Európska komisia v polovici januára predstavila akčný plán na posilnenie kybernetickej bezpečnosti nemocníc a ďalších poskytovateľov zdravotnej starostlivosti. Plán počíta napríklad so zriadením celoeurópskeho centra podpory kybernetickej bezpečnosti, poskytnutím finančnej pomoci mikropodnikom, malým a stredným nemocniciam a poskytovateľom zdravotnej starostlivosti alebo so spoločnou diplomatickou reakciou Európskej únie (EÚ) na kybernetické útoky. V Zdravotníckom denníku sme zisťovali, ako na akčný plán reagujú štátne aj súkromné nemocnice na Slovensku.

Viaceré nemocnice skonštatovali, že z pochopiteľných dôvodov nemôžu verejne hodnotiť svoju úroveň kybernetickej bezpečnosti, avšak považujú ju za veľmi dôležitú, spolupracujú s odborníkmi a dodržiavajú všetky relevantné normy na zabezpečenie ochrany svojich služieb.

Kybernetické útoky môžu nemocniciam spôsobiť rôzne problémy. Podľa hovorkyne Fakultnej nemocnice s poliklinikou Žilina, Zuzany Fialovej, môže prísť napríklad k úniku osobných údajov pacientov a hazardovaniu s ich zdravím. Napadnutie vedúce k nefunkčnosti dôležitých pracovísk a systémov, ako sú röntgeny či počítačová tomografia (CT), by mohlo ohroziť aj životy pacientov. S týmto názorom súhlasia aj súkromné nemocnice. „Prípadný útok môže ohroziť kritické systémy, znemožniť prístup k dôležitým údajom a ohroziť efektívne poskytovanie zdravotnej starostlivosti,“ skonštatoval riaditeľ odboru kybernetickej bezpečnosti nemocničnej siete Agel Slovensko Dominik Procházka.

„Asi najvýraznejším poškodením by bolo, samozrejme, dlhodobé prerušenie poskytovania zdravotnej starostlivosti z dôvodu výpadku informačných systémov,“ povedal pre Zdravotnícky denník manažér kybernetickej bezpečnosti siete Penta Hospitals Slovensko Peter Dufek. Dodal, že nemocnice v sieti sú dennodenne konfrontované s množstvom phishingových kampaní a pokusov o zavlečenie malvéru cez e-mailovú komunikáciu. „Tiež s pokusmi o prieniky na kontá používateľov, čo sa nám vďaka pokročilým bezpečnostným technológiám darí odrážať,“ tvrdí Dufek.

Vyžiada si to spoluprácu aj prostriedky

Hovorkyňa Žilinskej nemocnice Zuzana Fialová tvrdí, že pri ochrane kybernetickej bezpečnosti by im zo strany štátu a EÚ najviac pomohli spolupráca a podpora pri vzdelávaní a pri finančne náročných projektoch, keďže softvéry sa neustále vyvíjajú a aj nemocnice ich musia nahrádzať novými a efektívnejšími produktami. „Ďalej je to koordinácia činností štátu pri verejnom obstarávaní – spoločné a jednotné ciele, unifikácia v rámci Slovenskej republiky,“ hovorí Fialová.

Konkrétne opatrenia podľa európskej smernice sa majú postupne zavádzať v rokoch 2025 a 2026. Žilinská nemocnica očakáva, že implementácia smernice do národnej legislatívy povedie k užšej spolupráci s Národným bezpečnostným úradom pri nahlasovaní incidentov alebo pri preventívnych podozreniach na kybernetický útok a prinesie detailnejšie procesy a postupy. Tiež bude potrebné neustále vzdelávanie zamestnancov s cieľom zvýšiť povedomie o kybernetickej bezpečnosti. Aj preto sa nemocnica obáva reálnosti realizácie projektu do dvoch rokov, ktorú deklaruje akčný plán. Ako jeho najväčšie pozitíva oceňuje podporu zdravotníctva v celoeurópskom a štátnom meradle a tiež jednotný boj proti kyberzločincom.

Mohlo by vás zaujímať

Aj hovorkyňa Fakultnej nemocnice s poliklinikou F. D. Roosevelta v Banskej Bystrici Ružena Maťašeje pre Zdravotnícky denník povedala, že na požiadavky novej európskej legislatívy sa v nemocnici pripravujú a budú sa ich snažiť naplniť čo najlepšie. „V predchádzajúcich rokoch sme boli úspešní v získaní prostriedkov Európskej únie na zabezpečenie informačnej a kybernetickej bezpečnosti a implementovali sme služby a organizačné opatrenia, ktoré majú napomáhať zisťovať, analyzovať a reagovať na bezpečnostné hrozby ešte skôr, ako narušia činnosť nemocnice,“ doplnila.

Bude treba viac technologických odborníkov

Aj siete súkromných nemocníc sa zhodli, že pri príprave a zavádzaní opatrení na zlepšovanie kyberbezpečnosti bude dôležité, aby bola k tomu zo strany štátu a EÚ poskytnutá primeraná finančná a odborná podpora, ktorá umožní posilňovať odolnosť voči kybernetickým hrozbám. Riaditeľ odboru kybernetickej bezpečnosti v sieti Agel Slovensko Dominik Procházka Zdravotníckemu denníku povedal: „Pri príprave a zavádzaní nových opatrení je zásadné, aby bolo jasne zadefinované, čo sa od nás vyžaduje, a aby existoval priestor na komunikáciu a vyjasnenie prípadných otázok.“

Manažér kybernetickej bezpečnosti siete Penta Hospitals Slovensko Peter Dufek dodal, že štát či EÚ by mali napríklad investovať do plošného, pravidelného vzdelávania zdravotníckeho personálu v oblasti kybernetickej bezpečnosti, aby vedeli rozpoznať hrozby a reagovať na ne. Podotkol, že momentálne táto úloha leží na pleciach manažérov a špecialistov kybernetickej bezpečnosti v nemocniciach.

Ilustračné foto: Pexels

Konkrétne opatrenia podľa európskej smernice sa majú postupne zavádzať v rokoch 2025 a 2026. Dufek očakáva, že implementácia smernice do národnej legislatívy prinesie poskytovateľom zdravotnej starostlivosti aj povinnosť implementovať procesy a mechanizmy na včasné zachytávanie varovaní. Pri zavádzaní celoeurópskeho systému pozostávajúceho z národných a cezhraničných kybernetických centier v celej EÚ sa podľa neho dá čakať, že zdravotnícke zariadenia budú mať nové povinnosti súvisiace so zavedením posilnených technických a organizačných opatrení na zabezpečenie kontinuity prevádzky, prísnejšie povinnosti oznamovania incidentov, ale budú tiež širšie spolupracovať pri výmene informácií.

Za najväčšie pozitíva akčného plánu vychádzajúceho z európskej smernice považuje manažér kybernetickej bezpečnosti Penta Hospitals vytvorenie mechanizmu na riešenie kyberneticko-bezpečnostných krízových situácií, systému včasného varovania pred kyberneticko-bezpečnostnými hrozbami, zavedenie služby rýchlej reakcie na kybernetické útoky s cieľom minimalizovať ich vplyv a v neposlednom rade vytvorenie celoeurópskeho centra podpory kybernetickej bezpečnosti pre nemocnice. To by malo poskytovať usmernenia, nástroje, služby a odbornú prípravu.

Všetky navrhované opatrenia na posilnenie kybernetickej bezpečnosti však zvýšia tlak na rozširovanie tímov špecialistov a odborníkov na nové bezpečnostné technológie v zdravotníckych zariadeniach, ktorých je podľa Dufeka už teraz nedostatok. „Alebo si to vyžiada opatrenia v podobe zazmluvňovania špecializovaných kyberbezpečnostných subjektov zo súkromného sektora. Tento tlak vyvolá následne tlak na vyššie mzdové ohodnotenie či zvýšenie finančných nákladov na posilnenie opatrení. Ako vieme, v podfinancovanom sektore zdravotníctva bude hľadanie finančných prostriedkov bez pomoci štátu alebo EÚ veľmi náročné,“ zhrnul.

Opatrné očakávania od európskeho plánu majú aj české nemocnice. Za podmienku jeho užitočnosti považujú finančnú podporu kyberbezpečnosti a to, aby nedošlo k nárastu administratívy.

Zvýši dôveru v digitalizáciu zdravotníctva?

Ministerstvo zdravotníctva Zdravotníckemu denníku potvrdilo, že aktívne komunikuje s európskymi inštitúciami vo veci zavádzania národného akčného plánu na posilnenie kybernetickej bezpečnosti pre zdravotníctvo. Jeho implementácia do praxe podľa komunikačného odboru rezortu prinesie posilnenie prevencie a reakcie na kybernetické hrozby v zdravotníctve. Podobne ako nemocnice sa však aj na ministerstve obávajú finančnej náročnosti implementácie a nedostatku kvalifikovaného personálu.

Rezort pripomenul, že akčný plán vychádza z existujúceho legislatívneho rámca v oblasti kybernetickej bezpečnosti – najmä zo smernice NIS2, ktorá stanovuje povinnosti pre kritické odvetvia vrátane zdravotnej starostlivosti. Tá rozšírila povinné subjekty o referenčné laboratóriá EÚ, subjekty vykonávajúce činnosti v oblasti výskumu a vývoja liekov, výrobcov základných farmaceutických výrobkov a prípravkov vrátane vakcín a výrobcov zdravotníckych pomôcok považovaných za kritické počas núdzovej situácie vo verejnom zdraví. Akčný plán kladie dôraz na špecifické zraniteľnosti a potreby zdravotníckych zariadení.

Aj vzhľadom na nedávny kybernetický útok na Všeobecnú zdravotnú poisťovňu, ktorý mal za cieľ ochromiť systémy a ohroziť dáta pacientov, ministerstvo zdravotníctva víta predloženie akčného plánu ochrany zdravotníctva pred kybernetickými útokmi. Poskytovatelia zdravotnej starostlivosti podľa neho čelia čoraz sofistikovanejším kybernetickým hrozbám. „Zvýšená integrácia a zložitosť informačných systémov v zdravotníctve, vrátane telemedicíny, spôsobuje, že zlyhanie alebo zraniteľnosť jedného systému môže mať reťazové dôsledky na celé zdravotnícke zariadenie. Nedostatočné investície do IT infraštruktúry a nízke povedomie personálu zvyšujú potenciálnu úspešnosť kybernetických bezpečnostných incidentov,“ upozorňuje ministerstvo. Opatrenia z európskeho akčného plánu majú podľa neho za cieľ minimalizovať vplyv kybernetických incidentov na služby poskytovateľov zdravotnej starostlivosti, zabezpečiť kontinuitu poskytovania zdravotnej starostlivosti a tiež zvýšiť dôveru pacientov v digitalizáciu zdravotníctva.