Najnowsze dane w tym zakresie zostały przedstawione podczas spotkania dla prasy, zorganizowanego w Centrum e-Zdrowia. Według ostrożnych szacunków CeZ, w porównaniu z ubiegłym rokiem realny jest wzrost liczby cyberataków o ponad 400 (szacunkowo 1400 na koniec 2025 r., w 2024 było to 1028). Wynika to z obserwacji dotychczasowych tendencji w tym obszarze. Najczęściej zdarzają się ataki związane z oszustwami komputerowymi (np. sytuacje, w których pracownik kliknął podejrzany link i umożliwił w ten sposób przestępcom "wejście" do wewnętrznego ekosystemu), istotnym problemem jest jednak również sama podatność infrastruktury krytycznej (brak odpowiednich zabezpieczeń, antywirusów, dwuskładnikowego uwierzytelniania przy logowaniu itp.). 

Niekoniecznie spadek z Ameryki 

O ile większość pracowników przyzwyczaiła się do prób oszustwa polegających np. na rozsyłaniu spamu nigeryjskiego, w których dana osoba rzekomo oferuje przekazanie fortuny po zmarłym krewnym (oczywiście za kliknięciem linku, który następnie infekuje komputer i sieć), o tyle współczesne sposoby przestępców są już dużo trudniejsze do zauważenia. Jak wskazał dr Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych (ZDIII) oraz pełnomocnik ds. CSIRT (Cyber Security Incident Response Team; Sektorowy Zespół Cyberbezpieczeństwa) CeZ, ataki przeprowadzane na jednostki ochrony zdrowia są coraz bardziej wymyślne i złożone. I o ile widać, że świadomość dotycząca cyberbezpieczeństwa jest wyższa niż jeszcze trzy lata temu, to nadal nie można uznać jej za wystarczającą. Jak wynika z danych CeZ, w ostatniej ankiecie, w których pytano kierowników placówek medycznych o wdrożenie systemów, aż 9 proc. z nich wskazało, że nie ma nawet tak podstawowego zabezpieczenia, jak antywirus. Dr Jeruzalski zaznaczył też, że nawet jeśli dany podmiot ma odpowiednie systemy bądź zatrudnia specjalistę ds. cyberbezpieczeństwa, to wciąż może okazać się, że nie jest to wystarczająca ochrona. Nie wystarczy bowiem wykupić systemu albo spisać procedur - oprogramowania trzeba na bieżąco aktualizować i dostosowywać, a przepisy stosować w praktyce. 

Sektor ochrony zdrowia jest ogólnie jednym z najbardziej narażonych na cyberataki, jednak poszczególne rodzaje placówek różnią się pod względem tego, z jakim zagrożeniem się to wiąże. Jak zaznaczał dr Jeruzalski, w przypadku cyberataku na szpital największym wyzwaniem jest zachowanie względnej ciągłości pracy. Paraliż systemu może bowiem wiązać się z odwoływaniem planowych zabiegów, niemożności przyjęcia nowych pacjentów, a w skrajnych sytuacjach - zagrozić życiu i zdrowiu. Z kolei w mniejszych placówkach Podstawowej Opieki Zdrowotnej (POZ) przestępcy mogą wykorzystać niedostatecznie zabezpieczony system gabinetowy - na przykład po to, by za pośrednictwem konta konkretnego lekarza wystawić setki recept na dany lek, do którego dostęp często jest ograniczony prawnie. 

Czytaj też: Ponad dwukrotny wzrost cyberataków na szpitale w ciągu roku

E-usługi w ochronie zdrowia wciąż nie są standardem

Ogromne straty, duże pieniądze 

Zgodnie z danymi z raportu IBM "Cost of a Data Breach Report 2025", już w tym roku średni globalny koszt wycieków danych to 4,4 mln dolarów (na zakończenie 2024 r. było to 4,88 mln dol.). Widać to także w sytuacjach, w których ofiarą cyberataku padnie szpital. Jeremi Olechnowicz, kierownik CSiRT CeZ, wskazał, że choć trudno mówić o konkretnych liczbach, bo wszystko zależy od indywidualnego przypadku, to koszty mogą wówczas wynosić miliony złotych. Bo jeśli dojdzie do cyberataku, zazwyczaj wiąże się to z koniecznością zatrudnienia ekspertów, generalną odbudową infrastruktury i zakupieniem dodatkowego lub nowego sprzętu. 

Jak zaznaczył Olechnowicz, świadomość dotycząca cyberbezpieczeństwa jest w jednostkach ochrony zdrowia bardzo zróżnicowana. Są podmioty, które mają na tyle dobre przygotowanie i infrastrukturę, że po kilku dniach są w stanie odtworzyć wszystko, co zostało utracone w wyniku ataku ransomware. Są też takie, w których nigdy nie udaje się odzyskać danych, bo nie sprawdzono na przykład, czy kopie zapasowe są prawidłowo przygotowywane (bądź też w ogóle ich nie stworzono). 

Jak szpitale mogą się chronić przed tego typu przestępstwami? CeZ przygotował listę priorytetów, która pomoże w sprawdzeniu, czy systemy są odpowiednio zabezpieczone. Znalazło się na niej: 

• wdrożenie tzw. odmiejscowionych kopii zapasowych;
• wdrożenie niezbędnych procedur oraz urządzeń w celu testowania kopii zapasowych;
• wdrożenie systemów klasy firewall, antywirus, najlepiej EDR/XDR oraz dedykowanych systemów kopii zapasowych;
• wdrożenie wieloskładnikowego logowania (MFA);
• cykliczne monitorowanie podatności w zarządzanej infrastrukturze;
• wdrożenie rozwiązań do zbierania i przechowywania logów zdarzeń (tworzone automatycznie, chronologiczne zapisy zdarzeń w sieci, tzw. dzienniki zdarzeń);
• zapewnienie niezbędnych polityk i procedur (SZBI);
• przeprowadzanie regularnych szkoleń dla pracowników.

Wkrótce nowe rozwiązania 

Jak wyjaśniali przedstawiciele CeZ podczas spotkania, trwają obecnie prace nad stworzeniem minimalnych wymagań dla dostawców oprogramowania gabinetowego, które przed wdrożeniem będą również konsultowane ze środowiskiem. Ma to pozwolić na zwiększenie bezpieczeństwa udostępnianych systemów. Najprawdopodobniej jeszcze przed końcem roku powstanie też podręcznik ds. cyberbezpieczeństwa ściśle dedykowany podmiotom ochrony zdrowia. Ma również powstać specjalny komunikator, za pośrednictwem którego w łatwy sposób będzie można zgłosić do CeZ przypadki naruszeń bezpieczeństwa w danej jednostce. Można to jednak robić już teraz - mailowo, za pośrednictwem dedykowanego formularza oraz telefonicznie. Przedstawiciele CeZ zachęcają, by w przypadku wykrycia podejrzanych aktywności w pierwszej kolejności kontaktować się właśnie z nimi. CeZ udziela pomocy jednostkom ochrony zdrowia za darmo, ma również możliwość m.in. sprawdzenia infrastruktury pod kątem podatności na ataki. Realizuje jednocześnie w ten sposób zadania, które zostały mu przydzielone w ustawie. 

Nowość

-10%

Nowość

Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź