Kybernetickým útokům by se v případě napadení neubránila přibližně desetina tuzemských nemocnic. Vyplývá to z testování Evropského centra kybernetické odolnosti, které zahrnovalo 156 organizací. Některá zdravotnická zařízení se potýkají až s tisícovkou útoků za rok. V posledních letech jich přibývá a jsou sofistikovanější.
Ke dvěma svým rozsahem zdrcujícím útokům přitom došlo už před pěti lety. Benešovskou nemocnici ransomwarový incident vyřadil z provozu na tři týdny. Škoda tehdy překročila 59 milionů korun a pachatele se od té doby nepodařilo dopadnout.
O několik měsíců později se podobný případ nevyhnul brněnské fakultní nemocnici. Odstavil většinou systémů tohoto zdravotnického zařízení. Obnova těch základních zabrala zhruba dva měsíce a škoda přesáhla 300 milionů korun. Ani tady se nepodařilo zajistit dostatek důkazů, které by postačily k obvinění konkrétního pachatele. O některé údaje přišla nemocnice nenávratně, když je nemohla obnovit ani ze zálohy. Útočníci ji připravili o interní údaje v systému, některá administrativní a ekonomická data nebo objednávkový systém u dárců krve.
S malým časovým odstupem pak následoval útok na psychiatrickou nemocnici v Kosmonosech, který zneužil nedostatečně zabezpečená místa na serverech. Podle společnosti Avast se však v tomto případě nejednalo o cílený útok, ale o smutnou shodu náhod, že se obětí stala právě kosmonoská psychiatrie. „Nemocnici jsme pomohli s analýzou útoku a obnovou jejího cloudu, což se povedlo už po deseti dnech,“ napsal Avast na blogu.
Hackeři nejvíc útočili za covidu
Jak ale potvrzuje tehdejší ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a nynější náčelník Generálního štábu Karel Řehka, medializované případy jsou jen špičky ledovce. Útoků na nemocnice bylo mnohem víc a v době sílící covidové pandemie se pokusily destabilizovat už tak zkoušené české zdravotnictví. „Byly to útoky, kde trvalo několik dnů, než zjistili, co tam mají, co je jak propojené a co mohou zapínat,“ poukázal na nedostatky v kybernetické bezpečnosti Řehka.
Senátor Pavel Fischer, který v horní komoře předsedá Výboru pro zahraniční věci, obranu a bezpečnost, se na tyto kybernetické incidenty dívá v kontextu mezinárodní situace, kdy tato napadení nejčastěji přicházejí z ciziny.
„Útok na nemocnici je podle mezinárodního práva válečný čin. A pokud připustíme, že na naše nemocnice někdo útočil v době covidu, kdy jsme je potřebovali, tak bylo naprosto na místě, abychom to řešili jako útok, který se má podle mezinárodního práva řešit,“ zdůraznil Fischer na jednání sněmovního Výboru pro bezpečnost, kam byl pozván, že právě toto fórum by se bezpečnosti mělo intenzivně věnovat. „Tvářit se, že se něco takového nestalo, nás postaví za dveře a budeme řešit jen náklady,“ dodal senátor na adresu zastánců minimalistického přístupu při kyberbezpečnostní regulaci.
Není nemocnice jako nemocnice
Jenže jak upozornil bývalý lékař, dnes poslanec za ANO Jiří Mašek, návrh zákona o kybernetické bezpečnosti z pera NÚKIBu, který má jedním z cílů bezpečnostní standardy sjednotit, používá na zdravotnické zařízení dvojí metr. „Fakultní nemocnice jsou zařazeny mezi poskytovatele služeb na úrovni kritická, zatímco krajské nemocnice jsou o patro níž. Nemyslím si, že by na krajské nemocnice měla platit odlišná pravidla než pro ty fakultní,“ poukázal Mašek na absurdní dvojkolejnost pro nastavení hranice minimální bezpečnosti.
Přitom brněnská nemocnice už v době útoku dodržovala opatření na úrovni, s jakou připravovaný zákon počítá v případě menších nemocnic. I přesto hackerům neodolala. Šlo o cílený útok ransomwaru Defray777. Útočník do systému poslal e-mail, který vypadal věrohodně, a někdo v nemocnici ho otevřel. Pachatel se tak dostal do systému a zašifroval data. Za jejich opětovné zpřístupnění požadoval výkupné. To ale nemocnice vyplatit odmítla.
Ředitel odboru regulace NÚKIBu Adam Kučínský si je vědom toho, že zákonem požadovaná ochrana nemůže být stoprocentní. „Je to podobné, jako když večer půjde člověk přes park a někdo ho přepadne. Máme tady policii, ale stejně se to stává. Důležité je, že ta pravděpodobnost je jen minimální a dopady jsou menší,“ řekl.
Motivací je vidina peněz i citlivých údajů
Zdravotnictví patří mezi sektory, na které hackeři cílí nejvíce. Primární motivací pro ně je finanční zisk. Proniknou do síťové infrastruktury vyhlídnuté nemocnice, zkopírují ransomware na všechny počítače a servery, ke kterým získají přístup, a zašifrují veškerá data. Zařízení tak okamžitě seberou možnost dostat se k datům pacientů, k rezervačním systémům nebo k ovládání zdravotnických přístrojů. Vedle toho ale mohou hackeři těžit i z přístupu k extrémně citlivým údajům o pacientech.
Na černém trhu mají osobní údaje ošetřovaných přibližně pětadvacetinásobnou hodnotu oproti odcizeným číslům kreditních karet. „Cena jednoho pacientského záznamu se na darknetu pohybuje od 5 do 70 dolarů. Při jednom úspěšném útoku mohou uniknout řádově stovky tisíc nebo i miliony různých záznamů. To atraktivitu útoků na nemocnice dále zvyšuje,“ říká Pavel Krejčí z kyberbezpečnostní společnosti CheckPoint.
Zdravotnická zařízení na to reagují zpravidla nasazením nástrojů pro detekci bezpečnostních hrozeb, které například zabrání připojování soukromých neautorizovaných úložišť do nemocniční sítě. A soustředí se i na proškolení zaměstnanců. „Díky obezřetnosti našich zaměstnanců, kteří jsou kvalitně školeni, byl phishing vždy rozpoznán a ke škodě nedošlo,“ řekl k množícím se phishingovým útokům mluvčí olomoucké fakultní nemocnice Adam Fritscher.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
