Sobota, 16. října, 2021

Zdravotnictví nelze elektronizovat bez ochrany pacientských dat. Kybernetická bezpečnost je tak nezbytnou podmínkou čerpání peněz z plánu obnovy

DALŠÍ ČLÁNKY AUTORA

České zdravotnictví může v příštích letech čerpat až dvě a půl miliardy korun z Národního plánu obnovy na elektronizaci svého zdravotnictví. To se nicméně neobejde bez zajištění ochrany osobních dat pacientů. Cíl uvedený v plánu je ale třeba splnit, jinak Česko přijde o peníze. Resort zdravotnictví nyní připravuje dotační výzvu a v rámci ní chce definovat i minimální standardy a technické parametry, které musí žadatelé splnit. Bez určité koncepce, které se prováže s čerpáním peněz na eHealth a kybernetickou bezpečnost i ze strukturálních fondů, to nepůjde, zaznělo na na odborném panelu Stálé konference českého zdravotnictví na téma kybernetická bezpečnost v nemocnicích a Národní plán obnovy.

Dvě a půl miliardy dostane české zdravotnictví na svou elektronizaci z Národního plánu obnovy. V řádu týdnů tak Česko dostane první díl (konkrétně 13 procent) z celkových 180 miliard korun, které musí proinvestovat do konce roku 2026.

Jak popisuje náměstek ministra průmyslu a obchodu Marian Piecha, jenž nese odpovědnost za koordinaci a dohled nad projekty z plánu obnovy v ČR, jde o metodu cukru a biče. „Evropská komise nám nebude kontrolovat každou platbu a každé výběrové řízení, ale musíme splnit reformy, které v plánu uvádíme. Jinak nám investici neproplatí. Pokud by tedy neprošel eHealth jako reforma, nejen že nedostaneme příslušnou částku, ale z celého Národního plánu obnovy nedostaneme ani korunu,“ varoval na odborném panelu Stálé konference českého zdravotnictví na téma kybernetická bezpečnost v nemocnicích a Národní plán obnovy.

Přes jednu miliardu korun má jít na zajištění interoperability zdravotnických dat a sdílení pacientské dokumentace. Mezi nejzásadnější dílčí projekty patří vznik portálu a služeb eHealth pro občany, zdravotníky i poskytovatele, vznik potřebné infrastruktury složené zejména z referenčních registrů (poskytovatelů, pacientů, zdravotníků) propojených s registry eGovernmentu či rozšíření služby sdíleného lékového záznamu (například v oblasti správy souhlasů). 200 milionů korun má podpořit telemedicínské projekty.

Jenže jednou z podmínek, aby se reforma eHealth dotáhla do úspěšného konce, je zajistit, aby během ní někdo nezneužil citlivá osobní data pacientů. Jinými slovy, bez kvalitního kybernetického zabezpečení elektronizace zdravotnictví fungovat nebude. Přitom právě v této oblasti mají nemocnice ještě co dohánět a problémů, které je třeba řešit, je více než dost. A to i přes 1, 7 miliardy korun, které doposud mohly na kyberbezpečnost mimopražské nemocnice čerpat ze strukturálních fondů v rámci výzvy č. 10 IROP. Nemocnice z Prahy jako bohatého regionu pak na tyto peníze nedosáhly vůbec. Tento deficit chce plán obnovy napravit tím, že právě pražským zařízením přiděluje z celkové alokace zhruba 1,2 miliardy na kyberbezpečnost.

Náměstek ministra průmyslu a obchodu Marian Piecha

Resort chystá minimální standardy jako podmínku čerpání

Peníze na elektronizaci zdravotnictví jsou v plánu obnovy „ukryty“ pod digitalizací agend státu a veřejné správy. Proto za rozdělování peněz a splnění cílů v této části, včetně eHealth, nese celkovou odpovědnost ministerstvo vnitra, konkrétně náměstek ministra vnitra pro řízení sekce ekonomiky a provozu Vilibald Knob.  Samotnou dotační výzvu nicméně připravuje ministerstvo zdravotnictví, vyhlášena by měla být do konce roku. „S ministerstvem vnitra jednáme aktuálně o potřebách a průběhu celé výzvy,“ potvrzuje poradkyně ministra zdravotnictví Tereza Hoffmannová.

Ministerstvo si je podle Hoffmannové vědomo, jak neuspokojivý a roztříštěný je stav současné elektronizace a zajištění kybernetické bezpečnosti zdravotnických zařízení. „Chceme také předcházet důsledkům výzvy č. 10, kdy nemocnice získaly finanční prostředky na zlepšení úrovně své kybernetické bezpečnosti, ale z našeho úhlu pohledu je nenasměrovaly potřebným směrem. Nakupovaly se technologie a přístroje, které nepřispěly k naplnění cíle. Některé nemocnice dokonce nezačaly ještě pořádně čerpat. Ať již kvůli tomu, že jejich veřejné zakázky stále posuzuje ÚOHS nebo obecně nebyly dostatečně připravené,“ popisuje.

Podobný problém se týká i výzvy č. 26 z IROPu, která má podpořit rozvoj eHealth. „Podmínky byly nastaveny příliš široce. Čerpat mohly různé subjekty z různých sfér a důsledky jsou jaké jsou,“ konstatuje Hoffmannová a tvrdí, že ministerstvo si z toho vzalo ponaučení. „U čerpání peněz z plánu obnovy chceme proto definovat minimální standardy, které budou vstupními požadavky pro všechny nemocnice. Chceme nastavit technické parametry opravdu spojené s kyberbezpečností, aby se z dotace nehradily systémy, které se jeví ve vztahu ke kyberbezpečnosti jako nepotřebné.“

Poradkyně ministra zdravotnictví Tereza Hoffmannová

Resort proto plánuje vytvořit seznam nejlepší praxe, aby nemocnice věděly, jaké se dělají nejčastěji chyby a čeho se vyvarovat. „Fakultní nemocnice Motol a IKEM připravují společně pro ministerstvo studii proveditelnosti, kterou následně resort vyhodnotí. Na základě toho vznikne unifikovaný dokument, který by měl sloužit jako podpůrný a pro žadatele závazný. Bude součástí dokumentace k dané výzvě,“ upozorňuje poradkyně, podle níž budou podmínky pro dotace z plánu obnovy a následné dotace z IROP již provázány.

Kdo nebude plnit, může také jít z kola ven

Jak přesně budou podmínky čerpání dotace vypadat, to se stále v této chvíli podle Piechy neví. Příslušné prováděcí podmínky se ještě schvalují. Administrace by však měla být jednodušší než u strukturálních fondů, kde je nutné vše vyúčtovat, vysoutěžit a žádost o platbu posílat na certifikaci. „V rámci plánu obnovy plníme milníky a cíle a na to dostaneme peníze. Jediné, v čem nás Evropská komise bude kontrolovat, jsou red flags – předcházení střetu zájmů (poskytovatel dotace nesmí poskytnout dotaci sám sobě), podvodům, korupci a dvojímu financování. To je nicméně samo o sobě tak zásadní, že Česká republika bude mít problém se s tím vypořádat,“ konstatuje náměstek.

Piecha sleduje trochu s obavami vnitroresortní diskuse o nastavení eHealth, diametrálně odlišné úrovni kybernetické bezpečnosti českých zdravotnických zařízení a problémech, kterým české zdravotnictví čelí v souvislosti s nedostatkem odborníků, peněz, potřebných technologií i zdlouhavých průběhů veřejných zakázek. A znovu upozorňuje, že aby zařízení mohla čerpat peníze z plánu obnovy na eHealth, musí panovat jistota, že se vše stihne a výměna dat bude probíhat bezpečně. Bez nějaké koncepce, která se prováže i se strukturálními fondy, se to tedy podle něj neobejde. „Proto spolu diskutujeme, aby to, co vzejde z připravovaných výzev, plnilo všechny požadavky přesně tak, jak říkáte. Pokud utratíme peníze z plánu obnovy a nesplníme cíl, tak si to, v lepším případě, budeme muset zaplatit sami,“ sdělil ostatním účastníkům odborného panelu.

Celkový pohled na Kulatý stůl ZD, k němuž usedli manažeři odpovědní za kyberbezpečnost českých nemocnic

První žádosti o platbu se budou podle Piechy podávat v prvním až druhém kvartálu příštího roku. „Tam pak budeme mít i možnost plán měnit. Budeme si dělat vyhodnocení, kdo jak zvládá a podle toho případně plán přehodnotíme a upravíme,“ popisuje Piecha. Nepřímo tak varuje, že kdo nebude stíhat a ohrozí tím celkové čerpání peněz, může také jít jednoduše z kola ven.

NÚKIB nabízí pomocnou ruku

Pomocnou ruku nabízí zdravotnickým zařízením Národní úřad pro kybernetickou bezpečnost (NÚKIB). Ten na konci minulého roku provedl audit u šestnácti nemocnic, které tehdy spadaly pod zákon o kybernetické bezpečnosti. Resortům vnitra a zdravotnictví poté předal souhrnnou zprávu, kde identifikuje hlavní problémy a navrhuje řešení. „Nemocnice jsou na různé úrovni kybernetického zabezpečení. Objevily se však i oblasti, které se prolínaly napříč zařízeními,“ konstatuje Kateřina Valentová z NÚKIB. V návaznosti na audit tak vznikl například e-learningový kurz pro zaměstnance nemocnic, protože právě neškolení koncoví uživatelé představují nakonec tu největší hrozbu. „Stačí jednou špatně kliknout,“ říká Valentová. 

Ještě tento měsíc pak NÚKIB svolal setkání IT manažerů nemocnic, které spadají pod zákon o kybernetické bezpečnosti. Těch bylo původně již zmíněných šestnáct, ale po zkušenosti s covidem se na základě novely vyhlášky o provozovatelích základní služby ve vztahu k sektoru zdravotnictví jejich počet rozšířil o dalších zhruba čtyřicet. Podle Valentové již bude záležet na členech této platformy, jak se bude diskuse dále ubírat a zda k ní přizvou i další nemocnice.

Kateřina Valentová z Národního úřadu pro kybernetickou a informační bezpečnost

„Provádíme také skeny zranitelností, nabízíme penetrační testování, společná cvičení. Máme kolegy, které se zabývají zdravotnickou technikou. Pokud o to má nemocnice zájem, můžeme jí zasílat newsletter o aktuálních zdranitelnostech. Mohou se tak na ně připravit a například zajistit, aby příslušné přístroje nezasahovaly do vnitřní sítě,“ vypočítává Valentová. Počet nemocnice v gesci NÚKIB je sice vymezený zákonem, nicméně podle ní je NÚKIB otevřený konzultacím či metodické pomoci i mimo okruh daný zákonem. „Snažíme se vyjít vstříc a metodicky pomáhat i menším nemocnicím,“ uzavírá Valentová.

Nejdřív musíte vědět, jaké informace chcete chránit, jak a kde

Podle manažera kybernetické bezpečnosti ministerstva vnitra Bohuslava Zubka je české zdravotnictví teprve na počátku velmi dlouhé cesty. A popisuje, čím prošel resort vnitra od roku 2015, kdy nabyl účinnosti zákon o kybernetické bezpečnosti. „Nejprve jsme připravili systém řízení bezpečnosti informací. Věděli jsme, jaké informace chceme chránit a jak je chceme chránit. Ale nevěděli jsme, u čeho je chránit,“ uvádí.

Pod resort vnitra tehdy spadalo třicet informačních systémů, z toho dvacet z pohledu státu kritických a deset významných. Dnes jich je již v těchto dvou kategoriích 42. „Na základě systému řízení bezpečnostní informací jsme začali vyrábět standardy a kompletní metodiku, jak tyto systémy řídit, jak je připojovat, vyhodnocovat aktiva, jak jednat s garanty a připravit jim podmínky, aby dokázali řídit ty své systémy,“ pokračuje. Na ministerstvu vznikl za tímto účelem odbor kybernetické bezpečnosti. „Rozhodli jsme se, že ty systémy budeme řídit a pomáhat jim. Vzniklo dohledové centrum eGovernmentu, které se začalo na ně napojovat, vyhodnocovat incidenty a prosazovat technická opatření.“

Nakonec se Zubkovi sešlo na deset tisíc návrhů potřebných kroků. Jejich analýzou a slučováním vzniklo třináct souhrnných projektů, které dokázaly pokrýt všechna rizika. Vyčíslením finančních potřeb – personálních i technických – se vnitro dostalo na částku 1,4 miliardy korun. Pak se dohledové centrum eGovernmentu spojilo s NÚKIBem a udělalo přehled za celou státní správu. „Dostali jsme se na částku 4,2 a 4,6 miliardy. Šli jsme s tím na Bezpečnostní radu státu a tam se zjistilo, že tyto peníze nejsou. Výzvy ze strukturálních fondů nestačily,“ konstatuje Zubek.

Bohuslav Zubek, manažer kybernetické bezpečnosti ministerstva vnitra

Došlo tak na ústupovou variantu a systémy se začaly připojovat ve dvou verzích z hlediska vyhodnocování každodenního provozu – úplné a částečné. „Pak jsme byli schopni to skutečně začít řídit. Pokud máme jakoukoli indikaci kompromitace, dokážeme to velice rychle vyhodnocovat a komunikovat s napadeným subjektem. Ale zásadní problém je stejný jako ve zdravotnictví – nedostatek specialistů a financí. Důležitá je také edukace lidí – pokud je nebudeme udržovat ve střehu, dostaneme se do situace, že systémy se zablokuji a zkompromitují.“

Podle něj je také naprosto nezbytné reagovat na aktuální informace a incidenty.  „Pokud máte zdravotnické přístroje na Windows 95 apod., tak je prostě nelze připojovat k informačním systémům. Do elektromobilu si také nedáte starý katalyzátor. Nemůžete komunikovat a reagovat na přístroje značky Huawei a ZTE, pokud jejich používání představuje podle NÚKIB bezpečnostní hrozbu,“ apeluje Zubek.

Helena Sedláčková

Foto: Radek Čepelák

DALŠÍ ČLÁNKY Z RUBRIKY