Kybernetická bezpečnost ve zdravotnictví = Mission Impossible
V evropském parlamentu se připravuje vydání směrnice NIS 2, která podle všech informací významně rozšíří okruh subjektů, jichž se regulace v oblasti kybernetické bezpečnosti aktivně dotkne. Když to hodně zjednodušíme, tak téměř každé zdravotnické zařízení nad 50 zaměstnanců se bude muset touto legislativou řídit (samozřejmě bude vydána národní harmonizující legislativa, ale ta pravděpodobně toto kritérium nijak nezmění). Bude v silách těchto „malých“ zařízení opravdu požadavky legislativy naplnit a to nejen formálně, ale především prakticky realizovat prvky kybernetické bezpečnosti? Z toho jak se s implementací vypořádává současných 46 povinných nemocničních subjektů je zřejmé, že realizace v dalších zdravotnických zařízeních je v podstatě „mission: impossible“. V následujícím článku si rozebereme největší překážky, které v současnosti znemožňují hladký průběh implementace KB.
Jednoznačná definice KB neexistuje, ale pro naše účely se budeme držet definice ze slovníku kybernetické bezpečnosti, dostupného na stránkách NUKIB, která říká, že kybernetická bezpečnost je souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru.
Když se na kybernetickou bezpečnost zeptáte (nejen) nemocničních top manažerů, tak vám budou téměř jistě tvrdit, že u nich se to velice aktivně řeší a nemocnice do toho investuje spoustu peněz. Ale je to opravdu tak? Dá se kybernetická bezpečnost koupit? Dá se vůbec v podmínkách českého zdravotnictví kybernetická bezpečnost úspěšně realizovat? Jaké jsou nejčastější a největší překážky v implementaci KB? Co může celou implementaci zhatit? Na to si zkusíme odpovědět v následujícím článku.
Pokud zmíněným manažerům položíme další otázku, jaké největší překážky vidí pro implementaci ZoKB v jejich zařízení, tak určitě zazní nedostatek peněz a nedostatek lidí. Já bych přidal ještě třetí – malá manažerská podpora, nebo chcete-li nepochopení či neochota top manažerů měnit v organizaci léta zaběhnuté postupy – protože to je přesně to, co dělá bezpečnost (nejen kybernetickou) bezpečností – změna a řízení procesů!
Tomáš Iránek
je IT manažer s vice než 20 letou praxí jak v komerčním sektoru tak ve zdravotnictví. V poslední době prošel fakultní, krajskou i okresní nemocnicí a může tak porovnat úroveň a potřeby nemocničního IT v závislosti na velikosti zařízení.