Kybernetická bezpečnost ve zdravotnictví
Dušan Navrátil ředitel NBÚ
Proč řešit kybernetickou bezpečnost ve zdravotnictví
o Zdravotnické systémy obsahují množství osobních údajů o Hodnota dat ze zdravotnických systémů může na černém trhu dosahovat až 363 $ / osoba o Průměrná cena ukradených záznamů ve všech odvětvích činí cca 154 $ / osoba o Data zdravotnických organizací jsou na černém trhu nejvíce ceněna Zdroj: Ponemon Institute, 2015 Cost of Data Breach Study, http://www-03.ibm.com/security/data-breach/ 2
Kybernetické útoky ve zdravotnictví o V současnosti v zahraničí nejčastějším terčem útoků pojišťovny o Příklad: pojišťovna Excellus BlueCross BlueShield o 5. srpna 2015 odcizena data cca 10, 5 milionů klientů o Struktura odcizených dat: o Číslo sociálního zabezpečení (SSN), datum narození, email, telefonní číslo, identifikační číslo pojištěnce, informace o účtu, informace o pohledávkách
o Další příklady krádeží dat ve zdravotnictví o o o o
Anthem Healthcare – krádež osobních dat až 80 milionů pojištěnců Premera – odcizeny osobní údaje o cca 11 milionech klientech UCLA Health System – ukradeno 4,5 milionu dat o klientech CareFirst - odcizeno 1,1 milionu osobních údajů o klientech Zdroj: http://thehackernews.com/2015/09/health-insurance-hacking.html 3
Činnost NBÚ v oblasti kybernetické bezpečnosti o 19. října 2011 NBÚ určen gestorem kybernetické bezpečnosti v ČR o 13. května 2014 otevřeno Národní centrum kybernetické bezpečnosti o 1. ledna 2015 vstoupil v účinnost zákon č. 181/2014 Sb., o kybernetické bezpečnosti o Od účinnosti zákona jsou systematicky určovány klíčové informační a komunikační systémy důležité pro chod státu a zajištění základních služeb pro občany
o 16. února 2015 vládou schválena Národní strategie kybernetické bezpečnosti 2015-2020 o Výzva č. 11 se týká ochrany informačních systémů ve zdravotnictví
o 25. května 2015 schválen Akční plán k NSKB 2015-2020, který stanovuje konkrétní úkoly konkrétním subjektům 4
Kritická informační infrastruktura (KII)
o Od účinnosti zákona o kybernetické bezpečnosti cca 100 jednání mezi zástupci NBÚ a potenciálními správci KII o 25. května 2015 vládou schváleno 45 prvků KII, které spravují organizační složky státu o 3. srpna vydáno 10 návrhů opatření obecné povahy určující 17 prvků KII u 10 soukromoprávních subjektu o Příprava na určení dalších prvků KII
o U KII nejpřísnější regulace - musí plnit 100 % opatření ze standardizační vyhlášky (316/2014 Sb., vyhláška o KB) 5
Významné informační systémy (VIS) o Seznam VIS uvedený v příloze č. 2 vyhlášky č. 317/2014 Sb., o Nyní 92 významných informačních systémů u 35 orgánů veřejné moci o VZP - Centrální registr pojištěnců
o Některé z nich přeřazeny do KII a některé systémy nově určeny
o Celkem NBÚ eviduje cca 100 VIS o Jsou posuzovány další systémy
o U VIS mírnější regulace - musí plnit cca 60 % opatření ze standardizační vyhlášky (316/2014 Sb., vyhláška o KB) 6
Možný budoucí vývoj v kontextu EU o NIS - Směrnice o bezpečností sítí a informací (Network and Information Security directive) o Směrnice by měla v členských státech zavést minimální požadavky na zabezpečení digitálních technologií, sítí a služeb
o Předpokládán dopad na ty poskytovatele zdravotní péče, kteří naplní průřezová a odvětvová kritéria o Průřezová kritéria se týkají poskytování služeb pro zachování společenských a ekonomických činností a bezpečnosti obyvatel o Měl by být zohledněn počet klientů, závislost ostatních sektorů, spádová oblast, dostupnost alternativ apod.
o Stanovení odvětvových kritérií ponecháno členským státům o O podobě i dopadech směrnice stále jednáno 7
Některé problematické oblasti
o Nemocnice nejsou orgánem veřejné moci – nemohou mít VIS
o Odvětvové kritérium pro KI ve zdravotnictví je „2 500 lůžek“ o žádné zdravotnické zařízení není určeno jako prvek KI
o Nejednotná struktura nemocnic (krajské, fakultní,…) o Zvyšování integrace systémů – spojeno s bezpečnostními riziky (více dat = lepší cíl) 8
Děkuji za pozornost! Dušan Navrátil ředitel NBÚ www.nbu.cz www.govcert.cz
9
