Schôdza českého senátneho Výboru pre zdravotníctvo sa niesla v duchu kybernetickej bezpečnosti v oblasti zdravotníctva. Hlavným bodom rokovania totiž bolo predstavenie európskeho Akčného plánu pre kybernetickú bezpečnosť nemocníc a poskytovateľov zdravotnej starostlivosti. Dokument senátorom predstavil námestník sekcie strategických agénd českého Národného úradu pre kybernetickú a informačnú bezpečnosť (NÚKIB) Pavel Štěpáník.
Akčný plán je právne nezáväzný dokument, má však jasný cieľ – pomôcť členským štátom s ochranou zdravotníckej infraštruktúry. V rámci Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA) má vzniknúť podporné centrum zamerané práve na nemocnice a poskytovateľov zdravotnej starostlivosti. Nemá ísť pritom o nový úrad, ale o rozšírenie agendy existujúcich zamestnancov.
Európsky akčný plán reaguje na rastúce kybernetické hrozby, ako je napríklad ransomware, čo je typ útoku, pri ktorom útočníci spravidla zašifrujú a exfiltrujú dáta napadnutého subjektu a následne žiadajú výkupné za dešifrovanie či vrátenie odcudzených dát. Dokument tak má za cieľ posilniť ochranu nemocníc a poskytovateľov zdravotnej starostlivosti prostredníctvom iniciatív zameraných na prevenciu, detekciu, reakciu na incidenty a odstrašenie kybernetických útokov. Celkovo plán obsahuje 42 návrhov, ktoré by sa mali realizovať tak na úrovni Únie, ako aj na úrovni konkrétneho štátu.
Legislatíva za humnami
Zásadný dopad podľa Štěpáníka prinesie až implementácia príslušných zákonov v jednotlivých členských krajinách. Česká republika pripravuje nový zákon o kybernetickej bezpečnosti, ktorý má v Poslaneckej snemovni za sebou dve čítania a mieri do finálneho tretieho. Po jeho prijatí dôjde podľa NÚKIB k výraznému rozšíreniu okruhu organizácií, ktoré budú pod dohľadom úradu.
„Po implementácii zákona by malo dôjsť k navýšeniu počtu subjektov, ktorých kybernetická bezpečnosť je zabezpečovaná zo strany NÚKIB, z 500 na 6000,“ upozornil Štěpáník. To znamená dvanásťnásobné zvýšenie počtu organizácií, ktoré budú podliehať pravidelným kontrolám, reportingovým povinnostiam a ďalším bezpečnostným opatreniam, ale aj aktívnej podpore zo strany úradu v prípade útoku či možnosti zúčastniť sa kyberbezpečnostných cvičení a školení pre zdravotnícky personál.
Hoci je aktuálne podľa NÚKIB zdravotnícky sektor v Česku mimo hlavného záujmu kyberútočníkov, Štěpánik varoval pred upadnutím do letargie. Metódy hackerov sa vyvíjajú a ochrana serverov a citlivých údajov na nich nesmie byť pozadu. Pripomenul tiež, že úrad v minulosti organizoval školenia pre zamestnancov aj vedenie nemocníc a považuje vzdelávanie za kľúčové.
Jedna vec dvakrát
Debata sa dotkla aj konkrétnych výziev v praxi. Predseda výboru Tomáš Fiala pripomenul, že „kyberútoky v minulých rokoch zásadne ovplyvňovali chod niektorých nemocníc“, pričom menoval zdravotnícke zariadenia ako napríklad Fakultnú nemocnicu Brno (viac tu) alebo nemocnicu v Benešove (viac tu). Vyjadril však obavy z možných duplicít pri hlásení incidentov, ak by nemocnice museli novo informovať dve inštitúcie – teda ako český NÚKIB, tak európske stredisko.
Štěpáník uznal, že nemocnica hlásia incidenty NÚKIBu, ale v rámci Akčného plánu sa počíta s tým, že by to hlásili aj podpornému centru, teda k duplicite by dochádzalo. Súčasne s tým sa však proti tomu za svoj úrad ohradil. „Ale my s tým nesúhlasíme, pretože je to záťaž pre subjekty,“ povedal s tým, že ich cieľom je, aby k duplicitám nedochádzalo.
Mohlo by vás zaujímať
Viac edukácie personálu
Výbor pre zdravotníctvo odporučil postúpiť dokument na prerokovanie plénu Senátu a prijal k dokumentu jednomyseľné stanovisko. V ňom zdôrazňuje potrebu prioritizácie implementácie európskej smernice NIS2, ktorá sa premietne do českej legislatívy prostredníctvom zákona o kybernetickej bezpečnosti, vyzýva na „uvedenie príslušnej legislatívy do života“ a volá po cielenom a individualizovanom vzdelávaní pracovníkov v zdravotníctve v oblasti kybernetickej bezpečnosti – pokiaľ možno prezenčnou formou.
