Kliknutím zvětšíteMimo jiné se zabýváte kyberbezpečností ve zdravotnických zařízeních. Posunul se nějak od útoků na nemocnice loni a letos nějak postoj zdravotnických zařízení k vlastní bezpečnosti?
Průšvihy, které se staly třeba v Benešově nebo Kosmonosech spíše odhalily problémy, které jsou dlouhodobé a které se nedají rychle vyřešit. Ale minimálně v mentální úrovni si vedení zdravotnických zařízení uvědomilo, že se musí něco dělat a něco stát.
V čem je největší zranitelnost zdravotnictví ohledně kyberbezpečnosti?
V obecném přístupu k IT ve zdravotnictví. Mnohde převládá názor, že oni jsou tu od toho, aby léčili. Jenže doba, kdy si nemocnice nebo ambulance vystačily s papírovými registraturami, je pryč. Dnes vypnete IT a vypnete celé zdravotnické zařízení. Doba ukázala nutnost dobrého IT řešení a ti kdo se tomu nebudou věnovat, dopadnou asi špatně.
Jak dokážete pomoci nemocnici, ambulanci nebo laboratoři s bezpečností?
Možná řeknu, jak by to mělo vypadat, protože to bude návodné pro „světlou stranou síly“. Každé zařízení by mělo projít auditem kybernetické bezpečnosti, což identifikuje problémy v IT.
Zahrnuje to i útoky sázející na to, že se lidé neumí za klávesnicí bezpečně chovat?
Zahrnuje to vše, od technických problémů přes problémy špatně nastavených procesů až k vzdělávání lidí a jejich přístupu k IT. Audit definuje nějaký cíl, ale změny, které z něj vyplynou se nedají udělat ani za den, týden či měsíc. A myslím, že ani ne za rok. Je to plán, který musí management akceptovat a v rámci svých finančních možností ho uskutečnit. Spadají do toho všechny oblasti, chování lidí, technická část, což jsou ty všechny možné firewally a podobně a také důsledný popis procesů, aby každý přesně věděl, jak má s čím pracovat a zacházet.
Mají se lidé bát, že se někdo dostane k jejich citlivým medicínským a osobním údajům?
Dokumentace už je dnes skoro všechna v elektronické podobě a bohužel obsahuje velmi citlivé údaje o nás pacientech. A my si často neuvědomujeme, jak cenné informace to jsou, a bezmyšlenkovitě podepisujeme různé souhlasy s jejich nakládáním. Nyní dojde ke změně, zdravotnické informace vzhledem k elektronizaci zdravotnictví budou více sdílené mezi různými subjekty. Podle mého názoru dojde i mezi pacienty k většímu přemýšlení nad tím, co o mně kdo ví. Velké sdílení informací ve veřejném prostoru může mít dopad na mé zaměstnání, na chování pojišťovny vůči mně. Podle toho se musí s těmito informacemi nakládat ze strany zdravotnických zařízení i ze strany nás pacientů.
Je to tak, že, řečeno vašimi slovy, pokud jsem na „temné straně síly“, mohu zdravotní informace dobře zpeněžit, a proto k útokům dochází?
Myslím, že zatím to tak není. Útoky byly vedeny jako vydírání. My jsme vám vypnuli IT a vy nám zaplaťte, my vám ho zase zapneme. Otázka je, kolik mezitím proběhlo kybernetických útoků, o kterých se napadený ani nedozví. Nejlepší kyberútok je ten, o kterém se nikdo nedozví, cílem je získání dat a s těmi se pak může obchodovat. Nechci odhadovat, jak velký ten temný trh s těmito informace v Česku je, ale jako s každou jinou informací se s ní dříve či později obchodovat začne.
Jsou zdravotnická zařízení otevřená tomu vás oslovit, najmout si vás a nechat si od vás pomoci s bezpečností?
Pořád se pohybujeme v době, kdy zdravotnictví řeší jiné problémy. Spíše se teď vše odehrává na úrovni státu. Zákon o elektronizaci zdravotnictví je jasným krokem k tomu, aby byla zdravotnická zařízení tlačena do 21. století. Navíc vláda slíbila uvolnit nemalou částku právě na posílení kyberbezpečnosti ve zdravotnictví. Směr je nastartován. Když se ale bavím s kolegy z oboru, shodneme se, že dejme tomu za posledního půl roku rok necítíme nějak zvýšenou poptávku po našich službách.
Takže se nemocnice či polikliniky na vás obrátí často až poté, kdy se stanou cílem útoku.
Ano, myslím si, že kdybych přišel do nějakého zařízení, které nemá zkušenost s kyberútokem a nabídnul jim audit v řádu statisíců, nepochodil bych. Přitom škody pak jdou do milionů, a to nepočítám ztrátu prestiže a jiné škody. Jen čistě finanční. A to mi přijde nesouměrné, když tu útoky jsou, všichni o nich ví, nebyly to ataky náhodné, ale rostoucí kampaň.
Setkáváte se ještě s hesly napsanými na rubu klávesnice nebo na barevném papírku na monitoru?
Samozřejmě, pořád tu jsou hesla typu milacek nebo 123456.
Jak se vlastně odborník na IT octne u problematiky zdravotnictví?
Pro zdravotnictví děláme od počátku naší firmy, od roku 1991. S kolegou a společníkem oba pocházíme z nemocničního prostředí a první roky jsme si pronajímali prostory v mělnické nemocnici.
V menším okresním městě bych firmu vašeho zaměření nečekal. Velká zdravotnická zařízení jsou přece v Praze.
Je to jednoduché, v roce 1990 jsme se oba sešli v mělnické nemocnici, kolega je z Poděbrad, já z Neratovic. A IT dnes děláte z velké části distančně, není potřeba někam jet, něco na místě nastavovat, takže sídlo na Mělníku ničemu nevadí, i když máme zákazníky po celé republice a pobočku v americkém Pittsburghu.
Kromě kyberbezpečnosti jste v době koronavirové pandemie nabídli ordinacím a zdravotnickým zařízením i callcentrum.
Když jsme s ním před lety začínali, všichni koukali, co to znamená. Dnes v něm máme dvacet zdravotních sester, které pro klienty vyřídí každý den na 2500 příchozích hovorů. Vyřizují objednávky, sdělování výsledků testů pro zdravotnické ambulance nebo laboratoře. V době covidu jsme začali nabízet informace o testech, objednávání na testy a podobně. Když koronavirová pandemie propukla, zašel jsem do call centra a sestřičky mi říkali, že se covidu opravdu bojí. Když ale zavřeme my, zavřou i zdravotnická zařízení, bez nás to nezvládnou, řekl jsme jim. To byl pátek. V sobotu jsme zkusili tři přestěhovat domů, v pondělí deset a od úterý bylo celé call centrum na home office. Barák jsme zavřeli, ale fungovali jsme dál. Covid je špatný, ale nás to naučilo novým postupům a dnes už víme, jak to dělat a jak se chovat.
138
Čtenář reportér
Kondice
Dům a zahrada
Kafe
iReceptář
TN.cz
