Wykrywają, ostrzegają, pomagają, szkolą. CSIRT CeZ na rzecz cyberbezpieczeństwa w ochronie zdrowia | Centrum e-Zdrowia

Statystyki incydentów w sektorze ochrony zdrowia

Średni koszt naruszenia danych w sektorze ochrony zdrowia na świecie obliczany jest w tym roku na 7,42 mln dolarów¹.  Koszty naruszenia danych zdrowotnych od lat są wyższe od strat finansowych spowodowanych incydentami bezpieczeństwa w sektorze finansowym, przemysłowym czy energetycznym. Wraz z rozwojem cyfryzacji zagrożeń jest coraz więcej, a wraz z nimi liczba incydentów. Zespół CSIRT CeZ odnotowuje coraz więcej naruszeń bezpieczeństwa. Dlatego też powinniśmy coraz większą uwagę przykładać do zabezpieczeń przed nimi.  

Sposoby ataku

Przyczyny incydentów są różnorodne. Przestępcy wykorzystują nie tylko słabe punkty technologii, ale też socjotechnikę. Najczęściej rejestrowane są próby oszustw komputerowych (311 przypadków w Polsce w okresie od stycznia do końca sierpnia 2025). Podczas tego typu ataków do manipulacji służy nie wyrafinowana technologia, ale np. zwykła wiadomość zawierająca link. W bieżącym roku takie cyberataki stanowiły 1/3 wszystkich zgłoszeń odnotowanych przez CSIRT CeZ. To wszelkiego rodzaju próby wyłudzenia haseł, fałszywe maile czy smsy z linkami. To pokazuje, jak ważne są działania edukacyjne i poprawa świadomości cyberbezpieczeństwa.

Druga najczęściej wykorzystywana metoda cyberataków to wykorzystywanie podatności (238 przypadków) oraz szkodliwe oprogramowanie (90). 

Diagnoza cyberodporności szpitali: wciąż wiele do zrobienia

Wysoka liczba incydentów w polskim sektorze ochrony zdrowia nie jest przypadkowa. Wyniki analiz² prowadzonych w szpitalach przez CSIRT CeZ pokazują, że wiele z nich wciąż nie wdrożyło kluczowych zabezpieczeń i procedur:

• 60% podmiotów w ogóle nie monitoruje pojawiających się podatności
• niecałe 60% jednostek wykonuje cykliczne testy kopii oraz ich odzyskiwania
• prawie 9% nie ma tak podstawowych mechanizmów ochrony, jak oprogramowanie antywirusowe, systemy typu EDR/XDR (analiza zagrożeń na urządzeniach końcowych oraz w sieci) czy firewall
• uwierzytelnianie wieloskładnikowe/logowanie wieloetapowe (MFA) nadal nie jest powszechnie stosowanym mechanizmem – wdrożenia w podmiotach są punktowe, co tworzy jedynie mylne wrażenie bezpieczeństwa. 

Jakie mogą być skutki cyberataków?

W wyniku cyberataku może dojść do utraty lub zablokowania dostępu do danych – szczególnie dotkliwej, gdy chodzi o dane wrażliwe. Tego typu zagrożenie potrafi poważnie zakłócić funkcjonowanie placówki medycznej, a w skrajnych przypadkach całkowicie ją sparaliżować. Warto pamiętać, że cyberataki, które zdarzały się w Polsce, oznaczały opóźnienia w przyjmowaniu pacjentów lub uniemożliwiały wykonanie niektórych procedur medycznych.

Proces odzyskiwania pełnej sprawności operacyjnej wiąże się z ogromnymi kosztami finansowymi, jednak najpoważniejsze konsekwencje dotyczą czegoś znacznie ważniejszego: w sytuacjach krytycznych zagrożone może być zdrowie, a nawet życie pacjentów.

Dobrze obrazuje to przypadek ataku na szpital uniwersytecki w Niemczech (Dusseldorf, 2020 rok). Placówka nie mogła przyjąć kobiety w stanie krytycznym, ponieważ system informatyczny został zablokowany przez cyberprzestępców żądających okupu. Pacjentka zmarła w drodze do innego szpitala – uznaje się ją za pierwszą ofiarę ataku ransomware na świecie.  

Na szczęście w Polsce jeszcze nie było takiego przypadku, jednak powinniśmy wciąż wzmacniać cyberbezpieczeństwo, aby ta statystyka się nie zmieniła.  

Jak zapobiegać cyberatakom?

Choć pokładamy duże nadzieje w technologii, doświadczenie pokazuje, że to człowiek decyduje o jej skuteczności. Nawet najlepszy sprzęt nie zadziała prawidłowo, jeśli nie zostanie odpowiednio skonfigurowany. Dodatkowo doświadczenie pokazuje, że czasem wystarczy kilka kliknięć, aby złośliwy kod rozgościł się w systemach jednostki.

Dlatego też tak ważne jest zwiększanie kwalifikacji, podnoszenie świadomości cyberbezpieczeństwa i wdrażanie skutecznych procedur i polityk bezpieczeństwa. Jasne instrukcje pozwalają nie tylko zapobiegać incydentom, ale też szybko przywracać sprawność systemów w razie ich wystąpienia.

Czym zajmuje się CSIRT CeZ?

Sektorowy Zespół ds. Reagowania na Incydenty Bezpieczeństwa Komputerowego - CSIRT CeZ powstał w odpowiedzi na wzrost zagrożeń.

„Cyberprzestępcy atakują wtedy, gdy najmniej się tego spodziewamy. Dlatego CSIRT CeZ działa siedem dni w tygodniu, by wspierać placówki medyczne w budowaniu odporności cyfrowej. Naszym celem jest nie tylko reagowanie, ale przede wszystkim zapobieganie, czyli profilaktyka w zakresie cyberbezpieczeństwa” - podkreśla dr Tomasz Jeruzalski, Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych i Pełnomocnik ds. CSIRT CeZ.

CSIRT CeZ to jeden z dwóch – obok CSIRT KNF – zespołów zajmujących się cyberbezpieczeństwem wybranego sektora (tu: ochrony zdrowia).  
CSIRT CeZ:

• działa siedem dni w tygodniu
• reaguje na zagrożenia: rozsyła ostrzeżenia, publikuje informacje i zalecenia (tylko w pierwszym kwartale 2025 r. wykryto i opisano ponad 120 podatności w infrastrukturze informatycznej placówek ochrony zdrowia: m.in. szpitali, POZ, AOS)  
• edukuje poprzez publikację merytorycznych poradników i artykułów  
• szkoli podczas organizowanych warsztatów - już ponad 1300 przeszkolonych pracowników podmiotów leczniczych
• przyjmuje i obsługuje zgłoszenia dotyczące incydentów bezpieczeństwa
• zapewnia potrzebne wsparcie, adekwatne do zgłoszonego incydentu.

Dbanie o cyberbezpieczeństwo  nigdy się nie kończy. To proces bazujący na nieustannym wzmacnianiu kompetencji, technologii oraz skutecznej współpracy między wieloma podmiotami. Swoją pomocą w tym zakresie służy – w obszarze medycznym – zespół CSIRT CeZ. 

1. Raport IBM „Cost of a Data Breach” w 2025 roku
2. Badanie zrealizowane w tym roku przez CSIRT CeZ