Cyberbezpieczeństwo: „brakuje nam pieniędzy, ludzi i czasu”

Cyberatak paraliżuje pracę placówki zdrowia: planowane operacje i wizyty zostają wstrzymane, lekarze nie mają dostępu do wyników badań, zagrożone jest życie chorych. Niestety, większość klinik i szpitali nie ma pieniędzy i ekspertów cyberbezpieczeństwa, aby skutecznie się bronić – mówili eksperci podczas debaty zorganizowanej na Kongresie Wyzwań Zdrowotnych.

• W marcu hakerzy zaatakowali trzy duże placówki zdrowia: Szpital Wojewódzki w Szczecinie, Bonifraterskie Centrum Medyczne oraz Centrum Medyczne „Eskulap” w Raciborzu
• Największym wyzwaniem cyberbezpieczeństwa jest brak pieniędzy. Mocna ochrona danych wymaga pieniędzy i zatrudnienia specjalistów, których wysysa sektor prywatny.
• Dyrektywa NIS2 nakłada na niektóre placówki zdrowia nowe, restrykcyjne zasady ochrony danych i kary za ich nieprzestrzeganie. Jej wdrożenie będzie kosztowne, ale konieczne.
• Skuteczna ochrona zdrowia przed cyberatakami wymaga monitoringu zasobów sieciowych, edukacji personelu oraz zarządzania ryzykiem w całym ekosystemie (urządzenia medyczne i dostawcy)

Kradzież danych, destabilizacja systemów i próby wymuszenia okupu

Zdecydowana większość ataków wymierzonych w sektor ochrony zdrowia ma charakter przestępczy, a hakerom zależy na korzyściach finansowych. Schemat jest ten sam – atakujący przejmują dane medyczne, destabilizują działanie systemów informatycznych lub blokują dostęp do infrastruktury cyfrowej szpitali, a następnie żądają okupu. Według Jeremiego Olechnowicza, kierownika CSIRT w Centrum e-Zdrowia, choć w debacie publicznej często pojawia się wątek cyberataków związanych z sytuacją geopolityczną, w Polsce niezmiennie głównym motywem hakerów jest po prostu szybki zysk.

– Cyberbezpieczeństwo nie jest kwestią jednego systemu, który można kupić i zainstalować. Nawet jeżeli placówka wdroży kilka nowoczesnych narzędzi bezpieczeństwa, to bez odpowiednich ludzi, którzy będą potrafili analizować dane i reagować na sygnały ostrzegawcze, system pozostanie niewystarczający – podkreśla ekspert CeZ.

Szczególnie istotna jest analiza logów i alertów generowanych przez systemy bezpieczeństwa. W wielu instytucjach problem polega na tym, że choć narzędzia wykrywają potencjalne zagrożenia, brakuje czasu lub zasobów kadrowych, aby odpowiednio szybko je przeanalizować.

Od niedawna CSIRT CeZ prowadzi regularne badania poziomu cyberdojrzałości podmiotów leczniczych w Polsce. Z analiz wynika, że świadomość zagrożeń rośnie, a poziom zabezpieczeń stopniowo się poprawia. Jednak tempo zmian wciąż nie nadąża za rosnącą skalą zagrożeń.

Jest ustawa, rozpoczyna się wdrażanie NIS2

19 lutego 2026 r. Prezydent RP podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) implementującą dyrektywę NIS2. Choć jednocześnie skierował ustawę do Trybunału Konstytucyjnego w ramach kontroli następczej, weszła ona w życie 3 kwietnia 2026 r.

Nowelizacja oznacza dla szpitali konieczność wprowadzenia nowych procedur i mechanizmów kontrolnych. Prof. Adam Maciejczyk, dyrektor Dolnośląskiego Centrum Onkologii, Pulmonologii i Hematologii we Wrocławiu, przyznaje, że nowe regulacje oznaczają dla placówek ogromne wyzwanie organizacyjne.

– Zarządzam instytucją zatrudniającą około 2,5 tysiąca pracowników. To ogromna organizacja, w której codziennie przetwarzane są ogromne ilości danych i funkcjonują setki systemów informatycznych. Regulacje dotyczące cyberbezpieczeństwa są potrzebne, ponieważ zwiększają poziom ochrony danych i infrastruktury. Jednocześnie wymagają znaczących nakładów finansowych – mówił prof. Maciejczyk, podkreślając, że bez specjalistów od cyberbezpieczeństwa nawet najlepsze systemy nie będą działać skutecznie. A tych brakuje.

Dr Marek Migdał, dyrektor Instytutu „Pomnik – Centrum Zdrowia Dziecka”, zwraca z kolei uwagę, że największym wyzwaniem w budowaniu cyberodporności jest czynnik ludzki. System bezpieczeństwa jest tak silny jak jego najsłabsze ogniwo. W przypadku szpitala tym ogniwem może być każdy pracownik. Dyrektor podał przykład z własnej instytucji. W windzie przeznaczonej wyłącznie dla personelu spotkał osobę spoza szpitala, która dostała się tam dzięki temu, że ktoś udostępnił jej kartę dostępu.

– To pokazuje, że nawet najbardziej zaawansowane technologie nie pomogą, jeżeli nie zmienimy nawyków i świadomości pracowników – zaznacza. Dlatego w instytucie planowane są powszechne szkolenia z cyberhigieny dla wszystkich pracowników. Podobnie jak szkolenia z higieny rąk czy podstawowej resuscytacji, mają one stać się elementem obowiązkowej edukacji personelu.

Każde cyfrowe urządzenie medyczne, a nawet USG może być słabym punktem

Migdał zwraca uwagę na rosnącą rolę narzędzi opartych na sztucznej inteligencji. Coraz więcej lekarzy korzysta z modeli językowych i innych narzędzi analitycznych, często nie zdając sobie sprawy z potencjalnych konsekwencji dla bezpieczeństwa danych. Cyberbezpieczeństwo dotyczy też urządzeń medycznych.

– Mamy ponad siedem tysięcy urządzeń medycznych. Znamy ich parametry techniczne, harmonogramy serwisów i dokumentację – mówi Migdał. Coraz więcej tego sprzętu jest podłączone do sieci. Nawet infrastruktura budynków, jak windy czy systemy sterowania, ma często dostęp do internetu. To kolejne punkty ryzyka, którymi trzeba zarządzać.

– Dyrektywy i regulacje trzeba wdrożyć. Nie da się udawać, że problem nie istnieje – przyznaje dr Michał Zabojszcz, dyrektor szpitala MSWiA w Krakowie. Ale nie da się tego zrobić za darmo – około trzysta szpitali nie dostało pieniędzy z Krajowego Planu Odbudowy na cyfryzację. Wśród nich jest wiele małych placówek, które mają jednego lub dwóch informatyków i bardzo ograniczone możliwości inwestycyjne. Według dyrektora bez kolejnych programów wsparcia nie poradzą sobie same.

Szpital może zostać sparaliżowany nie tylko przez bezpośredni atak hakerów, ale także przez atak na jeden z elementów łańcucha dostaw. Zabojszcz przywołał przykład sytuacji, w której cyberatak na producenta sprzętu medycznego spowodował problemy z dostawami zestawów chirurgicznych. Nawet takie zdarzenia mogą prowadzić do opóźnień w zabiegach lub konieczności zmiany planów operacyjnych.

– W przypadku standardowych procedur zwykle mamy odpowiedni sprzęt na magazynie. Jednak przy bardziej specjalistycznych zabiegach często korzystamy z zestawów dostarczanych przez producentów w krótkim czasie przed operacją. Jeżeli łańcuch dostaw zostaje zakłócony, może to bezpośrednio wpłynąć na harmonogram leczenia – zauważa dr Zabojszcz.

Dlatego Szpital MSWiA w Krakowie, po incydencie cyberbezpieczeństwa z marca 2025 roku, gdy ransomware sparaliżował główne systemy IT i dostęp do dokumentacji medycznej, utrzymuje teraz stały kontakt z innymi placówkami, które mierzyły się z podobnymi problemami.

– W takich sytuacjach bardzo ważna jest wymiana doświadczeń. Jeżeli jeden szpital wypracuje skuteczne rozwiązania, inne placówki mogą z nich skorzystać i nie muszą zaczynać wszystkiego od początku.

Systemy podnoszą alarm i są nieraz ignorowane

Cyberbezpieczeństwo nie kończy się na wdrożeniu nowych systemów, spełnieniu wymagań regulacyjnych albo przeprowadzaniu szkoleń. To ciągły proces, ponieważ wraz z rozwojem technologii pojawiają się kolejne zagrożenia, które wymagają stałego monitorowania i aktualizacji procedur bezpieczeństwa. Jeremi Olechnowicz z Centrum e-Zdrowia zwraca uwagę, że ważne jest systematyczne obserwowanie tego, co dzieje się w infrastrukturze informatycznej placówki.

– Najważniejsze jest to, aby ktoś faktycznie analizował dane z systemów bezpieczeństwa. Często zdarza się, że narzędzia generują alerty, ale nikt nie ma czasu ich sprawdzić. Wtedy zagrożenie może zostać przeoczone.

Dlatego pierwszym elementem skutecznej strategii cyberbezpieczeństwa jest stworzenie procedur reagowania na incydenty oraz wyznaczenie osób odpowiedzialnych za analizę zdarzeń w systemach informatycznych. Drugim filarem jest edukacja pracowników. Chodzi o regularne szkolenia dotyczące rozpoznawania prób phishingu, bezpiecznego korzystania z poczty elektronicznej czy właściwego zarządzania hasłami i dostępami do systemów. W wielu przypadkach to właśnie czynnik ludzki staje się najsłabszym ogniwem systemu bezpieczeństwa.

Tak samo ważne jest systematyczne aktualizowanie oprogramowania, bo w systemach operacyjnych co chwila wykrywane są luki bezpieczeństwa, które szybko są wykorzystywane przez cyberprzestępców, jeśli nie zostaną odpowiednio szybko załatane. W cyfrowej medycynie cyberbezpieczeństwo jest podstawowym warunkiem ciągłości leczenia i bezpieczeństwa pacjentów. Z kolei placówki medyczne należą do infrastruktury krytycznej i ich sprawne funkcjonowanie ma bezpośredni wpływ na życie i zdrowie pacjentów oraz funkcjonowanie państwa.

Czytaj także: Cyberataki na placówki zdrowia. Rząd publikuje zalecenia