Prawie 1000 cyberincydentów w polskich placówkach ochrony zdrowia do końca sierpnia 2025 roku – to wzrost o ponad 50% względem tego samego okresu rok wcześniej. Tak też wygląda cyberbezpieczeństwo w ochronie zdrowia. Czy Twój podmiot leczniczy ma procedury, które działają w rejestracji, sekretariacie i na dyżurze, kiedy ktoś naciska na szybkie „załatwienie sprawy”?
Dlaczego hakerzy atakują szpitale i przychodnie w Polsce?
Szpital nie może zamknąć drzwi i powiedzieć pacjentom: „Wróćcie za tydzień, mamy awarię”. Przestępcy doskonale o tym wiedzą. Kiedy ransomware blokuje dostęp do systemu rejestracji albo dokumentacji, placówka stoi przed wyborem: płacić okup albo pracować w trybie awaryjnym, odwoływać zabiegi i tłumaczyć się pacjentom.
Do tego dochodzi wartość samych danych. Informacje o stanie zdrowia, numery PESEL, adresy, historia leczenia – taki pakiet na czarnym rynku jest wart wielokrotnie więcej niż dane z karty kredytowej. Kartę można zastrzec i wymienić. Historii chorób nie da się „zresetować”.
Według danych Centrum e-Zdrowia od stycznia do sierpnia 2025 roku odnotowano 946 incydentów bezpieczeństwa w ochronie zdrowia. Rok wcześniej w tym samym okresie było ich 632. To konkretne szpitale, przychodnie, laboratoria, które przez dni lub tygodnie funkcjonowały w trybie kryzysowym.
Jak dochodzi do wycieku danych pacjentów w placówce medycznej?
Najczęściej historia zaczyna się banalnie. Dzwoni telefon: „Dzień dobry, serwis informatyczny, mamy błąd w systemie, potrzebuję potwierdzić dane i zresetować hasło”.
Albo przychodzi mail: pilna faktura, wyniki badań do pobrania, prośba od dyrekcji o natychmiastowe działanie. Link wygląda normalnie. Załącznik ma znajomą nazwę. Ktoś klika, bo pacjenci czekają, bo jest piątek po południu, bo „zawsze tak robiliśmy”.
Czasem wystarczy jeszcze mniej: dokumentacja wysłana na zły adres e-mail, bo system podpowiedział kontakt sprzed roku. Konto „wspólne na dyżur”, do którego hasło zna połowa oddziału. Uprawnienia w systemie, które zostały po pracowniku, który odszedł pół roku temu.
W raporcie Grant Thornton z 2025 roku dotyczącym 50 największych publicznych szpitali wykryto 668 luk w zabezpieczeniach – niemal połowa została oceniona jako poważna. Ujawniono też ponad 2200 par loginów i haseł powiązanych z personelem tych placówek. Te dane krążą w internecie i czekają na wykorzystanie.
Jakie cyberataki na szpitale w Polsce pokazują skalę zagrożenia?
Pokażę, jak to wygląda w praktyce.
ALAB Laboratoria – jedna z największych sieci diagnostycznych w Polsce. Spółka opublikowała komunikat o zmasowanym ataku na serwery i możliwości dostępu osób nieuprawnionych do danych pacjentów, w tym wyników badań i danych identyfikacyjnych. UODO włączył się w analizę zgłoszenia. Pacjenci przez tygodnie zastanawiali się, czy ich wyniki trafiły w niepowołane ręce. W 2024 roku był to jeden z najczęściej komentowanych cyberataków.
Szpital MSWiA w Krakowie – w marcu 2025 roku placówka przeszła na tryb awaryjny po cyberataku. CSIRT Centrum e-Zdrowia udzielał wsparcia. To pokazuje, że nawet duży szpital z resortowym zapleczem może znaleźć się w sytuacji, gdzie systemy przestają pomagać, a personel musi radzić sobie „na papierze”.
SPZOZ w Pajęcznie – po ataku ransomware placówka straciła dostęp do danych 30 tysięcy pacjentów. UODO nałożył karę 40 tysięcy złotych i wskazał, że procedury nie były adekwatne do ryzyka, a działania naprawcze podjęto dopiero po zdarzeniu.
Te historie, a przecież oprócz nich było ich znacznie więcej, łączy wspólny mianownik: atak nie zaczął się od „superhakerów” z filmów. Zaczął się od codziennych słabości, których nikt wcześniej nie uporządkował.
Co grozi placówce medycznej za wyciek danych pacjentów?
Pierwsza konsekwencja jest operacyjna. Rejestracja przestaje działać, planowe zabiegi się przesuwają, karetki jadą do innych szpitali, personel szuka informacji ręcznie. Pacjent nie rozumie, dlaczego musi czekać – widzi tylko, że „coś nie działa” i się niepokoi.
Druga konsekwencja jest prawna. Prezes UODO w ostatnich miesiącach nałożył kilka kar na placówki medyczne. Centrum Medyczne Ujastek zapłaciło ponad 1,1 miliona złotych za nieprawidłowy monitoring na oddziale neonatologii. Szpital we Wrześni dostał karę za niezgłoszenie naruszenia, gdy pacjentka otrzymała dokumentację innej osoby. To nie są wyjątki, a sygnał, że regulator patrzy na ochronę danych pacjentów w sektorze zdrowia bardzo uważnie.
Trzecia konsekwencja jest reputacyjna. Pacjent nie analizuje logów i polityk bezpieczeństwa, tylko pamięta, czy jego dane „wyciekły” i czy placówka potrafiła go o tym poinformować spokojnie i profesjonalnie.
Co zmienia dyrektywa NIS2 w polskich szpitalach od 2026 roku?
W pierwszej połowie 2026 roku wchodzą w życie przepisy implementujące unijną dyrektywę NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Szpitale zostały zakwalifikowane jako podmioty strategiczne, co oznacza najsurowsze wymagania.
Nowe przepisy obejmą ponad 1200 podmiotów z sektora ochrony zdrowia: szpitale publiczne i prywatne, laboratoria, producentów farmaceutyków. Pojawią się obowiązki zarządzania ryzykiem, plany obsługi incydentów, wymogi ciągłości działania. Co ważne, odpowiedzialność przestaje spoczywać tylko na dziale IT. Dyrekcja będzie musiała zatwierdzać polityki i przechodzić szkolenia z cyberbezpieczeństwa. Za nieprzestrzeganie przepisów grożą kary do 10 milionów euro.
Szczególna zmiana dotyczy raportowania: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu, zgłoszenie wstępne w ciągu 72 godzin, raport końcowy w ciągu miesiąca. Dla placówek, które dotąd często nie informowały o naruszeniach, to będzie poważna zmiana organizacyjna.
Jak poprawić cyberbezpieczeństwo w ochronie zdrowia? Jak przygotowac personel na cyberatak?
Dane pokazują skalę problemu. Według badania CSIRT CeZ z 2024 roku tylko 36% dyrektorów placówek ochrony zdrowia przeszło szkolenia z cyberbezpieczeństwa. Z kolei raport Grant Thornton z sierpnia 2025 roku wskazuje, że jedynie 13% szpitali ma wewnętrzny zespół odpowiedzialny za tę dziedzinę. I choć ponad 90% placówek posiada system kopii zapasowych, to niecałe 60% regularnie testuje, czy da się z nich odzyskać dane – wynika z analiz CSIRT CeZ.
Największą słabością pozostaje czynnik ludzki. Najczęstszą metodą rozpoczęcia ataku ransomware jest kliknięcie w link lub otwarcie załącznika w mailu, który wygląda jak wiadomość od przełożonego, dostawcy sprzętu albo firmy farmaceutycznej.
Dlatego podstawą ochrony danych pacjentów jest edukacja. Szkolenie, które uczy rozpoznawać podejrzane telefony i maile. Proste zasady: co wolno potwierdzić przez telefon, kiedy odesłać rozmówcę do oficjalnego kanału, jak zgłosić podejrzaną sytuację. Scenariusze, które personel przećwiczy, zanim znajdzie się pod presją. Ale musi je przećwiczyć, postawić na praktykę, nie teorię.
Przez ponad 15 lat pracy w cyberbezpieczeństwie wielokrotnie przekonałam się, że świadomość zagrożeń to pierwszy i najważniejszy element ochrony. Sprzęt i oprogramowanie można kupić. Nawyki trzeba budować systematycznie.
Jeśli zarządzasz placówką medyczną albo odpowiadasz za ochronę danych pacjentów i chcesz przygotować zespół do wymagań 2026 roku, zapraszam Cię i Twój zespół na szkolenie z cyberbezpieczeństwa dla placówek medycznych. Napisz do mnie: kontakt@joannawziatek.pl– prześlę Ci propozycję szkolenia dopasowaną do Twoich oczekiwań i celów.
Pytania, które najczęściej słyszę w podmiotach leczniczych – FAQ
Czy cyberatak na szpital zawsze oznacza wyciek danych pacjentów?
Nie zawsze. Czasem atak blokuje dostęp do systemów (np. rejestracji lub dokumentacji), a czasem obejmuje także nieuprawniony dostęp do danych. Placówka powinna szybko ustalić, co dokładnie zostało naruszone, bo od tego zależą obowiązki formalne.
Jak najczęściej dochodzi do wycieku danych pacjentów w placówce medycznej?
Najczęstsze scenariusze to phishing (link lub załącznik w mailu), podszywanie się pod serwis w rozmowie telefonicznej, wysyłka dokumentacji na zły adres oraz zbyt szerokie uprawnienia w systemach.
Kogo w placówce medycznej trzeba szkolić z cyberbezpieczeństwa?
Nie tylko IT. Szkolenie powinno objąć rejestrację, sekretariat, administrację, kierownictwo i osoby, które mają dostęp do dokumentacji lub systemów pacjentów. To te role najczęściej dostają podejrzane telefony i maile.
Czy szkolenie personelu ma sens, jeśli placówka ma kopie zapasowe?
Tak, bo kopie zapasowe nie zatrzymują phishingu, podszywania się pod serwis ani błędów w obiegu dokumentacji. Szkolenie porządkuje zachowania i reakcje zespołu, czyli obszar, od którego często zaczyna się incydent.
Co zmienia NIS2 dla ochrony zdrowia w 2026 roku?
Rośnie zakres obowiązków organizacyjnych: zarządzanie ryzykiem, procedury obsługi incydentów, ciągłość działania i raportowanie. W praktyce oznacza to większą rolę dyrekcji oraz potrzebę szkoleń także dla kadry zarządzającej.
Czy placówka musi zgłaszać naruszenie danych pacjentów do UODO?
Jeśli doszło do naruszenia ochrony danych osobowych, placówka powinna ocenić ryzyko i podjąć działania zgodnie z RODO, w tym zgłoszenie do UODO w wymaganych przypadkach oraz ewentualne poinformowanie osób, których dane dotyczą.
Przeczytaj również:
0 komentarzy