fb
IT Systems 11/2018 Veřejný sektor a zdravotnictví IT právo IT Security 24. 12. 2018 6:00

Novela zákona o kybernetické bezpečnosti

a její dopady na zdravotnictví

11-pwc-01Vybraná zdravotnická zařízení se musí připravit na požadavky stanovené zákonem o kybernetické bezpečnosti. To pro ně bude zejména znamenat finanční náklady a obtížné shánění drahých profesionálů v oblasti IT bezpečnosti.

Novela zákona o kybernetické bezpečnosti (zákon č. 205/2017 Sb.), která transponovala směrnici o bezpečnosti sítí a informačních systémů v Evropské unii (2016/1148, dále jen směrnice NIS), ovlivnila rozsah subjektů, na které zákon o kybernetické bezpečnosti dopadá. Regulace se již nesoustřeďuje pouze na kritické informační a komunikační systémy, které jsou úzce provázány s kritickou infrastrukturou (tzv. kritická informační infrastruktura), a významné informační systémy veřejné správy, ale nově i na informační systémy, na jejichž fungování je navázáno poskytování tzv. základních služeb, mezi které patří mimo jiné i poskytování zdravotnické péče.

Je nepochybné, že zdravotnictví patří mezi opravdu klíčové společenské činnosti, pracuje s citlivými informacemi a dopady při útoku na jeho fungování mohou být velmi závažné. Jak je tedy možné, že nespadá pod regulaci zákona o kybernetické bezpečnosti již od počátku jeho účinnosti (tj. od ledna 2015)?
Odpověď na výše uvedenou otázku nalezneme v nastavení krizového zákona, se kterým je fungování režimu zákona o kybernetické bezpečnosti velmi úzce spjato. Konkrétněji pak v nastavení odvětvových kritérií uvedených v nařízení vlády č. 432/2010 Sb. Formálně by totiž zdravotnictví mělo spadat i pod původní nastavení zákona o kybernetické bezpečnosti. Krizový zákon a výše zmiňované nařízení s tímto sektorem totiž počítají. Jak to však již mnohdy bývá, ďábel se v tomto případě ukrývá v detailu. Konkrétně v nastavení odvětvového kritéria, bez jehož naplnění nelze zdravotnické zařízení určit jakožto prvek kritické infrastruktury, tím pádem nelze jeho informační systémy zařadit mezi prvky kritické informační infrastruktury. Jakožto prvek kritické infrastruktury totiž může být určeno pouze zdravotnické zařízení, které mimo jiné splňuje podmínku, že disponuje nejméně 2 500 akutních lůžek.

Při zběžném průzkumu výročních zpráv velkých českých nemocnic však zjistíme, že výše uvedené číslo je v českých poměrech téměř nereálné naplnit. Pro příklad uvedu Fakultní nemocnici v Motole, která jako největší česká nemocnice evidovala v roce 2017 celkem „pouze“ 2 199 lůžek, a druhé největší zdravotnické zařízení v České republice, Fakultní nemocnice Brno, eviduje za rok 2018 zatím průměrně 1 887 lůžek. Je tedy zřejmé, že stanovené odvětvové kritérium v České republice žádné zdravotnické zařízení nesplňuje. Krizový zákon, potažmo zákon o kybernetické bezpečnosti, na nemocnice v rámci původního režimu tudíž nedosáhl. Je však opravdu nutné, abychom nemocnicím ukládali finančně i personálně náročné povinnosti a stavěli je tak na roveň jiným klíčovým organizacím, jako jsou např. elektrárny nebo ministerstva? Vždyť v případě výpadku jedné nemocnice mohou být pacienti převezeni do jiné a finance jsou ve zdravotnictví zásadním problémem na všech frontách, ať už jde o platy personálu nebo nákup drahých zařízení.

Odpověď zní jednoznačně ano. Ani nemocnicím se totiž nevyhýbají technologické změny. Nemocnice jsou závislé na rozsáhlých informačních systémech, které obsahují veškeré záznamy o pacientech, jejich diagnózách a medikacích. Výpadek takového systému na pouhý jeden den může způsobit nemocnici rozsáhlé škody a ovlivnit její fungování. Nemocnice také pracují s velmi citlivými daty, která mohou být sama o sobě velmi cenná a na černém trhu žádaná. Při napadení nemocnice, např. za použití ransomwaru, tak existuje naprosto reálné nebezpečí, že nemocnice o tato data přijde. Ostatně nemocnice již těmto útokům v minulosti čelily, viz např. útok ransomwaru WannaCry. Tím největším rizikem však je, že při narušení jejich činnosti mohou být (a často i jsou) ohroženy lidské životy.

Představme si hypotetickou situaci v nemocnici A, která čelí útoku hackera-insidera. Ten má velmi snadný, ale neautorizovaný přístup k účtu (personál totiž neuzamyká svoje pracovní stanice) s rozsáhlými přístupovými oprávněními do záznamů jednotlivých pacientů v rámci pooperačního oddělení. Cílem hackera je pozměnění informací o diagnózách a medikacích jednotlivých pacientů. Zejména chce zaměnit kontraindikace s jinými léčivy. Nemocnice v následujících dnech čelí vysokému výskytu komplikací a alergických reakcí, přičemž v nezanedbatelném procentu případů dochází k úmrtí pacienta. Po následujícím vyšetřování, které útok i jeho příčinu odhalilo, čelí nemocnice mnoha žalobám ze strany pozůstalých a bývalých pacientů. Může se to zdát na první pohled přehnané, je však velmi pravděpodobné, že v budoucnosti nebudeme čelit teroristickým bombovým útokům, ale útokům na informační systémy důležitých společenských institucí, mezi něž lze počítat i zdravotnická zařízení, a jejichž přímým důsledkem budou rozsáhlé materiální a finanční škody, a v těch nejhorších případech i zmařené lidské životy a zdraví.

Samostatným problémem pak může být používání moderní zdravotnické techniky. Nemocnice, která si za nemalé prostředky pořídí nejnovější diagnostické zařízení, jehož zabezpečení však věnuje pramálo pozornosti, se může stát velmi snadno předmětem cíleného útoku. Škody na takovémto zařízení velmi pravděpodobně převýší náklady na jeho řádné zabezpečení.

Lze tedy říci, že legislativa před novelizací zákona o kybernetické bezpečnosti měla v této oblasti vážné nedostatky. V souvislosti s faktem, že regulace poskytovatelů základních služeb necílí přímo na kritické prvky ovlivňující fungování státu jako takového, ale na prvky, jejichž narušení může mít i „pouze“ regionální dopady, odpovídá současné nastavení daleko více stávajícím potřebám. V rámci určování základních služeb jsou totiž kritéria nastavena na výrazně nižší hodnoty, než je tomu u prvků kritické infrastruktury.

Pro určené nemocnice z toho vyplývá, že se budou muset řídit požadavky zákona o kybernetické bezpečnosti, což zahrnuje zavedení systému řízení bezpečnosti informací, včetně provedení analýzy rizik a implementaci příslušných technických a organizačních bezpečnostních opatření, jak je definuje vyhláška o kybernetické bezpečnosti č. 82/2018 Sb. Zároveň budou mít tyto nemocnice povinnost komunikovat a spolupracovat s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) a reportovat incidenty týmu vládního CERT. V případě neplnění těchto povinností mohou být nemocnice sankcionovány, přičemž horní hranice těchto sankcí činí až 5 mil. Kč.

Řešení otázky kybernetické bezpečnosti v sektoru zdravotnictví je naprostou nutností. Zdravotnictví totiž čím dál tím více spoléhá na moderní technologie a bez systematického řešení zabezpečení těchto technologií je velmi zranitelné vůči vnějším i vnitřním hrozbám, které mohou působit nejenom škody materiální a finanční, ale především ohrozit zdraví a životy pacientů. Odhlédneme-li od zdravotnických zařízení, která budou určena jakožto správci informačních systémů základních služeb a která budou mít zákonnou povinnost svoje zabezpečení systematicky a kontinuálně řešit pod hrozbou případných sankcí, lze více než doporučit, aby každé zdravotnické zařízení začalo o investicích do informační a kybernetické bezpečnosti uvažovat jakožto o mandatorním výdaji, který nelze již nadále opomíjet. Následky mohou být totiž v tomto případě fatální.

11-pwc-02 Hana Valentová
Autorka článku je konzultantkou pro IT bezpečnost ve společnosti PwC ČR.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1