Náměstek ředitele pro informační technologie ve Fakultní nemocnici Ostrava Petr Foltýn (na fotografii na jednom z kulatých stolů Zdravotnického deníku). Foto: Radek Čepelák

Nová pravidla EU o kyberbezpečnosti dopadnou i na dosavadní kyber-naivky. České zdravotnictví není připravené

Do dvou let budou muset prakticky všechny nemocnice, velká část dalších poskytovatelů zdravotních služeb a také třeba výrobci léčiv a zdravotnických prostředků zajistit ve svých organizacích takovou úroveň kybernetické bezpečnosti, jak jim to nově ukládá čerstvě schválená novela směrnice EU o kyberochraně NIS2. Na to však značná část z nich není připravena, zaznělo včera na výroční konferenci Spojené akreditační komise ČR varování od odborníků.

V roce 2024 mají v Česku začít platit nová, přísnější pravidla pro kybernetickou bezpečnost. Resp. do poloviny tohoto roku by měli Češi převést do své národní legislativy novelu směrnice o zajištění vysoké úrovně kyberbezpečnosti v EU, zkráceně NIS2. A ta, ve srovnání se současným zákonem o kyberbezpečnosti, zásadně rozšiřuje okruh organizací a podniků, veřejných či soukromých, které budou muset splňovat přísné podmínky kybernetické ochrany.

„Kyberbezpečnost budou muset začít řešit i subjekty kyber-naivní,“ popsal to včera na konferenci Spojené akreditační komise ČR v Praze lakonicky Vojtěch Vágner z Národního úřadu pro kybernetickou bezpečnosti a člen Vládního CERTu, týmu pro řešení bezpečnostních incidentů u subjektů spadajících pod zákon o kybernetické bezpečnosti. A upozornil, že nové povinnosti se týkají i sektoru zdravotnictví. Například všech poskytovatelů zdravotní péče s více než 50 zaměstnanci. Bez rozdílu.

Polikliniky i některé domovy pro seniory

V současné době je to celkem 44 zdravotnických zařízení, které se řadí mezi tzv. povinné osoby, tedy subjekty, jež musí splňovat pravidla daná zákonem o kyberbezpečnosti, resp. jeho prováděcí vyhláškou. Spadají sem třeba velké fakultní nemocnice nebo krajská zařízení.

„Pod směrnici NIS2 budou spadat všechny subjekty, které jsou vyjmenované v jedné z jejích dvou příloh, a zároveň jsou velkým nebo středním podnikem, jak je dnes definuje Evropská komise,“ vysvětluje Vagner. A pokračuje: „To se týká všech poskytovatelů zdravotní péče, ale nejen jich. Dále jde o referenční laboratoře EU, subjekty provádějící výzkum a vývoj týkající se léčivých přípravků, výrobce farmaceutických výrobků a přípravků a také zdravotnických prostředků,“ vypočítává. Do skupiny středních a velkých podniků spadají ty, které zaměstnávají více jak 50 zaměstnanců či dosahují ročního obratu alespoň 250 milionů korun.

„Kyberbezpečnost tak budou muset začít řešit i subjekty kyber-naivní. Tedy ty, které to doposud řešit nemusely a také neřeší. Které nevědí, jak zavádět systém řízení rizik a bezpečnosti informací,“ zdůraznil Vágner. To mohou být třeba i polikliniky nebo domovy pro seniory, jež poskytují i zdravotní služby. „A tato zařízení obvykle nemají dostatečné schopnosti ani kapacity zabývat se kyberbezpečností nad rámec své běžné agendy. Nemají rozpočty subjektů typu krajských nemocnic, a nemohou si tak dovolit ani obdobná řešení,“ dodává.

Zatím není žádný standard pro zdravotnická zařízení

Směrnice NIS 2 zavádí dva zcela nové režimy fungování, které se budou lišit především v míře dozoru nad tím, jak příslušné organizace nebo podniky plní své povinnosti ohledně řízení rizik a hlášení incidentů: základní (essential), kde platí přísnější pravidla, a důležitý (important). V rámci sektoru zdravotnictví spadnou pod první, přísnější režim poskytovatelé zdravotní péče a subjekty zabývající se výzkumem, vývojem anebo výrobou farmaceutických přípravků, které zároveň splňují kritérium velkého podniku, tj. zaměstnávají více jak 250 osob anebo jejich roční obrat přesahuje 1,2 miliardy korun.

„V současné době nicméně neexistuje v Česku žádná standardizace kybernetické ochrany specificky pro zdravotnická zařízení. To je trochu problém, protože technologie používané ve zdravotnictví jsou přeci jen specifické,“ pokračuje Vojtěch Vágner. Ministerstvo zdravotnictví sice přípravu standardů přímo pro zdravotnická zařízení již avizovalo, v současnosti je však stále zatím nutné vycházet z obecných principů a již existujících doporučení.

Základem, u něhož je dobré podle Vágnera začít, je Minimální bezpečnostní standard, který NÚKIB nabízí na svém webu. „To je to minimum, jež by měla každá organizace mít. Má svou manažerskou i technickou část. Ale nehledejte tam konkrétní technologie. Je to spíš o tom, co by měly tyto technologie splňovat,“ popisuje. Pokud daná organizace tento minimální standard úspěšně zavede, může se podle Vágnera přesunout k vyšším požadavkům podle prováděcí vyhlášky o kyberbezpečnosti. „Na stránkách NÚKIB jsme publikovali několik podpůrných materiálů, různé metodiky či doporučení. Ty lze využít,“ dodává.

Nejsou lidi

V dnešní době stále se prohlubující digitalizace a elektronizace musí všechna zdravotnická zařízení počítat s tím, že se dříve či později stanou terčem kyberútoků, shodují se odborníci. Situace je o to komplikovanější, že ani v případě, kdy se nemocnice stanou terčem hackerů, jednoduše nemohou přestat poskytovat péči. „Úplné zajištění kybernetické bezpečnosti není prakticky možné. Navíc IT a technologie jsou logicky vždy pozadu za úspěšným útokem,“ upozorňuje zkušený náměstek ředitele pro informační technologie ve Fakultní nemocnici Ostrava Petr Foltýn, který podobně jako Vágner nebere povinnosti vyplývající z NIS2 vůbec na lehkou váhu.

Právě „jeho“ nemocnice, stejně jako ostatní fakultní zařízení, jak již bylo zmíněno, spadá v současné době jako „provozovatel základní služby“ pod zákon o kyberbezpečnosti. Foltýn má tak velmi dobrou představu o tom, co zavedení a zajištění systému řízení kybernetické ochrany v takové organizaci obnáší.

„Tak například je hned od počátku nutné rozlišovat mezi technickou a netechnickou oblastí. Jinými slovy, bez té technické to nejde, ale zároveň potřebujete i systém řízení bezpečnosti, analýzy, popisy stavu digitálních technologií a jejich využití a podobně,“ vysvětluje náměstek.

Kvalitní kyberochrana si přirozeně vyžaduje kvalitní technologie, ale ani jejich pořízení nepomůže, pokud je nikdo neobsluhuje a nestará se o ně. „Zavedení IT bezpečnosti nelze bez posílení personálních kapacit. Zajištění kvalifikovaných lidí je ale v současné době velkým problémem pro jakoukoli organizaci. Na trhu nejsou,“ konstatuje Foltýn. Někdy může být řešením objednání potřebných služeb zvenčí, ale ani to neplatí univerzálně. „V některých situacích to bez vlastních lidí nedává smysl. Například manažer kyberbezpečnosti by měl být u větších organizací interní,“ doporučuje.

Dále je zapotřebí mít i určitou vizi a strategii, jak se bude kyberochrana dále rozvíjet. „A to se neobjede bez stálého, řízeného a plánovaného financovávání,“ naráží náměstek Foltýn na situaci, kdy nemocnice čerpají desítky i stovky milionů z fondů EU na zajištění své kybernetické ochrany, ale neřeší se již tolik financování v letech po vyčerpání dotace. „Je třeba definovat, co bude za tři roky či pět let. A mít plán, co dělat, když to nevyjde,“ zdůrazňuje.

Zároveň podle něj nelze opomíjet jedno specifikum českého zdravotnického prostředí, a to jeho vysoký konzervatismus. „Jakákoli snaha něco v nemocnicích změnit představuje vždy velký problém. Naši zaměstnanci jsou na to již zvyklí, ale když jsme s tím začali, bylo to velmi náročné,“ popisuje náměstek. Velmi důležitá je i důkladná osvěta a školení, podle Foltýna to představuje jeden ze základních pilířů kyberochrany. „Ale ani to někdy lékaři neberou vážně,“ povzdechl si.

Jednou již nastavená pravidla je také zapotřebí důsledně vymáhat. A zároveň musí platit pro všechny, tedy i pro vedení, zdůrazňuje Petr Foltýn. „Nesmí platit žádné výjimky, jinak máte problém,“ dodává na závěr.

Helena Sedláčková