12. února 2024. Affiliate skupina ransomwarové organizace ALPHV/BlackCat se přihlásí do Citrix portálu firmy Change Healthcare. Přihlašovací údaje jsou ukradené – pravděpodobně koupené na darknetu. Portál slouží jako vstupní brána pro vzdálený přístup zaměstnanců.
Portál nemá zapnutou vícefaktorovou autentizaci.
Útočníci jsou uvnitř. Devět dní se pohybují sítí, mapují systémy, exfiltrují data. 21. února nasazují ransomware. Change Healthcare – firma, která zpracovává přibližně 15 miliard zdravotních nároků ročně – odpojuje svou infrastrukturu od internetu, aby zabránila šíření.
Výsledek: výpadek trvající týdny. Lékárny po celých USA nemohou zpracovávat recepty. Nemocnice nemohou fakturovat. 80 % amerických lékařských praxí hlásí výpadek příjmů. A 190 milionů lidí přichází o bezpečí svých zdravotních dat.
Největší zdravotní datový únik v historii USA. Na vstupu: jeden Citrix portál bez MFA.
Co se přesně stalo
Change Healthcare je technologická divize UnitedHealth Group – obří zdravotní pojišťovny. Zpracovává faktury, recepty a pojistné nároky pro tisíce nemocnic, lékáren a pojišťoven napříč USA. Je to de facto nervový systém amerického zdravotnictví.
Přesný vstupní bod potvrdil CEO Andrew Witty při slyšení v Kongresu: zkompromitované přihlašovací údaje k jednomu zaměstnaneckému účtu se 12. února 2024 objevily v Telegram skupině, kde se prodávají kradené credentials. Útočníci je použili. Portál neměl MFA. Neexistoval tedy žádný druhý ověřovací krok, který by útok zastavil.
Devět dní laterálního pohybu a exfiltrace. Pak ransomware.
Change Healthcare zaplatila výkupné: 22 milionů dolarů v bitcoinech skupině ALPHV/BlackCat. CEO Witty tento krok obhájil v kongresu slovy: „Bylo to jedno z nejtěžších rozhodnutí, které jsem kdy musel učinit."
Co dostali na oplátku? Nic spolehlivého. ALPHV provedla tzv. exit scam – inkasovala výkupné, předstírala, že ji FBI zatkla (standardní manévr pro legalizaci zmizení), a zavřela svůj provoz, aniž by za zakázku zaplatila svému affiliatovi. Ten si data ponechal, přidal se k jinému ransomwarovému gangu RansomHub a žádal další výkupné. Část ukradených dat pak zveřejnil.
Celkové náklady UnitedHealth Group na útok dosáhly za první tři čtvrtletí roku 2024 přes 2,5 miliardy dolarů. Rok 2024 jako celek pak vyšel na přibližně 3,1 miliardy dolarů podle výroční zprávy – přímé náklady na reakci, obnovu systémů, právní poplatky, regulatorní pokuty, finanční zálohy nemocnicím a ztráty z výpadku provozu.
A vyšetřování regulátorů teprve začínalo.
Proč zdravotnictví?
Zdravotní data jsou nejcennějšími daty na černém trhu. Zatímco číslo ukradené platební karty se prodává za 1–2 dolary (a rychle se zneplatní), kompletní zdravotní záznam se může prodávat za stovky dolarů. Obsahuje datum narození, rodné číslo, diagnózy, léky, pojistné informace – vše, co útočník potřebuje pro identitní podvod, vydírání nebo přístup k dalším systémům.
Zdravotnictví je přitom notoricky zaostalé v kybernetické bezpečnosti: starší systémy, nedostatek IT specialistů, obrovský tlak na dostupnost (ransomware v nemocnici = přímé ohrožení pacientů, tedy obrovský tlak na zaplacení výkupného). A jak prokázal případ Change Healthcare: základní bezpečnostní hygiena jako MFA chybí i u zpracovatelů miliard transakcí ročně.
ALPHV/BlackCat věděla, co dělá. Na zdravotnictví cílila opakovaně. Totéž platilo o rusky mluvících skupinách, které za gangy jako ALPHV a přidruženými affiliaty stojí v pozadí.
Dvě věci, které zákon vyžaduje a které by útok buď zastavily, nebo zmírnily
1. MFA – zákon č. 264/2025 Sb. a vyhlášky 409 a 410/2025
Tohle je přímočaré. Vyhláška 410/2025 §8 odst. 2 i vyhláška 409/2025 §19 odst. 2 explicitně vyžadují MFA pro přístup administrátorů i uživatelů.
Citrix portál bez MFA = přesně ten typ přístupu, který zákon dnes vyžaduje ošetřit. Útočník s ukradeným heslem by před druhým faktorem zůstal stát.
Poznámka ke kontextu: UnitedHealth Group tvrdí, že MFA je standard pro jejich systémy – Change Healthcare, jejíž akvizicí přikoupili v říjnu 2022, tento standard nesplňovala, a zřejmě nebyla dostatečně prověřena a integrována do jejich bezpečnostní politiky. Což nás přivádí k dalšímu bodu.
2. Hlášení incidentů a kontinuita provozu – zákon č. 264/2025 Sb.
Zákon č. 264/2025 Sb. §16 ukládá jasný rámec hlášení incidentů: prvotní hlášení do 24 hodin od zjištění, oznámení do 72 hodin s podrobnějšími informacemi, závěrečná zpráva do 30 dnů od vyřešení. To vše přes Portál NÚKIB.
Ale zákon vyžaduje víc než jen hlášení. Vyhláška 409/2025 §15 ukládá řízení kontinuity činností: analýzu dopadů, plány obnovy, definici minimální přijatelné úrovně služby, stanovení doby obnovy (RTO) a bodu obnovy dat (RPO), a – klíčové – pravidelné testování těchto plánů.
Change Healthcare žádný takový plán evidentně neměla dostatečně propracovaný. Výpadek trvající týdny, neschopnost zpracovávat recepty a faktury po celé USA – to jsou příznaky firmy bez funkčního BCP/DRP pro scénář ransomware.
V zákoně je formulace konkrétní (§15 odst. 3 písm. e) vyhlášky 409/2025): povinná osoba plány „vypracuje, aktualizuje a pravidelně testuje". Plán v šuplíku, který se nikdy netestoval, zákon nenaplňuje.
Zaplatit výkupné: nejhorší strategické rozhodnutí
Change Healthcare je učebnicovým dokladem, proč se výkupné zpravidla nevyplatí.
Firma zaplatila 22 milionů dolarů. Data přesto unikla – affiliate je předala RansomHubu. Výpadek trval týdny navzdory zaplacení. Celkové náklady přesáhly 3 miliardy dolarů. Záznamy o platbě jsou viditelné na blockchainu, takže firma navíc potvrdila, že platí.
FBI konzistentně doporučuje výkupné neplatit: podporuje to kriminální ekonomiku a neposkytuje žádnou záruku obnovy dat ani mlčenlivosti. Zákon č. 264/2025 Sb. nezakazuje výkupné platit (to je na legislativním posouzení), ale jednoznačně vyžaduje hlášení incidentu – i v případě, kdy firma zaplatila a doufá, že se věc nevynese.
Záchrannou sítí jsou zálohy. Vyhláška 410/2025 §6 a vyhláška 409/2025 §16 vyžadují pravidelné zálohy konfigurací a dat nezbytných pro obnovu regulované služby. Záloha, ze které se skutečně dá obnovit – nikoliv záloha, která je ve stejné síti jako šifrovaná data – je to, co umožňuje zastavit ransomware vyděrače.
Dopad na pacienty: proč to není jen IT problém
V průběhu výpadku Change Healthcare:
- Lékárny nedokázaly zpracovat recepty přes pojišťovnu – pacienti platili plnou cenu nebo léky nedostali
- Nemocnice a praxe přišly o cashflow, protože nemohly fakturovat
- Malé praxe a venkovské nemocnice čelily existenčním problémům
- UnitedHealth Group poskytla zálohy a bezúročné půjčky nemocnicím v hodnotě přes 9 miliard dolarů
Zdravotní data 190 milionů lidí – přibližně každého druhého obyvatele USA – byla vystavena riziku úniku.
Kybernetická bezpečnost zdravotní firmy není jen regulatorní záležitost. Je to záležitost zdraví a životů pacientů. To platí pro všechny poskytovatele zdravotní péče, lékárenské sítě, zdravotní pojišťovny a jejich dodavatele, kteří dnes spadají pod zákon č. 264/2025 Sb.
Co z toho plyne pro česká zdravotnická zařízení
Zdravotnictví patří pod zákon č. 264/2025 Sb. mezi odvětví s vyšší mírou regulace. Vyhláška č. 408/2025 Sb. (vymezení regulovaných služeb) explicitně uvádí poskytovatele zdravotní péče jako poskytovatele regulované služby – velké jako vyšší povinnosti, střední jako nižší povinnosti.
Co to v praxi znamená?
MFA pro všechny vzdálené přístupy – VPN, RDP, Citrix, webové portály pro zaměstnance. Change Healthcare byl hacknut přes Citrix bez MFA. Česká nemocnice nebo pojišťovna může být hacknutá přes totéž.
Plán obnovy, který se testuje – zákon vyžaduje pravidelné testování BCP/DRP plánů. Nemocnice bez funkční zálohovací strategie je v ransomware útoku vydána na milost.
Hlášení incidentu do 24 hodin – zákon č. 264/2025 §16 odst. 1 jasně říká: prvotní hlášení do 24 hodin od zjištění. Ne od chvíle, kdy se firma rozhodne, že incident je dostatečně velký na hlášení.
Segmentace sítě – ransomware se šíří laterálně. Dobře segmentovaná síť omezí dopad na část systému, nikoliv na celou organizaci.
Poučení z Change Healthcare není technická rarita. Je to seznam základních bezpečnostních opatření, která chyběla. Ta samá opatření, která zákon č. 264/2025 Sb. dnes explicitně vyžaduje.
Chcete zjistit, jak vaše organizace stojí v oblasti hlášení incidentů, plánování kontinuity a MFA? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: TechTarget – Change Healthcare breached via Citrix portal (2024), IBM Think – Change Healthcare discloses $22M ransomware payment, BlackFog – Change Healthcare Landmark Cybersecurity Breach, HIPAA Journal – Change Healthcare Responding to Cyberattack, BankInfoSecurity – Change Healthcare's Mega Attack: 1 Year Later (únor 2025), SecureWorld – UnitedHealth reveals escalated costs $2.3-2.45B, UnitedHealth Group Q3 2024 SEC earnings (celkové náklady $2,5B přes 9 měsíců), Becker's Hospital Review – Financial toll of Change Healthcare hack ($3.09B celý rok), zákon č. 264/2025 Sb. §16, vyhláška 409/2025 Sb. §15 a §19, vyhláška 410/2025 Sb. §6 a §8, vyhláška č. 408/2025 Sb. (zdravotnictví jako regulovaná služba)