Štát mapuje kyberbezpečnosť v zdravotníckych zariadeniach spadajúcich pod MZ SR. Tzv. IT bezpečnosť sa preveruje v rámci 108 subjektov, medzi ktoré patria štátne nemocnice, regionálne úrady verejného zdravotníctva, ale i ďalšie organizáciách ako kúpele, liečebne pre závislých či ubytovne.
Prvé výsledky previerky nie sú optimistické. Každá nemocnica mala bota, pätina ransomvér. Analýzy sú zatiaľ ukončené vo viac ako ¾ subjektov. Previerka je súčasťou väčšieho projektu „Analýza rizík a nedostatkov v správe informačných technológií verejnej správy v MZ SR“, ktorú realizuje spoločnosť Kreston Slovakia Technology ako subdodávateľ firmy Stengl.
Spomedzi všetkých typov posudzovaných organizácií sú na tom najhoršie práve nemocnice. Každá nemocnica zaznamenala kyberbezpečnostný incident a každá nemocnica mala vo svojej infraštruktúre bota schopného vykonávať príkazy na diaľku. V priemere išlo o každý druhý počítač. V každej piatej nemocnici sa našiel ransomvér, aj keď sa nie vždy musel prejaviť škodlivou činnosťou.
Národné centrum kybernetickej bezpečnosti SK-CERT vo svojej Správe o kybernetickej bezpečnosti v SR za rok 2022 na základe 61 auditných správ uvádza, že miera súladu prijatých bezpečnostných opatrení s požiadavkami zákona o kybernetickej bezpečnosti a súvisiacich predpisov bola 42 percent, čiastočný súlad bol v 15 percentách a nesúlad sa týkal 35 percent.
Detaily o výsledkoch bezpečnostných analýz firma Kreston Slovakia nezverejňuje s ohľadom na podpísané dohody o mlčanlivosti. Firma však uvádza, že investičný dlh v kybernetickej bezpečnosti v zdravotníctve je obrovský a ďalej extrémne rastie. Za problém označila „prehistorickú“ infraštruktúru, ale aj nedostatok špecialistov na IT bezpečnosť, keďže veľa nemocníc ich nemá. Z používateľského pohľadu spočívajú nedostatky v neznalosti základov kyberbezpečnosti, takže sa zamestnanci ľahko nachytajú na podvodné e-maily či phishing v rôznych iných formách. Okrem toho skoro žiadna nemocnica nemá zavedený manažment správy hesiel.
Medzi analyzovanými subjektami chýba aj Národné centrum zdravotníckych informácií (NCZI) prevádzkujúce napríklad celé elektronické zdravotníctvo eZdravie (eHealth). Vedenie NCZI to zdôvodňuje tým, že neexistovala záruka dodržiavania primeraných bezpečnostných opatrení treťou stranou podľa zákona o kybernetickej bezpečnosti pri prístupe do ich infraštruktúry. Bezpečnosť si podľa svojich slov NCZI stráži cez vlastné bezpečnostné operačné centrum.
Zdroj: zive.aktuality.sk | (formát PDF, veľkosť 2,3 MB) | (formát PNG, veľkosť 2,1 MB)