Incidenti kibernetičke sigurnosti u zdravstvu

Objavljeno od

Lekcija koju ne smijemo ignorirati

Kibernetički napadi na zdravstvene sustave više nisu rijetkost. Nisu ni „tehnički problemi“ koje će administratori riješiti zakrpom ili ponovnim pokretanjem servera. U zdravstvu, svaki prekid rada IT sustava može značiti odgođeni pregled, izgubljenu dijagnozu ili, u najgorem slučaju, ugrožen život.

Posljednjih godina incidenti u europskim bolnicama jasno su pokazali da zdravstvo spada među najatraktivnije mete kibernetičkih kriminalaca. Razlozi su očiti:

  • bolnice nemaju luksuz zaustaviti rad,
  • medicinski podaci su među najvrjednijim osobnim podacima, a
  • sigurnosni standardi često zaostaju u odnosu na sigurnost drugih jednako atraktivnih ciljeva napadača.

Zašto je zdravstvo ranjivo?

Moderni zdravstveni sustavi grade se desetljećima. Mnoge bolnice i dalje koriste aplikacije stare deset i više godina, bez podrške proizvođača i bez mogućnosti ugradnje suvremenih sigurnosnih mehanizama. Infrastruktura je krpana i nadograđivana, ali rijetko sustavno redizajnirana.

Pritom se u zdravstvu spajaju tri čimbenika rizika:

  1. osjetljivi podaci – medicinski nalazi, dijagnoze i osobna povijest bolesti;
  2. stalna potreba za dostupnošću – bolnica ne može „stati“ ni na sat vremena;
  3. mreža dobavljača i servisa – udaljeno održavanje, outsourcing i komunikacija preko vanjskih kanala.

Narod kaže da je lanac jak koliko i njegova najslabija karika. U zdravstvu, ta karika može biti jedno nezaštićeno računalo u ambulanti ili jedan zaposlenik koji ne prepoznaje lažni e-mail.

Incident u KBC Zagreb

U ljeto 2024., najveća hrvatska bolnica, KBC Zagreb, suočila se s ozbiljnim kibernetičkim incidentom [POVEZNICA: vijest]. Informatički sustavi našli su se izvan funkcije, a rad bolnice prebačen je u krizni režim. Naručivanje pregleda i laboratorijske obrade prešlo je na papir, a pacijenti su morali biti preusmjeravani u druge ustanove.

Posljedice incidenta pokazale su ono što stručnjaci godinama upozoravaju: u zdravstvu, IT incident nikada nije samo IT problem. On vrlo brzo postaje medicinski problem, a time i problem javnog zdravlja.

Slučaj KBC-a Zagreb otvorio je tri ključna pitanja:

  • kako procjenjujemo i upravljamo rizikom u zdravstvenom sustavu,
  • koliko su realno pripremljeni planovi kontinuiteta poslovanja,
  • i jesmo li spremni investirati u kibernetičku sigurnost zdravstva razmjerno opasnostima kojima je izloženo.

Primjeri iz regije i Europe

Hrvatska nije izolirani slučaj. Diljem Europe, bolnice su godinama na meti napadača.

  • Rumunjska (2024.) – više bolnica pogođeno ransomwareom, uz višednevne prekide rada i prelazak na ručne procedure [POVEZNICA].
  • Italija (2021.) – napad na regiju Lazio paralizirao je digitalne usluge, uključujući naručivanje na cijepljenje [POVEZNICA].
  • Češka (2020.) – Sveučilišna bolnica Brno otkazala je operacije i preusmjeravala pacijente zbog kompromitacije IT sustava [POVEZNICA].
  • Njemačka (2020.) – incident u Düsseldorfu uzdrmao je javnost jer je ukazao na moguće posljedice po živote pacijenata [POVEZNICA].

Svi ovi slučajevi imaju zajednički obrazac: prekid rada informacijskog sustava u zdravstvu izravno utječe na pacijente. U tvornici ili banci to znači financijsku štetu; u bolnici to može značiti izgubljeni život.

Tipični obrasci napada

Najčešći napadi u zdravstvu spadaju u tri kategorije:

  • ransomware – napadači šifriraju podatke i traže otkupninu za dekripciju;
  • napadi na dobavljački lanac – kompromitacija sustava partnera otvara put prema bolničkoj mreži;
  • curenje podataka – krađa osjetljivih medicinskih informacija koje se kasnije nude na crnom tržištu.

Posljedice se kreću od operativnih (prestanak rada laboratorija, radiologije, hitne pomoći), preko pravnih (kršenje GDPR-a i NIS2/ZKS-a), do reputacijskih (gubitak povjerenja pacijenata).

Regulatorni okvir

Europska unija već godinama prepoznaje zdravstvo kao sektor visokog rizika. GDPR posebno naglašava zaštitu zdravstvenih podataka, a NIS2 direktiva, odnosno u Hrvatskoj Zakon o kibernetičkoj sigurnosti, uvodi obvezu upravljanja rizicima i prijave incidenata za operatere ključnih usluga, među kojima su i bolnice.

No, pitanje je provedbe. Hrvatski zdravstveni sustav formalno je obuhvaćen regulativom, ali u praksi nedostaje stručnjaka i resursa. Incident u KBC Zagreb najbolja je ilustracija te praznine.

Put prema otpornosti

Što učiniti da se sličan scenarij ne ponovi?

  1. Procjena rizika i DPIA – sustavna analiza prijetnji i posljedica, ne samo tehničkih nego i medicinskih.
  2. Segmentacija mreže – odvajanje kritičnih sustava od uredskih računala i interneta.
  3. Sigurnosne kopije – backup koji napadač ne može šifrirati, redovito testiran povratkom u produkciju.
  4. Upravljanje ranjivostima – brzo zakrpavanje i mjerenje vremena od objave ranjivosti do implementacije zakrpe.
  5. Detekcija i odgovor – sustavi za rano otkrivanje napada, uz jasno definirane playbookove i redovite vježbe.
  6. Uprava i nadzorni odbori – izvještavanje o riziku u jeziku poslovnih posljedica, a ne tehničkih akronima.

Bez ovih elemenata, svaki novi incident mogao bi biti ozbiljniji od prethodnog.

Ulaganje u kibernetičku sigurnost je ulaganje u zdravlje i sigurnost građana

Zdravstvo je jedinstveni sektor u kojem digitalna sigurnost izravno postaje sigurnost života. Incident u KBC Zagreb nije izolirani slučaj nego upozorenje. Europski primjeri pokazuju da bolnice diljem kontinenta plaćaju istu cijenu – odgođene preglede, preusmjerene pacijente i trajno izgubljeno povjerenje.

Vrijeme je da kibernetičku sigurnost prestanemo promatrati kao tehnički trošak i shvatimo je kao ulaganje u zdravlje i sigurnost građana. Jer svaki ransomware napad na bolnicu nije samo „pitanje IT-a“ – to je pitanje života.