Reklama

NIK sprawdzi szpitale. Szuka dziur w cyberbezpieczeństwie

24/03/2026 12:30

Szpitale, instytuty, sprawdzi szpitale Szuka dziur cyberbezpieczeństwie - zdjęcie, fotografia

Spis treści

Skala systemu i znaczenie danych medycznych
Niewystarczające wsparcie dla POZ
Obowiązki wynikające z ustawy o KSC
Reagowanie na incydenty
Rosnąca liczba cyberzagrożeń
Słabe ogniwa w łańcuchu dostaw

Wątek zabezpieczenia danych wrażliwych milionów pacjentów, którymi operują placówki Podstawowej Opieki Zdrowotnej (POZ), nadal pozostaje tematem tabu. Jeszcze niedawno podobnie wyglądała sytuacja w sektorze wodociągów – Dziś mówi się o nim coraz więcej, głównie ze względu na rosnące zainteresowanie tym obszarem ze strony motywowanych politycznie grup przestępczych – wskazuje Piotr Zielaskiewicz z Dagma Bezpieczeństwa IT.

Kilka dni temu Szpital Wojewódzki w Szczecinie poinformował, że padł ofiarą ataku cyberprzestępców. W nocy z soboty na niedzielę (7/8 marca) sprawcy zainfekowali system informatyczny placówki, szyfrując część danych i blokując do nich dostęp.

Zobacz także:

Haker włamywał się do rządowej bazy danych i podrabiał recepty

„Przyjęcia do placówki nie zostały wstrzymane, choć wszystkie wymagane procedury medyczne i administracyjne trwają dłużej. W związku z tym prosimy pacjentów, by – w miarę możliwości – kierowali się do innych placówek” – podał szpital.

Skala systemu i znaczenie danych medycznych

Według danych GUS, na koniec 2024 roku w Polsce funkcjonowało ponad 27 tys. podmiotów ambulatoryjnej opieki zdrowotnej, z których większość realizuje świadczenia w ramach POZ. Każda z tych placówek przetwarza dane wrażliwe pacjentów – zarówno dane osobowe, jak i informacje o stanie zdrowia.

Reklama

Dane te są zintegrowane w ramach centralnego systemu medycznego, który zapewnia:

spójność i dostępność informacji o świadczeniach zdrowotnych,
dostęp do historii leczenia pacjenta,
wsparcie decyzji klinicznych lekarzy,
optymalizację procesów diagnostycznych i terapeutycznych.

Niewystarczające wsparcie dla POZ

W debacie o cyberbezpieczeństwie ochrony zdrowia dominują duże szpitale, podczas gdy problem bezpieczeństwa w POZ często pozostaje pomijany.

– Również dla tej kategorii podmiotów realizowane były programy wsparcia, takie jak FEnIKS, środki z KPO czy fundusze NFZ. Jednak ich skala – w stosunku do liczby placówek i rzeczywistych potrzeb – pozostaje niewystarczająca – podkreśla Paweł Śmigielski, menadżer Stormshield w Polsce.

Reklama

Ekspert zwraca uwagę, że obszar ochrony zdrowia ma kluczowe znaczenie, co znajduje odzwierciedlenie w nowej ustawie o Krajowym Systemie Cyberbezpieczeństwa.

- Wątek zabezpieczenia danych wrażliwych milionów pacjentów, a takim ich wolumenem operują POZ-y, pozostaje tematem tabu. Podobna sytuacja dotyczyła do niedawna wodociągów, o których ostatnio mówi się już dużo i głośno, z uwagi na wzmożone zainteresowanie tym segmentem ze strony motywowanych politycznie grup przestępczych – dodaje Piotr Zielaskiewicz z Dagma Bezpieczeństwa IT

Reklama

Obowiązki wynikające z ustawy o KSC

Nowe przepisy nakładają na placówki medyczne szereg obowiązków organizacyjnych i technicznych.

Kluczowe wymagania:

W ciągu pierwszych 6 miesięcy:

określenie, czy podmiot spełnia kryteria uznania za podmiot kluczowy lub ważny,
wpis do państwowego rejestru.

W ciągu 12 miesięcy:

wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Dalsze obowiązki:

przeprowadzanie analizy ryzyka,
realizacja audytu zewnętrznego co 3 lata (pierwszy w ciągu 24 miesięcy),
wdrożenie adekwatnych środków technicznych i organizacyjnych (np. segmentacja sieci, kontrola dostępu, monitoring),

Reklama
dokumentowanie procesów bezpieczeństwa (polityki, procedury, zarządzanie incydentami, aktualizacje),
ocena dostawców usług ICT (np. chmurowych, serwisowych, SOC/MSSP).

Reagowanie na incydenty

Każdy incydent bezpieczeństwa musi być zgłoszony za pomocą systemu S46:

wstępne zgłoszenie – do 24 godzin,
zgłoszenie szczegółowe – do 72 godzin,
raport końcowy – w ciągu miesiąca.

Dodatkowo wymagane są:

współpraca z zespołami CSIRT,
regularne szkolenia pracowników.

Jak podkreśla Piotr Zielaskiewicz, nowe regulacje obejmą głównie większe podmioty, jednak nie zwalnia to mniejszych placówek z dbałości o bezpieczeństwo cyfrowe.

Reklama

Rosnąca liczba cyberzagrożeń

Presja na sektor ochrony zdrowia wyraźnie rośnie. Z danych Centrum e-Zdrowia wynika, że w okresie styczeń–sierpień 2025 liczba incydentów bezpieczeństwa IT w placówkach medycznych wzrosła o 50% rok do roku.

Również 2026 rok przyniósł kolejne ataki, m.in. na szpital w Szczecinie oraz Bonifraterskie Centrum Medyczne.

– Tempo wzrostu zagrożeń jest bardzo wysokie. Obejmują one m.in. ransomware, które może sparaliżować funkcjonowanie placówki. Bez dostępu do danych działalność szpitala czy przychodni jest poważnie utrudniona, co bezpośrednio wpływa na pacjentów – zauważa Piotr Zielaskiewicz.

Reklama

Słabe ogniwa w łańcuchu dostaw

Z perspektywy cyberbezpieczeństwa nawet niewielkie placówki POZ są częścią większego ekosystemu. Korzystają z centralnych systemów e-zdrowia, współpracują z laboratoriami i szpitalami oraz wymieniają dokumentację medyczną.

W praktyce oznacza to, że:

słabsze zabezpieczenia w jednej placówce mogą stać się punktem wejścia do całego systemu,
naruszenie jednego ogniwa może mieć szerokie, systemowe konsekwencje.

– Sytuacja w POZ nadal nie jest dokładnie zbadana, ale bez wątpienia przerwanie któregokolwiek ogniwa może mieć dalekosiężne skutki – podsumowuje Paweł Śmigielski.