Zamknutá plechová skriňa vs. dátové centrum: Najväčšou hrozbou je zlyhanie ľudského faktora

Zámok alebo radšej heslo, nalepené na monitore? [Pixabay/Mcability]

V čase, keď sa elektronizuje ďalšia zo základných služieb štátu – zdravotníctvo, je treba myslieť aj na jej bezpečnosť. V kybernetickej oblasti sa ale tradične najpomalšie prispôsobuje ľudský faktor, ktorý zároveň predstavuje aj jedno z najväčších rizík v bezpečnosti.

Slovensko si zraniteľnosť v oblasti kybernetickej ochrany zdravotníckych dát najviac uvedomilo minulý rok. Jeden zo svetovo najznámejších ransomwerov WannaCry zasiahol aj Fakultnú nemocnicu v Nitre. Hackerský útok, ktorý na celom svete spôsobil niekoľkomiliónové škody, však v Nitre neohrozil údaje o pacientoch.

Podľa prednostu Neurochirurgickej kliniky Fakultnej nemocnice v Nitre Kamila Kolejáka bolo požadovanie výkupného od slovenskej nemocnice vzhľadom na jej finančné zabezpečenie pomerne cynické. Mnohí zamestnanci však prišli o svoje prednášky, či iné dáta podobného charakteru.

Európsku spoluprácu v kybernetickej bezpečnosti rozhýbal hackerský útok

„Vydieračský počítačový vírus“ WannaCry prinútil členské štáty a európske agentúry k prvej celoeurópskej spolupráci v oblasti kybernetickej bezpečnosti.

„Nemocnica vymenila v priebehu týždňa približne 200 počítačov, pričom ich výmena už bola súčasťou pripravovaného verejného obstarávania,“ hovorí Koleják.

Nie všetky nemocnice, či iné zdravotnícke zariadenia ale môžu mať v čase narastajúcich kybernetických hrozieb rovnaké šťastie v nešťastí. O tom, ako útokom predchádzať a ako sa im v praxi v zdravotníckom sektore aktívne brániť, hovorili panelisti počas okrúhleho stola Digitálne zdravotníctvo bezpečne. Začiatkom októbra ho spoločne zorganizovala QuBit Academy a nezisková organizácia Cyber STRING.

Človek sa mení najpomalšie

Hoci technologické zabezpečenie dát napreduje, pacienti na Slovensku si stále nie sú istí, či sú ich osobné údaje, diagnózy, či predpísané lieky bezpečnejšie v zamknutej plechovej skrini v zdravotníckom zariadení, alebo v systéme elektornického zdravotníctva, tvrdia panelisti diskusie.

Technológia, ale aj legislatíva sa vyvíjajú omnoho rýchlejšie v porovnaní s tým, ako sa menia návyky človeka.

„Ľudský faktor predstavuje väčšinou väčší problém ako systémy,“ uviedol Rastislav Janota, riaditeľ Národnej jednotky SK-CERT, Národného bezpečnostného úradu Slovenskej republiky. Pripomenul tiež opakujúci sa príklad, ako si mnohokrát zamestnanci v ordináciách nechávajú svoje heslá nalepené na papieri na obrazovke. Iní ale nechávajú kľúče od skrine s dátami priamo v nej.

Keď firmy vytvoria vlastné kyberbezpečnostné tímy, voči zvyškovému riziku sa môžu poistiť

Volebné zásahy, falošné správy, hyberstraníckosť, ransomwary, odmietanie vstupu a služby, kybernetický terorizmus…. Vitajte v novej, normálnej Európe, píše PHILIPPE COTELLE.

Ivan Makatura, expert pre kybernetickú bezpečnosť z asociácie ISACA  rovnako pripomenul, že v súvislosti s bezpečnosťou zdravotníckych informácii je dôležité vnímať ochranu dát nielen v súvislosti s vonkajšími útokmi, ale aj v súvislosti s akýmsi vnútorným rizikom. Jednať sa môže o zlyhanie ľudského faktora nielen pri takých udalostiach, ako je phishingový email a zdanlivo nedôležitý klik na odkaz, ktorý mail doručil, ale ide aj o integritu uchovávanej informácie, teda dôslednosť v zadávaní dát do systémov.

„Nejestvuje väčšia či menšia hrozba. Sú len vyššie a nižšie riziká. Jestvuje množstvo rôznych zraniteľností a hrozieb a každá môže s určitou pravdepodobnosťou spôsobiť negatívny dopad,“ doplnil Makatura.

Aj podľa Lukáša Hlavičku, riaditeľa vládnej jednotky CSIRT, Úradu podpredsedu vlády pre investície a informatizáciu, je serverový komponent ochrany systému na vysokej úrovni, zatiaľ čo klientsky komponent ostáva problematickým.

„Bez vzdelávania na všetkých úrovniach to nepôjde,“ tvrdí Hlavička. „Vzdelanosť a povedomie je pre kybernetickú bezpečnosť rizikovým faktorom číslo jeden.“

Kybernetických útokov pribúda, tretine krajín Únie už ohrozili kritickú infraštruktúru

Najnovšia štúdia Europolu tvrdí, že útoky na internete sú svojou sofistikovanosťou, no zároveň lepšou dostupnosťou stále ťažšie rozpoznateľné. Najviac útokov na európske krajiny a spoločnosti prichádzalo v minulom roku priamo z Európy.

Povinne či dobrovoľne?

Debata o projekte eZdravia na Slovensku poukazuje na dlhodobú prax vnímať bezpečnosť spojenú s informačno-komunikačnými technológiami ako súčasť IT oddelení. To je podľa panelistov najzásadnejší problém, ktorý si vyžaduje odvážne a zásadné riešenie.

„Informačnú bezpečnosť je potrebné zaradiť do kategórie strategických rizík a tomu podriadiť aj organizačnú štruktúru organizácií,“ hovorí Igor Šenkarčin, šéf organizácia Cyber STRING a jeden z organizátorov.

Problém vzdelávania zdravotníckych pracovníkov v oblasti digitalizácie zdravotníctva je však zásadnejší a širší. Jana Bendová, hlavná odborníčka pre všeobecné lekárstvo zo Slovenskej spoločnosti všeobecného praktického lekárstva pripomína, že až 45 percent všeobecných lekárov je starších ako 60 rokov. Starší lekári sa podľa nej skepticky pozerajú na nové systémy a ťažšie sa v IT svete orientujú.

Väčšina slovenských firiem nevie čeliť novodobým kybernetickým útokom

Pokročilé bezpečnostné nástroje pre odhaľovanie dnešných sofistikovaných hrozieb nemajú u nás ani dve pätiny podnikov.

Podľa Rastislava Janotu však vek nie je v tejto oblasti ospravedlnením a zabezpečenie dostatočného vzdelanie svojich pracovníkov má byť prioritou pre každého zamestnávateľa, vrátane štátu.

Ivan Makatura pripomenul štatistiku Eurostatu z minulého roka, podľa ktorej práve starší ľudia sú voči svojim schopnostiam v IT skeptickejší a nedôverujú si. Naopak mladí o sebe podľa štatistík nepochybujú, a preto sa často aj v súvislosti s počítačovou bezpečnosťou dopúšťajú chýb.

Komplikovanosť systém je ale otázkou najmä pre dodávateľa, ktorý ho môže upravovať podľa užívateľských požiadaviek, pripomenul Jozef Fiebig, riaditeľ NRSYS s.r.o., spoločnosti, ktorá pre eZdravie pripravuje aplikácie.

Peter Blaškovitš, generálny riaditeľ Národného centra zdravotníckych informácií v tejto súvislosti priblížil aj národný prieskum, podľa ktorého až 10 percent lekárov tvrdí, že ak bude zavedenie eHealth systému povinné, svoju prax opustia.

„Ide tu o ohrozenie zdravotnej starostlivosti o pacientov a to si nemôžeme dovoliť,“ tvrdí Blaškovitš. Dodal však, že zdravotnícke systémy pripomínajú v súčasnosti časy zavádzania bezpečnostných pásov do áut.

„Pri počiatkoch ich zavádzania mali pásy mnoho odporcov, v rámci jednej dekády sa stal absolútnou samozrejmosťou,“ hovorí prvý muž elektronického zdravotníctva na Slovensku.

Pridelenec z FBI: Je fenomenálne, že krajiny Únie začali v kyberbezpečnosti spolupracovať

Spolupráca medzi krajinami Únie a Spojenými štátmi v oblasti kybernetickej bezpečnosti napreduje. Legislatívne bariéry, ale aj pretrvávajúca nedôvera medzi krajinami však vytvárajú priestor pre online kriminálnikov. Diery v jurisdikcii už odhalili.

Potrebuje to čas?

Helga Kajanová, medzinárodná konzultantka v oblasti eHealth pripomína, že bezpečný a fungujúci systém predstavuje omnoho efektívnejšiu formu záchrany zdravia. Príkladom je nehoda, po ktorej sa resuscituje. S dostatočnými online informáciami vie doktor zistiť, aký najefektívnejší spôsob zvoliť, či pacient nie je alergik, kardiak, prípadne, či nemá iné choroby.

V Dánsku sa podľa Kajanovej zavádzal podobný systém až 25 rokov, pričom sa chyby a problémy odstraňovali postupne.

„Krok, ktorý dnes pre zabezpečenie dát v zdravotníctve robíme je míľový,“ dodal Peter Blaškovitš.

„Systém má skvalitniť služby a zdravotníctvo ako také,“ hovorí generálny riaditeľ NCZI.