Szpitale bez cyberodporności

Polskie placówki ochrony zdrowia ciągle nie są w przygotowane na zagrożenia wynikające z pospiesznej cyfryzacji. Tymczasem jak wynika z danych Centrum e-Zdrowia liczba ataków na szpitale i przychodnie bardzo szybko rośnie, a znaczna ich część to incydenty o znaczeniu krytycznym.

Choć świadomość istnienia zagrożenia atakiem hakerskim lub wyciekiem wrażliwych danych w sektorze zdrowia rośnie, to nadal pozostaje niewystarczająca. Tylko nieco ponad połowa placówek zidentyfikowała u siebie jakiekolwiek potrzeby w zakresie cyberbezpieczeństwa.

Ale ogromne znaczenie ma tu wielkość takiej placówki – o ile o lukach w systemie ochrony danych i infrastruktury IT informuje ok. 91 proc. szpitali, o tyle jeśli chodzi o mniejsze jednostki – prywatne przychodnie i gabinety – problemy w tym obszarze widzi tylko 48 proc.

Prawdopodobnie wynika to z ograniczeń finansowych. Dziewięć na dziesięć mniejszych jednostek korzysta ze środków własnych, podczas gdy szpitale w blisko 80 proc. są finansowane przez NFZ. To również duże jednostki są atakowane częściej i w bardziej spektakularny sposób (o czym za chwilę).

Fala ataków narasta

Od stycznia do czerwca 2025 roku CSIRT CeZ (Zespół Reagowania na Incydenty Cyberbezpieczeństwa dla Sektora Zdrowia) zarejestrował blisko 800 przypadków naruszeń bezpieczeństwa w ochronie zdrowia. Przeanalizowano dokładnie informacje o 160 incydentach, z czego 48 miało charakter krytyczny.

Odnotowano m.in. zdalne wykonanie kodu, eskalację uprawnień oraz nieautoryzowany dostęp – techniki hakerskie mogące prowadzić do uzyskania wglądu do danych wrażliwych, ich modyfikację i wykradzenie. To zazwyczaj również wstęp do ataku typu ransomware, podczas którego hakerzy szyfrują dane na serwerach i żądają okupu za ich odszyfrowanie (lub zwrot w przypadku wykradzenia i usunięcia z oryginalnego systemu).

Dane Centrum e-Zdrowia potwierdzają zresztą fakt, że to właśnie ransomware jest problemem numer jeden. „Liczba ataków typu ransomware na placówki ochrony zdrowia na świecie wzrosła drastycznie – z 69 incydentów w 2020 roku do 506 w 2024 roku. To ponad siedmiokrotny wzrost na przestrzeni zaledwie pięciu lat” – informuje CeZ. „Ta dynamika jest alarmująca, a same liczby pokazują, że cyberprzestępcy coraz częściej celują w systemy medyczne, wykorzystując ich wrażliwość i znaczenie dla społeczeństwa”.

Równie niepokojących danych o atakach (we wszystkich kategoriach, nie tylko ransomware) dostarcza CSIRT CeZ. Na podstawie analizy wszystkich takich przypadków w sektorze ochrony zdrowia w Polsce twierdzi, że „w 2023 roku odnotowano łącznie 405 incydentów, natomiast w 2024 roku było ich aż 1028, co oznacza ponad 2,5-krotny wzrost w ciągu zaledwie 12 miesięcy. Uderzające jest również to, że w 2024 roku incydentów bezpieczeństwa odnotowano więcej niż łącznie w ciągu trzech poprzednich lat”. W 2022 roku odnotowano 251 takich przypadków, a w 2021 roku – 150.

Wycieki, paraliż i wyłudzenia

W Polsce głośnym przypadkiem ataku ransomware była sytuacja z końca 2022 roku, kiedy na celowniku hakerów znalazł się Instytut Centrum Zdrowia Matki Polki w Łodzi. Zaszyfrowali oni dane oraz kopie bezpieczeństwa, co uniemożliwiło pracę radiologii, szczególnie w zakresie tomografii komputerowej i rezonansu magnetycznego.

W 2023 roku bardzo poważny atak dotknął ALAB Laboratoria – jedną z największych ogólnopolskich sieci laboratoriów diagnostycznych, w skład której wchodzi ponad 70 laboratoriów medycznych i 700 punktów pobrań. Hakerzy wykradli dane osobowe pacjentów i wyniki ich badań.

Cyberprzestępcy stosują coraz bardziej wyrafinowane metody socjotechniczne. W kwietniu NFZ ostrzegł przed kampanią phishingową, w której oszuści podszywali się pod Centrum e-Zdrowia. W fałszywych wiadomościach e-mail i SMS-ach umieszczali linki kierujące do stron imitujących Internetowe Konto Pacjenta czy serwis gabinet.gov.pl, aby wyłudzić dane logowania personelu medycznego.

Eksperci ostrzegają również, że najtrudniejsze do wykrycia ataki mogą być wycelowane nie w systemy zarządzania, archiwa, czy działy finansów i księgowości szpitala, ale w urządzenie stricte medyczne. Na przykład na początku roku amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) poinformowała, że w oprogramowaniu pewnego urządzenia do monitorowania parametrów życiowych pacjentów wykryto lukę bezpieczeństwa.

Problem cyberbezpieczeństwa placówek medycznych w Polsce pierwszy raz został potraktowany poważnie dopiero po ataku na Lotnicze Pogotowie Ratunkowe w lutym 2022 roku. W oficjalnym komunikacie LPR potwierdziło wówczas, że osoby z zewnątrz uzyskały nieuprawniony dostęp do informacji i być może wykradły lub uszkodziły pliki zawierające dane osobowe. Przywrócenie sprawności działania pogotowia trwało wiele tygodni.

W rezultacie Ministerstwo Zdrowia i kancelaria premiera zaproponowały wsparcie finansowe dla szpitali i przychodni na poprawę zabezpieczeń. W zależności od kontraktu wynosiło ono od 300 tys. do nawet 900 tys. zł. Cały program kosztował pół miliarda złotych.

Szpitalne crash testy

Wiele wskazuje, że w tym przypadku niestety zastosowanie ma myśl mistrza Kochanowskiego: „Polak i przed szkodą, i po szkodzie głupi”. Po ataku na krakowski szpital MSWiA w marcu tego roku Ministerstwo Zdrowia, kierowane wówczas przez Izabelę Leszczynę, zwróciło się do szpitali o przeprowadzenie tzw. crash testów.

Przypomnijmy – hakerzy zaatakowali kluczowe systemy tej placówki 8 marca, a skutek ich działań był taki, że trzeba było wstrzymać przyjmowanie pacjentów, część przekierować do innych szpitali oraz tymczasowo przejść na dokumentację papierową. Jak poinformował dr Michał Zabojszcz, dyrektor szpitala, hakerski atak spowodował wyłączenie głównego systemu komputerowego obsługującego dokumentację medyczną oraz wpłynął na proces podawania leków pacjentom.

Celem zapowiedzianych wówczas przez Izabelę Leszczynę crash testów było zidentyfikowanie słabych punktów i na tej podstawie podjęcie działań naprawczych. Jednak jak informuje „Puls Medycyny”, który powołuje się na dane Ministerstwa Zdrowia, testy przeprowadzono tylko w… czterech szpitalach na ok. 900 działających w Polsce.

Resort poinformował, że testy tego rodzaju może przeprowadzić CSIRT CeZ na życzenie podmiotu leczniczego lub za jego zgodą. Zainteresowanie programem wykazały zaś tylko cztery placówki. Z własnej inicjatywy CSIRT będzie mógł prowadzić takie działania dopiero po wejściu w życie nowej ustawy o krajowym systemie cyberbezpieczeństwa – informuje „Puls Medycyny”.

Ustawa ma zawierać przepisy implementujące postanowienia unijnej dyrektywy NIS2, która weszła w życie 16 stycznia 2023 roku, a państwa członkowskie Unii Europejskiej miały wdrożyć u siebie odpowiednie przepisy do 17 października 2024 roku. W Polsce miało to nastąpić dzięki nowelizacji ustawy o KSC, jednak prace nad nią się przeciągają. Nie tylko nie zdążyliśmy zrobić tego do października ubiegłego roku, a podawane kolejno terminy – koniec 2024 roku, kwiecień 2025 roku – nie zostały dotrzymane. Obecnie Ministerstwo Cyfryzacji zapowiada, że ustawa o KSC powinna wejść w życie do końca roku.

Jak zgłosić incydent cyberbezpieczeństwa

Co zrobić, jeżeli zostaliśmy zaatakowani? W przypadku większych szpitali (zwykle dysponują one własnym, stałym zespołem IT) wskazane jest skorzystanie ze zintegrowanego systemu zarządzania cyberbezpieczeństwem (tzw. system S46).

Centrum e-Zdrowia udostępnia również prosty formularz, przez który można poinformować CSIRT o zdarzeniu. Najprostszą drogą jest zaś wysłanie mejla na adres incydent@csirt.cez.gov.pl.

Piotr Kościelniak