Cyberzagrożenia wobec placówek medycznych w Polsce przybierają na sile. Jak wynika z raportu „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia” przygotowanego przez CSIRT CeZ, w 2025 roku odnotowano 1441 incydentów bezpieczeństwa, czyli o ponad 60% więcej niż rok wcześniej. Najczęściej występowały oszustwa komputerowe, podatne usługi oraz wycieki poświadczeń. Raport pokazuje również, że coraz większym problemem stają się kampanie phishingowe wymierzone bezpośrednio w lekarzy, personel medyczny i podmioty lecznicze.
Z tego artykułu dowiesz się…
- Jak wzrosła liczba incydentów cyberbezpieczeństwa w sektorze ochrony zdrowia w latach 2023-2025.
- Jakie typy incydentów najczęściej odnotowywał CSIRT CeZ w 2025 roku.
- Jakie kampanie phishingowe były wymierzone w lekarzy, placówki medyczne i pacjentów.
- Jakie błędy techniczne najczęściej wykrywano podczas skanów bezpieczeństwa infrastruktury IT.
Liczba incydentów rośnie z roku na rok
Dane przedstawione przez CSIRT CeZ wskazują na utrzymującą się tendencję wzrostową. W 2023 roku w sektorze ochrony zdrowia zarejestrowano 435 incydentów bezpieczeństwa. Rok później liczba ta wzrosła do 1028, a w 2025 roku osiągnęła poziom 1441 zdarzeń.
Oznacza to wzrost o ponad 60% względem 2024 roku. Wśród wszystkich zgłoszeń znalazło się także 5 incydentów poważnych w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa oraz 8 ataków ransomware.
Najwięcej incydentów odnotowano we wrześniu 2025 roku, kiedy zarejestrowano 165 zdarzeń. Wysoką aktywność cyberprzestępców obserwowano również w lutym i marcu, po 162 incydenty w każdym z tych miesięcy.
Oszustwa komputerowe dominują w statystykach
Analiza struktury incydentów pokazuje, że największym problemem pozostają działania wykorzystujące socjotechnikę oraz błędy w zabezpieczeniach systemów.
Najliczniejszą kategorią były oszustwa komputerowe – 580 przypadków. Drugie miejsce zajęły podatne usługi, których odnotowano 344. Łącznie te dwie grupy odpowiadały za 64% wszystkich incydentów zarejestrowanych przez CSIRT CeZ.
W dalszej kolejności znalazły się:
- wycieki poświadczeń – 148 przypadków,
- szkodliwe oprogramowanie – 146,
- obraźliwe i nielegalne treści – 74,
- inne incydenty – 39,
- włamania – 37,
- naruszenia dostępności zasobów – 28.
Znacznie rzadziej zgłaszano próby włamań, gromadzenie informacji czy ataki na bezpieczeństwo informacji.
Według autorów raportu głównym wyzwaniem pozostają obecnie cyberprzestępstwa wykorzystujące słabości organizacyjne i techniczne, a nie klasyczne ataki na infrastrukturę.
Atak na szpital MSWiA w Krakowie jednym z najpoważniejszych zdarzeń
Wśród pięciu incydentów poważnych obsłużonych przez CSIRT CeZ znalazł się cyberatak na Samodzielny Publiczny Zakład Opieki Zdrowotnej MSWiA w Krakowie.
Do zdarzenia doszło 8 marca 2025 roku. Po wykryciu ataku placówka otrzymała wsparcie Centralnego Biura Zwalczania Cyberprzestępczości, CSIRT NASK oraz CSIRT CeZ.
Zespół Centrum e-Zdrowia dostarczył szpitalowi sprzęt potrzebny do odbudowy infrastruktury oraz zapewnił pomoc ekspertów zajmujących się przywracaniem systemów i ich zabezpieczeniem.
Raport wskazuje, że szybkie zgłoszenie incydentu oraz współpraca różnych instytucji umożliwiły sprawne rozpoczęcie procesu odtwarzania środowiska informatycznego.
Phishing najczęściej wykorzystywaną metodą ataku
CSIRT CeZ zwraca uwagę, że znaczną część incydentów stanowiły kampanie phishingowe wymierzone w pracowników ochrony zdrowia. W 2025 roku cyberprzestępcy wielokrotnie podszywali się pod:
- Narodowy Fundusz Zdrowia,
- Medfile,
- gabinet.gov.pl,
- eZUS,
- RPWDL,
- usługi Centrum e-Zdrowia.
Atakujący rozsyłali fałszywe wiadomości SMS i e-maile zawierające linki do stron przypominających systemy Elektronicznej Dokumentacji Medycznej lub oficjalne serwisy instytucji publicznych.
W części kampanii wykorzystywano informacje sugerujące utratę możliwości wystawiania e-recept lub konieczność aktualizacji certyfikatów. Celem było przejęcie danych logowania użytkowników.
Raport opisuje również oszustwa wykorzystujące wizerunek NFZ. Przestępcy oferowali rzekomo darmowe apteczki za symboliczną opłatą, kierując użytkowników do fałszywych systemów płatności służących do wyłudzania danych kart bankowych.
Skany bezpieczeństwa ujawniły powtarzające się błędy
W odpowiedzi na rosnącą liczbę zagrożeń CSIRT CeZ przeprowadził w 2025 roku skany bezpieczeństwa infrastruktury teleinformatycznej w ośmiu podmiotach leczniczych. Celem działań była identyfikacja podatności i błędów konfiguracyjnych mogących zwiększać ryzyko skutecznego ataku.
Najczęściej wykrywane problemy obejmowały:
- brak aktualizacji oprogramowania,
- wygasłe certyfikaty SSL/TLS,
- wykorzystywanie przestarzałych protokołów TLS 1.0 i TLS 1.1,
- brak nagłówków bezpieczeństwa Security-Headers,
- brak mechanizmów SPF, DKIM i DMARC w usługach pocztowych,
- korzystanie z niewspieranych systemów operacyjnych,
- funkcjonowanie systemów po zakończeniu wsparcia producenta (EOL).
Według autorów raportu regularna weryfikacja infrastruktury pozostaje jednym z najskuteczniejszych sposobów ograniczania ryzyka cyberincydentów.
Główne wnioski
- W 2025 roku CSIRT CeZ obsłużył 1441 incydentów bezpieczeństwa w sektorze ochrony zdrowia, czyli o ponad 60% więcej niż w 2024 roku.
- Najczęściej zgłaszano oszustwa komputerowe i podatne usługi – odpowiednio 580 i 344 przypadki, co łącznie stanowiło 64% wszystkich incydentów.
- Wśród zdarzeń znalazło się 5 incydentów poważnych oraz 8 ataków ransomware, a jednym z najpoważniejszych był cyberatak na SPZOZ MSWiA w Krakowie.
- CSIRT CeZ wskazał na powtarzające się błędy techniczne, m.in. brak aktualizacji, wygasłe certyfikaty SSL/TLS, przestarzałe protokoły TLS oraz brak SPF, DKIM i DMARC.
Źródło:
- https://www.cez.gov.pl/sites/default/files/paragraph.attachments.field_attachments/2026-06/CSIRT%20CeZ_RaportRoczny_2025.pdf
