Kibernetička sigurnost preduvjet je za opstanak zdravstva

Kad govorimo o sigurnoj zdravstvenoj ustanovi u 2025. godini, više ne mislimo samo na bolnicu koja ima agregat za struju, plan evakuacije i dobro opskrbljenu ljekarnu. Današnji korisnik zdravstvenog sustava ovisi o digitalnim sustavima gotovo jednako kao o kisiku ili sterilnim instrumentima: laboratorijski nalazi putuju mrežom do elektroničkoga kartona, intelektualna imovina istraživačkih odjela čuva se u računalnim centrima, a kirurškim robotima i sustavima za doziranje lijekova upravlja se softverom.

Stoga pojam sigurnosti prelazi u kibernetičku dimenziju kontinuiteta poslovanja, a ona danas stoji rame uz rame s prirodnim katastrofama, tehničko-tehnološkim i antropogenim ugrozama. Sigurna zdravstvena ustanova današnjice jest ona koja integrira kibernetičku sigurnost u svoje temeljne procese jednako duboko kao što su arhitekti nekada projektirali vodovod i električne vodove.

Tri razine otpornosti

Smatramo da današnja slojevita otpornost u zdravstvu počiva na tri razine: fizička razina, odnosno kontrola pristupa, nastoji spriječiti fizičku sabotažu i krađu uređaja ili podataka, a operativna je razina, poput kriznih protokola, usmjerena na održavanje rada bolnice tijekom prekida tradicionalnih resursa; treća je razina kibernetička, ona koja mjerama poput segmentacije mreže i višefaktorske autentifikacije nastoji održati funkcionalnost digitalnih servisa i zaštititi podatke.

Ljepilo koje povezuje sve te tri razine jest plan kontinuiteta poslovanja, zatim unaprijed definirani scenariji, stolne vježbe (engl. tabletop exercises) i jasna hijerarhija odgovornosti. Bolnica koja može automatski prebaciti medicinske IoT uređaje na izoliranu mrežu i podignuti virtualni podatkovni centar iz redundantne kopije podataka u roku od nekoliko minuta neće morati pauzirati planirane djelatnosti ni u slučaju ransomwarea ni u slučaju poplave.

Ako su voda i struja preduvjeti za sterilno okružje, kibernetička sigurnost preduvjet je za zdravstvenu učinkovitost. Bez nje riskiramo dvostruki gubitak: klinički (odgoda zahvata, pogrešne dijagnoze, smrtni ishodi) i financijski (​otkupnine u slučaju ransomwarea, pravni troškovi, ugrožena reputacija). Zato se iz perspektive svake uprave kibernetička ulaganja trebaju tretirati kao kapitalne investicije koje stvaraju vrijednost, a ne kao trošak 'gašenja požara'.

Radujem se trenutku kad će uprava u istoj tablici u Excelu ​u kojoj prati popunjenost operacijskih dvorana vidjeti i izvještaje SOC-a (centra za sigurnosne operacije) jer tek ćemo tada moći reći da kibernetička sigurnost zauzima mjesto strateškog prioriteta.

Odgovornost na svim razinama

Kada se Klinički bolnički centar Zagreb našao kao žrtva kibernetičkog napada u lipnju 2024., sva svjetla reflektora bila su uperena u IT, no s vremenom su se počela okretati i prema ostalim službama. Incident je još jednom ogolio činjenicu da za kibernetičku sigurnost u zdravstvu može postojati stručna služba, ali da je odgovornost na svim razinama.

Nova generacija zdravstvenih djelatnika odrastala je uz internet i mobilne aplikacije, ali mnogi ravnatelji i članovi upravnih vijeća nisu. I ISC2 je 2024. upozorio da se globalni jaz u vještinama na području kibernetičke sigurnosti proširio na 4,8 milijuna stručnjaka, pri čemu najviše kompetencija manjka upravo u menadžmentu. To ne znači da voditeljski kadar mora znati konfigurirati mrežnu opremu ili vatrozid, ali mora razumjeti temeljne pojmove jednako kao što razumije proračunsku bilancu, izvještaj o prihodima i rashodima i slično.

EU je također prepoznao taj izazov. ECCC je u programu 'Digitalna Europa 2025. – 2027.' izdvojio 390 milijuna eura, od čega trideset milijuna eura upravo za projekte kibernetičke otpornosti zdravstva, uključujući edukacije.

Često se spominje, ali još češće zaboravlja, da kibernetička sigurnost nije projekt, nego kontinuiran proces, baš poput kvalitete zraka koju ne primjećujemo sve dok ne nestane. Za to je potrebna stalna komunikacija, tzv. prvaci u svakom odjelu, ljudi koji zagovaraju dobru sigurnosnu praksu i redovite vježbe (npr. phishing, war-room). Tada kibernetička sigurnost postaje kolektivni refleks zdravstvenog sustava, IT služba ostaje prva crta obrane, ali bez informiranog i angažiranog vodstva i najbolji vatrozid pretvara se u skupu dekoraciju.

Europski novac, novi regulativni okviri i svježa generacija digitalnih domorodaca otvaraju prozor transformacije. Hoćemo li kroz njega proći ili ćemo ga gledati kako se zatvara, odlučit će upravo sadašnji donositelji odluka.

Financijske poluge EU-a

U ožujku 2025. Europska komisija objavila je da će 1,3 milijarde eura iz programa 'Digitalna Europa' biti usmjereno u kibernetičku sigurnost, umjetnu inteligenciju i digitalne vještine, osobito kritične sektore poput zdravstva. Usporedno EK-ov Akcijski plan za jačanje sigurnosti bolnica predviđa mehanizme za sprečavanje, detekciju, odgovor na kibernetičke napade te skup ciljeva koji trebaju odvratiti napadače od zdravstvenog sektora.

Hrvatski zdravstveni sustav, koji godinama balansira između rastućih troškova i ograničenih domaćih izvora financiranja, takve prilike ne smije propustiti. Naime, hrvatske ustanove prvi put mogu preliti teret kapitalnih ulaganja s preopterećenoga domaćeg proračuna na europske fondove. Novac, dakle, više nije najveći izazov, ali zato će biti važni kvaliteta prijave, jasna procjena rizika, realan plan provedbe i mjerljiv učinak.

Bolnica koja dokaže da će joj se s pomoću europskog novca oporavak kritičnog sustava skratiti s nekoliko sati ili dana na nekoliko minuta jednako konkurira kao i renomirani centri iz Njemačke ili Francuske – unatoč možda manjem proračunu koji posjeduje ili traži.

Drugim riječima, fondovi EU-a mogu biti amortizer za sustav u kojem su dugovi postali kronična bolest, a investicijski ciklus u IT i kibernetičku sigurnost godinama se​ odgađa. Hoće li to uistinu rasteretiti bolničke financije, ovisit će o spremnosti vodstva da prijeđe s reaktivnoga, sanacijskoga mentaliteta na aktivan, investicijski. Povijesna prilika postoji i sada je na hrvatskim bolnicama da pokažu kako izgleda projekt koji će Europu uvjeriti da dio od 1,3 milijarde eura treba upravo njima. Na njima je da iskoriste tu priliku kako ne bismo opet čitali o napadima koji odgađaju dijagnostičke preglede i operacije te ruše povjerenje pacijenata.

Tri ključna mehanizma

Uz financijske potpore iz programa 'Digitalna Europa' Europska unija razvija niz nematerijalnih instrumenata koji bolnicama i zdravstvenim ustanovama omogućuju da unaprijede svoju kibernetičku otpornost bez nužnog oslanjanja isključivo na vlastite resurse.

Tako, primjerice, Cyber Solidarity Act donosi novu razinu europske suradnje u kibernetičkoj sigurnosti u sklopu triju ključnih mehanizama. Uspostavlja se mreža sigurnosnih operativnih centara (SOCs) koji s pomoću umjetne inteligencije otkrivaju prijetnje u stvarnom vremenu. Predviđa se i brzo djelovanje u kriznim situacijama testiranjem ranjivosti, europskim rezervama stručnjaka i uzajamnom pomoći među članicama. Uz to se uvodi sustav revizije incidenata kako bi se iz njih učilo i unaprijedila obrana. ENISA, Agencija EU-a za kibernetičku sigurnost, koordinira mrežu nacionalnih stručnih timova za odgovor na računalne incidente (CSIRT), a hrvatski timovi mogu tom mrežom razmjenjivati informacije, rješavati incidente i sudjelovati u zajedničkim vježbama.

Tu je i EU-CyCLONe, europska mreža za upravljanje kibernetičkim krizama, koja pomaže državama u koordinaciji odgovora na velike sigurnosne incidente. U slučaju napada nacionalna tijela mogu računati na zajedničke smjernice i operativnu potporu. To je posebno korisno za zdravstveni sektor jer su u njemu posljedice napada često ozbiljne. Valja istaknuti i Europski centar za digitalne vještine i zapošljavanje koji zdravstvenim djelatnicima i IT stručnjacima omogućuje besplatne edukacije iz kibernetičke sigurnosti. Online tečajevima i certifikatima bolnice mogu jačati svoje timove i digitalne strategije.

Uloga vodstva

U tradicionalnome modelu IT je često bio 'tehnička servisna služba'. U eri povezanih uređaja CIO i CISO sjedaju za isti stol s ravnateljem i financijskim direktorom. Upravno vijeće mora imati jasno mapirane rizike, kvartalne izvještaje o sigurnosti u formatu razumljivom i medicinskom i financijskom osoblju te prijedloge projekata kibernetičke sigurnosti temeljene na realnim scenarijima.

Primjerice: 'Koliko nas stoji sat nedostupnosti BIS-a ili LIS-a?' Ako je odgovor: 'Pedeset tisuća eura uz nekoliko dana očekivanoga oporavka', tada je trogodišnja investicija od dvjesto tisuća eura u mrežnu segmentaciju i sigurnosne kopije višestruko isplativa. Europska komisija u Nacrtu uredbe o europskom prostoru zdravstvenih podataka (EHDS) izričito upozorava da je 'povjerenje temeljni preduvjet za uspjeh' digitalnog zdravstva.

Tako adresira upravo nositelje odluka poput ravnatelja, članova upravnih vijeća i financijskih direktora – one koji odlučuju koliko će ustanova ulagati u zaštitu podataka i neprekinuti rad sustava te tako izravno utječu na sigurnost pacijenata i reputaciju svoje ustanove.

Prvi korak odgovornog vodstva jest jasno opisati na koje se digitalne alate oslanja svaki proces i tko je odgovoran vlasnik. Na primjer, ako laboratorijski sustav kasni, terapija se odgađa, ako padne bolnički informacijski sustav, prijam i otpust staju. Kad se takva ovisnost prikaže na jednoj razumljivoj mapi, tehnički pojmovi poprimaju konkretno poslovno i financijsko značenje, a o tom se značenju uprava mora redovito informirati.

Pogodnosti, ali i kazne

Umjesto kompliciranih izvješća o tome koje sve logove pratimo na SIEM-u, dovoljno je redovito prikazati sažetak najvažnijih događaja i metrika, na primjer koliko je trajao najdulji prekid, koliko je zaposlenika 'kliknulo' na lažni phishing te kolika bi šteta nastala da se dogodio ozbiljan kibernetički incident. Kad takvi podaci stoje na stolu, odluka o ulaganju postaje pitanje izbora između prihvatljivog rizika i previsoke cijene prekida. Segmentacija mreže ili redundantni backup više se ne predstavljaju kao trošak IT-a, nego kao logičan odgovor na jasno kvantificiran problem.

Srećom, od 2025. takav pristup više nije samo dobra praksa nego i zakonska obveza. Zakon o kibernetičkoj sigurnosti, odnosno direktiva NIS2, proširuje osobnu odgovornost nadzornih odbora i predviđa za ustanove novčane kazne i do deset milijuna eura ili dva posto ukupnog prometa za ključne subjekte koji ne ispune obveze upravljanja kibernetičkim rizikom. Ta odredba, izrečena u brojevima koje razumije svaki financijski direktor, učinkovito premješta sigurnost iz tehničkih hodnika u sâm vrh upravljanja zdravstvenim institucijama.

Na dvije fronte

Ne treba tu zaboraviti ni pacijente, koji bi radije birali ustanovu za koju vjeruju da će čuvati njihove podatke, osiguravati kontinuitet u djelovanju i neće prekidati pregled ili terapije zbog napada. U privatnome sektoru pak investitori, naravno, favoriziraju projekte čija digitalna infrastruktura smanjuje rizik i jamči održivost prihoda. Stoga vodstvo koje aktivno upravlja kibernetičkom sigurnošću izgrađuje kapital povjerenja na dvije fronte, prema pacijentima i prema financijskim partnerima, bez potrebe za kompliciranim tablicama i pokazateljima.

Neovisno o praksi ili zakonima koje se primjenjuju u sektoru zdravstva, u strateškim odlukama o informatičkoj sigurnosti ne bi trebalo zanemariti utjecaj koji propusti mogu imati, i to ne samo na očuvanje povjerljivosti, integriteta ili raspoloživosti informacijskog sustava već i na to koliko primijenjene mjere utječu na ispunjenje primarne misije zdravstvene ustanove – očuvanja zdravlja i života pacijenata.

Povjerenje u digitalno zdravstvo rađa se u dvorani upravnog vijeća, a ne u serverskim sobama. Iako su tehnički timovi prva crta obrane, konačnu odgovornost za strategiju, proračun i javnu percepciju ima vodstvo. Što prije ono prepozna da je kibernetička otpornost važna kao i sterilni instrumenti ili agregat za struju, to će prije osigurati da pacijenti sačuvaju povjerenje, a zdravstveni sustav ostane živ.