Zdravotníctvo tohto storočia
Nie je to iba skrinka s liekmi a všadeprítomná obrazovka. Okrem diagnostických a monitorovacích zariadení pripojených do siete sú to aplikácie, informačné systémy, dátové toky medzi laboratóriami a nemocnicami, spracovanie údajov pacientov aj masívna komunikácia.
Téma kybernetickej bezpečnosti nasledovala elektronizáciu a digitalizáciu systémov a pracovných postupov v praxi. Vladimír Ježík, prezident Asociácie laboratórií Slovenska, to zhrnul jasne: „Ešte pred niekoľkými rokmi sme písali všetky správy v nemocniciach na písacích strojoch a teraz sú už všade počítače.“
Ako sme na tom?
Správa o kybernetickej bezpečnosti v Slovenskej republike za rok 2021 charakterizuje zdravotníctvo ako sektor, ktorý je vystavený kybernetickým hrozbám viac ako iné odvetvia. Podpísala sa na tom pandemická situácia a úroveň ohrozenia zvýšila aj aktuálna geopolitická situácia.
Sektor zdravotníctva tak trápi aj zastaraná infraštruktúra a nedostatok kvalifikovaných IT odborníkov, keďže ťažko konkuruje iným odvetviam.
Zvyšujú sa aj riziká, ktoré predstavuje dodávateľský reťazec. „V sektore je množstvo dodávateľov rôznych zariadení, dnes už väčšinou pripojených na sieť, aj veľa dodávateľov špecializovaných služieb,“ upozorňuje Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT.
Spoločná slabina
Členovia Asociácie nemocníc Slovenska sa zhodujú v tom, že kybernetickú bezpečnosť vnímajú vážne. „Opatrenia sú nutné, povedomie používateľov je však nízke,“ uviedli v oficiálnom stanovisku.
Martin Hromádka, riaditeľ Psychiatrickej nemocnice P. Pinela v Pezinku, to potvrdzuje z vlastných, aj sprostredkovaných skúseností. Najväčšiu slabinu vidí vo veľmi nízkej počítačovej gramotnosti. „Používatelia sú náchylní reagovať aj na najjednoduchšie a úplne evidentné pokusy o získanie prístupu k osobným údajom, akými sú heslá, čísla kariet, PIN kódy a nechajú sa ľahko vyprovokovať k otváraniu odkazov z neznámych zdrojov.“
Kriticky nebezpečné e-maily
Upozorňuje na to aj Terezia Mezešová, vedúca podpory bezpečného vývoja v Siemens Healthineers: „S rozsahom už uniknutých dát na celosvetovej úrovni sa phishingové kampane budú zlepšovať a budú cielenejšie a špecifickejšie, čo nám všetkým skomplikuje ich rozpoznanie.“
Zvyšovanie bezpečnostného povedomia sa preto musí priblížiť zdravotníckemu personálu, ktorý je vyčerpaný po pandémii a pod neutíchajúcim tlakom na poskytovanie kvalitnej zdravotnej starostlivosti. „Je to široká škála ľudí s rozličnou každodennou náplňou práce, je dôležité, aby dostali cielené tipy, ktoré hneď môžu začať praktizovať,“ dodáva Terezia Mezešová.
Tisíce prístrojov
Ak by sme aj všetkých zdravotníkov vycvičili v odolnosti proti phishingovým mailom, ešte stále sú tu koncové zariadenia pripojené do internetu. Často sú nedostatočne chránené alebo bez bezpečnostných záplat. Nejeden audítor kybernetickej bezpečnosti s hrôzou zisťuje, že infraštruktúra je zraniteľná či nesprávne nakonfigurovaná.
Ako brána pre kybernetické útoky fungujú napríklad v troch štvrtinách prípadov routery. Sú to najobľúbenejšie ciele s priemerom vyše päťtisíc útokov za mesiac. Neprekvapí preto odpoveď z Asociácie nemocníc, že každodenné zraniteľnosti patria do trojice faktov, ktorá ich v kybernetickej bezpečnosti desí.
Stovky aplikácií
Či sme chceli, alebo nie, v čase pandémie sme sa museli s aplikáciami zžiť v zrýchlenom tempe. Kauzu zdravotníckych informácií slovenská verejnosť len tak ľahko nezabudne a odborníci asi nikdy.
Tomáš Bartek, bezpečnostný konzultant Aliter Technologies, tu preto opäť pripomína princíp bezpečnosti: „V systémoch kritickej infraštruktúry, akou je oblasť zdravotníctva, je nevyhnutné dbať na pevné zabudovanie mechanizmov informačnej bezpečnosti už do prvotných fáz vývoja softvéru.“ Na dosiahnutie požadovanej úrovne ochrany citlivých údajov musia byť tieto mechanizmy trvalo prítomné počas celého cyklu vývoja softvéru, jeho prevádzky a údržby. V skratke, dodržiavať princípy „security by design“.
Zákon hovorí jasne
Za kybernetickú bezpečnosť zodpovedá štatutár. Rovnako ako iné organizácie, aj zdravotnícke zariadenia služby kybernetickej bezpečnosti nakupujú, outsourcing však nezbavuje štatutára zodpovednosti.
Na začiatku to boli iba antivírusové programy, ale teraz sú to už sofistikované hardvérové a softvérové zabezpečenia. Všetky systémové kroky v nemocniciach, poliklinikách, diagnostických centrách a ambulanciách sa digitalizujú aj prepájajú medzi sebou, poisťovňami či štátnymi autoritami, a tak vzniká väčšia potreba bezpečnosti.
Najťažšia úloha
V tom, čo je najťažšou úlohou v kybernetickej bezpečnosti v zdravotníctve, sa vzácne zhodujú všetci – dostatočné financovanie.
Technologické aj legislatívne zmeny si vyžadujú veľké investície a tie by mali byť zohľadnené pri plánovaní financovania zdravotníctva. Vladimír Ježík ako jedno z riešení navrhuje využiť aj prostriedky z plánu obnovy, respektíve časť investícií pre digitalizáciu.
Pohľad z druhého brehu
„Sme si vedomí, že zdravotnícky sektor je v oblasti IT mimoriadne podfinancovaný. Zároveň však treba povedať, že zariadenia často nevedia financie efektívne využiť a slepo dôverujú dodávateľom,“ zdôrazňuje Rastislav Janota.
Nemocnice nakupujú technológie namiesto riešenia urgentných problémov. Nevedia ich identifikovať a riešiť a ani ich dodávateľ túto schopnosť vo väčšine prípadov nemá. Bezpečnostný špecialista Július Selecký zo spoločnosti Eset často v praxi vidí, že je síce nakúpený špičkový hardvér a softvér, ale je zle zapojený alebo neaktualizovaný. „Nie je to len o nákupe technológií. Je to aj o ľuďoch, ktorí sa o ne starajú, a o bezpečnostných politikách.“
Sám to nikto nedá
Záverečné slová Vladimíra Ježíka však presahujú tému: „V našom zdravotníctve je toľko vážnych problémov, že otázka bezpečnosti je iba jedna z mnohých.“ Ak nemáme dostatok lekárov a sestier a nemá kto ošetrovať, ak sú čakacie lehoty na vyšetrenia v mesiacoch, v kybernetickej bezpečnosti potrebujú zdravotnícke zariadenia podať pomocnú ruku.