Cyberbezpieczeństwo w ochronie zdrowia jeszcze nigdy nie było tak istotne, jak w 2025 roku. Zaledwie kilka tygodni temu, 8 marca, krakowski szpital MSWiA padł ofiarą ataku typu ransomware. Przestępcy wykorzystali złośliwe oprogramowanie szyfrujące, które naruszyło ochronę danych pacjentów. Jak podano 10 marca w oficjalnym komunikacie placówki, istnieje wysokie ryzyko, że osoby nieuprawnione mogły uzyskać dostęp do dokumentacji medycznej. Ten incydent dobitnie pokazuje, jak poważne są zagrożenia i jak ważna jest skuteczna reakcja systemu ochrony zdrowia.
W tym kontekście warto przyjrzeć się najnowszym danym z raportu CeZ – „VIII Edycja Badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą”, opublikowanego 25 marca 2025 roku. Badanie objęło ponad 11 tys. placówek medycznych i ujawnia istotne różnice w podejściu do cyberbezpieczeństwa między szpitalami, AŚZ (Ambulatoryjne świadczenia zdrowotne) i innymi typami podmiotów leczniczych.
Gdzie dostrzegane są potrzeby w zakresie cyberbezpieczeństwa?
Ponad połowa (52,2%) przebadanych placówek zadeklarowała, że zidentyfikowała potrzeby w zakresie cyberbezpieczeństwa. Jednak poziom świadomości i gotowości różni się znacząco w zależności od typu placówki. Aż 91,2% szpitali wskazało na konkretne potrzeby w tym obszarze – to wyraźny sygnał, że duże jednostki są świadome skali zagrożeń. W przypadku placówek innych niż szpitalne ten odsetek wyniósł 71%, a w AŚZ – tylko 47,6%.
W kontekście zagrożeń najczęściej zgłaszane potrzeby to: odporność na cyberataki (69,6%), zwiększenie ochrony danych osobowych (66%) oraz podniesienie poziomu wiedzy pracowników na temat zagrożeń informatycznych (64,8%).
W szpitalach dominowała potrzeba zwiększenia odporności na cyberataki (85,8%) i edukacja kadry (81,1%). Dla AŚZ – najczęściej wskazywano konieczność zwiększenia odporności na cyberataki (66,2%), ochronę danych (65,5%) i poprawę wiedzy o zagrożeniach (60,7%).
Czy za potrzebami idą działania?
W skali ogólnopolskiej, działania w zakresie cyberbezpieczeństwa podjęto w 47,6% placówek. Jednak znowu – statystyki różnicują się w zależności od typu podmiotu. W szpitalach aż 92,3% wdrażało konkretne działania w tym obszarze. Dla porównania, w placówkach innych niż szpitalne było to 71,5%, a w AŚZ – zaledwie 42,3%.
Czy podejmowano działania w zakresie cyberbezpieczeństwa w podmiocie/praktyce?
Należy jednak zauważyć, że nawet jeśli potrzeby są identyfikowane, to wdrażanie rozwiązań jest ograniczane m.in. przez brak środków. W AŚZ działania z zakresu cyberbezpieczeństwa są finansowane głównie ze środków własnych (88,5%). W podmiotach innych niż szpitalne – 73,5%, natomiast w szpitalach dominują środki z NFZ (78,2%). To sugeruje, że bez dedykowanego wsparcia finansowego mniejsze podmioty mogą nie być w stanie podnieść poziomu cyberochrony.
Źródła finansowania w zakresie cyberbezpieczeństwa
Co robią placówki? Priorytety w praktyce
Najczęściej wskazywanym priorytetem w działaniach z zakresu cyberbezpieczeństwa jest monitorowanie bezpieczeństwa teleinformatycznego podmiotu (69,6%). W szpitalach to aż 79,3%, w podmiotach innych niż szpitalne – 73,1%, a w AŚZ – 67,5%.
Drugim najczęściej wskazywanym obszarem są szkolenia i działania uświadamiające dla personelu (64,2%). W AŚZ to 62,5%, ale już w podmiotach stacjonarnych innych niż szpitalne – 72,2%, natomiast w szpitalach 72,2%.
Wśród innych kluczowych działań warto wymienić oszacowanie ryzyk (46%), opracowanie i wdrożenie Polityki Bezpieczeństwa Informacji (30,2%) oraz identyfikację kluczowych aktywów informacyjnych (26,2%). Niestety, tylko co czwarta placówka przeprowadza audyt bezpieczeństwa informacji (25,1%), a procedury zgłaszania incydentów opracowano jedynie w 18,8% przypadków.
Priorytetowe obszary w zakresie cyberbezpieczeństwa
Co wynika z danych?
Z raportu wynika wyraźnie: szpitale są najbardziej zaawansowane zarówno w identyfikowaniu potrzeb, jak i w podejmowaniu działań. Jednak ponad 85% ankietowanych placówek to AŚZ, a właśnie tam działania są najsłabiej rozwinięte. To poważna luka w systemie ochrony zdrowia, zwłaszcza że AŚZ są często pierwszym punktem kontaktu pacjenta z systemem.
W kontekście niedawnych incydentów bezpieczeństwa – jak atak na szpital MSWiA w Krakowie – staje się jasne, że ochrona danych pacjentów i ciągłość działania systemów medycznych to nie luksus, lecz konieczność. Szczególnie że zagrożenia w 2025 roku stają się coraz bardziej złożone i kosztowne.
Uwaga: Ankiety w badaniu CeZ odesłały: 9 731 AŚZ, 820 szpitali, 634 podmiotów innych niż szpitalne świadczenia stacjonarne i całodobowe.
Źródło:
- CeZ
