Wentylacja polskiego szpitala zaatakowana przez prorosyjską grupę

16 kwietnia 2025 roku informowaliśmy o cyberatakach na dwa polskie obiekty: oczyszczalnię ścieków oraz szpitalną wentylację. Wówczas cyberprzestępcy wskazali, że zaatakowali placówkę medyczną na Mazowszu – wiele wskazuje na to, że twierdzenie o lokalizacji obiektu było fałszywe.

Nagranie sprzed roku jest krótkie, lecz widać na nim m.in. wyłączenie klimatyzacji w pomieszczeniu opisanym jako „TOMOGRAF”. Można również dostrzec poszczególne elementy wentylacji.

Udało się nam dotrzeć do nagrania, które pokazuje kolejne manipulowanie parametrami obiektu.

Atak na wentylację w polskim szpitalu

23 kwietnia br. haktywiści (hakerzy-aktywiści) opublikowali kolejne, tym razem ponad dwudziestominutowe nagranie, obrazujące manipulowanie parametrami tego samego obiektu. Oprócz powtarzających się oznaczeń central wentylacji, identycznego ekranu logowania czy tych samych kategorii alarmów, można dostrzec literówkę we frazie „ograniczenia nawiewu” w jednym z panelów sterowania.

Należy tutaj jasno podkreślić, że urządzenia posiadają limity, powyżej których niemożliwe jest ustawienie danego paremetru - maksymalna (możliwa do ustawienia) wartość temperatury powietrza w pomieszczeniu wynosiła 28 stopni Celsjusza. Choć taka temperatura nie uchodzi za komfortową - nie stanowi zagrożenia dla zdrowia czy życia.

Rok temu cyberprzestępcy postanowili wyłączać niektóre z urządzeń. Tym razem ustawiali maksymalne wartości temperatury (wspomniane 28°C) i wilgotności. Na nagraniach można dostrzec, że w panelu pojawiły się dwa nowe obiekty: „SOR NW15” i „SOR NW16”.

Kogo zaatakowano?

Naturalnie rozpoczęliśmy poszukiwania obiektu, który mógł paść ofiarą cyberprzestępców. Kluczowe było znalezienie szpitala, który posiada poniższe pomieszczenia (zgodnie z nagraniem):

• STERYL. CZYSTA NW1, STERYL. ZAPLECZE NW2, STERYL. BRUDNA NW3;
• BLOK OPERACYJNY NW4, LABORATORIA NW5, SOCIAL LABORAT. NW6;
• SALA WYBUDZEŃ NW7, BLOK OPER. SZATNIA NW8, SOR NW9;
• KARDIO SZATNIA NW10, KARDIO OIOM NW11, KARDIO ODDZIAŁ NW12;
• ORTOPEDIA, UROLOGIA, CHIR. OGÓLNA, LARYNGOLOGICZNA, NACZYNIOWA;
• SWEGON NW13, TOMOGRAF NW14, SOR NW15, SOR NW16.

W trakcie poszukiwań udało się nam ustalić, że powyższe warunki (dot. poszczególnych oddziałów) spełnia SP ZOZ w Sanoku. Dzięki dokumentom przetargowym sprzed kilku lat wiemy również, że szpital przynajmniej raz korzystał z usług firmy zajmującej się wentylacjami, której logo widać na panelu z nagrania cyberprzestępców.

24 kwietnia (piątek) skierowaliśmy pytania do SP ZOZ Sanok z prośbą o odpowiedź do 27 kwietnia (poniedziałek). Szpital nadesłał odpowiedź na nasze pismo w wskazanym terminie za co bardzo dziękujemy.

Jednocześnie z odpowiedzi podkarpackiego szpitala dowiadujemy się, że… nic się nie dowiemy. Jest to zgodne z obowiązującymi przepisami: art. 37 Ustawy o Krajowym Systemie Cyberbezpieczeństwa wyłącza informacje o „podatnościach, incydentach i cyberzagrożeniach oraz o ryzyku wystąpienia incydentów” z dostępu do informacji publicznej.

W celu dochowania należytej staranności i rzetelności dziennikarskiej załączamy w całości pismo podpisane przez dyrektora SP ZOZ Sanok.

Podkreślając, że SP ZOZ stwierdził brak podstaw do odpowiedzi (w oparciu o ustawę o KSC), nie rozstrzygając faktu wystąpienia (bądź nie) incydentu - pragniemy przytoczyć ogólnodostępne informacje dotyczące klimatyzacji w SP ZOZ Sanok.

Jednocześnie zaznaczamy, że nie przesądzamy, iż do ataku doszło w sanockim szpitalu, zaś artykuł jest tworzony w ramach urzeczywistniania prawa obywateli do ich rzetelnego informowania (art. 1 Prawa Prasowego).

Co widać w dokumentach?

Na nagraniach widzimy, że pierwsze pięć urządzeń nazywa się następująco:

• STERYL. CZYSTA NW1, STERYL. ZAPLECZE NW2, STERYL. BRUDNA NW3;
• BLOK OPERACYJNY NW4;
• LABORATORIA NW5.

Postanowiliśmy poszukać oznaczeń w publicznie dostępnych dokumentach. W piśmie dotyczącym postępowania na roboty budowlane z 2021 roku udało się nam znaleźć informację, że wówczas szpital nie posiadał BMS, zaś frazy „(…) mają być włączone w BMS” czy „(…) BMS ma pracować” wskazują, że ten element jest przedmiotem przetargu.

Co jednak najważniejsze, w pytaniu nr 6 dotyczącym istniejących urządzeń, wskazano istnienie poniższych central wentylacyjnych:

• Sale operacyjne NW4;
• Laboratoria NW5;
• Strefa czysta NW1;
• Strefa zaplecze NW2;
• Strefa brudna NW3.

Widzimy, że pierwsze pięć central ma tożsamy opis (nazwę + numer) do tych, które znalazły się na nagraniu cyberprzestępców.

Mapowanie central

Możliwe jest również zmapowanie innych elementów BMS wentylacji do dokumentacji przetargowej (z 2019 oraz 2021 roku):

Nie udało się nam jednoznacznie zmapować obiektu „SWEGON NW13”. Podkreślamy, że nasza analiza nie przesądza czy to w wspomnianej jednostce doszło do ataku.

Mapowanie sal

Na nagraniu widoczne jest również pięć sal operacyjnych, oznaczonych jako: ORTOPEDIA, UROLOGIA, CHIR. OGÓLNA, LARYNGOLOGICZNA, NACZYNIOWA.

Na stronie SP ZOZ Sanok, dotyczącej dnia otwartego na nowym bloku operacyjnym w marcu 2019 roku, wymienione są te same sale (cytując: ogólna, naczyniowa, laryngologiczna, ortopedyczna, urologiczna). Takie same frazy zamieszczono w dokumentacji przetargowej z 2017 roku dot. układów nawilżania.

W dokumentach możemy przeczytać również, że w przypadku „sali operacyjnych i sali wybudzenia” należy przyjąć układ RMS (ang. room monitoring system - przyp. red.), który umożliwia kontrolę poniższych parametrów:

• ciśnienie;
• temperatura;
• wilgotność pomieszczeń.

Na nagraniu widoczny jest pomiar temperatury i wilgotności dla pomieszczeń: BLOK OPERACYJNY, KARDIO OIOM, ORTOPEDIA, UROLOGIA, CHIR. OGÓLNA, LARYNGOLOGICZNA, NACZYNIOWA. Na filmie nie znalazły się wartości ciśnienia.

SOR

Podkreślając, że w artykule nie wskazujemy zaatakowanego obiektu, zwracamy uwagę na dwa fakty.

Po pierwsze, na nagraniu z 2026 roku widać dwie nowe centrale: „SOR NW15” oraz „SOR NW16”. Na filmie z ubiegłego roku obiektów po prostu nie ma. Widzimy również, że w panelu alarmów dwa nowe urządzenia są oznaczone (na górze) jako „NW14”.

Po drugie, SOR SP ZOZ Sanok został niedawno gruntownie wyremontowany. Otwarcie nowego SOR-u miało miejsce na początku marca.

„Nie był zwykły remont, ale całkowita transformacja przestrzeni, gdyż doszło do wyburzenia starego układu funkcjonalnego i stworzenia nowego. Dokonano wymiany instalacji elektrycznych i technicznych, modernizacji wentylacji i systemów medycznych (…)” - czytamy na łamach nowiny24.pl.

Co to oznacza?

W artykule nie stwierdzamy jednoznacznie, czy do omawianego incydentu doszło w szpitalu w Sanoku, trzymając się odpowiedzi SP ZOZ na bazie art. 37 UKSC.

Niezależnie od tego, gdzie doszło do incydentu dot. HVAC, widzimy konieczność nieustannego zwracania uwagi na bezpieczeństwo polskiej automatyki przemysłowej. D

obrze pokazują to ataki na polski sektor wodno-kanalizacyjny. „Incydent spowodował przerwę w dostarczaniu wody na ok. 6 godzin dla ok. 2,5 tys. mieszkańców gminy” - czytamy w Raporcie CERT Polska za 2025 rok. Wówczas doszło zdarzenia w stacji uzdatniania wody, które doprowadziło do wyczerpania się zasobów w zbiorniku.

Za opisywany incydent w polskim szpitalu odpowiada prorosyjska grupa haktywistów, która w przeszłości atakowała stacje uzdatniania wody czy oczyszczalnie ścieków.

W przeszłości byliśmy już świadkami dwukrotnego ataku na ten sam obiekt - mowa o małej elektrowni wodnej.

Atak na wentylację jest prawdopodobnie o wiele mniej poważny w skutkach niż liczne ataki ransomware na polskie szpitale i placówki medyczne. W samym marcu br. na celowniku cyberprzestępców znalazły się poniższe obiekty:

• Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie (7/8 marca);
• Bonifraterskie Centrum Medyczne (odpowiada za funkcjonowanie trzech szpitali oraz ośmiu innych placówek medycznych, 13 marca);
• Centrum Medyczne „Eskulap" w Raciborzu (26 marca);
• Świętokrzyskie Centrum Rehabilitacji w Czarnieckiej Górze (31 marca).

Wszystkim chętnym polecamy anonimowy kontakt z nami - należy użyć formularza „Zgłoszenia anonimowe” u dołu strony.