Placówka medyczna padła ofiarą hakerów. Co robić?

Dodano: 03.07.2025

Prawdopodobieństwo wystąpienia cyberataku w okresie kolejnych 12 miesięcy szacuje się na ok. 75%
Prawdopodobieństwo wystąpienia cyberataku w okresie kolejnych 12 miesięcy szacuje się na ok. 75%

Liczba ataków hakerów na placówki medyczne rośnie, bo hakerzy wiedzą jak uderzyć w słabo zabezpieczone podmioty. Co robić, kiedy na ekranie pojawi się żądanie zapłaty okupu, a komputery są zablokowane?

Cyberatak rzadko kiedy jest tak spektakularny jak ten na Szpital MSWiA w Krakowie z marca br. albo sieć laboratoriów ALAB w 2024 r. Hakerzy-amatorzy wolą małe placówki, gdzie zabezpieczenia są słabe, a dane tak samo wrażliwe, dlatego psychologiczna presja zapłaty okupu większa.

Prawdopodobieństwo wystąpienia cyberataku w okresie kolejnych 12 miesięcy szacuje się na ok. 75%. Na przestrzeni 2 lat rośnie do ok. 85%. Funkcjonowanie bez dobrego planu reagowania na incydenty ochrony danych jest nie tylko ryzykowne, ale nieodpowiedzialne. Jego przygotowanie i testowanie jest czasochłonne, ale wartość podczas ataku – bezcenna. Gdy komputery nie działają, a pacjenci czekają w poczekalni, placówka szybko może pogrążyć się w chaosie. Co wtedy zrobić?

Potrzeby placówek medycznych w zakresie cyberbezpieczeństwa. Tylko 47,6% placówek podejmuje działania w obszarze ochrony przed cyberatakami. Problemem jest brak środków finansowych i kadr IT
Potrzeby placówek medycznych w zakresie cyberbezpieczeństwa. Tylko 47,6% placówek podejmuje działania w obszarze ochrony przed cyberatakami. Problemem jest brak środków finansowych i kadr IT

Krok 1: Uruchom procedury z planu reagowania na incydenty

Atak hakerów to sytuacja kryzysowa. Kiedy został zidentyfikowany, trzeba działać zgodnie z Planem Reagowania na Incydenty (PRI). Dobrze przygotowany pozwoli ograniczyć straty – finansowe, wizerunkowe i organizacyjne – i szybko przywrócić placówce płynność funkcjonowania.

Jeśli istnieje podejrzenie ataku cybernetycznego, od razu należy poinformować o tym kierownictwo. Ten oczywisty krok jest jednocześnie najsłabszym ogniwem. Jeśli atak wykryje osoba, która potencjalnie do niego dopuściła, może starać się go ukryć, próbując rozwiązać problem na własną rękę. To jeden z najgorszych scenariuszy, bo z każdą minutą straty mogą być coraz większe. Dlatego pracownicy nie mogą się bać zgłaszania ataków.

Menedżer placówki aktywuje zespół zarządzania kryzysowego, gdzie każda osoba ma z góry przydzielone zadania. Przykładowo, menedżer zgłasza atak do odpowiedzialnych organów, informatyk zabezpiecza infrastrukturę IT, dział komunikacji przygotowuje informację dla mediów, a dział prawny – koordynuje wszystkie kroki, aby były zgodne z przepisami. Każde działanie musi być udokumentowane – dla własnego interesu, aby mieć dowody na podjęcie działań zgodnych z wymaganiami przed Urzędem Ochrony Danych Osobowych (UODO).

Krok 2: Izolacja zagrożenia i komunikacja

Dział IT natychmiast odłącza podejrzane urządzenia od sieci informatycznej i blokuje podejrzane adresy IT i domeny. Cała placówka zostaje odizolowana od sieci internetowej, a dalsza komunikacja między zespołem kryzysowej oraz pracownikami odbywa się alternatywnymi kanałami informacyjnymi, aby hakerzy nie mogli śledzić działań placówki. To może być np. zaufany i bezpieczny komunikator internetowy. PRI powinien także określać, co zrobić w sytuacji, gdy trwa atak cybernetyczny, a w tym samym czasie chirurdzy wykonują operację pacjenta. To samo dotyczy przekierowania pacjentów do innych placówek oraz procedur odwołania (jeśli to możliwe) wizyt.

O ataku powinni zostać poinformowani wszyscy pracownicy, aby zapobiec rozpowszechnianiu nieprawdziwych informacji albo chaosowi. Osoby z rejestracji muszą wiedzieć, terminy których pacjentów mogą zmienić i jak; lekarze – w jaki sposób zapewnić ciągłość dokumentacji medycznej, gdy nie działa system IT; a wszyscy pracownicy – jak odpowiadać na pytania zaniepokojonych pacjentów albo mediów.

Pierwszym punktem kontaktowym powinien być CSIRT Centrum e-Zdrowia. Incydent można zgłosić albo z pomocą formularza kontaktowego albo telefonicznie. CSIRT CeZ pomoże w dalszych działaniach, które obejmują m.in. zgłoszenie do UODO oraz na Policję. Aby organy te mogły szybko działać, placówka musi zebrać możliwe szerokie informacje o ataku: zapisać logi systemowe albo wyniki skanowania systemu, wykonać kopie zainfekowanych systemów w bezpiecznym środowisku, nie usuwać podejrzanych plików albo e-maili, które posłużą jako materiał dowodowy. Jeśli placówka ma polisę od zagrożeń cybernetycznych, zgłasza natychmiast incydent ubezpieczycielowi. Pod żadnym pozorem nie należy najpierw próbować zapłacić okupu, aby pozbyć się problemu. Atak cybernetyczny to przestępstwo, którym zajmuje się Policja.

Pobierz poradnik bezpieczeństwa danych w placówkach medycznych

Krok 3: Ocena wpływu i przywracanie działania

Obowiązkiem podmiotu jest też ocena skali ataku i jego konsekwencji. Jakie systemy zostały naruszone? Czy doszło do kradzieży danych? Jeśli tak – jakich dokładnie? Czy zagrożone są systemy i dane stron trzecich (kontrahentów)? Te informacje także będą wymagane przez organy jak np. UODO. Jak pokazuje praktyka, UODO nakłady kary finansowe na placówki, które nie współpracują z urzędem albo nie miały prawidłowo opracowanego planu reagowania na incydenty bezpieczeństwa. Z kolei dobra współpraca zazwyczaj kończy się tylko upomnieniem.

Po etapie oceny, następuje przywracanie płynności działania. Jeśli systemy zostały zaszyfrowane przez np. ransomware, placówka korzysta z bezpiecznej kopii zapasowej (offline albo w chmurze). Najmniejsze straty danych oferuje automatyczna kopia wykonywana na bieżąco w chmurze. Jeśli system instalowany jest na nowo, trzeba odtworzyć ustawienia użytkowników. Po przetestowaniu nowej instalacji, można przywrócić działanie systemu.

Krok 4: Zwiększenie poziomu bezpieczeństwa

Nowy start systemu wymaga zmiany wszystkich haseł dostępu użytkowników w każdym, nawet najmniejszym systemie. Wydział IT sprawdza funkcjonowanie systemu antywirusowego i aktualizuje go, instaluje wszystkie dostępne poprawki dla systemów i wprowadza – jeśli jeszcze nie ma – uwierzytelnianie dwuskładnikowe (MFA). Niektóre rygorystyczne zabezpieczenia mogą być uciążliwe dla użytkowników wymuszając np. częste zmiany hasła albo potwierdzanie logowanie kodem MFA, ale cel bezpieczeństwa uświęca środki.

Zgodnie z przepisami ochrony danych osobowych, placówka musi ocenić, czy i jakie dane osobowe zostały naruszone albo wykradzione oraz poinformować o tym poszkodowane osoby. Ten element działania musi być dokładnie skonsultowany z działem prawnym. Po tym, jak udało się zażegnać kryzys i systemy IT działają poprawnie, czas na analizę, co można zrobić, aby podobny atak się nie powtórzył. Nie chodzi o szukanie winnych, bo nawet dobrze zabezpieczone placówki mogą zostać skutecznie zaatakowane przez hakerów, ale aktualizację planu reagowania na incydenty, ulepszenie procedur oraz rewizję inwestycji w cyberbezpieczeństwo, w tym szkolenia personelu.

Czytaj także: Pobierz bezpłatny poradnik jak zwiększyć poziom bezpieczeństwa danych