Dziurawe cyberbezpieczeństwo. Szpitale bez tarczy

Hakerzy potrafią sparaliżować systemy, zablokować dostęp do danych, a nawet zagrozić życiu pacjentów. Tymczasem wiele placówek wciąż nie ma wdrożonych podstawowych zabezpieczeń.

Szpitale i przychodnie są atrakcyjnym celem dla przestępców, ponieważ gromadzą wrażliwe dane i opierają się na rozwiązaniach cyfrowych. Polska ze względów geopolitycznych doświadcza największej liczby cyberataków wśród państw Unii Europejskiej.

Sam sektor ochrony zdrowia jest dla cyberprzestępców łatwym celem. Placówki medyczne nie tylko gromadzą wrażliwe dane, ale też posiadają systemy wykorzystywane do obsługi pacjentów – rejestrację czy zarządzanie danymi.

W samym sektorze ochrony zdrowia do końca sierpnia tego roku odnotowano 946 incydentów cyberbezpieczeństwa, niemal tyle, ile w całym 2024 r. – wynika z danych CSIRT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego) Centrum e-Zdrowia. CSIRT CeZ to jedyny sektorowy zespół cyberbezpieczeństwa w obszarze zdrowia, którego zadaniem jest wsparcie placówek medycznych w walce z zagrożeniami.

Zagrożenie dla ludzkiego życia

Pamiętnym atakiem okazał się ten z marca tego roku. Ofiarą przestępców padł szpital MSWiA w Krakowie. W wyniku cyberataku przestał działać główny szpitalny system komputerowy obsługujący system dokumentacji medycznej. Najpoważniejszą konsekwencją było wstrzymanie przyjęć planowych na oddział neurologii. Jak tłumaczył minister cyfryzacji Krzysztof Gawkowski, bardzo szybko wdrożono procedury awaryjne, w związku z czym nie było zagrożenia dla zdrowia i życia pacjentów.

Służby odpowiedzialne za cyberbezpieczenstwo, w tym CERT Polska, Centrum e-Zdrowie i Centralne Biuro Zwalczania Cyberprzestępczości pracowały nad zabezpieczeniem śladów. Minister cyfryzacji tłumaczył, że codziennie rejestrowanych jest około 2000 incydentów, z czego nawet 300 wymaga natychmiastowej reakcji specjalistów od cyberbezpieczeństwa. „Cyberprzestrzeń stała się miejscem wojny” – zaznaczał Gawkowski we wpisie na platformie X.

W Polsce nigdy nie doszło do przypadku podobnego do ataku na szpital uniwersytecki w Niemczech w Düsseldorfie w 2020 r. Placówka nie mogła przyjąć na oddział kobiety w stanie krytycznym, ponieważ system informatyczny został zablokowany przez cyberprzestępców żądających okupu. Poszkodowana kobieta zmarła w drodze do innego szpitala. Trzeba jednak pamiętać, że cyberataki, które miały miejsce w Polsce, oznaczały opóźnienia w przyjmowaniu pacjentów bądź też uniemożliwiały wykonanie niektórych procedur medycznych.

Monetyzacja danych

Cyberprzestępcy doskonale wiedzą, że w sytuacji zagrożenia zdrowia lub życia pacjentów kierownictwo szpitali i innych placówek medycznych często nie ma wyjścia – decyduje się zapłacić okup, by odzyskać dostęp do danych i systemów. Atakom sprzyja także łatwa monetyzacja wrażliwych danych. Już pojedynczy plik z danymi skradzionymi z placówki medycznej może być wart nawet 250 tys. dolarów, jeśli cyberprzestępcy będą chcieli go upłynnić na czarnym rynku.

W maju tego roku Ministerstwo Cyfryzacji informowało, że część z 28 mln zł z KPO trafi do Centrum e-Zdrowia, by zwiększyć cyberbezpieczeństwo. Obszar medyczny w Polsce wymaga jak najszybszej oraz jak najszerzej zakrojonej modernizacji w zakresie zabezpieczeń. Publiczne, ale również prywatne placówki mierzą się z przestarzałymi procedurami, nieaktualizowanym oprogramowaniem i niedostatecznym poziomem świadomości pracowników.

Z badań amerykańskiej firmy informatycznej Palo Alto Networks wynika, że przestępcy mogą w mniej niż 14 godzin uzyskać dostęp do organizacji, wyodrębnić 2,5 terabajta danych i wdrożyć oprogramowanie ransomware na prawie 10 tys. urządzeniach końcowych.

– Kiedy cyberprzestępcy znajdą nową lukę w zabezpieczeniach, wykorzystują ją zaledwie w ciągu kilku godzin, podczas gdy zespoły ds. bezpieczeństwa potrzebują średnio około sześciu dni, aby zareagować na alert. Ta dysproporcja jest alarmująca, zwłaszcza w przypadku organizacji posiadających poufne i wartościowe dane – wyjaśnia Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.

– Zawieszenie pracy szpitala, manipulowanie danymi lub ich kradzież i groźby ujawnienia mogą w najpoważniejszych przypadkach zagrozić zdrowiu i życiu pacjentów. Dlatego tak ważne jest proaktywne wdrażanie najnowocześniejszych platform, które mogą powstrzymać coraz trudniejsze do opanowania skoordynowane kampanie cyberprzestępców – dodaje.

Co robi Centrum e-Zdrowia

Jak podaje Centrum e-Zdrowia, średni koszt naruszenia danych w sektorze zdrowia na świecie obliczany jest w tym roku na 7,42 mln dolarów. Podobnie jak w poprzednich latach jest to zdecydowanie najwyższy wskaźnik strat finansowych, przewyższający podobne incydenty w sektorze finansowym, przemysłowym bądź energetycznym. Równocześnie rośnie również sama liczba incydentów w obszarze zdrowia, odnotowanych przez CSIRT CeZ. Metody, które stosują przestępcy, są coraz bardziej wyszukane.

– Cyberprzestępcy atakują wtedy, gdy najmniej się tego spodziewamy. Dlatego CSIRT CeZ działa siedem dni w tygodniu, by wspierać placówki medyczne w budowaniu odporności cyfrowej. Naszym celem jest nie tylko reagowanie, ale przede wszystkim zapobieganie, czyli profilaktyka w zakresie cyberbezpieczeństwa – podkreśla Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych i Pełnomocnik ds. CSIRT CeZ.

Duża liczba zgłoszeń w polskim sektorze ochrony zdrowia ma swoje konkretne przyczyny. Wyniki analiz w szpitalach, które prowadziło CeZ, pokazują, że wiele placówek nie wdrożyło ważnych zabezpieczeń ani procedur. Ok. 60 proc. podmiotów medycznych w ogóle nie monitoruje pojawiających się podatności, niecałe 60 proc. wykonuje cykliczne testy kopii oraz odzyskiwania, prawie 9 proc. nie ma tak podstawowych mechanizmów ochrony, jak oprogramowanie antywirusowe, systemy typu EDR/ XDR (analiza zagrożeń na urządzeniach końcowych oraz w sieci) czy firewall.

Warto też podkreślić, że uwierzytelnianie wieloskładnikowe (MFA) nadal nie jest powszechnie stosowane, a wdrożenia w placówkach są punktowe. Tworzy to jedynie mylne wrażenie bezpieczeństwa. Wynikiem cyberataku może być utrata lub też blokada dostępu do danych, szczególnie dotkliwa w przypadku danych wrażliwych. Odzyskiwanie pełnej sprawności działania przez zaatakowaną placówkę oznacza duże straty finansowe.

Zespół CSIRT działa cały tydzień, monitorując podatności, ale także ostrzegając o zagrożeniach, wspierając placówki w obsłudze incydentów czy też edukując i prowadząc regularne szkolenia. Eksperci z Centrum e-Zdrowia reagują również na zagrożenia – publikując informacje i zalecenia. Tylko w pierwszym kwartale 2025 r. wykryto i opisano ponad 120 podatności w infrastrukturze informatycznej placówek ochrony zdrowia, m.in. szpitali, POZ.

Wystarczy jeden e-mail

Przyczyn cyberataków można dopatrywać się w wielu aspektach i nie chodzi wyłącznie o technologię. Nawet najlepszy sprzęt nie zadziała prawidłowo, jeśli nie będzie odpowiednio skonfigurowany. Podobnie jest w przypadku procedur: dobre polityki bezpieczeństwa i jasne instrukcje pozwalają nie tylko zapobiegać incydentom, ale również szybko przywracać sprawność systemów w razie ich wystąpienia.

Przestępcy potrafią wykorzystać nie tylko słabe punkty technologii, ale również socjotechnikę. Najczęściej rejestrowane są próby oszustw komputerowych (311 przypadków), podczas których do manipulacji posłużyła zwyczajna wiadomość e-mail zawierająca link. Właśnie takie cyberataki stanowiły 1/3 wszystkich zgłoszeń odnotowanych przez zespół CSIRT CeZ.

Sylwia Wamej

Źródło: „Gazeta Lekarska” nr 11/2025