Útoky hackerů na české nemocnice jsou na denním pořádku. A někdy to dojde tak daleko, že musí hackerům i zaplatit, aby se dostaly zpět ke svým datům. Nemocnicím chybí odborníci i peníze na zabezpečení.

V příštím roce začne navíc platit nové evropské nařízení o ochraně osobních údajů (GDPR), které zpřísní ochranu dat, a nemocnice tak budou muset vynaložit na jejich ochranu ještě více finančních prostředků. Další náklady přinesou i povinné elektronické recepty, které začnou také příští rok.

Dnes dávají nemocnice na zabezpečení svých dat od stovek tisíc až po několik milionů ročně. Třeba nevětší česká nemocnice v Motole plánuje v souvislosti s přísnější ochranou dat navýšit rozpočet z jednotek milionů korun na desítky. Ulehčit nemocnicím chce ministerstvo zdravotnictví využitím peněz z evropských fondů. Samo uvadí, že bude na zajištění bezpečnosti elektronizace zdravotnictví potřebovat dvě miliardy korun, současné investice do kybernetické ochrany jsou dle něho nedostačující.

Kromě peněz ale některým nemocnicím chybí i odborníci na ochranu dat. Zdravotnická zařízení si nemohou dovolit zajištění kyberbezpečnosti předat jiné firmě právě kvůli možnému úniku citlivých dat přes cizí zaměstnance. Potřebují tak vlastní lidi. V Motole nyní kyberbezpečnost řeší asi šest pracovníků a s náborem dalších je problém, podobně to mají i v Brně. "Kvůli rostoucí poptávce je na trhu nedostatek odborníků těchto profesí. Záleží na jednotlivých poskytovatelích zdravotních služeb, jak je dokážou získat a udržet," říká Štěpánka Čechová, mluvčí ministerstva.

Otázkou je, zda si je nemocnice mohou dovolit zaplatit, vzhledem k tomu, jak se liší platy ve státní sféře a v soukromých organizacích. "Pokud lidi na trhu jsou, tak jsou terčem headhunterů farmaceutických firem, které v tomto oboru přeplácí lidi velmi výrazně, stejně jako třeba banky. Stát zaostal a školství nemá dostatečnou kapacitu připravit mladé odborníky, protože potřebné obory většinou nejsou nebo se teprve zřizují," popisuje Martin Půlpán, bezpečnostní analytik společnosti Net Pointers.

Doplňuje, že potrvá minimálně deset let, než si Česko tyto odborníky vychová. Může tak nastat situace, kdy bude zdravotnictví plně on-line, k čemuž může dojít do několika let, ale budou chybět lidé na bezpečnost. "Je to začarovaný kruh, ze kterého se dá vystoupit velmi pomalu, a to vzděláváním a pak je to samozřejmě o penězích," dodává Půlpán.

Nemocnice musí vyděračům někdy platit

Současné zabezpečení většiny zdravotnických zařízení a počítačů lékařů v soukromých ordinacích je podle Půlpána klasické a funguje proti běžným virům, jako je například trojský kůň, který může monitorovat, co se na počítači děje.

"Ochranu dat provádíme formou antiviru a antispamu," říká například mluvčí brněnské fakultní nemocnice Pavel Žára. S vývojem technologií se ale útoky mění a současná IT technika na ně mnohdy nemusí stačit. Nové technologie ale vyjdou na miliony.

Citlivé informace chtějí útočníci získat různými způsoby. Od těch známějších, jako jsou zmíněné pishingové útoky, až po vyděračský software, který zcela zašifruje přístup k počítačům v sítí a pro odblokování požaduje peníze. Případně útočníci vyhrožují, že si data zkopírovali, a pokud jim instituce nezaplatí, zablokují jim síť. Software přitom může nevědomky nainstalovat kdokoliv, kdo má v nemocnicích přístup k počítačům. "Velmi často se používají pro stažení softwaru jako zástěrka servery, se kterými napadená organizace často komunikuje. Může to být e-mail s přílohou ze známé adresy, a když ji někdo stáhne, zašifruje celý počítač," vysvětluje Půlpán.

S tímto útokem se české nemocnice setkávají často. Ztráty se většinou podaří minimalizovat včasnou detekcí a obnovou aktuáních záloh. Někdy ale nepomůže ani to. Záloha se mohla vytvořit až po napadení počítačů a obnovení dat by obnovilo i škodlivý software. Podle Půlpána většinou organizace v tomto případě vyděračům zaplatí, ačkoliv se o tom veřejně nemluví.

Zatím nebyl oznámen žádný únik dat se zdravotními informacemi o Češích. Ve světě se hackerům mnohokrát povedlo dotáhnout útok do konce. V únoru roku 2015 se jim například podařilo zaútočit na druhou největší americkou zdravotní pojišťovnu Anthem a získat 80 milionů údajů, od jmen a e-mailových adres po data o zaměstnancích. Podle Indexu kybernetické bezpečnosti společnosti IBM vedlo zdravotnictví v roce 2015 žebříček nejvíce hackery napadených odvětví na světě, předčilo dokonce i banky nebo vládní instituce.