Keď je dodávateľ jediným bodom zlyhania: útok na ChipSoft a lekcia pre slovenské zdravotníctvo

Čo sa stalo

Holandské CSIRT pre zdravotníctvo Z-CERT potvrdilo 7. apríla 2026 ransomvérový incident v spoločnosti ChipSoft, prevádzkovateľovi systému HiX, ktorý používa väčšina holandských nemocníc na vedenie zdravotnej dokumentácie, objednávanie pacientov, spracovanie laboratórnych výsledkov a farmaceutickú distribúciu. Spoločnosť po zistení incidentu preventívne odpojila viacero prepojovacích služieb vrátane pacientskeho portálu Zorgportaal, mobilnej aplikácie HiX Mobile a integračnej platformy Zorgplatform.

Následne sa najmenej jedenásť nemocníc od systému ChipSoft odpojilo alebo obmedzilo konektivitu pre neistotu ohľadom rozsahu útoku. Medzi zasiahnutými boli Sint Jans Gasthuis vo Weerte, Laurentius v Roermonde, VieCuri vo Venle, Flevo v Almere, Franciscus Gasthuis v Rotterdame a Albert Schweitzer v Dordrechte. Nemocnice prechádzali na papierovú dokumentáciu, odkladali plánované zákroky a obmedzovali príjem pacientov. Holandský úrad na ochranu osobných údajov bol o incidente informovaný. 15. apríla verejnoprávna stanica NOS informovala, že únik údajov pacientov cez platformu HIX365 nemožno vylúčiť.

Prečo ide o tému kritickej infraštruktúry

Zdravotníctvo je samostatným sektorom kritickej infraštruktúry podľa zákona č. 367/2024 Z. z. o kritickej infraštruktúre a zároveň patrí medzi kriticky dôležité služby v zmysle zákona č. 366/2024 Z. z., ktorým bola do slovenského práva transponovaná smernica NIS 2. Kontinuita poskytovania zdravotnej starostlivosti závisí od informačných systémov v rozsahu, ktorý si ani samotní poskytovatelia v každodennej prevádzke nie vždy plne uvedomujú. Ak vypadne centrálna nemocničná platforma, zasiahnutý je celý klinický reťazec: od príjmu pacienta cez diagnostiku a laboratórne výsledky až po výdaj liekov.

Holandský prípad ilustruje mechanizmus, ktorý je v zásade prenositeľný do ktorejkoľvek európskej krajiny. Nešlo o priamy útok na nemocnice, ale o kompromitáciu jedného softvérového dodávateľa, od ktorého závisia desiatky inštitúcií. V takom prostredí je závislosť od jedného dodávateľa rizikom rovnakého rádu ako nezašifrovaný komunikačný kanál alebo nezaplatovaný server. Rozdiel je v tom, že tento typ rizika sa riadi zákonom a zmluvami, nie technickým opatrením.

Slovenská paralela

Slovenské zdravotníctvo sa opiera o obmedzený okruh dodávateľov nemocničných informačných systémov, laboratórnych a rádiologických systémov a elektronickej zdravotnej knihy. Prevádzková koncentrácia na úrovni softvérových platforiem je porovnateľná s Holandskom. Pritom termíny legislatívneho rámca sú jasné: do 17. júla 2026 musia ústredné orgány štátnej správy identifikovať kritické subjekty podľa zákona č. 367/2024 Z. z. a následne voči nim uplatňovať požiadavky na odolnosť. Ministerstvo zdravotníctva ako ústredný orgán pre tento sektor stojí pred úlohou, ktorá zahŕňa aj zmapovanie závislostí od softvérových dodávateľov a ich bezpečnostného stavu.

V tejto súvislosti je relevantná aj decembrová skúsenosť z roku 2025, keď útok na Ministerstvo hospodárstva SR potvrdil, že slovenská verejná správa nie je voči podobným incidentom imúnna. Rámec zákona č. 366/2024 Z. z. prináša v § 20 písm. i) výslovnú povinnosť riadiť riziko dodávateľského reťazca vrátane poskytovateľov tretej strany. Kombinácia závislosti od kritického softvéru a nedostatočne preverenej odolnosti týchto dodávateľov je odložený problém, ktorý sa v Holandsku zmaterializoval za jediný deň.

„Útok na ChipSoft nie je holandskou epizódou, ale obrazom európskej zdravotnej sústavy, v ktorej sa koncentrovaná závislosť od jedného dodávateľa stala systémovou zraniteľnosťou. Bezpečnosť dodávateľského reťazca podľa § 20 zákona č. 366/2024 Z. z. nie je formálnou požiadavkou, ale skúškou reálnej účinnosti na klinickej úrovni. Pred termínom 17. júla 2026 musia prevádzkovatelia zdravotníckej infraštruktúry vedieť odpovedať na jednoduchú otázku: ak dnes vypadne ich softvérový dodávateľ, ako dlho dokáže klinická prevádzka fungovať a ako rýchlo sa vráti do plánovaného režimu,“ uvádza Tibor Straka, prezident Asociácie kritickej infraštruktúry Slovenskej republiky.

Ako postupovať

Poučenie z incidentu ChipSoft možno zhrnúť do niekoľkých praktických krokov, ktoré zodpovedajú aj pripravenosti na postupne nastupujúce regulačné povinnosti. Po prvé, prevádzkovatelia by mali zmapovať softvérových dodávateľov podľa kritickosti a tolerovanej dĺžky výpadku s dôrazom na systémy ako NIS, LIS, RIS a PACS. Po druhé, zmluvy s dodávateľmi by mali obsahovať konkrétne požiadavky na hlásenie incidentov v súlade s lehotami NIS 2, ako aj na predkladanie bezpečnostnej dokumentácie vrátane zoznamu softvérových komponentov (SBOM).

Po tretie, od 11. septembra 2026 nastupuje povinnosť podľa nariadenia o kybernetickej odolnosti (CRA), podľa ktorého výrobcovia produktov s digitálnymi prvkami musia hlásiť aktívne zneužívané zraniteľnosti prostredníctvom platformy ENISA v lehote 24 hodín. Prevádzkovatelia kritickej infraštruktúry by mali od svojich dodávateľov očakávať súlad s týmto režimom ešte pred týmto dátumom. Po štvrté, sektorové simulácie v rámci Stratégie odolnosti kritických subjektov SR, ktorú vláda schválila 9. januára 2026, by mali obsahovať aj scenár výpadku jedného kľúčového softvérového dodávateľa naprieč nemocnicami.

Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) vytvára priestor pre odbornú diskusiu o bezpečnosti dodávateľského reťazca a v úzkej spolupráci s Národným bezpečnostným úradom, SK-CERT a ďalšími partnermi pomáha sektorom kritickej infraštruktúry preklopiť nové legislatívne požiadavky do preukázateľnej praxe. Základom zostáva zodpovedanie otázky, ktorú položil incident ChipSoft: kde v reťazci našich služieb sa nachádza bod, ktorého výpadok dokáže zastaviť celý systém?