Około 300 mniejszych szpitali w Polsce pozostało bez realnego wsparcia z Krajowego Planu Odbudowy (KPO) na inwestycje w cyberbezpieczeństwo. To alarmująca informacja, bo placówki z ograniczonymi budżetami mają najmniejsze możliwości samodzielnego finansowania niezbędnych modernizacji i zabezpieczeń.

Skala problemu

Na Kongresie Wyzwań Zdrowotnych w Katowicach eksperci zwracali uwagę, że brak środków trafia głównie do mniejszych podmiotów leczniczych. Choć państwowe programy i granty finansują część projektów informatycznych, wiele placówek nie uzyskało dostępu do funduszy na zabezpieczenia krytycznych systemów, co zwiększa ryzyko udanego ataku cybernetycznego.

Dlaczego małe szpitale są najbardziej narażone?

  • Ograniczone budżety operacyjne uniemożliwiają modernizację sprzętu i oprogramowania.
  • Brak wyspecjalizowanych zespołów IT i security — wiele placówek nie posiada własnego SOC czy administratora ds. bezpieczeństwa.
  • Przestarzała infrastruktura i brak segmentacji sieci ułatwiają migrację zagrożeń wewnątrz sieci szpitalnej.
  • Ograniczony dostęp do szkoleń personelu i procedur reagowania na incydenty.

Konsekwencje rosnących zagrożeń

Zagrożenia cybernetyczne w ochronie zdrowia mają bezpośredni wpływ na bezpieczeństwo pacjentów: przestoje w systemach informatycznych, brak dostępu do historii chorób czy wyników badań, a także ryzyko utraty danych osobowych. Dodatkowo koszty reakcji po ataku i przywracania usług mogą znacząco obciążyć już i tak mocno ograniczone budżety.

Jakie rozwiązania proponują eksperci?

Specjaliści biorący udział w dyskusjach podczas kongresu wskazywali na kilka kluczowych kierunków działań, które mogłyby zwiększyć odporność małych szpitali:

  • KPO-bis dla cyfryzacji szpitali — dodatkowy program finansowania dedykowany bezpieczeństwu cyfrowemu małych i średnich placówek, obejmujący modernizację sieci, zakup zapasowego sprzętu i wdrożenie rozwiązań backupowych.
  • Wspólne centra usług bezpieczeństwa (SOC-as-a-Service) — model, w którym kilka placówek korzysta z centralnego monitoringu i wykrywania zagrożeń, co obniża koszty i zwiększa skuteczność.
  • Standaryzacja i audyty — obowiązkowe audyty cyberbezpieczeństwa oraz wdrożenie minimalnych standardów technicznych i procesowych dla systemów szpitalnych.
  • Wsparcie dla szkoleń personelu — programy kształcenia i ćwiczeń reagowania na incydenty dla administracji medycznej i personelu IT.
  • Współpraca z CSIRT i służbami państwowymi — szybsza wymiana informacji o zagrożeniach i pomoc w reagowaniu na ataki.

Co szpitale mogą zrobić natychmiast?

  1. Wdrożyć proste polityki tworzenia i przechowywania kopii zapasowych poza siecią (offline).
  2. Wprowadzić podstawową segmentację sieci i ograniczyć dostęp do systemów krytycznych na zasadzie najmniejszych uprawnień.
  3. Przeprowadzić szybki przegląd oprogramowania i uaktualnić krytyczne łaty bezpieczeństwa.
  4. Skorzystać z usług zewnętrznych dostawców SOC lub monitoringu, jeśli brak jest zasobów wewnętrznych.
  5. Ustalić procedury komunikacji i reakcji na incydenty oraz regularnie je testować.

Wnioski

Brak dostępu do środków z KPO dla setek mniejszych szpitali to luka w systemie ochrony zdrowia, którą trzeba pilnie załatać. Eksperci rekomendują zarówno rozwiązania krótkoterminowe, które mogą wdrożyć same placówki, jak i programy systemowe — w tym tzw. KPO-bis — zapewniające finansowanie i wsparcie dla cyfryzacji i cyberbezpieczeństwa. Bez takiego, skoordynowanego podejścia ryzyko pogłębiania się luki w bezpieczeństwie będzie rosło razem z liczbą zagrożeń cybernetycznych.

Na Kongresie Wyzwań Zdrowotnych w Katowicach głos ekspertów wyraźnie wskazywał: konieczne jest dodatkowe, dedykowane wsparcie finansowe i organizacyjne dla mniejszych placówek.