Česká zdravotnická zařízení a organizace zažívají rostoucí vlny kybernetických útoků. Jejich manageři se vedle usilovného organizování záchranných prací a technické pomoci často dotazují pojistitelů a makléřů na možnosti pojištění kybernetických rizik. Pochopitelně tím chtějí kompenzovat jak vzniklé škody, tak i část vynakládaných nákladů. Je proto třeba, aby pochopili podmínky pro výběr pojištění a hodnocení pojistných podmínek a aby si zajistili odpovídající krytí nových technologických rizik.
České zdravotnictví je v hledáčku hackerů dlouhodobě. Ti si z něj v posledních měsících přitom udělali jeden z hlavních terčů. Zejména při nástupu pandemie se jejich amorální útoky na zdravotnické organizace zvyšovaly jak v sofistikovanosti, tak v zákeřnosti. Cílená napadení se proměnila ze zřejmých ransomware útoků na další hůře rozeznatelné útoky, které se maskovaly v pozadí.
Jak hackeři zvyšovali svoje záškodnické úsilí, náklady na nápravu škod a zvýšení kybernetické bezpečnosti doslova explodovaly. Těmi nejčastějšími náklady, které při nápravě škod vznikají, jsou ztráty produktivity, poškození reputace a celkové narušení dostupnosti zdravotních služeb. V krajním případě hrozí i poškození zdraví a života pacientů. A dnes už víme, že celkové finanční náklady na nápravu kybernetického útoku na jedno zdravotnické zařízení se mohou i v Česku vyšplhat téměř k 60 milionům korun.
Především kvůli těmto nákladům a dalším rizikům se manageři řady zdravotnických organizací v Česku stále častěji obrací na pojišťovny či pojišťovací makléře s dotazy ohledně pojištění kybernetických rizik. Jejich zřejmou hlavní motivací je vyšší ochrana dat a zvýšení finanční odolnosti před neplánovanými náklady spojenými s nápravou dopadů při narušením důvěrnosti, integrity a dostupnosti dat.
Běžně dostupná pojištění kybernetických rizik dnes klientům zpravidla kryjí přímé finanční škody jako jsou výpadky cashflow při výpadku systémů a následném přerušení provozu, práce na obnově poškozených dat a obnově jejich zabezpečení, práce na technické nápravě poškozené sítě nebo infrastruktury, výkupné, pokuty nebo právní služby. Dále odpovědnosti za škody na datech třetí strany, odpovědnosti za uveřejnění obsahu třetí strany apod.
Ve specifickém prostředí zdravotnictví by pojištění zpravidla mělo krýt i finanční škody vzniklé při ztrátě, úniku, nesprávném sdílení, krádeži nebo i zamezením přístupu k datům a údajům o pacientech.
Jako při výběru ostatních pojištění, i zde je třeba přistupovat uvážlivě. Ne všichni pojistitelé a jejich pojistné podmínky jsou totiž dostatečné. A protože ve srovnání s běžnějšími zavedenými pojistnými produkty je pojištění kybernetických rizik relativně nové, existuje zde poměrně mnoho „šedých zón“.
Nabídky pojišťoven a makléřů se opravdu budou odlišovat v rozsahu krytí a limitech, v požadavcích na hodnocení rizik a v pojistných podmínkách. Běžně se manageři mohou domnívat, že je pojistné krytí jejich kybernetických rizik dostatečně ochrání. Ve finále při uplatňování nároků na plnění pojištění pak ke svému údivu zjistí, že tomu tak není. A protože oblast zdravotnictví je specifická v tom, že je zde riziko vzniku pojistné události trvale poměrně vysoké, je opravdu zásadní porozumět a propojit možnosti pojišťoven s jejich pojištěním spolu s potřebami pojišťované zdravotnické organizace. Na poskytovateli zdravotní péče především je, aby si v rámci domácích úkolů zpracoval, která nabídka pojištění mu opravdu pomůže, pokud se dostane do neúprosného soukolí kybernetického incidentu.
Jak jsme na tom v ČR?
Pro připomenutí v minulém roce hackeři napadli zhruba pětinu českých nemocnic. Od začátku letošního roku hackeři napadli Fakultní nemocnici v Brně a nedávno Psychiatrickou nemocnici v Kosmonosech. Před dvěma lety zaútočili na plicní nemocnici v Janově a do závažné situace se koncem roku dostala Benešovská nemocnice, kterou 11.12.2019 napadl ruský vyděračský virus Ryuk. Během útoku došlo k výraznému zpomalení ICT systémů, útočníkům se podařilo prolomit přístupy administrátorů a byla zašifrována veškerá data. Útok přitom nebyl cílen jen na benešovskou nemocnici. Podobně byla před koncem roku napadena i uhelná společnost OKD.
Provoz Nemocnice Rudolfa a Stefanie v Benešově byl po dobu téměř tří týdnů paralyzován, všechny akutní i plánované operace byly na konci roku 2019 zrušeny, nefungoval ambulantní provoz a byla poskytována péče pouze těm pacientům, kteří byli již hospitalizováni. Nejtěžší pacienti byli přeloženi do jiných nemocnic. Nemocnice přišla o internetový objednávkový systém u dárců krve. Ztratila se také některá administrativní a ekonomická data. Celkové škody se oficiálně vyšplhaly na 59 milionů Kč. Neoficiálně se přitom mluví až o 70 milionech Kč. Středočeský kraj, který je jediným akcionářem, dal nemocnici již v lednu na překonání vzniklé ztráty 30 milionů korun.
Na škodách se nejvíce podílely ztráty v souvislosti s omezením lékařských výkonů. Nemocnice nedostala proplacené finanční prostředky od zdravotních pojišťoven na původně plánovaná vyšetření, zákroky a operace. Denní výkony v Benešovské nemocnici generují totiž úhrady dosahující 3 milionů Kč. Platit musela i za pomoc externích odborníků, přeinstalování serverů a další technické práce. Investovat se pak rozhodla do nového firewallu za dva miliony korun.
Pojištění proti zákeřnému ransomwaru
Útok vyděračů a tzv. „únos dat“ prostřednictvím ransomwaru je dnes velmi častým kybernetickým incidentem ve zdravotnictví. Za příslib poskytnutí přístupového klíče k zašifrovaným datům požadují vyděrači platbu výkupného. Prakticky po útoku dochází k zašifrování dat v informačních systémech neznámou šifrou a tím pádem k omezení dostupnosti dat, k výpadkům služeb a v krajním případě k zastavení činnosti napadené zdravotnické organizace. Nastává tak ukázkové přerušení provozu z důvodu kybernetického incidentu.
Pro vyděračské útoky ransomwarem by pojištění kybernetických rizik tedy mělo zahrnovat krytí finančních škod, do kterých spadá platba výkupného, náklady na vyjednávače, odborníky na kryptování, forenziku a další. Poskytovatelé zdravotní péče musí být při sjednávání podmínek ale obezřetní, aby byla v pojistné smlouvě obsažena jednoznačně správná právní formulace. Některé pojistné produkty totiž jakékoliv náhrady škod po útocích ransomwarem z pojistných podmínek vylučují. A řada pojišťoven právě platbu výkupného odmítá i z etických důvodů.
Pojištění by mělo zahrnovat vedle krytí vlastních škod i odpovědnosti za škody způsobené třetím stranám v důsledku napadení ransomwarem. Pojistné krytí tak nebude omezeno jen na samotnou zdravotnickou organizaci, ale rozšíří se i na nárokující subjekty, na které omezená činnost organizace v případě kybernetického incidentu dopadá. Což bývají hlavně pacienti, o jejichž osobní údaje a informace o zdravotním stavu se při kybernetických událostech jedná v první řadě.
Proč zdravotnické organizace potřebují pojištění kybernetických rizik?
Tak jak hackeři kybernetickými útoky stále více a intenzivněji dotírají na české zdravotnictví, bude také stoupat počet soudních sporů mezi zdravotnickými organizacemi a pacienty vyplývajících z narušení důvěrnosti, integrity a dostupnosti dat. A i když nakrásně nejsou osobní údaje nijak narušeny, organizace může být žalována i za to, když kybernetický útok ovlivnil její schopnost poskytovat řádnou péči o pacienty.
V zahraničí na toto téma již probíhá několik soudních případů, kdy je zpracovatel zdravotnických údajů právě žalován za to, že dostupnost k údajům pacientů byla omezena. Poškození argumentují mimo jiné tím, že systémy poskytovatele nebyly dostatečně auditovány a následně zabezpečeny.
Smlouvy k pojištění kybernetických rizik by měly obsahovat krytí nákladů na vyšetřování samotné pojistné události. Dále také náklady na informování o narušení bezpečnosti dat zasaženým pacientům a také náklady na povinné oznámení regulačním úřadům včetně plateb za příslušné právní služby.
Efektivní kybernetická pojistka by dále měla zahrnovat PR služby pro nápravu dobré pověsti. „Úspěšný“ kybernetický útok může totiž způsobit poměrně vážné poškození dobrého jména zdravotnické organizace. Schválně, jaké jméno české nemocnice vás v souvislosti s nedávným kybernetickým útokem napadne jako první.
Pojištění by také mělo krýt služby jako je krizové řízení a případně i monitoring uniklých dat. A rovněž doporučujeme zakoupit dodatečná krytí, která zahrnují náklady na opravu nebo výměnu systémů, které byly kybernetickým útokem poškozeny.
Hackeři se tedy cíleně zaměřují na zdravotnická zařízení a hledají nové způsoby, jak se dostat do jejich sítí, technického zařízení a přístrojů. Tak mohou z dopadů úspěšných kybernetických útoků vyplynout pro zdravotnické zařízení nesprávné postupy ošetření pacientů včetně dalších právních problémů. Tato realita dokazuje, že riziko bezpečnostních incidentů se neustále rozšiřuje od ztráty dat k ohrožení zdraví a života pacientů.
Jak připravit zdravotnickou organizaci pro úspěšný úpis
Proces úpisu pojištění kybernetických rizik začíná úvodním posouzením, jaké má zdravotnické organizace schopnosti k zajištění potřebné bezpečnosti dat a zdravotních údajů pacientů. Je tedy třeba zpracovat kompletní analýzu kybernetických rizik pěkně od shora dolů. Nejdůležitější je přitom hodnocení kritických procesů, které jsou páteří činnosti organizace. A je třeba dbát na to, aby v rámci těchto procesů byla hodnocena i úroveň bezpečnosti hlavních a podpůrných aktiv, uživatelů a také dodavatelů.
Ostatně schopnost řádně sledovat rizika, včetně jejich důkladné analýzy, je důležitou součástí přístupu zdravotnických organizací k reálnému zabezpečení dat. Analýzy rizik nejsou jen součástí požadavku administrativní ochrany, mohou totiž také prakticky pomoci zdravotnickým subjektům analyzovat potenciální rizika a určit, kde by mohly být osobní údaje a související informace o zdravotním stavu zranitelné.
Je proto logické, že do hodnocení rizik v organizaci je třeba zapojit interní klíčové lidi, kteří mají kritické procesy organizace doslova pod kůží. Patří sem zejména vedoucí pracovníci v oblasti léčebné péče, financí, práva, IT nebo bezpečnosti a další.
S podporou těchto zúčastněných stran projde organizace procesem hodnocení, který se zaměří jak na kritické postupy z pohledu zpracování dat, osobních údajů a zdravotních záznamů pacientů. Klíčový bývá počet pacientů, typ a množství údajů, které jsou zpracovány. Pro zdravotní organizaci je to velmi dobrou příležitostí k revizi zavedených stávajících opatření kybernetické bezpečnosti.
Pojištění jako součást kybernetické bezpečnosti dle zavedených standardů
Výsledné vyhodnocení analýzy rizik, bezpečnosti a schopnosti kybernetickou událost překonat poslouží jednak odpovědným manažerům zdravotnického zařízení k rozhodnutí, jakou část rizik ošetří v rámci vlastních opatření a jakou část rizik mohou přenést na pojistitele. Transfer rizika na pojistitele je přeci jednou ze strategií, jak se lze s riziky vypořádat. A makléři dále pomůže k tomu, aby ve spolupráci s pojišťovnou navrhl pro klienta rozsah potřebného krytí v jednotlivých oblastech poptávaného pojištění kybernetických rizik.
Záměrem je, aby zúčastněné strany dokázaly poskytnout ucelené informace o tom, jaká data v organizaci tečou a jak se bezpečnostní potřeby a praktiky promítají do skutečné ochrany dat pacientů. Manageři IT a bezpečnosti by určitě měli mít detailní přehled, kde a jaká data se v organizaci zpracují, ukládají a kdo k nim má přístup. Což bude mít bezesporu dopad na to, jaké pojistné krytí bude poskytnuto.
Zdravotnické organizace musí bezpečnostní opatření nejen implementovat, ale také musí zajistit kontinuální výkon procesu řízení bezpečnosti, přiřazení odpovědnosti za reálnou bezpečnost, nebo zajistili proškolení uživatelů včetně vyhodnocení úspěšnosti. A veškerá rozhodnutí a následné aktivity v oblasti bezpečnosti musí být řádně zdokumentovány.
V důsledku toho musí organizace rovněž posoudit své plány reakcí (Business continuity/ Disaster recovery) na kybernetické incidenty, postupy obnovy provozu po havárii, využívané bezpečnostní nástroje, postupy oprav a další procesy, aby zajistily, že jejich celkový program zabezpečení a obnovy provozu odpovídá požadovaným standardům. A my doporučujeme, aby toto posouzení rizik šlo ještě nad rámec kontroly shody s bezpečnostními standardy. Právě plány pro zajištění provozu (Business kontinuity) jsou pro zajištění potřebného pojistného krytí u valné části pojišťoven poměrně zásadní. Takové komplexní hodnocení bezpečnostních opatření často pro pojistitele provádí forenzní tým třetí strany.
Jak na výběr pojistitelů v oblasti pojištění kybernetických rizik
Pokud se tedy zdravotnická organizace rozhodne pro uzavření pojištění kybernetických rizik, bude hlavním úkolem nalézt takovou pojišťovnu či makléře, kteří s ní budou schopni spolupracovat.
Pro tuto fázi si dovolíme předložit několik rad a doporučení:
- Doporučujeme vyhledat pojistitele či pojišťovacího makléře s reálnými referencemi a případně členstvím v ČAP nebo v AČPM. Tyto organizace jsou českými asociacemi, které zajišťují výkon standardů pro fungování českého pojistného trhu.
- Zaměřte se na výběr pojistitele či makléře, který jedná otevřeně a čestně ohledně smluvních podmínek. Bude transparentně spolupracovat s vaší organizací na zavedení politik, kterými zesílíte vaše bezpečnostní opatření. Pojistitel by měl umět nabídnout a vyargumentovat také přiměřenou cenu která je porovnatelná s náklady za opatření k zajištění potřebných politik kybernetické bezpečnosti. Zároveň pomůže k rozhodnutí, která z bezpečnostních politik je pro potřeby organizace vhodná.
- Pojistitel vám v úvodu poskytne dotazník, který mu po vyplnění má poskytnout přehled o současném stavu, systému řízení bezpečnosti, bezpečnostních nástrojích a politikách. Je proto velmi důležité, aby tento proces byl proveden opravdu pečlivě a přesně. Nedodržení správnosti údajů uvedených v dotazníku by totiž mohlo vést k odmítnutí případného pojistného nároku.
- Věnujte dostatek času na setkání s pojišťovnou či makléřem, aby byly prodiskutovány jakékoli otázky, které mohou mít vliv na přesnost prohlášení. Pokud vaše organizace zdokumentuje, že existují určitá bezpečnostní opatření, která jsou ale ve skutečnosti zastaralá a nedostatečná, lze očekávat, že požadavek na náhradu škody vzniklé při pojistné události bude zamítnut.
- Transparentnost je pro poskytnutí pojistného krytí opravdu zásadní. Klíčem je důkladné posouzení rizik provedené před nákupem pojištění. Součástí takového posouzení rizik a bezpečnostní politiky zdravotní organizace je:
- Zhodnocení pravděpodobnosti a dopadů potenciálních rizik na osobní údaje a informace o zdravotním stavu pacientů
- Návrh vhodných bezpečnostních opatření k řešení rizik zjištěných v analýze rizik
- Zdokumentování zvolených bezpečnostních opatření a zdůvodnění přijetí těchto opatření
- Soupis postupů pro trvalé udržení a zlepšování bezpečnosti.
- Dokumentovány by měly být také jakékoli změny bezpečnostních politik, jako je například nasazení nového bezpečnostního nástroje nebo problémy s opravou zjištěné zranitelnosti.
Takto zdokumentované úsilí o zajištění bezpečnosti poskytuje upisovateli jasnou argumentaci, že bezpečnostní politika organizace je dostatečně zdravá.
- Nabízené služby pojistitele si opravdu ověřte. Neváhejte se optat, jak jiní klienti vybírali a zda si vybrali správného pojistitele. Pojišťovna a makléř se zkušenostmi ze zdravotnictví je ideální. Pojistitel by měl rozumět obtížné povaze kybernetické bezpečnosti a měl by mít dostatečný přehled o specifických potřebách zdravotní péče.
- A konečně, musíte mít skutečně jistotu, na co se pojištění v případě narušení bezpečnosti vztahuje. Poskytovatelé pojištění i klienti často pospíchají s uzavřením pojistné smlouvy a zaměřují se přitom výhradně na náklady. V závěru ale obou stranám může uniknout, co je pojištěním kryto a co nikoliv. Vaše pojistka určitě nebude levná, a proto se nespoléhejte jen na sliby. Nechte právníky pečlivě posoudit předložené smlouvy a pojistné podmínky, abyste měli zajištěno, že přesně ta správná data, systémy a procesy jsou při porušení bezpečnosti dostatečně kryty.
- V případě pojistné události bude poskytovatel pojištění pravděpodobně spolupracovat s externím likvidátorem - zejména co se týká vyšetřování příčin a dopadů kybernetického incidentu. Ověřte si, jak poskytovatel bude v případě pojistné události opravdu postupovat. Kdo všechno bude v procesu likvidace zapojen a s kým budete vlastně muset sdílet informace včetně dat a zdravotních údajů vašich pacientů. Někteří manageři IT chybují, když předpokládají, že budou případný kybernetický incident, který vede k pojistné události, sami vyšetřovat. U pojištění kybernetických rizik však naprostá většina smluv zahrnuje použití externího forenzního týmu upřednostňovaného pojistitelem či makléřem.
- Podobně jako náklady na analýzy kybernetických rizik nebo na údržbu IT infrastruktury tak i náklady na pořízení pojištění kybernetických rizik zahrňte jako součást plánu investic do vaší kybernetické bezpečnosti.
Žádná zdravotnická organizace si dnes nemůže být stoprocentně jistá, že je před hackery a jinými kybernetickými hrozbami dostatečně chráněna. Digitalizace zdravotnictví také neúprosně pokračuje a zranitelnosti valem přibývají. A i když pojištění kybernetických rizik není kouzelným řešením zaměřeným na ochranu financí a reputace, správně vybraný kybernetický makléř a smluvené pojistné podmínky mohou poskytnout účinnou část obrany před finančními ztrátami spojenými s narušením důvěrnosti, integrity a dostupnosti dat a jinými bezpečnostními událostmi.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Daniel Konečný, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.