W 2025 r. w sektorze zdrowia odnotowano 1441 incydentów cyberbezpieczeństwa, w tym 5 incydentów poważnych oraz 8 ataków ransomware. To wzrost o ponad 60% w stosunku do 2024 r. Najczęściej pojawiały się oszustwa komputerowe, podatne usługi, wycieki poświadczeń i szkodliwe oprogramowanie. Za tymi kategoriami kryją się bardzo konkretne ryzyka: phishing w ochronie zdrowia, nieaktualne systemy, publicznie dostępne panele logowania, brak MFA, źle skonfigurowana poczta i kopie zapasowe, które istnieją, ale nigdy nie zostały sprawdzone w praktyce.
Cyberatak w placówce medycznej to już nie scenariusz awaryjny. Raport CSIRT CeZ pokazuje, co wymaga natychmiastowej uwagi

Czasem wystarczy fałszywy SMS, wiadomość podszywająca się pod NFZ, link do strony przypominającej system EDM albo przejęte dane logowania pracownika. Raport roczny CSIRT CeZ za 2025 r. pokazuje, że cyberbezpieczeństwo placówki medycznej jest dziś jednym z warunków ciągłości leczenia, dostępu do dokumentacji i bezpieczeństwa danych pacjentów.
Z tego artykułu dowiesz się:
- jakie incydenty cyberbezpieczeństwa najczęściej dotykały sektor ochrony zdrowia w 2025 r.,
- dlaczego phishing w ochronie zdrowia jest jednym z najpoważniejszych ryzyk dla placówek medycznych,
- jak fałszywe wiadomości mogą prowadzić do przejęcia danych logowania,
- dlaczego ransomware w szpitalu lub przychodni uderza nie tylko w system IT,
- jakie błędy techniczne i organizacyjne najczęściej zwiększają ryzyko cyberataku,
- dlaczego kopie zapasowe, MFA, segmentacja sieci, polityka bezpieczeństwa i szkolenia personelu nie są już dodatkiem, ale elementem odporności organizacyjnej.
Cyberbezpieczeństwo placówki medycznej – raport CSIRT CeZ pokazuje skalę problemu
W 2025 r. CSIRT CeZ obsłużył 1441 incydentów bezpieczeństwa w sektorze zdrowia. Wśród nich znalazło się 5 incydentów poważnych oraz 8 ataków z wykorzystaniem ransomware. Dane pokazują wyraźny wzrost zagrożeń – o ponad 60% wobec roku poprzedniego.
To ważny sygnał dla całego sektora. Cyberbezpieczeństwo placówki medycznej nie jest już osobnym, technicznym zagadnieniem zamkniętym w gabinecie administratora. Dotyczy dostępu do dokumentacji medycznej, pracy rejestracji, wystawiania e-recept, komunikacji z pacjentami, rozliczeń, harmonogramów, pracy personelu i ciągłości udzielania świadczeń.
Czytaj więcej: Konsekwencje cyberataku w placówce medycznej
Raport CSIRT CeZ warto więc czytać nie jak statystyczne podsumowanie roku, ale jak mapę słabych punktów. Pokazuje, gdzie cyberatak może zacząć się najłatwiej i które elementy codziennej organizacji pracy mogą zdecydować o tym, czy incydent pozostanie zdarzeniem kontrolowanym, czy przerodzi się w kryzys.
Incydenty cyberbezpieczeństwa w ochronie zdrowia najczęściej zaczynają się od oszustwa
Najliczniejszą kategorią incydentów w raporcie CSIRT CeZ były oszustwa komputerowe – 580 przypadków. Na drugim miejscu znalazły się podatne usługi – 344 przypadki. Razem stanowiły 64% wszystkich odnotowanych zdarzeń. Dalej pojawiły się wycieki poświadczeń, szkodliwe oprogramowanie oraz obraźliwe i nielegalne treści.
To zestawienie dobrze pokazuje, że cyberatak w placówce medycznej nie zawsze zaczyna się od zaawansowanego przełamania zabezpieczeń. Bardzo często jego początkiem jest wiadomość, link, formularz logowania albo usługa, która od dawna nie była aktualizowana.
W praktyce największe ryzyko powstaje tam, gdzie spotykają się trzy elementy: presja czasu, zaufanie do znanych instytucji i rutyna pracy z systemami cyfrowymi. Rejestracja, sekretariat, lekarz, pielęgniarka, dział rozliczeń czy administracja codziennie pracują na wiadomościach, systemach i dokumentach. Cyberprzestępcy dokładnie to wykorzystują.
Phishing w ochronie zdrowia – fałszywy SMS może wyglądać jak komunikat z systemu
CSIRT CeZ wskazuje, że phishing był jedną z najczęstszych przyczyn incydentów. W 2025 r. identyfikowano kampanie coraz bardziej zaawansowane i precyzyjnie kierowane do personelu medycznego oraz placówek.
Cyberprzestępcy podszywali się m.in. pod Medfile, NFZ, RPWDL, gabinet.gov.pl, eZUS oraz usługi Centrum e-Zdrowia. Wiadomości sugerowały konieczność aktualizacji certyfikatów, logowania do systemu, utratę możliwości wystawiania e-recept albo skorzystania z rzekomej usługi publicznej. W części kampanii wykorzystywano linki do aplikacji i stron wyglądających jak systemy Elektronicznej Dokumentacji Medycznej.
Sprawdź też: Phishing i socjotechnika w placówce medycznej
To szczególnie niebezpieczne, bo pracownik ochrony zdrowia nie dostaje przypadkowego spamu. Dostaje komunikat, który wygląda jak element jego codziennej pracy. Jeśli wiadomość odwołuje się do e-recept, EDM, NFZ, RPWDL albo gabinet.gov.pl, może wzbudzić zaufanie dużo szybciej niż klasyczny fałszywy e-mail.
Dlatego phishing w ochronie zdrowia jest problemem organizacyjnym, a nie wyłącznie technicznym. Liczy się nie tylko filtr antyspamowy, ale też świadomość personelu, sposób zgłaszania podejrzanych wiadomości, szybka reakcja po kliknięciu w link i brak kultury „ukrywania błędu”.
Najgorszy scenariusz to nie samo kliknięcie, tylko kliknięcie, o którym nikt nie mówi.
Fałszywe logowanie do EDM i przejęcie poświadczeń – cichy początek poważnego incydentu
W raporcie CSIRT CeZ pojawia się ważny wątek: kampanie kierujące do aplikacji i paneli wyglądających jak systemy EDM. Fałszywe strony logowania są groźne właśnie dlatego, że nie muszą od razu wywołać alarmu. Pracownik wpisuje login i hasło, a potem wraca do swoich zadań. Z punktu widzenia organizacji problem może być już jednak uruchomiony.
Przejęte poświadczenia mogą otworzyć drogę do poczty, systemu gabinetowego, dokumentacji, harmonogramów, danych pacjentów albo narzędzi używanych do komunikacji z pacjentem. Atakujący nie musi od razu „włamywać się” do systemu. Może wejść tak, jak uprawniony użytkownik.
Właśnie dlatego tak duże znaczenie ma MFA, czyli uwierzytelnianie wieloskładnikowe. Silne hasło jest ważne, ale samo hasło nie wystarcza, jeśli można je wyłudzić. MFA ogranicza skutki przejęcia loginu i hasła, zwłaszcza w systemach, w których przetwarzane są dane medyczne i inne informacje wrażliwe.
Ransomware w szpitalu – gdy atak przestaje być problemem IT
W 2025 r. CSIRT CeZ obsłużył 8 ataków ransomware. Raport opisuje także cyberatak na SPZOZ MSWiA w Krakowie z 8 marca 2025 r. Placówka otrzymała wsparcie Centralnego Biura Zwalczania Cyberprzestępczości, CSIRT NASK oraz CSIRT CeZ, a działania obejmowały m.in. odbudowę infrastruktury, przywracanie systemów i ich zabezpieczenie.
Ransomware w szpitalu lub innej placówce medycznej nie jest zwykłą awarią techniczną. Może oznaczać utrudniony dostęp do dokumentacji, zakłócenia w pracy rejestracji, problemy z harmonogramami, konieczność zmiany organizacji przyjęć, presję na personel i ryzyko dla ciągłości udzielania świadczeń.
W takim momencie nie ma czasu na dopiero tworzenie zasad działania. Znaczenie mają wcześniejsze decyzje: czy istnieją kopie zapasowe, czy były testowane, kto kontaktuje się z dostawcą IT, kto koordynuje komunikację wewnętrzną, jak dokumentowane są działania po incydencie, jak utrzymać dostęp do niezbędnych informacji i jak zabezpieczyć dane pacjentów.
Kopia zapasowa, której nikt nigdy nie odtworzył testowo, daje tylko częściowe poczucie bezpieczeństwa. Dopiero test pokazuje, czy dane można odzyskać, w jakim czasie i czy organizacja jest w stanie wrócić do pracy bez wielodniowego chaosu.
Kopie zapasowe w placówce medycznej muszą działać w dniu ataku, nie tylko istnieć w procedurze
Raport CSIRT CeZ wyraźnie wskazuje znaczenie pełnego procesu zarządzania kopiami zapasowymi. Nie chodzi wyłącznie o wykonywanie backupu, ale też o jego odseparowanie, cykliczne testowanie i realną możliwość odtworzenia danych po incydencie.
W ochronie zdrowia to ma szczególne znaczenie. Dane medyczne, dokumentacja, dostęp do systemów gabinetowych, harmonogramy i informacje niezbędne do udzielania świadczeń nie są zwykłymi zasobami administracyjnymi. Ich niedostępność może natychmiast przełożyć się na organizację pracy i bezpieczeństwo pacjentów.
Dlatego pytanie o kopie zapasowe nie kończy się na tym, czy są wykonywane. Znacznie ważniejsze są kolejne elementy: kiedy ostatnio sprawdzano możliwość odtworzenia danych, kto odpowiada za ten proces, gdzie przechowywane są kopie, czy są chronione przed zaszyfrowaniem przez ransomware i jak szybko można przywrócić krytyczne systemy.
Podatne usługi i błędy konfiguracyjne – techniczne szczegóły, które otwierają drzwi do systemu
Raport CSIRT CeZ pokazuje, że wiele podatności wynika z zaniedbań w utrzymaniu i konfiguracji systemów. Najczęściej identyfikowano m.in. brak aktualizacji oprogramowania, wygasłe certyfikaty SSL/TLS, komunikację przy użyciu przestarzałych protokołów TLSv1.0 lub TLSv1.1, brak nagłówków Security-Headers, brak SPF, DKIM i DMARC w usługach pocztowych, brak wsparcia producentów dla systemów operacyjnych oraz wykorzystywanie systemów EOL.
Brzmi technicznie, ale sens jest prosty: część cyberzagrożeń nie wynika z braku zaawansowanych narzędzi, tylko z braku porządku w podstawach. Nieaktualny system, wygasły certyfikat, stara usługa, publicznie dostępny panel logowania albo otwarty port mogą stać się wygodnym punktem wejścia dla atakującego.
CSIRT CeZ wskazuje także na publicznie dostępne panele administracyjne oraz otwarte porty, takie jak SSH, RDP, SMB, VNC czy Telnet. Przy słabych hasłach, braku MFA lub niewłaściwej konfiguracji mogą prowadzić do przejęcia kontroli nad usługami, kradzieży danych lub dalszej kompromitacji infrastruktury.
MFA w placówce medycznej – jedna z podstaw ochrony dostępu do danych
W raporcie CSIRT CeZ MFA pojawia się jako jedno z rekomendowanych działań w systemach przetwarzających wrażliwe dane. Warto nie traktować tego jako technicznej fanaberii czy rozwiązania wyłącznie dla dużych szpitali. W realiach ochrony zdrowia MFA ogranicza ryzyko przejęcia konta po wyłudzeniu hasła.
Dostęp do systemów medycznych, poczty, dokumentacji, narzędzi administracyjnych i paneli dostawców powinien być traktowany jak jeden z najbardziej wrażliwych elementów organizacji. Tam, gdzie konto pracownika daje dostęp do danych pacjentów albo procesów związanych z udzielaniem świadczeń, samo hasło jest za słabą barierą.
MFA nie eliminuje phishingu, ale zmniejsza jego skuteczność. Nawet jeśli login i hasło trafią w ręce osoby nieuprawnionej, dodatkowy składnik uwierzytelnienia może zatrzymać atak albo przynajmniej dać czas na reakcję.
Cyberbezpieczeństwo a polityka bezpieczeństwa – dokument nie wystarczy, jeśli nie działa w praktyce
Raport CSIRT CeZ pokazuje także organizacyjną stronę cyberbezpieczeństwa. W badaniu poziomu cyberbezpieczeństwa uczestniczyło 696 podmiotów. Z zebranych danych wynika, że 76% ankietowanych deklaruje wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, a niemal 62% prowadzi okresowe szkolenia z cyberhigieny dla wszystkich pracowników.
Jednocześnie raport wskazuje, że część jednostek nadal nie ma wyznaczonej osoby odpowiedzialnej za cyberbezpieczeństwo, nie wszyscy dyrektorzy uczestniczą w szkoleniach z tego obszaru, a ponad jedna czwarta organizacji nie opublikowała polityki bezpieczeństwa uwzględniającej cyberbezpieczeństwo.
To ważne, bo cyberbezpieczeństwo nie działa wyłącznie przez posiadanie dokumentów. Polityka bezpieczeństwa, procedura zgłaszania incydentów, zasady nadawania dostępów, szkolenia, testy phishingowe, przeglądy ryzyka i plan odtwarzania danych muszą być znane, aktualne i wykorzystywane w praktyce.
Formalny dokument może być początkiem porządku. Nie zastąpi jednak decyzji, ćwiczeń i konsekwentnego egzekwowania zasad.
Cyberatak w ochronie zdrowia to test ciągłości działania
W ochronie zdrowia cyberatak nie jest już tylko zdarzeniem technicznym. Może oznaczać przerwę w dostępie do dokumentacji, problem z organizacją przyjęć, utrudnienia w wystawianiu e-recept, zakłócenia w komunikacji, ryzyko naruszenia danych pacjentów i konieczność pracy w trybie awaryjnym.
Dlatego cyberbezpieczeństwo coraz bardziej przypomina zarządzanie ciągłością działania. Nie chodzi wyłącznie o to, czy incydent się wydarzy. Chodzi o to, jak długo potrwa dezorganizacja, gdy już do niego dojdzie.
Sprawdź: NIS2 w placówkach medycznych
Raport CSIRT CeZ pokazuje, że odporność buduje się równolegle na kilku poziomach: technicznym, organizacyjnym i ludzkim. Firewall, EDR/XDR, systemy kopii zapasowych, MFA, monitorowanie logowań, SIEM czy zarządzanie podatnościami mają znaczenie. Ale tak samo ważne są szkolenia, odpowiedzialność, komunikacja, testy procedur i gotowość do szybkiego zgłoszenia incydentu.
Największym ryzykiem nie zawsze jest brak narzędzia. Czasem jest nim brak decyzji, kto i jak działa w pierwszych godzinach po ataku.
Najważniejsze wnioski po lekturze raportu CSIRT CeZ
Cyfryzacja ochrony zdrowia zwiększa wygodę pracy i dostępność usług, ale bez cyberodporności tworzy nowe punkty ryzyka. EDM, e-recepty, systemy gabinetowe, portale, poczta, komunikacja elektroniczna i dostęp do danych wymagają nie tylko wdrożenia, lecz także stałego zabezpieczania.
Cyberatak w placówce medycznej nie jest dziś egzotycznym scenariuszem. Jest jednym z realnych ryzyk operacyjnych – obok awarii sprzętu, braków kadrowych, błędów organizacyjnych czy problemów z ciągłością świadczeń.
Różnica polega na tym, że cyberatak często zaczyna się niepozornie. Od jednego maila. Jednego hasła. Jednego nieaktualnego systemu. Jednego panelu logowania dostępnego z internetu. Jednej kopii zapasowej, której nikt nigdy nie odtworzył.
Dlatego raport CSIRT CeZ warto potraktować jako praktyczny sygnał ostrzegawczy dla całego sektora ochrony zdrowia.
FAQ – Cyberbezpieczeństwo w placówce medycznej, najczęstsze pytania i odpowiedzi
Ile incydentów cyberbezpieczeństwa odnotowano w sektorze zdrowia w 2025 roku?
Według Raportu rocznego CSIRT CeZ za 2025 r. w sektorze zdrowia odnotowano 1441 incydentów cyberbezpieczeństwa. Wśród nich było 5 incydentów poważnych oraz 8 ataków z wykorzystaniem ransomware. To ponad 60% więcej niż w 2024 r.
Jakie cyberzagrożenia najczęściej dotyczyły placówek medycznych?
Najczęściej odnotowywano oszustwa komputerowe, podatne usługi, wycieki poświadczeń oraz szkodliwe oprogramowanie. W praktyce oznacza to m.in. phishing, przejmowanie loginów i haseł, wykorzystywanie nieaktualnych systemów, błędów konfiguracyjnych oraz słabo zabezpieczonych usług dostępnych z internetu.
Dlaczego phishing w ochronie zdrowia jest tak niebezpieczny?
Phishing w ochronie zdrowia często wykorzystuje zaufanie do instytucji publicznych i znanych systemów. Cyberprzestępcy podszywają się m.in. pod NFZ, RPWDL, gabinet.gov.pl, eZUS, Centrum e-Zdrowia lub systemy EDM. Fałszywa wiadomość może wyglądać jak zwykły komunikat służbowy, a kliknięcie w link może prowadzić do przejęcia danych logowania.
Co oznacza ransomware dla szpitala lub przychodni?
Ransomware może zablokować dostęp do systemów, dokumentacji, harmonogramów lub danych potrzebnych do udzielania świadczeń. W ochronie zdrowia nie jest to wyłącznie problem techniczny. Taki atak może zakłócić organizację pracy, komunikację z pacjentami, dostęp do dokumentacji medycznej i ciągłość świadczeń.
Dlaczego testowanie kopii zapasowych jest tak ważne?
Samo wykonywanie kopii zapasowych nie daje pełnej ochrony, jeśli nikt nie sprawdza, czy można je skutecznie odtworzyć. Test odtworzenia pokazuje, czy dane są kompletne, jak długo trwa przywrócenie systemów i czy organizacja jest w stanie wrócić do pracy po awarii lub ataku ransomware.
Co to jest MFA i dlaczego ma znaczenie w placówce medycznej?
MFA, czyli uwierzytelnianie wieloskładnikowe, oznacza dodatkowe potwierdzenie tożsamości użytkownika poza samym hasłem. W placówce medycznej ma szczególne znaczenie, ponieważ ogranicza skutki przejęcia loginu i hasła do systemów, w których przetwarzane są dane pacjentów, dokumentacja medyczna lub inne informacje wrażliwe.
Jakie błędy techniczne najczęściej zwiększają ryzyko cyberataku?
Raport CSIRT CeZ wskazuje m.in. brak aktualizacji oprogramowania, wygasłe certyfikaty SSL/TLS, używanie przestarzałych protokołów, brak nagłówków bezpieczeństwa, brak prawidłowej konfiguracji SPF, DKIM i DMARC, korzystanie z systemów bez wsparcia producenta, publicznie dostępne panele logowania oraz otwarte porty.
Czy cyberbezpieczeństwo placówki medycznej dotyczy tylko działu IT?
Nie. Cyberbezpieczeństwo dotyczy także zarządzania dostępami, szkoleń personelu, polityki bezpieczeństwa, procedur zgłaszania incydentów, kopii zapasowych, komunikacji kryzysowej i ciągłości działania. Dział IT jest ważny, ale cyberodporność zależy również od decyzji organizacyjnych i codziennych zachowań pracowników.
Źródło: Raport roczny CSIRT CeZ 2025: „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia”.






/Zarządzanie w Ochronie Zdrowia
/Zarządzanie w Ochronie Zdrowia