Polska ochrona zdrowia znalazła się w samym środku narastającej cyberwojny. Ataki na szpitale przestają być incydentami technicznymi – coraz częściej prowadzą do paraliżu placówek, odwoływania zabiegów i realnego zagrożenia zdrowia oraz życia pacjentów. Skala problemu rośnie z roku na rok, a system wciąż pozostaje słabo przygotowany na nową rzeczywistość.

Ponad 1200 szpitali i brak realnej ochrony

W Polsce działa ponad 1200 szpitali, jednak – jak wynika z analiz polskiej spółki zajmującej się cyberbezpieczeństwem – zaledwie kilkanaście z nich korzysta z nowoczesnych systemów ochrony opartych na sztucznej inteligencji (AI). Oznacza to, że zdecydowana większość placówek medycznych funkcjonuje dziś bez realnej ochrony przed coraz bardziej zaawansowanymi cyberatakami.

„Skradzione dane pacjentów, zablokowana infrastruktura szpitala, odwołane operacje, ewakuacje oddziałów oraz wymierne straty finansowe to skutki działań cyberprzestępców” – ostrzega Przemysław Wójcik, prezes AMP S.A.

Prawie 1000 ataków w 9 miesięcy

W okresie styczeń–sierpień 2025 roku odnotowano w Polsce 946 cyberataków na placówki medyczne. Rok wcześniej było ich 632, a w 2021 roku – niespełna 400.

To nie jest tylko polski problem. Na świecie ponad 90 proc. organizacji ochrony zdrowia doświadczyło co najmniej jednego poważnego incydentu cybernetycznego w ciągu ostatnich 12 miesięcy. Światowe przykłady pokazują, że cyberataki na ochronę zdrowia nie są abstrakcyjnym zagrożeniem:

• 2021, Niemcy – pacjentka zmarła, ponieważ szpital w Düsseldorfie nie mógł jej przyjąć po ataku ransomware.
• 2023, USA – atak na sieć CommonSpirit Health doprowadził do odwołania zabiegów i utraty wyników badań.
• 2024, Francja – uniwersytecki szpital w Rouen był sparaliżowany przez tydzień.

Również w Polsce w ostatnich miesiącach doszło do ataku na jeden z krakowskich szpitali, co doprowadziło do paraliżu systemów informatycznych i przenoszenia operacji.

Dlaczego szpitale są tak atrakcyjnym celem?

Sektor ochrony zdrowia od lat znajduje się w centrum zainteresowania cyberprzestępców. Szpitale, przychodnie, laboratoria czy centra ratownictwa przetwarzają dane o najwyższym poziomie wrażliwości, a jednocześnie należą do najsłabiej zabezpieczonych elementów infrastruktury krytycznej.

„Dane medyczne pacjentów są dziś jednym z najbardziej poszukiwanych i najdroższych towarów na czarnym rynku. Zawierają nie tylko informacje o stanie zdrowia, ale także dane identyfikacyjne, numery PESEL, informacje finansowe i ubezpieczeniowe” – podkreśla Przemysław Wójcik.

W przeciwieństwie do numeru karty płatniczej, danych medycznych nie da się zmienić. Raz wykradzione mogą być wykorzystywane przez lata do kradzieży tożsamości, oszustw finansowych czy szantażu.

Paraliż szpitala w kilku krokach

Najczęściej spotykanym i najbardziej dotkliwym zagrożeniem są ataki ransomware. Mechanizm jest dobrze znany: cyberprzestępcy uzyskują dostęp do systemów IT, przez długi czas poruszają się po infrastrukturze, kradną dane, a na końcu szyfrują kluczowe systemy.

Blokowane są m.in.:

• systemy HIS, LIS, RIS, PACS,
• rejestracja pacjentów,
• dokumentacja medyczna.

Dochodzi w ten sposób do paraliżu oddziałów, odwołanych operacji, przenoszenia pacjentów do innych placówek, a w skrajnych przypadkach – realnego zagrożenie życia.

„Tylko rozwiązania wykorzystujące AI są dziś w stanie wygrać z hakerami, którzy sami korzystają ze sztucznej inteligencji, by szybciej i skuteczniej włamywać się do systemów szpitali” – dodaje Przemysław Wójcik.

Ataki wykrywane zbyt późno

Szczególnie alarmujące jest to, jak późno wykrywane są incydenty. Globalne raporty pokazują, że średni czas wykrycia cyberataku przekracza 200 dni, czyli nawet 6–7 miesięcy.

„Przez ten czas cyberprzestępcy mogą swobodnie eksplorować środowisko IT szpitala, analizować jego architekturę, eskalować uprawnienia i wyprowadzać dane pacjentów. Gdy atak zostaje wykryty, szkody są już ogromne” – ostrzega prezes AMP.

Dlaczego punktowe działania nie wystarczą?

Największym błędem placówek medycznych jest fragmentaryczne podejście do cyberbezpieczeństwa. Zakup pojedynczego systemu czy spełnienie minimalnych wymogów formalnych nie zapewnia realnej ochrony.

Szpitale pracują 24 godziny na dobę, w wielu lokalizacjach, z setkami systemów i tysiącami użytkowników. W takich warunkach bezpieczeństwo musi obejmować technologię, procedury, ludzi i organizację pracy.

AI, centra SOC i pieniądze z KPO

Kluczową rolę odgrywają dziś platformy analityczne wykorzystujące sztuczną inteligencję i uczenie maszynowe, umożliwiające stały monitoring zdarzeń oraz zespoły SOC reagujące na incydenty w czasie rzeczywistym.

Sytuację może zmienić napływ środków z Krajowego Planu Odbudowy. Granty KPO pozwalają finansować nowoczesne systemy bezpieczeństwa, monitoring 24/7 oraz centra operacyjne. Trwające przetargi o wartości 5–10 mln zł mogą znacząco poprawić cyberodporność polskich szpitali.

„Cyberbezpieczeństwo nie jest dziś kosztem. To inwestycja w bezpieczeństwo pacjentów i ciągłość działania całego systemu ochrony zdrowia” – podsumowuje Przemysław Wójcik.

‍

‍