Phishing i socjotechnika – jak nie dać się oszukać w placówce medycznej

Pewnego poniedziałkowego poranka kierowniczka rejestracji w przychodni w małym mieście odebrała e-mail z nagłówkiem: „Pilne! Blokada dostępu do systemu eWUŚ – natychmiastowa weryfikacja danych”. Wiadomość wyglądała identycznie jak oficjalna korespondencja NFZ – logo, układ, nawet podpis. Kliknęła w link… i w kilka minut cała sieć placówki została zaszyfrowana.

Placówki medyczne stanowią dla cyberprzestępców szczególnie atrakcyjny cel. Przechowują wrażliwe dane medyczne, finansowe i osobowe tysięcy pacjentów, które na czarnym rynku mają wysoką wartość i mogą być wykorzystane do kradzieży tożsamości, wyłudzeń lub szantażu. Dodatkowo funkcjonowanie placówki w dużej mierze opiera się na działaniu systemów informatycznych – od rejestracji pacjentów, przez prowadzenie dokumentacji medycznej, aż po rozliczenia z NFZ.

Każda godzina przerwy w pracy systemów informatycznych oznacza dezorganizację, wydłużenie czasu obsługi pacjentów, a nierzadko konieczność odwołania wizyt czy zabiegów. Skutkuje to nie tylko niezadowoleniem pacjentów i utratą zaufania do placówki, ale także realnym ryzykiem naruszenia przepisów o ochronie danych osobowych, w tym RODO, co może prowadzić do dotkliwych sankcji finansowych i reputacyjnych.

Phishing to metoda oszustwa polegająca na wyłudzeniu poufnych danych – takich jak loginy, hasła czy numery kont bankowych – przez podszywanie się pod zaufaną instytucję lub osobę. Atakujący wykorzystuje w tym celu wiadomości e-mail, SMS, komunikatory, a czasem nawet rozmowy telefoniczne, tworząc przekaz, który ma sprawiać wrażenie w pełni autentycznego.

Socjotechnika to szersze pojęcie, obejmujące różne techniki manipulacji psychologicznej, które mają skłonić odbiorcę do wykonania określonego działania. Oszuści celowo wywołują emocje – pośpiech, strach, poczucie obowiązku czy chęć uniknięcia kary – aby ograniczyć czas na racjonalną analizę sytuacji. W wiadomościach często pojawiają się sformułowania takie jak „natychmiast”, „pilne działanie” czy „grozi kara”, których zadaniem jest wywołanie presji czasu i skłonienie ofiary do reakcji bez konsultacji z przełożonym czy zespołem IT.

Takie komunikaty bywają dodatkowo uwiarygodnione przez użycie logotypów, podpisów i układu graficznego charakterystycznego dla prawdziwej instytucji, co sprawia, że ich rozpoznanie wymaga czujności i wiedzy, a niekiedy także wsparcia technicznego.

W ostatnich miesiącach wiele placówek zgłaszało próby oszustw polegających na wysyłaniu wiadomości e-mail lub SMS podszywających się pod NFZ, ZUS czy sanepid. Pojawiały się także fałszywe powiadomienia od rzekomych dostawców systemów medycznych, w których proszono o natychmiastowe zalogowanie się w celu przywrócenia dostępu. 

Innym często stosowanym trikiem jest podszywanie się pod dyrekcję lub rejestrację placówki, z prośbą o wykonanie przelewu lub przekazanie poufnych danych. W każdym z tych scenariuszy cechą wspólną jest presja czasu – oszust chce, by adresat działał od razu, bez weryfikacji i konsultacji.

Zanim otworzymy link lub załącznik, warto dokładnie przyjrzeć się adresowi nadawcy – często różni się on jednym znakiem od oryginalnej domeny. Pomocne jest także najechanie kursorem na link w wiadomości, aby sprawdzić faktyczny adres strony, do której prowadzi. 

Charakterystycznym elementem wielu fałszywych wiadomości są błędy językowe, nielogiczne sformułowania oraz nietypowe prośby, takie jak podanie hasła czy dokonanie płatności. Trzeba pamiętać, że NFZ, ZUS, sanepid ani dostawcy systemów medycznych nigdy nie proszą o przekazanie haseł w wiadomości e-mail czy SMS.

Gdy do placówki trafi podejrzana wiadomość, absolutnym priorytetem jest zachowanie spokoju i powstrzymanie się od jakiejkolwiek interakcji z jej treścią. Nie wolno otwierać linków, pobierać ani uruchamiać załączników, nawet jeśli wiadomość wygląda jak oficjalna korespondencja od znanej instytucji. Każdy pracownik, który zauważy takie zagrożenie, powinien niezwłocznie skontaktować się z osobą odpowiedzialną za bezpieczeństwo IT w placówce lub – jeśli taka rola nie jest formalnie wyznaczona – z dyrekcją.

Wiadomość należy pozostawić w skrzynce odbiorczej w stanie nienaruszonym, tak aby zespół IT mógł przeanalizować jej źródło, nagłówki techniczne i potencjalne wektory ataku. Samodzielne usunięcie e-maila lub SMS-a, choć wydaje się intuicyjnym krokiem, może uniemożliwić zebranie dowodów potrzebnych do ustalenia, kto stoi za próbą oszustwa i jakie działania należy podjąć, aby zapobiec podobnym incydentom w przyszłości.

Jeśli istnieje choćby cień podejrzenia, że wiadomość mogła doprowadzić do naruszenia ochrony danych osobowych pacjentów lub pracowników, placówka powinna niezwłocznie zgłosić ten fakt do odpowiednich instytucji. W praktyce oznacza to powiadomienie CSIRT NASK, który zajmuje się reagowaniem na incydenty bezpieczeństwa w Polsce, oraz UODO, jeśli naruszenie dotyczy danych osobowych. W przypadku placówek współpracujących z NFZ warto również poinformować właściwy oddział NFZ, aby ograniczyć ryzyko dalszych nadużyć.

Oprogramowanie antywirusowe i filtry antyspamowe są ważnym elementem ochrony, ale nie zastąpią świadomego i czujnego personelu. Cyberprzestępcy coraz częściej wykorzystują nieuwagę pracowników, dlatego konieczne jest stałe podnoszenie ich kompetencji w zakresie rozpoznawania zagrożeń. 

Najskuteczniejszą formą edukacji są krótkie, praktyczne szkolenia, które nie ograniczają się do teorii, lecz bazują na realnych przykładach ataków. Podczas takich spotkań można wspólnie analizować podejrzane wiadomości, wskazywać elementy wzbudzające niepokój oraz omawiać, jakie kroki należy podjąć w przypadku ich otrzymania.

Dobrym narzędziem są również symulowane kampanie phishingowe przeprowadzane wewnątrz placówki. Pozwalają one w bezpiecznych warunkach sprawdzić, jak pracownicy reagują na spreparowane wiadomości, a także wykryć ewentualne braki w procedurach. Tego typu ćwiczenia warto powtarzać cyklicznie, aby reakcje personelu stawały się automatyczne i nie wymagały długiego zastanawiania się.

Równie istotne jest utrwalanie wiedzy przez regularne przypomnienia. Mogą to być krótkie komunikaty w wewnętrznym newsletterze, plansze informacyjne na tablicach ogłoszeń czy proste plakaty w pomieszczeniach socjalnych, zawierające listę zasad postępowania w przypadku podejrzanych wiadomości. 

Ważne, aby przekazy te były czytelne, zwięzłe i zrozumiałe, tak aby każdy pracownik mógł szybko z nich skorzystać w sytuacji zagrożenia.

Pierwszym krokiem w budowaniu skutecznej ochrony jest właściwa konfiguracja filtrów antyspamowych oraz ich bieżąca aktualizacja, tak aby skutecznie blokowały nowe formy zagrożeń. 

Równolegle warto opracować prostą, jednoznaczną procedurę zgłaszania podejrzanych wiadomości, określającą dokładnie, w jaki sposób i do kogo należy kierować takie zgłoszenia. Dzięki temu każdy pracownik, niezależnie od stanowiska, będzie wiedział, jakie kroki podjąć i uniknie improwizowania w sytuacji kryzysowej.

Oprogramowanie wykorzystywane w placówce powinno być regularnie aktualizowane, co pozwala na szybkie usuwanie luk bezpieczeństwa wykrywanych przez producentów. Równie ważne jest ustalenie harmonogramu zmiany haseł do systemów oraz egzekwowanie stosowania haseł silnych, trudnych do odgadnięcia.

W każdej placówce medycznej należy jednoznacznie wskazać osobę lub zespół odpowiedzialny za bezpieczeństwo cyfrowe. Informacja o tym, kto pełni tę funkcję, powinna być łatwo dostępna dla całego personelu – najlepiej umieszczona w widocznym miejscu, np. w procedurach wewnętrznych lub na tablicy ogłoszeń. Pozwoli to pracownikom szybko zgłosić wszelkie wątpliwości, nietypowe sytuacje czy podejrzenia dotyczące bezpieczeństwa danych i systemów.