Nejprve začaly vypadávat klíčové IT systémy. Byly dvě hodiny ráno 13. března 2020, den po vyhlášení nouzového stavu kvůli šíření koronaviru. Na Fakultní nemocnici v Brně zaútočil vyděračský virus. Vedení nařídilo vypnout všechny počítače, odložit plánované operace a musel přijet krizový IT manažer z Všeobecné fakultní nemocnice v Praze. Akutní péči však brněnský špitál ubránil.
Po více než dvou letech od největšího kybernetického incidentu v tuzemském zdravotnictví rozřešení ze strany policie nepřišlo. Původce útoku se snažili vypátrat specialisté ze sekce kybernetické kriminality Národní centrály proti organizovanému zločinu. Podle zjištění Aktuálně.cz však útočníka neodhalili.
"Mohu potvrdit, že věc byla policejním orgánem odložena. Dozorový státní zástupce se po přezkoumání usnesení a spisového materiálu se závěry policejního orgánu zcela ztotožnil," řekl Aktuálně.cz žalobce Marek Vagai z Městského státního zastupitelství v Brně, jež prověřování dozorovalo. Státní zástupce dal razítko na závěr NCOZ tento měsíc.
"Stojíme proti profesionálním skupinám"
Odložení kauzy neznamená, že by elitní policejní útvar nezjistil vůbec nic. Prověřování bylo důkladné. Zahrnovalo i pomoc od partnerů z evropského kriminalistického prostředí. Vyšetřovatelé objasnili výraznou většinu okolností, které útok provázely. Nepodařilo se ale zajistit dostatek důkazů, aby mohli obvinit konkrétního pachatele.
"Stojíme proti profesionálním skupinám, které se umí v prostředí internetu anonymizovat a zastřít svůj původ, útočí přes řadu zemí a používají nejmodernější techniku. Na skutečného pachatele si sáhneme málokdy," sdělil redakci v obecné rovině k problematice kyberkriminality ředitel NCOZ Jiří Mazánek.
Jeho lidé prověřovali útok pro podezření z vydírání, obecného ohrožení a neoprávněného přístupu k počítačovému systému. Fakultní nemocnice v Brně je po pražském Motole druhá největší v Česku, ročně ošetří milion pacientů. Péči zajišťuje nejen pro obyvatele Brna a Jihomoravského kraje, ale i pro pacienty z Vysočiny, Zlínského a Olomouckého kraje.
Jak už Aktuálně.cz dříve upozornilo, útočník pronikl do IT systému nemocnice prostřednictvím kryptoviru Defray. Poslal ho prostřednictvím e-mailu, jenž se tvářil jako napsaný od někoho dobře známého. Proto ho kdosi v nemocnici otevřel. Virus obratem zašifroval klíčová data, za jejichž odblokování žádal hacker výkupné. Jeho výše není jasná.
Škoda za 150 milionů korun
Útok po sobě nechal zdecimovanou IT infrastrukturu nemocnice. Přišla o spoustu organizačních dat, smluv či vědeckých podkladů. Typickou vlastností viru Defray je také to, že ničí zálohovaná data. "Předběžně vyčíslená škoda činí 150 milionů korun," řekl před časem Aktuálně.cz mluvčí brněnských krajských žalobců Hynek Olma.
Na druhou stranu nemocnice zachránila složky s dokumentací pacientů, radiologická a laboratorní data. Centrální počítačový systém jel ještě dva měsíce po útoku v provizorním režimu. Vedení ho muselo nechat restartovat, aby bylo možné zprovoznit intranet a elektronickou poštu. Ještě více než rok po incidentu se čistily systémy využívané třeba laboratorní technikou.
"Například po vyšetření cévní mozkové příhody na angiografu je potřeba, aby ho vyhodnotil neurochirurg a rozhodl, zda je nutné provést zákrok. Běžně se na snímky dívali z domova, ale po útoku se z domova nemohli připojit. Museli kvůli tomu přijet, čímž se ztrácel čas," popsal jeden z mnoha dopadů už dříve Jaroslav Štěrba.
Dva a čtvrt roku po incidentu jsou následky stále znát. Stav IT systémů nemocnice není v původní kondici, a nikdy nebude. "V důsledku útoku jsme přišli o údaje interního informačního systému používaného při řídících procesech nemocnice. Šlo o mnohaletý interní vývoj a obnova systému i údajů probíhá dodnes," sdělil mluvčí nemocnice Václav Janištin.
Dvacet incidentů ve zdravotnictví
V prvním roce koronavirové pandemie zasáhly kybernetické útoky v Česku více zdravotnických zařízení. Výrazný incident zažila Psychiatrická nemocnice v Kosmonosích pouhé dva týdny po útoku v Brně. Hacker vyřadil na několik dní veškerou elektroniku napojenou na centrální počítačový systém. Nefungovala ani kotelna.
"Zaměření na tyto instituce lze do velké míry přisoudit probíhající pandemii. V důsledku pandemie je na zdravotnická zařízení vytvářen vysoký tlak na poskytování lékařské péče, a proto existuje vyšší šance, že útočníkům zaplatí výkupné," uvedl ve výroční zprávě za rok 2020 Národní úřad pro informační a kybernetickou bezpečnost. Předloni řešil 20 incidentů ve zdravotnických zařízeních.
Tehdejší vlna útoků obnažila nízkou úroveň bezpečnostních IT standardů v českém zdravotnictví. Úřad pro kybernetickou bezpečnost ve spolupráci s ministerstvem zdravotnictví proto upravil vyhlášku o poskytovatelích elektronických komunikací. Od loňska tak musí plnit vyšší kyberbezpečnostní nároky 44 nemocnic, původně jich bylo jen 16.
Zpráva za loňský rok situaci hodnotí pozitivně: "Krátce po účinnosti novely došlo k zahájení určovacích správních řízení s relevantními nemocnicemi, která díky připravenosti na obou stranách proběhla velmi rychle a bezproblémově." Jinými slovy, v posouzení připravenosti na útoky hackerů nemocnice před kyberúřadem obstály.