Bezpieczeństwo infrastruktury krytycznej w ochronie zdrowia to proces, który nigdy się nie kończy. Menadżerowie powinni traktować bezpieczeństwo jako priorytet strategiczny, wdrażać najlepsze praktyki i dbać o edukację personelu - przekonuje dr Waldemar Szymański, specjalista w zakresie prawa nowych technologii, ochrony danych i zagrożeń cybernetycznych.

Współczesna ochrona zdrowia stoi przed bezprecedensowymi wyzwaniami związanymi z bezpieczeństwem infrastruktury krytycznej

Szpitale oraz placówki medyczne, jako elementy tej infrastruktury, są narażone na zagrożenia hybrydowe, cybernetyczne i wojenne, które mogą prowadzić do destabilizacji usług publicznych, a w skrajnych przypadkach – bezpośrednio zagrażać życiu i zdrowiu pacjentów

Menadżerowie podmiotów leczniczych powinni traktować bezpieczeństwo jako priorytet strategiczny, wdrażać najlepsze praktyki i dbać o edukację personelu, aby skutecznie chronić pacjentów, dane oraz kluczowe zasoby placówek

Zagrożenia hybrydowe i cybernetyczne – definicje i przykłady

Zagrożenia hybrydowe to połączenie działań militarnych, cybernetycznych oraz dezinformacyjnych, których celem jest destabilizacja funkcjonowania państwa lub organizacji. W sektorze zdrowia szczególnie niebezpieczne są ataki ransomware, phishing, kradzież danych pacjentów oraz kampanie dezinformacyjne w mediach społecznościowych. Przykłady z ostatnich lat pokazują, że polskie szpitale wielokrotnie padały ofiarą cyberataków, które paraliżowały systemy informatyczne, wymuszały pracę w trybie awaryjnym i prowadziły do opóźnień w realizacji usług medycznych.

Integracja IT i OT – korzyści i ryzyka

Nowoczesne placówki medyczne integrują systemy informatyczne (IT) z technologiami operacyjnymi (OT), takimi jak monitory parametrów życiowych, pompy infuzyjne czy systemy lokalizacji pacjentów. Integracja ta usprawnia przepływ informacji, poprawia diagnostykę i bezpieczeństwo pacjentów, ale jednocześnie zwiększa powierzchnię ataku dla cyberprzestępców.

Wyzwania prawne i organizacyjne

Prawo krajowe i unijne nakłada na podmioty lecznicze szereg obowiązków w zakresie cyberbezpieczeństwa. Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) oraz implementacja Dyrektywy NIS2 wymagają zgłaszania incydentów, wdrażania procedur ochrony danych oraz współpracy z zespołami reagowania na incydenty (CSIRT NASK, CSIRT GOV, CSIRT MON). Równocześnie ustawa o zarządzaniu kryzysowym definiuje infrastrukturę krytyczną jako systemy i obiekty kluczowe dla bezpieczeństwa państwa, w tym ochronę zdrowia i ratownictwo.

Warto podkreślić, że szpitale nie są standardowo wymieniane jako obiekty szczególnie ważne dla obronności państwa, ale mogą być nimi uznane decyzją Rady Ministrów, zwłaszcza jeśli pełnią strategiczną rolę w magazynowaniu i dystrybucji leków czy artykułów sanitarnych.

Praktyczne rekomendacje dla menadżerów

1. Zarządzanie ryzykiem cybernetycznym – wdrożenie systemów zarządzania tożsamością i dostępem (IAM), uwierzytelnienie dwuskładnikowe (MFA), zasada najmniejszych uprawnień.

2. Szyfrowanie danych i kopie zapasowe – stosowanie zasady 3-2-1 w backupach, szyfrowanie end-to-end, regularne testowanie kopii zapasowych i przechowywanie ich offline.

3. Segmentacja sieci – oddzielenie sieci medycznych od biurowych, ograniczanie lateralnego ruchu atakującego.

4. Bezpieczeństwo urządzeń medycznych IoT – kontrola dostępu, monitorowanie telemetrii, segmentacja urządzeń.

5. Plan ciągłości działania (BCP) i plan odbudowy po awarii (DRP) – określenie kluczowych procesów, procedury przywracania danych i systemów, testy odzyskiwania.

6. Edukacja i świadomość personelu – regularne szkolenia phishingowe.

7. Audyty i testy penetracyjne – systematyczne sprawdzanie odporności systemów, dokumentacja i wdrażanie zaleceń.

8. Współpraca z administracją publiczną – raportowanie incydentów do CSIRT i RCB, koordynacja działań kryzysowych.

Kluczowe lekcje po incydencie

Prewencja jest ważniejsza niż reakcja. Po każdym incydencie należy przeprowadzić analizę, zgłosić zdarzenie do odpowiednich instytucji (CSIRT, UODO), poinformować pacjentów i media, a także wdrożyć wnioski z incydentu do procedur wewnętrznych.

Bezpieczeństwo infrastruktury krytycznej w ochronie zdrowia to proces, który nigdy się nie kończy. Wymaga ciągłego podnoszenia kompetencji, aktualizacji procedur oraz współpracy między instytucjami. Jak podkreślił ekspert ds. kryptografii Bruce Schneier: „Bezpieczeństwo to proces, nie produkt”.

Menadżerowie podmiotów leczniczych powinni traktować bezpieczeństwo jako priorytet strategiczny, wdrażać najlepsze praktyki i dbać o edukację personelu, aby skutecznie chronić pacjentów, dane oraz kluczowe zasoby placówek.

Artykuł powstał na podstawie nagrania i materiałów z webinaru EIBMedMeets „Ochrona infrastruktury krytycznej w dobie zagrożeń hybrydowych, cybernetycznych i wojennych”z 15 października 2025 r., zorganizowanego w ramach cyklu #EIBMedMeets'25/26 z inicjatywy EIB SA – brokera współpracującego z podmiotami leczniczymi w Polsce.

Spotkanie poprowadził dr Waldemar Szymański, prokurator, wykładowca akademicki, specjalista w zakresie prawa nowych technologii, ochrony danych i zagrożeń cybernetycznych.

Artykuł ukazał się w Portalu Rynek Zdrowia 7.11.2025 do przeczytania tutaj.