Czego dowiesz się z tego artykułu?
- Jak przełożyć Raport CSIRT CeZ 2025 na trzy decyzje managera małej placówki.
- Które luki zamknąć najpierw: phishing, podatne usługi czy brak przeglądu ryzyka.
- O co zapytać dostawcę EDM, administratora i IOD, zanim pojawi się incydent.
- Jak mierzyć postęp bez obiecywania pełnego bezpieczeństwa.
Raport CSIRT CeZ 2025 warto czytać jak listę zadań dla placówki, nie jak materiał dla działu IT. Jeżeli w sektorze ochrony zdrowia rośnie liczba incydentów, a dominują oszustwa komputerowe i podatne usługi, to manager prywatnej przychodni powinien zapytać: co z tego dotyczy mojego grafiku, EDM, poczty i dostępu zdalnego?
W małej placówce cyberbezpieczeństwo często jest rozproszone. Dostawca EDM utrzymuje system, administrator pilnuje komputerów, rejestracja odbiera wiadomości, a właściciel zakłada, że „ktoś to ma pod kontrolą”. Problem polega na tym, że incydent nie pyta o strukturę organizacyjną. Blokada systemu, wyłudzone hasło albo podatna usługa zdalna od razu uderzają w obsługę pacjentów.
Ja bym zaczął od trzech luk, które są wystarczająco konkretne, żeby zamknąć je w tydzień lub miesiąc: phishing w zespole, podatne usługi i brak aktualizacji oraz przegląd ryzyka bez właściciela. To nie daje gwarancji bezpieczeństwa, ale daje managerowi punkt startu, który da się sprawdzić.
Najważniejsze
- Raport CSIRT CeZ wskazuje 1441 incydentów w 2025 roku i wzrost o ponad 60% rok do roku; to argument za przeglądem procesów, nie za paniką.
- Najpilniejsze są luki, które łączą technologię z codzienną pracą: poczta, konta, dostęp zdalny, kopie zapasowe i przegląd ryzyka.
- Manager powinien wymagać od dostawcy EDM jasnych odpowiedzi o logach, aktualizacjach, MFA, kopiach i ścieżce eskalacji.
- AI może pomóc w porządkowaniu checklist i podsumowań, ale nie może samodzielnie decydować o incydencie, danych pacjenta ani ciągłości świadczeń.
- Sukces po miesiącu to zamknięte podatności krytyczne, wykonany przegląd ryzyka i znana osoba odpowiedzialna za każdy system.
Matryca ryzyka: trzy luki, które kosztują placówkę
Raport CSIRT CeZ pokazuje duże liczby, ale manager potrzebuje krótkiej listy decyzji. W 2025 roku najczęściej wskazywano oszustwa komputerowe oraz podatne usługi. W praktyce prywatnej placówki oznacza to prosty wniosek: najpierw zamknij wejścia, przez które atakujący może dostać się do poczty, panelu dostawcy, VPN, rejestracji albo komputera z dostępem do EDM.
| Ryzyko | Co sprawdzić w placówce | Skutek dla placówki | Metryka po 30 dniach |
|---|---|---|---|
| Phishing i wyłudzone dane logowania | poczta, SMS-y, linki do rzekomych systemów medycznych, MFA | przejęcie konta, chaos w rejestracji, ryzyko dostępu do danych pacjenta | 100% kont krytycznych z MFA i lista osób bez wyjątków |
| Podatne usługi | VPN, zdalny pulpit, serwer kopii, urządzenia sieciowe, panel EDM | wejście przez niezałataną usługę, przerwa w pracy EDM lub kopii | brak otwartych podatności krytycznych albo plan z terminem zamknięcia |
| Brak regularnego przeglądu ryzyka | polityka bezpieczeństwa, kopie zapasowe, logi, właściciel systemu | incydent bez logów, właściciela i decyzji o ciągłości obsługi pacjentów | podpisany przegląd ryzyka oraz lista działań z właścicielami |
Ta tabela jest bardziej użyteczna niż kolejna ogólna prezentacja o cyberhigienie. Każdy wiersz kończy się pytaniem i metryką, więc nie da się go łatwo odłożyć na później. Jeżeli placówka nie ma działu IT, tym bardziej potrzebuje prostego widoku odpowiedzialności.
Phishing: rejestracja jest pierwszą linią obrony
W placówce medycznej phishing rzadko wygląda jak abstrakcyjny atak. Częściej to SMS o rzekomej migracji systemu, e-mail podszywający się pod dostawcę EDM albo link, który wygląda jak panel znanej instytucji. Rejestracja i administracja widzą takie wiadomości jako pierwsze, bo pracują na poczcie, telefonach i dokumentach od pacjentów.
To ma sens, gdy zaczynasz od kont i kanałów, które mają dostęp do danych pacjentów albo do grafiku. Najpierw poczta rejestracji, konto managera, konta administracyjne w EDM, zdalny dostęp administratora i panel dostawcy. W tych miejscach MFA, menedżer haseł i zasada potwierdzania podejrzanych wiadomości poza e-mailem są ważniejsze niż długie szkolenie raz w roku.
To nie ma sensu, gdy placówka robi jednorazową akcję edukacyjną, ale zostawia wspólne hasła, brak MFA i brak osoby, która decyduje, czy podejrzaną wiadomość zgłosić. Wtedy szkolenie poprawia świadomość, ale nie zmienia ryzyka operacyjnego. Z mojego doświadczenia pierwsze pytanie powinno brzmieć: kto ma prawo kliknąć link do panelu, a kto musi najpierw zapytać?
Podatne usługi: zapytaj o to, czego nie widać w recepcji
Druga luka jest mniej medialna, ale bardzo praktyczna. Podatne usługi to nie tylko „serwer gdzieś w chmurze”. W małej placówce mogą to być zdalny pulpit, VPN, urządzenie sieciowe, stary komputer w gabinecie, panel kopii zapasowych albo moduł integracji z systemem zewnętrznym. Jeżeli usługa jest wystawiona do internetu lub dostępna zdalnie, manager powinien wiedzieć, kto ją aktualizuje.
Nie chodzi o to, żeby właściciel przychodni stał się administratorem. Chodzi o prawo do prostego raportu: kiedy ostatnio zrobiono aktualizacje krytyczne, jakie podatności są otwarte, kto akceptuje wyjątek i jak długo wyjątek może trwać. Brak odpowiedzi jest odpowiedzią. Jeżeli dostawca lub administrator nie potrafi wskazać daty ostatniego przeglądu, to placówka ma ryzyko, którego nie widzi w codziennej pracy.
Warto tu połączyć przegląd techniczny z procesem opisanym w tekście o planie zgłoszenia incydentu do CSIRT CeZ. Tam pytanie brzmi: co robimy po zdarzeniu. Tutaj pytanie jest wcześniejsze: co możemy zamknąć, zanim zdarzenie przerwie rejestrację, teleporady albo dostęp do dokumentacji.
Przegląd ryzyka bez właściciela to najdroższa luka
Trzecia luka nie jest narzędziem, tylko sposobem zarządzania. Raport CSIRT CeZ zwraca uwagę na braki w politykach bezpieczeństwa i regularnych przeglądach ryzyka. Dla małej placówki to brzmi urzędowo, ale w praktyce oznacza jedno: nikt nie ma pełnej listy systemów, właścicieli, kopii, logów i wyjątków.
Sugeruję prosty przegląd na jednej stronie. Nie zastąpi formalnego audytu, ale pozwala managerowi zobaczyć, czy placówka ma czarne dziury. Najbardziej ryzykowne są systemy, które wszyscy uznają za oczywiste, bo wtedy nikt nie pyta o aktualizacje i logi.
| Obszar przeglądu | Minimalna informacja | Kto potwierdza |
|---|---|---|
| System i właściciel | nazwa systemu, osoba odpowiedzialna, dostawca | manager placówki |
| Dostęp i logowanie | MFA, role, konta administracyjne, wyjątki | administrator lub dostawca EDM |
| Kopie i logi | ostatni test odtworzenia, zakres logów, retencja | administrator oraz IOD |
| Aktualizacje | data ostatniej poprawki krytycznej, otwarte podatności | administrator lub dostawca |
Jeżeli placówka używa narzędzi AI przy mailach, formularzach albo dokumentach, przegląd ryzyka powinien uwzględnić także te wejścia. Dobrym uzupełnieniem jest tekst o AI w placówce a cyberbezpieczeństwie, ale tu najważniejszy jest szerszy porządek: najpierw mapa systemów, potem automatyzacje.
Pytania do dostawcy EDM, administratora i IOD
Rozmowa z dostawcą nie powinna kończyć się zdaniem „mamy zabezpieczenia”. Manager potrzebuje odpowiedzi, które można wpisać do przeglądu ryzyka. Najlepiej wysłać pytania pisemnie, bo wtedy łatwiej wrócić do nich przy audycie, zmianie umowy albo incydencie.
- Które konta w EDM i panelach administracyjnych mają obowiązkowe MFA?
- Kto ma dostęp administracyjny i jak często przeglądacie te uprawnienia?
- Jakie logi są dostępne dla placówki po podejrzanym logowaniu, eksporcie danych lub awarii?
- Kiedy ostatnio wykonano aktualizacje krytyczne systemu, integracji i komponentów dostępowych?
- Czy kopie zapasowe są regularnie testowane przez odtworzenie, a nie tylko deklarowane?
- Jaka jest ścieżka kontaktu po godzinach, gdy rejestracja nie ma dostępu do systemu?
- Kto zatwierdza wyjątek, gdy łatka bezpieczeństwa nie może być wdrożona od razu?
Ja bym nie zaczynał od zakupu nowej usługi, dopóki te pytania nie mają właścicieli. Najtańsza poprawa bezpieczeństwa często polega na domknięciu dostępu, kopii i logów, a nie na kolejnym panelu. Jeżeli odpowiedź wymaga technicznego doprecyzowania, administrator może ją rozwinąć, ale decyzja o ryzyku zostaje po stronie managera.
Przykład w małej przychodni: tydzień porządków
Przykład modelowy - scenariusz pokazuje sposób myślenia o przeglądzie bezpieczeństwa. Liczby i role są modelowe, nie opisują realnej placówki ani danych pacjenta.
Mała przychodnia specjalistyczna ma 18 osób, jeden system EDM, pocztę w chmurze, zdalny dostęp dla administratora, rejestrację telefoniczną i lokalny komputer do skanów. Po lekturze raportu manager wybiera jeden tydzień na przegląd. Nie zatrzymuje placówki, tylko robi krótkie spotkania z administratorem, dostawcą EDM, kierownikiem rejestracji i IOD.
Pierwszego dnia powstaje lista kont krytycznych i wyjątków MFA. Drugiego dnia administrator pokazuje daty aktualizacji oraz usługi dostępne zdalnie. Trzeciego dnia dostawca EDM odpowiada na pytania o logi i kopie. Czwartego dnia rejestracja przechodzi krótką ścieżkę rozpoznawania podejrzanych wiadomości. Piątego dnia manager podpisuje listę działań: co zamykamy teraz, co ma termin, czego świadomie nie akceptujemy bez decyzji właściciela.
AI może pomóc w przygotowaniu pustej checklisty i podsumowaniu spotkania, ale bez danych pacjenta, loginów, nazwisk i szczegółów incydentu. Manager zatwierdza priorytety, dostawca potwierdza fakty techniczne, a IOD ocenia ryzyko dla danych osobowych. Decyzje kliniczne i dane pacjenta zostają poza automatyzacją.
Pierwszy tydzień: zamknij minimum, które robi różnicę
Nie trzeba zaczynać od wielkiego programu cyberbezpieczeństwa. Wystarczy tydzień pracy, który kończy się widocznym efektem. Manager powinien widzieć listę rzeczy zamkniętych, a nie tylko „temat w toku”.
- Spisz konta krytyczne: EDM, poczta rejestracji, konta administracyjne, dostęp zdalny, kopie zapasowe.
- Potwierdź MFA dla kont, które dotykają danych pacjentów lub paneli administracyjnych.
- Poproś dostawcę EDM i administratora o datę ostatnich aktualizacji krytycznych.
- Sprawdź, kto ma logi po podejrzanym logowaniu, eksporcie danych lub awarii.
- Wykonaj krótki test odtworzenia kopii albo przynajmniej potwierdź ostatni test.
- Zrób 30-minutowy przegląd phishingu z rejestracją i administracją.
- Ustal właściciela przeglądu ryzyka oraz termin kolejnego spotkania za miesiąc.
Po miesiącu sprawdź trzy liczby: ile kont krytycznych ma MFA, ile podatności krytycznych zostało zamkniętych i czy przegląd ryzyka ma właściciela. To są metryki, które manager może obronić przed zarządem, wspólnikami albo dostawcą. Nie obiecują pełnego bezpieczeństwa, ale pokazują, że placówka przestała działać na wyczucie.
Źródła
- Centrum e-Zdrowia - Raport 2025 CSIRT CeZ „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia”, 02.06.2026. Źródło pierwotne dla danych o 1441 incydentach, wzroście rok do roku, dominacji oszustw komputerowych i podatnych usług oraz lukach w przeglądach ryzyka.
- Centrum e-Zdrowia - Nowy bastion cyberbezpieczeństwa w ochronie zdrowia. Poznaj portal CSIRT CeZ, 23.06.2026. Oficjalny opis portalu CSIRT CeZ, formularza incydentów, ankiety samooceny KSC, osoby kontaktowej i sekcji o najważniejszych podatnościach.
- CSIRT CeZ - Jak się chronić przed phishingiem, 24.06.2026. Aktualne zalecenia sektorowego CSIRT dotyczące phishingu; wybrałem je jako praktyczne źródło dla rejestracji i administracji placówki.
- Zdjęcie okładkowe: Ivan S na Pexels, ID 4989167; spokojna scena lekarza pracującego przy laptopie, dostęp: 2026-07-06.