Když v březnu 2020 hackeři napadli Fakultní nemocnici Brno, zařízení na několik dní paralyzovali. Vyřadili z provozu většinu jejích systémů, nemocnice musela odkládat operace a nemohla se dostat k vlastním digitálním datům. V důsledku toho nefungovala víc než dvacet dní. Obnova jen těch nejzákladnějších systémů trvala zhruba dva měsíce a škoda dosahovala téměř 60 milionů korun. A přesto ještě útok, který se zapsal jako nejvýznamnější tohoto typu v Česku, měl menší následky než jiný v Německu, kde v důsledku kolapsu informačních systémů došlo k úmrtí pacientky.

Oba případy se staly varováním pro celý nemocniční systém. Národní úřad pro kybernetickou bezpečnost od té doby mnohokrát varoval, že počet hackerských útoků v Česku stoupá. A že množství těch směřovaných na nemocniční zařízení se rok od roku rovnou násobí.

Nemocnice i další zdravotnická zařízení schraňují velké množství velmi citlivých informací. Jak osobní údaje, tak lékařské záznamy jsou pro útočníky zajímavou komoditou. Ve chvíli, kdy by je získali, ohrozili by bezpečnost a životy pacientů i chod celého zdravotnického zařízení, nemluvě o velké finanční ztrátě, která se s takovým útokem může pojit.

V posledních letech se s napadením potýkaly Fakultní nemocnice Brno, ostravská a olomoucká fakultní nemocnice nebo Psychiatrická nemocnice Kosmonosy. Ale i další zařízení v Benešově, Praze, České Lípě nebo Janově. A mnohá další.

Řada nejen těch napadených posílila svou obranu a investovala do silnějšího zabezpečení. Zdravotnická zařízení se podle Národního úřadu pro kybernetickou bezpečnost stala po veřejném sektoru druhým nejčastějším cílem útoků. A tak po nich přípravu chce i stát: od října 2024 bude zřejmě platit nová směrnice, na jejímž základě bude povinné, aby nemocnice či sociální organizace měly vyšší IT ochranu.

„Byl zaznamenán pozitivní trend, kdy české nemocnice a zdravotnická zařízení intenzivně pracují na posílení své kybernetické bezpečnosti a daří se jim úspěšně předcházet četným kybernetickým útokům a ochránit své systémy. Přesto je ovšem stále mnoho zařízení, která používají zastaralé systémy a nemají dostatečnou personální kapacitu na to, aby se patřičně ochránila,“ upozorňuje výkonná ředitelka HealthCare Institute Lenka Lunkmoss Černíková.

I podle ní se množství kybernetických útoků v posledních letech zvyšuje. A bude dál růst i v budoucnu vlivem toho, jak se klade důraz na digitalizaci. „Data jsou cenná a kybernetičtí útočníci si jsou toho vědomi, proto se budou snažit hledat stále nové způsoby, jak se k nim dostat,“ říká Lunkmoss Černíková.

HealthCare Institute se dlouhodobě snaží zvyšovat bezpečnost a kvalitu českého zdravotnictví, proto do svého pravidelného hodnocení nemocnic zařadil i kategorii kybernetické bezpečnosti. Využil přitom nástroj RiskRecon od společnosti Mastercard.

Ta spolu s HealthCare Institute sleduje úroveň kybernetického zabezpečení u všech nemocnic s akutními lůžky a u zdravotních pojišťoven. Dřív se připravenost nemocnic posuzovala pomocí dotazníků a rozhovorů, RiskRecon umožňuje kontinuální a velmi podrobný audit kybernetické kondice organizace včetně partnerských organizací v rámci dodavatelského řetězce.

Výsledkem je „známkování“ písmeny. Od „A“ pro ty, kteří jsou nejlépe připraveni, až po „F“ institucí, jež by odolávaly útoku těžko. Z dlouhodobé analýzy Mastercardu vyplývá, že organizace, které v rámci hodnocení RiskRecon mají kybernetické riziko F, mají až čtyřikrát vyšší pravděpodobnost, že u nich dojde k napadení a ztrátě dat.

„Kybernetické riziko je všudypřítomné napříč odvětvími, nejinak je tomu ve zdravotnickém a farmaceutickém sektoru. V posledním období jsou pak na vzestupu kybernetické útoky cílící na zranitelnost třetích stran v rámci digitálního dodavatelského řetězce,“ upřesňuje produktová ředitelka ve společnosti Mastercard Barbora Tyllová.

„Mnohá rizika se dají snížit dodržováním základních pravidel kybernetické hygieny a jejich pravidelným hodnocením,“ doplňuje ji Lukáš Pokorný, ředitel produktů cyber & intelligence Mastercard pro střední Evropu.

„Kybernetické útoky nejčastěji cílí na získávání přihlašovacích údajů zaměstnanců, přes které se útočníci dále snaží získat přístupy do interních či zdravotnických informačních systémů. Pro útočníky jsou velmi zajímavá data o pacientech, kdy v případě, že se jim podaří tato data získat, mohou začít nemocnici vydírat, případně s nimi dále nakládat ve svůj prospěch. Každý takový útok může ohrozit chod nemocnice, lidské zdraví a také životy,“ přibližuje Lunkmoss Černíková.

Vždy je levnější a jednodušší útokům předcházet než je řešit, upozorňují odborníci. Jen náklady, které musí nemocnice vynaložit, aby uvedla vše do pořádku, se totiž můžou pohybovat až ve stovkách milionů korun.

Mastercard a HealthCare Institute loni provedly pilotní testování nemocnic, přičemž zkoumané organizace do procesu hodnocení nijak nevstupovaly. Ke komplexnímu zhodnocení kybernetických rizik nástrojem RiskRecon totiž stačí málo – pouhá přítomnost organizace na internetu, respektive její internetové stránky. Služba automaticky prohledá všechna propojení a testuje dostupné systémy a potenciální slabá místa: webové stránky, e-mailové servery a další systémy, ke kterým se můžou dostat i případní útočníci.

Na prvních příčkách kybernetického žebříčku, tedy mezi těmi, které se dokážou nejlépe proti útokům chránit, se umístily Fakultní nemocnice Plzeň, Oblastní nemocnice Jičín a Česká průmyslová zdravotní pojišťovna. Vysoké skóre zaznamenaly mimo jiné i Fakultní nemocnice Bulovka nebo Nemocnice Jablonec nad Nisou.

Zásadním výsledkem pilotního testování ale bylo zjištění, že v českém zdravotnictví je stále ještě velký prostor pro zlepšování úrovně kybernetické ochrany. Ty organizace, které mají následně zájem, mohou navázat na výsledky průzkumu a s nástrojem RiskRecon a společností Mastercard úroveň svého kybernetického zabezpečení dál rozvíjet. A hodnocení rizik u českých nemocnic a zdravotnických institucí bude pokračovat i v dalších letech.