Včerejší schůze senátního Výboru pro zdravotnictví se nesla v duchu kybernetické bezpečnosti v oblasti zdravotnictví. Hlavním bodem jednání totiž bylo představení evropského Akčního plánu pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče. Dokument senátorům představil náměstek sekce strategických agend Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Pavel Štěpáník.
Akční plán je právně nezávazný dokument, má ale jasný cíl – pomoci členským státům s ochranou zdravotnické infrastruktury. V rámci Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) má vzniknout podpůrné centrum zaměřené právě na nemocnice a poskytovatele zdravotní péče. Nemá jít přitom o nový úřad, nýbrž o rozšíření agendy stávajících zaměstnanců.
Evropský akční plán reaguje na rostoucí kybernetické hrozby, jako je například ransomware, což je typ útoku, při němž útočníci zpravidla zašifrují a exfiltrují data napadeného subjektu a následně žádají výkupné za dešifrování či navrácení odcizených dat. Dokument tak má za cíl posílit ochranu nemocnic a poskytovatelů zdravotní péče prostřednictvím iniciativ zaměřených na prevenci, detekci, reakci na incidenty a odstrašení kybernetických útoků. Plán celkem obsahuje 42 návrhů, které by měly být prováděny jak na úrovni Unie, tak na úrovni konkrétního státu.
Legislativa za humny
Zásadní dopad podle Štěpáníka přinese až implementace příslušných zákonů v jednotlivých členských zemích. Česká republika připravuje nový zákon o kybernetické bezpečnosti, který má v Poslanecké sněmovně za sebou dvě čtení a míří do finálního třetího. Po jeho přijetí dojde podle NÚKIB k výraznému rozšíření okruhu organizací, které budou pod dohledem úřadu.
„Po implementaci zákona by mělo dojít k navýšení počtu subjektů, jejichž kybernetická bezpečnost je zajišťována ze strany NÚKIB, z 500 na 6000,“ upozornil Štěpáník. To znamená dvanáctinásobné zvýšení počtu organizací, které budou podléhat pravidelným kontrolám, reportingovým povinnostem a dalším bezpečnostním opatřením, ale také aktivní podpoře ze strany úřadu v případě útoku či možnosti účastnit se kyberbezpečnostních cvičení a školení pro zdravotnický personál.
Ačkoliv je aktuálně podle NÚKIB zdravotnický sektor v Česku mimo hlavní zájem kyberútočníků, Štěpáník varoval před upadnutím do letargie. Metody hackerů se vyvíjejí a ochrana serverů a citlivých údajů na nich nesmí být pozadu. Připomněl také, že úřad v minulosti organizoval školení pro zaměstnance i vedení nemocnic a považuje vzdělávání za klíčové.
Jedna věc dvakrát
Debata se dotkla i konkrétních výzev v praxi. Předseda výboru Tomáš Fiala připomněl, že „kyberútoky v minulých letech zásadně ovlivňovaly chod některých nemocnic“, přičemž jmenoval zdravotnická zařízení jako například Fakultní nemocnici Brno (více zde) nebo nemocnici v Benešově (více zde). Vyjádřil však obavy z možných duplicit při hlášení incidentů, pokud by nemocnice musely nově informovat dvě instituce – tedy jak český NÚKIB, tak evropské středisko.
Štěpáník uznal, že nemocnice hlásí incidenty NÚKIBu, ale v rámci Akčního plánu se počítá s tím, že by to hlásili i podpůrnému centru, tedy k duplicitě by docházelo. Současně s tím se však proti tomu za svůj úřad ohradil. „Ale my s tím nesouhlasíme, protože je to zátěž pro subjekty,“ řekl s tím, že jejich cílem je, aby k duplicitám nedocházelo.
Mohlo by vás zajímat
Více edukace personálu
Výbor pro zdravotnictví doporučil postoupit dokument k projednání plénu Senátu a přijal k dokumentu jednomyslné stanovisko. V něm zdůrazňuje potřebu prioritizace implementace evropské směrnice NIS2, která se promítne do české legislativy prostřednictvím zákona o kybernetické bezpečnosti, vyzývá k „uvedení příslušné legislativy v život“ a volá po cíleném a individualizovaném vzdělávání pracovníků ve zdravotnictví v oblasti kybernetické bezpečnosti – pokud možno prezenční formou.
