MZ tworzy Departament Cyberbezpieczeństwa. Po co?

Wiceminister zdrowia Tomasz Maciejewski zapowiedział, że w Ministerstwie Zdrowia powstanie Departament Cyberbezpieczeństwa. Decyzja zbiega się z dwoma dużymi cyberatakami na polskie placówki zdrowia.

Chodzi dokładnie o cyberatak na Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie, który miał miejsce z początkiem marca. Hakerzy zaszyfrowali dane, a placówka została zmuszona do przejścia na papierowy obieg dokumentacji medycznej. Prawdopodobnie ta sama grupa przestępcza odpowiada za kolejny cyberatak, którego ofiarą padło Bonifraterskie Centrum Medyczne. Istnieje ryzyko, że hakerzy wykradli dane i mogą próbować je sprzedać.

Cyberbezpieczeństwo w MZ to strategiczny sygnał

Jak zapowiedział wiceminister Maciejewski, powołanie Departamentu Cyberbezpieczeństwa jest konsekwencją przepisów dotyczących krajowego systemu cyberbezpieczeństwa oraz rosnącej roli Ministerstwa Zdrowia w tym obszarze. Według ustawy wdrażającej w życie europejskie przepisy NIS2, wybrane podmioty z sektora ochrony zdrowia będą traktowane jako „podmioty kluczowe” lub „ważne”, co oznacza zaostrzenie wymogów bezpieczeństwa, obowiązek zgłaszania incydentów oraz przeprowadzanie audytów.

MZ chce lepiej zarządzać bezpieczeństwem cyfrowym w sektorze. Nowa jednostka ma odpowiadać za koordynację działań związanych z ochroną infrastruktury cyfrowej w ochronie zdrowia oraz wspierać placówki medyczne w przygotowaniu się na zagrożenia cybernetyczne. Jak podkreśla Maciejewski, oprócz „kosztów medycznych konieczne będzie systemowe oszacowanie wydatków związanych z cyberbezpieczeństwem”.

– Kilka lat temu patrzyliśmy na ten problem inaczej niż dziś. Obecna sytuacja geopolityczna i rosnąca liczba incydentów sprawiają, że trzeba budować nowe rozwiązania regulacyjne i finansowe – mówi wiceminister.

Czy to zapowiedź, że placówki w końcu uzyskają wsparcie finansowe, aby lepiej chronić się przed hakerami? Niekoniecznie.

Cyberbezpieczeństwo z KPO to kropla w morzu potrzeb

Wiceminister zwrócił uwagę, że pierwotne plany wykorzystania środków z Krajowego Planu Odbudowy nie przewidywały finansowania projektów związanych z cyberbezpieczeństwem. Dopiero późniejsze analizy doprowadziły do zmiany tego podejścia i część środków z KPO trafiła do szpitali właśnie na ochronę danych. Ale to nadal za mało – pieniądze otrzymała tylko część szpitali w ramach finansowania inwestycji cyfryzacji. Tymczasem tysiące placówek POZ muszą wykładać na cyberbezpieczeństwo coraz większe sumy z własnej kieszeni.

Resort zdrowia wprawdzie szuka środków na wzmocnienie bezpieczeństwa cyfrowego, ale nie jest to łatwe, bo sytuacja finansowa całego systemu jest krytyczna. Priorytetem nadal pozostaje finansowanie świadczeń zdrowotnych i zabezpieczenie potrzeb zdrowotnych społeczeństwa.

– W pierwszym rzędzie musimy rozwiązywać problemy zdrowotne społeczeństwa, ale nie zapominamy o cyberbezpieczeństwie – podkreśla wiceminister.

Atak na szpital w Szczecinie oraz Bonifraterskie Centrum Medyczne

W marcu doszło do kolejnego dużego ataku: w nocy z 7 na 8 marca cyberprzestępcy zaatakowali Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie. Placówka została zmuszona do odłączenia części systemów informatycznych i przejścia na papierowy obieg dokumentacji medycznej, a hakerzy zażądali milionów dolarów okupu. 5 dni później, 13 marca, Bonifraterskie Centrum Medyczne poinformowało o cyberataku za pomocą ransomware.

Z danych Centrum e-Zdrowia wynika, że od stycznia do sierpnia 2025 r. liczba incydentów cyberbezpieczeństwa zgłoszonych w szpitalach i przychodniach wzrosła do 946. To o ok. 50% więcej w porównaniu z analogicznym okresem rok wcześniej. W walce z nimi ma pomóc powołany w ramach Centrum e-Zdrowia zespół reagowania na incydenty bezpieczeństwa komputerowego CSIRT CeZ.

Jednostka odpowiada za monitorowanie zagrożeń, analizę incydentów oraz wsparcie podmiotów ochrony zdrowia w reagowaniu na cyberataki. Na wzmocnienie działalności CISRT CeZ trafiło m.in. 13,1 mln zł ze środków Krajowego Planu Odbudowy. Jednostka zapowiada m.in. stworzenie poradników dla placówek zdrowia oraz narzędzi do oceny poziomu cyberbezpieczeństwa.

Nowy departament w MZ to strategiczny sygnał, że bezpieczeństwo danych jest ważne. Trudno jednak oczekiwać, że placówki medyczne szybko otrzymają wsparcie na wzmacnianie poziomu bezpieczeństwa. Na to po prostu nie ma pieniędzy.

Czytaj także: Cyberatak! Jak się chronić i regować? Rady CSIRT i Policji