Zdravotnictví považují hackeři za slabý článek, ale situace se lepší, míní šéf kyberúřadu

České zdravotnictví na tom není z hlediska kyberbezpečnosti dobře, ale v některých nemocnicích se už situace zlepšila, uvedl v pořadu Interview ČT24 ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Karel Řehka. Mnohem lepší situaci naopak vidí v bankovnictví a v energetice. Vláda v pondělí schválila Akční plán ke strategii kybernetické bezpečnosti. 

Video Interview ČT24
video

Interview ČT24 - Karel Řehka

Zdroj: ČT24

NÚKIB loni dostal 468 hlášení o kybernetických bezpečnostních incidentech. Přímo pak řešil 99 z nich, což byl dvojnásobek proti roku 2017, kdy vznikl. Za nejvýznamnější označil úřad hackerské útoky na Fakultní nemocnici Brno a Psychiatrickou nemocnici Kosmonosy, ale také napadení e-mailů strategické státní instituce. Sofistikovaný a cílený kyberútok, který by narušil systémy kritické infrastruktury, se však podle úřadu neudál.

„Přesto byly subjekty kritické informační infrastruktury vystaveny až tisícům pokusů o kybernetický útok,“ dodal úřad. Mezi typické prvky kritické infrastruktury, jejichž vyřazení může ochromit poskytování klíčových služeb, patří elektrárny, přehrady, letiště nebo telekomunikační sítě, ale také strategické finanční instituce a státní úřady.

Zdravotnictví coby slabý článek 

Zdravotnictví je považováno hackery za slabší článek a místo, kde mohou být útoky kriminální povahy úspěšné. Útočníkům jde často o peníze, požadují výkupné. Jinak vyhrožují například zveřejněním získaných citlivých dat. Útočí tam, kde je šance úspěchu, kde je slabší článek, řekl Řehka. 

V této souvislosti připomněl, že i přes závažné dopady na chod příslušných institucí úřad nedoporučuje vydírání vyhovět a za dešifrování dat platit. „Neexistuje záruka, že tak útočník skutečně učiní, a navíc může být získáním požadované částky povzbuzen k dalším útokům,“ vysvětlil.

Často jde o ransomwarové útoky, při kterých hackeři požadují výkupné za zakódovaná data.

Ředitel NÚKIB  však také uvedl, že kyberbezpečnost se ve zdravotnicví zlepšuje. Mnozí ředitelé nemocnic jsou ochotni více investovat do bezpečnostních systémů a najímat si další odborníky. V posledních několika měsících se pak uskutečnil komplexní audit 16 největších nemocnic, který zlepšení potvrdil. 

Digitální hygiena a cesty k ní 

V pořadu se hovořilo i o chování veřejného sektoru či lidí. Úřad doporučuje například slepě neotevírat přílohy a odkazy v e-mailech, kontrolovat e-mailovou adresu odesílatele v případě urgentních a neobvyklých požadavků či omezit sdílení informací o zaměstnání na sociálních sítích. Jinak mohou být phishingové útoky úspěšné. 

Řehka v této souvislosti hovořil o někdy nedostatečné „digitální hygieně“. Tedy například o časté chybě –⁠ používání slabých hesel, která se dají jednoduše prolomit. Nebo stejná hesla pro různé účty či zveřejňování údajů, které se dají zneužít (mezi jinými citlivé fotky na sociálních sítích). Za základ pak považuje udržovat si aktualizovaný software v počítači i v mobilu. 

Na úrovni mateřských, základních a středních škol úřad usiluje především o prevenci, která u žáků buduje návyky potřebné pro bezpečný pohyb na internetu a bezpečné používání digitálních technologií.

Ve veřejném sektoru pak NÚKIB trápí nedostatek odborníků. I proto se kupříkladu snaží spolupracovat se školami, podporuje juniorní centra excelence či dělá oponentury  u odborných prací. 

Vláda schválila plán ke kybernetické strategii

Posílení kybernetické bezpečnosti ve zdravotnictví, posuzování rizikového profilu dodavatelů, omezování vysoce rizikových dodavatelů pro bezpečné zavádění telekomunikačních sítí nastupujících generací i efektivní strategická komunikace zaměřená na zvládání velkých kybernetických bezpečnostních incidentů. To jsou jen některé z bodů, které obsahuje Akční plán k Národní strategii kybernetické bezpečnosti, jehož vznik NÚKIB koordinoval a který v pondělí na svém jednání schválila vláda.

Samotná Národní strategie kybernetické bezpečnosti, kterou vláda schválila již koncem loňského roku, stojí na třech základních pilířích, jejichž názvy znějí: Sebevědomě v kyberprostoru, Silná a spolehlivá spojenectví a Odolná společnost. Nově schválený akční plán obsahuje konkrétní kroky, jejichž splnění má vést k dosažení cílů vytyčených strategií.