Zdravotnictví a vodárenství jsou v Česku nejzranitelnějšími částmi kritické infrastruktury, jejichž narušení znamená ohrožení bezpečnosti státu. Upozorňuje na to Asociace kritické infrastruktury (AKI ČR). Podle ní navíc narůstá nebezpečí útoků. Česko od svého vzniku dosud nečelilo tolika závažným hrozbám, jako jsou důsledky pandemie covidu-19 nebo války na Ukrajině nebo problémy v zásobování palivy a energiemi.
Riziko útoků na kritickou infrastrukturu roste. Nejhůře jsou zabezpečeny nemocnice, tvrdí asociace
V době narůstajících hrozeb útoků není podle AKI ČR zdravotnictví na takové situace dostatečně připraveno. „Na rozdíl od segmentů, jako jsou energetika nebo telekomunikace, je zdravotnictví hůře připravené na krizové situace. Zejména takové, které jsou skutečně mimořádné a nastanou jednou za pět nebo i dvacet let, ale jejich dopad je potom o to větší,“ popisuje výkonný ředitel asociace Michal Moroz.
Příkladem takových krizových situací, na které musí zdravotnická zařízení umět reagovat, je například případný výpadek proudu v nemocnici či narušení dodávek některé z klíčových surovin. Nemocnice se však musí umět bránit také fyzickým útokům podobným tomu, ke kterému například došlo v ostravské nemocnici v roce 2019. Tehdy dvaačtyřicetiletý útočník postřelil v čekárně fakultní nemocnice devět lidí, sedm z nich zemřelo.
Jedním ze závažných důvodů, proč není zdravotnictví na hrozby připraveno, je podle Moroze fakt, že jen velmi málo nemocnic a zdravotnických zařízení spadá pod kritickou infrastrukturu. Tou se podle českého krizového zákona rozumí prvek nebo systém prvků kritické infrastruktury, jehož narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. „V praxi se může jednat například o elektrárny, vodárny, velké nemocnice, ale i datová centra nebo dopravní terminály,“ vysvětluje Moroz.
Přestože by mnohé nemocnice mohly být chráněny na úrovni kritické infrastruktury, ministerstvo zdravotnictví podle něj nastavilo natolik přísné podmínky, že je splňuje jen minimum těch největších nemocnic. „Ministerstvo zdravotnictví dlouhodobě přistupuje k problematice tak, že víceméně nepovažuje nemocnice za kritickou infrastrukturu. Myslím si, že události posledních let a zejména covid ukázaly, že to není dobrý přístup,“ říká Moroz.
Přesný počet nemocnic a zdravotnických zařízení v Česku, které spadají pod kritickou infrastrukturu, je podle ministerstva zdravotnictví neveřejnou informací uvedenou v krizovém plánu.
„Nemocnice dělají vše pro to, aby zajistily bezpečnost svých zaměstnanců i pacientů. K tomu například sloužil i tříletý dotační program na ochranu měkkých cílů,“ říká mluvčí resortu Ondřej Jakob. Zda se počet nemocnic zařazených pod kritickou infrastrukturu navýší, je podle něj jednou z otázek řešených v připravované evropské legislativě, která zatím není schválená.
Počet kyberútoků vzrostl
Naproti tomu proti kyberútokům je podle Moroze chráněno výrazně více nemocnic než proti útokům fyzickým. Nemocnice i další odvětví chrání proti kybernetickým útokům Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten určuje jednotlivé subjekty jako takzvané poskytovatele základní služby a pravidla pro to, které subjekty bude zabezpečovat, si nastavuje úřad sám.
„Během roku 2021 bylo určeno 28 nemocnic, počet poskytovatelů základních služeb v odvětí zdravotnictví se tak zvýšil na 44. Snažíme se ale posilovat odolnost všech segmentů,“ popisuje mluvčí NÚKIB Alena Minxová. Právě zdravotnická zařízení nyní tvoří téměř třetinu ze všech poskytovatelů základních služeb v Česku.
V současné době riziko útoku na prvky kritické infrastruktury podle AKI ČR roste. „Hrozbou můžou být zejména kybernetické útoky a narušení dodavatelských řetězců, opomenout však nelze ani rizika fyzického útoku nebo úmyslného poškození. Je nutné počítat i s rizikem sabotáží nebo teroristických útoků, které se naší zemi dosud vyhýbaly,“ doplnil Moroz.
Více bezpečnostních hrozeb potvrzuje i NÚKIB, který eviduje výrazný nárůst kyberútoků ve všech odvětvích na území Česka. V minulém roce zaznamenal úřad dvakrát více případů než v roce 2019. V roce 2021 řešil NÚKIB 157 z celkových 482 kybernetických bezpečnostních incidentů, oproti roku 2020 jde o nárůst téměř o šedesát procent.
Nejvýznamnější provozovatelé kritické infrastruktury v Česku potvrdili růst četnosti a intenzity kybernetických útoků. Obavy mají také o stabilní dodávky energií, narušení dodavatelských řetězců či úsilí chránit klíčová zařízení proti fyzickým útokům. Tyto aktuální hrozby jsou způsobeny především dopady nemoci covid-19 a válkou na Ukrajině, která vyvolává otázky zejména o energetické bezpečnosti.
Největší hrozbou pro národní bezpečnost je však podle asociace situace, kdy se souběžně nebo řetězově sejde více takových hrozeb najednou. „Když se podíváte na poslední dva nebo tři roky, tak se zhmotnila globální pandemie, tornádo na Moravě, zablokování Suezského průplavu lodí Ever Given, válka v bezprostřední blízkosti, kybernetické útoky v rozsahu, který byl předtím málokdy viditelný,“ vyjmenovává ředitel asociace. „Nejen Česká republika, ale žádný stát Evropy není na souběh tolika hrozeb připravený. Ani materiálně, ani legislativně, ani organizačně,“ dodává.