Hlavička
05/09/2022

Jsou data v českém zdravotnictví dostatečně chráněná před kybernetickými útoky? Spousta nemocnic nemá skoro nic, říká odborník na kybernetickou bezpečnost Petr Samek

V posledních několika letech došlo k řadě kybernetických útoků na nemocnice. Můžeme uvést například nemocnici v Benešově, Kosmonosech a v Brně. Větší ochranu snad přinesou blížící se dotace, které se na oblast kybernetické bezpečnosti zaměřují. Bude to ale stačit? Co je důležité, aby daná opatření byla efektivní? Jak nejčastěji hackeři útočí? V čem nemocnice při zajištění kybernetické bezpečnosti nejvíce chybují?

reklama

reklama

Na tyto a další otázky odpovídal v rozhovoru spoluzakladatel firmy CNS a odborník na kybernetickou bezpečnost Petr Samek.

V posledních letech jsme v Česku zažili několik kybernetických útoků na nemocnice. Co bývá nejčastějším cílem hackerů?

Než odpovím na otázku, rád bych řekl jednu myšlenku a nechci se vyhýbat tématu. Začala jste slovem „nemocnice“. Všichni, kdo mluví o zdravotnictví, zmiňují nemocnice. Zrovna covid však ukázal, že nemocnice jsou samozřejmě důležitou součástí zdravotnictví a přicházíme s nimi do styku, ale za nimi je komplement v podobě zdravotnických laboratoří, rentgenů, CT (computed tomography – radiologická vyšetřovací metoda, která pomocí rentgenového záření umožňuje neinvazivní zobrazení vnitřních orgánů a tkání člověka, pozn. red.) a dalších vyšetřovacích metod. Polikliniky jsou plné ambulancí. Když se s někým bavím o kybernetické bezpečnosti ve zdravotnictví, mluví o nemocnicích.

reklama

Myslela jsem komplex zdravotnictví obecně…

Ano, a neříkám to jako chybu, ale jako obecný pohled na zdravotnictví, který se rovná nemocnice. Ale zrovna covid z mého pohledu ukázal, že kdyby se někomu podařilo tak, jak se povedlo vypojit benešovskou nemocnici, vypnout jeden z velkých řetězců poskytujících laboratorní služby, tak v tu chvíli jsou nemocnice úplně vedle, protože by nedokázaly pracovat s tím návalem nevyšetřených pacientů. Dnes doktoři často vyšetřují na základě rentgenů, CT, výsledků z laboratoře a dalších podpůrných metod. Pacienta pomalu nevidí. V tu chvíli by byli úplně slepí. Byla by chyba, kdyby se všichni včetně politiků zaměřili pouze na pomoc nemocnicím. Musíme myslet na zdravotnictví jako na celý komplex.

Když jste zmínil další opomíjené oblasti zdravotnictví – na které se zapomíná nejvíce?
Obecně většina manažerů ve zdravotnictví, ať už v soukromém, nebo státním, má tendenci myslet na to, že mají léčit lidi. Pracují s nějakými rozpočty, které plynou ze systému zdravotního pojištění, a v rámci těchto rozpočtů musí zaplatit doktory, zdravotní sestřičky, přístroje, energie. Když by nepřidal doktorovi, odejde. Když nekoupí nové CT za staré, které nefunguje, má problém. Kybernetická bezpečnost tak žhavým tématem není a ještě nějakou dobu vydrží. Zapomíná se na ni jak v rámci finančních možností, tak mentálních kapacit. IT pro ně představuje bandu zvláštních lidí, kteří spravují nějaké servery. Když ale odbočím od zdravotnictví, nedávno proběhl kybernetický útok na Ředitelství silnic a dálnic (ŘSD) a organizace zůstala dva měsíce totálně paralyzovaná (počítačový systém ŘSD byl napaden 17. května 2022 ransomwarem, což je vyděračský program, který zašifruje data, pozn. red.). Když dojde k podobnému rozsáhlému kybernetickému útoku na jakoukoli část zdravotnictví, může nastat zásadní problém. Jenže kybernetická bezpečnost není na pořadu dne. Na Benešov, Kosmonosy a Brno (zde v nemocnicích proběhly kybernetické útoky, pozn. red.) už se zapomnělo, spousta manažerů jede prostě dál a IT je taková popelka.

Když už se takové útoky staly, pociťujete pak ze strany nemocnic vyšší poptávku po kybernetické ochraně? 

Ne. Bohužel nepociťuji. Je fakt, že stát připravil několik dotačních programů, které se týkají oblasti kybernetické bezpečnosti. Doufám, že pomohou nemocnicím se v bezpečnosti posunout. Otázka však je, jak k tomu přistoupí. Nejobvyklejším způsobem je zkrátka něco pořídit. Koupí antivirový systém, zabezpečí koncové stanice, utratí 20 milionů korun a cítí se jako vítězové. Sice mohli mít něco levnějšího, ale dobře, dostali dotaci. Ale myslím si, že problém je v tom, že málokdo – a doufám, že se to díky dotacím změní – k tomu přistoupí komplexně. Že si řekne o. k., mám tady potenciální problém a já vlastně nevím, jak na tom jsem. Vědí, jak jsou na tom z hlediska zdravotní péče. Vědí, že dokážou odoperovat tolik a tolik lidí a že mají konkrétní přístroje a vybavení. Ale co se týče kybernetické bezpečnosti, tak obvykle nevědí a důvěřují svým ajťákům. 

Podle mého názoru – a snad v tom nejsem sám – by měli všichni jít cestou auditů. Aby někdo jiný, cizím okem, udělal detailní audit ve všech oblastech, které se kybernetické bezpečnosti týkají. Nejde zdaleka jen o technikálie jako počítače, kabely, nastavení programů nebo antiviry. Hlavní rozměr je procesní. Podle jakých regulí ajťáci pracují a jak následně pracují uživatelé s danými počítači? Jak často se mění hesla? Kdo používá administrátorský přístup? Jak složité je heslo? Používá se multifaktorová identifikace? Spousta nemocnic nemá skoro nic, nebo vůbec nic. 

Jaké jsou ty hlavní procesní základny, které je potřeba rozebrat?
První oblastí jsou lidské zdroje. Kdo z těch nemocnic školí své pracovníky, aby přistupovali ke svému počítači bezpečně? A opět jsme u oblasti hesel a vynucování pravidel – např. nesmím dát cizí flashku do počítače, nesmím tam nahrát žádný cizí program, nesmím otevřít v e-mailu škodlivou přílohu. Těch „nesmím“ je hodně. Vedle školení je testování, protože když někoho školíte, musíte zjistit, jestli mu něco v té hlavě zůstalo. Provádějí se fiktivní útoky phishingové, kdy lidem posíláte maily obsahující škodlivou přílohu a oni na to buď kliknou a někde to nahlásí a vyhodnotí se to, nebo na to nekliknou a vlastně pochopili, že to nesmí dělat. 

Druhou oblastí jsou dodavatelské vztahy. Nemocnice nemohou vše dělat samy. Spolupracují s firmami, s kterými mají podepsané smlouvy. A co když se stane útok na tyto firmy? Jaké mají povinnosti? Jaká je doba, do které musí zareagovat? Jaké kapacity jsou schopny poskytnout? Jak ony samy sebe chrání, aby do nemocnice nezanesly nějaký škodlivý software? Na první pohled nenápadná, ale taktéž velmi důležitá součást kybernetické bezpečnosti. Do nemocnic přichází spousta lidí, mají tendenci zapnout své notebooky a mobilní zařízení a vše představuje hrozbu. Proto audit musí být mnohem komplexnější, než je současným standardem. 

Jak dlouho takový audit trvá?
Záleží na velikosti zařízení, ale není to na roky. Důležité jsou výstupy z něj, navržená opatření. Ta nevyřešíte za týden, ani za měsíc, ani za rok, jsem přesvědčen. Musí se udělat střednědobý a dlouhodobý plán, jak oblast kybernetické bezpečnosti řešit. K plánu se musí vytvořit i rozpočet – od nuly do konce to bude třeba stát 50 milionů korun, což představuje také vytváření finančních zdrojů. Část pokryjí dotace, část ministerstvo a na část přispějí sami. Musí se to začít projektově řídit a realizovat. Obávám se ale, že bude složité manažerům nemocnic vysvětlit, aby si takovým procesem prošli. Ale jen tak si mohou být jistí, že udělali vše proti napadení. Samozřejmě vás napadnout mohou. Napadají nejchráněnější organizace jako CIA a FBI, ale organizace musí udělat vše pro to, aby se to nestalo. 

V médiích se ukazuje jen špička ledovce

Ten, kdo se chce ubránit hackerovi, by měl údajně přemýšlet jako on. Když jste mluvil o tom, co vše je potřeba ochránit, tak na co nejčastěji útočníci cílí? Na data? Nebo chtějí organizaci paralyzovat?

Z mého pohledu jsou dva základní scénáře, i když jich je samozřejmě více. Zaprvé paralyzovat. Buď za účelem čistě škodit, nebo za účelem vymáhat výkupné. Klasický scénář: My vám zašifrujeme data, dejte nám 10 bitcoinů a my vám data vrátíme. Druhý a z mého pohledu snad ještě horší scénář je, když je organizace napadená, ale neví o tom. Opatření organizace nejsou dostatečná a dotyčný si tím pádem může uvnitř dělat, co chce. Může získávat provozní data, pacientská data a každá data jsou obchodovatelná. Teď záleží na tom, jak velká nemocnice to je, kolik dat má. První i druhý scénář může skončit tím, že si zloděj všechno vzal a na konec ještě data zašifruje, aby instituce zaplatila.

Přijde mi, že v posledních dvou letech proběhlo kybernetických útoků více.

Více se o nich mluví, ale i v reálu je jich víc.

Nebyl větší počet útoků zapříčiněný chaosem způsobeným covidem, kterého mohli hackeři využít?
Myslím si, že ne. Dokonce část hackerské scény deklarovala, že nechce situace zneužít. Byly to ale jen deklarace. Nakonec ty veřejné útoky jsou známé. Jsem přesvědčený a vidím to u zákazníků, pro které pracujeme, že co se dostane do novin a médií, je jen špička ledovce. Kdo může z jakéhokoli důvodu případnou ztrátu nebo problém utajit, tak to udělá. Nikdo se nechce chlubit tím, že se mu někdo dostal do systému, že mu možná někdo zkopíroval data a on ani neví jaká. Tzn. pokud útok nevede ke kolapsu systému a je to trochu možné, tak se vše řeší v utajení. Hrozí ztráta dobrého jména, museli by vysvětlovat pacientům, úřadům. Když třeba ani nevíte, co jste ztratila, nebo dokonce víte. (úsměv)

Jak kybernetické útoky nejčastěji probíhají? Zmínil jste, že se testují i zaměstnanci, jak jsou vůči útokům odolní. Jedná se tedy většinou o selhání lidského faktoru?

V absolutní většině sehraje roli lidský faktor podmíněný nedostatečnými technickými opatřeními. Ta opatření mají být taková, aby člověku nedovolila udělat nějakou operaci, která škodlivý software přijme. Technická opatření jsou každopádně vždy krok za útočníky. Všechny tři útoky ve zdravotnictví způsobil myslím ransomware – e-mail, otevřu přílohu, zaviruje se celá síť počítače a následně se stalo, co se stalo. Je vždy jednodušší využít lidského faktoru než se do systému složitě prolamovat. Často zmiňuji příklad, že bílý plášť a fonendoskop vás pustí úplně všude. Převlečený útočník se musí dostat přes vrátnici, což není nijak složité, a jen musí najít počítač, který není v danou chvíli ani zavřený, nebo někoho požádat o přihlášení – kdo by odmítl tomu milému panu doktorovi? (říká s úsměvem) Pak už jen nahraje škodlivý software a má otevřená vrátka navždy. Poté už pracuje z vnějšku a potřebuje na to jen 30 vteřin, aby udělal operaci, která mu do budoucna zajistí přístup. Může za to člověk, který nechal třeba během obědové pauzy otevřený počítač. Ale může za to i IT, které má mít bezpečnostní systém nastavený tak, aby se v nepřítomnosti člověka za dvě minuty počítač sám zavřel. 

Jaká jsou další opatření? Přece jen antivirových softwarů existuje spousta a Česko v nich dominuje. Co jsou nejefektivnější a první věci, které by měl zdravotnický systém mít?

Nejdůležitější je oblast hesel. V blízké době už budou jistá doporučení k heslům pro zdravotnická zařízení povinná. Jak dlouhé má být heslo, jakou má mít strukturu, jak často se má měnit. Proběhne to v rámci elektronizace zdravotnictví. Dle zákona o kybernetické bezpečnosti kritická infrastruktura zahrnovala jen sedm nemocnic. Minulý rok došlo k rozšíření na daleko větší počet specifických nemocnic a teď se mluví o tom, že některé standardy budou povinné pro obor jako celek. Což je z mého pohledu správně.

Co ještě vedle hesel?
Bezpečnostní politika v nastavení serverů. Jak často mají být aktualizované. To sice neovlivní uživatel, ale IT oddělení. Vynucování automatického odhlašování počítače v případě neaktivity, hlídání špatných příloh, vypínání USB portů v počítačích, aby tam člověk nemohl dát flasku a z ní něco zkopírovat. Jeden z oblíbených virálů (video šířené internetem, pozn. red.) v rámci kybernetické bezpečnosti byl na téma pohozených flashek, které lidé jen posbírají a vrazí rovnou do počítače, aby se podívali, co tam vlastně je. A hle, on vir. (úsměv) Dále pravidla týkající se mobilní techniky, aby měla dvoufaktorové ověřování. Dnes spousta lidí pracuje přes notebook a VPN a všechna tato zařízení by měla mít šifrovaný disk. Opatření je strašně moc a málokdo alespoň některá z nich dělá. Lidé by pravidla měli znát a chovat se tak, aby nebyli potenciálním nebezpečím. 

Investice versus možné škody

Očividně stačí hackerům osvědčené postupy, protože lidé jsou nepoučitelní. Je něco, co se v posledním roce dvou objevilo jako nový hackerský způsob?

Varianty škodlivých softwarů jsou čím dál chytřejší. Dokážou se maskovat, ale že by přišli s něčím objevným… to není potřeba. Tím, že nejslabším faktorem jsme my lidé, tak stačí využít naší slabosti. Uvedl jsem příklad bílého pláště a fonendoskopu. Totéž ale může udělat, když se převleče za IT pracovníka. Ve větších nemocnicích je neznají. Člověk se patřičně oblíkne, visačku si vyrobí a jde jen něco opravit na počítači. Stačí 10 minut. Řekne: „Nezlobte se, musím něco opravit, přihlásíte se mi?“ Často si představujeme někoho, kdo sedí někde v pošmourné místnosti, jí pizzu a snaží se prolomit hesla. Ale když chce provést cílený útok, mnou zmíněný způsob je jednodušší. A když ten útok není cílený, což v těch nemocnicích myslím nebylo, tak stačilo rozeslat e-maily a někdo ho otevře. Technická opatření nebyla na úrovni, aby na hrozbu zareagovala. 

Když už se takový útok stane, co by měla napadená nemocnice udělat jako první? Samozřejmě jiná situace je, když někdo vydírá. Pak je otázka, jestli zaplatit, nebo ne. Co obecně ale nastává?

Větší organizace, které jsou součástí kritické infastruktury, mají jasně daná pravidla. Jsou součástí státu, kterému napadení nahlásí, a ten se jim snaží pomoci. My jsme v rámci naší firmy dali dohromady webovou stránku kybernetickapohotovost.cz, která se zabývá kybernetickou bezpečností a má dvě části. Zaprvé oblast ‚Nouzová situace‘, a pokud člověk odpoví na jednu ze sedmi jednoduchých otázek ne, tak má kontaktní telefon a e-mail, aby se obrátil na nás. Druhá je ‚Prevence‘, a pokud opět odpoví na některou otázku ano, tak by bylo dobré, aby nás kontaktoval. Vytvořili jsme web jako osvětu, protože si myslím, že osvěta tady chybí, a když náhodou nechybí, tak ji neposlouchají. (úsměv) A jsme zpátky u smluvních vztahů. Každé zdravotnické zařízení by mělo mít pro tento případ nějakého partnera, který pomůže. Mělo by mít recovery plán a spoustu věcí, co se stane, když… Když se něco stane, kde mám zálohy a jak často se dělají? Jsou ty zálohy taky zavirované? Když je obnovím, tak je obnovím s virem a jsem tam, kde jsem byl? Tyto věci se nekontrolují a přechází se a výsledek je, jaký je.

Když už hacker dospěje k vydírání, co se v takové situaci dělá? Vyjít vstříc asi není žádná jistota a může se to jen opakovat a data zpět nedostanu.

Vyjít vstříc neznamená, že zaplatíte a dostanete se do původního stavu. Můžete taky zaplatit a nemít nic. Druhá věc je, že nejsem právník, ale může stát zaplatit vyděrači? Může fakultní nemocnice zaplatit vyděrači? Je to legální? Právní rozměr je z mého pohledu složitý a určitě bych se snažil jít cestou záchrany dat, pokud je to trochu technicky možné. Máme případy, kdy se to povede, protože jsou zálohy anebo není napadený celý systém. Ale obvykle to trvá a není to levné. 

Podaří se někdy odhalit, odkud útok přišel? Z tuzemska, ze zahraničí…

Někteří říkají, že jsou schopni útočníka vystopovat. Nikdy si ale nemůžete být stoprocentně jistá. Útočníci se dokážou opakovaně maskovat. Podle mě to ale ani není podstatné. Podstatné je, jak zachránit data, vzpamatovat se a v druhém kroku se poučit. Škody musí být obrovské. Nevím, kolik kybernetický útok stál v Benešově, ale opatření, která by vedla k tomu, aby se útok nestal, by byla na úrovni 10 procent z toho, co je to stálo ve finále. Nejen záchrana, ale i samotný výpadek, kdy nemocnice nevydělávala. Nikdo si není schopen udělat analýzu rizik. Když nepojedeme den, vznikla by ztráta X. Když nepojedeme týden, vznikla by ztráta Y. Když by za týden hrozila ztráta 100 milionů, jsme ochotni dát do kybernetické bezpečnosti 10 milionů? Většinou ne.

Kdybychom si měli zavěštit, na co se bezpečnostní firmy budou zaměřovat ve výhledu 5 let?

Myslím, že se budeme zaměřovat na to, aby všichni pochopili, že je jedno, jak jsem velký, ale otázka bezpečnosti se týká i mě a vás. Například v mém okolí se stalo iks lidem, že jim útočník sebral identitu na Facebooku nebo přístup do e-mailové schránky, následně oslovoval jejich kamarády s prosbou o peníze. Jedinci i velké organizace by si měli uvědomovat hodnotu svých aktiv a o kolik peněz mohou přijít, když nebudou fungovat den, týden, měsíc… Vysvětlovat to lidem je trochu evangelizační proces, ale postupně se to daří, a to „díky“ problémům, které se skutečně objevují. „Díky“ tomu, že přibývá firem, které byly napadeny. Přirovnávám to k 90. letům, kdy se začala zálohovat data. Nikdo nezálohoval, protože „přece o žádný nepřijdu“. Když o ně někdo přišel, byl přesvědčený, že podruhé se mu to nestane. Největší počet zákazníků v oblasti zálohování dat jsme měli mezi těmi, kteří přišli o data dvakrát. Dnes je to to samé. Každý nějak pracuje s kybernetickou bezpečností. Nás nikdo nenapadne, jsme malá firma s několika zaměstnanci. Opravdu?

Autor: Pavlína Zítková

Foto: CNS / poskytl ředitel firmy CNS Petr Samek

reklama

reklama


reklama

reklama