Už neplatí, že byste nevěděli, jak se to má dělat. To vzkazuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) odborné i laické veřejnosti po té, co minulý týden vydal podrobného Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti. Na příkladu fiktivního ministerstva vysvětluje, jak přistupovat k ochraně před kybernetickými útoky a vyhovět požadavkům zákona o kybernetické bezpečnosti. Činí tak v době, kdy se zásadně rozšiřuje počet tzv. povinných subjektů a zájem o dotace na kyberbezpečnost čelí nevídanému náporu zájemců. Navíc se chystá i zvláštní výzva pouze pro pražské nemocnice z Národního plánu obnovy.
Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti zpracoval NÚKIB ve spolupráci se čtyřmi ministerstvy (vnitra, zemědělství, průmyslu a obchodu a školství, mládeže a tělovýchovy), Státní pokladnou Centrem sdílených služeb a také Fakultní nemocnicí Plzeň. Kybernetickou bezpečností se zabývá z pohledu posuzování a vyhodnocování rizik, což je klíčový princip, z něhož vychází zákon o kybernetické bezpečnosti, a tedy i zmíněná prováděcí vyhláška.
„Bez znalosti toho, jaká má organizace aktiva a jaká rizika ji ohrožují, nelze efektivně plnit většinu povinností daných vyhláškou,“ vysvětluje se v materiálu. Aktivem je prakticky cokoli, co má pro organizaci nějakou hodnotu a může být ohroženo kyberútokem – služby, informace, zaměstnanci, přístroje, dodavatelé.
„Řízením aktiv organizace zjistí, co je pro ni důležité a co musí chránit. Řízením rizik zjistí, jakým způsobem je potřeba tato aktiva chránit, tedy jaká bezpečnostní opatření je nutné zavést, a dále prioritizuje zavádění těchto bezpečnostních opatření,“ vysvětluje se dále v Průvodci. A nejde jen o bezpečnost dat vzniklých či zpracovávaných v kyberprostoru, ale také o ochranu fyzických prostor, jako jsou například datová centra.
Průvodce reflektuje i zkušenosti z nemocnice
Vedle teoretického objasňování zákonných požadavků obsahuje Průvodce i řadu praktických příkladů a situací. Ty se odehrávají v prostředí fiktivního ministerstva pro certifikaci senzorů, jehož informační systém pro evidenci a zpracování procesu certifikace senzorů je součástí tzv. kritické informační infrastruktury. Vztahuje se na něj tedy nejvyšší úroveň ochrany podle zákona o kyberbezpečnosti.
Materiál zároveň reflektuje i zdravotnické prostředí, a to díky autorskému zapojení manažera kybernetické bezpečnosti již zmíněné Fakultní nemocnice Plzeň Jakuba Machka. „NÚKIB oslovil pana Machku vzhledem k jeho zkušenostem a vysoké odbornosti v oblasti řízení rizik. V Průvodci jsou tak promítnuty i zkušenosti s budováním Systému řízení bezpečnosti informací (ISMS) ve zdravotnictví, konkrétně v naší nemocnici,“ sdělila Zdravotnickému deníku Lucie Bauerová z tiskového oddělení nemocnice.
Podle ní může materiál výrazně pomoci všem organizacím, na něž se vztahují povinnosti vyplývající ze zákona o kyberbezpečnosti, a to nejen v zájmu řízení aktiv a rizik, ale také právě v budování systému řízení bezpečnosti informací. „Obecně je známo, že pro povinné subjekty je oblast analýzy rizik velmi problematická a schází jim odborníci s dostatečnou znalostí,“ vysvětluje Bauerová a dodává: „Jeho vzorové přílohy poskytují množství užitečných informací, které mohou (organizace) jednoduše promítnout do svých vlastních procesů.“
Cílem manuálu totiž není, jak se v dokumentu uvádí, představit jediný správný postup, ale základní principy. Jednotlivá doporučení je tedy vždy nutné přizpůsobit konkrétnímu prostředí daného subjektu.
Počet nemocnic, na něž se vztahuje zákon, se zásadně rozrůstá
Kybernetická bezpečnost je téma, které rychle roste na významu. Nejen v kontextu stále častějších hackerských útoků se škodami v řádu desítek i stovek milionů korun, ale také požadavků a povinností, které v této souvislosti organizacím, včetně těch v systému zdravotnictví, stále narůstají.
Ještě do konce loňského roku platily povinnosti vyplývající ze zákona o kybernetické bezpečnosti „jen“ pro šestnáctku největších nemocnic, které byly označeny za poskytovatele tzv. základní služby. Šlo především o fakultní nemocnice, ale také některá velká krajská zařízení jako například ta ve Zlíně, Liberci, Ústí nad Labem nebo v Českých Budějovicích. Od ledna letošního roku se tato skupina rozrostla o dalších 28 zařízení.
Pod zákon zároveň spadají i některé rezortní informační systémy, jako je Národní zdravotnický informační systém NZIS, vedený Ústavem zdravotnických informací a statistiky ČR, a centrální úložiště e-receptů nebo registr zdravotnických prostředků Státního ústavu pro kontrolu léčiv. Od začátku roku pak přibyly například i informační systémy všech čtrnácti krajských hygienických stanic.
A rozsah tzv. povinných subjektů se ještě dále rozšíří, až začne v roce 2024 platit nová směrnice EU o zavedení vysoké úrovně kyberochrany EU (NIS 2). Ta se dotkne dalších desítek zdravotnických zařízení, a to včetně jejich dodavatelů a také třeba výrobců léčiv či zdravotnických prostředků. Jedná se o tak významnou změnu, že NÚKIB dokonce přichystal speciální webové stránky věnující se čistě tomuto předpisu.
Do kybebezpečnosti jde třikrát více peněz, dosáhnou na ně i pražské nemocnice
Není se tedy co divit, že do kyberbezpečnosti míří také miliardové dotace. To, že je po nich veliký hlad, se ukázalo minulý týden, kdy již po sedmi dnech, kdy se oproti předpokladům zaregistrovalo zhruba třikrát více žadatelů, uzavřelo ministerstvo pro místní rozvoj třetí výzvu Integrovaného regionálního operačního programu (IROP) k posílení kyberbezpečnosti. Ta cílí na projekty v tzv. méně rozvinutých regionech (například Ústecký, Karlovarský, Zlínský či Moravskoslezský kraj) a je v ní k dispozici přes 600 milionů korun z Evropského fondu pro regionální rozvoj (EFRR).
Celkově míří z IROP v současném programovém období 2021-2027 do kyberbezpečnosti kolem tři a půl miliardy korun, což je skoro třikrát více než v období předchozím (zhruba 1,3 miliardy korun). Otevřená stále zůstává čtvrtá výzva, která má pomoci v tzv. přechodových regionech (Středočeský, Plzeňský, Jihočeský a Jihomoravský kraj a Kraj Vysočina) částkou 1,7 miliard korun, a výzva pátá, jež částkou přes jednu miliardu korun podpoří projekty s celorepublikovým dopadem.
Do páté výzvy se mohou tedy přihlásit i organizace z Prahy, ovšem jen ty, které zabezpečují celostátní služby. Zkrátka však nepřijdou ani poskytovatelé zdravotních služeb sídlící v hlavním městě, které jinak nemá na prostředky z IROP jako rozvinutý region nárok. Právě za nimi zamíří zhruba tři čtvrtě miliardy korun z výzvy č. 25 Národního plánu obnovy „Kybernetická bezpečnost nemocnic v Praze“. Ta by měla být vyhlášena v průběhu září, jak Zdravotnickému deníku potvrdil Ondřej Krátoška z tiskového oddělení ministerstva vnitra, hlavního garanta oblasti digitalizace. „V současné době probíhají finální konzultace s věcným garantem, tedy ministerstvem zdravotnictví, nad posledními detaily výzvy,“ upřesnil ještě Krátoška.