• admin@kibc
• 29 sierpnia 2025
• Brak komentarzy

Systemy informatyczne, tak jak ludzie, potrzebują opieki — zwłaszcza tam, gdzie przetwarzane są wrażliwe dane medyczne pod szczególnym nadzorem regulatora jak UODO. Raport „Cyberbezpieczeństwo w służbie zdrowia” jasno pokazuje, że niedostateczne zabezpieczenia nie są tylko problemem technicznym — to realne zagrożenie dla zdrowia i życia pacjentów.

Cyberbezpieczeństwo w polskich szpitalach pozostaje obszarem krytycznym i wymagającym natychmiastowej uwagi. Raport Grant Thornton i ResilientX z sierpnia br., obejmujący analizę 50 najlepiej zarządzanych publicznych szpitali w Polsce, ujawnia skalę problemu w liczbach, które trudno zbagatelizować. W trakcie badania wykryto 2209 unikalnych haseł powiązanych z systemami tych placówek, które wyciekły do przestrzeni publicznej. Oznacza to, że setki pracowników i systemów mogły być w praktyce dostępne dla osób nieuprawnionych. Dodatkowo zidentyfikowano 668 podatności w systemach szpitalnych, z czego aż 334 sklasyfikowano jako krytyczne. W języku cyberbezpieczeństwa oznacza to, że ich wykorzystanie mogło prowadzić do natychmiastowego, pełnego przejęcia kontroli nad elementami infrastruktury IT.

Wnioski płynące z raportu są szczególnie istotne w kontekście realnych skutków ataków. Autorzy przypominają przykład z 2024 roku, kiedy to w King’s College Hospital w Wielkiej Brytanii doszło do śmierci pacjenta w wyniku opóźnienia dostarczenia wyników badań laboratoryjnych. Opóźnienie to było bezpośrednio związane z cyberatakiem na system dostawcy usług medycznych. Przypadek ten pokazuje, że w sektorze ochrony zdrowia zagrożenia informatyczne nie są kwestią abstrakcyjną, lecz mogą przekładać się na dramatyczne konsekwencje dla pacjentów.

Raport wskazuje również na podejmowane w Polsce działania w obszarze bezpieczeństwa. Z Krajowego Planu Odbudowy przeznaczono 66 milionów złotych na wzmocnienie zabezpieczeń w szpitalach, a dodatkowe 28 milionów złotych trafiło na utworzenie zespołów CSIRT, czyli jednostek reagowania na incydenty bezpieczeństwa komputerowego dedykowanych sektorowi ochrony zdrowia. To ważne kroki, które jednak — jak podkreślają autorzy — muszą zostać wsparte wdrożeniem systematycznych procedur i kultury organizacyjnej opartej na zarządzaniu ryzykiem.

Kluczowym wnioskiem z raportu jest to, że identyfikacja i analiza ryzyka teleinformatycznego nie mogą być realizowane wyłącznie po wystąpieniu incydentu. Konieczne jest wdrażanie działań prewencyjnych, w tym pasywnego monitoringu podatności, regularnych audytów i stosowania międzynarodowych standardów oceny ryzyka, takich jak system CVSS. Właśnie taka metodyka, oparta na monitoringu Exposure Management firmy ResilientX, pozwoliła na uchwycenie opisanej w raporcie skali zagrożeń.

Z analizy jasno wynika, że cyberbezpieczeństwo w polskich szpitalach powinno być traktowane jako jeden z kluczowych filarów systemu ochrony zdrowia. Liczby – ponad dwa tysiące ujawnionych haseł, kilkaset wykrytych podatności i połowa z nich o krytycznym znaczeniu – nie pozostawiają wątpliwości, że zagrożenie jest poważne i wymaga całościowej odpowiedzi. Odpowiedzią tą musi być nie tylko finansowanie, ale także rozwój procesów, kadr i narzędzi, które pozwolą skutecznie bronić się przed kolejnymi atakami.