26 czerwca 2025

Cyberodporność w polskich podmiotach leczniczych

Na całym świecie, a więc także i w naszym kraju, sektor zdrowia jest bardzo częstym celem cyberataków. Główne zagrożenie to ransomware, bo obejmuje on aż 54% wszystkich incydentów. Choć cyberataki w obrębie sektora zdrowia to zaledwie 0,6% wszystkich zgłoszonych incydentów, to aż 19% z nich zaklasyfikowane zostało jako poważne. Co więcej, branżowi eksperci twierdzą, że dane te są niedoszacowane ze względu na niską wykrywalność ataków.

Do jednego z najgłośniejszych incydentów w Polsce należy atak ransomware LockBit 3.0 na Instytut Centrum Zdrowia Matki Polki w Łodzi (październik/listopad 2022), podczas którego zaszyfrowano dane produkcyjne i repozytoria backupów. Z dużą dozą prawdopodobieństwa w ramach tego incydentu nastąpił również spory wyciek danych osobowych, których administratorem było Centrum. Inny przykład to atak ransomware na Szpital MSWiA w Krakowie (marzec 2025), gdzie celem był system obsługujący dokumentację medyczną. W tym przypadku nastąpiło naruszenie ochrony danych osobowych i zakłócenie ciągłości działania placówki.

Krajowy Plan Odbudowy i Zwiększania Odporności

Sektor Ochrony Zdrowia stanął przed dużym wyzwaniem jakim jest wzmocnienie cyberodporności - co przy ograniczeniach budżetowych i niedoborach kadrowych oraz bez zewnętrznego wsparcia może okazać się misją niemożliwą. Na szczęście, mamy nową odsłonę Krajowego Planu Odbudowy i Zwiększania Odporności (KPO) w ramach którego, Ministerstwo Zdrowia wyasygnowało środki na ten cel w wysokości 3,131 miliarda złotych. Wsparcie to ma pomóc w implementacji zaawansowanych rozwiązań cyberbezpieczeństwa w podmiotach leczniczych. W katalogu dotyczącym kwalifikowalności wydatków w ramach D1.1.2 znaleźć możemy zwyczajowo: oprogramowanie, sprzęt, usługi zewnętrzne, szkolenia, a nawet chmurę obliczeniową typu IaaS, SaaS i PaaS (8.2 Usługi Zewnętrzne, viii.). W praktyce, możliwości inwestycyjne są bardzo szerokie, o ile tylko zwiększą one poziom cyberbezpieczeństwa jednostki leczniczej (wskaźnik D21G), a co za tym idzie, zabezpieczą przetwarzanie elektronicznej dokumentacji medycznej.

Założenia i nabór do programu KPO D1.1.2

Możemy już też podsumować ostatni nabór do programu ,,Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia" (KPOD.07.03-IP.10-001/25), który zakończył się 29 maja 2025 roku i objął aż 495 złożonych wniosków. Finansowanie sięga maksymalnie 6 milionów złotych dla szpitali I stopnia, przy 100% pokryciu kosztów kwalifikowanych z funduszy KPO. Program wymaga 3-letniego okresu trwałości projektu, co oznacza długoterminowe zobowiązanie do utrzymania implementowanych rozwiązań z obszaru cyberodporności. Aby otrzymać dotację, każdy beneficjent musi zrealizować cztery obowiązkowe zakresy, w tym kluczowy zakres cyberbezpieczeństwa wymagający wdrożenia środków bezpieczeństwa, zgodnie z ankietą weryfikacji dojrzałości cyberbezpieczeństwa (tutaj tabela z ankiety dla obszaru kopii zapasowych).

Fundamenty ochrony danych medycznych

Budowanie cyberodporności w polskim podmiocie leczniczym powinno zostać oparte o wdrożenie kompleksowego systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami RODO, NIS2. W scenariuszu idealnym istotnym elementem byłoby przejście certyfikacji bezpieczeństwa informacji zgodnej z ISO 27001, ale jest to ogromnym przedsięwzięciem dla jednostki leczniczej.

Wersja minimalistyczna, bez wdrażania systemów jakości, to implementacja najlepszych praktyk ITIL oraz posiadanie Planu Odtwarzania Awaryjnego. W centrum uwagi powinny znaleźć się w tym konteście dane i ich aktywna ochrona, w tym szyfrowanie i anonimizacja danych medycznych. Krytyczne jest też posiadanie systemu backupu oraz nienaruszalnych kopii zapasowych odpornych na modyfikacje czy usunięcie. W budowaniu cyberodporności pomagają także:

• Bezpieczna architektura systemów IT z segmentacją systemów klinicznych i administracyjnych;
• Szkolenia personelu medycznego w zakresie rozpoznawania zagrożeń cybernetycznych, szczególnie phishingu i socjotechnik jako głównych wektorów ataków;
• Wieloczynnikowa autentykacja wszystkich użytkowników.

Podmiot powinien posiadać także aktualny plan reagowania na incydenty, przeprowadzać regularne audyty bezpieczeństwa oraz testy odzyskiwania danych, a także zarządzać ryzykiem dostawców zewnętrznych poprzez odpowiednie umowy i weryfikację ich zabezpieczeń.

Wymagania prawne i regulacje

1. Implementacja RODO w jednostkach medycznych

Dane zdrowotne sklasyfikowane jako ,,dane wrażliwe" zgodnie z artykułem 9 RODO wymagają wzmocnionej ochrony. Polskie podmioty lecznicze muszą więc wdrożyć techniczne i organizacyjne środki bezpieczeństwa obejmujące szyfrowanie, kontrolę dostępu, audyt i logowanie oraz regularne oceny bezpieczeństwa.

UODO zatwierdził w grudniu 2022 ,,Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych", zapewniając szczegółowe wytyczne dla mniejszych podmiotów leczniczych.

2. Dyrektywa NIS2 i jej wpływ na służbę zdrowia

Implementacja dyrektywy NIS2 w Polsce (opóźniona do II kwartału 2025), klasyfikuje dostawców usług zdrowotnych jako ,,podmioty istotne" (zatrudnienie 250+ pracowników i obrót roczny €50M+) lub ,,podmioty ważne" (50+ pracowników i €10M+ obrót).

Kluczowe obowiązki obejmują implementację Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnie z standardami PN-EN ISO/IEC 27001 i ISO 22301, obligatoryjne raportowanie incydentów oraz regularne audyty co dwa lata.

3. Przepisy dotyczące urządzeń medycznych

Rozporządzenie UE w sprawie wyrobów medycznych (MDR) wymaga uwzględnienia cyberbezpieczeństwa w dokumentacji technicznej, z ciągłym monitorowaniem podatności i zarządzaniem ryzykiem zgodnie ze standardami ISO 14971 i IEC 62304.

Rozwiązania Veeam dla podmiotów leczniczych

Veeam Backup & Replication, czyli backup i odtwarzanie

Flagowy produkt firmy Veeam to system backupu, który oferuje kompleksową ochronę środowisk wirtualnych, fizycznych i chmurowych z zaawansowanym wykrywaniem złośliwego oprogramowania wykorzystującym analizę entropii i skanowanie YARA. Rozwiązanie to zapewnia szyfrowanie AES256 dla kopii w repozytoriach i kopii podczas transmisji, co jest ważne dla spełnienia wymagań RODO dotyczących ochrony danych wrażliwych.

Dla polskich podmiotów leczniczych szczególnie istotna jest natywna integracja z systemami EHR, takimi jak Epic, Cerner i Allscripts, oraz wsparcie dla systemów PACS do zarządzania obrazowaniem medycznym. Rozwiązanie umożliwia staged restore, co wspiera obowiązki compliance, takie jak ,,prawo do bycia zapomnianym" przy jednoczesnym zachowaniu starszych punktów kopii zapasowych.

Veeam ONE dla monitoringu i zgodności z przepisami

Drugi produkt, który wprowadza proaktywność w procesie ochrony danych to Veeam ONE. Aplikacja dostarcza ponad 340 predefiniowanych alarmów i 150 gotowych raportów umożliwiających monitorowanie infrastruktury IT w czasie rzeczywistym. Dla sektora zdrowia kluczowe są „dashboardy compliance” wspierające raportowanie zgodności z RODO, NIS2 i innymi regulacjami.

System automatycznie prezentuje rekomendacje wzmocnienia infrastruktury i śledzenie zmian konfiguracji w infrastrukturze kopii zapasowych i wirtualnej, co jest niezbędne dla utrzymania ciągłości operacyjnej w krytycznych środowiskach medycznych. Stałe monitorowanie infrastruktury do wykonywania kopii zapasowych zapobiega naruszeniom bezpieczeństwa i atakom na backup.

Veeam Recovery Orchestrator dla ciągłości biznesowej

Wisienkę na torcie stanowi Veeam Recovery Orchestrator, który potrafi automatycznie zrealizować wcześniej zaplanowany proces przełączenia na środowisko zapasowe (failover) i powrotu do przetwarzania na środowisku podstawowym (failback). System realizuje pełną orkiestrację operacji z predefiniowanymi przepływami pracy dla różnych scenariuszy awarii. Dla służby zdrowia szczególnie wartościowe są wyizolowane środowiska odzyskiwania (IRE) w chmurze, które chronią przed ransomware poprzez rozdzielenie domen autoryzacji.

Rozwiązanie oferuje specjalistyczne przepływy dla odzyskiwania systemów Epic i Cerner oraz automatyczne sprawdzanie poprawności aplikacji po odzyskiwaniu, co zapewnia szybki powrót do pełnej funkcjonalności.

Ile kosztuje wdrożenie Veeam Data Platform w podmiocie leczniczym?

Nakłady na system backupu stanowiący fundament cyberodporności zależą rzecz jasna od wielkości chronionego systemu informatycznego. Kluczowe zmienne mające wpływ na koszt to: liczba chronionych systemów, ich rodzaj oraz zajmowana przestrzeń przez dane i systemy. Poniżej przedstawimy przykład wyliczenia dla średniej wielkości szpitala w Polsce.

W wycenie uwzględniono, że szpital korzysta z wirtualizacji i posiada 70 wirtualnych maszyn, jak również 5 serwerów fizycznych. Obliczono zapotrzebowanie na repozytorium backupu na podstawie zajętości pamięci masowej repozytoriów produkcyjnych z uwzględnieniem retencji 30 dni i użyciem kompresji oraz deduplikacji zaimplementowanej na poziomie aplikacji Veeam Backup & Replication. Wybrano licencję Veeam Data Platform Advanced (VDP). Uwzględniono także zakup dedykowanego serwera, który pełnił będzie rolę lokalnego nienaruszalnego repozytorium dla kopii zapasowych oraz zakup usługi zewnętrznej BaaS, w tym przypadku licencji na VDP oraz repozytorium wyniesionego na off-site backup. Jest też wdrożenie systemu wraz ze stworzeniem polityki backupu oraz szkolenie.

1. System backupu oraz monitoringu do realizacji kopii wyniesionej z licencją i usługa off-site backup na 36 miesięcy
   1. Licencja Veeam Backup & Replication Enterprise Plus
      1. Serwery fizyczne - 5 szt. 
      2. Maszyny wirtualne - 70 VM
   2. Licencja Veeam ONE
      1. Monitorowane serwery – 75 szt.
   3. Repozytoria na kopie zapasowe
      1. Repozytorium lokalne (Linux Hardened Repository) – 100TB
      2. Repozytorium wyniesione w centrum danych (off-site backup) - 50 TB
   4. Panel Usługi Backup as a Service (BaaS)
2. Wdrożenie systemu backupu na infrastrukturze zapewnionej przez Zamawiającego
3. Instruktaż stanowiskowy (1 dzień)

Całkowita wartość inwestycji: 398 300 zł netto (489 909 brutto)

Wdrożenie całości rozwiązania, wliczając w to czas potrzebny na realizację dostawy lokalnej pamięci masowej oraz licencji, to maksymalnie miesiąc od momentu zamówienia.

Większa cyberodporność dzięki dotacjom

Choć samo budowanie cyberodporności nie kończy się na inwestycjach, a do tego bardzo mocno zależy od przebudowy procesów oraz wdrażania całych systemów i najlepszych praktyk w zakresie bezpieczeństwa, to jednak wsparcie poprzez bezzwrotną dotację w ramach programu KPO D1.1.2 jest sporą szansą na wzmocnienie cyberbezpieczeństwa w polskich podmiotach leczniczych.

Współczesne rozwiązania techniczne sprzyjają budowaniu bezpiecznych organizacji i dostarczają dojrzałe cybernetycznie rozwiązania do szybkiej implementacji. Przykładem jest chociażby Veeam Data Platform jako kompleksowa platforma wspierająca wymagania programu KPO, zapewniając ochronę przed ransomware, zgodność z regulacjami i ciągłość biznesową.

Sukces implementacji będzie zależał od skutecznego wdrażania ram regulacyjnych oraz ciągłych inwestycji w możliwości cyberbezpieczeństwa. Podmioty lecznicze, które proaktywnie zainwestują w cyberodporność, będą lepiej przygotowane do ochrony danych pacjentów i utrzymania ciągłości opieki zdrowotnej w coraz bardziej zagrożonym na ataki środowisku cybernetycznym.

Jeżeli chcesz porozmawiać o wdrożeniu Veeam Data Platform w swojej jednostce, wyślij zgłoszenie, a skontaktujemy Cię bezpośrednio z naszym managerem produktu Backup as a Service.