Kybernetické útoky jsou pro dnešní nemocnice zcela reálným rizikem a jejich četnost roste. A přestože se zvyšuje poptávka po pojištění kybernetických rizik, státní a krajská zařízení narážejí na právní vakuum. Platný zákon z přelomu milénia totiž s pojištěním virtuální infrastruktury pochopitelně nepočítal. O pojištění kybernetických rizik se diskutovalo na konferenci Zdravotnického deníku Právo a řízení rizik.
Současný legislativní rámec je pro managementy velkých nemocnic pastí. Partner v advokátní kanceláři Portos Jan Fical popsal situaci z praxe: „Setkáváme se s tím, že u velkých nemocnic zřizovaných státem je výklad zákona o hospodaření s majetkem státu příliš problematický na to, aby bylo možné uzavřít pojištění kybernetické bezpečnosti. Je totiž poměrně restriktivní,“ poukázal na problém.
Tato nejistota pak vede k tomu, že ředitelé mají strach pojištění vysoutěžit, aby nebyli obvinění z neúčelného vynakládání prostředků.
Cesta existuje
Důvod současné situace spočívá v samotné legislativě. Ředitel odboru přímo řízených organizací ministerstva zdravotnictví Jan Michálek vysvětlil, že zákon o majetku státu dovoluje pojišťovat jen to, co explicitně uvádí – a kybernetická rizika mezi tím nejsou.
„Současný zákon je z roku 2000 a zákonodárci tehdy nepočítali s pojišťováním kybernetických rizik. Zákon o majetku státu to zatím nepřipouští a ani zákon o kybernetické bezpečnosti tato ustanovení nenovelizoval. Nyní se vedou debaty, zda to změnit,“ uvedl Michálek.
Podle likvidátorky pojistných událostí v SATUM Czech Diany Sabové proces komplikuje i systém veřejných zakázek, který neumožňuje flexibilní „dopojištění“ v průběhu trvání smlouvy. Sabová zároveň upozornila na rizika spojená se změnou pojistitele.
„Pojištění zdravotnického zařízení se sjednává na principu ,claims made‘. To znamená, že příčina, vznik škody, uplatnění nároku i oznámení události musí být v době pojištění. Největší riziko vidím ve chvíli, kdy nemocnice přechází od jednoho pojistitele ke druhému,“ uvedla.
Možné východisko podle advokáta Jana Ficala představuje transformace nemocnic na akciové společnosti. „U nich je statutární orgán povinen jednat s péčí řádného hospodáře, což uzavření takového pojištění přímo vyžaduje. Myslím si, že to je cesta, která by nemocnicím pomohla uzavírat pojištění kybernetických rizik,“ řekl.
Pojištění není samospásné
Předseda představenstva Pojišťovny VZP (PVZP) Robert Kareš upozornil na škálu kybernetických hrozeb, kterým nemocnice čelí. „Pojištění kybernetické bezpečnosti se pohybuje v několika rovinách – od obnovy systému po tzv. extortion money, kdy hackeři vydírají nemocnici třeba hrozbou zveřejnění dat pacientů z vysokých společenských kruhů, po ovládnutí laparoskopicky řízených operací,“ popsal.
Na zranitelnost nemocničních systémů poukázal také ředitel pro risk management v SATUM Czech Michal Vláčil. Podle něj přitom k napadení počítačové sítě není nutný ani sofistikovaný útok. „Stačí, aby někdo vsunul flashku s virem do tiskárny a může přestat fungovat celá nemocnice,“ varoval.
Kareš zároveň zdůraznil, že pojištění by nemělo být jedinou formou ochrany proti kybernetickým hrozbám. Bez robustní interní IT obrany je podle něj jen slabou náplastí.
Situace si podle řečníků žádá systémovou změnu. Přestože stát podle Vláčila v posledních letech skutečně uvolnil finanční prostředky na budování robustnější infrastruktury v nemocnicích, což umožnilo „jednotkám klientů ze strany nemocničních zařízení být pojistitelní“, stále to není dostatek.
„Stát by mohl nemocnicím více pomoci finančními prostředky na technickou infrastrukturu zabezpečení,“ myslí si Vláčil.
Mohlo by vás zajímat
