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti. „Často ale chybí pravidelná školení o informační bezpečnosti nebo základních hygienických pravidel online světa,“ říká Michal Štusák.

NIS2 dopadne na všechny

Přečtěte si také:

ComSource: Co přinese rok 2025? Deepfake, zneužití AI i útoky na kritickou infrastrukturu

Zatímco nyní se legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic. Ve schvalovacím procesu je totiž nový zákon o kybernetické bezpečnosti, který do českého práva implementuje evropskou bezpečnostní směrnici NIS2, a který rozšíří povinnost dostatečné kyberbezpečnostní ochrany na mnohem větší počet subjektů.

„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl,“ vysvětluje Michal Štusák.

„Nebo potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem,“ uzavírá.

Zdroj: ComSource