TEMAT TYGODNIA: Cyberataki w placówkach medycznych – ryzyko, którego nie da się już ignorować

Cyfryzacja finansowana m.in. z KPO zwiększa skalę i złożoność środowiska IT w placówkach medycznych, a wraz z nią – ekspozycję na incydenty bezpieczeństwa. W takich warunkach o skali strat nie decyduje sam atak, lecz poziom przygotowania organizacji do szybkiej i uporządkowanej reakcji.

Aby zminimalizować koszty cyberataku, przygotowanie organizacji musi wyjść poza samą technologię i objąć ludzi, procedury i odpowiedzialności. Kluczowe jest potraktowanie cyberataku jak zdarzenia kryzysowego: wyznaczenie zespołu/koordynatora, jasna ścieżka eskalacji, gotowe decyzje na pierwsze godziny (odcięcie segmentu, komunikacja, przywracanie usług).

Najczęstsze scenariusze – ransomware, DDoS i phishing (także ukierunkowany) – uderzają w obszary krytyczne: rejestrację, EDM, diagnostykę i rozliczenia, więc priorytetem są kopie zapasowe, segmentacja sieci, aktualizacje i monitoring oraz cykliczne szkolenia personelu, które utrwalają bezpieczne nawyki. Równie ważne są umowy z dostawcami (SLA, aktualizacje, wsparcie w incydencie, odpowiedzialność) i gotowość formalna: procedury pod RODO, zasady zgłoszeń i współpracy z właściwymi instytucjami. Taka „gotowość operacyjna” ogranicza przestoje, straty kontraktowe, koszty naprawy i ryzyko reputacyjne.

Z perspektywy organizacyjnej kluczowe jest, aby cyberbezpieczeństwo było widoczne w strukturze: z jasnym przypisaniem odpowiedzialności, procedurami reagowania, regularnym monitorowaniem i testowaniem gotowości.

Z kolei z perspektywy dyrektora istotne jest uwzględnienie dostępnych środków zewnętrznych — krajowych i europejskich — jako elementu planowania inwestycji w cyberbezpieczeństwo, tak aby wzmocnienie infrastruktury i kompetencji personelu nie obciążało wyłącznie bieżącego budżetu placówki.

Skala cyberataków w POZ jest trudna do oszacowania, ponieważ wiele incydentów nie jest zgłaszanych. Dopóki placówka potrafi poradzić sobie z problemem samodzielnie, informacja o ataku często pozostaje wewnątrz organizacji – mówi Tomasz Zieliński, właściciel przychodni POZ i współzałożyciel Polskiej Izby Informatyki.

Z rozmów branżowych wynika jednak, że cyberincydenty zdarzają się częściej, niż pokazują oficjalne statystyki. Część podmiotów nadal prowadzi równolegle dokumentację elektroniczną i papierową, traktując to jako zabezpieczenie na wypadek utraty danych.

Przykładem realnego zagrożenia było zaszyfrowanie plików na komputerze w rejestracji jednej z przychodni POZ. Incydent najprawdopodobniej wykorzystał podatność w przestarzałym oprogramowaniu. Dane pacjentów nie zostały utracone, jednak zdarzenie ujawniło konieczność wzmocnienia zabezpieczeń. Wprowadzono wymianę sprzętu, ograniczenia dostępów oraz system regularnych kopii zapasowych w chmurze.

W przypadku małych placówek, które nie posiadają własnych działów IT, kluczowe znaczenie mają rozwiązania zarządzane przez zewnętrznych specjalistów. Repozytoria danych w chmurze ograniczają skutki cyberataków i chronią przed utratą danych wskutek błędów użytkowników. Współdziałanie kilku podmiotów, m.in. poprzez wspólne zakupy oprogramowania i uzgodnione warunki wsparcia, zwiększa odporność na zagrożenia.

Istotnym elementem ochrony pozostaje edukacja personelu: szkolenia z rozpoznawania prób podszywania się, bezpiecznej pracy z systemami oraz zasad zarządzania hasłami. Ograniczenie liczby systemów i miejsc logowania zmniejsza podatność na ataki, zwłaszcza w środowisku pracy pod presją czasu. W dłuższej perspektywie kluczowe są także inwestycje w sprzęt i oprogramowanie, jednolite standardy zabezpieczeń dla małych podmiotów oraz stabilnie finansowane repozytoria danych wspierające bezpieczeństwo POZ.

Cyberbezpieczeństwo w szpitalu nie zaczyna się od drogich technologii, tylko od ludzi i procedur. Nawet najlepsze narzędzia nie zadziałają, jeśli personel medyczny i administracyjny nie zna podstaw higieny cyfrowej oraz zasad postępowania przy podejrzeniu incydentu — a drobne „wygody” (jak podłączone do Wi-Fi urządzenia) potrafią stać się punktem wejścia dla atakujących i realnym zagrożeniem dla bezpieczeństwa pacjentów.

W publicznym szpitalu problem jest szczególnie złożony: placówki przetwarzają ogromne ilości danych wrażliwych, muszą utrzymać ciągłość działania i jednocześnie mierzą się z coraz bardziej wyspecjalizowanymi atakami. W Instytucie Matki i Dziecka podstawą jest systematyczna edukacja – regularne szkolenia, aktualizowane co roku, prowadzone przez informatyków oraz zapraszanych ekspertów zewnętrznych. Nacisk kładziony jest na praktykę: rozpoznawanie phishingu, bezpieczną obsługę wiadomości i załączników oraz działanie zgodnie z procedurami.

Równolegle rozwijane są zasoby organizacyjne i sposób zarządzania bezpieczeństwem: priorytetem jest stały monitoring i szybka reakcja, a także dostosowanie do nowych wymagań regulacyjnych. Istotnym elementem jest też „porządek narzędziowy” — zapewnienie pracownikom spójnych, służbowych rozwiązań z aktualizacją przestarzałych narzędzi i ograniczenie ryzykowych praktyk. 

Deepfake to dziś realne narzędzie dezinformacji, które może uderzyć w szpital lub przychodnię równie dotkliwie jak klasyczny cyberatak. Wystarczy wiarygodnie wyglądające nagranie, by wywołać panikę, wymusić pochopne działania i narazić placówkę na straty wizerunkowe.

Przykładem jest spreparowany materiał o rzekomym cyberataku na warszawski szpital i śmierci dwóch osób, przedstawiony w formie serwisu informacyjnego. Taki przekaz, choć całkowicie fałszywy, został odebrany jako prawdziwy nawet przez uczestników branżowego szkolenia. Mechanizm deepfake polega na wykorzystaniu AI do tworzenia treści, które wyglądają i brzmią autentycznie, a ich celem jest wywołanie silnych emocji oraz skłonienie odbiorców do nieprzemyślanych działań, takich jak kliknięcie linku czy szybkie reagowanie na presję czasu.

Ochrona przed dezinformacją wymaga zasady ograniczonego, a najlepiej zerowego zaufania do sensacyjnych wiadomości – szczególnie tych przekazywanych w formie wideo. Konieczne jest weryfikowanie źródeł, potwierdzanie informacji w niezależnych miejscach oraz unikanie decyzji podejmowanych pod wpływem strachu. Równie istotne jest zarządzanie wizerunkiem placówki i jej pracowników: monitorowanie mediów i mediów społecznościowych, kontrola publikowanych materiałów oraz świadomość, że nagrania wypowiedzi ekspertów mogą zostać wykorzystane do tworzenia fałszywych treści.

Skuteczna reakcja na deepfake wymaga współpracy zespołów cyberbezpieczeństwa i komunikacji, stałego monitoringu przestrzeni medialnej oraz jasno określonych procedur działania. Tylko takie podejście pozwala ograniczyć chaos informacyjny i zminimalizować skutki ataków opartych na dezinformacji.

Kradzież danych w placówce medycznej nie kończy się na samym incydencie technicznym. Najpoważniejsze konsekwencje pojawiają się później – w postaci chaosu informacyjnego, ryzyka oszustw wobec pacjentów oraz sporów z firmami przetwarzającymi dane w imieniu podmiotu leczniczego.

Kluczowe znaczenie ma szybka i uporządkowana reakcja. Przykład ataku na centrum medyczne w zachodniej Polsce pokazuje, że istotnym źródłem ryzyka bywa współpraca z zewnętrznymi dostawcami IT. Same zapisy o ochronie danych w umowie są niewystarczające – konieczne jest wprowadzenie realnych sankcji finansowych i prawnych za niewywiązanie się z obowiązków, w tym za brak usunięcia lub zwrotu kopii danych po zakończeniu współpracy.

Drugim filarem jest komunikacja z pacjentami. Po wykryciu incydentu należy jasno poinformować, co się stało, kiedy doszło do naruszenia oraz jakie działania podjęto w celu zabezpieczenia pozostałych danych. Sprawdzają się proste i masowe kanały komunikacji, takie jak strona internetowa i SMS, z wyraźnym wskazaniem zasad kontaktu oraz danymi inspektora ochrony danych.

Równie ważne jest ograniczenie ryzyka wtórnych oszustw. Pacjenci powinni otrzymać konkretne zalecenia: ostrożność w kontaktach zdalnych, nieklikanie w linki, włączenie podwójnego uwierzytelnienia oraz zastrzeżenie numeru PESEL. Informacja o zakresie wykradzionych danych – od identyfikacyjnych po dane medyczne – pozwala im realnie ocenić zagrożenie.

W praktyce minimalizowanie skutków kradzieży danych oznacza połączenie trzech działań: egzekwowania odpowiedzialności po stronie dostawców, szybkiej i wiarygodnej komunikacji z pacjentami oraz wsparcia ich w ochronie przed dalszym wykorzystaniem danych.

 Aktualizacje systemów IT w ochronie zdrowia – tarcza przed cyberatakami > 
Coraz częstsze cyberataki pokazują, że bezpieczeństwo danych pacjentów zaczyna się od prostego kroku – regularnych aktualizacji systemów informatycznych. Sprawdź zalecenia i jak je wdrożyć.

 Jak właściwie zarządzać danymi osobowymi w placówce medycznej >​ 
Sprawdź, jak uporządkować zasady przetwarzania danych osobowych w placówce medycznej i ograniczyć ryzyko naruszeń w codziennej praktyce. Poznaj szczegóły.

Zamów prenumeratę „Dokumentacji Medycznej w Praktyce” już dziś i korzystaj z pełnego dostępu do materiałów merytorycznych oraz biblioteki wzorów.