Ocenil, že zákon sa zameriava aj na to, aby samotní dodávatelia elektronických služieb (vendori) spĺňali určité bezpečnostné požiadavky. Pripomenul, že v českej poisťovni Slavia nedávno uniklo 150 GB dát rôznych pacientskych informácií, vrátane citlivých údajov, pričom na vine bol priamo vendor.

Manažér kybernetickej bezpečnosti v sieti Penta Hospitals Slovensko Peter Dufek, ktorý za minulý rok získal cenu Asociácie kybernetickej bezpečnosti, si myslí, že najlepšie je mať systémy umiestnené u seba pod svojou kontrolou. Na novom zákone ocenil, že „konečne sa odberatelia systémov môžu o niečo oprieť“.

Neriešiť až keď sa stane problém

Za jeden z najväčších problémov kyberbezpečnosti v zdravotníctve účastníci diskusie označujú zastarané systémy, ktorých sa lekári a zdravotníci nechcú vzdať, hoci k nim už napríklad nevychádzajú aktualizácie. Je preto potrebné personál edukovať. Počítače musia byť pripojené k bezpečnej sieti a personál vyškolený, aby vedel, ako ovládať programy a neunikli z nich údaje pacientov.

Pikula z Národného bezpečnostného úradu porozprával o takomto kikse: „Nezabudnem na situáciu, keď som sa raz rozprával s riaditeľkou jednej nemocnice a hovorila, že na počítačoch majú Windows 10, čo bolo v tom čase v pohode. Vtedy za ňou na obrazovke naskočil šetrič a bol tam Windows XP.“ Ako ďalší problém označil otvorené počítače, ktoré používajú všetci lekári a sestry na oddelení. „Chápem, že viacerí prístup musia mať k určitým údajom, potrebujú sa napríklad rýchlo dostať do karty pacienta a nemajú čas sa zdĺhavo prihlasovať. No to by sa malo riešiť napríklad tým, že budú mať karty, ktoré vedia priložiť k počítaču a prihlásiť sa nimi,“ doplnil.

Nemocnice majú mnohokrát problém nájsť financie na to, aby obstarali, kúpili nové počítače a vymenili tie staré. Avšak ak do toho neinvestujú, podľa Andreja Ižolda zo spoločnosti Fortinet, zameranej na kyberbezpečnosť, potom často prídu útoky a väčšie straty. „Peniaze sa vždy niekde nájdu, ale až keď príde problém,“ podotkol. Ako ale kvantifikovať možné riziká ešte predtým, ako sa incident stane?

Podľa Petra Dufeka sa v spoločnosti Penta Hospitals niečo podobné podarilo: „Je ich možné kvantifikovať cez peniaze, vypočítať, o akú sumu by sme prišli, ak by systém niekto napadol. My sme urobili sme analýzu, ktorú sme predložili sme vedeniu a hoci prostriedky sú obmedzené, reflektovali na to. Ani pre komerčnú spoločnosť nie je v jej silách vymeniť všetky technologické zariadenia a ani u nás nie sú kompletne vymenené, ale urobili sme iné doplnkové opatrenia na ochranu systémov. Musí to byť kombinácia,“ tvrdí Dufek.

Čo sa dá zlepšiť?

Na ilustráciu toho, čo môžu spôsobiť kybernetické incidenty, spomenul Milan Pikula príklad útoku na kataster z januára 2025. Masívny kyberútok ochromil fungovanie katastrálnych odborov a realitné obchody na celom Slovensku. Išlo o jeden z najväčších útokov na infraštruktúru štátu, spôsobujúci výpadky služieb, obmedzenia pre mestá a obce a riziká pre bezpečnosť údajov. „Všetci sa čudovali, že o dva alebo tri dni to ešte nefungovalo, ale tam bolo treba odniesť všetky zašifrované a nezašifrované dáta na nejaké bezpečné úložisko, zistiť, čo sa stalo, nainštalovať to nanovo, skontrolovať, či sú nejaké dáta poškodené, a preto to trvalo tak dlho,“ hovorí riaditeľ SK-CERT Pikula.

Problémom podľa neho nie sú len zastarané systémy a prístupy, ale často najmä prístup ľudí: „Ľudia nečítajú inštrukcie, chýbajú odborníci aj monitorovacie zariadenia v nemocniciach. Prípadne môžu mať aj špičkové zariadenia, ale nevedia s nimi narábať. Chýbajú odborné kapacity.“

Podľa Dufeka je dôležité v nemocnici alebo inej organizácii klasifikovať informácie do rôznych úrovní a podľa toho definovať prístupové práva, teda kto sa dostane k údajom a aké prísne opatrenia majú byť zavedené na ktorej úrovni. „Myslím, že sa zhodneme, že medicínske dáta a akékoľvek informácie o zdravotnom stave ľudí patria medzi prísne chránené informácie každej nemocnice,“ hovorí.

Všetci účastníci diskusie sa vyjadrili, že budúcnosť kyberbezpečnosti v zdravotníctve vidia optimisticky, už len preto, že sa o tom diskutuje a firmy to vnímajú. Neodpustili si poznámku, že „z dna sa dá ísť len vyššie“.

{{odporucane}}

Koordinácia kyberbezpečnosti

Peter Spörer z Národného centra zdravotníckych informácií (NCZI) na konferencii ITAPA Health & Care 2026 predstavil projekt kybernetického centra podpory, ktoré má vzniknúť na základe európskeho akčného plánu. NCZI dostalo od ministerstva zdravotníctva poverenie na jeho vybudovanie.

„Má to byť centrálny koordinačný orgán pre celý sektor zdravotníctva, ktorý bude podporovať odolnosť nemocníc. Cieľom je posilňovať spoluprácu, výmenu skúseností a informácií medzi zdravotníckymi zariadeniami. V súčasnosti vytvárame jednotnú komunikačnú platformu a na konci roka budeme vydávať hodnotiacu správu o stave kyberbezpečnosti,“ hovorí.

Dôležité bude, aby sa centrum nestalo ďalšou inštitúciou existujúcou len preto, aby bola. Spörer ubezpečil, že to tak nebude. Funkcie, ktoré má centrum plniť v oblasti kybernetických incidentov sú stanovené Európskou komisiou. „Sú to prevencia, detekcia, reakcia, obnova a odstrašovanie,“ vymenoval Spörer.