Służba zdrowia pod presją cyberataków. W jaki sposób AI zmienia zasady gry

Materiał sponsorowany

Piotr Pilewski, redaktor naczelny CyberDefence24.pl: Sektor ochrony zdrowia to dziś jeden z głównych celów cyberprzestępców. Placówki medyczne to dziś "miękkie podbrzusze" państwa spośród obszarów kluczowych dla jego funkcjonowania?

Tak, sektor ochrony zdrowia od kilku lat znajduje się wśród najczęściej atakowanych branż na świecie. Wynika to głównie z połączenia kilku czynników: ogromnej wartości danych medycznych, konieczności zapewnienia ciągłości działania oraz często bardzo złożonych środowisk IT, które obejmują zarówno nowoczesne systemy cyfrowe, jak i starszą infrastrukturę.

Z perspektywy cyberprzestępców skuteczny atak na placówkę medyczną może prowadzić nie tylko do kradzieży danych, ale również do zakłócenia świadczenia usług, co może bezpośrednio wpływać na jej funkcjonowanie i bezpieczeństwo pacjentów.

Taki stan rzeczy potwierdzają również analizy zespołu Unit 42 z Palo Alto Networks, zgodnie z którymi sektor ochrony zdrowia od lat znajduje się wśród najczęściej atakowanych branż, szczególnie przez grupy specjalizujące się w atakach ransomware. Dlatego nie określałbym ochrony zdrowia mianem „miękkiego podbrzusza” państwa, lecz raczej jako jeden z obszarów infrastruktury krytycznej, którego odporność cyfrowa ma bezpośredni wpływ na bezpieczeństwo obywateli i stabilność funkcjonowania państwa.

Zarządza Pan zespołem odpowiedzialnym za Europę Środkowo-Wschodnią. Jak polski sektor ochrony zdrowia wypada na tle innych państw regionu?

Polski sektor ochrony zdrowia przechodzi obecnie intensywną transformację cyfrową, która przynosi nowe możliwości, ale jednocześnie zwiększa skalę wyzwań związanych z cyberbezpieczeństwem.

W 2025 roku CSIRT CeZ obsłużył 1 441 incydentów bezpieczeństwa w sektorze ochrony zdrowia, czyli o ponad 60 proc. więcej niż rok wcześniej, a już w pierwszym kwartale 2025 roku liczba zgłoszeń przewyższyła cały 2023 rok, co dobrze pokazuje skalę presji, z jaką mierzy się ten obszar.

W wielu organizacjach widać rosnącą świadomość zagrożeń i większą dojrzałość procesów bezpieczeństwa, ale nadal istotnym wyzwaniem pozostają ograniczone zasoby kadrowe, złożona infrastruktura oraz konieczność ochrony coraz większej liczby systemów i danych.

Kluczowe znaczenie mają dziś nie tylko inwestycje w technologie, ale także konsekwentne budowanie kompetencji, wdrażanie wymogów regulacyjnych oraz długofalowe podejście do odporności cyfrowej. Równie ważna jest współpraca pomiędzy administracją publiczną, placówkami medycznymi i partnerami technologicznymi, ponieważ skuteczne przeciwdziałanie współczesnym zagrożeniom wymaga połączenia wiedzy, doświadczeń i zasobów wielu podmiotów.

Gdzie jesteśmy najmocniejsi, a gdzie najbardziej odstajemy?

Mocną stroną polskiego sektora ochrony zdrowia jest rosnąca świadomość, że cyberbezpieczeństwo powinno być traktowane jako element strategicznego zarządzania ryzykiem, a nie wyłącznie obszar odpowiedzialności działów IT. CSIRT CeZ wskazuje na rosnące znaczenie edukacji, działań prewencyjnych i współpracy między podmiotami, podkreślając jednocześnie, że nowe regulacje, w tym dyrektywa NIS2, wzmacniają cały ekosystem cyberbezpieczeństwa.

Eksperci wskazują wciąż na istotne luki organizacyjne, a analizy Palo Alto Networks Unit 42 pokazują, że inżynieria społeczna pozostaje w 2025 roku jednym z najskuteczniejszych sposobów uzyskania nieautoryzowanego dostępu do danych organizacji. Innymi słowy, najmocniejsi jesteśmy w budowaniu świadomości i ram systemowych, a najsłabsi w równym przełożeniu tych ram na praktykę w każdej placówce.

Sektor medyczny to łatwiejszy cel ataku niż banki czy firmy z sektora finansowego. Gdyby miał Pan postawić diagnozę... Dlaczego?

Różnice między sektorem medycznym a finansowym wynikają przede wszystkim z ich odmiennej logiki działania i priorytetów bezpieczeństwa. W ochronie zdrowia atakujący częściej wykorzystują fakt, że kluczowa jest ciągłość działania i natychmiastowy dostęp do systemów, co sprawia, że organizacje są bardziej podatne na presję operacyjną niż sektor bankowy.

Z kolei sektor finansowy funkcjonuje w znacznie bardziej rygorystycznym otoczeniu regulacyjnym, m.in. w ramach DORA, które w całej UE nakładają konkretne wymogi dotyczące zarządzania ryzykiem ICT, raportowania incydentów, testowania odporności cyfrowej i nadzoru nad ryzykiem związanym z dostawcami technologii.

W bankowości poziom kontroli, segmentacji i monitoringu jest więc zwykle bardziej jednolity i restrykcyjny, podczas gdy w ochronie zdrowia środowiska są często bardziej złożone i rozproszone. W efekcie nie chodzi tyle o prostotę samego ataku, ile o to, jak duży wpływ jego powodzenie ma na funkcjonowanie organizacji.

Czy z perspektywy Palo Alto Networks zagrożenie dla sektora ochrony zdrowia jest dziś większe niż jeszcze dwa-trzy lata temu - sprzed czasu boomu na AI?

Zdecydowanie tak. Jednym z najważniejszych czynników tej zmiany jest rozwój sztucznej inteligencji, która realnie skraca cykl ataku i zwiększa jego automatyzację. Jak pokazują analizy zespołu Unit 42 czy ENISA, cyberataki coraz częściej mają charakter zautomatyzowanych, wieloetapowych procesów, w których czas między wykryciem podatności a jej wykorzystaniem znacząco się skraca.

W praktyce oznacza to, że modele AI nie tylko przyspieszają pojedyncze działania, ale coraz częściej wspierają tworzenie pełnych łańcuchów ataku, łącząc analizę podatności z ich aktywnym wykorzystaniem.

W efekcie organizacje, w tym placówki ochrony zdrowia, muszą być przygotowane na rzeczywistość, w której okno reakcji staje się coraz krótsze, a skuteczność obrony zależy już nie tylko od technologii, ale od zdolności do ciągłego, zautomatyzowanego dostosowywania się do zmieniających się zagrożeń.

Jak bardzo zmieniły się ataki phishingowe po upowszechnieniu generatywnej AI?

Bardzo znacząco, ponieważ generatywna AI sprawiła, że phishing stał się jednocześnie bardziej skalowalny, bardziej spersonalizowany oraz trudniejszy do wykrycia. Zamiast prostych, masowych wiadomości cyberprzestępcy coraz częściej przygotowują treści dopasowane do konkretnej osoby lub organizacji, które pod względem języka i kontekstu przypominają autentyczną komunikację biznesową.

Coraz częściej wykorzystywane są techniki oparte na modelach AI, w tym klonowanie głosu oraz bardziej zaawansowane scenariusze socjotechniczne, które zwiększają wiarygodność ataku. W efekcie phishing przestał być prostym mailem zawierającym ukrytą literówkę, a stał się precyzyjnie zaprojektowanym atakiem socjotechnicznym, który trudno odróżnić od standardowej komunikacji.

Czy możemy spodziewać się sytuacji, w której cyberprzestępcy będą wykorzystywać autonomiczne systemy AI do prowadzenia ataków na infrastrukturę medyczną? Czy obserwujecie zmianę charakteru ataków?

Taki scenariusz jest coraz bardziej realny, choć mówimy raczej o stopniowej ewolucji niż nagłym przełomie. Już dziś obserwujemy, że cyberprzestępcy intensywnie wykorzystują generatywną AI do automatyzacji wybranych etapów ataku, takich jak rekonesans, przygotowanie treści phishingowych czy analiza podatności, co znacząco skraca czas prowadzenia działań i ułatwia rozpoczęcie ataku osobom o mniejszych kompetencjach technicznych.

W najnowszych analizach Palo Alto Networks podkreślamy, że rozwój tzw. modeli Frontier AI może prowadzić do dalszej autonomizacji części procesów ataku, w których systemy nie tylko wspierają człowieka, ale zaczynają samodzielnie łączyć dane, identyfikować słabe punkty i inicjować kolejne etapy łańcucha ataku.

W kontekście infrastruktury medycznej oznacza to przede wszystkim zmianę charakteru zagrożeń z pojedynczych, ręcznie prowadzonych działań na ciągłe, zautomatyzowane kampanie, które mogą działać szybciej, niż tradycyjne mechanizmy obrony są w stanie zareagować.

Czy kradzież danych medycznych jest równie niebezpieczna, co możliwość sparaliżowania pracy szpitala?

To są dwa różne rodzaje ryzyka, ale z perspektywy szpitala to właśnie paraliż pracy bywa najbardziej niebezpieczny w krótkiej perspektywie, ponieważ może bezpośrednio wpływać na ciągłość opieki i bezpieczeństwo pacjentów.

Zakłócenia w cyfrowym ekosystemie ochrony zdrowia utrudniają lub wręcz uniemożliwiają dostęp do kluczowych systemów i danych, co bezpośrednio przekłada się na funkcjonowanie placówki. Coraz częściej obserwujemy też, że ataki nie ograniczają się wyłącznie do kradzieży informacji, ale są łączone z szantażem opartym na zakłócaniu działania organizacji, co dodatkowo zwiększa presję na zaatakowaną instytucję.

Sama kradzież danych medycznych pozostaje jednak równie poważnym zagrożeniem w dłuższej perspektywie, ponieważ dotyczy wyjątkowo wrażliwych informacji o pacjentach i może prowadzić do istotnych konsekwencji finansowych, prawnych i wizerunkowych.

Szpitale są pełne urządzeń podłączonych do sieci. Czy Medical IoT staje się obecnie największym wyzwaniem bezpieczeństwa?

Współczesny szpital to środowisko, w którym technologia medyczna i sieci IT są dziś nierozerwalnie połączone, co naturalnie zwiększa powierzchnię potencjalnych ataków. Medical IoT nie jest jednak pojedynczym, dominującym problemem, ale jednym z kluczowych elementów tego ekosystemu ryzyka.

W Palo Alto Networks uważamy, że największym wyzwaniem w tym obszarze jest brak pełnej widoczności urządzeń oraz trudność w ich spójnym zabezpieczeniu w ramach jednej architektury bezpieczeństwa.

W praktyce problem wynika nie tyle z samych urządzeń, ile z ich liczby, zróżnicowania oraz ograniczeń w zakresie aktualizacji i kontroli dostępu. To powoduje, że Medical IoT staje się częścią szerszego wyzwania związanego z utrzymaniem kontroli nad coraz bardziej złożonym i rozproszonym środowiskiem cyfrowym w ochronie zdrowia.

Czy można bezpiecznie integrować tysiące urządzeń medycznych z systemami IT szpitala bez radykalnego zwiększania ryzyka?

Tak, można integrować wiele urządzeń medycznych, ale nie da się tego zrobić bez zmiany podejścia do bezpieczeństwa i bez zwiększenia kontroli ryzyka na poziomie architektury. w tym przypadku kluczowe jest zapewnienie pełnej widoczności, segmentacji i kontroli komunikacji w czasie rzeczywistym.

W praktyce oznacza to, że szpitale muszą przejść od modelu, w którym urządzenia są tylko dołączane do istniejącej sieci, do podejścia „Zero Trust”, gdzie każde urządzenie jest identyfikowane, profilowane i objęte zasadą najmniejszych uprawnień.

Bez tego integracja na dużą skalę niemal automatycznie zwiększa powierzchnię ataku, bo w środowisku medycznym funkcjonują jednocześnie urządzenia o różnym poziomie aktualizacji, od różnych producentów i o różnej krytyczności dla pacjentów.

Dlatego realnie bezpieczna integracja nie polega na unikaniu ryzyka, tylko na jego systematycznym ograniczaniu poprzez segmentację, monitoring i automatyczną analizę zachowań urządzeń w sieci.

Jakie skutki może mieć wyłączenie systemów szpitalnych nawet na kilka godzin?

Przestój systemów szpitalnych, nawet trwający kilka godzin, może mieć poważne konsekwencje zarówno dla ciągłości działania placówki, jak i bezpieczeństwa pacjentów. W praktyce oznacza to utrudniony dostęp do dokumentacji medycznej, wyników badań czy systemów diagnostycznych, co bezpośrednio wpływa na tempo podejmowania decyzji klinicznych.

W takich sytuacjach szpitale często muszą przechodzić na procedury awaryjne, które są bardziej czasochłonne i obciążają personel, a to może prowadzić do opóźnień w diagnostyce, przesunięć zabiegów czy ograniczenia liczby przyjęć pacjentów. W efekcie takie cyberincydenty przestają być wyłącznie wymiar technologiczny, a stają się realnym czynnikiem wpływającym na funkcjonowanie systemu ochrony zdrowia i jakość opieki nad pacjentem.

Dziękuję za rozmowę.