Carlos Arglebe je v Siemens Healthineers už takmer 10 rokov šéfom oddelenia kybernetickej bezpečnosti a v rozhovore pre magazín Visions priblížil, ako je moderné vybavenie zdravotníckych zariadení chránené proti možným útokom.
Aké opatrenia firma prijíma na ochranu citlivých zdravotných údajov? Arglebe zdôrazňuje, že kybernetická bezpečnosť v zdravotníctve je nielen otázkou technológií, ale aj komplexným problémom, ktorý si vyžaduje spoluprácu naprieč odvetviami a medzinárodnými hranicami.
V rozhovore sa tiež venujeme aktuálnym hrozbám, rizikám pre pacientov aj nádejným riešeniam a budúcnosti kybernetickej bezpečnosti v zdravotníctve.
Oddelenia kybernetickej bezpečnosti by sme zvyčajne čakali v bankách alebo veľkých technologických spoločnostiach ako Google, Apple či Meta. Čo presne robí vaše oddelenie v Siemens Healthineers?
Dnes sa už z väčšiny podnikov stali v zásade technologické spoločnosti. Vo svojich dodávateľských reťazcoch vo veľkej miere využívajú digitálne služby a riešenia.
Dnes je napríklad bežná práca na diaľku, ktorá by bez technológií nebola možná. V 80. rokoch to bolo naopak – len málo firiem bolo takto závislých na technológiách a namiesto kybernetickej riešili skôr informačnú bezpečnosť.
Naše oddelenie identifikuje a riadi riziká súvisiace s dôvernosťou, integritou a dostupnosťou dôležitých informácií a to ako fyzicky, tak aj v kyberpriestore. Na zaručenie bezpečnosti sa však výsledky musia aj dôsledne implementovať. Preto nemáme len riadiaci tím, ale aj tím na podporu zavádzania, ktorý spolupracuje s rôznymi obchodnými partnermi. Toto úsilie je kontinuálne a vysoko kooperatívne, pretože bezpečnosť je len taká silná, ako jej najslabší článok.
Ako môže priemerného človeka ovplyvniť kybernetický útok na nemocničné systémy alebo zdravotnícke zariadenia? Mali by sme byť viac znepokojení krádežou osobných a zdravotných údajov alebo nedostupnosťou zdravotnej starostlivosti v prípade výpadku?
Predstavte si, že spadnete z bicykla. Zažívate neskutočnú bolesť v hrudníku, pravdepodobne zo zlomených rebier. Prichádza sanitka, aby vás previezla do najbližšej nemocnice.
Všetko sa zdá byť pod kontrolou, kým nepríde telefonát, že systémy nemocnice boli narušené vážnym kybernetickým útokom. To predĺži váš čas cesty o ďalších 30 až 60 minút, keďže sa zvažujú alternatívne možnosti. Vaše utrpenie sa zintenzívňuje a zranenie zostáva nediagnostikované a neliečené.
Dostupnosť nemocničných systémov a nemocníc je kľúčová pre záchranu životov aj riešenie rôznych zranení. Takýto scenár sa môže stať každému z nás alebo našim blízkym. Nemocnice patria k infraštruktúre, na ktorej sme závislí a môžu predstavovať zraniteľné miesto.
Týka sa to aj energetiky, dopravy či vzdelávania, napriek tomu by sme však nemali žiť v strachu. Svoju expozíciu voči kybernetickým hrozbám môžeme znížiť používaním bezpečných hesiel, viacfaktorovej autentifikácie a ďalších ochranných opatrení.
Pravidelné krádeže osobných údajov ale zdôrazňujú, že pre útočníkov majú vysokú hodnotu. Osobné zdravotné informácie (PHI) sú najmä na čiernom trhu, kde sa často predávajú za výrazne vyššie ceny než iné typy údajov. Lekárska správa môže byť 10- až 20-krát cennejšia ako záznam o kreditnej karte. Hackeri zneužívajú PHI na rôzne škodlivé činnosti, vrátane podania podvodných poistných udalostí alebo získavanie drahého zdravotníckeho vybavenia či liekov.
Môžete uviesť konkrétne príklady kybernetických útokov na nemocnice v USA alebo EÚ za posledné mesiace alebo roky?
Bohužiaľ, pribúdajú každý deň . Našou povinnosťou je monitorovať ich, učiť sa z nich a zlepšovať našu infraštruktúru.
Jedným z hlavných incidentov v Európe bol malvér "WannaCry", ktorý paralyzoval britský zdravotnícky systém, ovplyvnil viac ako 300-tisíc počítačov v 150 krajinách a spôsobil škody v rozsahu stoviek miliónov až miliárd dolárov. Bol rýchlo deaktivovaný, čím sa obmedzili ďalšie škody, ale vyžadoval si okamžité kroky na identifikáciu a ochranu postihnutých produktov. V roku 2017 tento proces trval týždne s manuálnymi metódami, teraz to vieme urobiť za pár minút – vďaka riešeniu vyvinutému práve tu na Slovensku.
Ďalším významným kybernetickým útokom bol útok na spoločnosť Change Healthcare v USA vo februári 2024. Tento útok ransomvéru zablokoval kritické systémy, zastavil spracovanie zdravotných nárokov a prístup k záznamom pacientov, čo vážne narušilo poskytovanie starostlivosti. Napriek výkupnému vo výške 22 miliónov dolárov zostali citlivé údaje stále zverejnené online a náklady na obnovu presiahli 2,5 miliardy dolárov. Incident zdôraznil dôležitosť kontroly nášho dodávateľského reťazca.
Takéto kybernetické incidenty sa vyskytujú takmer denne a je dôležité ich sledovať, učiť sa z nich a neustále zlepšovať našu infraštruktúru, pretože každý útok na zdravotníctvo má priame dôsledky na ľudské životy.
Je možné odhadnúť, koľko takýchto kybernetických útokov sa odohráva denne, mesačne alebo ročne? Zvýšil sa ich počet od začiatku vojny na Ukrajine?
Keďže spoľahlivé údaje nie sú dostupné, spoliehame sa na verejné informácie a odhady. Definície kybernetických útokov sa líšia a mnohé zostávajú nepovšimnuté. Všeobecne sa však počet kybernetických útokov výrazne zvýšil počas pandémie COVID-19 a po začiatku konfliktu na Ukrajine.
Väčšina útokov je motivovaná finančne, iné politicky. Niekedy však štátom sponzorované zločinecké skupiny tieto hranice zotierajú. Kybernetická vojna prebieha neustále a na celom svete. Naším cieľom môže byť len minimalizovať útočnú plochu a chrániť životne dôležité informácie.
Slovenské zdravotníctvo zápasí s nedostatkom financií. Ako sa porovnáva kybernetická bezpečnosť našich nemocníc s tými v zahraničí, napríklad v Nemecku, Rakúsku, USA alebo Českej republike? Ktoré krajiny sú lídrami a kde je situácia najhoršia?
Slovensko nie je v nedostatku zdravotníkov a kybernetického personálu osamotené. Tento problém je globálny. Krajiny ako Nemecko a USA zavádzajú programy na povzbudenie poskytovateľov zdravotnej starostlivosti, aby zlepšili svoju bezpečnostnú infraštruktúru. Tá sa však často de-prioritizuje, čo prevádzku nemocníc ohrozuje.
Na nedávnej Rade poradcov zákazníkov v Bratislave som sa dozvedel, že aj severské krajiny, napriek ich pokročilej digitalizácii a bezpečnostným štandardom, čelia podobným výzvam. Stav sa líši skôr podľa jednotlivých poskytovateľov zdravotnej starostlivosti, než podľa krajín.
Čo presne robí vaše oddelenie a ako chránite svoje zariadenia a systémy? Analyzujete napríklad predchádzajúce útoky? Spolupracujete s vládami alebo inými kybernetickými spoločnosťami?
Zameriavame sa na vývoj a udržiavanie bezpečnostných štandardov alebo vykonávanie nezávislých testov na odhalenie medzier. Veľká vďaka patrí nášmu IT tímu za ich usilovnú ochranu infraštruktúry, sietí, aplikácií a dát. Naši špecialisti na kybernetickú bezpečnosť zabezpečujú továrne, výskum a vývoj, produkty aj cloudové služby a učia sa z veľkých incidentov.
Máme robustné forenzné schopnosti na sledovanie ciest, odkiaľ takéto útoky prichádzajú. Od založenia v roku 2014 sme začali spolupracovať alebo posilnili spoluprácu s globálnymi orgánmi ako sú FDA, FBI, BSI a tiež s poskytovateľmi služieb a partnermi z DAX40 (40 najväčšími firmami na nemeckej burze, poz. red.) ako súčasť nášho "imunitného systému".
Aké technologické inovácie alebo trendy v oblasti kybernetickej bezpečnosti by mohli najviac zlepšiť ochranu nemocníc a zdravotníckych zariadení v budúcnosti?
Veľmi sľubnou technológiou je architektúra nulovej dôvery. Tento bezpečnostný model funguje na princípe najnižších privilégií a neustálej validácie každého kroku digitálnej interakcie.
V súčasnosti ho integrujeme do nášho systému a zdá sa byť veľmi prínosný. Myslím si však, že žiadna technológia dnes nemôže ponúknuť rovnakú úroveň ochrany ako stratégia obrany v hĺbke. Tá aplikuje viacero vrstiev bezpečnostných kontrol naprieč organizáciou, vrátane zariadení, operačných systémov, aplikácií, sieťových pripojení a ďalších. Jej cieľom je poskytnúť redundanciu v prípade zlyhania bezpečnostnej kontroly alebo zneužitia zraniteľnosti.
Na zlepšenie bezpečnostnej situácie nemocníc je dôležité dôsledne dodržiavať základné bezpečnostné postupy. Zabezpečiť, aby jednotlivci boli vybavení na ochranu a procesy robustné – aby poskytovali správne zábrany a technológia uľahčovala ochranu citlivých informácií.
Akú úlohu zohrávajú spoločnosti, ktoré dodávajú technológie a zariadenia do nemocníc, v oblasti kybernetickej bezpečnosti? Ide viac o zabezpečenie jednotlivých zdravotníckych zariadení od rôznych spoločností alebo o centralizovaný softvér a databázy?
Našou primárnou zodpovednosťou je najskôr porozumieť potrebám našich zákazníkov. Potrebujú spoľahlivé a aktuálne produkty, ktoré bezproblémovo fungujú v ich sieťovom prostredí. Rovnako ako my zabezpečujeme bezpečnosť našich notebookov a mobilných telefónov, aj oni musia udržiavať prevádzkyschopné a bezpečné svoje cloudové služby, CT, MRI, ultrazvukové prístroje alebo celé diagnostické laboratóriá.
Našou povinnosťou je pomôcť im tieto zariadenia chrániť. Rozoberáme softvérové komponenty našich produktov, monitorujeme ich z hľadiska zraniteľností, poskytujeme potrebné aktualizácie alebo jednoducho informujeme zákazníkov o rizikách, ktorým môžu čeliť. Z bezpečnostných dôvodov sa zmeny vykonávajú opatrne.
Predstavte si, že schválené zariadenie bude uvedené na trh, ale neskôr by sme neskôr objavili veľkú zraniteľnosť v jeho operačnom systéme alebo softvéri, ktorý by mohol byť zneužitý na krádež údajov alebo ovládanie.
Jednoduché odpojenie od siete by nemuselo stačiť, pretože diagnostické údaje zachytené napríklad na CT, musia byť archivované v sieti a nemôžu zostávať v samotnom zdravotníckom zariadení.
Naše prístroje zohľadňujú riziká a zahŕňajú rôzne kontroly, ktoré môže zákazník implementovať (napríklad správa prístupu, šifrovanie, povolenie zoznamu), aby chránil svoju sieť a prevádzku. Zákazníci čelia výzve riadenia množstva procesov, vrátane prenosu do cloudu a musia zostať pred útočníkmi.
Aký je pomer vnútorných a vonkajších útokov? Napríklad, aký je pomer hackerských útokov a neoprávneného prístupu k zdravotným záznamom a citlivým údajom pacientov zo strany zamestnancov nemocnice?
Banky majú napríklad systémy, kde bežní zamestnanci nemôžu bezdôvodne a bez zaznamenaného prístupu zobrazovať transakcie klientov alebo zostatky na účtoch.
Riešime a reagujeme na rôzne incidenty. Či už v dôsledku nedbanlivosti používateľa alebo úmyselného útoku, výsledok môže byť rovnaký – osobné údaje môžu byť ohrozené a tento fakt musí byť nahlásený príslušným orgánom.
Všeobecne platí, že vonkajšie incidenty sa vyskytujú častejšie. Vnútorné incidenty však netreba podceňovať a je potrebné riešiť ich s rovnakou starostlivosťou. Každý incident slúži ako príležitosť na zlepšenie pokynov, aplikácií alebo školení.
Princíp "potreby vedieť" je v našom ekosystéme základný. Napríklad, ak pracujete vo výskume a vývoji, nepotrebujete prístup k financiám alebo iným citlivým oblastiam. Vaša úloha môže vyžadovať prístup k určitým informáciám, ale tento prístup by nemal byť trvalý. Naša infraštruktúra zákazníckeho servisu spolu s prístupom k informáciám o zákazníkoch alebo pacientoch je preto vysoko chránená, izolovaná a kontrolovaná.
Obmedzenie prístupu je životne dôležitým ochranným opatrením, ktoré od nás naši zákazníci očakávajú. Krajiny ako Čína majú prísne požiadavky na cezhraničný prenos a jednotlivci často žiadajú vymazanie svojich osobných údajov. Preto, bez ohľadu na incidenty, útoky alebo narušenia, musíme zabezpečiť informácie počas celého ich životného cyklu – od vytvorenia, cez prenos a používanie až po uloženie v archíve.
Myslíte si, že v prípade eskalácie (kybernetickej) vojny by sa mohli nemocnice v Európe stať primárnymi cieľmi, vzhľadom na ich kľúčovú úlohu v krajine?
Áno, už teraz sú skutočne terčom takýchto útočníkov. Táto tvrdá realita postihuje sektory ako zdravotníctvo, bankovníctvo, energetika, mobilita a ďalšie kritické oblasti. Nechcem znieť paranoidne, ale niektoré incidenty môžu byť testovacími krokmi na zistenie toho, ako spoločnosti reagujú. Na posilnenie kybernetickej bezpečnosti preto vlády prijímajú prísne opatrenia.
Majú za cieľ chrániť svojich občanov a ekonomiky. Bohužiaľ, sme zahltení množstvom regulácií, čo nás pri zvládaní týchto zmien tlačí do našich limitov. Musíme sa pripraviť na najhoršie scenáre a zabezpečiť kontinuitu podnikania.
Na tento účel máme robustný proces krízovej komunikácie. Jediná tlačená brožúra, ktorú mám doma aj v kancelárii, obsahuje dôležité kontakty a telefónne čísla. Keď systémy zlyhajú, používam ju na kontaktovanie kolegov. Každý deň musíme byť pripravení a konať s istotou.