Cyberbezpieczeństwo systemu ochrony zdrowia będzie przedmiotem kontroli NIK w 2026 roku. Nowe obowiązki na podmioty działające w tym sektorze nakłada ustawa o krajowym systemie bezpieczeństwa. Zdaniem ekspertów szczególnie wrażliwym segmentem są tu placówki podstawowej opieki zdrowotnej (POZ). Brak ich dobrego zabezpieczenia to ryzyko dla państwa i obywateli.
Najwyższa Izba Kontroli przyjrzy się ochronie danych osobowych i bezpieczeństwu informacji w szpitalach i innych podmiotach leczniczych w wybranych województwach. Zwróci też uwagę na cyberbezpieczeństwo systemów informacyjnych placówek.
Współczesne ataki na sektor ochrony zdrowia rzadko rozpoczynają się od spektakularnego włamania do systemów medycznych.
– Najczęściej są efektem relatywnie prostych błędów w podstawowych obszarach bezpieczeństwa, takich jak brak aktualizacji systemów, słabe hasła czy nieodseparowane sieci informatyczne. W przypadku placówek medycznych problem dodatkowo komplikuje fakt, że ich infrastruktura obejmuje dużą liczbę wyspecjalizowanych urządzeń, od systemów diagnostycznych po sprzęt monitorujący pacjentów. Często działają one na starszym oprogramowaniu, co utrudnia aktualizację i rodzi konieczność fizycznego odseparowania przez dedykowany firewall – mówi Aleksander Kostuch, inżynier Stormshield. – Gdy napastnicy uzyskują dostęp do pojedynczego komputera, np. poprzez phishing lub wykorzystanie niezałatanej podatności, to następnie mogą przemieszczać się po sieci przejmując kolejne systemy. W środowisku medycznym szczególnie niebezpieczne jest to, że sieci administracyjne i systemy kliniczne bywają ze sobą powiązane i nie są separowane.
Różne poziomy zabezpieczeń
Szpitale, dzięki realizowanym programom wsparcia, są w większości nie najgorzej przygotowane na realia aktualnych zagrożeń cyfrowych, jednak permanentnym problemem jest niedobór środków na cyberbezpieczeństwo. Oznacza to, że podstawowy poziom zabezpieczeń bywa osiągany, ale jego utrzymanie i rozwój pozostają wyzwaniem. Zagrożenia w obszarze cyberbezpieczeństwa ewoluują co wymaga stałego nadzoru i elastyczności.
Podobna sytuacja dotyka też placówek podstawowej opieki zdrowotnej. Z uwagi na konstrukcję systemu ochrony zdrowia ten właśnie segment odgrywa kluczową rolę.
– Wątek zabezpieczenia danych wrażliwych milionów pacjentów, a takim ich wolumenem operują POZ-y, pozostaje tematem tabu. Podobna sytuacja dotyczyła do niedawna wodociągów, o których ostatnio mówi się już dużo i głośno, z uwagi na wzmożone zainteresowanie tym segmentem ze strony motywowanych politycznie grup przestępczych – wskazuje Piotr Zielaskiewicz z DAGMA Bezpieczeństwa IT.
Według GUS, na koniec 2024 roku w Polsce działało ponad 27 tys. podmiotów ambulatoryjnej opieki zdrowotnej, w większości realizujących świadczenia w ramach Podstawowej Opieki Zdrowotnej. Każda z tych placówek dysponuje danymi wrażliwymi swoich pacjentów (dane osobowe, dane związane ze schorzeniami), które
zintegrowane są poprzez centralny system medyczny. Zapewnia on spójność i dostępność informacji o świadczeniach zdrowotnych, dostęp do historii leczenia pacjenta, a także wsparcie decyzji klinicznych lekarzy, ułatwiając optymalizację procesów diagnostycznych i terapeutycznych.
Nowe obowiązki
Placówki medyczne w ciągu pierwszych miesięcy obowiązywania ustawy muszą przede wszystkim ustalić, czy spełniają progi uznania je za podmiot kluczowy lub ważny a następnie dokonać wpisu się do państwowego rejestru. Obowiązki podmiotów kluczowych/ważnych są podobne w każdej branży i z pewnością zna je już większość Czytelników ISPortalu:
- w okresie 12 miesięcy od wejścia w życie ustawy wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji;
- przeprowadzanie analiz ryzyka i audytu zewnętrznego co 3 lata, a pierwszego w ciągu 24 m-cy od uznania podmiotu za kluczowy/ważny;
- zapewnienie środków technicznych i organizacyjnych adekwatnych do poziomu ryzyka (np. segmentacja sieci, kontrola dostępu, monitoring bezpieczeństwa);
- dokumentowanie procesów bezpieczeństwa: polityki, procedury, proces szacowania ryzyka zarządzania incydentami, aktualizacji;
- ocena dostawców, w tym usług ICT (np. chmurowych, serwisowych, SOC/MSSP).
Gdy dojdzie do incydentu każdorazowo należy go zgłosić za pomocą systemu S46, zgodnie z harmonogramem zakładającym wstępne zgłoszenie w 24h, szczegółowe w 72h i przygotowanie w ciągu miesiąca raportu końcowego. Obowiązki obejmują również współpracę z sektorowymi Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) oraz szkolenia pracowników.
– Przyjęte definicje sprawiają, że za podmiot kluczowy lub ważny uznane będą głównie szpitale i placówki medyczne działające w dużej lub średniej skali. Musimy jednak pamiętać, że placówki POZ pozostają istotnym elementem całego systemu ochrony zdrowia, co oznacza konieczność dbałości również o ich bezpieczeństwo cyfrowe – podkreśla Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT.
Presja na sektor
Jak podaje Centrum e-Zdrowia w okresie styczeń-sierpień 2025 liczba incydentów związanych z naruszeniem bezpieczeństwa IT w szpitalach i przychodniach była o połowę wyższa niż rok wcześniej. Również 2026 rok przyniósł serię incydentów, w których przedmiotem działań cyberprzestępców są placówki medyczne – szpital w Szczecinie czy Bonifraterskie Centrum Medyczne, posiadające sieć placówek różnego profilu w kilku polskich miastach.
– Mamy zatem do czynienia z iście zawrotnym tempem wzrostu zagrożeń. Ich katalog obejmuje ransomware, a bez możliwości wykorzystania danych funkcjonowanie szpitala i przychodni jest mocno utrudnione. Dlatego każdy udany atak de facto oznacza realne problemy dla tysięcy pacjentów. W szpitalach sytuacja nie jest najgorsza. Zdecydowana większość posiada kopie zapasowe oraz wykorzystuje technologie takiej jak firewall – mówi Piotr Zielaskiewicz.
Z punktu widzenia łańcucha dostaw nawet niewielkie przychodnie są elementem większego ekosystemu, korzystają z centralnych systemów e-zdrowia, przesyłają dokumentację medyczną, współpracują z laboratoriami i szpitalami. W praktyce oznacza to, że słabsze zabezpieczenia na jednym z poziomów systemu mogą zostać wykorzystane jako punkt wejścia do szerszej infrastruktury.
Czytaj także:
