Je středa 11. prosince 2019, 2 hodiny a 17 minut po půlnoci. V Nemocnici Rudolfa a Stefanie Benešov 30 km od Prahy přestávají fungovat některé počítače. Následně se zjišťuje, že jde o úmyslné jednání třetí strany, která si zajistila dálkový přístup do nemocniční počítačové sítě.
Nemocnice Rudolfa a Stefanie Benešov má více než 800 zaměstnanců, 435 lůžek a je vybavena nejmodernějšími zdravotnickými přístroji včetně RTG, CT a mag-netické rezonance. Roční obrat se pohybuje kolem 800 mil. CZK. Nemocnice měla na svých počítačích nainstalováno několik prvků bezpečnosti, prováděla pravidelná bezpečnostní školení zaměstnanců a část počítačů nebyla síťově propojena.
Přes všechna tato bezpečnostní opatření se hackerům podařilo proniknout a ovlád-nout počítačovou sít nemocnice mnoho dní před 11. prosincem, kdy byl proveden kybernetický útok. Ten způsobil takovou nejistotu a chaos, že vedení nemocnice bylo nuceno její provoz na 21 dní kompletně zastavit. Z výroční zprávy nemocnice vyplývá, že zdravotnické přístroje byly odpojeny i přestože všechno naznačovalo že napadeny nebyly. Vedení nemocnice k tomuto kroku přistoupilo z preventivních důvodů, neboť správné fungovaní zdravotnických přístrojů má fatální dopad na zdraví pacientů. Napadení přístrojů hackery nebylo možné zcela vyloučit. Odpojení přístrojů a přesměrování pacientů do jiných nemocnic bylo tedy naprosto nevyh-nutelné. A tak jsou zdravotnická zařízení oblíbeným cílem kybernetických útoků, neboť při přerušení provozu dochází k obrovským finančním ztrátám.
Dle hejtmanky Středočeského kraje způsobil samotný kybernetický útok nemocnici provozní ztrátu ve výši 40 mil. CZK1. Navíc se vedení nemocnice následně rozhodlo investovat dalších 59 milionů CZK do projektů zaměřených na modernizaci vedení zdravotní dokumentace a provozu zdravotnických oddělení. Po právní stránce se kybernetická bezpečnost nemocnic a jejich provoz řídí v ČR mimo jiné směrnicí EU 2016/1148 (takzvaná Směrnice NIS)2. Za přestupek je možné uložit pokutu do výše až 10 mil. CZK3. Celková škoda tak může činit 109 mil. CZK, tedy více než 10 procent ročního obratu nemocnice. Lze předpokládat, že konečná částka včetně pokut a provozní ztráty za zbývající část roku bude ještě o několik desítek mil-ionů vyšší. A to nemocnici naštěstí neunikla žádná citlivá data pacientů či zaměstnanců, v takovém případě by totiž finanční ztráta byla mnohem vyšší.
Pokud by vedení nemocnice včas zohlednilo riziko kybernetického útoku, a in-vestovalo do technických opatření a pojištění, které firma AON zprostředkovává, mohlo ztrátu přinejmenším snížit. Dle zkušeností skupiny AON Cyber Solutions je přímé vyčíslení finanční ztráty nejlepší způsob jak přimět management, disponující finančními prostředky, k investicím do adekvátních preventivních opatření. Upozornění na možnou 100 mil. ztrátu je mnohem efektivnější, než označení rizika kybernetického útoku například jako „středně vysoké“.
Jak nemocnice uvádí, útok se stal těsně po implementaci nového informačního systému4. Je možné, že nemocnice neprovedla dostatečné testování systému nebo zjištěné slabiny neod-stranila. Jelikož provoz nemocnice stále sám neví, jak se hackeři do počítačů dostali5, můžeme jen spekulovat. Dle digitálního zmocněnce ministerstva zdravotnictví Martina Zemana sleduje ministerstvo informační zdroje pro náznaky plánovaného kybernetického útoku a uvádí, že útok byl zatím vždy v pátek6, kdy se většina zaměstnanců chystá domů na víkend. Z informačního monitorování “deep a dark webu“, které skupina AON Cyber Solu-tions provádí, vyplývá že se na internetových informačních zdrojích nacházejí nezašifrované přihlašovací údaje. Tyto údaje, spolu s možností dálkového připojení přes internet, které se ze zkušenosti skupiny AON Cyber Solutions stále více využívá bez dostatečného zabezpečení, lze zneužít k neautorizovanému přístupu do počítače.
Podobně se to přihodilo i v případě kybernetického útoku na karlovarskou krajskou nem-ocnici7. Z pohledu risk managementu firmy AON by se zdravotní, ale i jiné organizace měly zaměřit na ochranu svého duševního vlastnictví nacházejícího se na internetu, kde ho hackeři umí snadno najít a zneužít.
Kdo za tím vším stojí?
Z prohlášení Ministra zahraničí Spojených Států Mika Pompea lze vyčíst ledacos: “The Unit-ed States notes with concern the warning from the Czech Republic’s National Cyber and In-formation Security Agency of a “real threat of serious cyber attacks” against its healthcare sector…We call upon the actor in question to refrain from carrying out disruptive malicious cyber activity against the Czech Republic’s healthcare system or similar infrastructure else-where…When states do not abide by this framework [of responsible behavior], we hold them accountable.”8
Nemocnice Rudolfa a Stefanie Benešov:
1 https://benesovsky.denik.cz/zpravy_region/napadeni-pocitacove-site-virem-prislo-nemocnici-na-40-milionu-zatim-20200113.html
2 https://ec.europa.eu/digital-single-market/en/implementation-nis-directive-czech-republic
3 https://www.zakonyprolidi.cz/cs/2014-181#cast1
4 Nemocnice Rudolfa a Stefanie Benešov, výroční zpráva 2019; https://www.hospital-bn.cz/wp-content/uploads/2020/05/V%c3%bdro%c4%8dn%c3%ad-zpr%c3%a1va-rok-2019.pdf, strana 3
5 Nemocnice Rudolfa a Stefanie Benešov, výroční zpráva 2019; https://www.hospital-bn.cz/wp-content/uploads/2020/05/V%c3%bdro%c4%8dn%c3%ad-zpr%c3%a1va-rok-2019.pdf, strana 13
6 https://www.irozhlas.cz/veda-technologie/nukib-kyberutok-nemocnice-martin-zeman-rozhovor-bezpecnost_2004170745_jgr
7 https://vary.rozhlas.cz/karlovarska-krajska-nemocnice-byla-tercem-kyberutoku-8185800
8 U.S. Department of State; https://www.state.gov/the-united-states-concerned-by-threat-of-cyber-attack-against-the-czech-republics-healthcare-sector/
Nemocnice Rudolfa a Stefanie Benešov, výroční zpráva 2019; https://www.hospital-bn.cz/wp-content/uploads/2020/05/V%c3%bdro%c4%8dn%c3%ad-zpr%c3%a1va-rok-2019.pdf
U.S. Department of State; https://www.state.gov/the-united-states-concerned-by-threat-of-cyber-attack-against-the-czech-republics-healthcare-sector/
Benešovský deník; https://benesovsky.denik.cz/zpravy_region/napadeni-pocitacove-site-virem-prislo-nemocnici-na-40-milionu-zatim-20200113.html
Evropská komise; https://ec.europa.eu/digital-single-market/en/implementation-nis-directive-czech-republic
https://www.zakonyprolidi.cz/cs/2014-181#cast1
https://www.irozhlas.cz/veda-technologie/nukib-kyberutok-nemocnice-martin-zeman-rozhovor-bezpecnost_2004170745_jgr
https://vary.rozhlas.cz/karlovarska-krajska-nemocnice-byla-tercem-kyberutoku-8185800