Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie padł ofiarą cyberataku typu ransomware. Część danych została zaszyfrowana, a placówka musiała przejść na papierowy tryb pracy. Szpital zapewnia jednak, że zdrowie i życie pacjentów nie są zagrożone.
Do incydentu doszło w nocy z 7 na 8 marca. Cyberprzestępcy zainfekowali system informatyczny szpitala i zaszyfrowali część danych, blokując do nich dostęp. W odpowiedzi placówka wdrożyła procedury awaryjne i tymczasowo funkcjonuje bez systemów informatycznych.
Jak poinformował rzecznik szpitala Tomasz Owsik-Kozłowski, przyjęcia pacjentów nie zostały wstrzymane, jednak wszystkie procedury medyczne i administracyjne trwają obecnie dłużej. Szpital apeluje, aby w miarę możliwości pacjenci korzystali z innych placówek.
O zdarzeniu poinformowano odpowiednie służby, które analizują incydent.
Eksperci zwracają uwagę, że sektor ochrony zdrowia jest jednym z częstszych celów cyberataków. Co stoi za ich nasileniem?
„Czynników jest kilka. Jako jeden z nich można wymienić rozwój modelu Ransomware as a Service. Wyspecjalizowane grupy tworzą złośliwe oprogramowanie i udostępniają je atakującym. Obniża to „próg wejścia” i sprawia, że nawet mało zaawansowani technicznie przestępcy mogą przeprowadzać skuteczne ataki. Widzimy też ewolucję samych metod nacisku i coraz częstsze stosowanie modelu podwójnego wymuszenia (Double Extortion). Przestępcy nie ograniczają się już tylko do szyfrowania danych; kluczowym etapem ataku jest ich kradzież przed zablokowaniem dostępu. W takim scenariuszu posiadanie kopii zapasowej przestaje być wystarczającą linią obrony, ponieważ ofiara i tak jest szantażowana groźbą upublicznienia wrażliwych informacji” – stwierdził Kamil Sadkowski, ekspert cyberbezpieczeństwa ESET. „Z drugiej strony, w obecnej sytuacji geopolitycznej Polska jest celem wzmożonej aktywności profesjonalnych, wysoko zorganizowanych grup powiązanych z rządami (tzw. grup APT). Ataki na infrastrukturę krytyczną są jednym z podstawowych sposobów ich działania, czego przykładem może być chociażby grudniowy atak na polską infrastrukturę ciepłowniczą. Możemy się spodziewać, że powszechność tych incydentów będzie rosła, a Polska będzie stawać się coraz częstszym celem grup APT” – dodał.
Tego rodzaju ataki są też oczywiście impulsem, aby inwestować w ochronę infrastruktury.
„Trzeba to robić z myślą o minimalizacji szansy na wystąpienie jakiegokolwiek zdarzenia, zwłaszcza takiego które spowoduje przestój w funkcjonowaniu placówki, działającej w tak krytycznym sektorze jak ochrona zdrowia. Jest to tym bardziej istotne wobec realiów, w jakich funkcjonujemy – obok cyberprzestępczości motywowanej chęcią zysku finansowego, intensywnie działają grup hackerskie działające na zamówienie państwa. O zawrotnym tempie wzrostu zagrożeń świadczą dane, choćby Centrum e-Zdrowia, które wskazuje, że w okresie styczeń-sierpień 2025 liczba incydentów związanych w szpitalach i przychodniach była o połowę wyższa niż rok wcześniej” – skomentował Aleksander Kostuch, inżynier Stormshield. „Ważne pozostaje pytanie, czy incydent objął także kradzież szpitalnej bazy danych. Taki scenariusz oznaczać może z jednej strony próbę szantażu ze strony cyberprzestępców, którzy zagrożą udostępnieniem danych w darknecie. Z drugiej możliwość nałożenia kary finansowej przez UODO na placówkę, co nie wyklucza także składania cywilnych skarg przez pacjentów” – podsumował.
