#CyberMagazyn: Czy Twoje wyniki badań można znaleźć w sieci?

MODAT, firma zajmująca się cyberbezpieczeństwem, przeprowadziła badanie, które ujawniło naruszenie umożliwiające dostęp do poufnych danych pacjentów. Jest to wynik m.in. nieprawidłowo skonfigurowanych urządzeń, które będąc podłączone do internetu, ujawniają wrażliwe informacje.

Wyniki badań mógł zobaczyć każdy

Jak wskazuje MODAT, wśród upublicznionych danych znajdowały się m.in. obrazy medyczne, w tym rezonansu magnetycznego, zdjęcia rentgenowskie oraz wyniki badań krwi pacjentów szpitali na całym świecie.

Eksperci byli wstanie znaleźć m.in. skany mózgu z zawartymi danymi pacjenta i datą badania.

„Tą samą metodą uzyskali dostęp do szeregu innych obrazów medycznych: badań wzroku od optyka, zdjęć rentgenowskich zębów, wyników badań krwi, a nawet szczegółowych rezonansów magnetycznych płuc, powszechnie stosowanych w leczeniu pacjentów z rakiem płuc. Ujawniono szokująco dużą liczbę dokumentów medycznych” - czytamy w wynikach badań firmy MODAT.

Doszło do wielu uchybień w zabezpieczeniach systemów medycznych. Korzystały ze słabych lub łatwych do odgadnięcia danych uwierzytelniających lub w ogóle nie włączono funkcji uwierzytelniania.

Kolejnym aspektem, który naraził dane pacjentów to błędnie skonfigurowane systemy wykorzystujące połączenie z Internetem. To również powoduje, że systemy są bardziej podatne na ataki typu zero day lub exploity. Jak podkreśla MODAT, spotkano się z wykorzystywaniem starszych systemów, które już nie są wspierane.

Cyberprzestępcy zdają sobie sprawę, że przerwa w funkcjonowaniu szitala może zagrozić życiu pacjentów, a presja czasu zmusi je do ustępstw. Ze względu na to placówki medyczne stają się atrakcyjnym celem.

Stanowi to poważne i powszechne wyzwanie o globalnych implikacjach. Nasze badania zidentyfikowały znaczną liczbę narażonych systemów opieki zdrowotnej, a trend ten nadal się nasila w miarę prowadzenia dalszych analiz. Skala i dostępność tych luk w zabezpieczeniach sugerują, że osoby o złych zamiarach prawdopodobnie posiadają te same możliwości, co stwarza znaczne ryzyko dla sektora opieki zdrowotnej.
Soufian El Yadmani, założyciel i dyrektor generalny Modat.

Wciąż te same błędy

Wiele się mówi o podstawowych zasadach cyberbezpieczeństwa w organizacjach, jednak jak widać, nawet w takich ważnych instytucjach jak szpitale, nadal jest z tym problem.

Eksperci podkreślili, że słabe hasła są jednym z problemów badanych urządzeń medycznych. Hasła nie są zmieniane z tych ustawionych w momencie pierwszego uruchomienia. Używano popularnych haseł typu: 123456, admin, demo, secret, a dane uwierzytelniające producenta były dostępne online.

Takie hasła są często wybierane bo „łatwo je zapamiętać”, albo są „łatwe do wpisania” i „nie zabierają dużo czasu”. Jednak naraża to organizację na poważne konsekwencje w przypadku złamania zabezpieczeń, które nie zajmą atakującym za dużo czasu.

Źle skonfigurowane urządzenia, które są podłączone do internetu to kolejny istotny problem. Podobny przypadek w innej branży wystąpił w systemach turbin wiatrowych, gdzie mieliśmy do czynienia z podłączeniem kontrolera do internetu. Pozwalało to na zdalny dostęp atakującego do systemu  i sterowania urządzeniem. Mogło to doprowadzić do poważnych konsekwencji w tym wysyłania błędnych poleceń, wgrywanie złośliwych aktualizacji oraz zakłócanie pracy turbin, przełączników czy systemu zasilania. Więcej możecie przeczytać w naszym artykule.

W przypadku placówek medycznych, dostęp do urządzeń umożliwiał każdemu na dostęp do danych pacjentów i manipulację nimi.

Cyberbezpieczeństwo w polskiej służbie zdrowia

Centrum e-Zdrowia opublikowało w 2022 r. rekomendacje, które mają wesprzeć podmioty lecznicze w podnoszeniu bezpieczeństwa teleifnormatycnzego.

Wśród priorytetowych kierunków wymieniono:

• konieczność ochrony danych medycznych,
• ochrona poczty elektronicznej,
• ochrona brzegu sieci,
• ochrona stacji roboczych.

Plan działania w zakresie cyberbezpieczeństwa w ochronie zdrowia to prawie 60 stronicowy dokument. Omówiono tam m.in.: kwestie audytu bezpieczeństwa, chmurowego systemu ochrony LAN/WAN, system kopii bezpieczeństwa i ochronę backupu. Zaproponowano rozwiązania dotyczące ochrony poczty elektronicznej  czy  minimalne wymagania dotyczące systemów antywirusowych. To tylko część ważnych aspektów cyberochrony w ochronie zdrowia.

Komisja Europejska również podkreśla, że sektor opieki zdrowotnej w ostatnich latach spotyka się ze zwiększoną liczbą incydentów.  Aż „ 54% cyberataków w sektorze opieki zdrowotnej odbywa się z udziałem oprogramowania wymuszającego okup”.

Jak polskie placówki radzą sobie w zakresie cyberbezpieczeństwa?  

Polska również ma problemy

W ostatnich miesiącach wystąpiło kilka sytuacji, które mogły naraziłć pacjentów na zagrożenia związane z bezpieczeństwem danych.

Jak podkreśla Centrum e-Zdrowia „pierwszy kwartał 2025 roku przyniósł niepokojący wzrost incydentów cyberbezpieczeństwa w sektorze ochrony zdrowia”. Ujawniono aż 150 luk w zabezpieczeniach, 130 incydentów związanych z próbami wyłudzeń i socjotechniką i 60 przypadków zainfekowania systemów złośliwym oprogramowaniem.

Jednym z przypadków, o których można było usłyszeć w ostatnich miesiącach, był poważny wyciek z Internetowego Konta Pacjenta (IKP). Miał miejse w maju 2025 roku, o czym pisaliśmy na naszych łamach.

W IKP odkryto podatność, która dzięki odpowiedniej modyfikacji adresu URL w pasku przeglądarki umożliwiała nieuprawniony dostęp do dokumentacji pacjentów.  Ministerstwo Zdrowia nie podało szczegółowych informacji o tym, jakie dane mogły zostać ujawnione, ani skali w jakiej wystąpiło. Incydent miał miejsce w dniach 19 kwietnia do 25 maja 2025 roku.

Interesującą sprawą była sytuacja związana z danymi lekarzy z lipca 2025 r. Pomimo że formalnie nie kwalifikowało się to jako wyciek, pozostają jednak pewne wątpliwości w kwestii ochrony danych osobowych.

W lipcu w nowym Rejestrze Podmiotów Wykonujących Działalność Leczniczą dostępne były numery telefonów oraz adresy mailowe lekarzy. Centrum e-Zdrowia zaznaczyło, że nie doszło do naruszenia przepisów o ochronie  danych osobowych, lecz pojawiły się wątpliwości ze strony samego środowiska medycznego.

Jak informuje Niebezpiecznik.pl, lekarze kontakowali się z redakcją, wyrażając zaniepokojenie zakresem danych jakie zostały upublicznione:

„Obecna wersja systemu Rejestr Podmiotów Wykonujących Działalność Leczniczą umożliwia w dość prosty sposób pozyskanie danych takich jak numery telefonów oraz adresy e-mail lekarzy (…) W kontekście ostatnich ataków na lekarzy i personel medyczny, ujawnianie tego typu informacji przez instytucje państwowe w moim odczuciu jest wysoce nieodpowiedzialne” - taką wypowiedź lekarza czytamy na portalu

UODO nakłada karę na szpital w związku z naruszeniem danych

W czerwcu br. Prezes UODO nałożył karę finansową w wysokości ponad 66 tysięcy zł na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku za „niewdrożenie odpowiednich środków technicznych i organizacyjnych”.

Szpital w związku z nieodpowiednią polityką cyberbezpieczeństwa i ochrony danych został zainfekowany złośliwym oprogramowaniem.  Dostęp do systemu został zabklokowany i tym samym doszło do naruszenia poufności i dostępności danych osobowych ok. 2000 pracowników. Jak wskazuje UODO, nie naruszono bezpieczeństwa danych pacjentów.

Jako przyczynę incydentu UODO wskazuje m.in. brak rzetelnej analizy ryzyka, w tym niewskazanie procesów przetwarzania jakie miały być zweryfikowane oraz „niespójne, pełne niejasności i niezawierające konkretnych rozwiązań organizacyjno-technicznych” w kontekście konkretnych zagrożeń.  Szpital również nie prowadził regularnego testowania środków bezpieczeństwa danych osobowych.

Cyberbezpieczeństwo w polskiej służbie zdrowia powinno być priorytetem

Sektor zdrowia jest jednym z kluczowych obszarów działalności cyberprzestępców. Ostatnie incydenty, a także statystyki, które podaje Centrum e-Zdrowia wskazują na konieczność pilnego zadbania o jakość zabezpieczeń.

Warto postawić na skuteczną i regularną weryfikację placówek medycznych pod kątem cyberbezpieczeństwa i ochrony danych osobowych, a także szkolenie personelu.

Wycieki danych, takich jak PESEL, adres, historia chrób czy dokumentacja medyczna, narażają pacjentów na zagrożenia związane z np. manipulacją danymi, kradzieżą tożsamości, wyłudzeniami finansowymi czy szantażem. Brak zaufania do służby zdrowia będzie się pogłębiał, jeśli placówki medyczne nie będą w stanie zapewnić skutecznego systemu ochrony danych osobowych.

Powyższe kwestie powinny zostać potraktowane jako priorytetowe.