Medicína

S nástupem Nového roku musí být prakticky všechny české nemocnice zaregistrovány jako poskytovatelé regulovaných služeb a následně splňovat pevně daná bezpečnostní pravidla. Za rozšíření působnosti zákona o kybernetické bezpečnosti na mnohem více subjektů může implementace evropské směrnice NIS2. Kybernetická bezpečnost v českých zdravotnických zařízeních přitom ale zůstává slabým místem. Podle aktuální analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku, je v průměru zajištěna jen ze třetiny toho, co právní předpisy požadují. Nemocnice navíc často nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb a nejsou dostatečně připraveny reagovat na kybernetické útoky. To může mít negativní dopad na jejich činnost a ohrožovat zdraví pacientů.

„Situace není o nic lepší než před rokem, kdy jsme vydali podobné varování. Naopak – zatímco se diskutovalo o legislativě, čas plynul. Nemocnice se sice snaží, ale mnohdy jen na papíře. Víme naštěstí i o pozitivních příkladech zdravotnických zařízení, která si vzala naši analýzu k srdci a začala intenzivně pracovat na modernizaci své kybernetické bezpečnosti. I tak jsou ale stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu k zajištění bezpečnosti nemocnice nestačí. Věříme, že rozšíření působnosti zákona o kybernetické bezpečnosti na téměř všechna zdravotnická zařízení bude pro ně dostatečným impulzem, aby kybernetickou ochranu brala vážně. Nejde jen o formální splnění legislativy," říká expert na kybernetickou bezpečnost společnosti ComSource.

Novela zákona o kybernetické bezpečnosti implementující evropskou směrnici NIS2 výrazně rozšířila okruh subjektů, které se jí musí řídit. Tyto subjekty musí splnit řadu povinností a dodržet určité lhůty. Do konce roku se organizace poskytující tzv. regulovanou službu – kam patří právě i nemocnice – musely zaregistrovat u NÚKIB. Subjekty, které nestihly v daném čase registraci provést, tak mohou stále učinit, ale hrozí jim pokuty až do výše 250 miliónů korun. Registrace ale není jen administrativní záležitost. Jde o to, aby si nemocnice uvědomily, jaký je skutečný stav jejich kybernetické bezpečnosti. Řada z nich to zjišťuje teprve nyní, a to je problém.

Legislativa stanovuje dva okruhy kyberbezpečnostních opatření – organizační a pak samotné technické. Podle poznatků expertů plní nemocnice v průměru přibližně pouze třetinu z nich – 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.

Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastavené opatření v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí. Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.

Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav kybernetické ochrany. Jsou tak případy definovaných postupů, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení existuje, ale je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem.

Společnost ComSource se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje od roku 2010, od roku 2023 i v oblasti datové analytiky. Poskytuje vysoce profesionální služby a dodává infrastrukturní a bezpečnostní řešení on-premise, v cloudu nebo v hybridních prostředích.  Dle TZ

 www.emcgroup.cz

Tweet