Obecně bych ransomware rozdělil na dva typy – hlasitý a tichý. Hlasitý ransomware po zašifrování počítače okamžitě požaduje zaplacení výkupného a nepřipustí jakoukoliv další činnost. Tichý ransomware po aktivaci začne postupně šifrovat všechny informace na discích přístupných z nakaženého počítače (tedy i síťových) a dále se šíří po celé síti. Po určité době se smažou šifrovací klíče a teprve tehdy se zobrazí požadavek na platbu výkupného. Tento typ ransomwaru je nebezpečnější, neboť v případě špatně nastaveného zálohování můžou být i zálohy nečitelné, tedy obnova nedostupných informací není možná.

Nemocnice jako vhodný cíl pro ransomware?

V nemocničních systémech jsou základními typy informací osobní údaje pacientů (tzv. zdravotní údaje). Jejich nedostupnost může v některých případech způsobit i poškození zdraví pacientů, nemožnost provedení plánovaných zdravotních úkonů nebo chyby při komunikaci se zdravotními pojišťovnami. Dalším problémem typickým pro nemocnice je velké množství informací, které zdravotnická zařízení evidují a archivují (např. rentgenové snímky, výsledky specifických vyšetření, jako např. CT, magnetická rezonance apod.), a tedy problémy s jejich zálohováním. Příčinou toho je značné podfinancování IT a IT bezpečnosti v nemocnicích, které se netýká pouze českého prostředí, ale má globální charakter.

Důležitost dostupnosti informací ve zdravotnickém sektoru a zmíněné problémy, jako podfinancování, nízké povědomí zaměstnanců o kybernetické bezpečnosti a problémy se zálohováním dat, útočníkům přímo nahrávají do karet, neboť v případě mohutného útoku vyděračským virem je velká pravděpodobnost, že nebude možné obnovit systémy do původního stavu (s rozumnou ztrátou dat) a dané zdravotnické zařízení raději zaplatí výkupné. Tato situace byla již několikrát zdokumentována např. v USA, kde kvůli špatnému zálohování a aplikaci „tichého“ ransomwaru nemocnice raději zaplatily požadovanou částku, než aby přišly o veškerá data.

Podle posledních dostupných informací nakazil již zmíněný útok WannaCry přibližně 250 tisíc počítačů z cca 150 zemí a mimo jiné zapříčinil i výpadek Národní zdravotnické služby ve Spojeném království, kdy musely být zrušeny některé naplánované operace. Za odšifrování jednoho počítače bylo požadováno výkupné ve výši 300 USD. Virus mimo jiné napadl také slovenskou Fakultní nemocnici v Nitře, ovšem přesnější informace o výskytu těchto virů v ČR (počty nakažených počítačů, napadené společnosti apod.) prozatím nejsou k dispozici, neboť dosud není žádnou legislativou vyžadováno hlášení napadení informačních systémů. To se má brzy alespoň částečně změnit.

Změny v legislativě (ZKB a GDPR)

Novinky v legislativě tento stav nulové informovanosti o útocích změní. Konkrétně mám na mysli novelu zákona o kybernetické bezpečnosti, která nově definuje další skupinu dotčených subjektů jako Poskytovatele základních služeb. Do této skupiny budou mimo jiné patřit i větší nemocnice (pravděpodobně s více než 500 lůžky), které budou muset plnit bezpečnostní opatření dle vyhlášky o kybernetické bezpečnosti (předpis č. 316/2014 Sb.). Jednou z celé řady těchto povinností je hlášení kybernetických bezpečnostních incidentů.

Další legislativou, která tento stav mění, je Nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, známější pod zkratkou GDPR. Toto nařízení se dotkne všech subjektů zpracovávajících osobní data, a i zde je povinnost hlášení porušení zabezpečení, které musí proběhnout do 72 hodin.

Na projekty kybernetické bezpečnosti existují dotace

O ZKB již existuje mnoho článků, tedy není důvod zde popisovat, co novela zákona o kybernetické bezpečnosti je a co vyžaduje. Důležité je, že díky ZKB mohou některé organizace na pokrytí části bezpečnostních opatření čerpat finanční prostředky z evropských dotací. Konkrétně se jedná o Výzvu č. 10 Kybernetickou bezpečnost IROP, přičemž oprávněnými žadateli o dotace jsou následující subjekty:

• organizační složky státu,
• příspěvkové organizace organizačních složek státu,
• státní organizace,
• státní podniky,
• kraje,
• organizace zřizované nebo zakládané kraji,
• obce (kromě Prahy a jejích částí),
• organizace zřizované nebo zakládané obcemi (kromě Prahy a jejích částí).

Žadatelé přitom musí spadat pod ZKB, a to jako provozovatelé kritické informační infrastruktury, významného informačního systému nebo informačního systému základních služeb. Doposud bylo podáno 6 žádostí v celkové výši 167 mil. Kč, tedy k čerpání ještě zbývá cca 1 033 mil. Kč. Ukončení příjmu žádostí bylo v květnu prodlouženo až do 22. listopadu 2017, nicméně předpokládám, že díky novele zákona bude termín odevzdání žádostí ještě prodloužen.

Větší nemocnice budou v rámci novely postupně určovány jako poskytovatelé základní služby. Po tomto určení budou mít povinnost do jednoho roku nasadit požadovaná bezpečnostní opatření, což bude náročné na čas, lidské zdroje a samozřejmě i finance. Je proto vhodné začít co nejdříve uvažovat nad tím, zda nebude žádoucí část těchto opatření pokrýt zmíněnou evropskou dotací. V případě, že o tom opravdu uvažujete, byste si měli začít připravovat veškeré podklady nutné pro podání žádosti.

GDPR vs. nemocnice

Stejně jako u ZKB není primárním záměrem popisovat na tomto místě požadavky nového nařízení o ochraně osobních údajů (GDPR), ale shrnout základní informace o tom, jak by na ně zdravotnická zařízení měla správně reagovat.

Nemocnice spravují snad nejcitlivější druh osobních údajů – údaje o zdravotním stavu pacientů. V papírové i elektronické podobě zde můžeme najít nejen záznamy o zdravotních potížích, způsobech léčby a předepsaných lécích, ale i záznamy o užívání drog či alkoholu a řadu dalších informací, které by nebylo vhodné zveřejňovat. Implementace GDPR spočívá zjednodušeně v tom, že si daná organizace (nemocnice, klinika či např. zdravotní pojišťovna) dokáže 100% odpovědět na následující otázky:

• Víte opravdu o všech osobních údajích, které zpracováváte?
• Můžete s jistotou uvést, proč a jak tyto údaje zpracováváte?
• Máte ke všem údajům relevantní právní titul, tedy zákonný důvod, nebo souhlas subjektu?
• Můžete s jistotou uvést, kde jsou tyto osobní údaje uloženy, jak jsou zpracovávány a kdo a proč k nim přistupuje?
• Máte jistotu, že dokážete splnit všechny požadavky GDPR, např. právo na přístup a výmaz, trvalou ochranu informací, nahlášení incidentu do 72 hodin aj.?

Zdravotnická zařízení si tedy v první řadě budou muset uvědomit, co všechno patří mezi osobní údaje: za osobní údaj se považují například i e-mailové a IP adresy, historie navštívených stránek, cookies, komentáře na blozích nebo fotografie. Dále musí provést důkladnou inventuru všech zpracovávaných osobních údajů jak z pohledu IT, tak z pohledu interních procesů; jasně definovat účel, za kterým dané osobní údaje zpracovávají a jak dlouho mohou tyto údaje uchovávat (ideálně zákonný požadavek). Na závěr potom provést analýzu rizik při zpracovávání osobních údajů a na jejím základě aplikovat patřičná bezpečnostní opatření. Související kroky pak budou spočívat v plnění mnoha dalších požadavků GDPR, jako např. právo na výmaz, systém hlášení incidentů, nutnost existence pověřence pro ochranu osobních údajů (DPO) apod.

Jde o relativně jednoduché otázky, nicméně k poctivým stoprocentním odpovědím bude asi složitá cesta. A pozor, nezbývá mnoho času: GDPR musí být plně implementováno do 25. května příštího roku.

Zbyněk Malý Autor článku je Senior Security Consultant ve společnosti ANECT.