6.5.7
IT bezpečnost malé ordinace, útoky, situace
RNDr. Dagmar Brechlerová, Ph.D., České vysoké učení technické v Praze, Fakulta biomedicínského inženýrství, Kladno
Stejně jako do dalších organizací (podniků atd...), i do zdravotnických zařízení proniká výpočetní technika, a to v různé míře. Díky např. povinným eReceptům již i malá ordinace je zapojena k internetu, používá různé informační systémy (IS). To ovšem přináší řadu zcela nových rizik. IT bezpečnost je i v roce 2024 zásadním tématem, a to prakticky ve všech oblastech společnosti. Je tak jasné, že i v medicíně, která pracuje často s velmi citlivými daty pacientů, dochází k řadě kyberútoků a jiných potenciálně velmi nebezpečných situací. Zdravotnická data pro kyberútočníky představují značné lákadlo, stejně tak může dojít k napadení přístrojů, v dnešní době stále více využívajících přístup na internet/cloudová úložiště. V tomto článku budou shrnuty některé současné trendy IT bezpečnosti v oblasti medicíny, potenciální rizika a nastínění jejich prevence.
Je samozřejmě rozdíl mezi řešením IT bezpečnosti ve velké zdravotnické instituci a malé ordinaci o jednom či dvou zaměstnancích, nicméně je vhodné si udržovat přehled o trendech, alespoň částečně se jim přizpůsobovat a úplně nezaspat dobu. My se zaměříme na malé ordinace.
Dle NIS 2 (Nová směrnice EU o kybernetické bezpečnosti) bude dopad na zdravotnická zařízení vysoký. Zatímco dříve zákon o kybernetické bezpečnosti dopadal na malý počet pouze velkých nemocnic (které mají své IT oddělení a specialisty na bezpečnost), dle NIS2 (a tedy i následující novelizovaný zákon o kybernetické bezpečnosti) bude dopad zřejmě zcela rozdílný a mnohem větší. V tuto chvíli se nový zákon o kybernetické bezpečnosti teprve připravuje a jeho dopad (i následujících vyhlášek) je zatím nejasný z hlediska počtu organizací, kterých se bude týkat. Předběžný odhad je možná několik tisíc zdravotnických a sociálních zařízení.
NahoruRansomware
Hlavní bezpečnostní hrozbu představuje již několik let stále ransomware – vydírání prostřednictvím zašifrování citlivých dat či zařízení a požadování výkupného, často formou kryptoměn. Ty je obvykle skoro nemožné vysledovat, útočník tedy shrábne výkupné a je v podstatě jen na jeho rozhodnutí, zda data rozšifruje, jak slíbil. Základní prevencí je data archivovat (vícekrát a na více místech) a nasadit takové preventivní nástroje, aby při případném kyberútoku šlo co nejrychleji obnovit provoz za cenu ztráty co nejméně dat. Ransomware se často šíří ne postupně, ale tím způsobem, že útočník může například získat přístup do systému, potají ho monitorovat a poté najednou zahájit útok s tím, že už má vytipované slabiny v personálu, v metodice zálohování dat a v dalších oblastech, nebo využije nově objevenou slabinu v systému (tzv. zero day/zero hour attack). Často se také může útok odehrát o víkendu či o svátcích, kdy je nedostatek personálu apod. Je tedy vhodné tomu předcházet a mít zabezpečení, které alespoň částečně zvládne takovýto útok ustát při minimální ztrátě dat a ochromení systému. Vhodným způsobem je například mít velkou část dat úplně mimo vlastní síť, případně na externím nebo cloudovém úložišti a využívat systém dočasných záloh, ze kterých se teprve posléze přesouvají data do stálého archivu. Tím vznikne nárazníková zóna, která zamezí průniku ransomware do stálých záloh.
Nejobvyklejším způsobem, jak se ransomware dostane do IS, je to, že uživatel si stáhne přílohu z e-mailu či jiného zdroje, případně se nechá podvodným e-mailem navést na falešný formulář, kterým si infikuje zařízení. Proto velmi opatrně při otevírání příloh, nejlépe je nejdříve prověřit antivirovým systémem.
Další oblastí, na kterou mohou útočníci cílit, je tzv. internet of things, tedy internet věcí – zařízení, která nějakým způsobem komunikují přes internet se serverem, například pro sběr dat, a následné vyhodnocování. V lékařství jsou to například systémy pro vzdálené sledování pacientů (RPM – remote patient monitoring). Ty mohou útočníka zajímat jak z hlediska sběru citlivých dat, tak právě i kvůli ransomware útokům – zablokováním komunikace některých těchto zařízení by mohlo dojít k potenciálnímu ohrožení zdraví pacientů. Již i v běžné ordinaci praktika se užívají přístroje, které komunikují na dálku. Z hlediska bezpečnosti IT by každé takové zařízení mělo mít podrobnou dokumentaci. To je ale často pouze ideál, servisní firma zařízení připojí, jezdí ho servisovat, a to je vše. A uživatel (lékař či najatá firma) nemusí mít vůbec informaci o tom, co, odkud a v jaké podobě do daného zařízení "leze" a co vystupuje ven a kdo a kde to použije, resp. zneužije.
V dnešní době se proti ransomware útokům obvykle nasazují sofistikované několikavrstvé systémy připomínající firewall kombinovaný s antivirovým programem, které monitorují odchozí a příchozí provoz, mohou využívat AI (umělou inteligenci) a mechanické učení k analýze podezřelých pokusů o průnik, umí také odchytit podezřelé chování uživatele a pokusy o překračování nastavených pravomocí. Mohou zachycovat škodlivé kódy či přenášené soubory umísťovat do tzv. sandbox prostředí, tedy naprosto oddělených "truhlic", kde je soubor uložen a není schopen interagovat s žádnými dalšími soubory mimo sandbox. Tím je zamezeno šíření nebezpečného kódu.
Hlavním přístupovým bodem pro ransomware útoky však stále zůstávají uživatelé, respektive jejich nešvary. Je tedy vhodné se dle velikosti zdravotnického zařízení zabývat otázkou proškolení personálu, případně najmutí osoby zodpovědné za IT bezpečnost a nastavení firemní bezpečnosti. Je totiž jisté, že sofistikovanost i počet kybernetických útoků se bude spíše stupňovat, vzhledem k postupnému rozšiřování AI do všech oborů a oblastí života. Co dříve zvládl jen profesionál, to dnes díky pomoci AI a kombinování různých zdrojů informací může zvládnout i zdatnější laik, je tedy vhodné se k této situaci postavit čelem.
NahoruOchrana dat
Zdravotnická data představují velmi citlivé informace, ke kterým by se neměl dostat nikdo jiný než pověřené osoby s příslušnými oprávněními. Je bezpodmínečně nutné je chránit hlavně před jakýmkoliv zneužitím a za každou cenu zamezit případným útočníkům se k nim dostat. Zdravotnická data mohou sloužit útočníkům k celé řadě ilegálních praktik: mohou potenciální oběti vydírat hrozbou zveřejnění informací zaměstnavatelům či partnerům, mohou pomocí specifických informací o zdravotním stavu předstírat zdravotnickou instituci a pokusit se pomocí tzv. phishingu například lákat z obětí různé další údaje či rovnou platby, mohou se pokusit data zpeněžit prodejem třetím stranám, nebo mohou vymyslet celou řadu jiných způsobů, jak se vytipovanou oběť pokusit ohrozit.
Je tedy v zájmu jak zdravotnických institucí, tak i pacientů samotných, aby citlivá data sdíleli tím způsobem, který zajistí co největší diskrétnost přenosu a bezpečnost dat. V rámci Evropské unie k tomu slouží hlavně soubor nařízení GDPR, který vstoupil v platnost v roce 2018. Ten, resp. další legislativa určuje mimo jiné způsoby nakládání s citlivými daty a stanovuje i nezbytná specifika pro uchovávání a likvidaci zdravotnické dokumentace. Pacienti by měli být vždy seznámeni se způsoby nakládání s jejich daty a zároveň by sami měli být poučeni, jakým způsobem komunikovat s lékaři, případně jaké povinnosti jim samotným z nařízení GDPR (a z další legislativy) vyplývají.
Co se týče ukládání dat jak na fyzických discích,…