Hlavní obsah

Hacknout nemocnici? Stačí bílý plášť a počítač

Právo, Jan Martinek

Odborník na kybernetickou bezpečnost Petr Samek v rozhovoru pro Právo upozornil na některá rizika, která může mít sdílený lékový záznam. Češi jsou podle něj ve vztahu k citlivým údajům v kyberprostoru málo obezřetní.

Foto: Profimedia.cz

Ilustrační foto

Článek

Zabýváte se kyberbezpečností a ochranou dat ve zdravotnictví. Jak vnímáte současnou snahu o co největší elektronizaci zdravotnictví?

Například elektronický recept považuji za velmi úspěšný projekt. Jako občan jsem nadšen, že zavolám svému doktorovi, řeknu mu, že za týden mi dojdou prášky na tlak, a za chvíli mi přijde recept na mobil.

Že by měl být někde veden můj lékový záznam, mi taky nevadí, protože když si představím seniora, který polyká víc prášků než jídla, tak je dobře, že se na to někdo podívá, i z hlediska interakcí mezi léky, které se vzájemně vylučují.

Na druhou stranu někdo o mně bude vědět, jaké prášky beru. Pozná, že mám vysoký tlak, vysoký cholesterol a tak dále. Pak ale přijdu do pojišťovny uzavřít si životní pojištění kvůli hypotéce, a pojišťovna by asi tyto informace neměla mít.

Jak by se k nim dostala?

Jde o to, kdo bude mít k informacím přístup a jak to bude kontrolováno. Má k nim mít přístup lékař? V pořádku. Ale ten lékař může být najatý pojišťovnou, aby posoudil můj zdravotní stav. Bude-li mít přístup k informacím on, má je pojišťovna.

Má mít pojišťovna právo odepřít mi nárok na pojistné jen proto, že ví, že mám vysoký tlak a cholesterol, tudíž je větší pravděpodobnost, že za deset let zemřu?

Tento rozměr centrální evidence informací o lécích, zdravotním stavu, diagnózách může znamenat omezení občanských práv. Nejsem občanský aktivista a už vůbec ne levicový, ale myslím si, že hranice mezi využitelností a zneužitelností dat je tenká a že vlastníkem těchto dat bych měl být já.

Mám i představu o technickém řešení. Zdravotnická data bych měl mít možnost sdílet jen s tím, koho já sám uznám za vhodné. A jestliže říkám sdílet, měl bych mít možnost je vlastnit, a ne že jsou někde na centrálním úložišti, absolutně mimo mou kontrolu. Když už, tak je chci mít u sebe.

Lékaři by ale měli mít přístup k lékovému záznamu jen na pacientovo svolení.

Ano, ale kde bude ten lékový záznam? Umím si představit, že změnou zákona, vyhláškou ministerstva zdravotnictví, se ta pravidla mohou vyvíjet. Ideální by bylo, kdyby měl každý svůj lékový záznam u sebe. Technická realizace dnes není problém díky mobilům či elektronickým občanským průkazům.

Určitě budu klidnější, když ta data budu mít ve své moci. Sdílení distribuovaných dat je dnes též technicky možné, ale k tomu vývoj evidentně nesměřuje, naopak směřuje k nějaké centrální evidenci.

Evropa už zažila vážné kybernetické útoky na nemocnice. Jak je hackeři ohrožují?

Cest je mnoho, ale nejjednodušší útok je vždy zevnitř. Vezměte si bílý plášť, endoskop a přijďte do libovolné velké nemocnice, kde se doktoři osobně neznají. Garantuju vám, že do půl hodiny seženete počítač s ochotnou sestřičkou, která se k němu přihlásí, abyste se mohl podívat do systému, protože nutně potřebujete data o tom a tom pacientovi. Pokud nebude heslo přímo napsané na monitoru, jak to bývá dobrým zvykem.

Pak je možné přímo do vnitřní sítě umístit program, který bude sbírat data a umožní mi přístup do systému. Nemocnice bezpečnost podceňovaly. Zaplatit si veškeré programy a zařízení, která omezují možnost napadení, není levné. Dnes to ale už snad neplatí, zvlášť u velkých nemocnic, které vědí, co musí v rámci zákona o kybernetické bezpečnosti dělat.

Jsou dnes lidé celkově málo obezřetní, co se kyberprostoru týče?

Jsou málo obezřetní, proto že se ještě nikomu nic nestalo. Obecně panuje představa, že nás se toto nebezpečí netýká. Že se to týká těch velkých, bohatých, například policejních složek a podobně. Není to tak. Nedávno se na nás obrátila menší nezisková organizace, kterou napadli hackeři a zničili úplně všechno, veškeré databáze.

Proč to dělají? Útočí na menší firmy kvůli vydírání?

Bývá to vedlejší efekt plošného útočení na kohokoliv. Je jim jedno, kdo jim dá peníze. Snaží se vir trojského koně dostat ke komukoliv, a když se to podaří, očekávají výkupné. Uvedu jiný příklad: občas slyšíme, že někdo někomu hacknul heslo do mailu. Opět to není náš problém, je to problém těch druhých. Proč bych měl mít jiné heslo než „miláček“ nebo něco podobného.

Mnozí kašlou na základní pravidla, jako jsou složitá hesla. Znám ženu, která takhle přišla o svoji elektronickou identitu, ztratila přístup k facebookovému profilu a mailovému účtu. K mailu se už nikdy nebyla schopná vrátit, prokázat, že ten účet je opravdu její. Facebookový účet se jí po tahanicích podařilo získat zpátky. Měla s tím obrovský problém, protože prostřednictvím jejího účtu se někdo z jejích známých pokoušel vymáhat různé drobné částky, takže dopady na okolí byly obrovské. A je to úplně obyčejný člověk, zaměstnaný na úřadě. Není to žádná V.I.P osoba.

Jak jsou kyberútoky v ČR časté?

Statistiku nemám, ale určitě budou častější, než se o tom obecně ví. Mluví se zde o kyber válce a všichni si představí válku mocností. Ale ona se vede i mezi prostým lidem. Je jednodušší vydolovat někomu bankovní účet přes počítač než jít do banky s puškou.

Jak se proti tomu bránit? O heslech jste už mluvil.

Dodržováním základních pravidel. Teď sedíme v kavárně, kde je určitě veřejná wi-fi, a já si ji rozhodně nezapnul. Spousta lidí kolem nás kouká do počítačů, někteří z nich se možná připojili ke svému internetovému bankovnictví a provádějí tam nějaké operace, aniž by vůbec tušili, kdo je provozovatelem té wi-fi a zda je nějak zabezpečená. Pravděpodobně není zabezpečená nijak.

Kdokoli tu posílá maily a v nich jsou jeho základní citlivé údaje, a přitom stačí ten soubor zašifrovat. Jsou k tomu jednoduché nástroje, ale neděláme to. Záměrně dnes vypínáme antivirové programy a firewally, které jsou běžnou součástí našich počítačů a tabletů. Zjednodušujeme si to z lenosti, ale také ulehčujeme práci útočníkovi.

Jak velkou roli hrají sociální sítě?

Na sociálních sítích sdílíme údaje, které bychom ještě před lety řekli jen svým nejbližším. Spousta lidí si napíše na Facebook, že je zrovna na dovolené. „Hurá, už jsme v Řecku, bude to krásných čtrnáct dní!“ Tam už chybí jen napsat „Nezapomeňte nás vykrást“. Dáváme obrovský prostor těm, kteří jej mohou zneužít. Když se někdo bude chtít dostat k datům kohokoli z nás a bude mít dost času a prostředků, tak se mu to povede.

Výběr článků

Načítám