Podfinancované a preťažené zdravotníctvo sa snaží za behu zvládnuť elektronickú komunikáciu, prácu a diagnostiku na diaľku, legislatívnu ochranu dát aj rastúci počet prístrojov pripojených do internetu. Ak hovoríme o kybernetickej bezpečnosti, zdravotníkov aj celú krajinu ťaží nedostatok profesionálov, papierové riešenia a nekvalifikovaní dodávatelia. Takže – kto je zodpovedný, ak zlyhá bezpečnosť?
Zákon hovorí jasne – za kybernetickú bezpečnosť zodpovedá štatutár
Rovnako ako iné organizácie aj zdravotnícke zariadenia služby kybernetickej bezpečnosti nakupujú, tento outsourcing však nezbavuje štatutára zodpovednosti. A niekedy ani tieto služby nie sú zabezpečené a riaditelia to – či z nevedomosti alebo preťaženosti neriešia.
„Veľmi vágne, podpriemerné, často až nijaké rozpočty na riešenie kybernetickej bezpečnosti,“ zhŕňa skúsenosť z terénu Tomáš Antonič, technický riaditeľ iServices. A hneď s porozumením dodáva, že nemocnica má v prvom rade liečiť pacientov, nie techniku, a peňazí je vo všeobecnosti v tomto segmente málo. „Ale je potrebné si uvedomiť, že kybernetický útok môže kompletne odstaviť celú nemocnicu v priebehu pár minút, sekúnd, a v takomto prípade už naozaj môže ísť o ľudské životy.“
Riziká, ktorým čelí slovenské zdravotníctvo, sú priam exemplárne. „Je tu nedostatok kvalifikovaných IT odborníkov, sektor je mimoriadne citlivý na techniky sociálneho inžinierstva a ďalšiu oblasť veľkého rizika prináša dodávateľský reťazec,“ konštatuje Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT.
Najčastejším vektorom útoku je na Slovensku phishing
„Jedno neopatrné kliknutie a už to ide. Aj keď to bol taký nenápadný mail. Kompromitovaný počítač pre neopatrné správanie používateľa a slabú kybernetickú ochranu umožňuje útočníkovi doručiť škodlivý kód a uskutočniť kroky pre utajený prístup alebo presuny v napadnutom prostredí,“ varuje Roman Varga, manažér kyberbezpečnosti zdravotnej poisťovne Dôvera. Preto ak hovorí o bezpečnosti, jedným dychom hovorí o vzdelávaní zamestnancov.
Ak už teda nemocnica či laboratórium vyriešia vlastnú ochranu, čaká ich ďalšia nástraha. V zdravotníctve je veľa dodávateľov rôznych zariadení a špecializovaných služieb. Spoločné majú často používanie zastaraných IT technológií so známymi zraniteľnosťami či neochotu až neschopnosť riešiť kybernetickú bezpečnosť.
Takže, kde začať, ak ste zodpovedný manažér?
Pre vrcholový manažment zdravotníckych zariadení sú pripravené regionálne workshopy s odbornou garanciou Národného centra kybernetickej bezpečnosti SK-CERT. Sú určené štatutárom, riaditeľom, prevádzkovým a finančným riaditeľom zdravotníckych zariadení, laboratórií a subjektom v zozname prevádzkovateľov základnej služby.
Kybernetická bezpečnosť v zdravotníctve. Diskutujme o povinnostiach a riešeniach
- Utorok 21. júna Bratislava 13:30
- Streda 22. júna Banská Bystrica 13:30
- Štvrtok 23. júna Košice 8:30
Aby bola zachovaná kvalita a možnosť diskusie, organizátor zdvorilo žiada o potvrdenie účasti mailom.
Informácie: Asociácia nemocníc Slovenska a Národné centrum kybernetickej bezpečnosti SK-CERT
