Szpital w Krakowie po ataku hakerskim. Jeden oddział ma nadal problemy

W sobotę szpital MSWiA w Krakowie stał się celem cyberataku, o czym dzień później poinformował m.in. wicepremier, minister cyfryzacji Krzysztof Gawkowski. Szef MSWiA, minister koordynator służb specjalnych Tomasz Siemoniak przekazał z kolei, że "natychmiastowe działanie służb zapewniło bezpieczeństwo placówce".

W wyniku cyberataku przestał działać główny szpitalny system komputerowy, obsługujący system dokumentacji medycznej. Placówka w dużej mierze funkcjonuje już normalnie, wciąż jednak jest kilka ważnych utrudnień. Najpoważniejsze z nich to wstrzymanie przyjęć planowych na oddział neurologii.

- To wynika z pewnych jeszcze opóźnień, które mamy na poziomie diagnostyki obrazowej. Natomiast wszystkie pozostałe oddziały, wszystkie poradnie pracują w sposób w miarę normalny. Wszyscy pacjenci, którzy mieli w dniu dzisiejszym ustalone terminy przyjęć, zostali przyjęci. Wszystkie zabiegi, które miały się dzisiaj odbyć (…) się odbędą. Jeśli ktoś miał zaplanowany termin przyjęcia do naszego szpitala w tym tygodniu czy w przyszłym, nic nie wskazuje na to, żebyśmy musieli jakiekolwiek przyjęcia, zabiegi odwoływać - powiedział w poniedziałek na konferencji prasowej dyrektor szpitala, dr n. med. Michał Zabojszcz.

Czytaj także: Działają "jak zorganizowana przestępczość", "zarabiają miliardy". Ekspert ostrzega

- Izba przyjęć działa w trochę ograniczonym zakresie i jeszcze pacjenci w stanie ostrym nie są do nas przywożeni przez karetki. Mam nadzieję, że w godzinach wieczornych funkcjonalność zostanie w pełni odtworzona i w tym zakresie wrócimy do normalnej pracy - zaznaczył dyrektor szpitala MSWiA. Podkreślił, że zdrowiu i życiu pacjentów nic nie zagraża. - Jeżeli ktoś wymaga pomocy i zgłosi się sam do izby przyjęć, pomoc zostanie mu w pełnym zakresie udzielona - dodał.

- Lekarze są w stanie wystawiać recepty i skierowania i zwolnień lekarskich. Odtwarzamy analogową centralę, żeby dało się do nas dodzwonić do rejestracji. Jeśli ktoś chce u nas zapisać się na planowy zabieg, nie jesteśmy w stanie wyznaczać terminów, więc pobieramy dane od takiej osoby i jak tylko będziemy gotowi, żeby to robić, będziemy kontaktować się z pacjentami - poinformował dyrektor Zabojszcz.

Pytany o to, jak władze lecznicy zauważyły, że doszło do cyberataku, dyrektor powiedział, że jako pierwsza problem dostrzegła lekarka, która o sprawie powiadomiła dyrekcję. Na miejsce wezwany został informatyk, który po około 20 minutach był już na miejscu i po zalogowaniu się do systemów zobaczył informację o ataku ransomware, czyli polegającym na szyfrowaniu danych i żądaniu za nie okupu. - To, co widzieliśmy na komputerze, to dość standardowy komunikat ransomware’owy, wskazujący na sposób komunikacji celem przekazania okupu i odzyskania informacji - powiedział dyrektor. Komunikat ma brzmieć: "jeżeli chcesz odzyskać dane, skontaktuj się z nami" w określony przez hakerów sposób.

Dr Michał Zabojszcz, pytany, czy doszło do wycieku danych pacjentów, stwierdził, że nie ma takiego potwierdzenia, jednak jest to prawdopodobne. - Nie wiemy, kto i w jaki sposób dostał się do naszego systemu - przyznał.

- Nie ma tutaj przypadku i na pewno ktoś, kto tego dokonał, nie jest amatorem. Mamy tego pełną świadomość. Natomiast służby, które odpowiadają za bezpieczeństwo i potencjalne ujęcie tego sprawcy, też do amatorów nie należą i jestem głęboko przekonany, że sobie poradzimy - podkreślił na konferencji wojewoda małopolski Krzysztof Klęczar.

W krakowskim szpitalu przebywa obecnie około 100 pacjentów.

O sprawie mówił też w niedzielę na konferencji wicepremier, minister cyfryzacji Krzysztof Gawkowski.

- Adwersarze próbowali przejąć infrastrukturę krytyczną, ale szybka reakcja szpitala i służb doprowadziła do tego, że już część systemów działa. (...) Była sytuacja, w której pacjenci nie byli przyjmowani do szpitala, ale to wszystko już jest naprawiane, są nowe serwery, administracja już podnosi się - wyjaśnił.

Dodał, że "część szpitala, szczególnie ta administracyjna, działa w trybie awaryjnym, można powiedzieć papierowym, czyli trzeba dostarczać dokumenty w trybie papierowym". - To jest nic nadzwyczajnego, bo szpital był dobrze zinformatyzowany, ale procedury się trochę wydłużyły. Nie ma zagrożenia dla życia pacjentów, ale będziemy też starali się odtwarzać te systemy, które jeszcze nie działają - powiedział Gawkowski.

Szef resortu cyfryzacji zaznaczył, że "nie możemy zapominać: Polska jest dzisiaj najbardziej atakowanym państwem w Unii Europejskiej". Dziennie zgłaszanych "jest czasami dwa tysiące, czasami więcej” ataków, a takich wymagających reakcji służb "dwieście, trzysta".

- To oznacza, że w miesiącu mamy sześćdziesiąt tysięcy zgłoszeń i piętnaście tysięcy spraw, które się toczą. I jeżeli nałożymy na to kilka ataków, które się udaje, to też tego nie ma zbyt wiele, ale jednocześnie ważne, żeby wszystkich uprzedzać. Cyberprzestrzeń stała się miejscem wojny i często jest to wojna ze strony Rosjan, którzy specjalnie ją wywołują - podkreślił.

Na koniec wicepremier dodał, że atak nie miał związku z infrastrukturą medyczną.

Sektor ochrony zdrowia jest szczególnie podatny na cyberzagrożenia ze względu na szybki rozwój technologii, cyfryzację danych medycznych oraz rosnącą liczbę urządzeń IoMT (ang. Internet of Medical Things, jest to połączona infrastruktura urządzeń medycznych, aplikacji oraz systemów i usług zdrowotnych).

- Cyfryzacja przynosi rewolucję w ochronie zdrowia, umożliwiając lepszą obsługę pacjentów dzięki innowacjom, takim jak elektroniczne bazy danych i teczki zdrowotne pacjentów, telemedycyna i diagnostyka oparta na sztucznej inteligencji. Jednak cyberataki mogą opóźniać procedury medyczne, powodować zatory w izbach przyjęć oraz zakłócać usługi niezbędne do życia, co w skrajnych przypadkach może mieć bezpośredni wpływ na życie pacjentów – podkreśla w komentarzu przesłanym redakcji Wojciech Głażewski, Dyrektor Zarządzający Check Point Software Polska.

To już kolejny atak na placówkę medyczną w Polsce w tym roku. Tymczasem w 2024 roku Polska zanotowała najwyższy wzrost liczby cyberataków na sektor medyczny - 1028 incydentów. To 2,5 raza więcej niż w 2023 roku – wynika z danych Centrum E-Zdrowia (CEZ). Światowy sektor ochrony zdrowia też zmaga się z narastającym zagrożeniem cyberprzestępczości. Według raportu firmy Check Point Research, w 2024 roku na całym świecie zanotowano 47 proc. wzrost liczby ataków na placówki medyczne.

W 2024 roku ochrona zdrowia stała się drugą najbardziej atakowaną branżą na świecie. Jak wskazuje analiza Centrum E-Zdrowia (CEZ), liczba ataków w 2024 roku przewyższyła łączną liczbę incydentów z trzech poprzednich lat. Eksperci wskazują na istotny aspekt – jak wynika z analiz Centrum e-Zdrowia 2024 "Badanie stopnia informatyzacji podmiotów wykonujących działalność leczniczą", w Polsce ponad 72 proc. placówek nie dysponuje zespołami ds. cyberbezpieczeństwa.

Eksperci wskazują, że sektor medyczny jest szczególnie narażony na ataki typu ransomware (wymuszających okup), kradzież danych czy ataki na urządzenia medyczne zintegrowane z Internetem Medycznych Rzeczy (IoMT). Tylko w 2024 roku liczba ataków na sprzęt i urządzenia IoMT wzrosła o 170 proc., co stawia pod znakiem zapytania bezpieczeństwo pacjentów oraz integralność systemów medycznych.

Sytuacja jest tym bardziej alarmująca, że w Polsce zaledwie 25 proc. firm z sektora ochrony zdrowia zapewniło w ostatnich 12 miesiącach szkolenia w zakresie cyberbezpieczeństwa. To ma się zmienić. Jak wynika z ostatnich wypowiedzi Ministerstwa Cyfryzacji, planowane są zintegrowane działania służb odpowiedzialnych za cyberbezpieczeństwo, w tym CERT Polska, Centrum eZdrowie i Centralnego Biura Zwalczania Przestępczości.

Brak odpowiednich działań w tej kwestii prowadzi do znacznych strat finansowych i opóźnień w świadczeniu usług medycznych. Dane medyczne są cenne dla cyberprzestępców, ponieważ informacje o zdrowiu, diagnozach i leczeniu mogą zostać wykorzystane do oszustw ubezpieczeniowych, kradzieży tożsamości lub szantażu. Średni koszt naruszenia bezpieczeństwa instytucji medycznej w 2024 roku wyniósł 9,8 miliona dolarów - wynika z raportu IBM i Ponemon.

Komisja Europejska podjęła już działania na poziomie UE, tworząc Centrum Wsparcia Cyberbezpieczeństwa w ramach agencji ENISA, które ma pomóc placówkom ochrony zdrowia w zabezpieczaniu danych i systemów przed cyberzagrożeniami. Zgodnie z Dyrektywą NIS2 sektor medyczny uznawany jest za obszar o wysokim ryzyku, co wiąże się z wprowadzeniem obowiązkowych wymagań dotyczących cyberbezpieczeństwa. Dodatkowo Komisja Europejska planuje rozwój okołounijnych usług ostrzegania o zagrożeniach do 2026 roku.