Cyberbezpieczeństwo. Czy POZ są miękkim podbrzuszem jakim do niedawna był sektor wod‑kan?

Stan bezpieczeństwa IT ochrony zdrowia będzie przedmiotem kontroli NIK w 2026. Obowiązki na podmioty działające w tym istotnym sektorze nakłada uchwalona niedawno Ustawa o Krajowym Systemie Bezpieczeństwa. Zdaniem ekspertów jego szczególnie wrażliwym segmentem są placówki Podstawowej Opieki Zdrowotnej (POZ), które stanowią ważny element zdrowotnego łańcucha dostaw a jednocześnie kolejne miękkie podbrzusze systemu. Brak ich odpowiedniego zabezpieczenia rodzi ryzyko zarówno dla państwa, jak i obywateli.

Proste błędy przepisem na poważne problemy

Zagadnienia w sektorze ochrony zdrowia, jakim chce się przyjrzeć NIK obejmują m.in. ochronę danych osobowych i bezpieczeństwa informacji w szpitalach i innych podmiotach leczniczych w wybranych województwach, a także cyberbezpieczeństwo systemów informacyjnych placówek. Jak wskazuje ekspert współczesne ataki na sektor ochrony zdrowia rzadko rozpoczynają się od spektakularnego włamania do systemów medycznych.

Najczęściej są efektem relatywnie prostych błędów w podstawowych obszarach bezpieczeństwa, takich jak brak aktualizacji systemów, słabe hasła czy nieodseparowane sieci informatyczne. W przypadku placówek medycznych problem dodatkowo komplikuje fakt, że ich infrastruktura obejmuje dużą liczbę wyspecjalizowanych urządzeń, od systemów diagnostycznych po sprzęt monitorujący pacjentów. Często działają one na starszym oprogramowaniu, co utrudnia aktualizację i rodzi konieczność fizycznego odseparowania przez dedykowany firewall. Gdy napastnicy uzyskują dostęp do pojedynczego komputera, np. poprzez phishing lub wykorzystanie niezałatanej podatności, to następnie mogą przemieszczać się po sieci przejmując kolejne systemy. W środowisku medycznym szczególnie niebezpieczne jest to, że sieci administracyjne i systemy kliniczne bywają ze sobą powiązane i nie są separowane

Aleksander Kostuch

inżynier Stormshield

Szpitale, dzięki realizowanym programom wsparcia, są w większości nie najgorzej przygotowane na realia aktualnych zagrożeń cyfrowych, jednak permanentnym problemem jest niedobór środków na cyberbezpieczeństwo. Oznacza to, że podstawowy poziom zabezpieczeń bywa osiągany, ale jego utrzymanie i rozwój pozostają wyzwaniem. Zagrożenia w obszarze cyberbezpieczeństwa ewoluują co wymaga stałego nadzoru i elastyczności.

Eksperci pytają: czy podstawa piramidy jest stabilna?

Podobna sytuacja, choć prawdopodobnie w większej skali, dotyka placówek Podstawowej Opieki Zdrowotnej. A z uwagi na konstrukcję systemu ochrony zdrowia ten właśnie segment, będący podstawą piramidy, odgrywa w nim kluczową rolę.

Wątek zabezpieczenia danych wrażliwych milionów pacjentów, a takim ich wolumenem operują POZ-y, pozostaje tematem tabu. Podobna sytuacja dotyczyła do niedawna wodociągów, o których ostatnio mówi się już dużo i głośno, z uwagi na wzmożone zainteresowanie tym segmentem ze strony motywowanych politycznie grup przestępczych

Piotr Zielaskiewicz

DAGMA Bezpieczeństwo IT

Według GUS, na koniec 2024 roku w Polsce działało ponad 27 tys. podmiotów ambulatoryjnej opieki zdrowotnej, w większości realizujących świadczenia w ramach Podstawowej Opieki Zdrowotnej. Każda z tych placówek dysponuje danymi wrażliwymi swoich pacjentów (dane osobowe, dane związane ze schorzeniami), które zintegrowane są poprzez centralny system medyczny. Zapewnia on spójność i dostępność informacji o świadczeniach zdrowotnych, dostęp do historii leczenia pacjenta, a także wsparcie decyzji klinicznych lekarzy, ułatwiając optymalizację procesów diagnostycznych i terapeutycznych.

W dyskusji o bezpieczeństwie zdrowotnym skupiamy się na dużych szpitalach, nie dostrzegając problemu POZ. Również dla tej kategorii podmiotów prowadzone były programy wsparcia np. FEnIKS czy fundusze z KPO lub NFZ, jednak ich skala w stosunku do potrzeb, będących pokłosiem liczby placówek, pozostaje relatywnie niewielka i niewystarczająca. Myślę, że warto zwrócić baczniejszą uwagę na obszar ochrony zdrowia, który jest kluczowy, jak wskazuje nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa

Paweł Śmigielski

menadżer Stormshield w Polsce

Jakie obowiązki nakłada ustawa KSC na sektor ochrony zdrowia

Placówki medyczne w ciągu pierwszych 6 miesięcy obowiązywania ustawy muszą przede wszystkim ustalić, czy spełniają progi uznania je za podmiot kluczowy lub ważny a następnie dokonać wpisu się do państwowego rejestru.

Obowiązki podmiotów kluczowych/ważnych:

• w okresie 12 miesięcy od wejścia w życie ustawy wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji,
• przeprowadzanie analiz ryzyka i audytu zewnętrznego co 3 lata, a pierwszego w ciągu 24 m-cy od uznania podmiotu za kluczowy/ważny
• zapewnienie środków technicznych i organizacyjnych adekwatnych do poziomu ryzyka (np. segmentacja sieci, kontrola dostępu, monitoring bezpieczeństwa)
• dokumentowanie procesów bezpieczeństwa: polityki, procedury, proces szacowania ryzyka zarządzania incydentami, aktualizacji
• ocena dostawców, w tym usług ICT (np. chmurowych, serwisowych, SOC/MSSP)

Gdy dojdzie do incydentu każdorazowo należy go zgłosić za pomocą systemu S46, zgodnie z harmonogramem zakładającym wstępne zgłoszenie w 24h, szczegółowe w 72h i przygotowanie w ciągu miesiąca raportu końcowego. Obowiązki obejmują również współpracę z sektorowymi Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) oraz szkolenia pracowników.

Przyjęte definicje sprawiają, że za podmiot kluczowy lub ważny uznane będą głównie szpitale i placówki medyczne działające w dużej lub średniej skali. Musimy jednak pamiętać, że placówki POZ pozostają istotnym elementem całego systemu ochrony zdrowia, co oznacza konieczność dbałości również o ich bezpieczeństwo cyfrowe

Piotr Zielaskiewicz

DAGMA Bezpieczeństwo IT

Presja na sektor ochrony zdrowia coraz większa

Jak podaje Centrum e-Zdrowia w okresie styczeń-sierpień 2025 liczba incydentów związanych z naruszeniem bezpieczeństwa IT w szpitalach i przychodniach była o połowę wyższa niż rok wcześniej. Również 2026 rok przyniósł serię incydentów, w których przedmiotem działań cyberprzestępców są placówki medyczne - szpital w Szczecinie czy Bonifraterskie Centrum Medyczne, posiadające sieć placówek różnego profilu w kilku polskich miastach.

Mamy zatem do czynienia z iście zawrotnym tempem wzrostu zagrożeń. Ich katalog obejmuje ransomware, a bez możliwości wykorzystania danych funkcjonowanie szpitala i przychodni jest mocno utrudnione. Dlatego każdy udany atak de facto oznacza realne problemy dla tysięcy pacjentów. W szpitalach sytuacja nie jest najgorsza. Zdecydowana większość posiada kopie zapasowe oraz wykorzystuje technologie takiej jak firewall

Piotr Zielaskiewicz

DAGMA Bezpieczeństwo IT

Z punktu widzenia łańcucha dostaw nawet niewielkie przychodnie są elementem większego ekosystemu, korzystają z centralnych systemów e-zdrowia, przesyłają dokumentację medyczną, współpracują z laboratoriami i szpitalami. W praktyce oznacza to, że słabsze zabezpieczenia na jednym z poziomów systemu mogą zostać wykorzystane jako punkt wejścia do szerszej infrastruktury.

A jaka sytuacja jest w POZ-ach pozostaje pytaniem otwartym, bo badania stricte tego obszaru, wedle mojej wiedzy nie były prowadzone. Bez wątpienia jednak przerwanie ogniw będzie miało dalekosiężne skutki

Paweł Śmigielski

menadżer Stormshield w Polsce