Kybernetická bezpečnosť nie je v zdravotníctve nadstavba, ale podmienka bezpečnej a plynulej starostlivosti. Digitalizácia priniesla efektivitu aj nové riziká, ktoré sa dotýkajú diagnostiky, liečby aj ochrany pacientskych údajov. Regulačné zmeny a európsky akčný plán pomôžu, no rozhodujúca je pripravenosť a otvorená komunikácia pri incidentoch.
Zdravotníctvo ako kritická súčasť digitálneho štátu
Väčšina procesov v nemocniciach dnes prebieha v kyberpriestore a závisí od prepojených informačných systémov a zariadení. Aj preto ostáva zdravotníctvo sektorom, na ktorý smeruje európska smernica NIS2, transponovaná do slovenského práva od roku 2025. Povinnosti sa budú týkať najmä nemocníc a významných dodávateľov, kým bežné ambulancie typicky nespadajú do režimu povinností.
Európska komisia zároveň ohlásila akčný plán kyberbezpečnosti pre zdravotníctvo s dôrazom na podporu a financovanie. Národný bezpečnostný úrad a SK‑CERT avizujú, že budú sektor priebežne informovať o možnostiach a odporúčaniach. Cieľ je jasný: systematicky posilniť odolnosť tam, kde dlhodobo chýbali kapacity aj investície.
Hrozby, ktoré vedia paralyzovať nemocnice
Najviditeľnejšou hrozbou je ransomware, často spojený s dvojitým vydieraním: zašifrovaním systémov a hrozbou zverejnenia citlivých dát. Následkom môže byť ochromenie nemocnice či jej dodávateľov, napríklad laboratórií, a reťazový dopad na celú starostlivosť. Útočníci sa dovnútra často dostanú cez phishing, ktorý je čoraz presvedčivejší aj vďaka nástrojom umelej inteligencie.
Slabinami bývajú neaktualizované systémy, chýbajúci patch management a nedostatočná segmentácia sietí. Podceňuje sa aj bezpečnosť pripojených zdravotníckych technológií a senzorov, ktoré môžu byť vstupnou bránou do siete. Komplexnosť zvyšuje fakt, že zdravotníctvo pracuje so systémami pre diagnostiku a liečbu aj s obzvlášť citlivými pacientskymi údajmi, ktoré si vyžadujú primerané opatrenia vrátane šifrovania.
Keď príde incident: rozpoznať, nahlásiť, poučiť sa
Základom je vedieť incident včas odhaliť – teda aktívne monitorovať dianie v nemocničných IT systémoch. Prevádzkovatelia majú povinnosť nahlásiť vážny kybernetický incident do 24 hodín a komunikovať so SK‑CERT; ešte dôležitejšia je však včasná výstraha kolegom v sektore, aby sa predišlo reťazeniu útoku. Najhorší scenár je, keď sa o incidente svet dozvie až z médií a bez možnosti rýchlej koordinácie obrany.
Odborníci zdôrazňujú transparentnosť: incident nie je hanba, ale príležitosť na poučenie pre celý sektor. Popri súlade so zákonom pomáha „outside‑in“ pohľad na vlastnú bezpečnosť, pravidelné testovanie, segmentácia sietí, patchovanie, zálohy, školenia a šifrovanie citlivých dát. Digitalizácia bude napredovať – ak k nej „prilepíme“ bezpečnosť a prevenciu, zvýšime bezpečie pacientov aj istotu zdravotníckeho personálu.
