Hlavní strana -> Časopis IT Systems -> Rok 2026 -> IT Systems 3/2026 -> Kyberbezpečnost v českých nemocnicích
IT SYSTEMS 3/2026 , IT Security , Veřejný sektor a zdravotnictví

Kyberbezpečnost v českých nemocnicích

Od reflexe k řešení

Michal Štusák
Když v prosinci 2019 hackeři ochromili fungování nemocnice v Benešově a o několik měsíců později zopakovali svůj útok ve Fakultní nemocnici Brno, zdálo se, že české zdravotnictví dostalo razantní varování. Škody se vyšplhaly na desítky milionů korun, nemocnice byly paralyzované, některá oddělení musela omezit provoz. Byly to tvrdé lekce, které měly český zdravotnický sektor probudit k realitě moderních kybernetických hrozeb. Bohužel situace se za poslední roky prakticky nezměnila. 
 



Tvrdá realita: 65 % opatření nefunguje

Podle analýz ComSource je kybernetická bezpečnost v českých zdravotnických zařízeních v průměru zajištěna jen ze třetiny toho, co vyžaduje zákon. A není to jen akademické číslo v tabulce – znamená to, že 65 % opatření buď vůbec není zavedeno, nebo nefunguje správně, 25 % vykazuje určité nedostatky a pouze 10 % funguje přesně tak, jak má. 
 
Je jasné, že nemocnice často čelí nedostatku zdrojů – finančních i lidských. Proto je klíčové začít správně a postupovat systematicky.

Krok 1: Proveďte audit

Prvním a nejdůležitějším krokem je provést komplexní audit kybernetické bezpečnosti. Ne proto, že to zákon vyžaduje (i když i to je důvod), ale proto, že bez auditu nevíte, kde přesně stojíte. Audit vám totiž ukáže, jaká opatření máte zavedená a která chybí, které systémy a procesy fungují správně a které ne, kde jsou vaše největší zranitelnosti a co by měla být priorita pro investice.

Krok 2: Vytvořte bezpečnostní dokumentaci

Na základě výsledků auditu je potřeba vypracovat sadu bezpečnostní dokumentace. To není jen formalita pro splnění zákona – je to základ pro systematické řízení kybernetické bezpečnosti. Základní dokumenty zahrnují: 
  • Bezpečnostní politiku systému řízení bezpečnosti informací – základní zásady, cíle a bezpečnostní potřeby vaší organizace. Stanovuje, co chcete chránit a proč. 
  • Metodiku řízení rizik – jak budete identifikovat hrozby a zranitelnosti, jak budete hodnotit rizika a jak budete rozhodovat o opatřeních k jejich snížení. 
  • Inventář aktiv – seznam všech důležitých aktiv (informačních systémů, aplikací, dat, technických zařízení), včetně jejich hodnocení z hlediska důvěrnosti, integrity a dostupnosti. Pro každé aktivum musíte definovat, kdo je jeho garant. 
  • Provozní pravidla a postupy – definují práva a povinnosti administrátorů a uživatelů, postupy pro spuštění a ukončení systémů, postupy pro zálohování dat, pravidla pro správu hesel a mnoho dalšího. 
  • Havarijní plány a plány kontinuity činností – co uděláte v případě kybernetického útoku nebo jiného incidentu. Musíte mít definovanou minimální úroveň služeb, kterou musíte zajistit i v případě útoku, dobu, během které musíte systémy obnovit, a způsob obnovy dat. 
České nemocnice dnes čelí přibližně tisíci hackerských útoků ročně. Většinou jde o phishingové útoky, kdy se podvodníci snaží vylákat citlivá data od zaměstnanců. Ale mezi těmito stovkami pokusů se skrývají i sofistikované ransomwarové útoky, které mohou zdravotnické zařízení zcela ochromit. A to není teoretická hrozba – například loni v červenci se terčem rozsáhlého kybernetického útoku stala Nemocnice Nymburk, kde přestala fungovat magnetická rezonance, babybox a některá vyšetření se musela přesouvat na jiná pracoviště.

Krok 3: Definujte a obsaďte bezpečnostní role

Bez lidí s jasně definovanými odpovědnostmi to nepůjde. Zákon vyžaduje manažera kybernetické bezpečnosti, který je odpovědný za celý systém, architekta kybernetické bezpečnosti, který je odpovědný za návrh implementace bezpečnostních opatření, garanta odpovědného vždy za konkrétní systém, dále pak auditora kybernetické bezpečnosti, ale i výbor pro řízení kybernetické bezpečnosti.
V menších nemocnicích samozřejmě může být problém tyto role obsadit kvalifikovanými lidmi. V takovém případě je potřeba zvážit externí pomoc – buď formou dlouhodobé spolupráce s konzultantem, nebo využitím služeb specializované firmy.

Krok 4: Investujte do školení

Lidé jsou nejslabším článkem, ale také nejlepší obrana. Investice do pravidelných školení se mnohonásobně vrátí. Podle našich zkušeností začíná většina úspěšných útoků kliknutím na škodlivý odkaz v phishingovém e-mailu. Pokud zaměstnanci umí takové e-maily rozpoznat, můžete zabránit většině útoků. Školení musí být pravidelná a přizpůsobená různým skupinám zaměstnanců – základní pro všechny zaměstnance (jak rozpoznat phishing, jak správně zacházet s hesly, co nedělat s citlivými daty), pokročilá školení pro administrátory a specializovaná školení pro osoby v bezpečnostních rolích.
Nesmí se zapomínat ani na testování. Pravidelně provádějte simulované phishingové útoky, abyste zjistili, kteří zaměstnanci potřebují dodatečné školení.

Krok 5: Implementujte klíčové technologie

Po vyřešení organizační stránky je čas na technologii:
  • Centralizovaná správa identit a přístupů je základ. Potřebujete nástroj, který vám umožní centrálně spravovat všechny uživatelské účty, vynucovat silná hesla (minimálně 12 znaků pro uživatele, 17 pro administrátory), implementovat vícefaktorovou autentizaci (heslo + SMS kód nebo aplikace), sledovat přihlášení a detekovat podezřelé aktivity a automaticky deaktivovat účty, když zaměstnanec odejde.
  • Důležitá je segmentace sítě a firewall – vaše IT síť musí být rozdělená do segmentů se základními službami (Active Directory, DNS), s pacientskými daty, s lékařskými zařízeními, vývojové a testovací prostředí musí být oddělené od produkčního. Mezi segmenty musí být firewall, který kontroluje a řídí komunikaci. Firewall musí být pravidelně aktualizovaný a správně nakonfigurovaný.
  • Systém pro zaznamenávání a monitoring událostí (SIEM) musí sbírat logy ze všech systémů, detekovat anomálie a podezřelé aktivity, upozorňovat bezpečnostní tým na incidenty a umožnit rychlou analýzu při vyšetřování incidentu.
  • Nástroj pro detekci kybernetických hrozeb musí monitorovat síťový provoz a detekovat pokusy o neoprávněný přístup, škodlivý kód a malware, podezřelou komunikaci s vnějšími servery a únik dat z organizace.
  • Centralizovaná antivirová ochrana – všechny pracovní stanice, servery a mobilní zařízení musí mít aktuální antivirovou ochranu s centrální správou. 
  • Zálohovací systém pro pravidelné zálohování dat je kriticky důležitý. Zálohy musí být prováděné pravidelně (ideálně denně pro kritická data), uchovávané na oddělených médiích, testované (musíte pravidelně ověřovat, že zálohy jdou obnovit) a chráněné proti ransomwaru.
  • Často podceňovanou oblastí je fyzická bezpečnost. Implementujte elektronický zabezpečovací systém (EZS) a elektronickou požární signalizaci (EPS), kamerový systém pro monitoring přístupů, centrální správu klíčů, monitoring teploty a vlhkosti v serverovnách a monitoring záložních napájecích zdrojů (UPS).

Krok 6: Implementujte procesy řízení

Technologie a dokumentace jsou důležité, ale musí fungovat v praxi. To vyžaduje zavedení procesů: bez správných procesů a vyškolených lidí vám totiž i ta nejlepší technologie nepomůže. Základem je zavedení:
  • Procesu řízení rizik – pravidelně (minimálně jednou ročně) identifikujte hrozby, hodnoťte rizika a rozhodujte o opatřeních. Vypracujte plán zvládání rizik, ve kterém definujete konkrétní opatření, zodpovědné osoby, termíny a potřebné zdroje. 
  • Procesu řízení změn – každá významnější změna v IT systémech musí projít řízeným procesem analýzy dopadů změny na bezpečnost, testováním změny v testovacím prostředí, schválením změny, implementací v produkčním prostředí a možností vrácení změny (rollback).
  • Procesu zvládání incidentů – musí zahrnovat, jak budete reagovat na kybernetický incident: kdo incidenty detekuje a jak, kdo rozhoduje o klasifikaci incidentu, jaké jsou postupy pro jednotlivé typy incidentů, kdo a jak komunikuje s vedením a vnějšími subjekty a jak se incident dokumentuje a prošetřuje.
  • Procesu řízení dodavatelů – vaši dodavatelé IT služeb mohou být bezpečnostním rizikem. Musíte vést evidenci významných dodavatelů, hodnotit jejich bezpečnostní opatření, zahrnout bezpečnostní požadavky do smluv a pravidelně kontrolovat jejich plnění.

Co s nedostatkem lidí?

Kvalifikovaných IT a bezpečnostních specialistů je nedostatek a nemocnice nemohou konkurovat platovými nabídkami komerčního sektoru. To je realita, se kterou je potřeba počítat, ale kterou lze vyřešit. Pokud nemáte kapacitu interně, využijte externí konzultanty. Mnohé činnosti (audity, školení, návrh architektury, monitoring) lze zajistit formou služby. Je to často levnější a efektivnější než snaha dělat všechno interně s nedostatečnými zdroji. Dobré je také investovat do nástrojů, které automatizují rutinní činnosti. 

Není to jen IT problém

Cesta k bezpečné nemocnici není snadná ani rychlá. Vyžaduje investice, úsilí, a především změnu myšlení. Kybernetická bezpečnost není jen IT problém, je to problém celé organizace. Musí ho řešit vedení nemocnice, všechna oddělení, všichni zaměstnanci. Ale je to cesta, kterou se musí jít. Protože alternativa – čekat na další úspěšný útok a pak hasit následky – je mnohem dražší. A může ohrozit životy pacientů. 
 
Michal Štusák
Autor článku je expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Jak proměnit výrobní data v podklady pro správná rozhodnutí

V aktuálním vydání IT Systems jsme se zaměřili především na digitalizaci výrobních podniků, které zažívají velmi složité období. V posledních letech prošel český průmysl pandemií a energetickou krizí, k tomu stále trvá geopolitická nejistota a hrozba zásadního narušení dodavatelských řetězců a obchodních vztahů. Změnila tato zkušenost postoj výrobních firem k digitalizaci? Tuto otázku jsem položil hned na úvod rozhovoru s Robertem Fárkem, který stojí v čele firmy ITeuro a specializuje se na IT řešení pro výrobní firmy.