6.5.8.1
Budování kybernetické bezpečnosti ve zdravotnictví
RNDr. Dagmar Brechlerová, Ph.D., ČVUT, Fakulta biomedicínského inženýrství, Kladno
V poslední době se stupňují útoky na zdravotnická zařízení všeho druhu, nejen v ČR, ale všude po světě. Tím, jak stále více zdravotnické agendy přechází do elektronické podoby, ať již povinně, nebo dobrovolně, se možnost pro útoky zvyšuje. Je rozhodně jednodušší porušit bezpečnost digitálních dat než se vloupat do papírové kartotéky. Naproti tomu data v elektronické podobě mají jiné klady proti papírové kartotéce. Nezbývá tedy než se bezpečnosti hodně a vážně věnovat.
Stačí připomenout útoky na nemocnici Benešov a na nemocnici Brno z poslední doby, které byly medializované.
Cituji z materiálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB):
11. 12. 2019 – Nemocnice v Benešově. Co se stalo: Emotet – Trickbot – Ryuk – zašifrování dat, dopad: výrazné omezení provozu nemocnice, finanční dopad: 40–50 milionů Kč, doba trvání narušení: nemocnice obnovila provoz koncem prosince 2019, proces obnovy infrastruktury pokračoval dále i v lednu 2020.
12. 3. 2020 – FN Brno. Co se stalo: Kolem 01:00 AM útočník získal práva doménového admina a začal šířit ransomware , IT oddělení situaci zachytilo a začalo odpojovat systémy, dopad: odložení plánovaných úkonů, nemožnost ukládat data, celkové výrazné omezení všech činností, finanční dopad: odhadem řádově stovky milionů, některé části nemocnice byly více jak týden po útoku stále odstaveny.
Celý popis situace včetně činností NÚKIB je možno najít zde a zde .
Dále jsou popsány i aktivity, které NÚKIB nabízí zdravotnickým zařízením, jako školení, metodiky apod. Např. 27. 3. 2020 – nabídka služeb nemocnicím:
1. Sdružení CZ.NIC nabídlo nemocnicím pod ZKB bezplatně routery TURRIS MOX včetně zaškolení a asistence – umožnění splnění segmentace sítě z reaktivního opatření.
2. NÚKIB nabídl monitoring zranitelností.
3. NÚKIB nabídl školení uživatelů pomocí e-learnigu – s možností zajištění "na klíč" nebo k nasazení na vlastní infrastruktuře.
Již z výše uvedených incidentů je snad jasné, že úspěšný útok je velký malér. A to jsou útoky, které pronikly na veřejnost. Dále proniklo na veřejnost napadení z 27. března 2020, kdy proběhl kybernetický útok na Psychiatrickou nemocnici Kosmonosy. Jednalo se o obdobný typ, jako v předchozích případech napadení zdravotnických zařízení, jehož cílem bylo provést zašifrování dat v informačním systému a následně žádat výkupné za jejich opětovné zpřístupnění (tzv. ransomware). O kolika jiných se veřejnost nedozví, těžko říci.
V zásadě problémy mohou být mnoha druhů. Buď se útočník dostane k datům zdravotnického zařízení, tedy datům pacientů, a ta nějak ještě dále použije (třeba prodá). Tím poruší GDPR a příslušné zákony nebo zařízení vyřadí z provozu, např. tím, že data zašifruje ransomwarem a požaduje výkupné za odšifrování. Nebo také může data smazat. Nebo může data přeměnit, vykazovat jiné hodnoty, spustit přístroje v jiném režimu, znemožní ukládání dat, možností je opravdu mnoho. Pokud dojde k útoku ramsomwarem a pokud má organizace kvalitně prováděné zálohy (které jsou opravdu funkční), pak pomocí těchto záloh může obnovit provoz, ale i to zabere nějaký čas. V Brně i v Benešově došlo, jak bylo uvedeno výše, právě k útoku ransomwarem a obnova trvala stejně mnoho dní. Čili je jasné, že je nejlepší podobným událostem rovnou zabránit a že ani dobře provedené zálohy situaci zcela nevyřeší. Mj. některé typy ransomwaru dovedou zašifrovat i zálohy.
Zatímco velké nemocnice obvykle buď najmou externí firmu, nebo mají vlastní IT oddělení, pro malé nemocnice, ambulanci, nebo dokonce samotného lékaře to může být (a je) problém.
NahoruČím začít?
Čím tedy vůbec začít? Jako první by si mělo příslušné zdravotnické zařízení ujasnit, zda se na něj vztahuje zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále "ZKBB"), pokud ano, pak bude budování kybernetické bezpečnosti podléhat tomuto zákonu a vyhláškám a následující text určitě není pro takové zařízení určen.
Zdravotnictví se týká již § 1 Předmět úpravy ZKBB; podle § 2 "Vymezení pojmů" se rozumí:
i) základní službou služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví 1. energetika, 2. doprava, 3. bankovnictví, 4. infrastruktura finančních trhů, 5. zdravotnictví, 6. vodní hospodářství, 7. digitální infrastruktura, 8. chemický průmysl,
j) informačním systémem základní služby informační systém, na jehož fungování je závislé poskytování základní služby,
k) provozovatelem základní služby orgán nebo osoba, která poskytuje základní službu a která je určena Národním úřadem pro kybernetickou a informační bezpečnost (dále jen "Úřad") podle § 22a; pro účely plnění informační povinnosti podle příslušného předpisu Evropské unie se za provozovatele základní služby považují též orgány a osoby uvedené v § 3 písm. c) a d).
Je tedy zřejmé, že zdravotnictví z hlediska ZKBB patří někdy mezi tzv. základní služby. Vůbec ne všechna zdravotnická zařízení spadají pod ZKBB, právě naopak. To určuje vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, od 1. ledna 2021 je novelizovaná. Novelizace se týkala právě zdravotnictví. Podle této poslední verze se počet zdravotnických zařízení, která spadají pod ZKBB sice zvýšil, ale stále to jsou nízké počty. Vzhledem k tomu, že zdravotnictví řešilo začátkem roku 2021 situaci spojenou s covidem, mohla tato důležitá změna vyhlášky uniknout pozornosti.
Subjekt "poskytovatel zdravotních služeb" podle zákona o zdravotních službách musí splňovat speciální kritéria druhu subjektu:
a) celkový počet akutních lůžek v posledních třech kalendářních letech nejméně 400,
b) statut centra vysoce specializované traumatologické, onkologické, cerebrovaskulární, kardiovaskulární, komplexní kardiovaskulární nebo perinatologické péče podle zákona o zdravotních službách,
c) zajišťování urgentního příjmu podle zákona o zdravotnické záchranné službě v zařízení s celkovým počtem lůžek intenzivní péče v posledních třech kalendářních letech nejméně 40 nebo
d) poskytovatel akutní lůžkové péče s průměrným počtem unikátních ošetřených pacientů v posledních třech kalendářních letech nejméně 100 000 za jeden kalendářní rok․
Ale ani tehdy ještě nemusí takové zařízení spadat pod ZKBB, protože musí dále splnit tzv. dopadová kritéria:
Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit
I. závažné omezení druhu služby postihující více než 50 000 osob,
II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury,
III. nedostupnost druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů,
IV. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření,
V. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému, nebo
VI. kompromitaci citlivých osobních údajů o více než 200 000 osobách.
To jsou pouze větší či významná zařízení, na malá se ZKBB tedy nevztahuje a na samostatné ordinace či ambulance již vůbec ne. V roce 2020 spadalo pod ZKBB pouze 16 největších nemocnic, v současné době po novelizaci zákona od 1. 1. 2021 to mělo být až 40 nemocnic, ale stále to je pouze nepatrná část zdravotnických zařízení. Teprve v 1. pololetí 2021 měl NÚKIB přesně určovat, které nemocnice pod ZKBB nově spadnou.
Tento text je tedy směrován na ty, kteří nespadají pod ZKBB, ale to jistě neznamená, že nemohou mít problémy. Naopak je mají, protože nedisponují pracovníky na zabezpečení a často řeší bezpečnost IT a celé IT vůbec spíše svépomocí. Takže, pokud se v tuto chvíli čtenář raduje, že unikl ZKBB, tak se raduje předčasně.
Nejcitelnějším místem zdravotnických zařízení jsou data pacientů, ať již v papírové, či elektronické podobě. Sem spadá i obrazová dokumentace, zprávy z laboratoří, případně i zvukový záznam atd.
Tedy při budování kybernetické bezpečnosti by provozovatel měl začít nejprve určitou revizí, kde a v jaké podobě má tzv. citlivé údaje. Na ty se pak vztahuje vedle GDPR i zákon č. 110/2019 Sb., o zpracování osobních údajů. To je zákon, který po zavedení GDPR nahradil dřívější zákon o ochraně osobních údajů.
čl. 4 GDPR
Vymezení pojmů
Pro účely tohoto zákona se rozumí
a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,
b) citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových…
