Panel ekspertów nr 3: „Infrastruktura, technologia, cyberbezpieczeństwo – odporność szpitali na zagrożenia”

Dr n. med. Konstanty Szułdrzyński, Z-ca dyrektora ds. medycznych PIM MSWiA w Warszawie, moderator dyskusji

Jeszcze do niedawna zagrożenia związane z infrastrukturą oraz cyberbezpieczeństwem w ochronie zdrowia bywały bagatelizowane. Dziś wiemy już, że mogą one stanowić poważne ryzyko dla funkcjonowania szpitali, prowadząc nawet do ich paraliżu.

Źródła tych zagrożeń są co najmniej dwojakie. Z jednej strony mamy do czynienia z klasyczną przestępczością – atakami nastawionymi na zysk. Z drugiej strony coraz większe znaczenie zyskują działania o charakterze hybrydowym, w tym motywowane względami politycznymi celowe zakłócanie pracy placówek medycznych i infrastruktury kluczowej dla ich funkcjonowania.

Dr n. ekon. Rafał Rosiński, Podsekretarz Stanu w Ministerstwie Cyfryzacji

Polska jest obecnie jednym z krajów Unii Europejskiej najbardziej narażonych na cyberataki, a ich liczba dynamicznie rośnie. W 2024 roku odnotowano ok. 111 tys. incydentów, natomiast w 2025 roku było ich już ponad 270 tys. Około 97 proc. z nich stanowią różnego rodzaju oszustwa komputerowe.

Najgroźniejsze z punktu widzenia funkcjonowania państwa i infrastruktury krytycznej są jednak ataki typu DDoS, mające na celu destabilizację systemów, oraz ataki ransomware, polegające na blokowaniu dostępu do danych i żądaniu okupu za ich odzyskanie. Tego typu incydenty bezpośrednio dotykają także szpitale i system ochrony zdrowia.

Ministerstwo Cyfryzacji prowadzi szeroko zakrojone działania mające na celu przeciwdziałanie tym zagrożeniom – zarówno na poziomie legislacyjnym, jak i organizacyjnym. Współpracujemy m.in. z Ministerstwem Zdrowia oraz Centrum e-Zdrowia, gdzie funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa (CSIRT), odpowiedzialny za szybkie reagowanie na cyberzagrożenia w ochronie zdrowia.

Należy pamiętać, że zagrożenia cybernetyczne nie ograniczają się wyłącznie do samych szpitali. Ataki na infrastrukturę energetyczną czy wodociągową również mogą bezpośrednio wpływać na funkcjonowanie placówek medycznych. Dlatego realizujemy programy takie jak „Cyberbezpieczne wodociągi” oraz inne inicjatywy wzmacniające odporność systemową.

Działania te wpisują się również w szerszy kontekst regulacyjny na poziomie Unii Europejskiej. Przykładem jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, będąca implementacją dyrektywy NIS2, która wprowadza m.in. regulacje dotyczące dostawców wysokiego ryzyka.

Kluczowym wyzwaniem pozostaje jednak tzw. higiena cyfrowa. To człowiek jest najsłabszym ogniwem systemu – zarówno pracownicy, jak i podwykonawcy dostarczający rozwiązania technologiczne. Problemem jest także niedobór odpowiednio przeszkolonych kadr.

Dr inż. Jacek Czech, Dyrektor Biura Techniki Cyfrowej i Łączności, Rządowa Agencja Rezerw Strategicznych

RARS odpowiada za zapewnienie funkcjonowania kluczowych obszarów państwa w sytuacjach kryzysowych, a także w czasie wojny. Działania na poziomie centralnym uruchamiane mogą zostać dopiero po 72h od chwili zdarzenia, gdy wyczerpane zostaną możliwości reagowania na poziomie lokalnym i regionalnym. To tam musi następować pierwsza reakcja.

Nasza działalność opiera się przede wszystkim na długofalowym planowaniu, a nie wyłącznie na działaniach interwencyjnych. Kluczowym narzędziem jest Przyjmowany przez Rząd RP - Rządowy Plan Rezerw Strategicznych – obecnie przygotowywany na lata 2027–2031.

W jego ramach analizujemy potrzeby zgłaszane przez wojewodów i organy administracji. Wśród dostarczanych nam potrzeb widnieją podmioty lecznicze.

Jednym z nowych, istotnych kierunków jest włączenie do systemu rezerw strategicznych zasobów teleinformatycznych. Dotychczas koncentrowaliśmy się głównie na żywności, paliwach, sprzęcie medycznym czy rezerwach technicznych i specjalnych.

W sytuacjach kryzysowych zapotrzebowanie na sprzęt informatyczny może być bardzo konkretne i pilne, a jego dostępność ograniczona. Dlatego tak ważne jest systemowe podejście i stopniowe budowanie zasobów.

Warto też uznać, iż rezerwą nie musi być zawsze zakup sprzętu np. serwery, ale może też nią być np. możliwość usługi dostępu do chmury.

Równolegle istotnym obszarem pozostaje kwestia łączności. Tymczasem Polska wciąż nie dysponuje spójnym systemem łączności radiowej dla służb ratowniczych. Obecnie trwają działania mające na celu jego budowę.

Insp. Bartosz Furgała, Z-ca Komendanta Centralnego Biura Zwalczania Cyberprzestępczości

Nie jest tajemnicą, że sektor ochrony zdrowia od kilku lat znajduje się w ścisłej czołówce celów cyberprzestępców i nic nie wskazuje na to, by ten trend miał się zmienić. Jeśli chodzi o główne zagrożenia, na pierwszym miejscu należy wskazać ataki ransomware, które są dziś najbardziej dotkliwe. Przestępcy potrafią przez wiele miesięcy pozostawać niewykryci w systemach, eskalować uprawnienia, kopiować dane, a następnie je szyfrować i żądać okupu.

Drugim istotnym obszarem są fałszywe alarmy bombowe. Kolejnym elementem są ataki DDoS, obecnie w dużej mierze ograniczane, ale nadal obecne w krajobrazie zagrożeń.

Wreszcie mamy do czynienia z cyberprzestępczością ukierunkowaną na personel, opartą na socjotechnice, której celem jest uzyskanie dostępu do systemów medycznych, np. w celu generowania recept i pozyskiwania leków.

Jeśli chodzi o kluczowe działania zaradcze, najważniejszym elementem pozostaje higiena cyfrowa i edukacja. To człowiek jest najsłabszym ogniwem systemu, dlatego budowanie świadomości i odporności na socjotechnikę ma fundamentalne znaczenie.

Marzena Mrozek, Prezes Zarządu, Szpital Specjalistyczny w Kościerzynie Sp. z o.o.

Doświadczenia pandemii, w czasie której byliśmy szpitalem jednoimiennym, nauczyły nas przede wszystkim jednego: w sytuacjach kryzysowych kluczowe są elastyczność, innowacyjność i praca zespołowa. To właśnie te doświadczenia skłoniły nas do zmiany podejścia do planowania inwestycji, zwłaszcza w obszarze bezpieczeństwa energetycznego.

W ostatnich latach konsekwentnie uwzględniamy dwa kluczowe kierunki: rozwój własnych źródeł energii oraz optymalizację jej zużycia. Oznacza to m.in. inwestowanie w technologie mniej energochłonne – zarówno w infrastrukturze, jak i przy zakupie nowego sprzętu medycznego.

Zdecydowaliśmy się na budowę modelu zwiększającego autonomię energetyczną szpitala. Obejmuje on rozwój instalacji fotowoltaicznych, wykorzystanie magazynów energii oraz integrację tych źródeł z istniejącymi agregatami w ramach jednego systemu zarządzania energią. Kluczowe jest tu także wydzielenie stref funkcjonalnych – od obszarów krytycznych, takich jak SOR, OIT czy blok operacyjny, po strefy pomocnicze – i odpowiednie zarządzanie ich zasilaniem.

Równolegle prowadzimy działania modernizacyjne – zarówno w zakresie infrastruktury, jak i wyposażenia. Nowoczesna diagnostyka, energooszczędny sprzęt czy poprawa dostępności budynków przekładają się nie tylko na jakość świadczeń, ale również na efektywność energetyczną i gotowość do działania w sytuacjach zwiększonego obciążenia.

Naszym celem jest, aby szpital nie koncentrował się wyłącznie na przetrwaniu w sytuacji kryzysowej, lecz stał się aktywnym elementem infrastruktury krytycznej – zdolnym do przejęcia części zadań systemu, w tym przyjęcia pacjentów ewakuowanych z innych obszarów. Takie podejście wymaga nie tylko inwestycji, ale także świadomego planowania i wykorzystania potencjału, jakim dysponuje dana placówka.

Bezpieczeństwo energetyczne przestaje być dziś wyłącznie kwestią techniczną – staje się jednym z fundamentów odporności systemu ochrony zdrowia.

Dr n. med. Michał Zabojszcz MBA, Dyrektor SP ZOZ MSWiA w Krakowie

Coraz częściej zadaję sobie pytanie nie tylko „jak reagować”, ale „po co i jak się przygotować”. W kontekście cyberbezpieczeństwa warto mówić nie tylko o „cyberhigienie”, ale wręcz o „cyberkulturze”. Kluczowe jest systematyczne szkolenie personelu – podobnie jak w przypadku procedur medycznych czy zasad higieny. Te działania muszą być powtarzalne i konsekwentne, ponieważ najsłabszym ogniwem systemu pozostaje człowiek. To pierwsza i najważniejsza lekcja.

Drugą kwestią jest weryfikacja procedur bezpieczeństwa i ciągłości działania. Warto zadać sobie pytanie, czy jesteśmy gotowi funkcjonować bez systemów informatycznych, choćby przez 24 godziny. Takich ćwiczeń zazwyczaj nie przeprowadzamy, bo wiążą się z kosztami i ryzykiem, ale powinniśmy przynajmniej symulować takie scenariusze i sprawdzać, czy nasze procedury rzeczywiście działają w praktyce.

Trzeci obszar to korzystanie z zewnętrznego wsparcia. Utrzymanie własnych, zaawansowanych struktur bezpieczeństwa, takich jak Security Operations Center, jest możliwe tylko dla nielicznych, największych placówek. Większość szpitali powinna korzystać z dostępnych na rynku usług wyspecjalizowanych podmiotów. W naszym przypadku współpraca z partnerem technologicznym była kluczowa dla szybkiego przywrócenia systemów i powrotu do normalnego funkcjonowania.

Doświadczenia z cyberataku na nasz szpital w 2025 roku pokazały również inne istotne problemy systemowe. Jednym z nich jest uzależnienie finansowania od raportowania do NFZ. W sytuacji braku dostępu do systemów informatycznych proces ten zostaje zakłócony, co bezpośrednio wpływa na płynność finansową placówki. Wymaga to przemyślenia alternatywnych rozwiązań na poziomie legislacyjnym.

Istotny jest także nierównomierny dostęp do środków na rozwój infrastruktury IT i cyberbezpieczeństwa. Część szpitali otrzymała znaczące wsparcie, jednak wiele placówek nadal nie dysponuje odpowiednimi zasobami. Bez dedykowanego finansowania ten problem będzie się pogłębiał.

Jacek Owczarczyk, Zastępca Dyrektora ds. Medycznych, Warmińsko-Mazurskie Centrum Chorób Płuc w Olsztynie

Jak przygotować zespół na zagrożenia cybernetyczne? Przede wszystkim – systematycznie z nim pracować i szkolić go. W naszym szpitalu przeprowadziliśmy testy, które pokazały skalę wyzwania: 15% personelu otworzyło przygotowane przez nas wiadomości phishingowe, natomiast 10% uruchomiło załączniki, potencjalnie umożliwiając dostęp do systemu. To jasno pokazuje, jak ważna jest świadomość zagrożeń.

Trzeba jednak pamiętać, że personel medyczny funkcjonuje w specyficznych warunkach, pracuje pod presją czasu, w sytuacjach nagłych i stresowych. Dlatego rolą zarządzających jest nie tylko szkolenie, ale także wspieranie personelu poprzez odpowiednie rozwiązania organizacyjne i technologiczne.

W praktyce oznacza to m.in. stosowanie zabezpieczeń fizycznych i systemowych, takich jak kontrola dostępu do pomieszczeń czy automatyczne blokowanie stanowisk pracy, które minimalizują ryzyko w sytuacjach, gdy personel musi natychmiast reagować i opuszcza stanowisko. Wspieramy się także rozwiązaniami informatycznymi, w tym narzędziami opartymi na automatyzacji i przypomnieniach.

To jednak proces ciągły, obejmujący zarówno szkolenia, jak i modernizację infrastruktury. Cyberbezpieczeństwo to nie jednorazowa inwestycja, lecz stały wyścig między poziomem naszych zabezpieczeń, a możliwościami atakujących. Wymaga to regularnych aktualizacji systemów, wymiany sprzętu oraz ciągłego podnoszenia kompetencji zespołu.

Przykładem jest konieczność wymiany ponad 200 komputerów w naszym szpitalu. Sprzęt z 2018 roku nie spełniał już wymogów nowych systemów operacyjnych. Bez wsparcia z funduszy zewnętrznych, takich jak KPO, realizacja takiej inwestycji byłaby bardzo trudna.

Dlatego chciałbym zaapelować do decydentów: cyberbezpieczeństwo wymaga stabilnego i długofalowego finansowania. Nie można opierać się wyłącznie na środkach jednorazowych. Bez ciągłych inwestycji w sprzęt, systemy i ludzi nie będziemy w stanie skutecznie zabezpieczyć infrastruktury ochrony zdrowia.

Weronika Dejneka, Członek Zarządu PZU Zdrowie

Przy obecnej dynamice i kreatywności cyberprzestępców nie ma możliwości zapewnienia stuprocentowej ochrony. Możemy natomiast konsekwentnie ograniczać ryzyko i wzmacniać odporność organizacji.

W praktyce oznacza to przede wszystkim stałe inwestycje w zabezpieczenia – zarówno w oprogramowanie, jak i infrastrukturę.

Scentralizowane systemy bezpieczeństwa pozwalają nie tylko blokować ataki, ale również je obserwować i wyciągać wnioski – identyfikować słabe punkty i systematycznie je eliminować. Równie istotne jest przygotowanie personelu na sytuacje kryzysowe. Choć trudno wyobrazić sobie całkowite wyłączenie systemów w ramach ćwiczeń, doświadczenia z realnych awarii pokazują, że personel medyczny potrafi wrócić do pracy w trybie analogowym. Wyzwaniem pozostają jednak obszary administracyjne i finansowe, w których brak systemów informatycznych znacząco utrudnia funkcjonowanie.

Wyzwania dotyczą również dostawców technologii medycznych. Coraz więcej urządzeń jest podłączonych do sieci, a producenci nie zawsze spełniają wymagania w zakresie cyberbezpieczeństwa. W kontekście nadchodzących regulacji, takich jak dyrektywa NIS2, może to oznaczać istotne zmiany na rynku – nie wszyscy dostawcy będą w stanie sprostać nowym standardom.

Jednym z kierunków zwiększania odporności systemu jest centralizacja. Scentralizowane zarządzanie bezpieczeństwem, wspólne centra operacyjne (SOC) czy zunifikowane systemy monitoringu pozwalają nie tylko lepiej kontrolować sytuację, ale także optymalizować koszty. W modelu rozproszonym, szczególnie w publicznej ochronie zdrowia, jest to trudniejsze, ale potencjalne korzyści są znaczące.

Paweł Dobrzański, CSO/ Security Tribe Lead T-Mobile Polska, Członek Zarządu T-Mobile Polska Business Solutions

Czy obecny kierunek budowania cyberbezpieczeństwa w ochronie zdrowia jest właściwy? W dużej mierze tak – ale wymaga on dalszego uporządkowania i realistycznego podejścia do zagrożeń.

Cyberbezpieczeństwo należy postrzegać jako zarządzanie ryzykiem, a nie jego eliminację. Atak jest zawsze możliwy – pytanie brzmi, czy będzie opłacalny dla przestępcy. Dziś szpitale są atrakcyjnym celem, ponieważ relatywnie łatwo się do nich włamać, a dane, którymi dysponują, mają dużą wartość.

Dlatego kluczowe jest budowanie systemów odpornych na błędy – takich, które uwzględniają czynnik ludzki i minimalizują skutki potencjalnego naruszenia. W tym kontekście ogromne znaczenie ma architektura całego środowiska IT. Należy zadać sobie pytanie: czy rzeczywiście każda placówka musi samodzielnie zarządzać pełną infrastrukturą i ponosić związane z tym koszty oraz ryzyka?

Coraz bardziej racjonalnym kierunkiem wydaje się wykorzystanie zasobów zewnętrznych, w tym rozwiązań chmurowych. W sytuacji kryzysowej, zamiast odtwarzać lokalne serwery, możliwe jest szybkie przeniesienie systemów do środowiska chmurowego i przywrócenie ich działania w krótkim czasie. Utrzymywanie fizycznej infrastruktury „na zapas” – szczególnie w modelu rezerw strategicznych – wiąże się z ryzykiem jej dezaktualizacji i wysokimi kosztami utrzymania.

Dlatego współpraca z zewnętrznymi partnerami oraz korzystanie z usług typu „security as a service” może być bardziej efektywnym rozwiązaniem.

Filarem bezpieczeństwa powinna być także separacja systemów i ograniczanie ekspozycji na zagrożenia. Nie wszystkie elementy infrastruktury muszą być dostępne z poziomu Internetu. Rozwiązania takie jak prywatne sieci, np. dedykowane sieci 5G, pozwalają odseparować kluczowe procesy i zwiększyć poziom bezpieczeństwa, przy jednoczesnym podniesieniu funkcjonalności.