Subskrypcja - Gazety Lekarskiej
1 lipca 2025

Polecamy

Cyberataki paraliżują szpitale

Placówki ochrony zdrowia stają się celem hakerów. Zablokowane systemy, utracone dane, odwołane operacje – a w tle prawdziwe zagrożenie dla życia pacjentów.

Fot. shutterstock.com

W ostatnich latach ataki ransomware stały się jednym z największych zagrożeń dla ochrony zdrowia na całym świecie, również w Polsce. Placówki medyczne, szpitale oraz prywatne kliniki przechowują olbrzymie ilości wrażliwych danych pacjentów, które stanowią atrakcyjny cel dla cyberprzestępców. W marcu br. przekonał się o tym szpital MSWiA w Krakowie, w którym w ramach ataku ransomware zablokowano dostęp do wielu systemów IT.

Ransomware to rodzaj złośliwego oprogramowania, które po zainfekowaniu komputera szyfruje jego zawartość, przez co blokuje dostęp do plików lub baz danych. W zamian za dostarczenie klucza do odszyfrowania danych hakerzy żądają okupu (zwykle w kryptowalutach), jednak – jak pokazuje doświadczenie wielu ofiar – nawet po jego zapłaceniu nie ma gwarancji odzyskania dostępu do informacji. Naturalnym remedium przeciwko skutkom ataków ransomware jest systematyczne wykonywanie kopii zapasowych (backup) danych.

W przypadku powodzenia ataku wystarczy przywrócić je do zaatakowanej stacji roboczej lub serwera i uniknąć płacenia okupu.

Świadomi tej możliwości cyberprzestępcy zaczęli w ramach prowadzonych ataków wykradać dane i, szantażując, żądać zapłaty za zaniechanie ich upublicznienia. Taka sytuacja stanowi podwójne zagrożenie dla placówek ochrony zdrowia: powoduje zarówno utratę dostępu do systemów medycznych (co może skutkować opóźnieniami w leczeniu, błędami diagnostycznymi, a nawet zagrożeniem życia pacjentów), jak i potencjalne poważne konsekwencje prawne wynikające z wycieku wrażliwych danych.

Jak ransomeware trafia do komputera

Do zainicjowania ataku ransomware może dojść na kilka sposobów. Najczęstszym jest kliknięcie przez użytkownika w link lub otworzenie załącznika do stanowiącej element kampanii phishingowej wiadomości e-mail, która może wyglądać jak wysłana przez znanego nadawcę (np. kierownictwo szpitala, dostawcę sprzętu medycznego lub firmę farmaceutyczną). To tam zazwyczaj znajduje się złośliwy plik zawierający kod szyfrujący dane, który cyberprzestępcy chcą uruchomić na komputerze ofiary.

Jeżeli oprogramowanie antywirusowe lub narzędzia ochrony sieci nie wykryją tego faktu, hakerzy mają otwartą drogę do zasobów szpitala. Co więcej, zazwyczaj szkodliwy plik ma wbudowany mechanizm autoreplikacji, co powoduje, że zagrożone stają się wszystkie komputery podłączone do sieci.

Sposobów na przeniknięcie kodu ransomware do komputera jest więcej. Wartym odnotowania są błędy w ustawieniach konfiguracyjnych urządzeń i oprogramowania, a także samodzielne zainstalowanie złośliwego kodu przez użytkownika, który mógł być dystrybuowany np. z nielegalnie pobranym z internetu oprogramowaniem. Bardzo ważne jest również bieżące aktualizowanie aplikacji. Cyberprzestępcy mogą być świadomi charakteru luk, które są łatane przez aktualizacje, a następnie wykorzystywać je do uruchomienia złośliwego kodu.

Na szczęście narzędzia ochronne są coraz skuteczniejsze – od strony technicznej stosunkowo prosto jest zauważyć fakt, że nagle duża liczba plików została poddana zaszyfrowaniu danych. Dlatego cyberprzestępcy wynajdują bardziej zaawansowane metody, aby doprowadzić do maksymalizacji swojego zysku. Wspomniane wykradanie danych jest jedną z nich, ale coraz częściej przyjmowaną strategią jest poszukiwanie na większą niż dotychczas skalę ofiar, które nie będą posiadały stosownych zabezpieczeń. Dlatego inicjują oni zaawansowane kampanie, między innymi z wykorzystaniem narzędzi sztucznej inteligencji, w ramach których możliwe jest zautomatyzowane identyfikowanie luk w zabezpieczeniach i atakowanie najbardziej wrażliwych systemów.

Zdarza się też, że czasem przyjmowana jest odwrotna strategia – za cel ataku obierana jest konkretna placówka i przez dłuższy czas podejmowane są wobec niej wrogie działania, aż do osiągnięcia sukcesu. Dlatego aby zminimalizować ryzyko infekcji, konieczne jest nie tylko stosowanie profesjonalnych zabezpieczeń przeciwko atakom ransomware, ale również zadbanie o wiedzę pracowników, bo to oni zawsze stanowią najsłabsze ogniwo w systemach ochrony.

Zdrowie słabo zabezpieczone

Placówki medyczne przetwarzają wrażliwe dane pacjentów, w tym historie chorób, wyniki badań oraz dane osobowe. Cyberprzestępcy wiedzą, że podmioty te nie mogą pozwolić sobie na długotrwałe przerwy w dostępie do cyfrowych systemów, co sprawia, że w wyniku presji na jak najszybsze przywrócenie ich do pracy będą bardziej skłonne do zapłacenia okupu. W grę wchodzi też wartość danych medycznych (większa niż np. danych finansowych), szczególnie na czarnym rynku.

Podmioty medyczne bywają także szczególnie podatne na ataki ransomware z powodów technicznych. Funkcjonujące w nich systemy IT często składają się z wielu połączonych ze sobą urządzeń, co zwiększa możliwy do zaatakowania obszar. Słabe ogniwo może również stanowić podłączony do internetu sprzęt lub starszej daty oprogramowanie (ze szczególnym wskazaniem na nadal powszechnie stosowany system operacyjny Windows XP), dla których producenci nie zapewniają już aktualizacji eliminujących ewentualne luki.

No i kwestie finansowe: wiele szpitali i przychodni działa w realiach ograniczonego budżetu na IT, co może prowadzić do zaniedbań w zakresie cyberbezpieczeństwa.

Do tej pory cyberprzestępcom udało się przeprowadzić wiele ataków ransomware na placówki medyczne na całym świecie. Do spektakularnego incydentu dochodzi raz na kilka miesięcy. Ataki skutkowały ogromnymi problemami w codziennej pracy lekarzy. Doprowadzały do opóźnień w diagnozowaniu i leczeniu pacjentów, a także odwoływania wizyt, zabiegów i operacji. Brak możliwości uzyskania dostępu do elektronicznych kartotek pacjentów powodował konieczność prowadzenia dokumentacji w sposób ręczny, co zwiększało ryzyko popełnienia błędów medycznych. Sytuacje te prowadziły do utraty poufnych danych pacjentów, co mogło skutkować konsekwencjami prawnymi dla placówki oraz utratą reputacji.

Dochodziło również do tragicznych wydarzeń. Przykład to przeprowadzony w 2020 r. atak na szpital w Düsseldorfie, w którym pacjentka zmarła, ponieważ musiała zostać przeniesiona do innej placówki z powodu paraliżu systemów IT (to pierwszy oficjalnie odnotowany przypadek śmierci, do której przyczynił się atak ransomware). Jeśli chodzi o poważne straty finansowe, przykładem może być brytyjski system NHS, który w wyniku ataku w 2017 r. musiał pokryć gigantyczne koszty w wysokości ok. 92 mln funtów, obejmujące zapłacenie okupu, odbudowę systemów, utracone przychody oraz pozwy sądowe.

Polska także pod ostrzałem

Z danych statystycznych zebranych przez Centrum e-Zdrowia wynika, że w ciągu ostatniego roku liczba ataków na branżę medyczną w Polsce zwiększyła się ponad 2,5-krotnie. W 2023 r. odnotowano 405 incydentów, a w 2024 r. – już 1028. Co istotne, w 2024 r. było więcej cyberataków na placówki ochrony zdrowia niż łącznie w ciągu trzech poprzednich lat. Eksperci szacują, że w ciągu ostatniego roku cyfrowego incydentu doświadczyło ponad 80 proc. polskich podmiotów medycznych. W wielu z nich nie dochodziło do zaszyfrowania danych, ale do ich wycieku w wyniku odmowy ulegnięcia szantażowi i zapłaty okupu.

W skali globalnej ataki na branżę medyczną w 2024 r. odnotowywano średnio 2,4 tys. razy w tygodniu, zaś ich wzrost wyniósł 47 proc. (według danych firmy Check Point). Ataki na sprzęt i urządzenia IoMT (Internet of Medical Things), które często nie mają wbudowanych zabezpieczeń, co sprawia, że są podatne na naruszenia, nasiliły się w ciągu ostatniego roku o ponad 170 proc. Ataki na oprogramowanie wzrosły o 109 proc. W Polsce według Centrum e-Zdrowia ponad 72 proc. placówek nie ma zespołów ds. cyberbezpieczeństwa.

W kraju do tej pory miały miejsce dwa incydenty o poważnych skutkach. W listopadzie 2022 r. ofiarą ataku ransomware padł Instytut Centrum Zdrowia Matki Polki w Łodzi, co doprowadziło do poważnych zakłóceń w funkcjonowaniu placówki. Część systemów została unieruchomiona (m.in. system rejestracji pacjentów oraz cyfrowych kart zdrowia), a personel medyczny musiał przejść na pracę w trybie ręcznym, co znacząco wpłynęło na efektywność świadczenia usług, wydłużyło procesy administracyjne i spowodowało kolejki w szpitalu.

Sprawcy zażądali okupu, ale placówka odmówiła i zdecydowała się na przywracanie systemu z kopii zapasowych, co trwało kilka dni. Na szczęście w ramach tego ataku nie doszło do wycieku danych.

Natomiast w marcu br. doszło do poważnego ataku ransomware na szpital MSWiA w Krakowie, w ramach którego zaszyfrowane zostały dane na serwerach placówki, co uniemożliwiło dostęp do kluczowych systemów informatycznych. Placówka musiała wstrzymać przyjmowanie pacjentów, a główny system komputerowy obsługujący dokumentację medyczną przestał działać. Istnieje też duże ryzyko, że wiele poufnych informacji trafiło w ręce cyberprzestępców, chociaż do tej pory nie doszło do ich wycieku. Szacuje się, że straty związane z tym atakiem sięgają milionów złotych.

Jak lekarze mogą przeciwdziałać atakom

Chociaż lekarze nie mają bezpośredniego wpływu na funkcjonowanie systemów bezpieczeństwa IT w podmiotach medycznych, ich codzienne nawyki mogą znacząco wpłynąć na poziom ochrony przed atakami ransomware. Przestrzeganie podstawowych zasad bezpieczeństwa może uchronić całą placówkę przed katastrofalnymi skutkami cyfrowego ataku.

1. Uważaj na podejrzane wiadomości e-mail:

  • Nie otwieraj podejrzanych załączników i linków. Jeśli otrzymasz e-mail od nieznanej osoby lub wyglądający podejrzanie, nie klikaj w linki i nie otwieraj załączników, zwłaszcza jeśli zawierają pliki z rozszerzeniami EXE, ZIP, DOCM czy PDF.
  • Sprawdź adres nadawcy. Cyberprzestępcy w wiadomościach e-mail mogą podszywać się pod znane instytucje, ale adres ich nadawcy zazwyczaj nie odpowiada domenie placówki, pod którą się podszywa (czasami jest zupełnie inny, ale czasem może być podobny, np. @szpitalxyz.net zamiast @szpitalxyz.pl).
  • Nie podawaj danych logowania. Jeśli w wiadomości e-mail lub pod znajdującym się w niej linkiem występuje prośba o podanie loginu i hasła, prawie na 100 proc. jest to oszustwo (tzw. phishing).

2. Nie podłączaj nieznanych urządzeń USB:

  • Nie korzystaj z przypadkowych pendrive’ów. Jeśli znajdziesz pamięć USB w szpitalu, na parkingu lub w innym miejscu, zgłoś to do działu IT, zamiast podłączać ją do komputera. Mogła być ona podrzucona przez włamywaczy w ukierunkowanym precyzyjnie przeciwko Twojej placówce ataku i może zawierać złośliwe oprogramowanie.
  • Używaj tylko sprawdzonych nośników danych. Nośniki USB służące do przechowywania wrażliwych danych, jakimi są informacje medyczne, muszą być zgodnie z prawem wyposażone w funkcję szyfrowania, a kluczami kodującymi powinien zarządzać dział IT. Dlatego jeśli zajdzie konieczność korzystania z takich pamięci, muszą wydawać je informatycy z oficjalnej puli i regularnie skanować je pod kątem obecności złośliwego kodu.

3. Unikaj podłączania prywatnych urządzeń do sieci:

  • Nie loguj się do systemów medycznych na prywatnym laptopie czy telefonie. Twój prywatny sprzęt może być słabiej zabezpieczony i stać się źródłem infekcji dla całej sieci placówki.
  • Nie zapisuj poufnych danych pacjentów na prywatnych urządzeniach. Jeśli Twój telefon zostanie zainfekowany ransomware, dane mogą zostać wykradzione.

4. Aktualizuj hasła i nie udostępniaj ich innym:

  • Używaj silnych, trudnych do złamania haseł. Powinny zawierać co najmniej 12 znaków, duże i małe litery, cyfry oraz symbole specjalne.
  • Nie zapisuj haseł na karteczkach. Jeśli ktoś zobaczy lub sfotografuje Twoje hasło, może uzyskać dostęp do poufnych danych.
  • Nie udostępniaj konta innym pracownikom. Każdy powinien mieć indywidualny dostęp do systemów medycznych.

5. Zgłaszaj podejrzane sytuacje działowi IT:

  • Bądź czujny. Jeśli zauważysz coś nietypowego w pracy komputera (np. spowolnienie pracy, dziwne komunikaty), natychmiast zgłoś to do działu IT.
  • Reaguj natychmiast, gdy popełnisz błąd. Jeśli przypadkowo kliknąłeś w podejrzany link lub otworzyłeś niebezpieczny załącznik, nie czekaj – zgłoś to jak najszybciej.

6. Współpracuj z działem IT:

  • Regularnie uczestnicz w szkoleniach z cyberbezpieczeństwa. Personel powinien być regularnie szkolony w zakresie rozpoznawania podejrzanych wiadomości e-mail, unikania klikania w nieznane linki oraz sposobów zgłaszania wszelkich podejrzanych aktywności.
  • Bierz udział w testach socjotechnicznych. Niektóre placówki przeprowadzają testy, w ramach których symulowane są ataki phishingowe i inne, a zachowanie użytkowników jest obserwowane i rejestrowane. Chociaż metoda ta wzbudza kontrowersje, potraktuj to jako okazję do nauki.
  • Nie lekceważ podejmowanych przez informatyków działań mających na celu ochronę cyfrowych systemów. Działy IT wykonują trudną pracę, aby będąc pod ciągłym ostrzałem zagwarantować wszystkim komfortową pracę, a pacjentom możliwość nieprzerwanego korzystania z usług.

Krzysztof Jakubik

Autor jest redaktorem magazynu CRN, specjalizującym się w tematyce cyfrowego bezpieczeństwa i zaawansowanych rozwiązań IT

Źródło: „Gazeta Lekarska” nr 5/2025

Zobacz także

Samorząd nowego pokolenia

System ochrony zdrowia: taniec wokół płac

Nowe przepisy dotyczące e-papierosów. Zmiany tuż tuż

Agnieszka Gorgoń-Komor: czas odchudzić system, nie pacjenta

Pierwsze posiedzenie zespołu, który zajmie się klauzulą wyższego dobra 

Nie tak powinien wyglądać dyżur lekarza

Dr Hanna Stolińska: dieta to nie magia z Instagrama

Paweł Litwiński: największe ryzyko powoduje człowiek

Zamki Dolnego Śląska: historia i relaks. Czas spędzić urlop w Polsce

Cyberataki paraliżują szpitale

Samorząd nowego pokolenia

System ochrony zdrowia: taniec wokół płac

Nowe przepisy dotyczące e-papierosów. Zmiany tuż tuż

Agnieszka Gorgoń-Komor: czas odchudzić system, nie pacjenta

Pierwsze posiedzenie zespołu, który zajmie się klauzulą wyższego dobra 

Nie tak powinien wyglądać dyżur lekarza

Dr Hanna Stolińska: dieta to nie magia z Instagrama

Paweł Litwiński: największe ryzyko powoduje człowiek

Zamki Dolnego Śląska: historia i relaks. Czas spędzić urlop w Polsce

Ogłoszono 3. edycję konkursu „Wdrożenie innowacji w opiece zdrowotnej”

Dr hab. Ewa Gulczyńska: mleko mamy na wagę złota

Gorąca dyskusja o pieniądzach w ochronie zdrowia

Wyższe kary na rynku suplementów diety

Agnieszka Piątkowska: banki białej krwi

Okrągły stół dla stomatologii

Zmiana w prawie farmaceutycznym przegłosowana przez Sejm

Choroba alkoholowa: bilans zysków i strat jest oczywisty

„Anioł przed sklepem mięsnym” i „Życzenia noworoczne”

Lekarze z Ukrainy dłużej w Polsce na specjalnych zasadach

Jak zwracać się do lekarza?

Lekarz wojskowy, czyli wszechstronny

Kiedy lekarz może płacić ryczałt

Lekarz z Bytomia, a dyplom z Kijowa

Burza. Prequel

Nie łam się, medyku

Ostatnia tajemnica Marszałka Józefa Piłsudskiego

Lekarz a emerytura. Praca w szczególnym charakterze

Terapia uporczywa czy daremna? Zmiany w Kodeksie Etyki Lekarskiej

39 lat temu przeprowadzono pierwszy udany przeszczep serca w Polsce