Informační technologie jsou v nemocnicích přítomné prakticky na každém místě a v každém zařízení. Jakýkoliv jejich výpadek může mít dalekosáhlé následky a ohrožovat zdraví pacientů.
Vyhledáváte na internetu informace ohledně zdravého životního stylu
Nejde tedy jen o dodržování směrnic, ale o nutnost mít opravdu dostatečnou kybernetickou bezpečnost. Ta je v českých nemocnicích zajištěná v průměru přibližně jen ze třetiny toho, co definuje příslušný zákon.
Současnou kyberbezpečnostní legislativou se musejí dnes řídit všechny velké nemocnice, v brzké době po implementaci směrnice NIS2 do tuzemské legislativy se ale povinnost rozšíří prakticky na všechny.
Nemocnice většinou nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb, v některých případech ani neřeší dostupnost, spolehlivost a integritu svých IT systémů, což může mít negativní dopad na jejich fungování, ale i ohrožovat data a zdraví pacientů.
Vyplývá to z analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku.
„Když před pěti lety hackeři ochromili fungování nemocnice v Benešově a o pár měsíců později zopakovali to samé v Brně, předpokládali jsme, že se z toho všechny nemocnice poučí. O to více nás překvapuje stávající realita,“ říká Michal Štusák, expert na kybernetickou bezpečnost ve společnosti ComSource.
Nemocnice podle něj sice investovaly pod tíhou událostí do svého kybernetického zabezpečení, ale i tak jsou stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače.
Legislativa stanovuje dva okruhy kyberbezpečnostních opatření – organizační a pak samotné technické.
Podle analýzy plní nemocnice v průměru přibližně pouze třetinu z nich – 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba.
Video ke kávě
Máte čas na rychlé a informativní video?
Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku.
Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí.
Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.
Důvodem je pravděpodobně i to, že jsou nemocnice již dlouhodobě zvyklé vybírat dodavatele v souladu se zákonem o zadávání veřejných zakázek, nebo kontrolovat trestní rejstřík nových zaměstnanců, seznamovat je s interními směrnicemi a řídit jejich přístupové účty.
Pište pro Computertrends
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computertrends?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Často ale chybí pravidelná školení o informační bezpečnosti nebo základních hygienických pravidel on-line světa, ukázala analýzy firmy ComSource.
Zatímco nyní se legislativní požadavky vztahují pouze na přibližně pět desítek největších zdravotních zařízení, do budoucna se budou týkat prakticky všech nemocnic – ve schvalovacím procesu je totiž nový zákon o kybernetické bezpečnosti, který do českého práva implementuje evropskou bezpečnostní směrnici NIS2.
„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí – setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl,“ vysvětlujeŠtusák.
Podle něj je časté i to, že potřebné technické vybavení mají, ale to je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu.
Příklady oblastí, které nemocnice obvykle nemají dostatečně vyřešené:
- Systémy řízení bezpečnosti informací
- Organizační bezpečnost, zajištění bezpečnostních rolí
- Postupy pro zvládání kybernetických incidentů a řízení kontinuity činností
- Zabezpečení komunikačních sítí
- Správa a ověřování identit, řízení přístupových oprávnění
- Zaznamenávání IT událostí, detekce kyberbezpečnostních událostí
- Zabezpečení aplikací, využívání kryptografických prostředků, zabezpečení specifických systémů
Příklady oblastí, které nemocnice obvykle mají dostatečně zajištěné:
- Řízení dodavatelů a bezpečnosti lidských zdrojů
- Řízení přístupu, fyzická bezpečnost
- Antivirová ochrana koncových stanic
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU