Zdravotnická zařízení jsou lákavým terčem kybernetických útočníků, varuje generální ředitel bezpečnostní společnosti APPSEC Adam Paclt.
Praha 27. ledna 2026 – Kybernetický útok na největšího poskytovatele specializované onkologické péče na Novém Zélandu, společnost Canopy Health, vyvolal nebývalý skandál. Firma, která se specializuje na screeningové programy, diagnostiku a léčbu rakoviny prsu začátkem ledna po půl roce přiznala, že se stala terčem masivního útoku, během něhož unikla data části pacientek. Ty se nyní cítí být poškozeny tím, že je firma informovala až s šestiměsíčním zpožděním, uvedl novozélandský veřejnoprávní rozhlas. Stačilo by přitom, kdyby poskytovatel zdravotní péče pravidelně podstupoval penetrační testy, které odhalí zranitelná místa v jeho IT infrastruktuře.
Citlivá osobní data pacientů můžou sloužit k vydírání
„Zdravotnická zařízení obecně hodně podceňují prevenci před kybernetickými útoky. Setkáváme se s tím poměrně běžně, což je alarmující, protože jaká jiná osobní data, než ta o zdravotním stavu jsou citlivější?“ ptá se Adam Paclt, generální ředitel bezpečnostní společnosti APPSEC, která se specializuje na provádění penetračních testů a navrhuje sofistikovaná bezpečnostní řešení. Canopy Health je největším soukromým poskytovatelem onkologické péče na Novém Zélandu. Útok na svoje systémy zaznamenal už 18. července loňského roku. Podle nynějších vyjádření společnosti útočník dočasně získal neoprávněný přístup k části jejích systémů používaných administrativními pracovníky.
„Po důkladném forenzním přezkoumání provedeném našimi experty na kybernetickou bezpečnost jsme byli informováni, že pravděpodobně došlo k neoprávněnému přístupu k jednomu z našich serverů a že mohla být zkopírována některá data,“ uvedla firma, která provozuje 24 diagnostických klinik, osm onkologických klinik, dvě soukromá centra pro chirurgii prsu a podnik na výrobu léčiv. Začátkem ledna Canopy Health obeslala e-mailem pacientky, jichž by se mohl únik dat týkat, a ujišťovala je, že „neexistuje žádný náznak toho, že by byly ovlivněny jakékoli kreditní karty, bankovní informace nebo doklady totožnosti“.
Jenže na oficiálním webu společnosti se objevila trochu jiná informace, podle níž útočník nebo útočníci mohli získat přístup k malému počtu čísel bankovních účtů. Jde o druhý velký bezpečnostní incident v novozélandském zdravotnictví za poslední měsíc. Koncem prosince totiž jiná zdravotnická společnost Health NZ oznámila, že čelí útoku ransomwaru, který postihl šest až sedm procent z jejích 1,8 milionu uživatelů. Útok směřoval na aplikaci Manage My Health, která slouží ke sdílení informací s pacienty, včetně propouštěcích zpráv z nemocnic, zpráv z ambulantních vyšetření, oznámení a doporučení.
Penetrační test upozorní na hlavní slabiny
„Podobná zařízení jsou lákavým terčem útočníků, protože útočníkovi znásobují vyděračský potenciál. Známe to i z případů, které se staly v České republice. Obnova dat po útoku ransomwarem je často složitá, ne-li nemožná. Některá zařízení tak bohužel přistoupí na požadavky útočníků a raději zaplatí výkupné,“ konstatuje Adam Paclt. Penetrační testy, které dokážou odhalit citlivá místa v interních systémech zdravotnických zařízení, nejen že umožní firmám se na takové útoky připravit, ale šetří jim i náklady na kybernetickou bezpečnost. Ukážou totiž, na které slabiny se zaměřit namísto pořizování robustního bezpečnostního řešení, které vyjde dráž a konkrétní problém nemusí vyřešit dostatečně.
Bezpečnostní společnost APPSEC provádí penetrační testy unikátní metodou založenou na algoritmickém testování a strojovém učení. Jde buď o kompletní Blackhat test firemního systému, klasické penetrační testy webů, sítí nebo Wi-Fi či skeny zranitelností. Každý test provází analytická zpráva s doporučeními pro společnost nebo organizaci, jak vylepšit kybernetické zabezpečení. APPSEC rovněž může navrhnout a realizovat vlastní řešení, například s inteligentním systémem SentinelOne, který detekuje hrozby na základě chování systému a dokáže zastavit i již probíhající útok.
O společnosti APPSEC
APPSEC je projekt společnosti Apptc.me s.r.o., která se zabývá privátními a public řešeními pro cloud orchestraci, kde je aspekt bezpečnosti velkou prioritou. Společnost Apptc.me s.r.o. se rozhodla sdílet své zkušenosti s bezpečností prostřednictvím projektu APPSEC a pomáhat tak zákazníkům s širokou škálou palčivých problémů, se kterými se dnes v informační bezpečnosti můžeme setkat.
Další informace naleznete na adrese https://www.appsec.cz.