Níže uvedené body jsou volným přepisem toho, co povídal Karel Kužel, vedoucí IT nemocnice v Pelhřimově, na konferenci e-government 20:10. Přepis je bez záruky a nijak jsem ho neautorizoval. Snad jsem to moc nezkreslil. Pokud máte otázky nebo se vám zdá něco divné, tak odpovědi nemám 🙂.
Aktualizace 15.9.2020 - videozáznam:
Popis stavu
- nemocnice je IT prorostlá a na IT závislá, že bez PC nejsou prakticky schopni léčit,
- v Pelhřimovské nemocnici je 700 zaměstnanců, 340 lůžek, za 2019 celkem 80k ambulantních vyšetření a 14k hospitalizací,
- IT oddělení má 4 zaměstnance,
- v síti mají 400 stanic a 40 serverů + ještě telefony, ústředny, tiskárny, 40 IT systémů,
- vyvíjí si sami interní www systémy (30),
- mají cca 50 IT zásahů za den (volání a žádosti zaměstnanců),
- na nic jiného není čas,
- podfinancování, špatné personální zabezpečení, starý HW,
- legislativa si vynutí nový systém, tak se pořídí, ale pak se už o něj nikdo nestará,
- mají 400 stanic a ještě dnes mají 60 stanic s Windows XP,
- po v médiích propíraných kauzách se trochu hnuly ledy a do HW se začalo trochu investovat, za poslední 4 měsíce vyměnili 70 stanic,
- nikdy nekončící nářek, za 10 let se mu nepovedlo prosadit jednoho IT člověka navíc,
- nemají své sítaře, nemají člověka na NIS (pozn. asi jejich interní IT systém), uživil by 8-10 lidí,
- problémy se řeší, až se něco stane, prevence minimální.
Průšvihy
- před rokem jim hackli mail server (mají mail server od české společnosti, nerozuměl jsem jméno),
- měli ho na serveru mimo firewall, přímo vystrčený do internetu (tehdejší firewall to prý nějak nepodporoval),
- servisní zásahy probíhaly tak, že tam firmu pustil přes RDP a po práci to RDP zase zavřel (není čas na něco lepšího),
- jednou RDP zapomněl zavřít,
- jednu večer mu volá kolega, že nejedou maily, tak se přihlásil na server a uživatelský profil je zamčený, přihlásil se přes jiný profil,
- milióny IMAP souborů pošty byly zašifrované,
- divné bylo, že na disku nebyl žádný vzkaz od vyděrače, nepřišel žádný e-mail, nic, jen zašifrovaná data,
- server byl naštěstí ve VmWare a měl repliku. Ale nezkoušeli pravidelně obnovovat zálohu, takže jim nakonec obnova proti plánu několika hodin trvala 7 dnů,
- servisní organizace nedokázala vyřešit obnovu z repliku staré pár hodin, museli se vrátit k záloze 14 dnů staré,
- problém byl v tom, že se jim nepodařilo rozjet repliku a zkopírovat z ní zálohu. Všechny operace nad filesystémem, který měl několik TB, trvaly hodiny,
- nakonec udělal kompletní reinstalaci systému, protože nevěřil systému ze zálohy (mohl být napaden),
- kopírování miliónů malých souborů ze zálohy trvalo desítky hodin,
- přišli o 14 dnů e-mail komunikace,
- po vyřešení koupili nový firewall, mail je už za ním, servisní organizace na něj chodí přes VPN,
- po síti se jim také před 2-3 roky "proběhl" ransomware, který jim odstavil jim část IT systému, protože má ve sdílené složce umístěné vzorové soubory, které se nemění, ale musí být "vidět", to jen obnovili ze zálohy,
- tehdejší antivir (AVG) ani nehl brbou, teď koupili Kaspersky (pokud jsem správně rozuměl).
Závěr
- nemají lidi, nemají bezpečáka, nemají čas se vzdělávat, nemocnice není schopna platit lidi,
- lépe pořešili zálohování, zálohy ukládají do více lokalit,
- myslel si, že horší jak u nich to už být nemůže, ale po nějakém sezení na Bulovce zjistil, že může,
- doufá, že se teď něco změní, mají nového ředitele, který se o to bude snad více zajímat.
Smekám klobouk za jeho odvahu a upřímnost o tom takto vyprávět a držím jim palce, aby se to zlepšilo, dostali finance a další lidi.