Proč jsou nemocnice pro hackery atraktivní cíl
Nemocnice spojují několik vlastností, které z nich dělají velmi lákavý cíl pro kyberzločince. Mají vysokou závislost na dostupnosti systémů, pracují s citlivými osobními a zdravotními údaji a často provozují rozsáhlou síť starších zařízení, která nelze snadno vypnout ani aktualizovat. Právě tato kombinace vytváří tlak na rychlé rozhodnutí, které útočníci využívají při vydírání.
V praxi útočníci nejčastěji sázejí na ransomware. Cílem není jen zašifrovat data, ale také vytvořit co největší provozní chaos. Pokud nemocnice nemá okamžitý přístup k laboratorním výsledkům, objednávkám, dokumentaci nebo radiologickým systémům, dopad se projeví během hodin. V takové situaci se výkupné neřeší jako technický problém, ale jako krizové rozhodnutí vedení, právníků, IT a často i kraje nebo ministerstva.
Podle veřejně dostupných zpráv a incidentů z posledních let se v Evropě i Česku opakuje stejný vzorec: útok začne phishingem, slabým heslem, zranitelnou vzdálenou správou nebo kompromitovaným účtem dodavatele. Následně útočníci mapují síť, vypínají zálohy a teprve poté spustí šifrování. To je důvod, proč je ochrana nemocnic otázkou nejen antiviru, ale především segmentace sítě, správy identit a kvalitních offline záloh.
Jak typický útok na nemocnici probíhá krok za krokem
Útoky na nemocniční prostředí se obvykle neodehrají v jednom okamžiku. Útočník se nejprve dostane dovnitř a několik dní až týdnů zkoumá infrastrukturu. Sleduje, kde běží servery, jaké jsou zálohy, kdo má administrátorská práva a jaké systémy jsou pro provoz nejkritičtější. Právě tato fáze bývá pro obranu rozhodující, protože včasné odhalení může útok zastavit ještě před šifrováním.
- Prvotní průnik: phishingový e-mail, zneužití VPN, RDP nebo zranitelné aplikace.
- Postup v síti: získání vyšších práv, přístup k doméně, sběr přihlašovacích údajů.
- Průzkum a příprava: hledání záloh, klíčových serverů a systémů s největším dopadem.
- Exfiltrace dat: odcizení dokumentace, aby útočníci mohli hrozit zveřejněním.
- Šifrování: odstavení provozních systémů a výzva k platbě.
V nemocnicích je problém i to, že IT prostředí bývá heterogenní. Vedle moderních serverů běží staré Windows stanice, specializované zdravotnické přístroje a různé aplikace od více dodavatelů. Každý další systém znamená další potenciální slabé místo. Pokud navíc není síť dobře oddělena, může se malware šířit z běžné kancelářské stanice až k systémům, které řídí provoz nebo archivaci dat.
Právě v této fázi často přichází první kontakt útočníků. Na dark webu nebo přes anonymní komunikační kanály zveřejní, že mají data, a přiloží důkaz v podobě ukázky interních dokumentů. Tím zvyšují tlak na vyjednávání a snaží se vynutit rychlou reakci vedení nemocnice.
Co je známo o českých případech a proč se o vyjednávání mluví jen omezeně
V České republice se v minulých letech objevily incidenty, které postihly zdravotnická zařízení nebo jejich dodavatele. Veřejnost se o nich často dozví jen v omezené míře, protože nemocnice řeší nejen obnovu provozu, ale i ochranu pacientských dat, interní vyšetřování a povinnosti vůči dozorovým orgánům. Přímé detaily o vyjednávání o výkupném bývají zpravidla neveřejné, a to z několika důvodů: bezpečnost, reputace, právní rizika a obava, že zveřejněné informace pomohou dalším útočníkům.
Obecně ale platí, že české nemocnice postupují podobně jako instituce v zahraničí: po zjištění incidentu se aktivuje krizový štáb, přizvou se forenzní specialisté, právníci, zástupci zřizovatele a někdy i specialisté na pojištění kybernetických rizik. Součástí řešení je také hlášení incidentu Úřadu pro ochranu osobních údajů, případně Národnímu úřadu pro kybernetickou a informační bezpečnost, pokud jde o subjekt spadající do regulace.
Ve veřejně známých případech se obvykle neuvádí, zda bylo výkupné zaplaceno. To je důležité: mnoho organizací volí strategii, že s útočníky vyjednává, ale platbu nakonec neprovede. Důvodem bývá dostupnost záloh, právní stanoviska, sankční rizika nebo to, že zaplacení nezaručuje návrat dat. I po zaplacení může útočník poslat nefunkční klíč, nebo data zveřejnit později.
Praktická zkušenost z podobných incidentů ukazuje, že největší škodu často nezpůsobí samotná platba, ale odstávka provozu. Odložené operace, přesměrování pacientů, ruční vedení dokumentace a výpadky laboratoří mají okamžitý dopad na chod nemocnice. Z hlediska řízení rizik je proto klíčové, aby měla instituce připravený plán obnovy s jasně určenými prioritami: co musí fungovat do 1 hodiny, do 4 hodin a do 24 hodin.
Jak probíhá vyjednávání o výkupné v praxi
Vyjednávání o výkupném není improvizace, ale řízený proces. Vedení nemocnice se obvykle nejprve snaží zjistit rozsah kompromitace: zda jde jen o šifrování, nebo i o únik dat. Teprve poté se rozhoduje, zda s útočníky komunikovat. Většinou vstupuje do hry specializovaná firma pro incident response nebo krizoví vyjednavači, kteří mají zkušenost s ransomwarem a znají taktiku jednotlivých gangů.
Útočníci běžně používají časový tlak. Stanoví lhůtu 48 až 72 hodin, po jejímž uplynutí údajně zvyšují cenu, zveřejňují data nebo smažou dešifrovací klíč. Ve skutečnosti jde často o psychologický nástroj. Vyjednavači proto pracují s několika cíli: získat čas na obnovu ze záloh, ověřit data a zjistit, zda útočník skutečně vlastní dešifrovací nástroj.
- První kontakt: obvykle přes chat na dark webu nebo šifrovaný e-mail.
- Požadavek: částka může být v řádu desítek tisíc až milionů eur podle velikosti zařízení.
- Argumentace: útočník předkládá vzorek ukradených dat nebo ukázku šifrovaných souborů.
- Test dešifrování: někdy nabídne jeden soubor zdarma jako „důkaz“, že klíč funguje.
- Vyjednávací taktika: snižování ceny, prodlužování času, odklon od emocí k faktům.
Odborníci doporučují nekomunikovat bez evidence. Každá zpráva musí být archivována, protože může posloužit policii, pojišťovně i forenzní analýze. Zároveň je nutné počítat s tím, že útočník může lhát o rozsahu úniku. Proto se porovnávají logy, síťová telemetrie, data z EDR nástrojů a záznamy o přístupu k serverům.
Rozhodnutí zaplatit nebo nezaplatit je vždy kombinací techniky, práva a provozního dopadu. Pokud má nemocnice kvalitní zálohy a rychlou obnovu, bývá strategicky výhodnější neplatit. Pokud jsou ale zasaženy systémy, které nelze rychle obnovit, dostává se vedení do velmi těžké situace, kde hraje roli i kontinuita péče o pacienty.
Jaké nástroje a postupy dnes nemocnice skutečně potřebují
Prevence je levnější než řešení následků. Nemocnice, které investují do základních ochranných opatření, výrazně snižují pravděpodobnost, že se stanou dalším příběhem o vyjednávání s ransomwarem. Nejde o exotické technologie, ale o důsledně zavedené procesy a jejich pravidelné testování.
- 3-2-1 zálohování: tři kopie dat, na dvou médiích, jedna offline nebo immutable.
- MFA všude: zejména pro e-mail, VPN, administraci a vzdálený přístup dodavatelů.
- Segmentace sítě: oddělení klinických systémů, kancelářské IT a technologií budovy.
- EDR/XDR: nástroje pro detekci podezřelého chování na koncových stanicích a serverech.
- Patch management: pravidelné aktualizace s prioritou na internetově dostupné služby.
- Test obnovy: minimálně jednou za čtvrtletí zkusit obnovit kritický systém ze zálohy.
Velmi důležitá je také správa dodavatelů. Do nemocniční sítě se útočník často dostane přes třetí stranu, která má slabší zabezpečení. Smlouvy by proto měly obsahovat povinnost MFA, hlášení incidentů, minimální bezpečnostní standardy a jasně definovaný režim vzdálené správy. Každý externí přístup bez kontroly je potenciální vstupní brána.
Pro vedení nemocnice je užitečné mít předem připravený playbook. Ten by měl obsahovat kontakty na forenzní firmu, právníka, pojišťovnu, zřizovatele, policii i krizovou komunikaci. Zkušenost ukazuje, že první hodiny rozhodují o tom, zda bude incident zvládnutý za několik dní, nebo se přetaví do týdnů chaosu. V prostředí zdravotnictví je navíc nutné myslet i na papírové náhradní procesy, záložní komunikační kanály a manuální režim provozu.
Co si z těchto útoků odnést do praxe
Příběhy útoků na nemocnice ukazují, že kybernetická bezpečnost není jen otázkou IT oddělení. Jde o provozní a manažerské téma, které přímo ovlivňuje péči o pacienty. Jakmile útočník získá přístup do citlivých systémů, přechází problém z technické roviny do krizového řízení, kde se rozhoduje pod tlakem hodin a dní.
Nejlepší obrana stojí na několika pilířích: rychlá detekce, oddělené sítě, kvalitní zálohy, silná identita, proškolení personálu a připravený plán obnovy. Pokud nemocnice tyto věci nemá, stává se vyjednávání o výkupném spíše pokusem minimalizovat škody než skutečnou strategií. A právě proto je důležité, aby se bezpečnost neřešila až po útoku, ale dlouho před ním.
V českém prostředí bude tlak na kybernetickou odolnost zdravotnictví dál růst. Útočníci vědí, že nemocnice nemohou dlouho stát. Pro vedení i IT týmy z toho plyne jedno praktické pravidlo: čím lépe připravené zálohy, procesy a komunikace, tím menší šance, že se z incidentu stane mediálně známý případ s požadavkem na výkupné.
