Cyberbezpieczeństwo szpitali – między rzeczywistością a nadinterpretacją
Temat cyberbezpieczeństwa w obszarze ochrony zdrowia przywoływany jest coraz częściej w analizach i raportach. To trend, który zasługuje na uznanie, ze względu na wagę tematu i wzrastający poziom zagrożeń. Równocześnie zachęcamy jednak, by tworzone publikacje bazowały na wiarygodnych danych i prezentowały je z uwzględnieniem szerszego kontekstu – zarówno metodologicznego, jak i operacyjnego.
Statystyki incydentów w sektorze ochrony zdrowia
Z danych CSIRT CeZ wynika, że tylko przez pierwsze 7 miesięcy 2025 roku zarejestrowano już 878 incydentów w sektorze ochrony zdrowia. To konkretne, potwierdzone przypadki naruszeń bezpieczeństwa, które pokazują, że zagrożenia są nie tylko teoretyczne, ale mają realny wpływ na funkcjonowanie placówek medycznych.
W analogicznym okresie roku poprzedniego incydentów było 557. Znaczny wzrost liczby zagrożeńjest wyraźnym wskaźnikiem tego, że cyberbezpieczeństwo w sektorze ochrony zdrowia wymaga pilnego wzmocnienia – zarówno w zakresie technologii, jak i kompetencji oraz zasobów ludzkich.
Potwierdzają to także badania przeprowadzone przez Centrum e-Zdrowia. Z danych CeZ wynika, że:
- 72% placówek medycznych nie utworzyło zespołu ds. cyberbezpieczeństwa
- 58% szpitali nie ma wyspecjalizowanego etatu ds. cyberbezpieczeństwa
To pokazuje, że mimo rosnącej liczby incydentów, wiele jednostek nie ma możliwości, by skutecznie reagować i zapobiegać zagrożeniom.
Credential dumps to nie są aktywne wycieki
W publikowanych raportach i analizach pojawiają się dane dotyczące tysięcy haseł dostępnych w sieci, często z przypisaniem ich do konkretnych placówek. Warto jednak zaznaczyć, że są to najczęściej tzw. credential dumps, czyli zbiory danych logowania znalezione w darknecie, które nie zawsze oznaczają aktywne naruszenia bezpieczeństwa. Często są to dane historyczne, nieaktualne, a ich obecność w sieci nie musi świadczyć o bieżącym zagrożeniu. Bardzo często dane takie są także powielane i publikowane ponownie.
Wiele raportów dotyczących incydentów bezpieczeństwa posługuje się pojęciem „wyciek danych”, nie precyzując, co dokładnie się pod nim kryje. Termin ten jest bardzo szeroki – często za wyciek uznaje się nawet kompromitację pojedynczego hasła pracownika jednostki medycznej. Analiza CSIRT CeZ wykazała 33 przypadki wycieku poświadczeń w sektorze ochrony zdrowia oraz 5 skutecznych ataków typu ransomware wymierzonych w szpitale. Możemy wziąć pod uwagę najbardziej negatywny scenariusz, gdyby wszystkie te incydenty dotyczyły wyłącznie szpitali i każda sytuacja miała miejsce w innej jednostce, oznaczałoby to, że problem dotknąłby około 3,1% wszystkich szpitali w Polsce. Dane te pokazują, że choć skala nie jest masowa, ryzyko jest realne i wymaga stałej uwagi oraz wdrażania skutecznych mechanizmów ochrony.
Do badań podchodźmy odpowiedzialnie
Cyberbezpieczeństwo w sektorze ochrony zdrowia to obszar, który wymaga nie tylko uwagi, ale przede wszystkim odpowiedzialnego podejścia – zarówno ze strony instytucji, jak i autorów analiz. Wzrost liczby incydentów, brak zespołów ds. cyberbezpieczeństwa w większości placówek oraz ograniczone zasoby kadrowe pokazują, że wyzwania są realne i systemowe.
Warto jednak pamiętać, że interpretacja danych dotyczących wycieków czy podatności powinna uwzględniać metody badawcze oraz źródła informacji. Nie wszystkie dane dostępne w sieci oznaczają aktywne zagrożenie.
Dobrze jest także brać pod uwagę odpowiednią metodologię badań. Aby wyniki analiz i raportów były wiarygodne, niezwykle istotne jest, by badania były prowadzone w sposób poprawny metodologicznie, w tym w oparciu o reprezentatywną próbę. W przypadku szpitali, których w Polsce jest ponad 1200, taka grupa powinna obejmować odpowiednio dużą liczbę jednostek, aby odzwierciedlała rzeczywisty stan całego sektora. Tylko wtedy wnioski z badania mogą stanowić solidną podstawę do planowania działań i oceny poziomu cyberbezpieczeństwa.