„Situace není o nic lepší než před rokem, kdy jsme vydali podobné varování. Naopak – zatímco se diskutovalo o legislativě, čas plynul. Nemocnice se sice snaží, ale mnohdy jen na papíře. Víme naštěstí i o pozitivních příkladech zdravotnických zařízení, která si vzala naši analýzu k srdci a začala intenzivně pracovat na modernizaci své kybernetické bezpečnosti.
I tak jsou ale stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu k zajištění bezpečnosti a fungování nemocnice nestačí. Věříme, že rozšíření působnosti zákona o kybernetické bezpečnosti na téměř všechna zdravotnická zařízení bude pro ně dostatečným impulzem, aby kybernetickou ochranu brala vážně. Nejde jen o formální splnění legislativy," říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.
Novela zákona o kybernetické bezpečnosti implementující evropskou směrnici NIS2 výrazně rozšířila okruh subjektů, které se jí musí řídit. Tyto subjekty musí splnit řadu povinností a dodržet určité lhůty. Do konce roku se organizace poskytující tzv. regulovanou službu – kam patří právě i nemocnice – musely zaregistrovat u NÚKIB.
„Subjekty, které nestihly v daném čase registraci provést, tak mohou stále učinit, ale hrozí jim pokuty až do výše 250 miliónů korun. Registrace ale není jen administrativní záležitost. Jde o to, aby si nemocnice uvědomily, jaký je skutečný stav jejich kybernetické bezpečnosti. Řada z nich to zjišťuje teprve nyní, a to je problém," upozorňuje Michal Štusá.
Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku.
Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí. Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.
„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem,“ dodává Michal Štusák z ComSource.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU