Ransomware atakuje krakowski szpital
Sobotni poranek 8 marca 2025 roku przyniósł dramatyczne wydarzenia w krakowskim SPZOZ MSWiA. Złośliwe oprogramowanie typu ransomware przejęło kontrolę nad kluczowymi systemami teleinformatycznymi placówki, pozostawiając personel medyczny bez dostępu do danych pacjentów. To właśnie dyżurna lekarka pierwsza zauważyła niepokojący komunikat na swoim monitorze – moment, który zapoczątkował walkę z cyberatakiem na szpital.
Dyrektor placówki, dr n. med. Michał Zabojszcz, nie ukrywał powagi sytuacji. Atak ransomware sparaliżował nie tylko serwery, ale całą infrastrukturę informatyczną szpitala. Dane zostały zaszyfrowane, a lekarze stracili dostęp do historii chorób swoich pacjentów. W takich momentach… cóż, każda minuta ma znaczenie, zwłaszcza w ochronie zdrowia.
Marcin Stokłosa, kierownik Działu Obsługi Informatycznej, szybko zdał sobie sprawę, że samodzielnie nie poradzą sobie z tak poważnym incydentem. Branża medyczna to szczególnie wrażliwy cel dla cyberprzestępców – ataki na jednostki ochrony zdrowia uderzają bezpośrednio w bezpieczeństwo pacjentów.
Natychmiastowa reakcja i wsparcie techniczne
W sytuacji kryzysowej szpital zwrócił się o pomoc do T-Mobile – wieloletniego partnera technologicznego placówki. Choć firma nie zajmowała się wcześniej bezpośrednio cyberbezpieczeństwem szpitala, ugruntowane relacje biznesowe pozwoliły na błyskawiczną reakcję. Praktycznie od ręki otrzymano wsparcie techniczne.
Zespół projektowy T-Mobile pojawił się niemalże natychmiast, przywożąc ze sobą zapasowy sprzęt niezbędny do odbudowy infrastruktury. Paweł Dobrzański, CSO T-Mobile Polska, podkreślał znaczenie szybkiej diagnozy sytuacji. Pierwszym krokiem było zrozumienie, co dokładnie się wydarzyło, a następnie ograniczenie rozprzestrzeniania się infekcji ransomware.
Przez cały weekend do dyspozycji szpitala pozostawał opiekun oraz zespół inżynierów z T-Mobile Polska Business Solutions. Ich zadaniem było dostarczenie zastępczego sprzętu, urządzeń sieciowych oraz czasowego dostępu internetowego. To umożliwiło rozpoczęcie prac analitycznych przez inżynierów pracujących zdalnie.
Natychmiast delegowaliśmy wszystkie osoby, które były niezbędne do tego, żeby w pierwszej kolejności pomóc klientowi zrozumieć, co się w ogóle wydarzyło
Odbudowa systemów i wzmocnienie bezpieczeństwa
Proces odbudowy infrastruktury po cyberataku wymagał nie tylko przywrócenia danych z kopii zapasowych, ale także wdrożenia dodatkowych zabezpieczeń. Zespół ekspertów zaimplementował system zarządzania użytkownikami i urządzeniami oraz rozwiązanie analizujące dane z różnych źródeł w celu szybszego wykrywania zagrożeń.
Kluczowe działania podczas odbudowy obejmowały:
- Zabezpieczenie danych z serwerów
- Dostarczenie zastępczego sprzętu komputerowego
- Przywrócenie dostępu do kopii zapasowych
- Wdrożenie systemów monitoringu bezpieczeństwa
- Szkolenie personelu w zakresie cyberbezpieczeństwa
Dzięki szybkiemu zgłoszeniu incydentu i sprawnej koordynacji między służbami a szpitalem możliwa była efektywna reakcja. Kierownik działu IT placówki przyznał, że incydent uświadomił im znaczenie proaktywnych środków zabezpieczających – od Security Operations Center po podstawowe oprogramowanie antywirusowe.
Warto zauważyć, że podobnie jak w przypadku uszkodzonego łożyska w pralce, gdzie wczesne wykrycie problemu pozwala uniknąć poważniejszych awarii, tak i w cyberbezpieczeństwie szybka reakcja na pierwsze symptomy ataku może znacząco ograniczyć szkody.
Rosnące zagrożenie dla branży medycznej
Eksperci alarmują, że cyberataki na placówki medyczne to nie odosobnione przypadki. Szpitale stanowią atrakcyjny cel dla cyberprzestępców z kilku powodów – często dysponują niedoinwestowanymi działami IT, borykają się z brakiem specjalistów, a ich infrastruktura bywa przestarzała. Statystyki są niepokojące: ponad 72% placówek medycznych nie posiada dedykowanych zespołów ds. cyberbezpieczeństwa.
Security Operations Center T-Mobile odnotowało w 2024 roku aż o 350% więcej incydentów niż w roku poprzednim. To pokazuje skalę problemu – cyberataki nie dotyczą tylko pojedynczych branż, ale stanowią rosnące zagrożenie dla całej gospodarki.
Jak się chronić przed ransomware? Nie ma uniwersalnej recepty, bo każda organizacja ma inne środowisko i możliwości budżetowe. Kluczowe jednak pozostają regularne przeglądy podatności, audyty bezpieczeństwa oraz modernizacja infrastruktury. Równie istotne jest podnoszenie świadomości cyberbezpieczeństwa wśród pracowników – prawidłowa reakcja dyżurnej lekarki w krakowskim szpitalu była pierwszym krokiem do ograniczenia skutków ataku.
Firmy bez rozbudowanych kompetencji w cyberbezpieczeństwie mogą korzystać z usług doradczych zaufanych partnerów oraz dostępnych programów finansowania. Szczególnie w ochronie zdrowia dostępne są środki na cyfrową transformację, w tym z Krajowego Planu Odbudowy. Najskuteczniejsze okazują się rozwiązania dostosowane indywidualnie do potrzeb organizacji, takie jak systemy EDR, SIEM czy zespoły SOC.
Jak podkreślił przedstawiciel T-Mobile, współczesny operator telekomunikacyjny nie może ograniczać się tylko do usług telekomunikacyjnych. W świecie, gdzie biznes i życie społeczne przeniosły się do przestrzeni wirtualnej, tam też działają cyberprzestępcy. Dlatego dostawcy usług muszą rozszerzać swoją ofertę o zabezpieczenia i wsparcie w rozwoju biznesu – bo tylko wtedy mogą być prawdziwymi partnerami dla swoich klientów.
Źródło: Pap.pl
