kybernetická bezpečnost - bezpečnost ve zdravotnictví

Kybernetická bezpečnost ve zdravotnictví

V letošním roce došlo k rozšíření seznamu subjektů, které jsou určeny jako poskytovatelé základní služby v kontextu zákona o kybernetické bezpečnosti č. 181/2014 Sb., respektive jeho vyhlášky č. 573/2020 Sb. V médiích se stále častěji objevují znepokojivé informace o kybernetických útocích na zdravotnická zařízení. Identifikovali jste se, nebo jste byli identifikováni jako poskytovatelé základní služby v oblasti zdravotnictví? Víte, jaké náležitosti z pohledu kybernetické bezpečnosti musí splňovat poskytovatel základní služby?

Digitalizace zdravotnictví, případně termíny jako eHealth či mHealth, jsou stále častěji využívanými pojmy, jejichž důležitost je dlouhodobě podporována technickým pokrokem, strategickými záměry Vlády ČR popsanými v dokumentu Zdraví 2030, programem Digitální Česko, nebo akčním plánem Národního úřadu pro kybernetickou a informační bezpečnost. Nemalou měrou se podílí také na vzrůstajících hrozbách pandemie COVID-19.

Se vzrůstajícím trendem a objemem digitalizovaných úkonů a procesů, vzrůstá nevyhnutelně i riziko v oblasti kybernetické bezpečnosti. Kybernetické útoky a jejich následky pak mohou negativním způsobem nemalou měrou ovlivnit fungování napadené organizace a v některých případech až znemožnit její další fungování v horizontu několika dnů. Zdravotnictví jako jeden z mála oborů čelí nelehkému úkolu, kdy pracuje s velkým objemem citlivých osobních dat, které je potřeba si vyměňovat mezi dalšími poskytovali zdravotních služeb, ale i s pacienty, jejichž dovednosti a znalosti v oblasti kybernetické bezpečnosti mohou být velmi rozdílné.

Na oblast zdravotnictví myslí i zdánlivě nesourodá ochrana informací, ve svém zákoně o kybernetické bezpečnosti č. 181/2014 Sb., kde v §2 odstavci i) a bodě 5 jmenuje zdravotnictví jako základní službu, pro kterou je potřeba zajistit odpovídající úroveň ochrany dat a informací. Je tak potřeba pro organizace zajišťující tuto základní službu dodržovat požadavky kladené uvedeným zákonem a jeho prováděcími vyhláškami, zejména u informačních systémů podporujících dodávku této základní služby.

Mnoho zdravotnických organizací má různé typy specializovaných nemocničních informačních systémů využívaných při zabezpečování chodu zařízení, při výkonu lékařských úkonů, komunikace s pojišťovnami nebo pacienty. Všechny tyto systémy je nutné chránit, zejména informace, které jsou těmito systémy zpracovávány. Kromě toho musí být chráněny také tisíce zařízení, která jsou součástí internetu věcí a nezadržitelně jsou rozšiřovány společně s digitalizací oblasti zdravotnictví. Patří mezi ně inteligentní výtahy, inteligentní systémy vytápění, ventilace a klimatizace (HVAC), ale i infuzní pumpy, zařízení pro vzdálené monitorování pacientů, samotná lůžka intenzivní péče a další. Toto jsou příklady některých zařízení, která zdravotnické organizace obvykle mají a která zpracovávají citlivé informace, které je potřeba odpovídajícím způsobem chránit.

Z naší praxe vyplývá, že nejvíce problémových oblastí v rámci implementace požadavků na zajištění kybernetické bezpečnosti podle požadavků zákona u poskytovatelů základní služby vzniká již v samotném začátku, tedy při procesu identifikace samotných aktiv (zařízení, informací atp.) a dopadů na tato aktiva. To jsou samotná východiska pro určení, která aktiva jsou významná a v jakém rozsahu je potřeba je chránit. Dalším problémovým bodem je skloubení požadavků organizačních opatření a technických opatření, které mají zajistit optimální stupeň ochrany základní služby. Jen efektivní implementace organizačních a technických opatření zajistí efektivní a řiditelný systém bezpečnosti informací v organizaci, jako nedílnou součást zajištění bezpečnosti základní služby.

Shrnutí realizovaných útoků na nemocnice v ČR.

Nejznámějším případem kybernetického útoku bylo faktické odstavení počítačové sítě a následné ochromení nemocnice v Benešově. Hackeři v minulosti napadli také zdravotnická zařízení v Brně či Kosmonosech. Krátce po varování NÚKIB oznámila Fakultní nemocnice Ostrava, že odrazila útok na jeden ze svých serverů. V roce 2019 byla podle odhadů expertů napadena asi pětina tuzemských nemocnic.

Nejčastější nedostatky v oblasti KB ve zdravotnictví

Nemocnice většinou provádějí bezpečnostní audity počítačové sítě méně často, než by měly.
Ke sdílení dat často používají zaměstnanci i osobní emailové účty, nedostatečně zabezpečené sítě a různá úložiště či prostředky třetích stran.
Řada zařízení běží stále na již nepodporovaných systémech, jako jsou např. Windows XP.
V některých případech mají různá zařízení nezměněná výchozí hesla.
Slabý systém zálohování dat.

Možnost financování KB

// Potřebujete se zorientovat v oblasti kybernetické bezpečnosti ve zdravotnictví?

RÁDI VÁM POMŮŽEME

Kontakt

Cookie	Délka	Popis
cookielawinfo-checkbox-analytics	11 months	Tento soubor cookie je nastaven pluginem GDPR Cookie Consent. Soubor cookie se používá k uložení souhlasu uživatele s používáním souborů cookie v kategorii „Analytické“.
cookielawinfo-checkbox-functional	11 months	Soubor cookie je nastaven na základě souhlasu s cookie GDPR k zaznamenání souhlasu uživatele pro soubory cookie v kategorii „Funkční“.
cookielawinfo-checkbox-necessary	11 months	Tento soubor cookie je nastaven pluginem GDPR Cookie Consent. Cookies slouží k uložení souhlasu uživatele s cookies v kategorii „Nezbytné“.
cookielawinfo-checkbox-others	11 months	Tento soubor cookie je nastaven pluginem GDPR Cookie Consent. Cookie se používá k uložení souhlasu uživatele s cookies v kategorii „Jiné“.
cookielawinfo-checkbox-performance	11 months	Tento soubor cookie je nastaven pluginem GDPR Cookie Consent. Cookie se používá k uložení souhlasu uživatele s cookies v kategorii „Výkonnostní “.
viewed_cookie_policy	11 months	Soubor cookie je nastaven pluginem GDPR Cookie Consent a používá se k uložení, zda uživatel souhlasil nebo nesouhlasil s používáním souborů cookie. Neukládá žádné osobní údaje.