Cyberbezpieczeństwo (nie) wszystkich szpitali?

9 marca 2026 r. podczas konferencji „Nowoczesny Szpital 2026” zaprezentowany został dokument „CYBERMANUAL” – praktyczny przewodnik dla personelu szpitali, którego celem jest budowanie codziennej odporności na cyberzagrożenia. Inicjatywa ta powstała na prośbę Europejskiej Unii Szpitali Prywatnych (EUHP) i uzyskała pełne poparcie obecnego na wydarzeniu wiceministra zdrowia Tomasza Maciejewskiego.

Premiera dokumentu odbyła się w cieniu niedawnego – na początku marca – udanego ataku na szpital wojewódzki w Szczecinie, gdzie cyberprzestępcy zaszyfrowali bazy danych lecznicy i zażądali kilku milionów dolarów za przywrócenie dostępu do systemu. Obecnie placówka działa trybie zastępczym i nie ma dostępu do pełnej dokumentacji chorych.

Cyberbezpieczeństwo w ochronie zdrowia przestało być wyłącznie zagadnieniem technologicznym. Obecnie to jeden z kluczowych elementów bezpieczeństwa państwa, ciągłości leczenia i ochrony danych obywateli.

Czynnik ludzki głównym wektorem cyberataków

Jak podkreślił w rozmowie z „Menedżerem Zdrowia” Andrzej Sokołowski, prezes Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych, największym błędem jest traktowanie cyberbezpieczeństwa jako obszaru, który mieści się wyłącznie w kompetencjach działów IT.

– Największe ryzyko bardzo często zaczyna się na najniższych szczeblach organizacji szpitala – zauważył.

– Dyrektorzy zwykle wiedzą, że zagrożenie istnieje, choć nie zawsze potrafią skutecznie na nie odpowiedzieć. Tymczasem personel administracyjny, recepcje, pielęgniarki czy pracownicy laboratoriów często nie mają świadomości, jakie konsekwencje, organizacyjne i finansowe może mieć jedno niewłaściwe kliknięcie – powiedział ekspert.

To właśnie dlatego OSSP przygotowało praktyczny przewodnik adresowany przede wszystkim do pracowników pierwszej linii. Prezes Sokołowski zaznaczył, że jego celem jest budowanie codziennych nawyków bezpieczeństwa poprzez właściwe korzystanie z komputera – internetu, korespondencji, baz danych. Zaznaczył, że nadal zdarzają się sytuacje, w których służbowe komputery wykorzystywane są do celów prywatnych – zakupów internetowych, logowania do prywatnej poczty czy rezerwowania usług.

Zwrócił uwagę, że do prób cyberataku na placówki medyczne w Polsce dochodzi kilka razy dziennie. Dlatego pozornie błaha czynność może doprowadzić do ataku na całą infrastrukturę IT szpitala.

Jednym z przykładów był atak przeprowadzony poprzez urządzenie laboratoryjne monitorujące temperaturę, które podłączone do internetu alarmowało o przekroczeniu dopuszczalnych norm

– To pozwoliło otworzyć bramkę, zaczaić się w momencie przekazywania danych o aktualnej temperaturze. Po chwili cała sieć szpitalna była do dyspozycji hakerów – wyjaśnił Sokołowski.  

Zdaniem prezesa OSSP właśnie takie sytuacje pokazują, że odporność cyfrowa musi być budowana od podstaw – każdy pracownik szpitala powinien znać procedury i przejść szkolenia.

Dlatego kluczowym założeniem przewodnika jest obowiązek potwierdzenia przez pracownika zapoznania się z zasadami. Każda placówka może bowiem uzupełnić dokument o własne logo, dane kontaktowe i listę numerów alarmowych.

– Być może nie wszyscy pracownicy zapoznają się z tymi zasadami i będą chcieli ich przestrzegać, ale jeśli chociaż o 5 procent ograniczymy liczbę hakerskich incydentów wynikających z ludzkich błędów, to będzie duży sukces – wskazał prezes OSSP.

Rosną koszty utrzymania bezpieczeństwa sieci

Jak podkreślił, Ogólnopolskie Stowarzyszenie Szpitali Prywatnych już kilka lat temu zaczęło się przyglądać tej kwestii.

– Pierwsi otrzymaliśmy informację o incydencie w Australii, gdzie rosyjska grupa pozyskała dane od firmy ubezpieczeniowej w zakresie zdrowia. Powoli, przez pół roku, wyciągała te dane. Hakerzy zażądali jednego dolara australijskiego od każdego pacjenta. Nie było wątpliwości, że mają w darknecie niektóre bardzo wrażliwe dane, w tym osób publicznych. Kilka miesięcy później doszło do napadu na dwie duże francuskie kliniki pod Paryżem, które zostały sparaliżowane na ponad dwa miesiące – przekazał prezes Sokołowski. – Naprawy, wymiana serwerów, praca wyspecjalizowanych informatyków, bo nie każdy pracownik IT ma zasoby, aby zmierzyć się z cyberatakami, to były niewyobrażalnie duże koszty – dodał.

Prezes Sokołowski zaznaczył, że w Polsce skala zagrożenia również się zwiększa. Pojedyncze placówki inwestują miliony złotych w zabezpieczenia, a mimo wszystko system i przeznaczone środki okazują się niewystarczające.

– Jeden z członków naszego stowarzyszenia wydał 2,5 mln zł na cyberbezpieczeństwo, a po roku znowu tyle samo, bo metody ataków stale się zmieniają. To pokazuje, że pojedynczy szpital nie jest w stanie samodzielnie utrzymać skutecznej ochrony. Bez systemowego wsparcia państwa ten wyścig stale będziemy przegrywać – ocenił prezes OSSP.

– Dlatego jako prezes Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych zacząłem szukać rozwiązań i możliwości wzmocnienia cyberbezpieczeństwa jednostek szpitalnych w kraju – dodał.

Centralna ochrona szpitali

– Nasze rozwiązanie okazało się nie dość, że skuteczne, to tanie – koszt całego systemu szpitali prywatnych wyniósł około 3 mln zł. Z tym rozwiązaniem udaliśmy się instytucji rządowych. Przekonywaliśmy ówczesnego ministra zdrowia, że jest to ostatni moment na zdecydowane reakcje. Potem ministra odwołano, a następcy nic o tym nie wiedzieli – nie znaleźli dokumentów, które wcześniej do resortu wysłaliśmy. I w ten sposób „bawimy się” od nowa – powiedział Sokołowski, podkreślajPodkreśla, że koszty cyberbezpieczeństwa, które rosną lawinowo, muszą zostać obligatoryjnie uwzględnione w wycenach procedur medycznych refundowanych przez Narodowy Fundusz Zdrowiaąc, że OSSP od lat postuluje stworzenie centralnego systemu ochrony przed cyberatakami dla całego sektora zdrowia, działającego na zasadzie wspólnego Security Operations Center.

– Rolą takiego centrum powinno być monitorowanie ruchu w sieciach placówek medycznych, analizowanie anomalii i reagowanie w trybie całodobowym – wskazał prezes OSSP.

– Od 2022 roku nic się nie dzieje. Ataki trwają. Ministerstwo i jego podległe jednostki zajmują się głównie likwidacją szkód zamiast ochroną. Nie ma czegoś takiego jak krajowy program cyberochrony, a przynajmniej nic o nim nie wiemy – zauważył.

Według Sokołowskiego rozwiązanie musi obejmować zarówno szpitale publiczne, jak i prywatne. – Pozycja sektora publicznego i prywatnego jest zupełnie inna. Jeśli sektor publiczny otrzyma pomoc, wsparcie finansowe, to prywatny już jej nie otrzyma. Państwo powinno działać kompleksowo i w interesie wszystkich placówek medycznych – stwierdził prezes OSSP.

– Pacjent leczony w szpitalu publicznym i pacjent w placówce prywatnej to ten sam obywatel, którego dane wymagają takiej samej ochrony. Jest to szczególnie istotne, ponieważ zdecydowana większość szpitali prywatnych realizuje usługi publiczne w ramach kontraktów z NFZ. W praktyce są zatem integralną częścią systemu ochrony zdrowia – zaznaczył Sokołowski.

AOTMiT powinien wycenić procedury związane z cyberochroną szpitali

Jednocześnie zwrócił uwagę na konieczność uwzględnienia kosztów z zakresu cyberbezpieczeństwa w wycenie procedur medycznych. Zdaniem Sokołowskiego resort zdrowia powinien dać zielone światło Agencji Oceny Technologii Medycznych i Taryfikacji, aby zarekomendowała taką wycenę.

– Dziś placówki muszą finansować ten obszar z własnych budżetów, mimo że jest on niezbędny do realizacji świadczeń – zaznaczył ekspert.

Ważnym uzupełnieniem ochrony stają się także specjalistyczne polisy cyberubezpieczeniowe, które pozwalają pokryć koszty obsługi incydentu, pracy ekspertów, ewentualnych kar oraz utrzymania ciągłości działania placówki.

Jednak, jak podkreślił prezes OSSP, nawet najlepsze ubezpieczenie nie zastąpi państwowego programu ochrony sektora zdrowia.

– Dziś nadal koncentrujemy się głównie na usuwaniu skutków ataków, zamiast budować krajowy system prewencji. Nie mamy uporządkowanego prawodawstwa w tym zakresie. Bez centralnego nadzoru, jasnych procedur i wspólnego centrum reagowania kolejne placówki będą zmuszone mierzyć się z tym problemem w pojedynkę – ocenił.

Kierunek – Ministerstwo Cyfryzacji 

Prezes Sokołowski przekazał, że organizacja opracowała trzy niezwykle istotne postulaty dla bezpieczeństwa systemu ochrony zdrowia w Polsce:

• ciągła edukacja kadr,
• finansowanie systemowe,
• centralny system ochrony.

Poinformował, że OSSP 17 marca zwrócił się w piśmie do ministra cyfryzacji Krzysztofa Gawkowskiego o ponowienie dialogu w sprawie systemowego wsparcia cyberbezpieczeństwa (powrót do rozmów z 2023 roku) i wdrożenia usług SOC dla polskich szpitali. OSSP przedstawiło wówczas gotowy projekt dedykowanego wsparcia dla szpitali prywatnych w celu sfinansowania i uruchomienia grupowej usługi typu MDR (Managed Detection and Response).

– System opieki zdrowotnej pozostaje dziś narażony na paraliż, a szpitale zmuszone są do nieskoordynowanych i kosztownych działań na własną rękę. Ostanie wydarzenia dobitnie udowadniają, że powrót do koncepcji współfinansowanej centralnej usługi SOC jest działaniem krytycznym dla bezpieczeństwa państwa – podkreśliło OSSP w piśmie do resortu cyfryzacji.

Pismo do Ministerstwa Cyfryzacji poniżej.

Cyberataki coraz częstszePolskie podmioty medyczne pozostają dla cyberprzestępców łatwym celem – w 2025 r. liczba incydentów zwiększyła się o 40 proc. względem 2024 r.

Przeczytaj także: „Będzie Departament Cyberbezpieczeństwa”, „Wszczęto śledztwo w sprawie cyberataku” i „Cyberatak na szpital wojewódzki – komentarze”.