Dbałość o cyberbezpieczeństwo powinna być procesem, a nie chwilowym stanem. Działania opierające się na podstawie uzyskanych informacji i audycie, powinny rozpocząć się od planowania pod kątem przepisów dotyczących compliance. Warto inwestować w szkolenia i rozwiązania w zakresie automatyzacji oraz wyznaczać osobę odpowiedzialną za te zagadnienia. Przepisy i procedury to narzędzia, które należy odpowiednio wykorzystywać.
Na ten temat rozmawiali uczestnicy panelu dyskusyjnego pt. „Cyberzagrożenia w placówkach medycznych – jak uchronić swoją placówkę przed cyberatakiem, wprowadzając innowacyjne rozwiązania oraz procedury bezpieczeństwa”, który odbył się w ramach Akademii Managera Ochrony Zdrowia 18 września 2025 roku.
Tysiąc ataków na szpitale w roku 2024
Jest to ważny temat, ponieważ w roku 2024 ujawniono ponad tysiąc cyberataków na szpitale. Marcin Romanowski, dyrektor sektora e-Zdrowie w Comarch, przytoczył dane z raportu Check Point „The State of Cyber Security 2025”, z których wynika, że sektor medyczny jest trzecim po szkolnictwie i administracji publicznej najsilniej atakowanym cybernetycznie obszarem. Obserwowany w tym zakresie wzrost wynosi 47 procent rok do roku (między rokiem 2023 i 2024). Sektor medyczny zajmuje również drugie miejsce na światowej liście celów ataków typu ransomware, a często infekowane pliki typu zip, rar i pdf są to pliki, z których zwykle korzysta się w jednostkach medycznych.
– Renesans tego typu ataków następuje, ponieważ łatwo jest je przygotować, a narzędzia do tego celu są łatwo dostępne. Ich efektem jest utrata zaufania ze strony pacjentów do placówki medycznej a także do instytucji, co jednocześnie dyskredytuje system publiczny. Wynika z tego, że jest to bardzo istotny problem – mówił Marcin Romanowski.
Marcin Marczewski, CEO Resilia stwierdził, że brakuje świadomości odnośnie ważności problemu, cyberbezpieczeństwo ciągle jest tematem niedocenianym.
– Środki uzyskiwane na infrastrukturę szpitalną są często wykorzystywane na duże inwestycje, natomiast niewiele z nich trafia na działania w zakresie cyberbezpieczeństwa. Cyberataki nie zawsze przyjmują spektakularną formę, zanim dojdzie do dużego ataku, mogą mieć miejsce takie działania jak zamiana plików czy danych, co także jest niebezpieczne. Awaryjne procedury mówią o przejściu w razie zagrożenia na papierowe dokumenty, ale nie zawsze jest wtedy dostęp do danych – mówił.
Życie i zdrowie na szali
W przypadku ataku, w wyniku którego paraliżowana jest działalność całej placówki, na szali jest często zdrowie, a nawet życie pacjentów. Przykłady takich sytuacji podał Michał Gembal dyrektor ds. bezpieczeństwa informacji Arcus.
– Zdarzały się przypadki nawet śmierci pacjentów, pośrednio związane z atakiem randsomware, na przykład gdy szpital nie mógł przyjąć pacjentki i karetka nie zdążyła dojechać na czas albo gdy z powodu ataku na firmę diagnostyczną, na czas nie dotarły wyniki badania krwi – mówił, a jako powód ataków na szpitale podał opłacalność takich procederów – okupy płacone przez placówki za odblokowanie dostępu do systemu sięgają bardzo wysokich kwot.
Marcin Romanowski podał przykład sytuacji z lutego 2025 roku, gdy backdoor został wykryty w kardiomonitorach przyłóżkowych, to złośliwe oprogramowanie umożliwiało wykradanie i podmienianie danych. W roku 2025 miał miejsce atak na szpital MSWiA w Krakowie, natomiast w kwietniu 2025 przez konto IKP można było się dostać do dokumentacji medycznej dowolnego pacjenta.
Dyrektywa NIS2 i ustawa o krajowym systemie cyberbezpieczeństwa
Zuzanna Łaganowska – radca prawny w Bąkowski Kancelaria Radcowska zwróciła uwagę na to, że działania w zakresie cyberbezpieczeństwa wymagane są przez regulacje prawne.
– Mamy przepisy RODO, weszła w życie dyrektywa NIS2, procedowana jest kolejna nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Z punktu widzenia prawnego, gdy jest obowiązek wdrożenia procedur, musimy to zrobić, wymaga tego także postęp techniczny jak i rzeczywistość – mówiła.
Marcin Marczewski dodał, że jest to obowiązkiem każdej placówki.
– Tymczasem widzimy niedoiwestowane zespoły IT i brak rąk do pracy – stwierdził.
Pierwotna ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona 5 lipca 2018 roku, 25 czerwca 2025 roku uchwalono jej nowelizację, która implementuje do polskiego porządku prawnego unijną dyrektywę NIS2. Jej celem jest wzmocnienie bezpieczeństwa i odporności cyfrowej państwa i nałożenie nowych obowiązków na większą liczbę podmiotów, które świadczą usługi kluczowe lub cyfrowe. W październiku 2025 roku rząd przyjął kolejny projekt nowelizacji tej ustawy.
– Sytuacja jest skomplikowana. Dyrektywa unijna obowiązuje i chociaż państwo nie wdrożyło wszystkich przepisów ją implementujących, nie zwalnia to podmiotów od wdrożenia przepisów dyrektywy oraz jej stosowania. Wynika z nich między innymi, że wyznaczona osoba z zarządu firmy powinna być odpowiedzialna za cyberbezpieczeństwo. Zalecam, aby te przepisy już wdrażać, ale niektóre placówki mają co do tego wątpliwości, twierdząc, że skoro takich usług nie ma w kontrakcie z NFZ, to nie ma podstaw do ich finansowania, jednak są one gwarantem rzetelnego udzielania świadczeń – przekonywała Zuzanna Łaganowska.
Narzędzia i normy ISO
Michał Gembal dodał, że nowe technologie, takie jak AI też muszą być „obudowane” ceberbezpieczeństwem i wymienił trzy aspekty takie jak ludzie, procesy i procedury oraz technologie.
– Warto stosować rekomendacje Centrum e-Zdrowia, oraz dostępne narzędzia, służące na przykład do skanowania podatności. Sytuacja w szpitalu MSWiA została rozwiązania także dzięki szybko działającym służbom, więc istotne są szkolenia, i to na trzech poziomach – od dyrekcji poprzez służy IT do wszystkich użytkowników. Istotne jest także to, kogo i w jakiej kolejności będziemy informować. Warto określić najpierw, co jest dla nas ważne i dane, które chcemy chronić, określmy ryzyka i zabezpieczajmy to, co jest istotne– mówił.
Marcin Marczewski wspomniał o normie ISO 27001, która określa wymagania dla systemu zarządzania bezpieczeństwem informacji i którą wiele placówek wdraża.
– Gdy korzystamy z outsourcingu, ryzyko nie leży po stronie dostawcy, ale tego, kto kupuje usługę, nawet gdy kupujemy aplikacje, mamy obowiązek sprawdzić ich bezpieczeństwo. Te działania zawarte są w normie 37 301, międzynarodowym standardzie dotyczącym systemu zarządzania zgodnością (Compliance Management System – CMS) – mówił.
Certyfikat bezpieczeństwa dostawcy usługi
Marcin Romanowski mówił o współdziałaniu obu stron – dostawcy i kupującego.
– Ze strony dostawcy systemu możemy wymagać dostarczenia certyfikatu bezpieczeństwa lub wykonania takiego, my takie testy wykonujemy, można prosić o raport. Bardzo istotne jest także uwierzytelnienie wieloskładnikowe, z którego rezygnuje wiele placówek z powodu niechęci pracowników. Ważna jest separacja sieci, odpowiednie hasła (12 znaków itd.), backupy. Wszelkie aktualizacje powinny być wykonywane ze znanych źródeł, ryzykowne jest także używanie komputerów służbowych do prywatnych celów i odwrotnie – mówił.
Marcin Marczewski dodał, że na rynku jest wielu deweloperów, którzy nie mają bezpiecznego oprogramowania, dlatego warto brać pod uwagę, z jakiego źródła korzystamy kupując programy.
– Te wszystkie zagadnienia w całości zawiera compliance, ponieważ zarówno wykorzystywanie sprzętu prywatnego do celów służbowych, zabezpieczenia sprzętu i szkolenia personelu, powinno być odzwierciedlone w procedurach wewnętrznych. Powinny one określać, co wolno przekazywać pracownikom, a czego nie, zawierać klauzule poufności, odpowiednie upoważnienia do przetwarzania określonego rodzaju danych, a także procedury dla pacjentów oraz odwiedzających. Szkolenia powinny dotyczyć także członków zarządu. Zgodnie z procedurami każda osoba z zarządu odpowiedzialna za cyberbezpieczeństwo powinna raz w roku zostać przeszkolona, a dokumentacja w zakresie cyberbezpieczeństwa powinna współgrać z dokumentacją RODO – dodała Zuzanna Łaganowska.
Detekcja w trybie ciągłym
Mateusz Kopacz senior security architect w redteam.pl podkreślił rolę człowieka w łańcuchu zagrożeń i przypomniał, że większość jednostek, które padły ofiarą ataku, ma procedury, technologie i narzędzia, które pozwalają zrozumieć, czym jest cyberbezpieczeństwo
– Detekcja, reakcja i testowanie powinny być prowadzone w cyklu ciągłym, regularnie należy ćwiczyć i testować reakcje na zagrożenie – podsumował.
Uczestnikami dyskusji byli: Michał P. Dybowski dyrektor Healthcare Poland i dyrektor Polskiej Federacji Szpitali, międzynarodowy ekspert w zakresie innowacji w ochronie zdrowia, Marcin Romanowski –dyrektor sektora e-Zdrowie w Comarch, Marcin Marczewski – CEO Resilia, Mateusz Kopacz – senior security wrchitect w redteam.pl / forsec.pl / rtfs.pl, Dr Zuzanna Łaganowska – radca prawny w Bąkowski Kancelaria Radcowska, z kilkunastoletnim doświadczeniem zawodowym przy obsłudze podmiotów z branży IT, m. in. przy tworzeniu i wdrażaniu dokumentacji z zakresu ochrony danych i cyberbezpieczeństwa. Michał Gembal dyrektor ds. bezpieczeństwa informacji Arcus, CISO, LA ISO 27001, LA ISO 22301, MBA, ISSA Polska , ekspert w zakresie cyberodporności oraz doradztwa IT, specjalizujący się w ochronie informacji i danych, zarządzaniu kryzysowym.
X edycja Akademii Managera Ochrony Zdrowia odbyła się 18 i 19 września 2025 w Airport Hotel Okęcie w Warszawie. Organizatorem wydarzenie był Medidesk. Pracodawcy dla Zdrowia byli jego partnerem.