O tym, że w ostatnim czasie zaobserwowano nasilone ataki hakerów, ukierunkowane zwłaszcza na podmioty należące do sektora ochrony zdrowia, informuje w specjalnym komunikacie Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa – obecnie rolę tę pełni Krzysztof Gawkowski, który jest jednocześnie ministrem cyfryzacji. Jak wyjaśniono, ataki cechują się powtarzalnymi technikami i sposobami, dlatego w dokumencie wyjaśniono, na jakie aspekty szczególnie należy zwracać uwagę i pod jakim kątem szpitale i placówki powinny sprawdzić swoje zabezpieczenia. Komunikat powstał przy współpracy Ministerstwa Cyfryzacji i sektorowego zespołu cyberbezpieczeństwa CSIRT (Computer Security Incident Response Team) Centrum e-Zdrowia oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego poziomu krajowego CSIRT NASK i CSIRT GOV.
Ważne jak najszersze wdrożenie zasad bezpieczeństwa
Komunikat zawiera tzw. wskaźniki kompromitacji (IOC, Indications of Compromise) – to cyfrowe ślady i dowody kryminalistyczne, które wskazują na zainfekowanie sieci. Chodzi m.in. o połączenia do VPN czy identyfikację użytych narzędzi. Na ich podstawie można stwierdzić, że do ataku na daną sieć już doszło. Komunikat daje również szczegółowe zalecenia działań prewencyjnych dla placówek medycznych. Jak zaznaczono, realizacja nawet części działań pozwoli znacząco ograniczyć ryzyko wystąpienia incydentu oraz zminimalizować jego ewentualne skutki dla ciągłości działania podmiotu, resort zachęca jednak do jak najszerszego wdrażania rozwiązań.
Podmiotom medycznym zalecono zwłaszcza aktualizację wszystkich systemów i upewnienie się, że sprzęt jest obsługiwany na najnowszych, stabilnych wersjach oprogramowania. Zapewnia to bowiem skuteczniejszą ochronę przed wirusami. Dostęp administracyjny do urządzeń musi być realizowany wyłącznie z wydzielonej sieci zarządzającej, zachęcono też do przeglądu wszystkich kont o podwyższonych uprawnieniach na urządzeniach sieciowych. Wskazano, by jak najbardziej ograniczyć ruch sieciowy na służbowym sprzęcie – krótko mówiąc, by blokować strony, które nie są niezbędne do pracy. Pomocne może być także ograniczenie użytkownika do tylko jednej aktywnej sesji w danym czasie. Konieczne jest cykliczne monitorowanie ruchu sieciowego i analiza podejrzanych zdarzeń, warto także rozważyć wdrożenie Geo-blockingu. Oznacza to w praktyce ograniczenie ruchu przychodzącego wyłącznie do regionu Polski lub Europy, co może ograniczyć szansę na potencjalny cyberatak spoza Europy.
Resort zaleca także weryfikację logowań o niestandardowych godzinach, odbiegających od typowego harmonogramu pracy podmiotu, a także regularny przegląd serwerów oraz systemów wykorzystywanych przez organizację i natychmiastowe usuwanie kont byłych pracowników oraz kont nieużywanych. Warto zwrócić również uwagę na zasady tworzenia hasła: przy ustanawianiu nowego hasła musi ono być odpowiedniej długości (min. 16-20 znaków), z kombinacją wielkich i małych liter, cyfr oraz znaków specjalnych. Każde konto administracyjne powinno mieć osobne, unikalne hasło dla każdego z wykorzystywanych systemów. W kontekście ataków typu ransomware, najczęściej obserwowanych ostatnio w szpitalach, istotne jest też tworzenie kopii zapasowych oraz regularny, codzienny przegląd dzienników zdarzeń AV/EDR pod kątem alertów typu „malware detection”. Ignorowanie tych alertów jest bowiem najczęstszą przyczyną udanych ataków tego rodzaju.
Długotrwałe utrudnienia dla personelu i pacjentów
Tylko w marcu doszło do kilku głośnych cyberataków na szpitale. Chodzi m.in. o Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie. Jak zaznacza w wypowiedzi dla Prawo.pl Tomasz Owsik-Kozłowski, rzecznik prasowy placówki, choć od ataku minęły trzy tygodnie, nadal widać jego konsekwencje. - Cyberatak nie sparaliżował całkowicie szpitala, ale boleśnie zachwiał naszą codzienną pracą, a powrót do pełnej równowagi potrwa na pewno długie tygodnie. Oczywiście nie oznacza to, że przez cały ten czas skutki będą odczuwane przez pacjentów, bo w pewnym momencie będziemy mierzyć się już głównie z trudnościami technicznymi, istotnymi przede wszystkim dla personelu medycznego i administracyjnego – zaznacza.
Podkreśla jednak, że obecnie szpital wciąż działa w trybie awaryjnym, choć jest lepiej niż jeszcze dwa tygodnie temu, pewne elementy infrastruktury informatycznej wróciły do funkcjonowania, widać też postępy prowadzonych nieprzerwanie prac.
Niestety, w wielu obszarach nadal występują poważne trudności i ograniczenia. Nie prowadzimy rejestracji do poradni specjalistycznych, z wyjątkiem pacjentów posiadających karty DILO – w ich przypadku wszystkie czynności realizujemy ręcznie. Same poradnie funkcjonują i przyjmują pacjentów zgodnie z ustalonymi przed atakiem terminami wizyt, zresztą podobnie jak oddziały. Część naszych lekarzy wciąż ma trudności z wystawianiem recept czy zwolnień lekarskich. W związku z tym prośba o wsparcie skierowana dwa tygodnie temu do lekarzy podstawowej opieki zdrowotnej pozostaje aktualna. Nadal nie mamy także dostępu do znacznej części danych medycznych naszych pacjentów, co stanowi jedno z najpoważniejszych utrudnień w bieżącej pracy – wyjaśnia rzecznik.
Tomasz Owsik-Kozłowski wskazuje też, że część działań, takich jak np. konfiguracja ponad tysiąca szpitalnych komputerów, ma charakter techniczny i wymaga dużego zaangażowania kadrowego. - Tym bardziej dziękujemy wszystkim organom i instytucjom, które w tym trudnym okresie nas wspierają. Są wśród nich m.in. CSIRT CeZ oraz żołnierze Wojsk Obrony Terytorialnej – mówi.
Tendencja będzie rosnąca
Do ataku typu ransomware doszło w ciągu ostatnich dni również w przypadku Bonifraterskiego Centrum Medycznego (BCM). W komunikacie opublikowanym na stronie internetowej zapewniono, że placówki działają stabilnie, a działanie systemów przywrócono w ciągu kilku godzin. - Źródło ataku jest analizowane. Na tym etapie nie potwierdzamy żadnej konkretnej przyczyny, natomiast możemy stwierdzić, że atak nie był wynikiem nieostrożności pracownika – wyjaśniono w komunikacie.
Postępowanie w tej sprawie prowadzi Centralne Biuro Zwalczania Cyberprzestępczości, a, jak przekazała Polska Agencja Prasowa, jest spore prawdopodobieństwo, że atak na placówkę jest powiązany z tym na szpital w Szczecinie. - Wskazują na to rozpoznane przez policjantów dane informatyczne, a także użyte do ataku oprogramowanie – stwierdził w wypowiedzi dla PAP komisarz Marcin Zagórski, rzecznik prasowy CBZC.
Tomasz Kulas, rzecznik prasowy Centrum e-Zdrowia, zaznacza, że w ostatnich latach wyraźnie widać wzrost liczby zgłaszanych incydentów. - W 2024 roku zarejestrowaliśmy 1028 zdarzeń, a w 2025 już 1441, co pokazuje dynamicznie rosnącą skalę zagrożeń. Same liczby nie oddają jednak pełnego obrazu, znaczenie ma także różnorodność typów ataków i wykorzystywanych przez cyberprzestępców technik. Należy brać też pod uwagę, że nowe zagrożenie może mieć zupełnie inny charakter i wpływ na funkcjonowanie placówek - wyjaśnia.
Rzecznik CeZ zaznacza też, że jeśli chodzi o statystyki, widać ogólną tendencję wzrostową, choć z naturalnymi wahaniami wynikającymi z różnic w rodzajach incydentów oraz technikach stosowanych przez różne grupy przestępcze. Jednak, co istotne, adwersarz zawsze dysponuje przewagą wyboru czasu, miejsca i metod działania, a sektor ochrony zdrowia ze względu na swoją kluczową rolę i wrażliwość pozostaje szczególnie atrakcyjnym celem.
Dlatego od lat podkreślamy, że to nie jest pytanie „czy”, lecz „kiedy” nastąpi kolejna próba ataku i jak dobrze organizacja będzie na nią przygotowana. CSIRT CeZ na bieżąco wspiera podmioty medyczne – reagujemy na zgłoszenia, analizujemy incydenty i udostępniamy aktualne wskaźniki zagrożeń. W świetle obecnej sytuacji geopolitycznej należy zakładać, że skala prób ataków może jeszcze rosnąć, dlatego tak ważne jest szybkie zgłaszanie incydentów oraz konsekwentne wzmacnianie zabezpieczeń. Naszym priorytetem pozostaje bezpieczeństwo pacjentów i nieprzerwane funkcjonowanie systemów, od których zależy opieka medyczna - podsumowuje Tomasz Kulas.
----------------------------------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
