Nemocnice Nymburk se stala obětí útoku hackerů. Ocitla se poté v nouzovém režimu a přestala jí fungovat řada jejích běžně poskytovaných digitálních či platebních služeb pacientům. Daný útok ukázal na stále přetrvávající kyberbezpečnostní hrozby vůči organizacím kritické infrastruktury i na nepřipravenost řady českých nemocnic jim čelit. Nemocnice v ČR přitom s přijetím nového zákona o kybernetické bezpečnosti musí svou ochranu výrazně zvýšit.
Prvního července zastavil běžný provoz Nemocnice Nymburk hackerský útok.
Jaké byly jeho dopady?
Až v pondělí 7. července oznámila krajská policejní mluvčí Vlasta Suchánková, že informační systémy nymburské nemocnice napadl vir typu ransomware. V úterý 1. července nefungovaly žádné systémy. Dokonce byl na několik hodin zastaven příjem pacientů ze záchranné služby. Nutný převoz pacienta na plicní ventilaci do jiného zařízení pak byl důkazem toho, že i hackeři mohou potenciálně ohrozit přímo život pacientů.
Nemocnice Nymburk se rychle dostala z nouzového režimu, ale péče o pacienty byla omezená bezmála 2 týdny. Částečně digitalizované zdravotnictví se vrátilo do „papírového režimu“. „Bohužel se nám stále nepodařilo zprovoznit babybox ani platební terminály a zatím nemůžeme vystavovat eRecepty. Pokud potřebujete předepsat léky, obracejte se nejprve na vaše praktické lékaře. My vám vystavíme klasický papírový recept, prosíme ale, abyste znali přesné názvy a síly léků, které užíváte. Případně s sebou vezměte originální balení,“ uvedl 8. července jednatel Nemocnice Nymburk Martin Dvořák na jejím webu. Připomněl tím ne tak dávnou realitu českého zdravotnictví. O 2 dny později informoval, že eRecepty již fungují, ale stále se pracuje na zprovoznění radiodiagnostiky. Magnetickou rezonanci se podařilo spustit ve zkušebním provozu, ale pacienti si mohli začít volat na domluvení termínu od pondělí 14. července. V nemocnici tak nefungovala řada služeb bezmála 2 týdny.
Podobné výpadky s sebou nesou podstatné finanční ztráty už jen kvůli omezení lékařských výkonů, z pohledu pacientů jde však navíc o silné narušení důvěry. Ransomware útoky jsou velmi často spojeny s únikem, kompromitací nebo ztrátou pacientských zdravotních dat. Martin Dvořák 9. července zveřejnil dopis adresovaný pacientům Nemocnice Nymburk. V něm uvádí, že je ještě předmětem vyšetřování, zdali byly osobní údaje odcizeny nebo zneužity. Pro úplnost a z důvodu splnění své zákonné povinnosti ovšem pacientům vzkazuje:
„Pravděpodobné důsledky porušení zabezpečení osobních údajů jsou pro Vás ztráta kontroly nad osobními údaji, data mohou být využita k jiným/nekalým účelům, ztráta nebo změna schopnosti správce/zpracovatele poskytovat služby pro dotčené subjekty údajů, poškození pověsti a ztráta důvěrnosti dat chráněných profesním tajemstvím. Výše uvedeným neoprávněným zpracováním osobních údajů mohlo dále dojít ke ztrátě důvěrnosti dat chráněných profesním tajemstvím, resp. povinností mlčenlivosti.”
Rozhodně nejde o vzkaz, který by jakákoliv organizace chtěla adresovat. Bohužel jsou však nemocnice častým cílem hackerů.
Stačí jeden klik na špatný odkaz, stáhnutí ransomware viru a útok na celý informační systém nemocnice může být zahájen.
Nemocnice jsou častým cílem kybernetických útoků. Poslední výroční zpráva o stavu kyberbezpečnostních hrozeb Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) zmiňuje 487 útoků na zdravotnický sektor v EU za rok. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) informoval o tom, že mu bylo loni nahlášeno na 30 útoků na české nemocnice. Celkový počet útoků je ovšem řádově vyšší.
Nejčastěji čelí nemocnice ransomwaru. Právě tomuto typu útoku, kdy útočníci zašifrují konkrétní data v počítačích či serverech a poté požadují za jejich uvolnění výkupné, byla vystavena v roce 2019 nemocnice v Benešově.Policie ČR vyčíslila způsobenou škodu na 59 milionů korun. Nemocnice přitom výkupné neplatila. Největší ztráty zaznamenala v souvislosti s omezením lékařských výkonů. Nedostala proplacené finanční prostředky od zdravotních pojišťoven na plánovaná vyšetření, zákroky a operace. Ztráty z důvodu omezení výroby měla i transfúzní stanice.
Škody spojené s kybernetickými útoky na nemocnice by neměly být důvodem k jakékoliv analogové nostalgii. Digitalizace zdravotnictví je procesem, který musí v zájmu pacientů pokračovat. Při provozu některých přístrojů už dokonce není ani možná jiná cesta. Digitalizace ovšem musí jít ruku v ruce s důrazem na kyberbezpečnost.
Za hlavní vstupní bránu do sítě se dlouhodobě považují phishingové kampaně. Zaměstnanci jsou nalákáni důvěryhodně působící stránkou či mailem k zadání přihlašovacích údajů nebo stažení škodlivého softwaru.
Právě tento způsob vedl v roce 2020 k tomu, že se dostal kryptovir Defray do interního systému Fakultní nemocnice Brno a zašifroval řadu klíčových dat. Jednalo se také o ransomware, který bezprostředně ochromil fungování záchranné služby i největší nemocnice na Moravě. Vybudování interního systému poté trvalo několik let a náklady na obnovu a zesílenou ochranu přesáhly 300 milionů korun.
Efektivní obranou proti phishingovým kampaním je filtrování na úrovni doménových jmen (DNS), které uživateli zabrání navštívit škodlivou adresu a bezpečně jej přesměruje na informační stránku. Říkáme tomu Zero disruption cybersecurity. Uživatelé často ani nevědí, že mají nějaké bezpečnostní řešení, a přesto jsou chráněni. Výhodou také je, že řešení nevyžaduje instalaci na každé zařízení, a chrání proto i specializované přístroje, například rentgen či magnetická rezonance – právě ty nebyly v Nemocnici Nymburk funkční ani v průběhu druhého týdne od útoku.
Kybernetická ochrana musí být vícevrstvá. Žádný samostatný produkt neposkytuje stoprocentní bezpečnost, a proto je nezbytné kombinovat nástroje tak, aby pokryly co nejširší spektrum zařízení a služeb. Stejně důležité je mít přehled o tom, co se v síti děje. Bezpečná je segmentovaná a přehledná síť, v níž administrátoři v reálném čase sledují tok dat – tato znalost je klíčová při zjišťování rozsahu útoku. Probíhá-li analýza pravidelně, lze některé hrozby odhalit či dokonce předvídat.
Nejslabším článkem stále zůstávají uživatelé. Je proto vhodné je pravidelně školit a testovat jejich reakce v simulovaných scénářích. Pokud první obranná vrstva selže, musejí být k dispozici další. Neoddělitelnou součástí je i fyzická bezpečnost – omezení přístupových bodů v interní síti, zajištění nevyužitých síťových zásuvek a deaktivace nevyužívaných portů – obecně zamezení přístupu neoprávněným osobám k infrastruktuře. Cílem je co nejvíce zúžit možnosti, které může útočník zneužít. Tím se i výrazně snižuje šance, že by mohl kybernetický útok provoz nemocnic skutečně ohrozit.
Na investice do kybernetické bezpečnosti chybí v nemocnicích často finance. Přitom náklady na opravu obvykle překračují cenu preventivních bezpečnostních opatření. Dalším limitem jsou byrokratické požadavky a komplikovaný proces zavádění ochranných nástrojů. Přesto existuje naděje na posun k lepšímu. Prezident Petr Pavel na konci června podepsal nový zákon o kybernetické bezpečnosti, který transponuje evropskou směrnici NIS2 a vstoupí v platnost 1. listopadu letošního roku. Většina nemocnic tak patrně přejde do režimu vyšších povinností – zvýší se nároky na zabezpečení a budou muset incidenty hlásit.
EU pomáhá s posilování kybernetické bezpečnosti dlouhodobě. Evropská komise jmenovala společnost Whalebone vedoucím konsorcia DNS4EU, iniciativy pro zabezpečení kritické infrastruktury a služeb Evropanů. Máme navíc přímou zkušenost s ochranou nemocnic na úrovni DNS. A nyní ji mají nemocnice možnost využít velmi výhodně díky grantu EU.
European Cybersecurity Competence Centre vyčlenilo 30 milionů eur v rámci výzvy Strengthening the cybersecurity ecosystem - DIGITAL-ECCC-2025-DEPLOY-CYBER-08.. Dotace financuje až 50 % výdajů zdravotních zařízení na jejich kybernetickou ochranu, včetně té na úrovni DNS.
● Financování: 50 % uznatelných nákladů (software, služby SOC/SIEM, threat-intel, školení personálu, vlastní mzdy, depreciace vybavení).
● Délka projektu: 18–24 měsíců.
● Konsorcium: Je nutné vytvořit konsorcium minimálně dvou nezávislých subjektů ze dvou různých zemí EU či EHP, které nasadí do pilotního provozu grantem podporované řešení kybernetické bezpečnosti (součástí konsorcia mohou být i jeho poskytovatelé).
● Bezpečnostní omezení: veškeré aktivity i subdodávky musí probíhat v EU či EHP.
● Deadline: přihlášky do 7. října 2025; rozpočet se přiděluje do vyčerpání prostředků.
K tématu chystáme na září webinář. Konsorcia, která podají přihlášku dříve, mají nicméně vyšší šanci získat finance ještě před vyčerpáním alokace 30 milionů eur. Proto je vhodné neotálet s oslovením potenciálních partnerů ani s přípravou samotné přihlášky.
I s tím vám můžeme pomoci. Neváhejte se nám proto ozvat, a to na e-mail roman.zavadil@whalebone.io.