Seria cyberataków na placówki medyczne

Polskie szpitale coraz częściej trafiają na celownik cyberpzrestępców. Niejednokrotnie to nie sprzęt medyczny, lecz systemy IT decydują o ciągłości leczenia.

Jest środek dyżuru na oddziale ratunkowym. Nagle ekrany komputerów zamiast wyników badań i kart zleceń wyświetlają komunikat o zaszyfrowaniu plików oraz żądaniu okupu. Telefony w dziale IT urywają się, a lekarze z niedowierzaniem patrzą na białe plamy w elektronicznej dokumentacji medycznej. Szpital właśnie został sparaliżowany.

To nie scenariusz filmowy, lecz rzeczywistość polskich placówek medycznych. Tylko od 7 do 31 marca tego roku odnotowano aż cztery ataki ransomware, w wyniku których mogło dojść do kradzieży wrażliwych danych tysięcy pacjentów.

Tryb papierowy

Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie, Bonifraterskie Centrum Medyczne, Centrum Medyczne „Eskulap” w Raciborzu oraz Świętokrzyskie Centrum Rehabilitacji w Czarnieckiej Górze – oto lista ofiar cyberataków z marca 2026 r.

Jak wynika z informacji udzielanych przez placówki, każda z nich padła ofiarą ataku ransomware, czyli wykorzystania złośliwego oprogramowania w celu zaszyfrowania danych i zablokowania dostępu do systemów IT. Istnieje również wysokie ryzyko, że przestępcy wykradli wrażliwe dane pacjentów, co może prowadzić do ich późniejszego nieuprawnionego wykorzystania czy sprzedaży na czarnym rynku.

Placówki zgłosiły incydenty do odpowiednich służb (m.in. Prezesa Urzędu Ochrony Danych Osobowych i CERT Polska) oraz wdrożyły procedury awaryjne, w tym przejście na papierowy tryb pracy, co wydłużyło czas wykonywania procedur medycznych i administracyjnych. Ponadto szpital w Szczecinie zwrócił się również do pacjentów z prośbą o kierowanie się do innych placówek.

Przywracanie sprawności w tej jednostce wymagało wsparcia Wojsk Obrony Terytorialnej. Jak czytamy w komunikacie WOT, działania obejmowały ponad 1000 stacji roboczych, 140 resetów haseł i ponad 200 drukarek, a także reinstalację systemów, aktualizacje i działania w domenie. Szpital wrócił do normalnego funkcjonowania po miesiącu od wykrycia incydentu.

W ocenie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) za ataki mogą odpowiadać różne grupy. Choć placówki zapewniają, że nie doszło do bezpośredniego zagrożenia zdrowia i życia, powtarzalność tych zdarzeń stawia pytanie o bezpieczeństwo systemu ochrony zdrowia w Polsce.

Szpital – cel idealny

Według sprawozdania o stanie cyberbezpieczeństwa Polski za rok 2025 sektor ochrony zdrowia był jednym z najczęściej atakowanych obszarów gospodarki, a ataki typu ransomware generowały w nim wysokie straty operacyjne. Centrum e-Zdrowia (CSIRT CeZ) odnotowało 1441 incydenty, co oznacza wzrost o 40 proc. w stosunku do roku poprzedniego. To efekt cynicznej kalkulacji przestępców wykorzystujących trzy kluczowe słabości szpitali.

Pierwszą z nich jest wartość danych. Dokumentacja medyczna, zawierająca pełne dane osobowe i historię chorób, jest niezwykle pożądana na czarnym rynku jako narzędzie do wyłudzeń czy szantażu. Kolejny aspekt to konieczność utrzymania ciągłości operacyjnej – niska tolerancja na przestój i presja ratowania życia sprawiają, że placówki medyczne są bardziej skłonne do szybkiego płacenia okupu.

Wreszcie kwestia złożoności infrastruktury. Współczesny szpital to technologiczny labirynt złożony z setek stacji roboczych, urządzeń i systemów HIS, RIS, PACS, często opartych na przestarzałym oprogramowaniu. Każda aplikacja to dodatkowe konta oraz punkty logowania i jednocześnie kolejne luki podatne na ataki.

Co więcej, błyskawiczna cyfryzacja usług takich jak e-recepty czy e-skierowania wyprzedziła rozwój procedur ochrony. Wiele placówek boryka się z niską dojrzałością cyfrową, długiem technologicznym oraz brakami kadrowymi w działach IT, co wynika bezpośrednio z wieloletnich ograniczeń budżetowych.

Cichy atak, dotkliwe skutki 

Najgroźniejsze ataki to zaplanowane, „ciche” i długofalowe operacje, zaczynające się od phishingu lub wykorzystania haseł z wycieków. Wyobraźmy sobie taką sytuację: lekarz otrzymuje e-mail wyglądający jak wiadomość z działu kadr, klika w link i loguje się na stronie, która do złudzenia przypomina system szpitalny. W tym momencie haker przejmuje jego login i hasło.

Nawet stosowanie metod uwierzytelniania wieloskładnikowego (MFA), np. kodów SMS czy aplikacji OTP (generujących jednorazowe kody), nie gwarantuje bezpieczeństwa – ataki typu Adversary-in-the-Middle pozwalają atakującym przechwycić sesję w czasie rzeczywistym i ominąć te zabezpieczenia. Podszywając się pod pracownika, napastnik tygodniami mapuje sieć i lokalizuje kopie zapasowe, nie uruchamiając alarmów. Przygotowuje w ten sposób grunt pod ostateczny cios, np. atak ransomware.

Warto przywołać przypadek ataku na szpital MSWiA w Krakowie – incydent został zgłoszony 8 marca 2025 r., ale w wyniku śledztwa wykryto ślady podejrzanych działań datowanych nawet na październik 2023 r. Wektorem ataku prawdopodobnie było nieaktualizowane urządzenie sieciowe, a przełamanie zabezpieczeń umożliwiły zbyt proste hasła oraz błędna konfiguracja, pozwalająca na wielokrotne próby logowania.

Taki paraliż cyfrowy staje się realnym zagrożeniem klinicznym. Brak dostępu do dokumentacji medycznej pozbawia lekarzy kluczowych informacji o pacjentach i wymusza pracę w trybie papierowym, co drastycznie zwiększa ryzyko błędów medycznych. Może to prowadzić do odwoływania zabiegów czy przekierowywania karetek do innych placówek, a równoległy wyciek danych wrażliwych naraża szpital na potężne konsekwencje prawne i utratę zaufania społecznego.

Nowy standard ochrony

Centrum e-Zdrowia wylicza trzy kluczowe trendy zagrożeń: nasilający się phishing (podszywanie się pod NFZ lub placówki medyczne), luki wynikające z braku aktualizacji systemów oraz naruszenia poufności i przejęcia kont spowodowane słabymi hasłami oraz brakiem MFA. Eksperci zgodnie wskazują, że tradycyjne zabezpieczenia – takie jak zapory sieciowe – zawodzą w starciu z napastnikiem posługującym się skradzionym loginem pracownika, a główną przyczyną incydentów pozostaje czynnik ludzki.

Fundamentem staje się uwierzytelnianie odporne na phishing (phishing-resistant MFA) w standardzie FIDO2, oparte na kryptografii i fizycznych kluczach bezpieczeństwa – nawet jeśli pracownik poda hasło na fałszywej stronie, atakujący nie zdoła go użyć bez fizycznego tokena. Dla personelu oznacza to koniec ery haseł, a dla dyrekcji skuteczną ochronę systemów bez ich kosztownej wymiany. FIDO2 i passkeys całkowicie eliminują możliwość przejęcia dostępu, pozwalając na wprowadzenie najwyższego poziomu ochrony tożsamości bez generowania przestojów operacyjnych.

Potwierdzają to m.in. doświadczenia z wdrożeń w sektorze bankowym i ubezpieczeniowym. Skuteczna strategia cyberbezpieczeństwa wykracza jednak poza sam moment logowania. Eksperci zalecają wdrożenie modelu Zero Trust (ciągłej weryfikacji dostępu) oraz segmentację sieci, która izoluje krytyczne systemy medyczne od komputerów z dostępem do internetu, ograniczając pole manewru atakujących.

Kluczowe dla odporności szpitala są również stały monitoring logowań w celu wykrywania anomalii, zanim przerodzą się w pełnoskalowy atak, a także systematyczne tworzenie i testowanie kopii zapasowych offline – jedyna gwarancja odzyskania danych bez konieczności płacenia okupu. Technologię musi wspierać ciągłe budowanie świadomości personelu, stanowiące zaporę przed socjotechniką (manipulacją).

Obowiązki ustawowe

Unijna dyrektywa NIS2 oraz jej implementacja do polskiego porządku prawnego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) nakładają na szpitale status podmiotów kluczowych, z którym wiąże się szereg obowiązków. Najważniejszą zmianą dla kadry zarządzającej jest wprowadzenie osobistej odpowiedzialności finansowej i prawnej za zaniedbania w obszarze IT.

Nowe przepisy obligują placówki medyczne do wdrożenia kompleksowych środków zarządzania ryzykiem, wykraczających daleko poza standardowe procedury IT. Ustawodawca kładzie szczególny nacisk na trzy filary: bezpieczeństwo łańcucha dostaw, ciągłość działania oraz stosowanie zaawansowanych metod kryptografii i uwierzytelniania.

Dyrektywa kładzie ogromny nacisk na konieczność ochrony procesu logowania. Tożsamość użytkownika stała się nową linią obrony, której szczelność będzie rygorystycznie weryfikowana przez organy nadzorcze. Wprowadzenie nowoczesnych mechanizmów uwierzytelniania odpornych na phishing jest zatem niezbędnym krokiem w stronę zgodności z regulacjami.

Z operacyjnego punktu widzenia szpitale muszą teraz m.in. regularnie przeprowadzać audyty, raportować incydenty w ciągu 24–72 godzin od ich wykrycia oraz zapewniać ciągłość leczenia nawet w trakcie trwającego ataku. W tym otoczeniu prawnym cyberbezpieczeństwo staje się nieodłącznym elementem zarządzania jakością i ciągłością działania placówek.

Beata Kwiatkowska, Business Development Officer w Secfense, polskiej firmie z branży cyberbezpieczeństwa

Systemowe wsparcie dla podmiotów medycznych

Ministerstwo Zdrowia oraz Ministerstwo Cyfryzacji przygotowują pakiet rozwiązań finansowych i organizacyjnych mających na celu nadrobienie długu technologicznego oraz zniwelowanie braków kadrowych w IT i cyberbezpieczeństwie.

Kluczowym źródłem finansowania są środki z KPO przeznaczone na modernizację infrastruktury, audyty bezpieczeństwa oraz szkolenia personelu. Dodatkowo wspierany jest rozwój Centrum e-Zdrowia (CSIRT CeZ), co ma usprawnić systemowe zarządzanie kryzysowe w całym sektorze.

Pomoc finansowa – dostępna zarówno dla placówek publicznych, jak i prywatnych – jest ściśle powiązana z wdrażaniem konkretnych, rekomendowanych standardów ochrony. Priorytetem jest eliminacja czynnika ludzkiego jako głównej przyczyny incydentów, co ma nastąpić poprzez obowiązkowe wprowadzenie MFA, monitorowanie logowań oraz regularne testowanie kopii zapasowych.

Źródło: „Gazeta Lekarska” nr 5/2026