W tym szpitalu cyberatak zabił pacjenta. Lekcje z kryzysu

Londyński szpital NHS King’s College od lat jest jednym z głównych celów cyberataków. W 2025 roku, paraliż spowodowany atakiem ransomware na współpracujące laboratorium doprowadził do śmierci pacjenta. W jaki sposób placówka walczy z hakerami i przygotowuje się na podobne sytuacje kryzysowe?

• Najsłabszym ogniwem cyberbezpieczeństwa są stare systemy IT i niewspierane urządzenia medyczne. Zalecany jest jeden, zintegrowany i na bieżąco aktualizowany system.
• Cyberbezpieczeństwo to bezpieczeństwo pacjentów – podkreśla Joe Harper, dyrektor IT.
• Podczas testów, aż 6 proc. pracowników NHS kliknęło w fałszywe wiadomości phishingowe
• Szpital regularnie ćwiczy pracę w trybie awaryjnym.
• NHS rekomenduje tworzenie struktur „command and control”, które podczas cyberataku pozwalają szybko podejmować decyzje operacyjne.

Pierwsza potwierdzona ofiara cyberataku. Takich przypadków jest więcej

Joe Harper, dyrektor IT w NHS King’s College Hospital, z doświadczenia wie, że każdy poważny incydent cybernetyczny w szpitalu może w kilka minut stać się zagrożeniem dla zdrowia i życia pacjentów. I nawet jeśli atak nie dotyczy bezpośrednio placówki, może poważnie zakłócić jej działanie – mówi ekspert ds. bezpieczeństwa, którego spotkaliśmy podczas konferencji HIMSS Europe 2026 w maju br.

Najbardziej pamiętny dla Joe Harpera jest cyberatak z czerwca 2024 r., gdy ofiarą ransomware padła firma Synnovis, dostawca usług laboratoryjnych współpracujący właśnie m.in. z King’s College Hospital. Cyberatak sparaliżował systemy diagnostyczne, doprowadził do odwołania ponad 10 tys. wizyt ambulatoryjnych i ponad 1,7 tys. zabiegów planowych.

Konsekwencje okazały się dramatyczne. W 2025 r. King’s College Hospital NHS Foundation Trust potwierdził, że śmierć jednego z pacjentów była częściowo związana z opóźnieniem otrzymania wyniku badania krwi spowodowanym cyberatakiem. Był to pierwszy w Wielkiej Brytanii przypadek incydentu ransomware oficjalnie powiązany ze śmiercią pacjenta.

King’s College Hospital należy do największych organizacji medycznych w Wielkiej Brytanii. To razem siedem szpitali, dwa oddziały ratunkowe oraz kilkadziesiąt placówek ambulatoryjnych i społecznościowych w południowo-wschodnim Londynie. Szpital korzysta z systemu Epic jako centralnego elektronicznego rekordu pacjenta, ale jednocześnie – podobnie jak większość europejskich placówek – zmaga się z ogromną liczbą starych aplikacji i urządzeń medycznych, których nie można tak łatwo wymienić, a które szybko mogą zostać wykorzystane przez hakerów, aby włamać się do systemu IT placówki i ukraść dane pacjentów.

• 2020 – Uniklinik Düsseldorf (Niemcy)
  Atak ransomware doprowadził do zamknięcia oddziału ratunkowego. Pacjentka wymagająca pilnej pomocy została przewieziona do szpitala oddalonego o kilkadziesiąt kilometrów i zmarła.
• 2021 – HSE Ireland (Irlandia)
  Cyberatak sparaliżował irlandzki system ochrony zdrowia. Zakłócenia trwały miesiącami i doprowadziły do odwołania tysięcy badań oraz zabiegów, szczególnie w diagnostyce i onkologii.
• 2022 – Centre Hospitalier Sud Francilien (Francja)
  Atak ransomware wymusił przekierowanie pacjentów z oddziału ratunkowego do innych placówek przez kilka tygodni. Szpital działał częściowo w trybie papierowym.
• 2024 – NHS London / Synnovis (Wielka Brytania)
  Cyberatak na dostawcę usług laboratoryjnych sparaliżował diagnostykę krwi w londyńskich szpitalach, w tym King’s College Hospital. Odwołano ponad 10 tys. wizyt i około 1,7 tys. zabiegów. W 2025 r. potwierdzono, że śmierć jednego z pacjentów była częściowo związana z opóźnieniem wyników badań po ataku ransomware.
• 2025 – Szpital Wojewódzki w Szczecinie (Polska)
  W wyniku cyberataku szpital zawiesił planowane zabiegi i został zmuszony do przejścia na papierową dokumentację medyczną oraz przekierowania pacjentów do innych placówek.
  

Zasada nr 1: jeden system centralny zamiast dziesiątków małych aplikacji

Joe Harper zwraca uwagę, że największym problemem wielu szpitali są wieloletnie zaniedbania infrastrukturalne – przestarzałe aplikacje, niewspierane systemy operacyjne i urządzenia medyczne, które nadal działają, mimo że nie spełniają wymaganych standardów bezpieczeństwa.

To efekt wieloletniej ewolucji systemów IT w szpitalach. Poszczególne oddziały przez lata kupowały pojedyncze rozwiązania cyfrowe, które później próbowano integrować z centralnym systemem elektronicznej dokumentacji medycznej. W efekcie w szpitalach nadal działają pojedyncze aplikacje używane np. tylko w kardiologii czy diagnostyce obrazowej, często oparte na bardzo starych technologiach. Problem polega na tym, że tych systemów nie da się po prostu wyłączyć ani wymienić z dnia na dzień.

Harper podkreśla, że każdy taki system zwiększa „powierzchnię ataku”, czyli liczbę wrażliwych punktów, które mogą wykorzystać hakerzy. I wówczas nie pomogą nawet nowoczesne narzędzia cyberbezpieczeństwa. Część komputerów lub urządzeń medycznych pozostaje niezałatana i podatna na ataki. Dotyczy to szczególnie urządzeń medycznych, których producenci już nie wspierają, ale które nadal są wykorzystywane w praktyce klinicznej, ponieważ szpitali nie stać na ich wymianę. Najlepszym rozwiązaniem jest wdrożenie jednego zintegrowanego systemu, który wyeliminuje małe aplikacje i zapewni większą przejrzystość infrastruktury IT, a tym samym – wyższy poziom cyberbezpieczeństwa. Łatwiej nadzorować jeden system niż kilka lub dziesiątki małych aplikacji.

Brytyjska służba zdrowia NHS traktuje cyberbezpieczeństwo jako element zarządzania ryzykiem klinicznym. Priorytetem jest utrzymanie zdolności szpitala do leczenia pacjentów nawet podczas incydentu oraz wzmacnianie odporności operacyjnej, czyli tego, aby placówka mogła funkcjonować bez systemów cyfrowych i szybko wrócić do normalnego trybu pracy po ataku hakerów.

Dane w chmurze? Tak, ale ważne jest w której

Harper przypomina też o kwestii, która będzie coraz ważniejsza, czyli niezależności cyfrowej i danych. Każda placówka zdrowia musi zadać sobie pytanie, kto ma dostęp do danych i w jaki sposób są one wykorzystywane. Dotyczy to zwłaszcza rozwiązań AI rozwijanych w środowiskach chmurowych należących do globalnych dostawców technologii, takich jak AWS lub Microsoft Azure. Coraz częściej pojawiają się obawy m.in. o dostęp do danych szpitali przez koncerny AI, które potrzebują danych z EDM do trenowania modeli AI. Harper wskazuje, że szpitale muszą dokładnie wiedzieć, gdzie trafiają dane pacjentów i jakie ryzyko wiąże się z ich przetwarzaniem poza organizacją.

Wielka Brytania ma w tym obszarze negatywne doświadczenia. W 2017 r. Royal Free London NHS Foundation Trust nawiązał współpracę z należącym do Google DeepMind. W efekcie DeepMind uzyskał dostęp do danych ok. 1,6 mln pacjentów. W 2025 r., po protestach lekarzy rodzinnych i pytaniach o zgodę pacjentów, NHS England czasowo wstrzymał projekt Foresight, który zakładał wykorzystanie zanonimizowanych danych 57 mln pacjentów do trenowania modelu generatywnej AI. Duży sprzeciw wywołał projekt Federated Data Platform realizowany przez Palantir. Stało się to po doniesieniach, że pracownicy zewnętrznych firm mogli uzyskać dostęp do identyfikowalnych danych pacjentów NHS przed ich pseudonimizacją.

Jak mówi Joe Harper, NHS coraz większy nacisk kładzie na zaangażowanie osób ze szczebla kierownictwa w cyberbezpieczeństwo. Regularne rozmowy z zarządem są często trudne i wymagają tłumaczenia technicznych zagadnień osobom nietechnicznym, ale właśnie to pozwala budować realne zrozumienie ryzyka. Dzięki temu cyberbezpieczeństwo przestaje być wyłącznie „problemem IT”.

Ważnym elementem jest również jasne określenie poziomu akceptowalnego ryzyka. Zarząd szpitala musi wiedzieć, które ryzyka zostały ograniczone, które zaakceptowane, a które przeniesione na dostawców. Według Harpera tylko wtedy zespoły IT mogą przestać „gasić pożary” i skupić się na realnym wzmacnianiu odporności organizacji.

Szpital musi działać po cyberataku – i to za wszelką cenę

Każdy szpital musi mieć dobrze przygotowane procedury funkcjonowania w warunkach ograniczonej dostępności systemów cyfrowych. Jak zaznacza Harper, prędzej czy później trzeba będzie do nich sięgnąć, bo cyberatak to kwestia czasu. King’s College Hospital musiał przejść na procedury awaryjne podczas wspomnianego wcześniej ataku ransomware na zewnętrznego dostawcę usług laboratoryjnych Synnovis. Choć sama placówka nie została bezpośrednio zhakowana, konieczna była reorganizacja opieki, przepływu pacjentów oraz diagnostyki. Szpitalowi udało się utrzymać ciągłość świadczeń, ale musiał działać w zupełnie innym modelu operacyjnym.

Szpitale muszą regularnie ćwiczyć scenariusze kryzysowe – podkreśla Harper. W NHS funkcjonują struktury command and control wzorowane częściowo na procedurach stosowanych podczas pandemii COVID-19.  Chodzi o scentralizowany model zarządzania kryzysowego, który ma na celu szybkie podejmowanie decyzji w trakcie kryzysu. W przypadku ataku hakerów to np. automatyczne przejście na pracę z papierową dokumentacją oraz uruchomienie alternatywnych ścieżek pracy klinicznej. Wówczas nie ma czasu na procedury stosowane codziennie, trzeba działać szybko na podstawie wcześniej przygotowanych planów awaryjnych.

NHS kładzie też duży nacisk na szkolenia personelu. Podczas jednego z ćwiczeń phishingowych, aż 6 proc. pracowników kliknęło w fałszywe wiadomości i przekazało hakerom hasła dostępu. Jak podkreśla Harper, czynnik ludzki jest i będzie najsłabszym ogniwem. Dlatego jego celem jako szefa IT w szpitalu King’s College nie jest wcale stworzenie idealnego systemu odpornego na każdy atak – to jest po prostu nierealne. Dużo ważniejsze jest zbudowanie organizacji zdolnej do utrzymania ciągłości leczenia pacjentów nawet podczas poważnego incydentu cyfrowego oraz szybkie przywrócenie normalnego trybu działania.

Czytaj także: Hakerów może zatrzymać tylko „firewall z ludzi”