Od czego zacząć budowanie cyberbezpieczeństwa w szpitalu | Centrum e-Zdrowia

CSIRT CeZ wspiera podmioty lecznicze w budowaniu odporności na cyberzagrożenia. Wiemy, że dla wielu placówek pierwszym wyzwaniem jest odpowiedź na pytanie: od czego zacząć? Dlatego przygotowaliśmy listę kluczowych działań, które warto wdrożyć już dziś, by skutecznie chronić dane pacjentów, zapewnić ciągłość działania systemów i spełnić wymagania regulacyjne.

Cyberbezpieczeństwo to nie tylko technologia – to strategia, procesy i ludzie. Dlatego przedstawiamy zestaw priorytetów, które powinny znaleźć się w centrum uwagi każdej jednostki medycznej, niezależnie od jej wielkości czy poziomu cyfryzacji.

1. Wdrożenie odmiejscowionych kopii zapasowych

Doświadczenie pokazuje, że w razie ataku kopie zapasowe pozwalają efektywniej przywrócić działanie systemów. Kopie odmiejscowione pozwalają na separację logiczną od infrastruktury, która może paść celem ataku. Dane mogą być także przechowywane poza główną lokalizacją szpitala (np. w chmurze lub w zewnętrznych centrach danych) minimalizując ryzyko utraty danych w przypadku awarii, pożaru czy ataku ransomware. Kopie zapasowe, w szczególności te odmiejscowione, stanowią jeden z kluczowych fundamentów przywracania ciągłości działania po awariach lub cyberatakach oraz podnoszenia odporności na ich skutki.  

2. Wdrożenie niezbędnych procedur oraz urządzeń w celu testowania kopii zapasowych

Samo tworzenie kopii zapasowych nie wystarczy. Muszą być regularnie testowane pod kątem możliwości odtworzenia danych. Automatyczne testy oraz procedury DR (Disaster Recovery) powinny być integralną częścią strategii IT.

3. Wdrożenie systemów klasy firewall, antywirus, najlepiej EDR/XDR oraz wyspecjalizowanych systemów kopii zapasowych

Firewall pełni rolę cyfrowej bramy, która chroni sieć szpitala przed nieautoryzowanym dostępem i złośliwym ruchem z zewnątrz. Monitoruje i filtruje dane przesyłane do i z systemów, blokując potencjalne zagrożenia, takie jak złośliwe oprogramowanie czy próby włamań. Dzięki temu pomaga zapewnić bezpieczeństwo danych pacjentów oraz stabilność działania infrastruktury IT placówki medycznej.  
Nowoczesne rozwiązania typu EDR (Endpoint Detection and Response) i XDR (Extended Detection and Response) pozwalają na szybsze wykrywanie i reagowanie na zagrożenia. W połączeniu z klasycznymi firewallami i antywirusami tworzą warstwową ochronę infrastruktury.

4. Wdrożenie wieloskładnikowego logowania (MFA)

MFA znacząco utrudnia dostęp do systemów osobom nieuprawnionym, nawet jeśli hasło zostanie przechwycone. W środowisku medycznym, gdzie dostęp do danych pacjentów musi być ściśle kontrolowany, MFA to obowiązkowy standard.  Należy podkreślić, że te mechanizmy nie powinny być wdrażane punktowo, lecz obejmować całą infrastrukturę.

5. Cykliczne monitorowanie podatności w zarządzanej infrastrukturze

Regularne skanowanie podatności, takich jak te opisane w bazie CVE (Common Vulnerabilities and Exposures), pozwala na szybkie wykrywanie luk w zabezpieczeniach, zanim zostaną one wykorzystane przez cyberprzestępców. W placówkach medycznych, gdzie bezpieczeństwo danych pacjentów jest kluczowe, takie działania powinny być prowadzone systematycznie w zależności od wyników analizy ryzyka, przykładowo raz na tydzień, miesiąc lub kwartał. Warto korzystać zarówno z automatycznych narzędzi do skanowania, jak i zewnętrznych testów bezpieczeństwa, które pomagają ocenić stan infrastruktury IT i wskazać obszary wymagające poprawy. Regularne monitorowanie podatności to fundament proaktywnego podejścia do cyberbezpieczeństwa. Warto również śledzić komunikaty na stronie CSIRT CeZ.

6. Wdrożenie rozwiązań do zbierania i przechowywania logów zdarzeń

Systemy SIEM (Security Information and Event Management) umożliwiają analizę logów w czasie rzeczywistym, co pozwala na szybsze wykrycie incydentów i ich źródeł. Przechowywanie logów zgodnie z dobrymi praktykami oraz regulacjami (np. KRI) jest równie istotne.

Z analiz CSIRT CeZ wynika, że ponad 42% podmiotów nie zbiera wszystkich logów zdarzeń. Dlaczego to ważne? Czas pomiędzy wniknięciem cyberprzestępców do systemu, a np. zaszyfrowaniem danych to często nawet kilka tygodni. Jeżeli nie monitorujemy logów lub przechowujemy je zbyt krótko, to często nie jesteśmy w stanie poprawnie zidentyfikować sposobów wniknięcia do systemu. Dokładne prześledzenie wektorów ataku pozwala na skuteczniejsze działania zapobiegające kolejnym atakom. Tak, jak w przypadku wielu chorób, tak też w przypadku cyberbezpieczeństwa - im szybciej wykryjemy anomalię, tym skuteczniej zapobiegniemy eskalacji problemu.  

7. Zapewnienie niezbędnych polityk i procedur (SZBI)

System Zarządzania Bezpieczeństwem Informacji (SZBI) powinien być wdrożony zgodnie z normą ISO/IEC 27001. Polityki bezpieczeństwa, procedury reagowania na incydenty oraz zarządzania dostępem muszą być aktualne i znane wszystkim pracownikom. Odpowiednie procedury to jeden z najważniejszych fundamentów cyberbezpieczeństwa jednostki.

8. Przeprowadzanie regularnych szkoleń dla pracowników

Oszustwa komputerowe są najczęstszą przyczyną incydentów w sektorze ochrony zdrowia (tylko do końca września 2025 było ich ponad ...). Regularne szkolenia z zakresu cyberhigieny, rozpoznawania phishingu i bezpiecznego korzystania z systemów IT są kluczowe dla budowania kultury bezpieczeństwa w szpitalu. Doświadczenie pokazuje, że znajomość zasad cyberhigieny jest niezbędna dla wszystkich pracowników szpitala.  

W odpowiedzi na tą potrzebę, CSIRT CeZ wspólnie z Akademią CeZ regularnie prowadzą szkolenia z tego zakresu. Więcej informacji raz zapisy znajdują się na stronie Akademii CeZ  

Cyberbezpieczeństwo to proces, który nie zaczyna się od technologii, lecz od decyzji – świadomych, konsekwentnych i opartych na realnych potrzebach placówki. Lista priorytetów przygotowana przez CSIRT CeZ to nie tylko zestaw rekomendacji, ale drogowskaz, który pomaga podmiotom leczniczym obrać właściwy kierunek. Nawet najmniejszy krok – jak wdrożenie kopii zapasowych czy szkolenie personelu – może być dobrym początkiem drogi do budowania odporności na cyberzagrożenia. Wspólnie możemy tworzyć bezpieczniejsze środowisko dla pacjentów, personelu i całego systemu ochrony zdrowia. 

Co zrobić w przypadku incydentu?

W przypadku wystąpienia incydentu, prosimy o niezwłoczne jego zgłoszenie do zespołu CSIRT CeZ:

• Formularz zgłoszenia
• Adres e-mail do zgłoszeń: incydent [at] csirt.cez.gov.pl (incydent[at]csirt[dot]cez[dot]gov[dot]pl)