Podczas konferencji Centrum e-Zdrowia, eksperci z CSIRT Centrum e-Zdrowia, Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), Urzędu Ochrony Danych Osobowych (UODO) oraz środowiska medycznego rozmawiali o tym, jak się zabezpieczyć przed atakami hakerów i jak na nie reagować. Przedstawiono też kulisy największego przestępstwa cybernetycznego w ochronie zdrowia ostatnich lat, które wykryło CBZC.

Tylko 60% placówek wykonuje testy kopii zapasowych

Jeremi Olechnowicz, Kierownik CSIRT Centrum e-Zdrowia, podkreślił, że sektor zdrowia jest jednym z najbardziej podatnych na ataki, co wynika z kilku czynników: systemy są złożone, przetwarzają dane wrażliwe (medyczne, osobowe, dokumentację), a placówki często mają ograniczone zasoby kadrowe i techniczne.

Dane nie pozostawiają złudzeń: gwałtownie rośnie liczba incydentów cybernetycznych, a zgodnie z globalnym raportem IBM, sektor zdrowia generuje najwyższe straty finansowe spośród wszystkich sektorów, właśnie ze względu na wrażliwość danych oraz znaczenie systemów dla życia i zdrowia pacjentów.

Według Olechnowicza, były już pojedyncze przypadki na świecie, kiedy doszło do takiej sytuacji, że utrudniony dostęp do dokumentacji medycznej zagroził zdrowiu i życiu pacjenta. Hakerzy najczęściej zorganizowane grupy przestępcze, które posiadają budżet i działają w pełni profesjonalnie. Statystyki Centrum e-Zdrowia sugerują, że najczęstsze formy ataków na placówki zdrowia to:

• Phishing i spear-phishing, czyli próby wyłudzenia loginów i haseł pracowników.
• Wirusy, ransomware i ataki szyfrujące, które blokują dostęp do danych i systemów medycznych, a hakerzy żądają zapłacenia okupu.
• Wykorzystanie podatności w aplikacjach i infrastrukturze, szczególnie na serwerach podłączonych do internetu.

Czynnik ludzki nadal pozostaje najsłabszym ogniwem systemu ochrony danych. Wielu incydentów dałoby się uniknąć dzięki prostym nawykom bezpieczeństwa i edukacji pracowników.

– Cyberbezpieczeństwo to złożone zadanie dla każdego podmiotu. Wymaga zaangażowania wszystkich pracowników, całej organizacji, no i niestety budżetu – mówił Olechnowicz. Do bazowych zabezpieczeń należą antywiriusy, aktualne oprogramowanie, inwestowanie w kompetencje pracowników, spełnienie wymagań prawnych w zakresie RODO oraz monitorowanie infrastruktury IT.

Ekspert CSIRT CeZ podkreślił, że cyberbezpieczeństwo to proces. Nie chodzi tylko o to, żeby co roku odnawiać subskrypcję na program antywirusowy. Cyberprzestępcy szukają nowych metod, nowych wektorów ataku, więc organizacja też musi się przystosować i zabezpieczyć przed tymi atakami.

Wkrótce Cez opublikuje wyniki ankiety badającej poziom cyberodporności w sektorze zdrowia. Wstępne wyniki są alarmujące. Chociaż ponad 90% podmiotów posiada system kopii zapasowych, to tylko niecałe 60% wykonuje ich testy. W krytycznym momencie może się okazać, że kopie nie działają albo kopie są nieprawidłowe. 9% podmiotów nie ma podstawowych narzędzi bezpieczeństwa, takich jak antywirus, firewall czy ADR (systemy wykrywania i reagowania na incydenty). Duże zaniedbania są też w uwierzytelnianiu wieloskładnikowym, choć mówi się o tym od wielu lat.

CSIRT CeZ wspiera placówki medyczne, pomagając w obsłudze incydentów, monitorując podatności oraz szkoląc personel i przygotowując wytyczne sektorowe.

–  Wspólnie z Akademią Cez przeszkoliliśmy już ponad 1700 przedstawicieli podmiotów medycznych. Uruchamiamy też platformy e-learningowe, żeby dotrzeć do szerszego grona odbiorców –  podsumował  Olechnowicz.

Centralne Biuro Zwalczania Cyberprzestępczości zdradza kulisy działania hakerów w ochronie zdrowia

Komisarz Dariusz Śpicha, z CBZC przedstawił operacyjne spojrzenie na cyberzagrożenia w sektorze zdrowia, oparte na konkretnych śledztwach i przestępstwach. Opowiedział m.in. o dużej grupie przestępczej, którą CBZC rozpracowało w czasie pandemii COVID-19. Cyberprzestępcy zdobywali dane logowania do systemów, m.in. do gabinet.gov.pl i rejestru podmiotów wykonujących działalność leczniczą (RPWDL) wykorzystując brak uwierzytelnienia wieloskładnikowego (MFA).

Za pomocą przejętych kont generowali fałszywe recepty oraz potwierdzenia szczepień COVID, które były sprzedawane nawet za 1500 zł. Taki certyfikat był następnie wpisywany do centralnego systemu. Grupa wykorzystywała wycieki danych, które zdobywała na forach darknetowych, a następnie sprzedawała dane lub używała ich do dalszych włamań.

Wraz z upływem czasu certyfikaty covidowe przestały być chodliwym towarem, dlatego grupa zmieniła sposób działania i zaczęła wystawiać recepty na leki opioidowe, które bardzo dobrze się sprzedawały zarówno w Polsce, jak i za granicą. Wykorzystywali do tego dostęp do e-recept, logując się przez konta pozyskane z wcześniejszych ataków (np. gabinet.gov.pl), ale także przekształcając konta zwykłych użytkowników w konta lekarzy. Pozyskiwali dane logowania z wycieków z różnych podmiotów medycznych, które były słabo zabezpieczone. Większość placówek medycznych korzysta z aplikacji zewnętrznych i wiele z tych aplikacji nie ma uwierzytelniania dwuskładnikowego, co pozwalało na łatwe logowanie. Lekarz mógł nawet nie wiedzieć, że – używając jego konta – wystawiane są recepty, które trafiają do przestępców.

Ostatecznie, CBZC we współpracy z Centrum e-Zdrowia doprowadziło do wdrożenia MFA, które znacząco utrudniło przejmowanie kont. Jednak przestępcy zaczęli szukać innych punktów wejścia. Dlatego monitoring darknetu i wymiana informacji między instytucjami są kluczowe.

Jeszcze inna grupa hakerów przeprowadziła trzy kampanie phishingowe wymierzone w NFZ, z których jedna – najlepiej przygotowana – zakończyła się powodzeniem. W jej wyniku 180 użytkowników odpowiedziało na fałszywy komunikat i podało swoje dane dostępowe.

– Dzięki temu przestępcy założyli około 20 kont w różnych podmiotach medycznych. Dlaczego było to dla nich tak ważne? Ponieważ chcieli uzyskać własne konta – najlepiej z uprawnieniami administratora – w placówkach medycznych. Dzięki takim kontom mogli infekować systemy, wprowadzać własnych użytkowników, tworzyć dodatkowe konta i pozyskiwać dostęp do aplikacji oraz danych. Mieli listę stworzonych kont w kilku instytucjach medycznych. Większość z nich udało się później zablokować – mówił Komisarz Śpicha.

Hakerzy często korzystają z tzw. info-stealer’ów instalowanych na komputerach ofiar. Jest ono często niewidoczne nawet dla antywirusa. Takie oprogramowanie pobiera wszystkie dane zapisane w przeglądarce, w tym loginy, hasła i dane wrażliwe, i przekazuje je do przestępców w postaci tekstu jawnego. Kradzione są również pliki cookies z aktywnych sesji logowania, co oznacza, że nawet zabezpieczenia MFA nie chronią, jeśli użytkownik nie wylogował się z konta. Pobierane są także dane typu autofill – czyli wszystko, co wpisujemy w przeglądarkę: numery kont, dane adresowe, wyszukiwane informacje. Dzięki temu przestępcy mogą tworzyć pełne profile użytkowników i ich aktywności. Tak pozyskane informacje trafiają do serwisów handlujących wyciekami.

W marcu 2024 roku wydarzył się kolejny incydent – tym razem w placówce medycznej korzystającej z niezabezpieczonego systemu MyDr. Doszło do przełamania zabezpieczeń i wycieku danych. Ponieważ placówka miała podpięte API do systemu eWuś, przestępcy masowo zadawali zapytania – nawet kilka milionów. Udało się jednak zidentyfikować sprawcę, zatrzymać go i odzyskać całość danych. Jedynie niewielka liczba rekordów została wcześniej sprzedana.

Komisarz podkreślił, że CBZC nie tylko ściga sprawców, ale również prowadzi działania prewencyjne i monitoruje fora darknetowe, aby możliwie wcześnie powiadamiać instytucje o zagrożeniach. Wymienił liczne przypadki placówek (szpitale, centra krwiodawstwa, firmy farmaceutyczne), w których odkryto podatności techniczne i przekazano zalecenia naprawcze.

Można mieć świetny sprzęt i nadal być podatnym na ataki

Cyberbezpieczeństwo w ochronie zdrowia to zagadnienie techniczne, strategiczne, organizacyjne i etyczne. Podczas panelu dyskusyjnego podkreślano, że główne zagrożenie wynika dzisiaj z braku świadomości, kultury bezpieczeństwa oraz umiejętności reagowania. Podmiotom medycznym często wydaje się, że skoro inwestują w systemy, zabezpieczenia i dokumentację, to ich poziom bezpieczeństwa jest wystarczający. Tymczasem, jak zauważyła prof. Marlena Sakowska-Baryła z Uniwersytetu Łódzkiego, „można mieć system, procedury i sprzęt, a mimo to być kompletnie nieprzygotowanym”.

– Widziałam wiele gabinetów, w których polityka dotycząca danych osobowych była tylko skopiowana od kogoś i częściowo uzupełniona. Często podstawowe dane, takie jak lokalizacja, nie były zmieniane, przez co polityka wskazywała na zupełnie inny podmiot, czasem nawet geograficznie odległy – mówiła prof. Sakowska-Baryła.

Jeszcze bardziej niebezpieczne jest przekonanie, że naruszenie danych to tylko „wyciek”, podczas gdy realnym ryzykiem są manipulacje, utrata integralności dokumentacji medycznej czy niedostępność systemów, która unieruchamia pracę całej placówki.

Przypomniano przy tym, że RODO to nie „fasadowa procedura narzucona przez Unię Europejską”, ale podejście chroniące dane. „Często myślimy, że wystarczy polityka RODO kupiona za 300 zł, wpisanie własnych danych i nagłówek – reszta nie jest czytana i w praktyce RODO po prostu nie działa.”

Dr inż. Jakub Syta z Akademii Marynarki Wojennej zaznaczył, że w sektorze medycznym priorytetem nie jest poufność, ale dostępność. „Brak dostępu do danych przez godzinę może być różnicą między życiem a śmiercią”. Dane medyczne należy traktować jak element procesu leczenia, a nie jak informację zapisaną w komputerze. Jak dodała prof. Sakowska-Baryła, „tak naprawdę nie bronimy danych, ale bronimy człowieka przed konsekwencjami utraty tych danych”.

Eksperci podkreślali, że błędem jest traktowanie incydentu jako kompromitacji organizacji. Wiele szpitali do dziś boi się zgłaszać incydenty, chcąc je wyciszyć lub ukryć. To właśnie ten mechanizm powoduje największe szkody. Jak zauważył komisarz Śpicha, „incydent to nie porażka – porażką jest brak reakcji”. Dlatego każdy incydent w ochronie zdrowia musi być traktowany jako problem medyczny, organizacyjny, prawny, a nawet humanitarny. Na ostatnim, a nie pierwszym miejscu, jest myślenie o wizerunku podmiotu.

Niewiedza i strach pracownika to największy sprzymierzeniec hakera

Wiele uwagi poświęcono kulturze organizacyjnej, a raczej jej brakowi. Z jednej strony widać placówki, które mają procedury, wiedzą jak reagować i natychmiast uruchamiają odpowiednie działania. Ale są też jednostki, w których pierwszą reakcją jest panika, ukrywanie i działanie na własną rękę.

Dr Beata Konieczna-Drzewiecka z Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego oraz Inspektor Ochrony Danych przytoczyła sytuację, w której pracownik, nie mając żadnego szkolenia ani wsparcia, po zauważeniu zaszyfrowanych plików, w panice kupił kryptowaluty i próbował samodzielnie zapłacić cyberprzestępcom, aby „załatwić sprawę po cichu”. O ataku nie wiedział nawet informatyk. Ten przykład pokazuje, że brak świadomości jest realnym zagrożeniem generującym ogromne straty. Dla kontrastu, opisała sytuację placówki, w której wystarczyło jedno zgłoszenie, szybka reakcja administratora i sprawnie działające procedury, które zatrzymały atak zanim wyrządził szkody. Jak podkreśliła Konieczna-Drzewiecka, najlepiej zabezpieczona placówka to nie ta, która nie ma incydentów, ale ta, która potrafi je właściwie obsłużyć.

– Jedna z dużych placówek zdrowia padła ofiarą ataku ransomware. Dzięki temu, że kierownictwo regularnie szkoliło wszystkich pracowników w zakresie bezpieczeństwa i reagowania na ataki, udało się szybko zareagować. Pani doktor zauważyła, że coś jest nie tak z komputerem podczas przyjęcia pacjenta. Natychmiast przerwała wizytę i powiadomiła kierownika, co uruchomiło szybki kontakt z działem IT i podjęcie działań naprawczych. Ten przykład pokazuje, że kompleksowa analiza ryzyk i procedury wynikające z dokumentacji bezpieczeństwa są kluczowe. Brak takiej dokumentacji może skutkować wysokimi karami dla administratora w przypadku kontroli. Z drugiej strony, dobrze przygotowane procedury pozwalają pracownikom wiedzieć, jak reagować i gdzie zgłosić problem – mówiła Konieczna-Drzewiecka.

Konsekwencje ataków dla placówek, które nie są przygotowane, są ogromne. Odłączenie systemów może całkowicie uniemożliwić pracę, analogicznie jak odcięcie prądu. Dlatego przeprowadzanie ocen i analiz ryzyka w jednostkach jest niezbędne, aby zidentyfikować słabe punkty i odpowiednio się zabezpieczyć.

Fundamentem bezpieczeństwa jest wiedza ludzi na każdym poziomie organizacji. To właśnie brak zrozumienia sprawia, że personel medyczny unika zgłaszania incydentów, bo „nie wie do kogo”, „boi się konsekwencji” albo „myśli, że poradzi sobie sam. Dlatego szkolenia z ochrony danych nie mogą być traktowane jako jednorazowy obowiązek i powinny stać się naturalnym elementem kultury pracy – tak, jak higiena, etyka czy tajemnica lekarska.

Prostota obsługi systemów to też element bezpieczeństwa

Ochrona danych wprowadza zasady, które powinny być uwzględniane już na etapie projektowania systemów. Jedną z nich jest „ochrona danych w fazie projektowania”, która poprzez odpowiednie rozwiązania technologiczne i organizacyjne minimalizuje ryzyka. Chodzi m.in. o uniemożliwienie użytkownikom popełniania błędów poprzez przemyślany design procesów i interfejsów użytkownika, ich ujednolicenie i przyjazność obsługi.

Często zapomina się, że na końcu mamy człowieka – w przypadku placówek medycznych to personel medyczny, który jest zajęty i nie może poświęcać dużo czasu na naukę nowych systemów. Dlatego kluczowe jest projektowanie narzędzi tak, aby były intuicyjne i ułatwiały właściwe zachowanie użytkowników. To w dużej mierze decyduje o bezpieczeństwie całej placówki.

Niewygoda obsługi może być ryzykowna, bo jeśli funkcja bezpieczeństwa jest uciążliwa w korzystaniu, użytkownik jej nie użyje, obejdzie albo dezaktywuje. Najczęstszym grzechem jest wyłączanie niektórych zabezpieczeń, bo wymagają powtórnego logowania czy wprowadzania kodów. Piotr Drobek, Dyrektor Departamentu Innowacyjności w UODO podkreślił, że system, który jest wprawdzie wdrożony, ale jest nieużywalny, też jest niebezpieczny. Dlatego każda placówka musi analizować, jak personel medyczny faktycznie pracuje i jak korzysta z zasobów IT. Lekarz dyżurny nie będzie studiował instrukcji ani zastanawiał się nad zasadami MFA. On „musi wejść do systemu natychmiast, bo ktoś leży na oddziale i czeka na decyzję”.

To też pokazuje, że cyberbezpieczeństwo nie jest już domeną działu IT. Systemy, które są intuicyjne, odpowiadają potrzebom i są zaprojektowane z myślą o codziennym funkcjonowaniu personelu, są wielokrotnie skuteczniejsze niż nawet najbardziej zaawansowane rozwiązania techniczne niedopasowane do realiów pracy szpitala. Zwrócono także uwagę, że w wielu klinikach jednym z najlepszych narzędzi bezpieczeństwa okazał się zwykły system komunikacji – numer telefonu i zasada: „Jeśli coś nie działa – zgłoś natychmiast”.

– Kluczowa jest świadomość kierownictwa – niezależnie od wielkości placówki – zarówno w zakresie ochrony danych osobowych przy nowych inwestycjach, jak i w kontekście cyberbezpieczeństwa dotyczącego już istniejących systemów. Często wyznacza się inspektora ochrony danych i zakłada, że on sam odpowiada za bezpieczeństwo danych, podczas gdy kierownictwo nie czuje się odpowiedzialne. Bez tego trudno, aby system działał właściwie. Podczas szkoleń inspektorzy przypominają, że dyrektorzy i kierownictwo muszą rozumieć swoją rolę i odpowiedzialność – zarówno finansową, jak i organizacyjną – mówił Drobek dodając, że nie można przerzucać całej odpowiedzialności tylko na administratora danych, bo dyrektorzy i zarządy szpitali, choć nie są ekspertami od cyberbezpieczeństwa, powinni wiedzieć, jakie działania należy podjąć, aby minimalizować ryzyko i zapewnić bezpieczeństwo placówki.

Kolejny problem w placówkach zdrowia to koncentrowanie się jedynie na łańcuchu dostaw i weryfikowanie podwykonawców, ale przy tym ignorowanie własnego, wewnętrznego bezpieczeństwa. Dostawcy też powinni być bezpieczni, ale nie można przerzucać całej odpowiedzialności na podmioty trzecie. „Najpierw powinniśmy zadbać o to, jak funkcjonuje nasza własna organizacja – jakie mamy procesy i usługi. Kiedy to przeanalizujemy, możemy określić rodzaje przetwarzanych informacji, ich znaczenie i poziom ryzyka.”

Wyciek danych? Zadzwonić na Policję, do CSIRT CeZ czy UODO?

Jak placówki zdrowia powinny reagować na incydenty ochrony danych? Komisarz Dariusz Śpicha wielokrotnie podkreślał, że najlepiej, aby to Policja była pierwsza na miejscu, bo każda godzina zwłoki to zniszczony dowód. Jest to powszechny problem: Placówki, zamiast zgłosić incydent, najpierw próbują go „naprawić”: restartują systemy, zmieniają hasła, wgrywają kopie, co w praktyce niszczy ślady ataku i dowody.

W efekcie cyberprzestępcy są nieuchwytni nie dlatego, że są tacy sprytni, ale dlatego, że wszystkie dowody zostały usunięte przez administratorów. „Lepiej nie dotykać niczego i zadzwonić, niż działać na własną rękę i stracić wszystko”.

– W przypadku ataków ransomware trzeba pamiętać, że zaszyfrowanie systemu to najczęściej tylko efekt końcowy. Sprawcy byli wcześniej w systemie – czasem nawet kilka miesięcy – pobierali dane, przygotowywali infrastrukturę do szantażu. Jeśli ktoś przywraca kopie zapasowe z tego okresu, często są one już skompromitowane – mówił Komisarz Śpicha. Przypomniał też, że jednostki zdrowia mają stałe połączenia z innymi szpitalami, laboratoriami, dostawcami usług. Trzeba natychmiast odciąć te kanały i poinformować partnerów, aby incydent się nie rozprzestrzenił.

Eksperci zachęcali do zgłaszania ataków hakerów. CSIRT CeZ i CBZC potrafią pomóc w przywróceniu systemów i nawet zatrzymać sprawców. Nie są od tego, aby kontrolować i karać.

– Obecnie, jeśli podmiot w ochronie zdrowia ma incydent, ma obowiązek go zgłosić, również do CSIRT CeZ. Zgodnie z nowelizacją ustawy o KSC, wszystkie takie incydenty będą zgłaszane do nas. My wówczas niezwłocznie, maksymalnie w ciągu 8 godzin, powiadamiamy NASK i współpracujemy z nimi – tłumaczył dr Tomasz Jeruzalski z CSIRT CeZ.

Jak mówił Jeruzalski, incydent poważny należy zgłosić w ciągu 24 godzin. Wówczas można liczyć na pomoc w obsłudze incydentu. Może ona obejmować dostarczenie sprzętu, urządzeń sieciowych, notebooków czy transfer kompetencji.

– Oferujemy analizę logów, wsparcie sprzętowe, kontakt z innymi jednostkami oraz szkolenia dla personelu. Pracujemy nad platformą, która umożliwi szkolenia zarówno personelowi medycznemu, jak i administracyjnemu. Dla zainteresowanych przeprowadzamy testy podatności i przygotowujemy raporty z rekomendacjami, jak poprawić bezpieczeństwo systemów. Mamy też bardziej zaawansowane testy dla jednostek, które chcą pogłębić swoją ochronę – podsumował Jeruzalski.

Czytaj także: Więcej o bezpieczeństwie danych? Pobierz bezpłatny 129-stronicowy poradnik

Osoby chore na cukrzycę będą mogły wkrótce monitorować swój stan zdrowia za pomocą cyfrowego glukometru. Wyniki będą automatycznie przesyłane na Indywidualne Konto Zdrowotne (IKP), a lekarz sprawdzi trendy zdrowia pacjenta, dopasuje sposób leczenia i zaleci zmiany w stylu życia – nad takim nowym modelem opieki pracuje właśnie Centrum e-Zdrowia (CeZ). W planach także podobny system do profilaktyki i leczenia chorób kardiologicznych.

Wirtualna opieka dla diabetyków w domu

Domowa Opieka Medyczna (DOM) powstaje dzięki dofinansowaniu z Krajowego Planu Odbudowy, które CeZ otzymał w tym roku. Na razie jeszcze nie znamy dokładnej premiery systemu, ale można przypuszczać, że będzie to 2026 rok, bo do czerwca trzeba rozliczyć środki z KPO i do tego czasu system powinien być gotowy.

Jak będzie wyglądała opieka na cukrzykami w ramach DOM? Oto przykład:

Jan, 58-letni mieszkaniec niewielkiego miasta, od ponad 10 lat choruje na cukrzycę typu 2. Mimo regularnych wizyt u diabetologa, stosowania leków i próby zmiany stylu życia, jego wyniki często odbiegają od normy. Wahania poziomu glukozy i uczucie osłabienia doprowadziły do poczucia utraty kontroli nad chorobą, co z czasem stało się obciążeniem psychicznym, pogorszając jakość życia.

Podczas wizyty kontrolnej, lekarz rodzinny widząc problemy z monitorowaniem cukrzycy, włącza Jana do programu Domowej Opieki Medycznej DOM. Pacjent otrzymuje inteligentny glukometr automatycznie przesyłający wyniki wykonywanych pomiarów do aplikacji mojeIKP. Dodatkowo lekarz zaleca systematyczne notowanie informacji o samopoczuciu, aktywności fizycznej i posiłkach w tzw. Dzienniczku Pacjenta. Trendy danych są widoczne dla lekarza. Ten może skontaktować się z pacjentem i podczas teleporady przekazać wskazówki dotyczące dalszego leczenia. W ten sposób nadzór nad cukrzycą realizowany jest w trybie ciągłym i staje się bardziej spersonalizowany. Dzięki temu wyniki Jana ustabilizowały się, doprowadzając z czasem do ogólnej poprawy stanu zdrowia. Lekarz kończy program DOM, a pacjent samodzielnie kontynuuje leczenie.

DOM poprawi bezpieczeństwo leczenia i jakość życia diabetyków

Około 3 mln Polaków choruje na cukrzycę. Według szacunków, nie wie o tym nawet 1/3 pacjentów. Cukrzyca to jedna z najczęściej występujących chorób przewlekłych na świecie (440 mln chorych) wymagająca stałej kontroli parametrów zdrowotnych, takich jak poziom glukozy we krwi, ciśnienie tętnicze czy masa ciała. Skuteczne leczenie opiera się na regularnym przyjmowaniu leków, ale przede wszystkim na skrupulatnym monitorowaniu poziomu glukozy we krwi i odpowiednim reagowaniu na jej zmiany. Liczba chorych szybko rośnie i do 2030 może osiągnąć nawet 10% społeczeństwa.

Nowy system Domowej Opieki Medycznej wprowadzi zdalny nadzór nad pacjentami. Chorzy będą mogli otrzymać wsparcie, gdy pojawią się niepokojące objawy. Taka ciągłość monitoringu zdrowia diabetyków jest kluczowa w zapobieganiu powikłaniom cukrzycowym, takim jak udary, zawały, uszkodzenia nerek czy retinopatia.

Dla kogo DOM?

To lekarz będzie decydował, czy pacjent – przykładowo ze względu na niestabilne wyniki albo pogarszający się stan zdrowia – zostanie zakwalifikowany do DOM. Nie będzie to program, którym objęci zostaną wszyscy pacjenci, ale tylko ci zagrożeni powikłaniami cukrzycowymi albo nie radzący sobie z chorobą. Zdalny monitoring będzie ograniczony w czasie – po zakończeniu etapu diagnostyczno-terapeutycznego, lekarz przekazuje dalsze zalecenia pacjentowi i zamyka program DOM.     

Opieką w ramach DOM będzie można objąć osoby z grup podwyższonego ryzyka wystąpienia chorób przewlekłych, w ambulatoryjnej opieki specjalistycznej (AOS) dla pacjentów wymagających stałej opieki specjalistycznej  oraz w ramach opieki koordynowanej.

W przypadku diabetyków, DOM będzie opierał się na inteligentnych glukometrach, które przesyłają wyniki do smartfonów, a dokładnie do aplikacji Google Zdrowie lub Apple Zdrowie. Stąd są pobierane dalej do IKP. Do tego pacjent będzie wpisywał swoje objawy i informacje o samopoczuciu i stylu życia do Dzienniczka Pacjenta w IKP albo aplikacji MojeIKP. W ten sposób lekarz może przeanalizować trendy i reakcję organizmu na leczenie.

Pacjenci nie będą musieli pojawiać się w przychodni za każdym razem, aby skonsultować wyniki, co jest szczególnie ważne dla osób z ograniczoną mobilnością albo obciążonymi dodatkowymi chorobami. DOM ma też charakter edukacyjny, bo chory uczy się zarządzania swoim zdrowiem i tego, jak dopasować styl życia do wyników pomiarów. Lekarz uzyskuje wgląd w dokładne dane o zdrowiu pacjenta, co powoduje, że opieka staje się spersonalizowana i precyzyjna. I na koniec dochodzi jeszcze wygoda dzięki teleporadom.

Jak działa DOM?

Oprócz opieki diabetologicznej, DOM obejmie też leczenie kardiologiczne oraz profilaktykę. Docelowo będzie rozszerzany o kolejne dziedziny medycyny. Jednak procedura kwalifikacji i przebiegu opieki w ramach DOM będzie zawsze taka sama:

• Decyzja o objęciu pacjenta opieką. Lekarz kwalifikuje pacjenta i definiuje parametry do monitorowania.
• Gromadzenie danych. Pacjent wykonuje pomiary w warunkach domowych, a dane trafiają do systemu.
• Analiza i dostosowanie leczenia. Lekarz obserwuje wyniki i reaguje na zmiany.
• Zakończenie opieki i przekazanie zaleceń. Pacjent otrzymuje dalsze instrukcje, może kontynuować monitorowanie w aplikacji.

Od strony pacjenta, rozwiązanie będzie dostępne w aplikacjach IKP i mojeIKP, a w przypadku lekarzy – w Gabinet.gov.pl i zintegrowanych systemach gabinetowych.

DOM nie jest zupełnie nowym systemem. Wprowadzono go kilka lat temu w modelu pilotażowym. To dzięki niemu, podczas pandemii COVID-19 chorzy z grup ryzyka otrzymywali pocztą pulsoksymetry i byli monitorowani przez lekarza w domu. Potem jednak o projekcie zapomniano i dopiero finansowanie z KPO pozwoliło na jego ponowne uruchomienie, tym razem już w charakterze stałego elementu opieki, a nie pilotażu.

Czytaj także: Turbo-cyfryzacja dzięki KPO. Co planuje MZ i CeZ?

Raport Komisji Europejskiej „Sztuczna inteligencja w sektorze publicznym: przegląd sytuacji w Europie” (Study on the deployment of AI in healthcare) pokazuje czarno na białym, jak nieżyciowe prawo i brak wiedzy o AI hamują jej powszechne wykorzystanie. Polsce doskwierają przede wszystkimi luki w infrastrukturze i danych, a AI w ochronie zdrowia ma marginalne znaczenie.

• Regulacje, brak wiedzy i infrastruktury hamują wdrażanie AI w sektorze publicznym UE.
• Wdrażanie AI w Polsce jest fragmentaryczne. Brakuje kompetencji i funduszy.
• Tylko ok. 6% placówek zdrowia w Polsce korzysta z AI.
• Nowa strategia AI do 2030 tylko ogólnie wspomina ochronę zdrowia.
• Raport wskazuje na bariery: brak interoperacyjności danych, niedobór specjalistów i jasnych wytycznych, sugerując tworzenie centrów kompetencji i wsparcia dla jednostek publicznych.

Europa chce postawić na AI, ale przeszkód nie brakuje

Mimo, że można odnieść wrażenie, że Europa przede wszystkim reguluje zastosowanie AI, to tylko połowa prawdy. W mediach tematem numer jeden jest unijny Akt w sprawie AI, wprowadzający opartą na ryzyku klasyfikację AI (od minimalnego do niedopuszczalnego ryzyka) i regulujący wdrażanie AI w obszarach publicznych o wysokim ryzyku, w tym opiece zdrowotnej.

Równolegle UE inwestuje w infrastrukturę i technologię. Wśród przykładów są platforma AI-on-Demand (najlepsze europejskie narzędzia, zbiory danych i usługi AI dla badań naukowych i przemysłu), ośrodki testowania i eksperymentowania (TEF) oraz cyfrowe centra innowacji (EDIH). O ile sektor prywatny nieźle sobie radzi z adaptacją AI, raport widzi duże zaległości właśnie w sektorze publicznym, gdzie AI mogłaby zmniejszyć niepotrzebną biurokrację i poprawić efektywność.

Ale rzeczywistość na razie rozczarowuje. Wdrażanie AI często kończy się na projektach pilotażowych, a niepewność legislacyjna zniechęca skutecznie do próbowania nowego. Jedną z największych barier są zamówienia publiczne. Niewiele organizacji publicznych posiada wiedzę niezbędną do przygotowania przetargów na rozwiązania z AI, które muszą zawierać techniczne specyfikacje w tym kryteria oceny wydajności algorytmów.

Polska: otwartość na innowacje jest, brakuje pieniędzy i danych

Jak zauważają autorzy raportu, Polska „nie jest ani technologicznym maruderem, ani liderem, ale krajem podejmującym przemyślane działania w ramach krajowej strategii AI.” Za strategiczny rozwój AI w Polsce odpowiada Ministerstwo Cyfryzacji. Obecnie trwają prace nad nową strategią AI do roku 2030, która ma zastąpić pierwszą na lata 2020–2027.

AI w polskim sektorze usług publicznych to rzadkość. Wprawdzie odbyło się kilka pilotaży, ale nic z nich nie wyniknęło. Przykładowo, Ministerstwo Sprawiedliwości badało możliwości wykorzystania AI do optymalizacji wewnętrznego funkcjonowania wymiaru sprawiedliwości. Testowano nawet „Narzędzie do automatyzacji pracy sądów”, czyli system wykorzystujący przetwarzanie języka naturalnego do kategoryzowania dokumentów prawnych i ich przetwarzania w zależności od stopnia złożoności. Innym przykładem są narzędzia analizy prawnej, które miałyby pomóc sądom analizować precedensy i trendy.

W ochronie zdrowia, szpitale w Warszawie i Wrocławiu przetestowały narzędzia sztucznej inteligencji do wykrywania raka płuc na podstawie tomografii komputerowej. Niektóre szpitale regionalne wykorzystują sztuczną inteligencję do prognozowania przepływu pacjentów, szczególnie na oddziałach ratunkowych, co pozwala lepiej alokować zasoby personelu medycznego.

Jednak wdrażanie sztucznej inteligencji w opiece zdrowotnej jest fragmentaryczne i często uzależnione od finansowania unijnego lub inicjatyw regionalnych. Nic dziwnego, że tylko niecałe 6% placówek zdrowia korzysta obecnie z AI. Nie ma jednolitej platformy sztucznej inteligencji na poziomie krajowym. Jedyną nadzieją jest Platforma Usług Inteligentnych (PUI) zapowiadana na 2026 rok przez Centrum e-Zdrowia i finansowana z KPO. Poprzez PUI, wszystkie szpitale w sieci szpitali będą miały bezpłatny dostęp do algorytmów AI.

Mało się też dzieje na poziomie miast i gmin. Poznań wykorzystuje AI do optymalizacji rozkładów jazdy transportu publicznego na podstawie danych o ruchu drogowym i pasażerach w czasie rzeczywistym. Z kolei Łódź integruje AI z systemami zarządzania energią w celu optymalizacji ogrzewania i chłodzenia w budynkach użyteczności publicznej. I w tym przypadku to wyjątki w regule.

Nowa strategia AI do 2030. O zdrowiu mało i ogólnikowo

Rozwój AI w ochronie zdrowia zajmuje tylko 2 strony w nowej, 64-stronicowej strategii AI. Czytamy w niej m.in., że AI wykorzystuje już ok. 20% placówek medycznych na świecie, a do 2035 r. ma być obecna w 90% szpitali. AI przyczynia się do redukcji czasu poświęcanego na zadania administracyjne, wspiera diagnostykę, rozwój leków i urządzeń medycznych, a także może złagodzić skutki niedoboru personelu.

Dokument zwraca uwagę, że mamy predyspozycje do rozwoju AI. W ochronie zdrowia stworzyliśmy solidną infrastrukturą cyfrową (e-recepta, e-skierowania, EDM i Internetowe Konto Pacjenta IKP), rośnie krajowy ekosystem startupów rozwijających rozwiązania med-tech. Wspomina się też o Europejskiej Przestrzeni Danych dotyczących Zdrowia (EHDS), która zapewni pacjentom w UE bezpieczny dostęp do dokumentacji medycznej oraz pozwoli naukowcom na wykorzystanie zanonimizowanych danych do badań.

I to tyle. Brakuje ambitnego planu i konkretnych inicjatyw. Efekt widać gołym okiem: nasz kraj plasuje się na 36 miejscu Tortoise Global AI Index – rankingu obejmującego 83 kraje na świecie i oceniającego dojrzałość wdrażania AI po względem 122 wskaźników. Raport „Sztuczna inteligencja w sektorze publicznym” wylicza też przeszkody, jakie uniemożliwiają Polsce przyspieszenie tempa wdrażania AI:

• Fragmentacja systemów informatycznych i brak interoperacyjności danych;
• Państwo konkuruje z prywatnymi firmami o nielicznych specjalistów w dziedzinie AI. Większość gmin nie dysponuje własnym know-how w tym zakresie;
• Brak jasnych wytycznych dotyczących wdrażania AI w procesie zamówień publicznych.

Raport kończy prosta konkluzja: ambicje Europy w zakresie AI nie są jedynie obowiązkiem Brukseli, ale też Warszawy, Wiednia, Lizbony i setek gmin, gdzie cyfrowe usługi publiczne mają wpływ na życie obywateli. Raport zaleca tworzenie centrów kompetencji AI, międzyministerialnych gremiów doradczych, organizację szkoleń dla pracowników sektora publicznego, inwestowanie w przygotowania do Europejskiej Przestrzeni Danych (w tym EHDS).

Czytaj także: AI w ochronie zdrowia. Pobierz bezpłatny raport

Mija 10 lat od przyjęcia zmian prawnych, które sformalizowały świadczenie usług telemedycznych. Z tej okazji, Telemedycyna Grupa Robocza organizuje 1 grudnia 2025 r. konferencję podsumowującą dotychczasowe osiągnięcia i nowe wyzwania. Czasopismo OSOZ Polska jest patronatem wydarzenia.

Możliwości telemedycyny rosną, bariery pozostają

W grudniu 2015 r. weszła w życie nowelizacja ustawy o wykonywaniu zawodu lekarza, która wprowadziła możliwość udzielanie świadczeń medycznych na odległość za pomocą środków teletechnicznych. Ustawa otwarła drogę do m.in. telekonsyliów kardiologicznych i geriatrycznych, a następnie do upowszechnienia telekonsultacji. Te okazały się kołem ratunkowym podczas pandemii COVID-19, zwłaszcza w połączeniu z możliwością wystawienia e-recepty czy e-zwolnienia lekarskiego.

Kluczowe są dwa zapisy ustawy:

• Lekarz, lekarz dentysta może wykonywać czynności […] także za pośrednictwem systemów  teleinformatycznych lub systemów łączności oraz
• Lekarz orzeka o stanie zdrowia określonej osoby po uprzednim, osobistym jej zbadaniu lub zbadaniu jej za pośrednictwem systemów  teleinformatycznych lub systemów łączności.

Obecnie liczba wizyt online powoli rośnie, ale barierą nadal pozostaje brak odpowiedniego sprzętu, niski poziom finansowania przez NFZ oraz przyzwyczajenia pacjentów. Tymczasem telemedycyna jest wygodną formą konsultacji dla pacjenta, ogranicza rozprzestrzenianie się chorób zakaźnych w sezonie grypowym/COVID-19, pozwalając lepiej alokować czas pracy lekarzy i skracać kolejki.

Telemedycyna to też telemonitoring pacjentów, dzięki któremu leczenie szpitalne może być kontynuowane w domu chorego, a stan zdrowia osób chorych przewlekle – kontrolowany w trybie ciągłym. Dzięki miniaturyzacji urządzeń pomiarowych i sztucznej inteligencji, możliwości opieki na odległość szybko rosną. Przykładowo, nowoczesne smartwatche mogą wykrywać migotanie przedsionków a nawet ostrzegać przed możliwym nadciśnieniem. Czy system zdrowia jest gotowy, aby w pełni wykorzystać potencjał telemedycyny?

Program, rejestracja i informacje organizacyjne

Wydarzenie odbędzie się w formule hybrydowej 1 grudnia 2025 r. w Centrum Dydaktycznym Warszawskiego Uniwersytetu Medycznego przy ul. Księcia Trojdena 2a w Warszawie. Konferencja będzie też transmitowana on-line.

W programie:

• podsumowanie dekady rozwoju telemedycyny w Polsce – od pierwszych regulacji i pilotaży, przez masowe wdrożenia i doświadczenia pandemii COVID-19, po obecną praktykę rynkową
• przykłady praktycznych wdrożeń i dobrych praktyk z Polski i zagranicy
• debaty z przedstawicieli administracji publicznej, środowisk medycznych, nauki, organizacji pacjenckich oraz sektora technologicznego o trendach, wyzwaniach i kierunkach rozwoju telemedycyny do roku 2035

Szczegółowa agenda:

9:00 – 9:20, Otwarcie konferencji
Jan Pachocki (Prezes, Telemedyczna Grupa Robocza)
Michał Czarnuch (Współzałożyciel, Telemedyczna Grupa Robocza)

9:20 – 9:40, Wystąpienie specjalne
Tomasz Maciejewski (Podsekretarz Stanu, Ministerstwo Zdrowia)

9:40 – 10:00, Wystąpienie specjalne
Dariusz Standerski (Sekretarz Stanu, Ministerstwo Cyfryzacji)

10:00 – 10:20, Prezentacja raportu okolicznościowego
Paweł Kaźmierczyk (Telemedyczna Grupa Robocza)

10:20 – 11:20, Panel dyskusyjny
Moderator: Jan Pachocki (Prezes, Telemedyczna Grupa Robocza)
Tomasz Maciejewski (Podsekretarz Stanu, Ministerstwo Zdrowia)
Artur Drobniak (Prezes, Okręgowa Rada Lekarska w Warszawie)
Marcin Grabowski (Warszawski Uniwersytet Medyczny)
Magdalena Kołodziej (Prezes, Fundacja My Pacjenci)
Paweł Łangowski (Dyrektor ds. Public Affairs, Medicover)
Maciej Furman (Business Development Manager, Comarch S.A.)
Michał Czarnuch (Telemedyczna Grupa Robocza)

11:20 – 11:40, Przerwa kawowa
11:40 – 12:00, Wystąpienie gościa zagranicznego
Telemedicine in Italy: New Horizons with the PNRR Funds – A Practical Case Study of Telemedicine in the Italian Territory
Michelangelo Flaborea Zvech Mreule (Ekspert ds. telemedycyny, Włochy)

12:00 – 13:00, Panel dyskusyjny
Moderator: Michał Czarnuch (Telemedyczna Grupa Robocza)
Anna Kowalczuk (Zastępca Prezesa, Agencja Oceny Technologii Medycznych i Taryfikacji)
Tomasz Zieliński (Wiceprezes, Porozumienie Zielonogórskie)
Łukasz Kołtowski (Warszawski Uniwersytet Medyczny)
Leszek Czupryniak (Członek Zarządu Głównego, Polskie Towarzystwo Diabetologiczne)
Andrzej Osuch (Dyrektor ds. Transformacji Biznesowej, Lux Med)
Katarzyna Fryc-Waluszkiewicz (Dyrektor Biura Integracji i Automatyzacji Procesów, PZU Zdrowie)
Przedstawiciel Biura Rzecznika Praw Pacjenta (Biuro Rzecznika Praw Pacjenta)

13:00, Zamknięcie konferencji i podziękowania

Aby zarejestrować się bezpłatnie na wydarzenie, kliknij tutaj.

Czytaj także: Oto najlepsze innowacje 2025 roku według Naczelnej Izby Lekarskiej

Znamy zwycięzców III edycji konkursu „Wdrożenie innowacji w opiece zdrowotnej” organizowanego przez Sieć Lekarzy Innowatorów Naczelnej Izby Lekarskiej. Nagrodzono predykcyjny monitoring zdrowia, mobilny gabinet cytologiczny i mammograficzny, chatbot do wstępnego wywiadu medycznego oraz rozwiązanie AI w diagnostyce obrazowej.

Innowacje mają sens tylko wtedy, gdy stają się wdrożeniem – to idea przewodnia Konkursu NIL IN promującego osoby i placówki zdrowia wdrażające innowacje technologiczne lub organizacyjne, które realnie poprawiają jakość, efektywność lub bezpieczeństwo opieki nad pacjentem. Uroczysta gala finałowa III edycji odbyła się 18 listopada br. w Muzeum Historii Polski w Warszawie.

Opaski dla bezpieczeństwa pacjentów szpitala

W kategorii „Szpitalnictwo” zwyciężył projekt Predykcyjny monitoring zdrowia i bezpieczeństwa dla SOR – EMERGENT, wdrożony na Klinicznym Oddziale Ratunkowym Uniwersyteckiego Centrum Klinicznego w Gdańsku, a zainicjowany przez Dariusza Szplita, Kierownika Działu Innowacji, Analityki i Wdrożeń Technologii Medycznych oraz Mariusza Budzisza, Kierownika Działu Informatyki.

EMERGENT to innowacyjny system IoT (Internetu Rzeczy) łączący monitorowanie parametrów życiowych pacjentów (saturacja, tętno, temperatura) z precyzyjną lokalizacją w budynku dzięki technologii UWB (bezprzewodowa technika komunikacji krótkiego zasięgu, która wykorzystuje bardzo krótkie impulsy radiowe o szerokim paśmie, umożliwiając precyzyjną lokalizację).

System wyposażony jest w opaski noszone przez pacjentów, czujniki środowiskowe, kotwy lokalizacyjne oraz aplikacje i dashboardy dla personelu medycznego. Dostarcza powiadomień i alarmów, co pozwala na szybszą reakcję i podnosi poziom bezpieczeństwa pacjentów, jednocześnie zmniejszając obciążenie pracowników. Dzięki analizie danych w czasie rzeczywistym możliwe jest nie tylko szybkie wykrywanie zdarzeń, takich jak upadki, ale także przewidywanie ich ryzyka poprzez analizę ruchu i zachowania pacjenta. 

Cytologia i mammografia przyjeżdża do pacjentek

W kategorii „Opieka ambulatoryjna” nagrodę zdobył Cytomammobus – nowoczesny mobilny gabinet diagnostyczny do realizacji badań profilaktycznych dla kobiet ze słabą dostępnością do opieki zdrowotnej. Projekt został zainicjowany przez dr n. med. Artura Prusaczyka, Wiceprezesa Centrum Medyczno-Diagnostycznego w Siedlcach.

3,5-tonowy pojazd łączy gabinet cytologiczny i mammograficzny, oferując test HPV DNA i mammografię w wysokim standardzie, wykonywane przez wykwalifikowany personel. Projekt znacząco zwiększa dostęp do badań profilaktycznych, skraca kolejki, odciąża przychodnie i wspiera wczesną diagnostykę raka piersi i szyjki macicy. Badania blisko domu eliminują długie dojazdy, umożliwiają wczesne wykrycie chorób, co zwiększa skuteczność leczenia, minimalizuje obciążenie systemu zdrowotnego. Jedno urządzenie obsługuje wielu pacjentów w różnych lokalizacjach.

Chatbot zrobi wstępny wywiad i podpowie pacjentowi co robić dalej

W kategorii „Samoopieka” nagrodę otrzymał Symptomate Chatbot opracowany przez wrocławski startup Infermedica. To inteligentny, empatyczny chatbot, który dzięki połączeniu bazy wiedzy medycznej, algorytmów sztucznej inteligencji i dużych modeli językowych przeprowadza cyfrowy wywiad medyczny. Umożliwia pacjentom opisanie swoich objawów w formie rozmowy, a następnie dostarcza wskazówek, możliwych przyczyn dolegliwości oraz rekomendacji co do dalszych kroków, np. konsultacji z lekarzem.

AI w diagnostyce obrazowej zmniejsza napromieniowanie i czas badania

Specjalne wyróżnienie “Wdrożenia – jak sztuczna inteligencja zmieniła opiekę nad pacjentem” otrzymał projekt wdrożenia AI w MR, PET i mammografii autorstwa Łukasza Pruszyńskiego, Kierownika Elektroradiologów Medycznych i Elektroradiolog z Radomskiego Centrum Onkologii. Dzięki wykorzystaniu sztucznej inteligencji w systemie SubtlePET skrócono czas trwania badań o 40–60% (do 8 minut), zmniejszono dawki izotopów oraz wydłużono technologiczną żywotność urządzeń.

– To jest duży skok jakościowy w badaniach diagnostycznych, mniejszy stres dla pacjenta, a co najważniejsze to rozwiązanie to także jego bezpieczeństwo. – wyjaśnia dr Jacek Lesiak, specjalista medycyny nuklearnej z Radomskiego Centrum Onkologii. Radomskie Centrum Onkologii to pierwszy w Polsce i jeden z nielicznych w Europie szpital korzystającym z tak innowacyjnych rozwiązań w obrazowaniu i diagnostyce onkologicznej.

– W przypadku pierwszego i na razie jedynego ośrodka stosującego AI w PET badanie zostało skrócone z 20 do 10 minut, jednocześnie zmniejszając ilość potrzebnego izotopu z średniej dawki 350 do 230MBq” – podkreślił laureat. 

Placówka stosuje też rozwiązanie AI wspomagające oznaczanie zmian w screeningu piersi. Narzędzie wspomaga pracę radiologa, jednocześnie określa ryzyko zrakowienia zmiany w najbliższych 2 latach, co wykorzystuje się do skrócenia interwalu badan kontrolnych w razie podejrzanej zmiany. W planach jest kolejne rozwiązanie AI w badaniach prostaty.

Perełki innowacji w polskiej ochronie zdrowia

Poza laureatami wyróżniono także finalistów konkursu w trzech kategoriach: szpitalnictwo, opieka ambulatoryjna i samoopieka. Wśród nich znalazły się rozwiązania z zakresu koordynacji sal operacyjnych, cyfrowej diagnostyki zdrowia psychicznego, automatyzacji pracy placówek medycznych, innowacyjnej opieki okołoporodowej czy zastosowania AI w profilaktyce.

Jak podkreślają organizatorzy, konkursu pokazuje, jak ogromny potencjał drzemie w polskim środowisku medycznym, naukowym i technologicznym. To także inspiracja do dalszych działań – budowania systemu, w którym nowoczesne rozwiązania są wdrażane i realnie służą pacjentom.

Czytaj także: Pobierz bezpłatny raport „Cyfrowa placówka medyczna”.

Metaanaliza rynku aptecznego za ostatnie 30 lat: sprzedaż wartościowa wzrosła o 2,3-krotnie, a ilościowa nieznacznie bo o ok. 30%. Polacy kupili w 2024 roku 46 mln opakowań leków z paracetamolem, rynek od lat utrzymuje się na stabilnym poziomie 44-48 mln opakowań/rocznie.

POBIERZ BEZPŁATNIE e-wydanie OSOZ Statystyki 11/2025 (43 strony, PDF)

W numerze 11/2025 OSOZ Statystyki:

Trzy dekady rynku aptecznego w liczbach. Rosną ceny leków, ilość sprzedaży o 30% w górę

Analizując dynamikę wzrostu rynku aptecznego w wartości sprzedaży w cenach detalicznych brutto raczej nie dziwi fakt, że w ciągu 28 lat rynek urósł prawie 7-krotnie: z 8,4 miliarda złotych w roku 1997 do niemal 60 miliardów w roku 2024. Jednak uwzględniają inflację, nominalnie jest to już tylko 2,3-krotny wzrost. Analizując dynamikę wartości rynku, tylko raz w historii apteki odnotowały spadek wartości rok do roku. I nie był to – co mogłoby się intuicyjnie wydawać – czas pandemii, a okres lat 2011–2012. Osoby z dłuższym stażem w biznesie aptecznym doskonale kojarzą ten moment – w 2012 wprowadzona została nowa ustawa refundacyjna, która rewolucyjnie zmieniła „reguły gry” na rynku.

Czytaj dalej 👉

Sprzedaż leków z paracetamolem. W 2024 roku Polacy kupili 44 mln opakowań

20 lat temu w aptekach sprzedawano co roku ok. 30 mln opakowań leków z paracetamolem, obecnie to 1,5-krotnie więcej (46 mln w 2024 roku). W tym czasie cena wzrosła 3-krotnie, podobnie jak asortyment. Od ok. 10 lat popyt na paracetamol w Polsce jest wyrównany. Jedynie w 2022 roku – silnym sezonie grypowym – wzrósł jednorazowo do 55 mln. Najwięcej sprzedaje się go w USA, Australii i Kanadzie, a w Europie – we Francji i Danii. Konsumpcja paracetamolu rośnie na świecie w tempie ok. 4% rocznie, napędzana starzejącym się społeczeństwem i rosnącą częstotliwością występowania bólu przewlekłego. Niestety, rośnie też jego spożycie w charakterze środka odurzającego.

Czytaj dalej 👉

Ponadto w numerze:

• Sprzedaż leków według molekuł (wrzesień 2025)
• Najlepiej sprzedające się produkty (wrzesień 2025)
• Monitor epidemiologiczny (wrzesień 2025)
• Struktura dystrybucji leków (wrzesień 2025)
• Radar epidemiologiczny (grudzień 2025)

Wszystkie archiwalne numery OSOZ Statystyki znajdziesz na zakładce POBIERZ.

W sklepach z aplikacjami jest kilkaset tysięcy apek stworzonych w celach zdrowotnych. Podpowiadamy, jak w tej masie odnaleźć te najlepsze. Niektóre to prawdziwe perełki znacznie ułatwiające umówienie wizyty do lekarza, dojście do wymarzonej formy fizycznej, a nawet poprawiające jakość snu i nastrój.

• Smartfony i smartwatche coraz precyzyjniej monitorują zdrowie i wspierają zdrowy styl życia.
• Aplikacje pomagają w umawianiu wizyt, ćwiczeniach, kontroli snu i chorób przewlekłych.
• Przy wyborze warto sprawdzać opinie, oceny i bezpieczeństwo danych.
• Apki nie zastępują lekarza, mogą jednak pomóc w wyborach zdrowotnych.
• W niektórych krajach są już przepisywane na receptę i refundowane w systemie zdrowia
• W Polsce rośnie popularność apek zdrowotnych dla pacjentów jak mojeIKP albo VisiMed

Całe zdrowie w smartfonie

Każdy smartfon – niezależnie od marki – ma wbudowaną aplikację gromadzącą dane dotyczące naszego zdrowia: ile kroków dziennie robimy, jak długo śpimy, jak dużo się ruszamy. Apple, Huawei oraz Samsung nie bez powodu wprowadzają do swoich telefonów i inteligentnych zegarków coraz więcej opcji zdrowotnych – zainteresowanie nimi szybko rośnie, bo jesteśmy coraz bardziej świadomi tego, jak wiele możemy sami zrobić dla swojego zdrowia. Biohacking, czyli kontrola parametrów zdrowia, oferuje lepszy wgląd w funkcjonowanie organizmu i lepsze zrozumienie potrzeb. Apki zdrowotne oferują też wiele rozwiązań ułatwiających poruszanie się po zawiłym systemie ochrony zdrowia.

Postęp w dziedzinie monitoringu zdrowia z pomocą urządzeń „smart” robi wrażenie. Smartwatche Apple mają już opcję ostrzegania o nadciśnieniu, a te od Samsunga mierzą nawet poziom tkanki tłuszczowej i mają coacha snu. Jeszcze kilka lat temu mogliśmy co najwyżej mierzyć liczbę kroków, a dzisiaj standardem jest wykrywanie arytmii i migotania przedsionków, kontrola jakości snu czy pomiar poziomu natlenienia krwi. Wiele z parametrów mierzonych dziś w domu, kilka lat temu można było skontrolować tylko w laboratorium lub gabinecie lekarskim.

Wśród tysięcy apek są sportowe i fitness, pomagające zrzucić zbędne kilogramy i zdrowo się odżywiać albo zredukować poziom stresu. Są apki do medytacji, jogi w domu, zamieniające mycie zębów w przygodę albo kontrolujące jakość powietrza. Niektóre pozwalają znaleźć termin wizyty u lekarza i sprawdzić ceny leków w aptece, a inne – umówić się na telekonsultację i połączyć się z lekarzem. Są i takie, które pomagają chorym przewlekle kontrolować parametry zdrowia i w ten sposób trzymać w ryzach chorobę.

Bezpieczne korzystanie ze zdrowia mobilnego

Każdy może znaleźć coś dla siebie, w zależności od osobistych celów i aspiracji. Jednak wybranie odpowiedniego narzędzia nie jest łatwe: brakuje jednego rejestru zaufanych aplikacji, a lekarze nie posiadają o nich dostatecznej wiedzy, aby polecać te zaufane. Nawet nie mogą tego robić, bo zdecydowana większość aplikacji zdrowotnych nie jest urządzeniami medycznymi zgodnie z obowiązującym prawem. Dlatego pozostaje kierowanie się opiniami innych oraz własną rozwagą.

Pierwszym odruchem przy szukaniu apek jest najczęściej wpisanie do Google pytania w stylu „najlepsza aplikacja na ….”. Dużo lepszym sposobem jest szukanie bezpośrednio w sklepie internetowym, jak Apple Store albo Google Play. Publikują one często rankingi najlepszych apek z danej kategorii. Od razu można sprawdzić ocenę apki (w tym liczbę recenzji) oraz zweryfikować, jakie dane gromadzą.

Nie ma bezpłatnych aplikacji – jeśli nie trzeba za nie płacić, to wówczas płacimy oglądając reklamy albo co gorsza w ukryty sposób, przekazując swoje dane. Wyjątkiem są apki oferowane przez placówki medyczne. Te płatne mogą kosztować nawet kilkaset złotych rocznie. Zanim się na nie zdecydujemy, nie zaszkodzi przetestować, co potrafią, w ramach bezpłatnych okresów próbnych. Jeśli aplikacja ma służyć do zmiany zachowań, np. jako coach zdrowia albo motywator do ćwiczeń, nie od razu trzeba płacić za cały rok, bo może się okazać, że nowy, zdrowy nawyk wejdzie w krew po kilku tygodniach.

Każda aplikacja, niezależnie od zastosowania, wymaga od nas zaangażowania i regularnego stosowania. Jak wskazują badania, znaczna część osób stosujących aplikacje fitness, dietetyczne albo do poprawy higieny snu, przestaje z nich korzystać po kilku tygodniach. Nie ma się co łudzić – sama aplikacja nie sprawi cudów. Może zmotywować wprowadzając elementy zabawy, zmienić nudne ćwiczenia w angażujące wyzwania albo zaoferować ułatwienia, których nie znajdziemy nigdzie indziej, jak przykładowo wyszukiwarkę wolnych terminów u specjalistów albo przypomnienia o zażyciu leków.

Korzystanie z aplikacji zdrowotnych może przynieść wiele korzyści, ale należy pamiętać o podstawowych zasadach bezpieczeństwa cyfrowego. Aplikacje nie mogą być substytutem porady lekarskiej ani metodą samodzielnego diagnozowania chorób.

Czy apka może być lekiem? Tak

W niektórych krajach, jak Francja, Belgia czy Niemcy aplikacje są wystawianie na receptę jak leki, a ich zakup jest refundowany. Są to jednak produkty medyczne, które mają potwierdzone badaniami klinicznymi korzyści zdrowotne, jak np. apki oferujące terapie kognitywno-behawioralne w przypadku obniżonego nastroju i lekkich depresji. Ich stosowanie odbywa się pod okiem lekarza.

W Polsce także pojawiają się postulaty, aby wprowadzić takie rozwiązanie. W końcu zdrowie w dużym stopniu zależy od samodyscypliny, a w tym mogą pomóc aplikacje. Do tego nie mają żadnych skutków ubocznych.

Eksperci są zdania, że aplikacje mogą świetnie uzupełnić, a czasami zastąpić terapie lekowe. Dla pokolenia Z, korzystanie ze smartfona stało się codziennością, dlatego konieczne jest przemyślenie obecnego podejścia do medycyny i profilaktyki. Dobrą wiadomością dla użytkowników apek jest to, że rynek szybko odsiewa dobre apki od złych i każdy może znaleźć coś dla siebie. Według najnowszych danych, Internetowe Kontro Pacjenta (IKP) ma już ponad połowa Polaków (łącznie 20 milionów osób). Z aplikacji mojeIKP korzysta ok. 3 mln osób. To zdecydowanie najpopularniejsza aplikacja w Polsce. Na kolejnych miejscach są apki z ćwiczeniami fitness i pomagające zasnąć oraz te ułatwiając poruszanie się po systemie zdrowia, jak VisiMed. Co roku zdobywają coraz więcej zwolenników, poprawiając jakość życia i zdrowie oraz oferując monitoring parametrów zdrowia, co ułatwia dbanie o samego siebie. Czas się powoli przyzwyczajać do tej nowej formy leków.

Czytaj także: Premiera raportu o mobilnych aplikacjach zdrowotnych

Łukasz Sosnowski, związany dotąd z Naczelną Izbą Lekarską, został Dyrektorem Departamentu e-Zdrowia w Ministerstwie Zdrowia, a jego zastępczynią – Karolina Tądel odpowiedzialna za projekty AI w Instytucie Matki i Dziecka w Warszawie (IMiD). Poprzednie kierownictwo, które tworzyli Wojciech Demediuk, Grzegorz Borowiec i Dominik Szostak, zostało odwołane.

• Minister Zdrowia wymieniła wymieniła już kierownictwo CeZ, a teraz Departamentu e-Zdrowia.
• Nowy zespół ma zrealizować projekty e-zdrowia z KPO i rozpocząć wdrażanie EHDS.
• Dyrektorem Departamentu e-Zdrowia został Łukasz Sosnowski związany dotąd NIL IN.
• Jego zastępczynią jest Karolina Tądel, ekspertka od wdrażania AI w szpitalach.
• Obydwoje są zwolennikami szerokiego zastosowania AI w ochronie zdrowia.

Nowy zespół od cyfryzacji

O zmianach w komórce odpowiedzialnej za cyfryzację mówiło się od dawna. Nowa Minister Zdrowia, Jolanta Sobierańska-Grenda, wymieniła już wszystkie osoby odpowiedzialne za cyfryzację ochrony zdrowia. Najpierw powołała Tomasza Maciejewskiego, długoletniego Dyrektora Instytutu Matki i Dziecka, na wiceministra od e-zdrowia. W zeszłym tygodniu ze stanowiskiem Dyrektora Centrum e-Zdrowia pożegnała się Małgorzata Olszewska, którą zastąpił Adam Konka. Zmian dopełniają przetasowania w Departamencie e-Zdrowia.

Przed nowym zespołem Minister Zdrowia spore wyzwanie realizacji całej listy projektów e-zdrowia realizowanych w ramach Krajowego Planu Odbudowy, w tym m.in. Centralnej e-Rejestracji, Platformy Usług Inteligentnych, czyli algorytmów AI dla diagnostyki obrazowej. Jednym z palących zadań jest dokończenie wdrażania Elektronicznej Dokumentacji Medycznej oraz włączenie do EDM 9 nowych dokumentów. Do tego dochodzi jeszcze Europejska Przestrzeń Danych Zdrowotnych (EHDS), do której przygotowania w Polsce praktycznie jeszcze się nie rozpoczęły, zwłaszcza pod względem tzw. wtórnego przetwarzania danych.

Łukasz Sosnowski. Z NIL IN do MZ

Łukasz Sosnowski przez ostatni rok był Partnerem Operacyjnym Sieci Lekarzy Innowatorów przy Naczelnej Izbie Lekarskiej, uczestnicząc w m.in. projektach dotyczących AI w medycynie. Jest ekspertem w dziedzinie innowacji medycznych i zarządzania projektami. To nie jego pierwsza praca w administracji publicznej – w latach 2007-2013 był negocjatorem budżetu UE w Ministerstwie Spraw Zagranicznych, a od 2021 roku członkiem grupy roboczej ds. AI powołanej przy Ministerstwie Cyfryzacji.

W sektorze prywatnym kierował działami kontrolingu i planowania strategicznego, wdrażając zaawansowane systemy budżetowe i analityczne. Z jego inicjatywy na blogu OSOZ ukazywały się cykliczne felietony ekspertów NIL IN na temat transformacji cyfrowej ochrony zdrowia. Jest zwolennikiem sztucznej inteligencji w ochronie zdrowia i telemedycyny. W debacie zorganizowanej w TVP Info mówił m.in., że „każde rozwiązanie, które pomoże lekarzowi leczyć lub monitorować stan zdrowia chorego na odległość i interweniować w razie niepokojących sygnałów, spotka się z akceptacją pacjentów”.

Karolina Tądel to ekspertka od AI

Karolina Tądel jest specjalistką w zakresie analityki medycznej, danych klinicznych i zastosowań sztucznej inteligencji w ochronie zdrowia. Przez prawie 2 lata zarządzała projektami w departamencie AI przy Instytucie Zdrowia Dziecka. IMiD to pierwszy w Polsce szpital, który powołał komórkę odpowiedzialną za wdrażanie sztucznej inteligencji. Następnie przez 2 lata pracowała w Novartis jako menedżerka innowacji zdrowia cyfrowego, a w marcu br. wróciła do IMiD i objęła stanowisko kierowniczki Działu Zarządzania Danymi.

Tądel jest doktorantką na Uniwersytecie Medycznym im. Piastów Śląskich we Wrocławiu, gdzie prowadzi badania nad zastosowaniem AI w naukach medycznych.

– Obecnie otwieramy się na wykorzystanie tzw. agentów AI, czyli narzędzi automatyzujących czynności, które dotychczas były wykonywane ręcznie. Dotyczy to zwłaszcza analiz jakościowych i przeglądu przypadków klinicznych prowadzonych metodą case by case. Analizujemy, na ile agenci AI mogą wspierać nas w identyfikowaniu wzorców, trendów i nieprawidłowości, których wcześniej – z powodu ograniczonych zasobów – nie byliśmy w stanie wychwycić. Takie podejście może znacząco usprawnić procesy analityczne, poprawić jakość danych i odciążyć zespoły, które dziś poświęcają na te zadania ogromną ilość czasu. To również krok w stronę lepszego wykorzystania danych do planowania finansowego i organizacyjnego, tak aby technologie AI realnie wspierały codzienne funkcjonowanie szpitala – mówił Tądel podczas ostatniego Forum Rynku Zdrowia.

Czytaj także: AI w medycynie. „Jesteśmy w błędnym kole pilotaży”

Każdy dyktator marzy o władzy bez końca. I o ile z łatwością można wyeliminować przeciwników politycznych, to na przeszkodzie stoi zawsze śmierć. Czy prezydent Chin Xi Jinping i prezydent Rosji Władimir Putin – którzy przekroczyli 70-tkę – mają plan, aby ją oszukać? Tak sugeruje przypadkowo zasłyszana wymiana zdań na paradzie wojskowej w Pekinie.

Na nagraniu słyszymy, jak tłumacz Xi mówi, że ludzkie organy można wielokrotnie przeszczepiać, aby stać się coraz młodszym pomimo upływającego wieku, a nawet w nieskończoność opóźniać starzenie się.

– W przeszłości ludzie rzadko dożywali 70 lat. Ale dzisiaj mówi się, że jak masz 70 lat to jesteś nadal dzieckiem. Niektórzy przewidują, że w tym stuleciu możliwe będzie dożycie 150 lat – mówi Xi, po czym razem z Putinem wymieniają się uśmiechem. Żart? Wyrwane z kontekstu słowa? A może konkretny plan na przedłużenie władzy 72-letniego Prezydenta China i 73-letniego Prezydenta Rosji.

Ryzyko i korzyści transplantacji

Przeszczepy organów od kilkudziesięciu lat ratują życie. Co roku przeprowadza się ich ok. 170 000 na całym świecie. Według danych NHS Blood and Transplant, w samej Wielkiej Brytanii w ciągu ostatnich 30 lat uratowano w ten sposób ponad 100 000 osób. Postęp w medycynie sprawia, że pacjenci po przeszczepach żyją coraz dłużej i doznają coraz mniej skutków ubocznych. Obecnie przeszczepiona nerka może działać ok. 20–25 lat, wątroba – ok. 20 lat, serce – 15 lat, a płuca – 10 lat. Wszystko zależy od stanu narządu i kondycji zdrowotnej biorcy.

Jednak na dzień dzisiejszy nie jest to sposób na przedłużenie życia osoby zdrowej, a jedynie ciężko chorej. Po pierwsze, sama operacja wiąże się z dużym ryzykiem. Po drugie, osoby po przeszczepie muszą do końca życia zażywać immunosupresanty, czyli leki zapobiegające odrzuceniu narządu przez organizm. Te mają liczne działania uboczne prowadząc często do nadciśnienia krwi i zwiększając ryzyko infekcji wirusowo-bakteryjnych. Zawsze istnieje niebezpieczeństwo, że organizm po prostu odrzuci przeszczep.

Narządy z drukarki 3D

Tak wyglądają obecne możliwości medycyny. Jednak na świecie trwają prace nad narządami, które układ odpornościowy zaakceptuje, a nawet nad hodowanymi laboratoryjnie czy drukowanymi w 3D nerkami, wątrobą albo sercem z własnych komórek macierzystych pacjenta. W fazie badań są też inne metody, jak np. transfuzja osocza.

Eksperci twierdzą jednak, że narządy ciała z laboratorium, które służyłyby jako „części zamiennie”, to nadal daleka przyszłość. Do przedłużenia życia nie wystarczy wymienić pojedyncze narządy, bo proces starzenia się obejmuje wszystkie komórki ciała. Każda z nich ma zaprogramowany czas życia – podczas każdego podziału komórki, skróceniu ulegają się tzw. telomery. To one są nazywane licznikiem życia.

Ale są tacy, którzy chcą za wszelką cenę zatrzymać czas. Przykładem jest Bryan Johnson, który na spowolnienie starzenia się wydaje co roku ok. 2 mln USD, zażywając ok. 40–100 suplementów dziennie. Z kolei Ray Kurzweil, guru nowych technologii, jest pewien, że już ok. 2050 roku staniemy się nieśmiertelni. Wszystko dzięki milionom nanorobotów, które wstrzyknięte do organizmu człowieka będą na bieżąco naprawiać każdą komórkę ciała. Chiny nie mają oporów w badaniach biotechnologicznych i wielokrotnie zaskakiwały kontrowersyjnymi eksperymentami naukowymi. Jednak jak na razie Xi i Putin nie mają co liczyć na nieśmiertelność, a jedynie na skuteczne przedłużenie życia, gdy zawiedzie ich jeden z organów.

Czytaj także: Twój bliźniak cyfrowy przewidzi choroby w przyszłości

Dyrektywa NIS2 nakłada na tzw. Operatorów Usług Kluczowych (OUK) restrykcyjne procedury i zabezpieczenia w zakresie ochrony danych. Wśród nich jest długa lista placówek medycznych. Jakie wymagania będą musiały spełnić?

• Placówki zdrowia objęte dyrektywą NIS2 muszą wdrożyć restrykcyjne procedury cyberbezpieczeństwa. To będzie wymagało inwestycji finansowych i organizacyjnych.
• Pierwszym krokiem jest zapoznanie się z ustawą o krajowym systemie cyberbezpieczeństwa i opracowanie kompleksowej polityki zarządzania ryzykiem.
• Placówki muszą przygotować się na incydenty, tworząc procedury reagowania, plany ciągłości działania i kopie zapasowe danych, a także regularnie testować skuteczność tych rozwiązań.
• NIS2 wymaga też zarządzania bezpieczeństwem łańcucha dostaw, stosowania zabezpieczeń technicznych, takich jak segmentacja sieci, aktualizacje oprogramowania i szyfrowanie danych.
• Szkolenia i budowanie świadomości pracowników w zakresie cyberzagrożeń są konieczne, by ograniczyć ryzyko błędów ludzkich i wzmocnić kulturę bezpieczeństwa w organizacji.

Wdrożenie NIS2 ruszy pełną parą w 2026 roku

Ustawa o krajowym systemie cyberbezpieczeństwa wdrażająca w Polsce przepisy unijnej dyrektywy NIS2 z 2022 r., mającej na celu podniesienie poziomu cyberbezpieczeństwa w UE, weszła już w życie. Polska musi teraz przekazać UE listę placówek objętych NIS2. Ile ich będzie? Na razie nie wiadomo. Wstępne szacunki mówiły o ok. 1400 podmiotach, ale ta liczba może wzrosnąć do nawet kilku tysięcy.

Przed nimi spore wyzwanie: szacuje się, że wdrożenie nowych wymagań dotyczących cyberbezpieczeństwa w placówce zdrowia potrwa kilka miesięcy i będzie kosztować – w zależności od wielkości podmiotu – nawet kilkaset tysięcy złotych. Według danych Centrum e-Zdrowia, aż 70% placówek zdrowia nie ma komórki ds. cyberbezpieczeństwa. To pokazuje, na jak niskim poziomie jest ochrona danych medycznych. Ale przed wdrożeniem NIS2 nie ma odwrotu, a za nieprzestrzeganie przepisów grożą wysokie sankcje do 10 mln euro lub 2% rocznego obrotu.

Budowa cyberodporności krok po kroku

Według raportu ENISA NIS360, sektor opieki zdrowotnej znajduje się w „strefie ryzyka” – poziom znaczenia dla bezpieczeństwa państwa jest wysoki, ale ogólna dojrzałość w zakresie cyberbezpieczeństwa pozostaje na umiarkowanym lub niskim poziomie. Powodem są przestarzałe systemy informatyczne, fragmentaryczne łańcuchy dostaw oraz niewystarczające praktyki w zakresie cyberhigieny. Jak ostatnio poinformował wiceminister cyfryzacji Dariusz Standerski, codziennie dochodzi do 20–50 ataków hakerskich na szpitale.

Jedną z pierwszych rzeczy, jaką powinni już teraz zrobić menedżerowie placówek opieki zdrowotnej – i to nie tylko tych, którzy będą musiały dostosować się do NIS2 – jest zapoznanie się z ustawą o krajowym systemie cyberbezpieczeństwa. Dyrektywa nie dotyczy tylko szpitali i dużych dostawców, ale także laboratoriów referencyjnych UE, producentów farmaceutycznych, organizacji badawczych w dziedzinie medycyny oraz producentów krytycznych urządzeń medycznych.

ENISA zwraca uwagę na kilka utrzymujących się słabości, z którymi sektor opieki zdrowotnej musi się pilnie zająć. Większe podmioty będą musiały wzmocnić istniejące zabezpieczenia zasobów informatycznych. I tu nie wystarczy zakup jakiegoś programu, ale wymagane jest wprowadzenie nowych procedur bezpieczeństwa. A dziur do załatania jest sporo. Przykładowo, urządzenia medyczne – a zwłaszcza te starsze nie były projektowane z myślą o cyberbezpieczeństwie – pozostają jednym z najsłabszych ogniw. Do tego szpitale często zaniedbują aktualizacje oprogramowania. Wpięte w system szpitalny, mogą stać się drzwiami dla cyberprzestępców. Jest jeszcze jeden problem: choć już większość organizacji posiada na papierze jakąś politykę zarządzania ryzykiem, nie zawsze jest ona konsekwentnie stosowana w praktyce. Dokument najczęściej powstaje, aby spełnić wymagania prawne, i potem trafia do szuflady.

Zarządzanie ryzykiem zgodne z NIS2

Każdy podmiot objęty zapisami NIS2 musi opracować politykę zabezpieczenia swojej sieci i systemów informatycznych. W przypadku placówek opieki zdrowotnej, musi wykraczać poza zakres działania działów IT i być zintegrowana z ogólną strategią biznesową i celami klinicznymi organizacji, określając jasno role i obowiązki kierownictwa wyższego szczebla. Polityka powinna obejmować dostawców i usługodawców oraz podlegać systematycznym przeglądom, zwłaszcza po poważnych incydentach lub w przypadku pojawienia się nowych zagrożeń.

Podstawą NIS2 jest ustrukturyzowane zarządzanie ryzykiem. Organizacje opieki zdrowotnej muszą ustanowić ramy identyfikacji, analizy i postępowania z ryzykiem dla swoich systemów. Oznacza to mapowanie krytycznych zasobów, takich jak dokumentacja pacjentów, systemów obrazowania i podłączonych urządzeń w odniesieniu do prawdopodobnych zagrożeń (oprogramowanie ransomware lub nadużycia ze strony osób wewnętrznych).

Po zidentyfikowaniu ryzyka, należy je ocenić i udokumentować, a następnie podjąć decyzję dotyczącą reakcji. Plany postępowania w przypadku wystąpienia ryzyka powinny zawierać harmonogramy, role odpowiedzialnych osób oraz procedury monitorowania skuteczności. Nie są one jednorazowymi działaniami i też muszą być regularnie aktualizowane, a ryzyko rezydualne (ryzyko, które nadal istnieje po wdrożeniu wszystkich planowanych środków kontroli, zabezpieczeń i strategii mających na celu jego redukcję lub wyeliminowanie) – formalnie akceptowane przez kierownictwo wyższego szczebla, co zapewnia odpowiedzialność na najwyższym poziomie.

Przygotowanie na incydenty, zanim się wydarzą

Niezależnie od tego, jak silne są zabezpieczenia, incydenty bezpieczeństwa będą się zdarzać. Dlatego NIS2 kładzie duży nacisk na procedury reagowania i postępowania. Placówki opieki zdrowotnej muszą utrzymywać jasne zasady dotyczące monitorowania, rejestrowania, zgłaszania zdarzeń i klasyfikacji incydentów. Personel powinien dokładnie wiedzieć, jak zgłosić podejrzenie naruszenia. Trzeba też jasno określić łańcuch komunikacji wewnętrznej i zewnętrznej, czyli z organami regulacyjnymi. Po wystąpieniu incydentu, należy dokonać jego przeglądu, aby wnioski mogły być wykorzystane do wprowadzenia ulepszeń w całym sektorze zgodnie z zasadą „kultury uczenia się i adaptacji”.

Szczególne znaczenie ma ciągłość działania i zarządzanie kryzysowe w przypadku ataku cybernetycznego. Placówki muszą opracować plany przywracania sprawności po awarii, nadając priorytet systemom krytycznym z punktu widzenia życia i zdrowia pacjentów, takim jak urządzenia monitorujące i diagnostyki obrazowej. Dodatkowe kopie zapasowe danych powinny być przechowywane w trybie offline lub w oddzielnych lokalizacjach, aby chronić je przed oprogramowaniem ransomware. Procesy zarządzania kryzysowego muszą jasno określać, kiedy incydent przeradza się w kryzys, kto przejmuje kontrolę i w jaki sposób odbywa się komunikacja z pacjentami, personelem i organami publicznymi. Aby zapewnić skuteczność planów w sytuacjach stresowych, trzeba prowadzić regularne ćwiczenia.

Opieka zdrowotna opiera się na zewnętrznych dostawcach, od firm farmaceutycznych po dostawców oprogramowania i producentów urządzeń. Zgodnie z NIS2, placówki są zobowiązane do poważnego traktowania bezpieczeństwa łańcucha dostaw. Oznacza to prowadzenie katalogów dostawców, ocenę ich poziomu ryzyka oraz włączenie obowiązków w zakresie cyberbezpieczeństwa do umów. Dostawcy powinni być zobowiązani do wykazania zgodności z uznanymi standardami i niezwłocznego zgłaszania incydentów.

Dyrektywa wymaga też wdrożenia przez organizacje opieki zdrowotnej zabezpieczeń technicznych. Szczególnie ważna jest segmentacja sieci, zapewniająca izolację krytycznych urządzeń medycznych od systemów administracyjnych oraz systematyczne zarządzanie poprawkami z priorytetem dla luk o wysokim ryzyku. Szpitale opracowujące własne aplikacje IT muszą stosować bezpieczne praktyki programistyczne, w tym procesy testowania i ujawniania luk. Zgodnie z wymogami RODO należy stosować silną kryptografię w odniesieniu do danych pacjentów zarówno w trakcie przesyłania, jak i przechowywania.

Budowanie świadomości bezpieczeństwa wśród pracowników

Sama technologia nie rozwiąże problemów związanych z cyberbezpieczeństwem – ludzkie błędy wynikające z braku wiedzy o zagrożeniach cybernetycznych pozostają od lat jedną z najczęstszych przyczyn udanych ataków hakerów.

NIS2 wymaga od placówek zdrowia inwestowania w podnoszenie świadomości i szkolenia. Konkretnie chodzi o kampanie ułatwiające pracownikom rozpoznać próby phishingu, zwracające uwagę na stosowanie silnych haseł i zrozumienie swojej roli w ochronie danych pacjentów. Należy zorganizować szkolenia dla zespołu IT, pracowników ochrony zdrowia i kadry zarządzającej. Aby na bieżąco testować odporność, zaleca się przeprowadzanie symulowanych kampanii phishingowych i ćwiczeń w zakresie cyberincydentów. Organizacje powinny promować kulturę „bez obwiniania za błędy”. Jeśli pracownik kliknie na zarażony link, nie może bać się tego zgłosić. Tylko w ten sposób można ograniczyć negatywne skutki ataku hakerów. Jak widać, tych wymagań jest sporo i wiele placówek będzie zdanych na doradztwo firm zewnętrznych pomagających dostosować się do NIS2.

To duże, ale konieczne obciążenie finansowe i organizacyjne. Należy je traktować w charakterze inwestycji w bezpieczeństwo pacjentów, zapewnienie ciągłości opieki medycznej i tym samym zaufanie pacjentów – jednym słowem, w profilaktykę sytuacji kryzysowych. Cyberataki są niestety codziennością w ochronie zdrowia i będzie ich coraz więcej. Ale nie oznacza to automatycznie większego zagrożenia dla placówek, jeśli tylko te będą dobrze przygotowane.

Czytaj także: Trendy cyberbezpieczeństwa w ochronie zdrowia 2025