Nowe strategie ochrony danych 2025 w sektorze zdrowia

Dodano: 25.09.2025

Liczba cyberataków nadal rośnie. Europol ostrzega przez hakerami powiązanymi z Rosją
Liczba cyberataków nadal rośnie. Europol ostrzega przez hakerami powiązanymi z Rosją

405 w 2023 roku, 1028 w 2024 roku, 792 w I półroczu 2025 – statystyki Centrum e-Zdrowia pokazują, jak szybko rośnie liczba cyberataków na ochronę zdrowia. W 2025 roku będzie ich jeszcze więcej. Ale szpitale i przychodnie nie są bezbronne i mają do dyspozycji nowe narzędzia.

Kolejny niespokojny rok

Rok 2025 r. w cyberbezpieczeństwie upływa pod znakiem trzech trendów: nieustannie rosnąca skala cyberataków na placówki zdrowia, próby Unii Europejskiej i Centrum e-Zdrowia mające wzmocnić ochronę danych oraz duże niedofinansowanie placówek w walce z hakerami.

Szerokim echem odbił się atak ransomware na szpital MSWiA w Krakowie, a za granicą – na firmę Synnovis, dostawcę usług diagnostycznych dla szpitali NHS w Wielkiej Brytanii. W tym ostatnim przypadku, cyberatak doprowadził do śmierci pacjenta.

Przedłużeniem trwającego od 3 lat ataku Rosji na Ukrainę jest też cyberwojna. Europol ostrzega, że hakerzy powiązani z Rosją współpracują ze zorganizowanymi grupami przestępczymi, przeprowadzając akcje sabotażu, podpalenia i ukierunkowane cyberataki również na europejskie szpitale. Statystyki za I i II kwartał 2025 wskazują, że ich liczba w Europie wzrosła o 22% w porównaniu z 2024 rokiem. Sektor zdrowia jest na 5. miejscu najczęściej atakowanych branż.

Pobierz bezpłatny poradnik na temat ochrony danych w placówkach ochrony zdrowia

Europa chce wzmocnić cyberodporność ochrony zdrowia

W styczniu 2025 r. Komisja Europejska zaprezentowała plan działań na rzecz cyberbezpieczeństwa szpitali i placówek medycznych. Opiera się na czterech filarach:

  • zapobieganie atakom – zarządzanie ryzykiem, szkolenia i vouchery na cyberbezpieczeństwo dla mniejszych szpitali,
  • wykrywanie zagrożeń – wdrożenie ogólnoeuropejskiego systemu wczesnego ostrzegania do 2026 r.,
  • reagowanie i odbudowa – uruchomienie Europejskiej Rezerwy Cyberbezpieczeństwa, budowa gotowych scenariuszy działania, skoordynowana pomoc,
  • odstraszanie – wzmocnienie reakcji na zagrożenia poprzez Cybernetyczne Narzędzia Dyplomatyczne.

Nowe Europejskie Centrum Wsparcia Cyberbezpieczeństwa, które ma podlegać Agencji Unii Europejskiej ds. Cyberbezpieczeństwa ENISA, będzie oferować doradztwo, narzędzia cyberobrony, szkolenia i wsparcie w wykrywaniu zagrożeń. W ramach programu „Cyfrowa Europa”, UE przeznaczyła w tym roku 145,5 mln euro na cyberbezpieczeństwo, z czego 30 mln euro dla szpitali. To kropla w morzu potrzeb – szpitali w UE jest ok. 15 000, więc gdyby nawet podzielić te pieniądze po równo, wyszłoby ok. 2 tys. euro na szpital.

Stare metody działań hakerów nadal skuteczne

Wszyscy bali się, że w 2025 roku będziemy świadkami szerokiego zastosowania sztucznej inteligencji do ataków na placówki zdrowia. Tak się jednak nie stało. To dobra i zła wiadomość. Dobra – bo nadal kilka bazowych zabezpieczeń i procedur może znacznie podnieść poziom cyberbezpieczeństwa, zła – bo szpitale i przychodnie są na tyle słabo chronione, że hakerzy mogą nadal poprzestać na starych, sprawdzonych sposobach.

Według CeZ, 72% placówek zdrowia nie posiada zespołów ds. cyberbezpieczeństwa. Niestety, kiedy dojdzie do ataku, CSIRT-CeZ może już tylko pomóc w minimalizacji skutków. Ostatnie badanie poziomu cyfryzacji przeprowadzone przez CeZ nie daje powodów do radości: większość placówek zgłasza potrzeby w zakresie wzmocnienia ochrony danych, zwłaszcza szkoleń personelu z cyberbezpieczeństwa. Na te brakuje po prostu pieniędzy.

I widać to po statystykach. Niezmiennie od lat to otwarcie fałszywej wiadomości e-mail jest najsłabszym ogniwem zabezpieczeń, jakie hakerzy wykorzystują, aby dostać się do systemu IT szpitala i wykraść lub zaszyfrować dane. Phishing i metody inżynierii społecznej stają się coraz bardziej wyrafinowane, bo w przygotowaniu przekonujących maili pomaga AI. Ransomware można bez problemu znaleźć w darknecie, przez co każda osoba o złych zamiarach może dziś zostać hakerem.

Nowości w strategii cyberbezpieczeństwa 2025

Dużo mówi się o szpitalach, które padły ofiarą cyberprzestępców. Jednak cały czas większość placówek zdrowia odpiera cyberzagrożenia dzięki odpowiedniej strategii ochrony. Oprócz minimalnych działań jak aktualizacje oprogramowania, szkolenia i tworzenie kopii bezpieczeństwa, większe placówki zdrowia tworzą przykładowo stanowisko Dyrektora ds. bezpieczeństwa informacji (CISO). Taka osoba pełni rolę lidera strategicznego współpracującego blisko z zarządem i koordynującego całą politykę cyberbezpieczeństwa – od zabezpieczeń technicznych do regularnych szkoleń i bezpiecznej rozbudowy systemów IT. CISO doradza dyrekcji, a nie jest tyko administratorem IT.

Drugim ważnym nurtem jest traktowanie odporności na ataki hakerów jako działalności podstawowej placówki zdrowia, prawie na równi z leczeniem pacjentów. Tak radyklane podejście jest uzasadnione: bezpieczeństwo pacjentów jest dzisiaj proporcjonalne do bezpieczeństwa informacyjnego. Odporność cybernetyczna musi stać się częścią kultury organizacyjnej, opierając się na cały czas aktualizowanej polityce bezpieczeństwa i dobrym partnerstwie z zaufanym dostawcą IT.

Trzecim elementem jest skrupulatne wdrażanie wszystkich zaleceń dotyczących cyberbezpieczeństwa, nawet tych nieobligatoryjnych. Wśród nich są zalecenia organizacji krajowych, kodeksy postępowania, rekomendacje techniczne oraz przepisy na poziomie UE. Nie są to tylko biurokratyczne obowiązki, ale konieczne kroki.

Zapisz się do newslettera OSOZ i bądź na bieżąco z cyberbezpieczeństwem w ochronie zdrowia
Zapisz się do newslettera OSOZ i bądź na bieżąco z cyberbezpieczeństwem w ochronie zdrowia

2025 miał być rokiem pod znakiem dyrektywy NIS2, która w Polsce wprowadza nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Prace nad nią się przeciągały i dopiero z końcem sierpnia br. weszła w życie. Pod przepisy NIS2 podchodzi działalność ok. 1248 placówek zdrowia. Będą mogły one liczyć na środki z KPO na podniesienie poziomu cyberbezpieczeństwa.

Do 17 października 2026 r. Polska musi przekazać Komisji Europejskiej pełną listę podmiotów objętych regulacją NIS2. Dużo wcześniej, bo z początkiem 2026 roku, trzeba dostarczyć ocenę ryzyka zagrożeń dla podmiotów krytycznych – to z kolei wynika z dyrektywy CER (Critical Entities Resilience Directive, dyrektywa o odporności podmiotów krytycznych), która została wprowadzona razem z NIS2. Przypomnijmy, że NIS 2 wprowadza zaawansowane zarządzanie ryzykiem obejmujące m.in. mapy ryzyka, raportowanie incydentów i podwyższoną kontrolę dostawców. I właśnie kolejne miesiące upłyną pod znakiem NIS2. Trudno spodziewać się zatrzymania trendu cyberzagrożeń, bo sytuacja geopolityczna jest nadal burzliwa. Placówki medyczne zaliczone do operatorów usług kluczowych zgodnie z NIS2 na pewno będą mogły ubiegać się o dofinansowanie z KPO. Wszyscy czekają też na kolejne nabory w programie wsparcia dla POZ „FEnIKS”.

Czytaj także: Pobierz bezpłatny poradnik bezpieczeństwa danych w ochronie zdrowia