V Česku či Nemecku už kybernetické útoky paralyzovali zdravotnícke zariadenia a ohrozili pacientov aj zdravotníkov. Počas pandémie sa nemocnice a laboratóriá stali najčastejšími cieľmi kybernetickej kriminality. Sú zraniteľné, často nedostatočne chránené a ťažko nahraditeľné. Sú tak perfektným cieľom ransomvérových útokov, keďže prevádzkovatelia často zaplatili výkupné, pretože nevedeli situácii zabrániť a ani ju riešiť.
V súvislosti s vojnou na Ukrajine pribudli v celej Európe útoky na kritickú infraštruktúru a tým aj na stole prevádzkovateľov ďalšie úlohy. A zoznam povinností pre zdravotníctvo sa ani zďaleka nekončí. Technologický progres a regulácie budú zvyšovať nároky na všetky organizácie.
Keďže zdravotníctvo má množstvo rôznych pracovných pozícií, celý sektor je mimoriadne senzitívny na techniky sociálneho inžinierstva. Phishing, čiže podvodné maily, stále zostáva najčastejším vektorom útoku vo svete aj na Slovensku.
„V zdravotníctve pozorujeme malé zlepšenie vnímania témy kybernetickej bezpečnosti,“ hovorí Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT. Na druhej strane však skúsenosť hovorí, že zdravotnícke zariadenia nemajú typicky schopnosť ani vedomosť (a niektoré ani ochotu), ako sa pred týmito hrozbami chrániť.
„Sme si vedomí, že zdravotnícky sektor je celkovo v oblasti IT a, samozrejme, teda aj v bezpečnosti mimoriadne podfinancovaný. Ale zároveň treba povedať, že zariadenia často nevedia financie efektívne využiť a slepo dôverujú dodávateľom,“ upozorňuje Rastislav Janota.
Nejeden audítor kybernetickej bezpečnosti sa v praxi stretol s tým, že nemocnice nakupujú technológie, ktoré sú zbytočné alebo ich reálne nevedia používať. Robia tak namiesto riešenia urgentných problémov, keďže ich nevedia identifikovať a riešiť. A ani dodávatelia túto profesionálnu schopnosť vo väčšine prípadov nemajú.
Zákon však hovorí jasne – za kybernetickú bezpečnosť je zodpovedný štatutár. Preto by súčasťou jeho výkonu mala byť základná znalosť princípov a vedomosti, či delegovať, čo delegovať a ako delegovať. Ani najdrahší outsourcing totiž nevyrieši jeho zodpovednosť.
Takže, kde začať, ak ste zodpovedný manažér?
Pre vrcholový manažment zdravotníckych zariadení sú pripravené regionálne workshopy s odbornou garanciou Národného centra kybernetickej bezpečnosti SK-CERT. Sú určené štatutárom, riaditeľom, prevádzkovým a finančným riaditeľom zdravotníckych zariadení, laboratórií a subjektom v zozname prevádzkovateľov základnej služby.
Kybernetická bezpečnosť v zdravotníctve. Diskutujme o povinnostiach a riešeniach
- Utorok 21. júna Bratislava 13:30
- Streda 22. júna Banská Bystrica 13:30
- Štvrtok 23. júna Košice 8:30
Aby bola zachovaná kvalita a možnosť diskusie, organizátor zdvorilo žiada o potvrdenie účasti mailom.
Informácie: Asociácia nemocníc Slovenska a Národné centrum kybernetickej bezpečnosti SK-CERT