Celková úroveň zabezpečenia v zdravotníctve aj jednotlivých nemocniciach a ich schopnosť odolať kybernetickému útoku je na Slovensku nedostatočná – takýto stav konštatuje Projekt strategického rozvoja Národného centra zdravotníckych informácií. Ochrániť infraštruktúru zdravotníckych zariadení, citlivé údaje a najmä životy pacientov by preto mala byť priorita. Odborníci spoločnosti DATALAN vedia podať pomocnú ruku.
Poskytovatelia zdravotnej starostlivosti, nemocnice a polikliniky sú v zložitej situácii. „Ak dôjde k narušeniu bezpečnosti vo firme či výrobnom podniku, najväčším rizikom sú ekonomické straty. V prípade zdravotníckych zariadení však často ide doslova o ľudské životy,“ hovorí René Pavlo, bezpečnostný expert spoločnosti DATALAN. Napriek tomu, že v stávke je veľa, v nemocniciach často nie sú implementované základné bezpečnostné opatrenia. „Kyberzločinci to vedia a preto na tieto nedostatočne chránené ciele bez výčitiek cielia,“ dodáva.
Nemocnice pod paľbou
Slovensko má ešte v živej pamäti útok na Fakultnú nemocnicu v Nitre, kde pred pár rokmi útočníci využili ransomvér WannaCry na zašifrovanie údajov v desiatkach počítačov v celej nemocnici. Odstraňovanie následkov trvalo niekoľko mesiacov a viaceré údaje zostali nenávratne stratené.
Hackerov neodradila ani pandémia – v období, keď sa zdravotníctvo pasovalo s nárastom pacientov s COVID-19, zaútočili napríklad na nemocnicu v Brne. Tá musela rušiť operácie, prevážať pacientov a útok ochromil aj záchrannú službu. Celá nemocnica musela prejsť do offline režimu a nedostupné boli aj všetky databázy.
Útokov však bolo omnoho viac, dáta máme napr. od českého Národného úradu pre kybernetickú bezpečnosť, ktorý len v roku 2020 zaznamenal v šestnástich najväčších nemocniciach až 16 veľkých bezpečnostných incidentov.
Slovensko nie je výnimkou
Rôznym druhom útokov čelia aj zdravotnícke zariadenia na Slovensku. Odborníci DATALANu navštívili viacero nemocníc – medzi inými Špecializovanú nemocnicu Sv. Svorada Zobor, Liptovskú nemocnicu s poliklinikou v Liptovskom Mikuláši, FN Nitra, Dolnooravskú nemocnicu s poliklinikou MUDr. Ladislava Nádaši Jégého Dolný Kubín, či NOÚ. Hoci zaznamenanie presných počtov či typov útokov komplikuje nedostatočné nasadenie detekčných nástrojov zo strany zdravotníckych zariadení, na základe čiastkových analýz či menších implementácií možno vypozorovať spoločné črty.
Ochromiť prevádzku dokáže i DDoS útok, čiže cielené zahltenie servera a následné zneprístupnenie služby.
„Do tretice, slovenské nemocnice čelia aj takzvaným phishingovým útokom, keď hackeri využívajú nepozornosť či sociálne inžinierstvo na to, aby niekto z personálu klikol na nebezpečný odkaz a takpovediac pootvoril dvierka k ovládnutiu celej infraštruktúry,“ hovorí expert.
Situáciu slovenským zdravotníckym zariadeniam komplikoval aj personálny podstav. V mnohých prípadoch má bezpečnosť na starosti jediný človek. Keď ochorel alebo musel ísť do karantény, vznikal akútny problém so zastupiteľnosťou.
„Zatiaľ najväčšie škody napáchali útoky vo forme takzvaného ransomvéru. Ten slúži na zašifrovanie dôležitých dát, pričom za ich odomknutie vyžaduje výkupne, najčastejšie v kryptomenách,“
vysvetľuje odborník spoločnosti DATALAN.
Vieme, kde začať a ako sa brániť
Povinnosť chrániť sa aj v digitálnom priestore vyplýva zdravotníckym zariadeniam z viacerých zákonov. Napríklad Z. o ochrane osobných údajov či o kybernetickej bezpečnosti. V prvom rade je motiváciou záujem chrániť svojich pacientov. Mnohí z PZS však nevedia, ako vôbec majú s ochranou začať.
„Nemožno chrániť, ak nevieme čo. Prvoradý je preto audit kybernetickej bezpečnosti,“ vysvetľuje René Pavlo, ktorý má praktické skúsenosti aj s auditovaním. Spoločnosť DATALAN vie zdravotníckym zariadeniam pomôcť s prioritizáciou problematických oblastí, ponúknuť nezaujatý pohľad a pripraviť návrhy riešení. Skúsení experti dokážu zabezpečiť súlad nielen s platnou legislatívou, ale aj ponúknuť komplexnú ochranu prispôsobenú na mieru konkrétnemu digitálnemu prostrediu. Novinkou v portfóliu je audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora DATALANu. Auditom preveríte úroveň bezpečnosti v organizácii, účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom o kybernetickej bezpečnosti.
„Pri audite sa pozeráme na všetky oblasti – dokumenty, smernice, IT vybavenie a informačné systémy, ale pokrývame i fyzické zabezpečenie a iné vektory možných útokov,“ dopĺňa datalanský expert.
Podľa analýzy Národného centra zdravotníckych informácií trpí zdravotnícky sektor významnou poddimenzovanosťou v oblasti kybernetickej bezpečnosti z hľadiska jednotlivých oblastí, či už funkcií a technológií, no najmä personálneho zabezpečenia.
Riešenie, ktoré ani finančne nebolí
Jednotlivé nemocnice uvádzajú jednak nedostatok odborníkov, no zároveň i nedostatok prostriedkov, aby mohli zodpovedajúce zabezpečenie dosiahnuť.
„Existuje však riešenie – pokrytie bezpečnostných potrieb zdravotníckych zariadení externými spoločnosťami,“
hovorí odborník.
DATALAN založil v roku 2020 Kompetenčné centrum, s cieľom byť zákazníkom ešte viac poruke, vtedy keď to potrebujú. „Dnes DKC ponúka overené a spoľahlivé služby, od bezpečnostného auditu cez ochranu dát a aplikácií, bezpečnosť sietí a koncových bodov až po zabezpečenie komplexnej bezpečnosti vo forme služby,“ vymenúva odborník konkrétne možnosti.
Zdravotnícke zariadenia tak môžu i bez vysokej vstupnej investície jednoducho plánovať svoje výdavky na kybernetickú bezpečnosť. DATALAN v rámci svojho kompetenčného centra dokáže pokryť všetky čiastkové požiadavky. Zariadeniam vie ponúknuť napríklad legislatívou vyžadovaného manažéra kybernetickej bezpečnosti, dodať všetky potrebné technológie a zabezpečiť vypracovanie smerníc.
Úsiliu o zaistenie bezpečnosti pacientov môže ešte lepšie pomôcť prenájom kybernetickej bezpečnosti ako služby. Ide o ideálnu možnosť pre organizácie s chýbajúcimi financiami. Za prijateľný mesačný poplatok zdravotnícke zariadenie získa tím špičkových expertov, ktorí sa postarajú o všetko potrebné a môže sa tak naplno sústrediť na svoje primárne úlohy.