Neustále se odehrávající kybernetické útoky na zdravotnická zařízení mohou mít vážné následky pro jejich provoz a následně mohou vést až k ohrožení zdraví pacientů. Jelikož hlavní úlohou zdravotnických zařízení je poskytování zdravotní péče, musí být pečlivě zabezpečená, a to i vůči kybernetickým útokům.
Jako pacienti věříme, že nemocnice či zdravotní středisko nám poskytne potřebnou péči, ale realita nemusí být vždy taková. Představme si situaci, kdy je potřeba urgentní pomoc, ale kvůli nefunkčnímu parkovacímu systému na nemocničním parkovišti, zmatku na recepci z důvodu nefunkčního registračního systému či problémům lékařů dostat se k našim zdravotním informacím v nemocničním informačním systému (NIS), dochází k potížím při poskytování lékařské péče pacientovi.
Podobně jako banky, které velmi výrazně využívají IT technologie, i nemocnice směřují k technologickým inovacím. NIS, který je jádrem nemocničních procesů spolu s dalšími systémy a komponenty, včetně radiodiagnostických, PACS (Picture Archiving and Communication Systems) databází, docházkových systémů, ekonomických a účetních systémů připojených na systémy elektronického zdravotnictví a na vykazování zdravotním pojišťovnám, posiluje digitální transformaci zdravotnictví. S tímto nárůstem digitální závislosti však přicházejí i rizika v podobě výpadků v důsledku kybernetických hrozeb, které mohou ve výsledku dopadnout na pacienty.
Bez připravených plánů to nepůjde
Kybernetická bezpečnost je klíčovým prvkem pro zajištění plynulého fungování zdravotních služeb. Vedoucí pracovníci nemocnic by měli aktivně řešit otázky týkající se spolehlivosti informačních systémů a připravenosti na kybernetické hrozby. Stejně jako nemocnice mají připravené plány reakcí na mimořádné situace, jako jsou hromadné nehody, měly by být připraveny i strategie kybernetické bezpečnosti proti ransomwarovým útokům, selhání techniky, případně chybám v konfiguracích.
Nemocnice potřebují plány na minimalizaci dopadů v případě výpadku, kdy je nutné rychle reagovat na nastalé situace, jako jsou problémy se sítí nebo celým NIS. Každý zaměstnanec by měl vědět, co dělat i v extrémních stresových situacích, kdy dochází k neočekávanému nárustu počtu pacientů/zahlcení čekárny pacienty a tento případ vyžaduje rychlé řešení. Klíčové je věnovat pozornost budování a udržování plánů kontinuity činností (BCP) a plánů obnovy (DRP), identifikovat a hodnotit hrozby a scénáře, které mohou ovlivnit schopnost nemocnice poskytovat kvalitní péči.
Při tvorbě BCP a DRP plánů je nutné zaměřit se na několik klíčových oblastí
• analýzu funkčního dopadu – identifikaci kritických procesů a systémů a stanovení časových rámců obnovy činností. Tento krok je alfa a omega pro řízení kontinuity činností.
• analýzu IT prostředí – identifikaci aktiv, hledání vzájemných vztahů a závislostí mezi aktivy a procesy, identifikace potenciálních míst selhání. Je důležité vědět, na jakých prvcích IT závisí naše kritické procesy a systémy.
• identifikaci hrozeb a definici scénářů – zaměřit se na hrozby, které mohou negativně ovlivnit běžné fungování organizace, nejen v oblasti IT technologií, zvážit oblasti ohrožení, jako je nedostupnost personálu a pracoviště.
• definici reakčních plánů – podrobný popis kroků obnovy, zodpovědností, spolupráce týmů a dodavatelů, komunikační strategie a další aspekty
• testování a vylepšování plánů – pravidelné testování plánů pomocí simulací s praktickým nácvikem podle předem definovaných scénářů. Velmi důležité je však po provedení jednotlivých testů zhodnotit, co bolo přínosné, co nepodchycené a následně plány upravit.
Je nejvyšší čas jednat
Skutečnost, že zdravotnické zařízení nemá vypracované plány kontinuity činností a plány obnovy provozu zohledňující i kybernetické hrozby, může být pro chod dané organizace a její schopnost poskytovat zdravotní péči fatální, na čemž v konečném důsledku doplátí pacient.
Není na co čekat. Je důležité, předejít nefunkčnosti zdravotního systému nebo jeho výraznému omezení, podobně jako to bylo během pandemie COVID-19. Pokud zdravotnické zařízení nedisponuje potřebnými znalostmi v této oblasti, cestou může být využití služeb zkušených externích konzultantů. Stěžejní je získat podporu vedení, bez které to nepůjde, a začít jednat.
Autor: Ján Benka, cybersecurity konzultant společnosti Soitron