facebook LinkedIN LinkedIN - follow
Aktuality -> Podnikové aplikace a služby - 15. 1. 2025 - redakce

České nemocnice nejsou dostatečně připraveny na kybernetické útoky

Doktor_v_nemocnici_nebo_ordinaci_AI.jpegPodle analýzy společnosti ComSource je kybernetická bezpečnost v českých nemocnicích zajištěna v průměru přibližně jen ze třetiny toho, jak potřebné zabezpečení definuje platná legislativa, kterou se už nyní musí řídit všechny velké nemocnice. A v brzké době po implementaci směrnice NIS2 se povinnost systémového zajištění kybernetické bezpečnosti rozšíří prakticky na všechny.



Nemocnice většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů. Nejsou tak dostatečně připraveny reagovat na kybernetické útoky

„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí. O to více nás překvapuje stávající realita. Nemocnice sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu nestačilo k zajištění bezpečnosti a fungování nemocnice před pěti lety, natož nyní. Informační technologie jsou v nemocnicích přítomné prakticky na každém místě a v každém zařízení. Jakýkoliv jejich výpadek může mít dalekosáhlé následky a ohrožovat zdraví pacientů. Nejde vůbec jen o dodržování zákona, zajištění dostatečné kybernetické bezpečnosti by mělo být v dnešní době samozřejmostí nejen pro nemocnice,“ říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

Legislativa stanovuje dva okruhy kyberbezpečnostních opatření – organizační a pak samotné technické. Podle poznatků expertů ComSource plní nemocnice v průměru přibližně pouze třetinu z nich – 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.

Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku. Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí.

Zatímco nyní se legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic. Ve schvalovacím procesu je totiž nový zákon o kybernetické bezpečnosti, který do českého práva implementuje evropskou bezpečnostní směrnici NIS2, a který rozšíří povinnost dostatečné kyberbezpečnostní ochrany na mnohem větší počet subjektů.

Příklady oblastí, které nemocnice obvykle mají dostatečně zajištěné:

- Řízení dodavatelů a bezpečnosti lidských zdrojů

- Řízení přístupu, fyzická bezpečnost

- Antivirová ochrana koncových stanic

Příklady oblastí, které nemocnice obvykle nemají dostatečně vyřešené:

- Systémy řízení bezpečnosti informací

- Organizační bezpečnost, zajištění bezpečnostních rolí

- Postupy pro zvládání kybernetických incidentů a řízení kontinuity činností

- Zabezpečení komunikačních sítí

- Správa a ověřování identit, řízení přístupových oprávnění

- Zaznamenávání IT událostí, detekce kyberbezpečnostních událostí

- Zabezpečení aplikací, využívání kryptografických prostředků, zabezpečení specifických systémů

„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem,“ dodává Michal Štusák z ComSource.


 
  

- PR -

Ochrana dat a bezpečnost v éře DORA a NIS2

Klíčová role IBM Guardium a SIEM QRadar


Security AIS rostoucími nároky na ochranu citlivých dat a dodržování regulatorních požadavků se firmy stále více obrací k pokročilým nástrojům, které jim umožňují efektivně čelit výzvám moderního IT prostředí. Směrnice DORA a NIS2, které zdůrazňují operační odolnost a správu kybernetické bezpečnosti, stanovují jasné standardy pro ochranu dat a řízení přístupu. V tomto kontextu hrají zásadní roli řešení IBM Guardium a SIEM QRadar.