Vyjádření Ministerstva zdravotnictví k varování NÚKIB - hrozba kybernetických útoků na nemocnice

V návaznosti na vydání varování Národního úřadu pro kybernetickou a informační bezpečnost o hrozbě kybernetických útoků na nemocnice a jiné významné cíle ČR přijalo Ministerstvo zdravotnictví řadu opatření. Ministerstvo zdravotnictví informovalo nemocnice, aby neprodleně upozornily uživatele na hrozby podvodných emailových zpráv. Současně by se uživatelé, kteří v posledních dnech otevřeli podezřelé přílohy, měli obrátit na správce IT infrastruktury. Ministerstvo zdravotnictví také doporučilo okamžitě zablokovat vzdálené přístupy do IT infrastruktury a zablokovat otevřené služby do veřejné sítě, s výjimkou těch nezbytně nutných. Současně je nutné, aby nemocnice provedly kontrolu a zajistily případné vytvoření aktuálních offline záloh a postupovaly v zálohování dle důležitosti dat v organizaci. V neposlední řadě by také měly zkontrolovat konzistenci již vytvořených záloh. Nemocnicím bylo také doporučeno neprodleně aktualizovat antivirové řešení v IT infrastruktuře.

„Upozornění NÚKIB bereme velmi vážně, a proto jsme neprodleně zdravotnickým zařízením zaslali informaci o varování před hrozbou kybernetických útoků včetně hlavních kroků, které by měli IT odborníci neprodleně uskutečnit. Kybernetická bezpečnost je pro nás prioritou. S NÚKIB jsme ve spojení a situaci budeme monitorovat,“ uvedl ministr Adam Vojtěch.

Již dříve, v reakci na kybernetický útok na Fakultní nemocnici Brno, zřídilo Ministerstvo zdravotnictví Akční výbor Kybernetické bezpečnosti. Akční výbor sdružuje IT profesionály z řad fakultních nemocnic i ostatních poskytovatelů zdravotních služeb s cílem sdílet informace a poskytovat metodickou i technickou pomoc při řešení bezpečnostních incidentů, událostí, ale i zvyšování úrovně kybernetické bezpečnosti v resortu. Zároveň sdružuje nabídky komerčních IT firem, které jsou připraveny v případě napadení zdarma poskytnout své specialisty a technologie na zmírnění dopadů kybernetických útoků. Další opatření v rámci možné hrozby kybernetického útoku je nadále komunikována napříč resortem právě prostřednictvím tohoto akčního výboru.

Kybernetická bezpečnost zdravotnických zařízení je pro Ministerstvo zdravotnictví klíčová. V oblasti zvyšování kybernetické bezpečnosti se ministerstvo kontinuálně věnuje jednak metodické podpoře v podobě vydávání metodických materiálů a vzorových dokumentů (např. vydání vzorové dokumentace systému řízení bezpečnosti informací ve věstníku MZ a na webových stránkách Národní strategie elektronického zdravotnictví), a dále také přípravou a vydáváním školících materiálů, včetně e-learningových, a dalších podkladů pro tuto oblast. Tyto metodiky slouží především k vyškolení samotných pracovníků, aby byl eliminován faktor bezpečnostního selhání jedince, a tím pádem se snížilo riziko poškození celé instituce jako takové. Paralelně ministerstvo organizuje pro jednotlivé organizace resortu včetně poskytovatelů zdravotních služeb centralizovaný nákup služeb v oblasti kybernetické bezpečnosti, jako je například audit kybernetické bezpečnosti, nebo penetrační testování a další odborné služby.

Ministerstvo zdravotnictví pravidelně poskytuje prostřednictvím investičních programů finanční prostředky na podporu a rozvoj materiálně technické základny, včetně oblasti informačních technologií a kybernetické bezpečnosti, pro fakultní nemocnice, nemocnice a ústavy ve státním vlastnictví, zdravotnická zařízení v majetku obcí a krajů, poskytovatele zdravotnické záchranné služby, ale také krajské hygienické stanice, zdravotní ústavy a Státní zdravotní ústav. Posilována je takto mimo jiné i centrální infrastruktura resortu Ministerstva zdravotnictví, provozovaná Ústavem zdravotnických informací a statistiky ČR.

Ministerstvo zdravotnictví vydalo na projekty ve spolupráci s EU celkem 2,2 mld. Kč. Resort se také zapojil do přípravy implementačních plánů programu Digitální Česko a předložilo do něj aktuálně 18 záměrů s alokací přes 6 mld. Kč, z toho minimálně 2 mld. jsou směřovány do kybernetické bezpečnosti. Konkrétní projekty naleznete zde. Na základě rozsáhlého kybernetického útoku v Benešově jsme využili podklady americké FBI a pro uživatele a správce IT technologií zdravotnických zařízení připravili doporučení ve věci kybernetické hrozby, tedy jak se lze bránit a jak v případě kybernetické obrany postupovat. 

Ministerstvo zdravotnictví také uspořádalo workshop s názvem Poučení z kybernetického útoku, který byl určen pro manažery kyberbezpečnosti a managementy nemocnic. Impulsem k uspořádání byl právě útok na informační systémy Nemocnice v Benešově.

Současně jsme připravili průzkum stavu kybernetické bezpečnosti ve zdravotnických zařízeních. Tento průzkum je rozdělen na jednotlivé oblasti IT provozu: naplnění zákona o kybernetické bezpečnosti (pro ty, kterých se to týká), komunikační infrastruktura, servery, koncové stanice, Wifi, tiskárny, uživatelé, zdravotnické přístroje, zálohování, likvidace dat. Dotazník byl rozeslán na 179 největších zdravotnických zařízení.