Zdravotnická zařízení po celém světě se mění na vysoce digitalizované instituce, kde je vše od zdravotnických záznamů až po napojení přístrojů. Bez těchto technologií se dneska prostě nemocnice neobejdou. Tento technologický pokrok však přináší rizika – zranitelnost vůči kyberútokům. Hackeři vidí v nemocnicích lukrativní cíl, protože se zde prolínají citlivá data, naléhavé situace a omezené možnosti rychlé obrany.

Jaké typy útoků na nemocnice existují?

1. Ransomware:
Jedná se o jeden z nejběžnějších typů útoků. Hackeři infikují systémy škodlivým softwarem, který zašifruje data, a požadují výkupné za jejich odemčení. Příkladem je incident v Nemocnici Rudolfa a Stefanie v Benešově v roce 2019, kdy ransomware Ryuk paralyzoval nemocnici na tři týdny, což vedlo ke škodám přesahujícím 59 milionů korun.

2. Phishing:
Phishingové útoky cílí na zaměstnance nemocnic, kteří mohou neúmyslně otevřít škodlivé přílohy nebo sdílet citlivé informace. Denně jsou nemocnice vystaveny stovkám takových útoků.

3. DDoS útoky (Distributed Denial of Service):
Tyto útoky zahlcují servery nadměrným množstvím požadavků, což vede k jejich nedostupnosti. V roce 2024 čelila Česká republika nejvyššímu počtu DDoS útoků za měsíc, přičemž většinu provedla skupina NoName057(16).

4. Exploitace zranitelností:
Útočníci využívají známé chyby v softwaru nemocnic k proniknutí do jejich systémů. Například nedávné zneužití zranitelností v poštovním systému Microsoft Exchange vedlo k masivním únikům dat.

Dopady útoků: Když jde o životy

Představte si situaci, kdy v nemocnici selžou systémy, které mají zajišťovat životně důležitou péči. Lékaři se najednou ocitají bez přístupu k informacím o pacientech – nemohou zjistit, jaké léky pacient bere, jaké má alergie, ani jaké operace má za sebou. Právě takové situace způsobují kyberútoky, a někdy může jít doslova o život.

Například v roce 2020 v Německu se stala tragédie, která zůstává smutnou připomínkou této hrozby. Ransomware vyřadil z provozu nemocnici a pacient, který potřeboval urgentní péči, musel být převezen jinam. Bohužel převoz trval příliš dlouho, a on zemřel. Tohle není jen nějaká abstraktní „technická porucha“ – tohle je realita, kde digitální útok může mít fatální následky pro skutečné lidi.

A co finanční stránka věci? Obnova systémů po kyberútoku není levná záležitost. Nemocnice se často musí potýkat nejen s náklady na opravy a nové zabezpečení, ale někdy i s placením výkupného. Tyto částky se mohou vyšplhat do milionů korun. Navíc takové incidenty poškozují pověst zdravotnických zařízení. Pacienti pak přemýšlejí: „Jsou moje data v bezpečí? Můžu této nemocnici důvěřovat?“ Ztráta důvěry je něco, co se napravuje těžko a pomalu.

Jak chránit nemocnice před kybernetickými hrozbami?

Když se podíváme zpátky na rok 2024, už víme, že byl zlomový pro kybernetickou bezpečnost ve zdravotnictví. Vstoupila totiž v platnost směrnice EU NIS2, která přinutila i menší nemocnice zpřísnit své zabezpečení. Pro některé to znamenalo velké investice a změny, ale ukázalo se, že to stálo za to.

Zdroj: Shutterstock

Zdá se, že nemocnice nesmí bojovat jen o lidské životy, ale i s lidskou bezcitností. První klíč je v lidech – zaměstnanci jsou často nejslabším článkem řetězce. Stačí jeden nepozorný klik na škodlivý odkaz nebo přílohu a problém je na světě. Nebezpečný vir se dostane do systému, kde se rozmnoží a začne dělat svou práci. I když se jedná o obecně známá fakta, je zapotřebí zaměstnance neustále školit a připomínat jim bezpečnost práce v digitálním světě.

Další bod jistě každý také zná. Je to aktualizace systémů a zálohování. Všichni vědí, že by se mělo zálohovat, ale upřímně – kdo to dělá? Pro krytí před nejnovějšími viry je potřeba mít nejnovější verzi softwaru i firmwaru a všechna data si pravidelně zálohovat.

Nemocnice také investují do moderních technologií – firewally, antiviry a systémy pro detekci narušení (IDS) už nejsou jen výsadou velkých firem. Přidáme-li k tomu spolupráci s odborníky na kybernetickou bezpečnost, kteří pomáhají najít slabá místa, máme docela pevný základ obrany.

Jistě se jedná o velké investice, kterým se nemocnice částečně brání, protože by tyto finance raději vložily do zdravotnického materiálu a přístrojů. Nicméně je dobře, že přišla legislativa, která nemocnicím ukládá tuto novou povinnost. Právě tato investice může lidem zachránit život zcela stejně, jako například defibrilátor.

Závěr: Společná odpovědnost

Kyberútoky na nemocnice nejsou jen technickým problémem, ale otázkou etiky a lidskosti. Hackeři, kteří zneužívají slabiny zdravotnických systémů, ohrožují nejzranitelnější členy společnosti – pacienty. Je nezbytné, aby nemocnice, státní instituce i veřejnost spolupracovaly na posilování obrany proti těmto útokům. Jen tak lze zajistit, že zdravotnická péče zůstane bezpečná i v digitálním věku.

Pamatujme, že každý z nás může přispět k ochraně. Ať už jde o správné používání hesel nebo opatrnost při otevírání e-mailů, i malé kroky mohou mít velký dopad.