Po stopách kyberútoků. ‚Největším problémem nemocnic jsou finance, na IT bezpečnost schází,‘ říká reportérka

Honzo, ty ses před nějakou dobou dozvěděl, že poliklinika, kam docházíš, se stala terčem hackerského útoku. Co se tam přesně stalo?
Jan Cibulka: Přečetl jsem si na internetu, že síť pražských poliklinik byla zasažena kybernetickým útokem. Jelikož mě tato témata zajímají, tak jsem se na to podíval blíž, a najednou koukám, že je to i moje poliklinika. Snažil jsem se zjistit, co se tam stalo, protože se to teoreticky mohlo týkat i nějaké mojí zdravotní dokumentace. První věc, kterou jsem udělal, napsal jsem té poliklinice. Ta psala na webu, že je to zasáhlo, nebude kvůli tomu nějakou chvíli fungovat objednávání, ať lidé případně volají. Ale žádné bližší detaily tam nebyly. Kontaktoval jsem tu polikliniku s dotazem, co se přesně přihodilo. Poměrně rychle odpověděli, že oni nebyli primárním cílem, útok směřoval na jejich dodavatele IT služeb a že tam došlo k zašifrování dat nějakým kryptovirem, který v té době v Česku řádil. Nicméně že ten útok, cituji, „nebyl úspěšný“, protože se jim podařilo data obnovit z nějakých záloh, to znamená, že zase fungují a žádný problém tam není.

S tím ses ale, předpokládám, nespokojil.
Jedna věc je, že se jim to podařilo obnovit ze záloh, to je samozřejmě v pořádku. Nicméně pořád to neříká, jestli třeba kriminální skupina, která ta data zašifrovala, je zároveň neodcizila. Protože pachatelé si přivydělávají nejen tím, že té firmě nebo té poliklinice zablokují činnost a chtějí peníze za rozšifrování, ale zároveň dochází k tomu, že buď tu polikliniku, nebo to zdravotnické zařízení vydírají, že by data mohli zpeněžit. Případně si přivydělávají tak, že je opravdu prodávají někde na darkwebu. Chtěl jsem vědět, jestli se to náhodou netýká i mojí zdravotní dokumentace, na což mi poliklinika neodpověděla s tím, že věc je vyšetřována, žádné detaily mi tedy nemůže sdělovat, a že tou věcí se zabývá i Úřad pro ochranu osobních údajů, který posoudí, jaké budou další vhodné kroky. To znamená, že jsem se obrátil jak na policii, která to vyšetřovala po té trestní linii, tak i na Úřad pro ochranu osobních údajů. Ten mi nebyl ochoten říct žádné detaily s tím, že já jako teoretický poškozený – já jsem to v té době ani nevěděl – tak mám právo na informaci, že k útoku došlo, ale podle tehdejšího výkladu úřadu už nemám nárok na informaci, co přesně se stalo. A zároveň jsem se dozvěděl z nějaké další komunikace s úřadem, že žádná opatření nepřijali, že jen vzali na vědomí oznámení od polikliniky a založili ho ad acta s tím, že nedospěli k závěru, že je tam potřeba cokoli činit.

Jak úřad vysvětlil, když ses ptal, proč nemáš mít nárok – podle toho tehdejšího výkladu – vědět, co se doopravdy stalo?
Úřad to zdůvodňoval tím, že GDPR tu povinnost neukládá, a že tedy nárok na ty informace nemám. Nicméně že oni ani o moc více informací než oznámení polikliniky opravdu nemají. Já jsem v tomto případě podal i nějakou stížnost, která poté tím úřadem probublávala skoro dva měsíce. V mezičase, ještě dříve, než to vyřídil tento jeden úřad, se mi ozvala policie, která původně řekla, že také mě neeviduje jako poškozeného, to znamená, že nemám nárok na informace z vyšetřovacího spisu. V rámci odvolání jsem ale přesvědčil státního zástupce a ten policii nařídil, aby mi zpřístupnili vyšetřovací spis. Takže dříve, než mi odpověděl Úřad pro ochranu osobních údajů, jsem se dostal k vyšetřovacímu spisu policie.

Dozvěděl ses, co se přesně stalo, která kriminální skupina ta data ukradla? A osvětlilo se ti to celé trochu?
Když jsem ten spis dostal, tak jsem musel podepsat mlčenlivost. To znamená, že bych neměl vynášet informace přímo z vyšetřovacího spisu. Nicméně asi nic nevynesu, když řeknu, že ten spis nebyl úplně obsáhlý. Ono se toho příliš zjistit nepodařilo. Policie věc odložila, protože nezjistila pachatele, což není úplně překvapivé. Asi nemůžeme čekat, že policie zatkne nějakou zahraniční hackerskou kriminální skupinu. Jediná nějaká hodnotná informace, která v tom spisu pro mě byla, byl ofocený dopis od vyděrače. V tu chvíli jsem se dozvěděl, z jaké e-mailové adresy oni komunikují, a mohl jsem začít pátrat dál, co to bylo za kriminální skupinu a jestli náhodou neprodává ukradená data.

Zjistil jsi nakonec, co to bylo za skupinu? Proč je to důležité ve chvíli, kdy pátráš po tomto typu dat?
Já jsem nejdříve zkusil pátrat na vlastní pěst. Získal jsem informace, pak jsem se obrátil na známého bývalého kolegu Davida Havlíka, který dřív působil reportérech ČT, který se teď ve spolupráci s vývojáři nástroje DarkTracer věnuje mapování různých kriminálních skupin. A díky němu se mi podařilo zjistit, jak se jmenuje ta moje kriminální skupina. Protože ty kriminální skupiny – jsou to zločinci, neustále mění identity, různě si navzájem pronajímají, kradou, půjčují nástroje, ty viry, které používají k těm útokům. Nicméně nakonec jsem se dopracoval k tomu, že jde o kriminální skupinu – s velkou pravděpodobností, na sto procent v tomto případě není nikdy nic – Prometheus, která (nebo některé její části) dříve útočila pravděpodobně i ve Spojených státech pod názvem REvil. Pravděpodobně o tom posluchači slyšeli, když byly ve Spojených státech nedostatky masa.

Šlo o firmu, která dodává maso ve Spojených státech, tak ta právě byla napadená tou skupinou REvil a zastavilo jí to celou produkci.

Pro mě byl podstatnou informací název té kriminální skupiny, protože na darkwebu si pak už člověk může najít jejich stránku. Tyto skupiny běžně inzerují na svých webech své úspěšné útoky. A mohl jsem se dívat na to, jestli mezi těmi útoky je i moje poliklinika. Dobrou zprávou bylo, že se mi nakonec podařilo zjistit, že oni ta data zjevně neprodávají, že je tam nezveřejňují. Důvodů může být více. Třeba se jim ten útok úplně nevydařil, nebo si řekli – „nějaká ČR, to nás ani nezajímá, to je tak malá země“ – a zahodili to. Takže z tohoto důvodu se mi to tentokrát vyhnulo.

Takže ten úvod, kdy jsi do toho šel s tím, že ses chtěl na prvním místě dozvědět, jestli tvoje data nebyla zneužita, to vyšlo?
Tak jsem se tam dopracoval. A ještě po tom všem se mi teď ozval Úřad pro ochranu osobních údajů, kde se po necelých dvou měsících vyřídila moje stížnost, která propadávala mezi různými odděleními. A nejen že úřad mé poliklinice zpětně nařídí, aby mi poskytla více informací o tom incidentu, ale zároveň mi oznámili, že sami znovu otevřou celý případ a celé to přezkoumají. Protože evidentně dospěli k závěru, že to ze začátku asi trošku podcenili, že to možná bylo závažnější a že si to jejich pozornost zaslouží.

Honza se tedy dozvěděl, že jeho data nebyla zneužita.

Jano, my jsme spolu mluvili zhruba před rokem. Bylo to během první vlny pandemie covidu, o tom, jaké nebezpečí představují kybernetické útoky pro zdravotnictví. Tehdy hrozba rostla, alespoň podle varování úřadu pro kybernetickou bezpečnost. Oni dokonce tehdy varovali před možností hackerských útoků. Kam jsme se od té doby posunuli?
Jana Magdoňová: Národní úřad pro kybernetickou a informační bezpečnost to své varování potom po několika týdnech stáhl, hrozba už nebyla tak evidentní, vlna útoků pominula. Což ovšem neznamená, že zdravotnickým zařízením nehrozí další nebezpečí. Tady v Česku máme největší problém, že je to velmi podfinancovaná část infrastruktury, nemocnice nemají tolik peněz, aby mohly kvalitně zabezpečit své systémy. Když jsem se mluvila třeba s kybernetickými manažery nemocnic, říkali mi, že vedení se rozhoduje, jestli koupí nové CT nebo nový firewall. Je jasné, že nemocnice si spíš vybere nějaké zdravotnické zařízení než IT zabezpečení.

Jaké byly ty loňské útoky? Zjistilo se, že měly všechny něco společného, ať už cíl, typ ukradených dat, metodu anebo třeba i pachatele?
Pachatel se nezjistil. U drtivé většiny těch útoků je to odloženo, protože se nepřijde na to, kdo útočil. Dá se zjistit, co to bylo za typ ransomwaru, co to bylo za skupinu. Ale tím to končí. Společné znaky ty útoky mají, že většinou ty útoky, které jsou známé, ten útočník útočil přes e-maily, zkoušel phishingy, spearphishingy, tedy že už je to cílenější kampaň. Ty e-maily často už bývaly psané lepší češtinou. Už to nebylo nic takového, jak jsme byli zvyklí před několika lety, že nám chodily všem do schránek e-maily, že jsme zdědili nějaké jmění a bylo to psané špatnou češtinou s chybami, tak teď už to takové není. Navíc ti hackeři umějí navázat na předchozí komunikaci v e-mailu. To znamená, že když si například účetní v nemocnici rozklikne nějaký e-mail, tak tam vidí, že se bavila s nějakou dodavatelskou firmou nebo jí někdo platí fakturu, je tam celá komunikace předtím. A najednou je tam nějaký odkaz, nebo si nevšimne, že se změnil nějaký detail v adrese odesílatele.

Takže už je to sofistikovanější?
Je to sofistikovanější. Zároveň v době koronaviru nemocnice byly zahlceny prací nebo pacienty, tak nebyl úplně čas všechno řešit. O to snazší bylo pro toho hackera zaútočit. Že se využívaly i e-maily, které v sobě obsahovaly něco s koronavirem, že tam byla třeba nejnovější data Světové zdravotnické organizace nebo nové způsoby léčby nebo něco takového, co třeba toho lékaře i zaujalo, a spíš na ten odkaz nebo na ten e-mail klikl.

Během toho roku jsi s některými představiteli různých nemocnic mluvila. Jak velký zásah ten hackerský útok pro zdravotnické zařízení znamená? Na jak dlouho dokáže nemocnici vyřadit z provozu?
Asi jeden z největších útoků, co v Česku vůbec byl, byl na Fakultní nemocnici v Brně loni v březnu, přesně když začínala vlna koronaviru. Tento útok nemocnici vyřadil na dva měsíce. Samozřejmě nějaké základní služby ta nemocnice zvládala, ale doteď není všechno obnoveno a ani se nepovede všechno obnovit. Ta nemocnice prostě navždy přišla o své vědecké výzkumy, o tzv. sharepoint, což je na intranetu nějaké úložiště, kam si celá ta nemocnice může dávat svá data. Ještě navíc škoda byla podle poskytnutých údajů nemocnice 150 milionů korun. Když jsem se pak dívala do nějakých dokumentů NÚKIBu, tak mluví dokonce o stovkách milionů korun. Když si dáme na misky vah, kolik stojí zabezpečení nemocnice a jaké jsou pak škody, tak je to násobně vyšší problém.

V poslední době samozřejmě bylo těch kybernetických útoků na nemocnice více.

A má NÚKIB v tuto chvíli k dispozici nějaká data, jejichž prostřednictvím by se dalo dovodit, jak vážný problém podobné útoky v českém prostředí znamenají?
NÚKIB nejmenuje organizace, které jsou zasažené kyberútokem. Z principu, když se veřejnost dozví o nějakém kyberútoku, třeba když nemocnici vypadnou služby, pacientům třeba ta nemocnice dá vědět, že nefunguje. To znamená, tímto způsobem se i ten incident dostane do médií, tak odpověď NÚKIBu bývá vždy: pracujeme na tom, nemůžeme potvrdit, na všechny informace se musíte ptát té nemocnice. Že neposkytují žádné informace. Oni poskytují souhrnné informace o tom, kolik bylo vážných incidentů, kolik bylo kyberútoků atd. Teď nově začali vydávat i statistiky, jaký typ útoků se v Česku objevoval, ale jsou to pouze instituce, které mají povinnost to NÚKIBu hlásit, což rozhodně nejsou všechny nemocnice. Letos přibylo nemocnic, které spadají pod kybernetický zákon. Původně tam bylo jen 16 největších, hlavně fakultní nemocnice. Od letošního roku přibylo asi dalších 30. Takže pod NÚKIB spadá necelá padesátka nemocnic. Tam se to liší počtem lůžek na výkony, které provádějí. A řešilo se to i regionalitou, aby vždy v nějakém regionu byla nemocnice, která by měla být lépe zabezpečena. Ale stále – těch nemocnic je třeba přes 300 a pouze 50 by mělo spadat pod kyberzákon. Ale samozřejmě když ta nemocnice spadá pod kyberzákon, ještě to neznamená, že bude dokonale zabezpečena. To určitě ne.

Přesná čísla napadených nemocnic nevíme. Zaprvé se to nezveřejňuje, zadruhé některé kyberútoky byly pouze ve stádiu pokusu, takže se ani nedostaly do médií a ta nemocnice se ubránila. Máme ale třeba data z ledna, že celosvětově stoupl počet kyberútoků na zdravotní zařízení o 45 % a ve střední Evropě o 145 %. Takže ten nárůst útoků pro nemocnice opravdu byl rapidní. Tato data zveřejnila IT firma Check Point, která je zaměřená právě na kyberbezpečnost.

Pro nemocnice je tedy často finančním problémem lépe zajistit a zabezpečit svoje servery. Dá se říct, že v tuto chvíli dělají sama ta zdravotnická zařízení dost pro to, aby se nestávala terčem hackerských útoků?
Problém v Česku je roztříštěnost zdravotnické sítě. Protože jen pár největších – hlavně fakultních – nemocnic spadá pod ministerstvo zdravotnictví. Většina nemocnic spadá pod kraje, jsou i městské nemocnice, pak jsou soukromé nemocnice. Takže je tam problém v tom, že ty nemocnice vždy patří někomu jinému. Kraje se snažily tu situaci zlepšit. Finance tam zatím moc nejsou, ale například zasáhly do kyberzákonu, kdy chtěli po NÚKIBu, aby pod ten kybernetický zákon spadalo více krajských nemocnic, než původně NÚKIB zamýšlel. Takže to byl třeba jeden krok. Vím, že město Brno se teď financovat městské nemocnice. Loni na to vyčlenili cca 24 milionů. Problém mají hlavně malé nemocnice, které na to nemají peníze, kapacity, nejsou schopny zaplatit odborníky. Tady vzniká pár projektů, kdy se například spojí několik menších nemocnic do většího komplexu a sdílejí si služby navzájem. To znamená, že by měli ušetřit za věci, které si mohou navzájem sdílet.

A to vlastně pořád ještě mluvíme o síti nemocnic, velkých a menších, a ještě jsme nedošli třeba k poliklinikám a menším zdravotnickým zařízením – což už je zpátky zase příběh Honzy Cibulky?
JC: Větších nemocnic se týká kyberzákon. Nicméně i menších zdravotnických zařízení, ale i třeba jednotlivých ordinací nebo obvoďáků se týká GDPR, které obecně říká, že dané zařízení nebo lékař je povinen s ohledem na citlivou povahu informací, které má o pacientovi, provést všechny vhodné technické kroky k tomu, aby data přiměřeně zabezpečil. Nicméně ani to nařízení nespecifikuje, jaké konkrétně by ty kroky měly být.

Dá se říct, kdo v tom tvém konkrétním případu pochybil?
Těžko říct, jak došlo k útoku. Samozřejmě si mohu něco myslet o dodavateli IT služeb, kterému opravdu útočníci zjevně probouchali celou infrastrukturou. To by se asi úplně stávat nemělo. Pak je druhá část samotného vyšetřování. Jak jsem byl na té policii, rozhodně to nevypadalo, že by se tam flákali, tam byl docela cvrkot, práce mají zjevně hodně. A toto je prostě poměrně náročná věc. I když se do toho opravdu položí, dál, než že by třeba zjistili jméno té kriminální skupiny, se moc nedostanou. A mít informaci, že to nejspíš byl kriminální gang z Ruska, policii k ničemu nepomůže. Protože stejně nemá koho obvinit, nezná jména těch lidí, nemůže po nich začít pátrat. Očekávat, že policie tam něco zásadního vyšetří, asi není úplně fér. Já si myslím, že tady je asi nejdůležitější funkce dozorového úřadu, což je Úřad pro ochranu osobních údajů. Je na něm, aby ten incident posoudil, případně alespoň nařídil, aby se pacienti dozvěděli, že k úniku došlo. Ve chvíli, kdy už k úniku dat dojde, když už je, jak se říká, pasta z tuby venku, tak už ji nikdo nenašťouchá zpátky. Ale alespoň by pacienti měli vědět, že k úniku došlo. Bohužel tady je problém, že na to je potřeba značná technická expertíza. A alespoň co vím, Úřad pro ochranu osobních údajů je primárně správní orgán, je plný právníků. Technického experta tam ale teď mají jednoho, a ještě ke všemu poměrně čerstvě. To znamená, že je otázka, zda takovým personálním vybavením toto vůbec budou schopni posoudit a jestli to budou stíhat, protože lze předpokládat, že těch útoků bude samozřejmě přibývat.

Nezmínili jsme tu jednu věc, co se může stát s daty, když nastane takto velký únik z nějakého zdravotnického zařízení, ale tato data jsou složena z dat jednotlivců? Jak mohou být zneužita?
JM: Přeprodávají se na darknetu, je to docela ceněné zboží. Myslím si, že zdravotnická dokumentace je dokonce dražší než záznamy z platebních karet. Pokud se ale na to díváme z pohledu jednotlivce, proč mně by mělo vadit, že moje zdravotní dokumentace je někde na internetu? Záleží samozřejmě, jak si každý cení svého soukromí. Na druhou stranu už existují i případy, kdy tato zdravotní dokumentace jednotlivců byla zneužita. Máme případ z Finska, kdy hackeři napadli psychiatrickou léčebnu a začali vydírat její pacienty. Už znali jejich diagnózu, věděli, čím trpí, a používali to proti nim. Začali je vydírat, chtít po nich peníze za to, že nezveřejní, že mají nějaký psychický problém.

Honzo, co z toho tvého případu pro podobné příběhy vyplývá? Dokáže se běžný člověk vůbec dobrat – když zjistí, že nějaká instituce, kde jsou jeho data, se stala terčem hackerského útoku – jestli konkrétně ta jeho byla zneužita a jestli se s nimi třeba neobchoduje na internetu? A pokud ano, dokáže s tím jednotlivec vůbec něco dělat?
JC: Já jsem tam šel na několika frontách. Bylo to poměrně právně náročné se někam probojovat. Nedá se si očekávat, že něco takového podnikne každý. Od toho, že je tu ale podle mě ten dohledový úřad, který má možnost zdravotnickému zařízení, nebo obecně té instituci, nařídit, aby rozumně informovala své pacienty nebo klienty a zároveň jim srozumitelným jazykem vysvětlila, co to pro ně znamená, k čemu se ta data dají zneužít a co mohou udělat. Těžko vyměníme své jméno nebo zdravotní anamnézu. Ale kupříkladu když tam uteče číslo kartičky pojištěnce, tak ta se vyměnit dá. Takže se dají udělat nějaké kroky, jak alespoň třeba minimalizovat škody, které ty uniklé informace mohou způsobit.