Predstavte si situáciu: ste pediater s vlastnou ambulanciou v malom meste na Slovensku. Zdravotnú starostlivosť poskytujete zhruba 2-tisíckam detí, pričom sa jedného dňa stanete obeťou hackerského útoku. Po tom, čo odmietate zaplatiť výkupné v bitcoinoch, strácate na jeden klik celú zdravotnú dokumentáciu. A hoci si to neuvedomujete, hackerovi útok značne uľahčili. Nemáte totiž ani antivírus, ani firewall a ani silné heslo. Zdá sa vám to ako science-fiction? Bohužiaľ, v malých ambulanciách na Slovensku je to tvrdá realita. Na konferencii JESENNÁ ITAPA 2023 na to upozornila Paula Babicová, compliance officer a risk manager v spoločnosti DÔVERA zdravotná poisťovňa. „Lekári si musia uvedomiť, že spracúvajú osobné údaje a že ich musia adekvátne chrániť. Keďže hackerských útokov bude pribúdať, je nevyhnutné začať s osvetou lekárov aj pacientov. Mnohí si totiž absolútne neuvedomujú, aké dopady takýto útok môže mať. Že ich nepripraví len o dáta, ale môže na určitý čas pozastaviť aj poskytovanie zdravotnej starostlivosti. V prípade hackerského útoku je lekár povinný oznámiť incident na Úrade na ochranu osobných údajov SR a informovať každého svojho pacienta. Jeho údaje sa totiž po útoku môžu objaviť na dark webe.“
Obrovský kybernetický dlh
Zdravotníctvo by malo byť v centre našej pozornosti. V Európe je totiž v poradí štvrtým najčastejšie hackermi atakovaným sektorom. „Čím viac digitalizovaných dát, tým viac benefitov, avšak aj problémov. Kybernetické útoky nemusia znamenať len stratu či únik zdravotníckych dát, môžu reálne ohroziť zdravie a životy samotných pacientov napríklad len zmenou tlaku v prístrojoch,” upresnil Michal Sekula, bezpečnostný poradca v spoločnosti Eviden.
Pravdou je, že umelá inteligencia už dnes dokáže vytvoriť veľmi škodlivý malware. Útočníci tak vôbec nemusia byť zruční, hackerom môže byť v podstate hocikto – dokonca aj automat. „Slovenské zdravotníctvo má kybernetický dlh vo výške 2,5 miliardy eur,” uviedol na konferencii JESENNÁ ITAPA 2023 Andrej Aleksiev, špecialista na digitálnu transformáciu, ktorý spolu so svojím tímom vykonal rozsiahlu analýzu 98 zo 105 inštitúcií spadajúcich pod rezort zdravotníctva. Táto analýza sa venovala ich digitalizácie a zabezpečenia pred kybernetickým útokom. Výsledky boli šokujúce, napr. 71 percent nemocníc nemá zálohované dáta, 50 percent operačných systémov nie je aktualizovaných, 80 percent nemá implementovanú dostatočnú ochranu, 24 percent zo všetkých nemá vôbec zabezpečenú svoju sieť.
Chýbajú odborníci i peniaze
Nedostatok odborníkov, nedostatok financií a nástup nových technológií. Toto sú tri najdôležitejšie výzvy v kybernetickej bezpečnosti, ktorým dnes čelíme. Zhodli sa na tom viacerí spíkri tretieho dňa konferencie JESENNÁ ITAPA 2023. „Kde nájsť ľudí, keď ich nie je? Túto otázku riešime ustavične a jedinou odpoveďou na ňu je, že si ich treba už od stredných a vysokých škôl vychovávať. Inak to nejde,“ vyhlásil Vladimír Rohel, riaditeľ pre bezpečnosť v českom štátnom podniku – Národní agentúre pro komunikační a informační technológie. Podotkol, že mladí ľudia sa najlepšie motivujú cez výzvy. Treba im ponúknuť zaujímavé a unikátne projekty i kontinuálne vzdelávanie.
Faktom ale je, že ak aj podnikneme všetky tieto kroky – odborníkov a rovnako i financií nebude nikdy dostatok. To sa dá vyriešiť centralizáciou. „Neustále vysvetľujeme, že je lepšie, aby štátne organizácie využívali zdieľanú infraštruktúru. Vďaka tomu znížia náklady zhruba o polovicu a rovnako sa zníži aj tlak na počet odborníkov,“ upresnil Vladimír Rohel s tým, že hoci nemáme odborníkov či peniaze, nových technológií neustále pribúda. „S nimi sa musíme len vyrovnať, nedajú sa ignorovať.“
Vychovávať odborníkov je jedna vec, druhou vecou je ale vychovávať ľudí, ktorí sú si vedomí nástrah v online priestore. Aj tu je potrebné vzdelávať. Ako na konferencii JESENNÁ ITAPA 2023 podotkol expert informačnej bezpečnosti v bankovom sektore Marek Zeman, vzdelávať z čoho je: „Máme učebnice aj metodické príručky. Už to treba len v čo najväčšej možnej miere realizovať. Dnes sa, samozrejme, vzdeláva. Na základe zákona o kybernetickej bezpečnosti má povinnosť v tomto smere vzdelávať až 2 000 spoločností – aj preto majú najväčší dosah práve súkromné firmy a organizácie. Za nimi nasleduje tretí sektor, vysoké školy, stredné školy. Za nimi sú Kompetenčné a certifikačné centrum kybernetickej bezpečnosti a Ministerstvo investícií, regionálneho rozvoja a informatizácie SR.“
Financie na rozvoj digitálnych technológií a zaistenie bezpečnosti
Vychovávať a vzdelávať sa je nevyhnutné aj preto, že trh kybernetickej bezpečnosti je jedným z najrýchlejšie rastúcich na celom svete. Jeho celkový objem len v roku 2021 predstavoval takmer 150 miliárd eur, pričom sa predpokladá, že do roku 2026 narastie na 200 miliárd eur. Aktuálne pre súkromný, ale aj verejný sektor predstavujú čoraz väčšiu hrozbu kybernetické útoky na kritickú infraštruktúru. Len za uplynulý týždeň boli Veľká Británia a Dánsko obeťou masívnych útokov na rôzne časti kritickej infraštruktúry. Podľa Csabu Krasznaya, docenta na Univerzite verejnej služby Ludovika, ktorý sa venuje kybernetickej bezpečnosti a výskumu kybernetických vojen, je naivné čakať, že sa niečo zmení a útoky prestanú. Naopak. Treba nájsť odpoveď na to, ako sa brániť. „Z programu Digital Europe Programme vyčlenil obrovský balík financií na podporu rozvoja digitálnych technológií, ktorého súčasťou je aj podpora a zaistenie bezpečnosti. Môj názor je, že na kyberbezpečnosť získajte toľko peňazí, koľko je k dispozícii a koľko treba,” uviedol Csaba Krasznay na konferencii Jesenná ITAPA 2023. V rámci celého Digital Europe Programme únia vyčlenila viac ako sedem miliárd eur, pričom na podporu v oblasti kybernetickej bezpečnosti by malo byť vynaložených v nasledujúcich dvoch rokoch 375 miliónov eur. Csaba Krasznay rovnako zdôraznil, že „za kritické považuje spoluprácu medzi súkromnými firmami a štátom.“
Informačný servis