Rozhovor s námestníkom úseku informatiky.

Môžete stručne predstaviť vašu nemocnicu a jej IT oddelenie?
Naša nemocnica je jednou z najvýznamnejších zdravotníckych inštitúcií v Českej republike. V roku 2024 sme poskytli zdravotnú starostlivosť pre viac ako 1,3 milióna pacientov a hospitalizovali sme takmer 31 000 pacientov, denne u nás vykonáme viac ako 40 operácií a v roku 2024 to bolo viac ako 16 000 operácií celkovo. IT oddelenie zohráva kľúčovú úlohu v podpore moderných medicínskych technológií, digitalizácie zdravotnej dokumentácie a, samozrejme, v ochrane citlivých údajov pacientov.

Aké sú hlavné výzvy v oblasti kybernetickej bezpečnosti, ktorým nemocnica čelí?
Myslím že nepoviem nič nové ale zdravotnícke zariadenia sú čoraz častejším terčom kybernetických útokov a my na tom nie sme inak. Musíme zabezpečiť ochranu pacientskych údajov, nepretržitú dostupnosť systémov a eliminovať riziko ransomvérových útokov. Okrem toho potrebujeme efektívne riešiť interné bezpečnostné incidenty a automatizovať reakcie na bezpečnostné hrozby aby sme dokázali včas zasiahnuť a zastaviť akýkoľvek útok.

Čo vás viedlo k rozhodnutiu implementovať SIEM a SOAR riešenie?
Náš cieľ bol jasný – zvýšiť schopnosť detekcie a reakcie na bezpečnostné incidenty. Potrebovali sme riešenie, ktoré dokáže spracovať obrovské množstvo bezpečnostných udalostí a umožní nám automatizovať odozvu na incidenty. V prvom momente sme zvažovali len SIEM systém ale nakoniec sme sa rozhodli pre kombináciu SIEM a SOAR, pretože nám to umožňuje rýchlu analýzu, lepšiu vizualizáciu hrozieb a automatizáciu vybraných krokov pri riešení bezpečnostných udalostí.

Aké boli hlavné požiadavky a očakávania od tohto riešenia?
Hľadali sme systém, ktorý by nám umožnil centralizovaný zber a vyhodnocovanie bezpečnostných udalostí z celej nemocnice. Máme takmer 800 zdrojov dát rôzneho charakteru. Dôležitým kritériom bola schopnosť korelácie logov zo všetkých týchto systémov, rýchla reakcia na incidenty a integrácia s našimi existujúcimi bezpečnostnými riešeniami. V rámci SOARu sme hľadali systém ktorý bude dostatočne flexibilný aby sme ním vedeli pokryť všetky naše usecase-y.

Prečo ste sa rozhodli práve pre riešenie od Fortinetu?
Fortinet ponúka komplexný ekosystém bezpečnostných riešení, ktoré sú vzájomne integrované a umožňujú efektívnu orchestráciu bezpečnostných procesov. SIEM a SOAR riešenie od Fortinetu nám prinieslo nielen robustnú analytiku, ale aj schopnosť automatizovať určité bezpečnostné operácie, čo výrazne odbremenilo náš tím.

Aké konkrétne výhody prinieslo nasadenie SIEM a SOAR?
Asi najvýraznejšia výhoda oproti predchádzajúcemu systému je zrýchlenie detekcie a reakcie na incident, obzvlášť pri phishingu. Dokážeme v reálnom čase monitorovať bezpečnostné udalosti a vďaka automatizovaným reakciám eliminovať hrozby ešte predtým, než by mohli spôsobiať škodu. Zároveň sme získali lepší prehľad o bezpečnostnej situácii a dokážeme efektívnejšie rozdeľovať úlohy v rámci IT tímu.

Podarilo sa vám vďaka tomuto riešeniu identifikovať a zmierniť reálne bezpečnostné incidenty?
Áno, už v prvých mesiacoch po nasadení sme dokázali včas detegovať pokusy o neoprávnené prístupy a ako som už spomínal, SOAR pomohol zrýchliť odozvu a eliminovať incidenty skôr, ako by ovplyvnili chod nemocnice. Vo veľkej miere využívame najmä automatizované vyšetrovanie phishing incidentov a všetky indikátory sa automaticky blokujú na firewalloch. Mali sme aj také incidenty kde užívatelia klikli na tieto odkazy, bez rýchlej reakcie by z toho mohol byť nepríjemný incident. Zároveň nám to ukazuje potrebu vzdelávania personálu v oblasti bezpečnosti.

Ako sa zmenila efektivita vášho bezpečnostného tímu po implementácii?
Naši admini sa teraz môžu sústrediť na strategické úlohy, výrazne sa znížila potreba manuálneho prehľadávania logov a podarilo sa nám eliminovať množstvo rutinných činností. Ako výrazný posun vnímam aj to, že máme v SOARe náš vlastný threat intel management a boli sme schopný ho jednoducho integrovať do všetkých relevantných systémov. Denne máme v SIEMe stovky alertov, z ktorých vznikne približne 20 až 30 incidentov. Keďže v SOCu máme len dvoch operátorov, automatizácia riešenia týchto udalostí je pre nás kľúčová, inak by sme to nevedeli riešiť včas.

Aké sú vaše plány do budúcnosti v oblasti kybernetickej bezpečnosti?
Chceme ďalej rozvíjať naše bezpečnostné stratégie a investovať do pokročilých detekčných mechanizmov využívajúcich umelú inteligenciu. Plánujeme nejaké deception riešenie, aby sme boli pripravení aj na to, že útočník sa dostane do našej siete a aby sme takýto prienik vedeli identifikovať a izolovať. Okrem technologických opatrení plánujeme aj ďalšie školenia personálu nemocnice, keďže incidenty ktoré sme riešili nám ukázali, že stále existujú zamestnanci, ktorí napr. nedokážu spoľahlivo rozpoznať phishing e-maily. Naším cieľom je zvýšiť celkové bezpečnostné povedomie a minimalizovať riziko kybernetických útokov.

Akú radu by ste dali iným nemocniciam, ktoré zvažujú podobné riešenie?
Kybernetická bezpečnosť v zdravotníctve musí byť prioritou. Odporúčame začať s dôkladnou analýzou súčasného stavu a jasne si definovať požiadavky. Dôležité je tiež myslieť na integráciu s existujúcimi systémami a zabezpečiť dostatočné školenie personálu. A hlavne – investícia do bezpečnosti sa vždy oplatí, pretože predchádzanie incidentom je omnoho lacnejšie než ich riešenie.