Raport CSIRT CeZ: 60% więcej incydentów cyberbezpieczeństwa

Dodano: 03.06.2026

2 czerwca br. CSIRT CeZ przedstawił nowy raport na temat cyberbezpieczeństwa w ochronie zdrowia
2 czerwca br. CSIRT CeZ przedstawił nowy raport na temat cyberbezpieczeństwa w ochronie zdrowia

W 2025 roku, kolejny rok z rzędu, rosła skala ataków hakerów na placówki ochrony zdrowia. CSIRT Centrum e-Zdrowia obsłużył 1441 incydentów cyberbezpieczeństwa, o ponad 60 proc. więcej niż rok wcześniej – wynika z raportu „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia”. Dobra wiadomość: coraz więcej placówek zdrowia wdraża systemy zarządzania bezpieczeństwem informacji.

  • Zagrożeniem nr 1 dla placówek medycznych są kampanie phishingowe wykorzystujące zaufanie do instytucji publicznych, np. NFZ.
  • Wiele organizacji nadal popełnia podstawowe błędy bezpieczeństwa, takie jak brak aktualizacji systemów oraz publicznie dostępne usługi administracyjne.
  • Rośnie zaangażowanie kadry zarządzającej w cyberbezpieczeństwo i poprawia się poziom wdrożenia systemów zarządzania bezpieczeństwem informacji.
  • Dyrektywa NIS2 rozszerza obowiązki związane z cyberbezpieczeństwem.
  • CSIRT CeZ rozwija nowe narzędzia wsparcia, w tym całodobowy monitoring i projekt „Cyberkaretka”.
Newsletter OSOZ

Phishing największym zagrożeniem. Hakerzy atakują, gdy spada czujność

W 2023 roku odnotowano 435 incydentów bezpieczeństwa danych w sektorze zdrowia, rok później już 1028, a w 2025 roku liczba ta wzrosła do 1441.

Liczba incydentów w sektorze ochrony zdrowia w latach 2023-2025 (źródło: CSIRT CeZ)
Liczba incydentów w sektorze ochrony zdrowia w latach 2023-2025 (źródło: CSIRT CeZ)

Konsekwencje ataków hakerów wykraczają daleko poza utratę danych, prowadząc do zaburzenia pracy oddziałów, utrudnionego dostępu do dokumentacji medycznej i zagrażając bezpieczeństwu pacjentów.

Największą kategorię incydentów w 2025 roku stanowiły oszustwa komputerowe (phishing). Odnotowano ich aż 580. Drugą najczęstszą grupą były podatne usługi (344). Łącznie te dwa typy zagrożeń odpowiadały za niemal dwie trzecie wszystkich incydentów zgłoszonych do CSIRT CeZ.

Cyberprzestępcy coraz rzadziej wysyłają prymitywne wiadomości z błędami językowymi. W zamian przygotowują profesjonalnie wyglądające kampanie, które wykorzystują zaufanie do znanych instytucji ochrony zdrowia.

Klasyfikacja częstwości występowania incydentów według kategorii (źródło: CSIRT CeZ)
Klasyfikacja częstotliwości występowania incydentów według kategorii (źródło: CSIRT CeZ)

W ubiegłym roku przestępcy podszywali się między innymi pod NFZ, RPWDL, gabinet.gov.pl, eZUS czy dostawców IT. Lekarze otrzymywali wiadomości informujące o konieczności aktualizacji certyfikatów lub groźbie utraty możliwości wystawiania e-recept. Linki prowadziły do fałszywych stron logowania, których celem było przejęcie haseł dostępu. Szczególnie niebezpieczne były kampanie wykorzystujące markę NFZ. Cyberprzestępcy oferowali rzekome „darmowe apteczki” za symboliczną opłatą, kierując użytkowników na spreparowane strony płatnicze.

Na czwartym miejscu jest szkodliwe oprogramowanie, czyli ransomware.

Choć najmniej incydentów w skali miesiąca występuje w lipcu i sierpniu, czujność trzeba zachować zawsze. Hakerzy wykorzystują obniżoną czujność, a do ataków często dochodzi nocą, gdy działy IT kończą pracę.

Pobierz bezpłatny raport na temat bezpieczeństwa danych medycznych
Pobierz bezpłatny raport na temat bezpieczeństwa danych medycznych

W wielu szpitalach nadal brakuje bazowych zabezpieczeń, ale sytuacja się poprawia

W 2025 roku CSIRT CeZ przeprowadził testy bezpieczeństwa infrastruktury w ośmiu podmiotach medycznych. Wniosek: najczęściej wykrywane problemy mają charakter organizacyjny i dotyczą podstawowego utrzymania infrastruktury IT. Na liście nieprawidłowości znalazły się brak aktualizacji oprogramowania, wygasłe certyfikaty SSL, korzystanie z przestarzałych protokołów komunikacyjnych oraz systemów operacyjnych, które od dawna nie są już wspierane przez producentów.

Eksperci wykrywali również publicznie dostępne panele administracyjne oraz otwarte porty usług takich jak SSH (Secure Shell, usługa umożliwiająca zdalne zarządzanie serwerami i urządzeniami IT), RDP (Remote Desktop Protocol, protokół pozwalający na zdalne połączenie z komputerem i pracę tak, jakby użytkownik siedział przed nim), SMB (Server Message Block, protokół wykorzystywany do udostępniania plików, folderów i drukarek w sieci) czy Telnet (starszy protokół do zdalnego dostępu do urządzeń i systemów). Dla cyberprzestępców stanowią one potencjalną furtkę umożliwiającą uzyskanie dostępu do systemów szpitalnych.

Autorzy raportu zwracają uwagę, że cyberbezpieczeństwo musi być elementem strategii działania placówki zdrowia i tematem, którym zajmuje się także kadra zarządzająca placówkami ochrony zdrowia, a nie tylko informatycy.

Badanie CSIRT CeZ sugeruje, że świadomość zagrożeń rośnie. Już 76 proc. jednostek deklaruje wdrożenie systemu zarządzania bezpieczeństwem informacji. W 2025 roku szkolenia w tym zakresie ukończyło 42 proc. dyrektorów badanych placówek (6%), a 70 proc. cyklicznie zapoznaje się z przeglądem ryzyka w jednostce. 60 proc. placówek posiada dedykowane stanowisko i osobę odpowiedzialną za cyberbezpieczeństwo. Z roku na rok spada liczba podmiotów, w których nie wskazano takiej osoby.

Liczba podmiotów, w których nie wskazano osoby odpowiedzialnej za cybernezpieczeństwo (źródło: CSIRT CeZ)
Liczba podmiotów, w których nie wskazano osoby odpowiedzialnej za cybernezpieczeństwo (źródło: CSIRT CeZ)

Raport pokazuje też, że wiele placówek nadal nie posiada podstawowych dokumentów i procedur. Ponad 28 proc. organizacji nie ma opublikowanej polityki bezpieczeństwa.

Czy dyrektor jednostki opublikował politykę bezpieczeństwa jednostki z uwzględnieniem cyberbezpieczeństwa? (źródło: CSIRT CeZ)
Czy dyrektor opublikował politykę bezpieczeństwa z uwzględnieniem cyberbezpieczeństwa? (źródło: CSIRT CeZ)

Jak podkreślają autorzy raportu, „polityka bezpieczeństwa stanowi podstawowy dokument określający
zasady ochrony informacji oraz odpowiedzialności w organizacji. Jej brak może prowadzić do niespójnych działań oraz zwiększonego ryzyka wystąpienia incydentów związanych z cyberbezpieczeństwem.”

Liczba podmiotów, które nie opublikowały polityki bezpieczeństwa (źródło: CSIRT CeZ)
Liczba podmiotów, które nie opublikowały polityki bezpieczeństwa (źródło: CSIRT CeZ)

CSIRT CeZ przygotowuje się na jeszcze trudniejsze lata

Flagowym projektem mającym zwiększyć poziom cyberochrony w kluczowych podmiotach zdrowia jest wdrożenie zapisów nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) adaptującej dyrektywę NIS2. Nowe przepisy poszerzają liczbę podmiotów zobowiązanych do wdrażania środków bezpieczeństwa, zarządzania ryzykiem oraz raportowania incydentów.

Dla organizacji będących podmiotami kluczowymi według NIS2, oznacza to konieczność stworzenia nowych procedur, przeprowadzenia analiz ryzyka, przeszkolenia pracowników, realizacji regularnych audytów oraz wdrożenia mechanizmów monitorowania zagrożeń.

CSIRT CeZ jest świadomy, że incydentów będzie nadal przybywać, a nowe metody ataków z wykorzystaniem AI zwiększą skalę zagrożeń. Dlatego planuje m.in. wdrożenie ciągłego modelu pracy 24 godziny na dobę przez siedem dni w tygodniu. Dzięki temu możliwe będzie szybsze reagowanie na incydenty oraz skuteczniejsze wsparcie placówek medycznych.

Centrum e-Zdrowia będzie nadal szkolić w zakresie cyberbezpieczeństwa. CSIRT CeZ zapowiada też „Cyberkaretkę”, której zadaniem będzie wsparcie organizacji w sytuacjach kryzysowych związanych z cyberatakami.

W badaniu poziomu cyberbezpieczeństwa uczestniczyło 696 podmiotów. Ankieta była skierowana do szpitali podlegających bezpośrednio Ministerstwu Zdrowia oraz Ministrowi Zdrowia, czyli około 1600 podmiotów. W badaniu wzięło więc udział 43% potencjalnych respondentów.

Kliknij na okładkę, aby pobrać pełny raport CSIRT CeZ
Kliknij na okładkę, aby pobrać pełny raport CSIRT CeZ

Czytaj także: W tym szpitalu cyberatak zabił pacjenta. Lekcje z kryzysu