ZAPISZ SIĘ NA NEWSLETTER
ZAPISZ SIĘ NA NEWSLETTER
Strona głównaCyfryzacja i AI w medycynieCyberbezpieczeństwo firm medycznych w Polsce: stan, zagrożenia i dobre praktyki
Cyfryzacja i AI w medycynieFirmyPrawoSzpitaleZarządzanie

Cyberbezpieczeństwo firm medycznych w Polsce: stan, zagrożenia i dobre praktyki

Aktualizacja 10-04-2025 14:20
Redakcja Alert Medyczny
0
cyberatak bezpieczeństwo atak
Fot. Pexels / Tima Miroshnichenko

Udostępnij

Spis treści ukryj

Ataki na szpitale i przychodnie stają się coraz częstsze, a wycieki danych pacjentów mogą mieć poważne konsekwencje prawne i zdrowotne. Mimo rosnącej cyfryzacji, wiele placówek nie jest gotowych na współczesne zagrożenia. W artykule przyglądamy się aktualnej sytuacji, najpoważniejszym incydentom oraz rozwiązaniom, które pomagają zwiększyć poziom ochrony danych w sektorze medycznym.

Ochrona danych pacjentów – znaczenie i wymagania

Dane pacjentów należą do szczególnie chronionych informacji – stan zdrowia to wrażliwa kategoria danych osobowych objęta specjalnym rygorem prawnym (art. 9 RODO)​. Ich ujawnienie może wyrządzić poważną szkodę osobom, których dotyczą, dlatego placówki medyczne mają obowiązek zapewnić wysoki poziom ochrony takich danych​. 

W dobie cyfryzacji służby zdrowia (m.in. elektronicznej dokumentacji medycznej, e-recept) ogromne ilości danych pacjentów są przetwarzane elektronicznie. Wyciek danych osobowych i historii leczenia naraża pacjentów na utratę prywatności i ryzyko dalszych nadużyć – cyberprzestępcy mogą wykorzystywać te informacje do szantażu lub wyłudzeń​. ​

Z tego powodu ochrona danych pacjentów jest dziś kluczowym elementem działalności każdej placówki medycznej, zarówno ze względów prawnych, jak i wizerunkowych oraz etycznych.

Cyberbezpieczeństwo w ochronie zdrowia: Szpitale w gotowości, AŚZ w tyle [Dane]
ZOBACZ KONIECZNIE Cyberbezpieczeństwo w ochronie zdrowia: Szpitale w gotowości, AŚZ w tyle [Dane]

Zgodność z RODO i nadzór nad bezpieczeństwem

Placówki medyczne muszą spełniać restrykcyjne wymagania RODO dotyczące zabezpieczenia danych pacjentów, a naruszenie tych przepisów grozi poważnymi konsekwencjami​. RODO wymaga m.in. wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących dane oraz zgłaszania incydentów naruszenia danych do organu nadzorczego (UODO) i powiadamiania poszkodowanych osób. 

W ostatnim czasie Urząd Ochrony Danych Osobowych aktywnie egzekwuje te obowiązki w sektorze zdrowia – w 2024 r. nałożył kary na kilka podmiotów medycznych za naruszenia ochrony danych w poprzednich latach​

Przykładowo szpital powiatowy we Wrześni został ukarany 30 tys. zł za niezgłoszenie incydentu, w którym pacjentka otrzymała dokumentację innej osoby​. Z kolei Samodzielny Publiczny ZOZ w Pajęcznie zapłacił 40 tys. zł kary za niewystarczające zabezpieczenia – atak ransomware w 2022 r. zaszyfrował tam dane 30 tys. pacjentów (choć nie wyciekły, placówka błędnie uznała incydent za niegroźny)​. 

Co trzecia firma bez audytu bezpieczeństwa. Jak zabezpieczyć firmę przed wyciekiem danych?
ZOBACZ KONIECZNIE Co trzecia firma bez audytu bezpieczeństwa. Jak zabezpieczyć firmę przed wyciekiem danych?

Największą jak dotąd karę – 1,44 mln zł – UODO nałożył w 2024 r. na spółkę American Heart of Poland za atak hakerski z 2021 r., w wyniku którego rozpowszechnione zostały dane ponad 21 tys. pacjentów i pracowników (m.in. PESEL-e, dane medyczne, finansowe i kontaktowe)​. Organ nadzorczy zwrócił uwagę na zaniedbania spółki w ocenie ryzyka i ochronie systemów, które umożliwiły tak poważny wyciek. Widać więc, że niespełnienie wymogów RODO – czy to poprzez brak zgłoszenia incydentu, czy niedostateczne zabezpieczenia – skutkuje dotkliwymi sankcjami prawnymi.

Aby wzmocnić nadzór, UODO zaplanował na 2025 r. kontrole sektorowe właśnie w podmiotach przetwarzających dane o stanie zdrowia​. Wybrano ten sektor ze względu na wagę i wrażliwość danych medycznych, a także liczne incydenty w ostatnim czasie oraz rosnącą częstotliwość ataków na służbę zdrowia​. Zapowiedziane kontrole będą wnikać w to, jak szpitale, przychodnie, apteki czy laboratoria zapewniają bezpieczeństwo danych osobowych pacjentów​. 

Działania te sygnalizują, że zapewnienie zgodności z RODO (polityki bezpieczeństwa, procedury reagowania na incydenty, odpowiednie zabezpieczenia) pozostaje priorytetem dla organów nadzorczych i samych placówek medycznych.

Cyberatak na Szpital MSWiA w Krakowie – kto stoi za atakiem? [Aktualizacja]
ZOBACZ KONIECZNIE Cyberatak na Szpital MSWiA w Krakowie – kto stoi za atakiem? [Aktualizacja]

Incydenty naruszenia danych w sektorze medycznym

Ostatnie lata przyniosły w Polsce szereg poważnych incydentów naruszenia bezpieczeństwa danych medycznych, co uwidoczniło skalę zagrożeń. Najgłośniejsze wycieki danych pacjentów w sektorze zdrowia to m.in.:

  • ALAB Laboratoria (listopad 2023) – jedna z największych sieci laboratoriów padła ofiarą ataku ransomware. Po odmowie zapłaty okupu hakerzy upublicznili kilkadziesiąt tysięcy rekordów z danymi osobowymi pacjentów wraz z wynikami ich badań​. Był to największy wyciek danych medycznych w Polsce – ujawniono m.in. imiona, nazwiska, adresy, numery PESEL i historię wyników badań osób korzystających z ALAB w latach 2017–2023​. Sprawę incydentu bada obecnie UODO​.
  • DCG Centrum Medyczne / Medily (marzec 2024) – w wyniku ataku na firmę Medily, dostarczającą oprogramowanie do obsługi wizyt (Aurero), doszło do wycieku danych pacjentów około 40 placówek medycznych (w tym wrocławskiej kliniki DCG)​. Upubliczniono głównie podstawowe dane osobowe pacjentów: imiona, nazwiska, adresy, PESEL, kontakty, informacje o umówionych wizytach oraz część danych medycznych (np. wystawione e-recepty, skierowania)​. Incydent ten pokazał zagrożenia związane z bezpieczeństwem dostawców zewnętrznych – luka w zabezpieczeniach firmy software’owej przełożyła się na naruszenie danych tysięcy pacjentów w wielu klinikach. Prezes UODO zapowiedział wszczęcie postępowania wyjaśniającego w tej sprawie​.
  • American Heart of Poland (2021) – sieć klinik kardiologicznych została zaatakowana przez grupę ransomware, która uzyskała dostęp do wewnętrznych dysków sieciowych i zaszyfrowała znajdujące się tam bazy danych​. Hakerzy wykradli przy tym i opublikowali w sieci darknet dane osobowe ok. 21 tysięcy osób (pacjentów oraz pracowników) – obejmujące nie tylko dane identyfikacyjne, ale też informacje o stanie zdrowia, PESEL-e, dane finansowe, a nawet skany dokumentów tożsamości​. UODO stwierdził poważne zaniedbania w zabezpieczeniach i nałożył na spółkę rekordową karę 1,44 mln zł​. Ten przypadek unaocznił, jak szeroki zakres danych może zostać ujawniony przy ataku na placówkę medyczną oraz jak dotkliwe konsekwencje prawne to za sobą pociąga.

Przy czym warto podkreślić, że wiele incydentów nie trafia do mediów – eksperci wskazują, iż większość cyberataków na służbę zdrowia pozostaje nieujawniona publicznie na życzenie zaatakowanych podmiotów. Mimo to wiadomo, że ochrona zdrowia jest w ścisłej czołówce najbardziej atakowanych branż w Polsce​. Powyższe przykłady – od ataków ransomware paraliżujących działalność i skutkujących wyciekiem tysięcy rekordów, po błędy skutkujące ujawnieniem dokumentacji medycznej – pokazują, z jakimi zagrożeniami mierzą się dziś podmioty medyczne.

ECCC: 390 mln euro na cyberbezpieczeństwo. Skorzysta również sektor zdrowia
ZOBACZ KONIECZNIE ECCC: 390 mln euro na cyberbezpieczeństwo. Skorzysta również sektor zdrowia

Statystyki: rosnąca skala cyberataków na placówki medyczne

Skala cyberzagrożeń w sektorze medycznym dynamicznie rośnie. Z danych przedstawionych na branżowej konferencji “Cybersec & Compliance w Zdrowiu” wynika, że liczba incydentów cyberbezpieczeństwa zgłaszanych w polskiej ochronie zdrowia wzrosła ponad czterokrotnie w ciągu ostatnich dwóch lat​. W 2022 r. odnotowano 251 różnych ataków na placówki medyczne, w 2023 r. było ich już 405, a w 2024 r. aż 1028​. 

Oznacza to skok o ponad 150% rok do roku (2024 vs 2023). Szczególnie gwałtownie nasiliły się ataki typu ransomware, które potrafią sparaliżować działanie szpitala czy przychodni – o ile w 2023 r. odnotowano 317 ataków ransomware, to w 2024 r. liczba ta wzrosła do 506​.

Statystyki ogólnoświatowe również potwierdzają tę niepokojącą tendencję. Według raportu Data Protection Trends 2023 firmy Veeam, aż 91% organizacji ochrony zdrowia doświadczyło w ostatnim roku ataku ransomware (rok wcześniej 76%)​. W najpoważniejszych incydentach szyfrowaniem lub zniszczeniem objętych zostało średnio 39% danych placówki, z czego tylko około połowę udawało się odzyskać​. Dane te pokazują, że kwestia utraty dostępu do informacji medycznych (np. wskutek szyfrowania przez malware) jest równie istotna, co wycieki samych danych – oba zjawiska mogą bezpośrednio zagrażać zdrowiu i życiu pacjentów, jeśli np. sparaliżują działanie szpitala​.

Nowy plan KE: jak Europa chce chronić szpitale przed cyberatakami?
ZOBACZ KONIECZNIE Nowy plan KE: jak Europa chce chronić szpitale przed cyberatakami?

Co gorsza, placówki medyczne często nie są w pełni przygotowane na odparcie takich zagrożeń. Aż 72% polskich podmiotów medycznych (w tym 58,8% szpitali) nie posiada dedykowanych zespołów ds. cyberbezpieczeństwa​. Braki kadrowe i organizacyjne w tym obszarze utrudniają skuteczną ochronę – tymczasem cyberprzestępcy świadomi są krytycznej roli systemów medycznych i wartości danych pacjentów, przez co intensyfikują ataki akurat na ten sektor​. 

Służba zdrowia znajduje się obecnie w gronie pięciu najczęściej atakowanych branż w cyberprzestrzeni​. To wszystko sprawia, że statystycznie rzecz biorąc, kwestia „czy” placówka stanie się celem ataku, zamieniła się w „kiedy” – dlatego tak ważne jest przygotowanie się na zagrożenia.

Miliony z FERS na cyberbezpieczeństwo w ochronie zdrowia. Dwa projekty z szansą na finansowanie
ZOBACZ KONIECZNIE Miliony z FERS na cyberbezpieczeństwo w ochronie zdrowia. Dwa projekty z szansą na finansowanie

Wdrażane rozwiązania i dobre praktyki w zakresie bezpieczeństwa

W odpowiedzi na narastające ryzyko, polski sektor medyczny podejmuje działania zaradcze – zarówno systemowe, jak i techniczne czy organizacyjne. Poniżej zebrano kluczowe rozwiązania oraz dobre praktyki zwiększające bezpieczeństwo danych medycznych:

  • Wzmocnienie struktur cyberbezpieczeństwa – Ministerstwo Zdrowia i podległe instytucje inwestują w budowę zdolności reagowania na incydenty. Centrum e-Zdrowia powołało własny zespół CSIRT CeZ dedykowany ochronie systemów opieki zdrowotnej​. Planowana jest również implementacja unijnej dyrektywy NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) w 2025 r.​ Nowe przepisy wzmocnią sektorowe zespoły CSIRT oraz nałożą dodatkowe obowiązki na placówki medyczne jako tzw. podmioty infrastruktury krytycznej, co przełoży się na wyższe standardy ochrony danych pacjentów​.
  • Regularne audyty i zgodność z normami – Szpitale i przychodnie coraz częściej przeprowadzają audyty bezpieczeństwa (wewnętrzne lub zewnętrzne) oraz wdrażają standardy zgodne z wytycznymi UODO i ustawy KSC. Celem jest wykrycie słabych punktów zanim wykorzystają je atakujący oraz zapewnienie zgodności z RODO i innymi regulacjami. Zaplanowane kontrole sektorowe UODO mobilizują podmioty medyczne do uporządkowania dokumentacji i procedur związanych z ochroną danych​.
  • Szkolenie personelu i świadomość zagrożeńCzynnik ludzki pozostaje najsłabszym ogniwem, dlatego kluczowe jest podnoszenie świadomości pracowników medycznych w zakresie cyberzagrożeń. Wielu incydentom można zapobiec poprzez podstawowe zasady higieny cyfrowej: nieotwieranie podejrzanych linków lub załączników, ostrożność wobec phishingu i socjotechniki, oraz zgłaszanie podejrzanej aktywności​. Placówki wdrażają programy szkoleń z bezpieczeństwa dla personelu oraz testują czujność (np. kontrolowane symulacje phishingu). Zwiększanie świadomości całego zespołu medycznego znacząco redukuje ryzyko, że atak się powiedzie z powodu błędu człowieka​.
  • Kopie zapasowe i plan ciągłości działania – Ze względu na plagę ransomware priorytetem jest zapewnienie, by placówka posiadała aktualne, odizolowane kopie zapasowe kluczowych baz danych. Eksperci podkreślają, że jedynym realnym sposobem odzyskania zaszyfrowanych danych (bez płacenia okupu) jest odtworzenie ich z backupu​. Dlatego dobrą praktyką jest utrzymywanie wielowarstwowych kopii zapasowych, w tym jednej offline lub w chmurze w trybie tylko do odczytu (immutable), aby nie została zaszyfrowana podczas ataku​. Regularne testy przywracania danych z backupu pozwalają upewnić się, że kopie są sprawdzone i gotowe do użycia w razie awarii. Plan ciągłości działania (disaster recovery) powinien zakładać scenariusz cyberataku – tak, by szpital mógł możliwie szybko wznowić krytyczne usługi medyczne nawet w obliczu utraty systemów IT.
  • Nowoczesne zabezpieczenia techniczne – Placówki medyczne inwestują w poprawę swojej infrastruktury teleinformatycznej. Obejmuje to m.in. aktualizację i łatki oprogramowania (aby zamknąć znane luki), segmentację sieci (oddzielenie sieci administracyjnej od urządzeń medycznych i strefy Wi-Fi dla pacjentów), wdrażanie wieloskładnikowego uwierzytelniania (MFA) dla dostępu do systemów medycznych, a także rozwiązania takie jak systemy wykrywania włamań/ataków (IDS/IPS), czy zaawansowane narzędzia typu EDR/XDR do monitorowania punktów końcowych. Coraz powszechniej używa się szyfrowania danych (zarówno w tranzycie, jak i na dyskach serwerów) oraz rozszerzonych zabezpieczeń poczty e-mail (filtrowanie phishingu, blokowanie złośliwych załączników)​. Wiele szpitali wdraża też dodatkowe moduły ochrony przed ransomware oferowane przez producentów oprogramowania zabezpieczającego​. Celem jest zbudowanie warstwowej obrony, która z jednej strony utrudni atakującym przedostanie się do newralgicznych danych, a z drugiej – szybko wykryje incydent i pozwoli na skuteczną reakcję zanim dojdzie do eskalacji.
  • Współpraca z wyspecjalizowanymi służbami – W razie incydentu placówki medyczne mogą liczyć na wsparcie krajowych zespołów reagowania, takich jak CERT Polska (NASK) czy sektorowy CSIRT przy Centrum e-Zdrowia. Przykładowo to eksperci CERT NASK ostrzegli klinikę DCG o pojawieniu się jej danych na forum w sieci TOR​. Dobrą praktyką jest utrzymywanie kontaktu z tymi instytucjami, zgłaszanie incydentów oraz stosowanie się do wydawanych przez nie zaleceń. CERT Polska publikuje cykliczne raporty o trendach i podatnościach, a także udostępnia narzędzia (np. portal bezpiecznedane.gov.pl umożliwiający obywatelom sprawdzenie, czy ich PESEL pojawił się w ujawnionych bazach​). Takie inicjatywy zwiększają ogólny poziom bezpieczeństwa w sektorze, umożliwiają szybsze reagowanie na zagrożenia oraz ograniczają skutki incydentów dla pacjentów.

Podsumowując, cyberbezpieczeństwo firm medycznych w Polsce staje się obszarem szczególnej uwagi – zarówno ze strony samych placówek, jak i regulatorów. Rosnąca liczba ataków na szpitale i kliniki wymusza podnoszenie standardów ochrony danych pacjentów. Zapewnienie zgodności z RODO, inwestycje w infrastrukturę i kadry IT, budowanie świadomości oraz wdrażanie sprawdzonych procedur (jak kopie zapasowe czy reakcja na incydenty) to dziś niezbędne elementy funkcjonowania sektora ochrony zdrowia. Dzięki temu polskie placówki medyczne mogą lepiej chronić wrażliwe dane i ciągłość opieki nad pacjentem, nawet w obliczu coraz bardziej wyrafinowanych cyberzagrożeń.

Źródła:

  • prawopl
  • mkzpartnerzy.pl
  • gov.p
  • niebezpiecznik.pl
  • rkrodo.pl
  • cyberdefence24.p
  • termedia.pl
  • wolterskluwer.pl
  • serwiszoz.pl
  • csirt.gov.pl
  • itwiz.pl
  • bitdefender.pl
  • rynekzdrowia.pl

Trzymaj rękę na pulsie. Zaobserwuj nas na Google News!

OBSERWUJ
ikona Google News
Redakcja Alert Medyczny
Redakcja Alert Medyczny
Alert Medyczny to źródło najświeższych informacji i fachowych analiz, stworzone z myślą o profesjonalistach działających w branży medycznej i farmaceutycznej.

Ważne tematy

Trzymaj rękę na pulsie. Zapisz się na newsletter.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Więcej aktualności

Alert Medyczny to serwis informacyjny dla profesjonalistów z branży medycznej i farmaceutycznej, publikujący najnowsze wiadomości i analizy.

Wszelkie prawa zastrzeżone © alertmedyczny.pl 2025

Więcej

Najczęściej komentowane

Popularne kategorie