Zdrowie11 min czytania

Ransomware w sektorze zdrowia — lekcje z 2025 i obowiązki szpitali pod KSC

Case: szpital MSWiA w Krakowie

Sprawozdanie Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2025 r. wymienia ataki ransomware jako jedno z dwóch ryzyk wysokich o ocenie 12 pkt (wpływ 4 × prawdopodobieństwo 3) i wskazuje sektor zdrowia jako szczególnie narażony. Konkretny, udokumentowany przypadek to poważny paraliż infrastruktury podmiotu medycznego MSWiA w Krakowie — atak ransomware, który spowodował długotrwałą niedostępność systemów klinicznych i administracyjnych.

Incydent w szpitalu MSWiA to nie odosobniony przypadek — to reprezentacja szerszego zjawiska. Pełnomocnik w rejestrze ryzyka wskazuje sektor zdrowia jako połączenie najgorszych czynników systemowych: braki kadrowe specjalistów IT, ograniczenia budżetowe uniemożliwiające konkurencję z sektorem prywatnym, przestarzała infrastruktura (w tym urządzenia medyczne bez wsparcia producenta) oraz kluczowe znaczenie ciągłości dla życia i zdrowia pacjentów.

Ransomware na szpital nie jest incydentem IT — jest incydentem klinicznym. Paraliż systemów HIS (Hospital Information System) i EDM (Elektroniczna Dokumentacja Medyczna) oznacza brak dostępu do historii leczenia, brak elektronicznej rejestracji, brak laboratorium, brak diagnostyki obrazowej. Oddział ratunkowy nie może zweryfikować uczuleń pacjenta. To bezpośrednie zagrożenie życia.

Mechanizm podwójnego wymuszenia

Współczesny ransomware — szczególnie w modelu Ransomware-as-a-Service (RaaS) dominującym w 2025 r. — opiera się na mechanizmie podwójnego lub potrójnego wymuszenia. Tradycyjne wymuszenie (szyfrowanie → okup za odszyfrowanie) zostało uzupełnione o dodatkowe dźwignie nacisku na ofiarę.

EtapDziałanie atakującegoNacisk na ofiarę
1. EksfiltracjaKradzież danych (EDM, dane kadrowe, badania) przed szyfrowaniemGroźba publikacji na darknecie
2. SzyfrowanieEncryption systemów HIS, LIS, RIS, backup onlineBrak dostępu do systemów klinicznych
3. PublikacjaPublikacja fragmentów danych jako „dowód”Naruszenie RODO, reputacja
4. Szantaż pacjentów/kontrahentówKontakt z pacjentami i partnerami ofiaryPresja społeczna, odszkodowania
5. DDoS równoległyAtak wolumetryczny na stronę szpitalaUtrudnienie reakcji PR

Kluczowym wnioskiem jest to, że zapłata okupu nie rozwiązuje problemu — nawet po odszyfrowaniu dane zostały wyeksfiltrowane i mogą zostać opublikowane lub sprzedane. Kopie zapasowe online są szyfrowane razem z produkcją, więc backup „podpięty do sieci” nie chroni. Skuteczna jest wyłącznie kopia zapasowa offline (air-gapped) lub immutable (WORM) w technologii nieusuwalnej.

Paraliż HIS/EDM i ryzyko dla pacjentów

Systemy HIS (Hospital Information System), EDM (Elektroniczna Dokumentacja Medyczna), LIS (Laboratory Information System), RIS/PACS (Radiology Information System, Picture Archiving) i apteki centralnej tworzą wzajemnie zależną sieć. Paraliż jednego z tych systemów kaskadowo wpływa na pozostałe.

  • HIS niedostępny → brak rejestracji, brak zleceń, brak rozliczeń NFZ, powrót do papierowej obsługi.
  • EDM niedostępny → brak historii choroby, brak listy leków pacjenta, brak wyników badań z wizyty poprzedniej.
  • LIS niedostępny → brak badań laboratoryjnych, brak krzyżówek transfuzyjnych, wstrzymanie diagnostyki.
  • RIS/PACS niedostępny → brak opisów TK/MR, brak dostępu do poprzednich badań obrazowych.
  • Apteka szpitalna niedostępna → brak dyspensacji, ryzyko podania niewłaściwego leku.
Rozporządzenie Ministra Zdrowia w sprawie EDM (Dz.U. 2020 poz. 1420 ze zm.) nakłada obowiązki dostępności i integralności dokumentacji medycznej. Utrata EDM w ataku ransomware oznacza nie tylko naruszenie RODO (wyciek danych szczególnej kategorii), ale także naruszenie prawa medycznego i bezpośrednie zagrożenie pacjentów. Konsekwencje: postępowanie UODO, kontrole Ministerstwa Zdrowia, sprawy karne i cywilne.

Obowiązki szpitali pod KSC

Szpitale i podmioty lecznicze są wymienione w załączniku nr 1 do znowelizowanej UKSC (sektor: ochrona zdrowia). Szpital będący dużym przedsiębiorcą (≥250 pracowników lub obrót > 50 mln EUR lub bilans > 43 mln EUR) jest podmiotem kluczowym; mniejszy — ważnym. Laboratoria referencyjne i podmioty produkujące produkty lecznicze krytyczne również kwalifikują się niezależnie od wielkości.

  1. Rejestracja w wykazie S46 prowadzonym przez Ministra Cyfryzacji — termin: 3 października 2026 r. dla podmiotów istniejących w dniu wejścia w życie ustawy.
  2. Wdrożenie SZBI zgodnie z art. 8 UKSC — polityki bezpieczeństwa, analiza ryzyka, plany ciągłości działania, procedury reagowania na incydenty.
  3. Plan odtwarzania po awarii (DRP) i kopie zapasowe offline — krytyczny środek zaradczy wobec ransomware; wymagany przez art. 8 oraz wewnętrzne standardy Ministerstwa Zdrowia.
  4. Raportowanie incydentów — 24h na zgłoszenie wstępne, 72h na szczegółowe; docelowo do CSIRT CeZ (Centrum e-Zdrowia) dla sektora zdrowia.
  5. Szkolenia zarządu i ordynatorów — obowiązek ustawowy; zarząd ponosi osobistą odpowiedzialność za niezapewnienie bezpieczeństwa.
  6. Audyt bezpieczeństwa co 3 lata (art. 15 UKSC) dla podmiotów kluczowych — przeprowadzony przez uprawniony podmiot, obejmujący IT + urządzenia medyczne.
  7. Zarządzanie ryzykiem łańcucha dostaw — klauzule bezpieczeństwa z dostawcami HIS/LIS/RIS, serwisantami sprzętu medycznego, dostawcami chmury medycznej.

Plan odporności — co wdrożyć w pierwszej kolejności

Rejestr ryzyka w Sprawozdaniu 2025 wskazuje konkretne środki zaradcze dla ransomware w sektorze zdrowia: plany ciągłości działania (BCP/DRP), kopie zapasowe offline, segmentacja sieci i EDR/XDR. Poniżej priorytetyzacja dla szpitala rozpoczynającego wdrożenie:

  1. Kopie zapasowe offline lub immutable — backup HIS/EDM w technologii air-gapped lub WORM; testy odtworzenia co najmniej kwartalne; oddzielna kopia w fizycznie innym miejscu.
  2. Segmentacja sieci — rozdzielenie sieci klinicznej, administracyjnej, gościnnej (WiFi dla pacjentów) i urządzeń medycznych (IoMT); firewall między segmentami z regułami domyślnie blokującymi.
  3. EDR/XDR na stacjach roboczych i serwerach — detekcja i blokowanie typowych wzorców ransomware (masowe szyfrowanie plików, komunikacja z C2, wyłączanie kopii zapasowych).
  4. MFA dla wszystkich dostępów administracyjnych i zdalnych — obrona przed kompromitacją kont (najczęstszy wektor początkowy).
  5. Plan BCP z procedurą „papierową” — gotowe formularze papierowe dla rejestracji, zleceń, recept na wypadek niedostępności systemów; regularne ćwiczenia personelu.
  6. Inwentaryzacja urządzeń medycznych — lista aparatów USG, TK, MR, pomp infuzyjnych, monitorów; systemy bez wsparcia producenta izolowane lub wymieniane; patching planowy.
  7. Umowa SOC 24/7 — dla szpitali bez własnego SOC; monitoring zdarzeń bezpieczeństwa, korelacja, szybka reakcja (MDR lub SOC-as-a-Service).
  8. Szkolenie personelu — phishing awareness, rozpoznawanie ataków socjotechnicznych (szczególnie celowane na ordynatorów i CFO — CEO fraud).
Szpitale mogą korzystać z dedykowanych programów dofinansowania cyberbezpieczeństwa (KPO, FERC), a także ze wsparcia CSIRT CeZ. Od 2026 r. CSIRT CeZ (Centrum e-Zdrowia) pełni rolę sektorowego zespołu cyberbezpieczeństwa dla sektora zdrowia. Zalecamy skorzystanie z kompleksowego planu wdrożenia KSC dla szpitala.
FAQ4 pytania

Najczęstsze pytania

Czy szpital jest podmiotem kluczowym w KSC?
Szpital jest podmiotem kluczowym, jeśli spełnia kryteria dużego przedsiębiorcy — zatrudnia co najmniej 250 osób lub ma obrót roczny powyżej 50 mln EUR lub sumę bilansową powyżej 43 mln EUR. Szpital o mniejszej skali (50-249 pracowników lub obrót ≤ 50 mln EUR) jest podmiotem ważnym. Sektor ochrony zdrowia jest wymieniony w załączniku nr 1 do znowelizowanej UKSC. Dodatkowo laboratoria referencyjne i podmioty produkujące produkty lecznicze krytyczne są kluczowe niezależnie od wielkości.
Co to jest podwójne wymuszenie w atakach ransomware?
Podwójne wymuszenie (double extortion) to model ransomware, w którym atakujący: (1) szyfruje systemy ofiary — żądając okupu za klucz odszyfrowujący, (2) wcześniej eksfiltruje dane — żądając dodatkowego okupu za nieopublikowanie ich na darknecie. Zapłata za odszyfrowanie nie chroni przed publikacją wykradzionych danych. W sektorze zdrowia eksfiltrowane dane to dane szczególnej kategorii (RODO) — publikacja oznacza wielomilionowe kary UODO plus odszkodowania dla pacjentów. Istnieje też potrójne wymuszenie: dodatkowy szantaż pacjentów lub kontrahentów oraz atak DDoS równoległy.
Dlaczego kopie zapasowe online nie chronią szpitala przed ransomware?
Współczesny ransomware w modelu RaaS (Ransomware-as-a-Service) jest projektowany tak, by przed szyfrowaniem produkcji atakujący zlokalizował i zaszyfrował lub usunął kopie zapasowe podpięte do sieci (shadow copies, NAS, repozytoria backup online). Przez to kopia na serwerze backup dostępnym z sieci produkcyjnej jest bezużyteczna. Skuteczne są tylko: (1) kopie offline (air-gapped) — odłączone fizycznie lub logicznie od sieci po wykonaniu backupu, (2) immutable backup (WORM — Write Once Read Many) — technologia niepozwalająca na modyfikację ani usunięcie przez określony czas, (3) kopia w fizycznie innym miejscu z regularnymi testami odtworzenia.
Kiedy szpital musi zgłosić incydent ransomware do CSIRT?
Zgodnie z art. 11 znowelizowanej UKSC, podmiot kluczowy (szpital ≥250 prac.) ma obowiązek zgłoszenia incydentu poważnego w dwóch terminach: (1) wstępne zgłoszenie — 24 godziny od wykrycia incydentu, (2) szczegółowe zgłoszenie — 72 godziny od wykrycia. Dodatkowo, jeśli incydent dotyczy danych osobowych (np. eksfiltracja EDM), równolegle należy zgłosić go do UODO w ciągu 72h (art. 33 RODO). Dla sektora zdrowia właściwym CSIRT-em sektorowym jest CSIRT CeZ (Centrum e-Zdrowia); dla administracji publicznej — CSIRT GOV; pozostałe podmioty — CSIRT NASK.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.