Je to děsivý paradox: navzdory skutečnosti, že důvěra a důvěrnost jsou ústředním aspektem vztahu mezi nemocnicemi a pacienty, bylo 80 % zdravotnických organizací mezi lety 2016 a 2018 cílem úspěšného útoku, uvádí článek Orange Cyberdefense a Orange Healthcare. Jak můžeme tuto úroveň zranitelnosti vysvětlit a především, jak jí lze čelit?

Data a kritické provozy činí z nemocničního sektoru hlavní cíl

Zdravotnické organizace jsou pro hackery obzvláště atraktivní, protože zpracovávají velmi citlivá data pacientů. Hackeři, ransomware, DoS útoky, „medjacking“ nebo botnety, se pokusí o cokoli, aby narušili přístup k těmto citlivým informacím nebo je dostali do rukou. Data však nejsou pro kybernetické útočníky jediným bodem zájmu. Ze život ohrožujících narušení různých činností zdravotnických zařízení se totiž stává účinný prostředek vydírání, který umožňuje útočníkům získat to, co chtějí.

Strukturální a lidské faktory společně představují velmi reálnou a pro daný sektor specifickou zranitelnost

Jak je možné, že systémy, které jsou tak citlivé – a o kterých je známo, že jsou v ohrožení – mohou být stále tak zranitelné? Všechno to vychází z kombinace různých selhání.

Propustnost front-line sítí

Není výjimkou, že v nemocničním prostředí vedle sebe najdeme několik sítí s různými úrovněmi soukromí. Například z Wi-Fi hotspotu je snadné se připojit k pacientské síti. Odtud je možné odchytit lékařskou síť a z ní získat přístup do administrativní sítě. Nedostatečná segmentace vytváří v systému první zranitelnost zneužitelnou hackery.

Naléhavé situace mají prioritu

Nemocnice a jiné zdravotnické organizace jsou povinny zajistit kontinuitu provozu. To znamená, že nemohou přerušit probíhající léčbu. Z tohoto důvodu se většina z nich při změně v IT infrastruktuře zdráhá přepnout do režimu údržby nebo vypnout určitá zařízení, a to i na krátkou dobu. Tento přístup je často vede k tomu, že se udržují starší řešení, než aby se na IT systém pohlíželo jako na všestranný projekt s vlastní správou.

Chcete-li problém rychle pochopit, podívejte se při příští návštěvě nemocnice na používané prohlížeče nebo aplikace. Podle článku Computerweekly Britský národní kontrolní úřad (NAO) zkoumal dopad WannaCry na Národní zdravotní službu (NHS). V té době „většina infikovaných zařízení NHS používala podporované verze Windows 7, které nebyly záplatované“.

Práce v naléhavých situacích má současně za následek zanedbávání základních bezpečnostních opatření, jako je například ukončení relace při opouštění pracovní stanice. Informace v kartách pacientů jsou pak volně přístupné a v některých případech může být ohrožen i administrátorský přístup.

Velký nedostatek interních odborníků na kybernetickou bezpečnost

Kromě nedostatečné správy je ve zdravotnických zařízeních dalším problémem absence odborníků na IT bezpečnost. Na českém trhu zatím nevypadá, že by se situace měla v dohledné době výrazněji zlepšit.

BYOD: běžná, ale nekontrolovaná praxe

Další faktor zvyšující zranitelnost nemocničního prostředí je přímo spojen s tím, jak lékaři pracují – mnozí dělí svůj čas mezi soukromou praxi a nemocnici, přitom ale používají stejný počítač a smartphone. Vzhledem k tomu, že toto zařízení nebylo dodáno nemocnicí, není vždy v souladu s bezpečnostními opatřeními, která organizace zavedla.

Nové a relativně nejisté lékařské technologie

Připojená zdravotnická zařízení jsou v dobře financovaných nemocnicích stále běžnější. Pozornost věnovaná bezpečnosti při navrhování těchto zařízení je však stále nedostatečná a ponechává otevřené dveře „medjackingu“.

Rostoucí využití systémů pro technické řízení budov

Systémy technického řízení budov mimo jiné umožňují dálkové ovládání zařízení, jako jsou klimatizační systémy, požární systémy nebo výtahy. Pokud je takový systém napaden, může to například vést k nucené evakuaci nemocnice. Tyto systémy, navržené na základě „fyzických“ bezpečnostních standardů, nejsou z hlediska digitálního zabezpečení dostatečně odolné.

Jak může nemocniční sektor zvýšit odolnost vůči kybernetickým útokům?

Prvně je nutné plně vyhodnotit zranitelnost zdravotnických zařízení a učinit z kybernetické bezpečnosti klíčovou otázku v rámci organizace se vším, co z toho plyne i z pohledu investic (lidské zdroje, správa, vybavení, vyhrazený rozpočet atd.).

Použití certifikovaných a kvalifikovaných bezpečnostních řešení pro sítě a hardware

Na praktičtější úrovni je nezbytné začít používat řešení určená k zabezpečení sítí, jejich ochraně před vniknutím a zaručení kontinuity provozu, ale také k zajištění ochrany pracovních stanic. Tato řešení musí být povinná pro všechna zařízení zapojená do péče o pacienty, ať už je vlastní zaměstnanci nebo ne.

Zvyšování informovanosti zaměstnanců

Aby byl zdravotnický personál přesvědčen o potřebě dodržování osvědčených postupů v oblasti kybernetické bezpečnosti, je důležité mu pravidelně připomínat, co je v sázce, a vyjasnit s ním různé postupy. S ohledem na tuto skutečnost spolupracovala skupina Pays de la Loire‘s v oblasti elektronického zdravotnictví (GCS) se společností Orange Cyberdefense na vytvoření únikové hry známé jako Sant’escape – Digital Security. Jaký je princip? Vysvětlit a aplikovat osvědčené postupy ve zdravotnictví prostřednictvím účasti na hře.

Hlášení incidentů dozorovému úřadu

Zdravotnická zařízení jsou povinna nahlásit kybernetický incident nebo podezření na incident dozorovému orgánu, kterým je v České republice Národní úřad pro kybernetickou a informační bezpečnost. Velké nemocnice jsou kromě GDPR dotčeny požadavky Zákona o kybernetické bezpečnosti (ZoKB).

Nemocnice a zdravotnická zařízení obecně se dnes z jedné strany musí vypořádat s požadavkem snižování nákladů a z druhé strany s potřebou plného využití potenciálu, který nabízí digitální technologie, jako je například zavedení nových služeb typu telemedicíny. Nedostatečné zabezpečení IT systémů však může mít zvláště závažný dopad na soukromí a bezpečnost pacientů. Pokud tedy není kybernetická bezpečnost považována za stejnou prioritu jako zdraví.


Autor: Marco Genovese, Stormshield
Překlad a úpravy: Jan Mazal,
VPGC
Zdroj: Stormshield – The hospital sector: critical systems, highly sensitive to cyberattacks