Proste ataki mogą sparaliżować polskie szpitale. Rząd szykuje pieniądze

Na przestrzeni 25 dni byliśmy świadkami 4 ataków ransomware na polskie organizacje z sektora ochrony zdrowia. Wiadomo, że dane w placówkach zostały zaszyfrowane oraz mogły zostać wykradzione – dotychczas w komunikatach stwierdzano „wysokie prawdopodobieństwo” wycieku danych.

Wśród jednostek z sektora medycznego, które padły ofiarami ataków ransomware, znalazły się:

• Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie (7/8 marca);
• Bonifraterskie Centrum Medyczne (odpowiada za funkcjonowanie trzech szpitali oraz ośmiu innych placówek medycznych, 13 marca);
• Centrum Medyczne „Eskulap" w Raciborzu (26 marca);
• Świętokrzyskie Centrum Rehabilitacji w Czarnieckiej Górze (31 marca).

Wsparcie szpitali

Podczas konferencji poświęconej programowi „Cyberbezpieczne Wodociągi” wiceminister cyfryzacji Paweł Olszewski przekazał, że przygotowywane są rozwiązania w zakresie finansowania i wsparcia szpitali.

Resort Jolanty Sobierańskiej-Grendy przekazał nam kluczowe informacje o podejmowanych działaniach.

Ministerstwo Zdrowia o cyberbezpieczeństwie szpitali

„Do jednych z najważniejszych inwestycji w obszarze ochrony zdrowia należy zapewnienie cyberbezpieczeństwa oraz odporności technologicznej placówek. Obserwowany jest wysoki poziom długu technologicznego, braki kadrowe w IT i cyber, a także niewystarczająca świadomość zarówno zagrożeń, jak i odpowiedzialności związanej z przetwarzaniem danych medycznych. To powoduje, że nawet podstawowe incydenty mogą sparaliżować pracę szpitala lub innych placówek medycznych” – przekazało nam Biuro Komunikacji Ministerstwa Zdrowia.

Wśród działań w ramach wsparcia szpitali w obszarze cyberbezpieczeństwa wyróżniono dwa projekty prowadzone w ramach Krajowego Planu Odbudowy (KPO):

• Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia (D1.1.2);
• Poprawa poziomu cyberbezpieczeństwa w obszarze ochrony zdrowia poprzez rozwój Sektorowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego w Centrum e-Zdrowia (w ramach inwestycji C3.1.1).

W przypadku pierwszego przedsięwzięcia środki mają zostać przeznaczone na: modernizację infrastruktury IT, wdrażanie systemów ochrony przed cyberatakami, audyty bezpieczeństwa, szkolenia personelu oraz podnoszenie standardów zarządzania bezpieczeństwem informacji. Wsparciem ma zostać objęte „368 najwyżej ocenionych przedsięwzięć”.

Druga inwestycja, opisana skrótowo jako „Rozwój CSIRT CeZ”, opiera się na przekazaniu wsparcia finansowego w wysokości 13 mln złotych do tytułowego podmiotu. Celem przedsięwzięcia jest m.in. zakup sprzętu i oprogramowania oraz szkolenia dla pracowników CSIRT CeZ.

„Furtka” finansowa w KSC

Ministerstwo Zdrowia podkreśliło, że nowe wymagania dla podmiotów ważnych i kluczowych wiążą się z koniecznością nadrobienia zaległości technologicznych oraz spełnieniem konkretnych wymagań.

Aby wspomóc jednostki w tym procesie, Centrum e-Zdrowia opublikowało ankietę pomagającą w samoocenie organizacji pod kątem wymagań Krajowego Systemu Cyberbezpieczeństwa.

Warto przypomnieć, że podmioty nieobjęte wpisem do wykazu KSC z urzędu są zobligowane do samorejestracji między 7 maja a 3 października br.

MZ przytoczyło również art. 45a znowelizowanej ustawy o KSC, która umożliwia ministrowi właściwemu do spraw informatyzacji (dziś ministrowi cyfryzacji – przyp. red.) udzielenie „wsparcia finansowego w ramach programów rządowych lub innych programów”. „Furtka” pozwala na przekazanie środków w ramach:

• pomocy publicznej dla podmiotów prywatnych;
• pomocy de minimis dla podmiotów prywatnych;
• dofinansowania dla podmiotów publicznych.

Jakie działania podjąć?

Ministerstwo Zdrowia wyróżniło konkretne „preferowane działania w zakresie cyberbezpieczeństwa” w celu spełnienia zapisów ustawy o krajowym systemie cyberbezpieczeństwa. Mowa tutaj o poniższych rekomendacjach:

• wdrożenie odmiejscowionych kopii zapasowych oraz regularne testowanie backupów z wykorzystaniem szczegółowo opracowanych procedur i odpowiednich urządzeń;
• inwestycje w systemy klasy EDR/XDR oraz nowoczesne firewalle i antywirusy;
• wdrożenie wieloskładnikowego uwierzytelniania (MFA);
• zapewnienie kontroli dostępu oraz monitorowanie logowań oraz wdrożenie centralnego systemu zbierania i przechowywania logów;
• cykliczne skanowanie infrastruktury oraz bieżące reagowanie na pojawiające się luki;
• redukcja długu technologicznego;
• budowa Systemu Zarządzania Bezpieczeństwem Informacji (SZBI);
• wdrożenie wymaganych polityk oraz jasnych procedur operacyjnych;
• regularne szkolenia pracowników z bezpieczeństwa informacji oraz programowe podnoszenie kwalifikacji zespołów IT i cyber;
• minimalizowanie „czynnika ludzkiego", który nadal jest główną przyczyną incydentów.

Najpilniejszych inwestycji wymagają te elementy, które budują odporność całej organizacji: bezpieczeństwo danych, nowoczesne zabezpieczenia, procesy i kadry. Bez ich wzmocnienia system ochrony zdrowia pozostanie podatny na incydenty, które mogą bezpośrednio zagrozić nie tylko ciągłości działania, ale także zdrowiu i życiu pacjentów.
Ministerstwo Zdrowia

MC a wsparcie MZ

Biuro Komunikacji podkreśliło, że w ramach systemowych działań Ministerstwa Cyfryzacji w 2026 r. planowane jest wsparcie tworzenia CSIRT-ów sektorowych, których tworzenie jest oparte o UKSC.

Do otrzymania wsparcia w ramach programu „Fundusze Europejskie na Rozwój Cyfrowy 2021-2027 (FERC)” ma być uprawniony m.in. minister właściwy ds. zdrowia.

Zmiany na poziomie unijnym

„W związku z obecną sytuacją geopolityczną Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2025/1914 i 2025/1913, zmieniające dotychczasowe regulacje dotyczące realizacji polityki spójności na lata 2021-2027, umożliwiły wprowadzenie przez Ministerstwo Funduszy i Polityki Regionalnej do programów finansowanych z polityki spójności zadań związanych z obronnością oraz ochroną ludności i obroną cywilną. Działania planowane do wsparcia w programach regionalnych koncentrują się przede wszystkim na wsparciu obszaru ochrony ludności i obrony cywilnej w ramach celu szczegółowego 3.3 „Rozwój odpornej infrastruktury obronnej, przy priorytetowym traktowaniu infrastruktury podwójnego zastosowania” (15 województw, bez mazowieckiego)” – przekazało nam MZ.

Dowiedzieliśmy się również, że uzgodniono z Komisją Europejską poniższy zapis, który umożliwia zwiększanie poziomu cyberbezpieczeństwa szpitali w ramach OL i OC:

W ramach celu 3.3. Rozwój odpornej infrastruktury obronnej, zwłaszcza podwójnego zastosowania, w tym w celu wspierania mobilności wojskowej w Unii oraz zwiększanie gotowości cywilnej, zgodnie z art. 1 lit. a) pkt iii) rozporządzenia (UE) 2025/1914, w programie wspierane będą również inwestycje dot. zwiększenia poziomu cyberbezpieczeństwa infrastruktury IT w szpitalach.
Ministerstwo Zdrowia

Przyszłość

MZ zaznaczyło, że „otwierają się możliwości finansowania zadań” z zakresu cyberbezpieczeństwa w budżecie unijnym na lata 2028-2034.

„Ministerstwo Zdrowia aktywnie uczestniczy w procesie programowania nowej perspektywy, będzie zatem miało możliwość zgłaszania pożądanych obszarów wsparcia, o ile będą mieścić się w ramach zakrojonych przez Komisję Europejską” – stwierdziło MZ.

Miejmy nadzieję, że formalne zapisy przełożą się na faktyczny wzrost poziomu cyberbezpieczeństwa szpitali i innych podmiotów sektora ochrony zdrowia.

Ataki ransomware bezpośrednio wpływają na świadczenie usług medycznych w Polsce, co widzieliśmy m.in. w szczecińskim szpitalu, gdzie interweniował WOT.

Pamiętajmy, że cyberbezpieczeństwo to nie -„dziura do zasypania pieniędzmi” – konieczne jest również realne wsparcie osób odpowiedzialnych za ochronę danych. Warto przytoczyć komentarze praktyków z artykułu„180 cyberataków na szpital w jeden dzień. Działamy na komputerach z Windows 10”_, opublikowanego na łamach Rynku Zdrowia:

Choćby dyrektor szpitala pracował i nie spał, nie jest w stanie spełnić wszystkich standardów. Nie wiem ilu z nas ma pełnomocników do spraw cyberbezpieczeństwa.
Wioletta Śląska-Zyśk, dyrektorka naczelna Warmińsko-Mazurskie Centrum Chorób Płuc w Olsztynie dla Rynku Zdrowia

Skoro mamy 200 aktualizacji systemu HIS w ciągu roku, w szpitalu powiatowym 2,5 informatyka, którzy mają jeszcze cyberbezpieczeństwo, tysiąc zmian prawnych, 600 komputerów i 30 różnych aparatów medycznych pod sobą, to to jest pożar.
Sebastian Błaźniak, prokurent Nexus Polska dla Rynku Zdrowia

Zachęcamy do anonimowego kontaktu wszystkie osoby, które chcą podzielić się spostrzeżeniami w zakresie cyberbezpieczeństwa lub cyberataków w polskim sektorze medycznym (konieczne jest użycie formularza „Zgłoszenia anonimowe” u dołu strony).