V resortu zdravotnictví proběhlo historicky první cvičení kybernetické bezpečnosti. Pořádal jej 4. – 5. října Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Zúčastnili se představitelé 16 největších českých nemocnic. Cvičení zahrnovalo scénáře různých typů kybernetických útoků, komplexní diskuse nad různými hrozbami kyberprostoru a zranitelnostmi specifickými pro zdravotnický sektor a na závěr řadu odborných přednášek.

Zdravotnický resort v posledních dvou letech čelil nelehkým nástrahám. Nejen, že jej ochromila globální pandemie onemocnění COVID 19, ale mířilo na něj také několik vln kybernetických útoků, proti nimž mimo jiné NÚKIB vydal jedno ze svých varování. „Tyto události přispěly k tomu, že se z kybernetické bezpečnosti ve zdravotnictví stala jedna z našich priorit,“ uvádí ředitel NÚKIB Karel Řehka.

To se projevilo například rychlou novelizací vyhlášky, díky níž již pod regulaci NÚKIB nespadá jen 16 nemocnic jako do konce loňského roku, ale aktuálně jde o 44 nemocnic rozdělených podle spádovosti a dalších kritérií. Pro zaměstnance nemocnic také byly připravené speciální kurzy kybernetické bezpečnosti či webináře. V největších nemocnicích proběhly komplexní audity kybernetické bezpečnosti, jejichž cílem bylo odhalit možné zranitelnosti a doporučit kroky k jejich odstranění.

Dalším z kroků je právě velké sektorové cvičení kybernetické bezpečnosti. Za každou nemocnici se účastnil tým lidí složený z techniků, manažerů kybernetické bezpečnosti, pracovníků vztahů s veřejností a zástupců managementu. Jednalo se o netechnické cvičení, jehož cílem je prověření rozhodovacích procesů, prověření funkčnosti krizových plánů a schopnosti krizové komunikace. Dalšímu z cílů cvičení je podpoření sdílení pohledů jak v rámci jedné nemocnice mezi jednotlivými věcnými oblasti, mezi nemocnicemi navzájem, tak i mezi přítomnými experty na oblast kybernetické bezpečnosti. To umožnila diskuze v průběhu cvičení.

Všichni cvičící postupně dostávali jednotlivé části scénáře vycházející z reálných případů, v nichž byly popsané různé kybernetické incidenty, a jejich úkolem bylo popsat, jak by na takovou situaci reagovali. „Tato cvičení nejsou o tom, kdo vyhraje nebo prohraje. Klíčová je simulace krizové situace, díky čemuž si cvičící uvědomí, co jim v realitě v krizové připravenosti chybí a na čem je tím pádem nutné zapracovat,“ vysvětluje ředitel NÚKIB Karel Řehka.

Druhý den potom patřil odborným přednáškám expertů na technickou i netechnickou stránku kybernetické bezpečnosti či na aspekty krizové komunikace v případě velkých incidentů. Mezi řečníky figurovali specialisté NÚKIB, Úřadu pro ochranu osobních údajů (ÚOOÚ), sdružení CESNET, Nemocnice Rudolfa a Stefanie Benešov a Policie České republiky.

„Klíčové je z mého pohledu to, že na zabezpečení zdravotnictví pracujeme společně. Za kyberbezpečnost systému odpovídá jeho správce. Na tom se nic nemění. Ale úsilí o zvýšení celkové odolnosti kybernetické bezpečnosti zdravotnictví je společné. Vychází ze snahy jednotlivých nemocnic, které si mezi sebou sdílejí své zkušenosti a nápady. Samozřejmě se snažíme maximálně přispět i my jako regulátor a zároveň odborný garant. V případě incidentů pak kromě nás má obrovskou roli také Policie ČR a případně i další složky. Kybernetická bezpečnost vždy stála na spolupráci a resort zdravotnictví v tom není výjimkou,“ uzavírá Karel Řehka.

Zdroj: nukib.cz