Subscribe
Právní - 28 ledna, 2025
Dne 14. května 2021 byl irský Úřad pro zdravotní služby (HSE) vystaven bezprecedentnímu kybernetickému útoku ransomwaru, který zasáhl všechny online systémy zapojené do poskytování jeho služeb od radiologie, patologie/laboratoří, radioterapie, porodnictví, primární péče, služeb pro zdravotně postižené a krevních testů.
Vzhledem k tomu, že zaměstnanci HSE neměli přístup k údajům o pacientech, došlo v důsledku útoku k opožděnému přijímání a propouštění pacientů a k potížím s předáváním pacientů.
V rámci preventivních opatření, která měla omezit dopad útoku, se HSE, který v té době provozoval více než 70 000 IT zařízení na přibližně 4 000 místech, rozhodl vypnout svou síť informačních a komunikačních technologií (ICT).
To znamená, že byly ovlivněny všechny systémy HSE bez ohledu na to, zda byly či nebyly zasaženy.
Rada HSE a její generální ředitel následně nařídili společnosti PricewaterhouseCoopers (PwC), aby prověřila, jak k útoku došlo a jak je možné, že došlo k tak účinnému ohrožení celé národní zdravotní služby.
HSE pověřila společnost PwC, aby urychleně zjistila fakta týkající se současné připravenosti organizace z hlediska jejích systémů ICT, kybernetické a informační ochrany a její provozní připravenosti.
Zpráva, která následovala po přezkoumání incidentu, potvrdila okamžitá opatření přijatá HSE, která zahrnovala žádost o pomoc Národního úřadu pro kybernetickou kriminalitu Garda, Mezinárodní organizace kriminální policie („Interpol“) a Národního centra kybernetické bezpečnosti („NCSC“). Vyzdvihl také obrovské nasazení a úsilí, které bylo během reakce na incident pozorováno na všech úrovních personálu.
Zpráva společnosti PwC nicméně ostře zhodnotila připravenost HSE a zároveň zdůraznila mnoho promarněných příležitostí, které mohly útočníkovi zabránit v přístupu do systémů ICT HSE.
Společnost PwC konkrétně uvádí, že podle jejího hodnocení mohl kybernetický útok způsobit takové škody, jaké způsobil, protože HSE fungoval na tzv. slabém IT vybavení, které se vyvíjelo, a nebylo navrženo tak, aby bylo odolné a bezpečné.
Zjistila také zjevné nedostatky v oblasti dohledu, například skutečnost, že v době incidentu neměl HSE jediného odpovědného pracovníka za kybernetickou bezpečnost na úrovni vrcholového vedení nebo managementu.
Ukázalo se také, že před 14. květnem 2021 došlo k několika zjištěním útočníkovy činnosti, která však nevedla k zahájení kybernetického bezpečnostního incidentu a vyšetřování ze strany HSE. V důsledku toho byly zmeškány příležitosti, jak zabránit úspěšnému odpálení ransomwaru.
Pokud jde o finanční dopad útoku, počáteční náklady byly vyčísleny na přibližně 40 milionů EUR a od kybernetického útoku vznikly další náklady na právní služby ve výši 2,6 milionu EUR. Tyto částky představují pouze zlomek odhadované částky 657 milionů EUR, kterou bude třeba vynaložit na úplné provedení všech zlepšení kybernetické bezpečnosti doporučených v rámci přezkumu po incidentu provedeného společností PwC.
Od útoku se HSE snažil významně řešit nedostatky a zranitelnosti zjištěné v rámci své architektury ICT. Podnikla také řadu klíčových kroků, včetně přijetí vedoucího pracovníka pro informační bezpečnost, který povede komplexní operace v oblasti kybernetické bezpečnosti.
Mnohé z otázek, které vyvstaly v souvislosti s kybernetickým útokem na irské zdravotnictví, zejména práce na aktualizaci jeho „křehkého IT majetku“, se jistě znovu objeví poté, co Evropská komise 15. ledna zveřejnila akční plán na posílení kybernetické bezpečnosti nemocnic a poskytovatelů zdravotní péče.
Stanovené cíle akčního plánu se zaměřují na zlepšení odhalování hrozeb, připravenosti a reakce na krize v evropském zdravotnictví. Jeho cílem je rovněž poskytnout nemocnicím a poskytovatelům zdravotní péče pokyny, nástroje, služby a školení šité na míru, přičemž několik konkrétních opatření bude postupně zavedeno v letech 2025 a 2026 ve spolupráci s poskytovateli zdravotní péče, členskými státy a komunitou zabývající se kybernetickou bezpečností.
Sdělení Komise o akčním plánu výslovně uvádí irský kybernetický útok jako příklad incidentu, který může ukázat potenciál kybernetických útoků rychle se šířit napříč propojenými systémy. Sdělení rovněž uvádí irský kybernetický útok jako incident, který zdůrazňuje, že je důležité důsledně zajistit, aby v organizacích v celé EU fungovala základní kultura kybernetické hygieny a kybernetické bezpečnosti.
Zatímco kybernetický útok v Irsku byl znepokojivým útokem, který způsobil značné narušení a finanční náklady, akční plán Komise se snaží upozornit na možnost ničivějších a hrozivějších následků, pokud je státní i nestátní aktéři použijí jako součást širší hybridní kampaně proti celému bezpečnostnímu prostředí EU.
Neschopnost adekvátně se připravit na kybernetické útoky a odrazit je může podle Komise v konečném důsledku vést k destabilizaci našich společností těmi, kdo se snaží těžit z rozdělení a rozvratu. To neznamená, a akční plán to rozhodně nenaznačuje, že existuje „stříbrné řešení“ problémů kybernetické bezpečnosti, které existují v souvislosti s ochranou digitálních platforem zdravotní péče v EU.
Místo toho se zaměřuje na výzvu k posílení prevence, připravenosti a „koordinovanějšího přístupu k solidaritě při využití odborných znalostí evropského odvětví kybernetické bezpečnosti“. Akční plán jako takový, jak se v něm uvádí, odráží širší přístup EU k bezpečnosti, který bude dále rozpracován a formalizován v připravované evropské strategii vnitřní bezpečnosti.
Proto plán výslovně vyzývá všechny členské státy, aby přijaly přístup „celé společnosti“ a „celé vlády“.
Tento bod se odráží také v pokynech vydaných irským Národním centrem kybernetické bezpečnosti (NCSC), konkrétně v jeho Národním plánu pro kybernetickou krizi (NCEP).
NCEP stanoví národní přístup k reakci na závažné kybernetické bezpečnostní incidenty, které ovlivňují důvěrnost, integritu a dostupnost celostátně důležitých informačních technologií a provozních technologických systémů a sítí, jako byly ty, které byly zasaženy během útoku na irský HSE.
O ochotě Irska pokročit ve své připravenosti v této oblasti svědčí i nedávné zveřejnění vládního programu nastupující irské vlády. V něm byl přijat závazek, že vláda v roce 2025 předloží novou národní strategii kybernetické bezpečnosti. Zavazuje se rovněž k podpoře rozvoje centra excelence pro rozvoj dovedností v oblasti kybernetické bezpečnosti.
Na potřebu vyšší úrovně technologické kompetence a znalosti kybernetické bezpečnosti u zaměstnanců klíčových vnitrostátních služeb upozornil i přezkum společnosti PwC po incidentu.
Přestože však byla akceptována potřeba přijmout v rámci irských zdravotnických systémů komplexní opatření v oblasti kybernetické bezpečnosti, přezkum rovněž uznal potřebu vyvážit tuto potřebu s potřebou snadného používání, zejména pro klinický personál.
Na základě zkušeností s kybernetickým útokem na HSE a rostoucí globální hrozby ze strany kyberzločinců je realizace tohoto konkrétního závazku z Programu pro vládu národní nutností.
Je rovněž důležité, aby Irsko pokračovalo v práci na transpozici aktualizované směrnice EU o síťových a informačních systémech II (NIS2) týkající se kybernetické bezpečnosti do irského práva.
Předchozí irská vláda uznala, že tato směrnice představuje významný krok kupředu v oblasti kybernetické odolnosti a zlepší řízení kybernetických rizik v celé Unii, včetně významného zlepšení schopnosti reagovat na závažné incidenty, jako byl útok na HSE.
Závěrem lze poznamenat, že zatímco Irsko prostřednictvím svého Národního centra kybernetické bezpečnosti aktivně podniká kroky k ochraně a obraně bezpečnosti a integrity síťových a informačních systémů ve státě, předchozí vláda schválila také vypracování návrhu zákona o národní kybernetické bezpečnosti do roku 2024.
Tento obecný režim návrhu zákona je pozoruhodný pro širokou škálu činností, které budou přípustné, včetně skenování veřejně přístupných sítí a sdílení osobních údajů s příslušnými orgány. Po zveřejnění akčního plánu Komise na posílení kybernetické bezpečnosti nemocnic a poskytovatelů zdravotní péče může nyní získat další legislativní podnět.
Přesto je velmi pravděpodobné, že až bude předložen konečný návrh zákona, budou v něm výrazně figurovat přetrvávající obavy, jak vyvážit digitální bezpečnost, snahu o otevření dat a právo na soukromí v době rostoucího počtu kybernetických útoků.