Predstavte si incident v nemocničných informačných systémoch alebo pri prenose dát z laboratórií do ordinácií. Niekto zmení krvné parametre alebo predoperačné výsledky alebo zašifruje údaje.
A tu si určite viete živo predstaviť aj následky na liečbu a život pacienta. Navyše, ak sa útočníci dostanú k údajom, zašifrujú ich a vydierajú zverejnením organizáciu aj pacientov.
Kto všetko o vás vie
V zdravotníctve je okrem dôvernosti extrémne dôležitá integrita chránených dát. A to už je háklivá téma pre každého z nás. Za ostatné roky totiž povedomie o ochrane osobných údajov na Slovensku markantne narástlo najmä vzhľadom na kybernetické incidenty.
„Už len z dôvodu, s akými citlivými údajmi a v akom množstve s nimi pracujeme, sa kybernetická bezpečnosť a odolnosť voči hrozbám stanú súčasťou reputácie nemocníc,“ hovorí riaditeľka Nemocnice s poliklinikou sv. Lukáša v Galante Alexandra Pavlovičová.
Ide o všetko
Útočníci dnes využívajú umelú inteligenciu už vo fáze prieskumu profilov sociálnych médií a verejne dostupných zdrojov. Následne replikujú komunikáciu dôveryhodných kontaktov či subjektov, vytvárajú presvedčivé falošné zvukové alebo obrazové správy a distribuujú ich.
Phishingové útoky sú čoraz lepšie cielené a vytvorené tak, aby obišli tradičné detekcie e-mailov. V magickom trojuholníku ľudia, procesy, technológie sú jednoznačne najzraniteľnejší ľudia. V strese a pod tlakom práce robia chyby.
Aby sme nechodili ďaleko po príklad – vo phishingovom penetračnom teste v Národnom ústave tuberkulózy, pľúcnych chorôb a hrudníkovej chirurgie desať percent používateľov reagovalo na evidentne podvrhnutý mail zadaním mena a prístupového hesla do systému.
Územie nikoho
Z pohľadu financovania, poddimenzovaného personálu a podmienok, v ktorých zdravotníci pracujú, sa Alexandra Pavlovičová domnieva, že kyberbezpečnosť je u nich na pokraji záujmu: „Vnímam to tak, že sa budú musieť postupne naučiť takmer všetko.“
Vedúci oddelenia informatiky v Národnom ústave tuberkulózy Jozef Zoričák našiel územie nikoho. „Aktuálne najväčšie ohrozenie je medzi stoličkou a klávesnicou koncového zariadenia nemocničného informačného systému.“
V praxi sa často stretáva s tým, že akútny nedostatok zdravotníckych pracovníkov vytvára pocit beztrestnosti či ignorovanie pravidiel kybernetickej bezpečnosti v sektore. To všetko značne zvyšuje riziko bezpečnostného incidentu.
Bez kompromisov
Kybernetické útoky na nemocnice čoraz viac ohrozujú kontinuitu a kvalitu zdravotnej starostlivosti a sú čoraz častejšie a vážnejšie. „Hovoríme o úniku dát pacientov, ktoré sa následne predávajú na dark nete, o sociálnom inžinieringu s úmyslom získať prístup do špecifických aplikácií a o ransomvéri a wiperi, ktorý sa snaží zablokovať celé informačné systémy,“ upozorňuje Andrej Aleksiev partner spoločnosti Kreston.
Riešenie vidí v tom, že musíme okamžite a adekvátne zvýšiť kybernetickú bezpečnosť vo všetkých zdravotníckych zariadeniach na Slovensku, angažovať kvalifikovaných odborníkov IT bezpečnosti a kvalitne zaškoliť celý zdravotnícky personál.
„Ochranu musíme postaviť na troch pilieroch, ako je architektúra nulovej dôvery, automatizácia a aktívne prvky bezpečnosti,“ prízvukuje po rokoch skúseností v bezpečnostnej brandži.
Sme v hodine dvanástej
Andrej Aleksiev poukazuje na to, že zatiaľ čo sa snažíme znížiť deficit a zabezpečiť vyvážené hospodárstvo, vytvárame si nový – kybernetický dlh, ktorý môže byť gigantickejší ako všetky, ktoré sme dodnes spoznali.
Pridáva sa aj audítor kybernetickej bezpečnosti Andrej Mišura zo spoločnosti auditori.it: „Na Slovensku máme asi 15-ročný dlh voči celej IT prevádzke v zdravotníctve. Opravujeme len to, čo sa aktuálne pokazilo a chýbajú peniaze.“
A pritom do plánu obnovy si Slovensko napísalo ciele ako digitalizácia a telemedicína. Z hľadiska IT a bezpečnosti sú to zásadné zmeny, keďže súvisia so zdieľaním citlivých údajov a ich publikovaním „do sveta“ za chránený perimeter.
Ani zásuvka, ani polica
Audit kybernetickej bezpečnosti by už dnes mala mať za sebou väčšina organizácií zaradených medzi prevádzkovateľov základnej služby.
Auditová správa by nemala byť len pre Národný bezpečnostný úrad, ale je dôležitá pre samotné organizácie, pre manažérov bezpečnosti a štatutárov. Výsledok auditu môže byť dobrý návod, ako uchopiť riadenie bezpečnosti. A to vlastne platí pre všetky organizácie, keďže auditová správa neskreslene ukazuje slabé miesta v bezpečnostných opatreniach.
Už keď sa vedenie rozhodne
Pri výbere dodávateľa služieb kybernetickej bezpečnosti stoja všetci pred úlohou, ako nájsť toho dôveryhodného. Preto by si zadávatelia mali overovať referencie, komunikovať s kolegami z podobných organizácií a pozvať si potenciálnych dodávateľov na stretnutie.
Ak nemáte expertízu interne alebo chcete len počuť iný názor, zavolajte si aj nezávislých odborníkov na posúdenie kandidátov. Prípadne spolu pripravte otázky tak, aby ste jasne definovali ciele spolupráce. Najnižšia cena nie je vždy práve to, čo potrebujete.
Ako veľký fanúšik zdieľania zdrojov odporúča Andrej Mišura spojiť sa napríklad s inými nemocnicami v regióne: „Vytvorte klaster a objednajte si služby a bezpečnostné technológie spoločne. Prinesie to minimálne dva efekty – ušetríte a vytvoríte priestor pre zdieľanie know-how a vlastných skúseností.“
Ítečkári nemôžu čakať
Siete súkromných nemocníc majú vytvorené odbory kybernetickej bezpečnosti a zariadenia sú interne prepojené. Jozef Zoričák poukazuje na to, že tu sú v nevýhode štátne nemocnice, ktorým rezort zdravotníctva nepomáha finančne, metodicky ani technicky.
Dobrou myšlienkou je spolupráca zariadení a hľadanie spoločných riešení. Zástupcovia IT oddelení štátnych nemocníc preto iniciovali Fórum kybernetickej bezpečnosti nemocníc Slovenska ako platformu pre spoluprácu.
A hlavná úloha zdravotníckych zariadení?
Kybernetická bezpečnosť vyžaduje veľké finančné prostriedky, preto sa treba usilovať získať ich aj z operačných programov. „Musíme sa naučiť zvládnuť administratívne náročnú žiadosť a následne projekt zrealizovať a aplikovať v praxi,“ uzatvára správca IT systémov s takmer tridsaťročnými skúsenosťami.