Nemocnice a zdravotnícke zariadenia môžu čeliť nielen náporu chorých, môžu sa brániť aj výpadkom svojich systémov. Hackeri nehľadia na všeobecné blaho.
Útok, ktorý zasiahol nemocničné systémy v Brne v piatok nad ránom sa pravdepodobne prejaví aj na preverovaní testov na koronavírus. Vzorky tak budú musieť z Brna voziť do Ostravy. Okrem toho musia v nemocnici odložiť akútne operácie, všetky počítače a zariadenia, ktoré sú napojené na nemocničný systém musia ostať vypnuté.
„Problémom je, že podobne ako v nemocnica v Brne, môžu dopadnúť aj naše zdravotnícke zariadenia,” mieni Pavol Draxler, odborník na kyberbezpečnosť z Binary Confidence. Aj na Slovensku už napríklad nemocnica v Nitre čelila kybernetickým útokom. V roku 2017 v rámci celosvetového útoku hackeri infikovali jej počítače vírusom WannaCry. Začiatkom minulého roka systémy nemocnice opäť podľahli vírusu. Nemocnica vtedy odmietla, žeby išlo o hackerský útok.
Faktom však je, že tieto udalosti dokázali, že naše zdravotnícke zariadenia nie sú dostatočne zabezpečené. Aj nemocnica v Nitre deklarovala iba to, že má nainštalovaný najnovší antivírový program. To však nestačí. Obyčajný antivírusový program nepomôže nemocnici zabrániť veľkým škodám pri hakerskom útoku. Bezpečnosť musí byť komplexná a dozorovaná vysokokvalifikovanými bezpečnostnými technikmi cez takzvaný Security Operations System (SOC).
„Ani takéto komplexné zabezpečenie síce nemusí zabrániť prípadným útokom, nemocnica sa však dokáže účinne brániť a takmer okamžite spojazdniť systémy a tiež zabrániť masívnemu úniku osobných údajov,” konštatuje Pavol Draxler.
Nemocnice, zdravotnícke zariadenia ale aj ďalšie strategické firmy a inštitúcie si okrem toho mali v posledných dvoch rokoch postupne zabezpečovať systémy. Nariadil im to zákon o kybernetickej bezpečnosti, ktorý muselo Slovensko prijať na základe smernice NIS (smernica Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii). Všetci, ktorých sa zákon týka, by mali do 1. apríla preukázať Národnému bezpečnostnému úradu, ako sa im to podarilo.
Aký je trest?
V případě kybernetického útoku na Fakultní nemocnici v Brně hrozí hackerovi trest odnětí svobody 8 až 15 let. Jednak se takovým jednáním dopouští trestného činu Neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 trestního zákona, kde jsou trestní postihy nižší. V dané situaci však lze relevantně uvažovat o spáchání trestného činu Obecného ohrožení podle § 272 trestního zákona, kde jsou sankce významné, a to zejména v závislosti na způsobené škodě na majetku (zejména pět miliónů korun českých a více) a zdraví (zejména těžká újma na zdraví či dokonce smrt). Současný stav nouze státu dle zákona o bezpečnosti státu bude navíc pravděpodobně pro pachatele obecnou přitěžující okolností. Kdyby soud prokázal, že hacker způsobil smrt úmyslně, mohl by dostat 12 – 20 let nebo výjimečný trest (20 – 30 let), případně i doživotí.
Jakub Kadlec, advokát z advokátní kanceláře Vilímková Dudák & Partners