Czego dowiesz się z tego artykułu?

  • Jak przełożyć Raport CSIRT CeZ 2025 na trzy decyzje managera małej placówki.
  • Które luki zamknąć najpierw: phishing, podatne usługi czy brak przeglądu ryzyka.
  • O co zapytać dostawcę EDM, administratora i IOD, zanim pojawi się incydent.
  • Jak mierzyć postęp bez obiecywania pełnego bezpieczeństwa.

Raport CSIRT CeZ 2025 warto czytać jak listę zadań dla placówki, nie jak materiał dla działu IT. Jeżeli w sektorze ochrony zdrowia rośnie liczba incydentów, a dominują oszustwa komputerowe i podatne usługi, to manager prywatnej przychodni powinien zapytać: co z tego dotyczy mojego grafiku, EDM, poczty i dostępu zdalnego?

W małej placówce cyberbezpieczeństwo często jest rozproszone. Dostawca EDM utrzymuje system, administrator pilnuje komputerów, rejestracja odbiera wiadomości, a właściciel zakłada, że „ktoś to ma pod kontrolą”. Problem polega na tym, że incydent nie pyta o strukturę organizacyjną. Blokada systemu, wyłudzone hasło albo podatna usługa zdalna od razu uderzają w obsługę pacjentów.

Ja bym zaczął od trzech luk, które są wystarczająco konkretne, żeby zamknąć je w tydzień lub miesiąc: phishing w zespole, podatne usługi i brak aktualizacji oraz przegląd ryzyka bez właściciela. To nie daje gwarancji bezpieczeństwa, ale daje managerowi punkt startu, który da się sprawdzić.

Najważniejsze

  • Raport CSIRT CeZ wskazuje 1441 incydentów w 2025 roku i wzrost o ponad 60% rok do roku; to argument za przeglądem procesów, nie za paniką.
  • Najpilniejsze są luki, które łączą technologię z codzienną pracą: poczta, konta, dostęp zdalny, kopie zapasowe i przegląd ryzyka.
  • Manager powinien wymagać od dostawcy EDM jasnych odpowiedzi o logach, aktualizacjach, MFA, kopiach i ścieżce eskalacji.
  • AI może pomóc w porządkowaniu checklist i podsumowań, ale nie może samodzielnie decydować o incydencie, danych pacjenta ani ciągłości świadczeń.
  • Sukces po miesiącu to zamknięte podatności krytyczne, wykonany przegląd ryzyka i znana osoba odpowiedzialna za każdy system.

Matryca ryzyka: trzy luki, które kosztują placówkę

Raport CSIRT CeZ pokazuje duże liczby, ale manager potrzebuje krótkiej listy decyzji. W 2025 roku najczęściej wskazywano oszustwa komputerowe oraz podatne usługi. W praktyce prywatnej placówki oznacza to prosty wniosek: najpierw zamknij wejścia, przez które atakujący może dostać się do poczty, panelu dostawcy, VPN, rejestracji albo komputera z dostępem do EDM.

RyzykoCo sprawdzić w placówceSkutek dla placówkiMetryka po 30 dniach
Phishing i wyłudzone dane logowaniapoczta, SMS-y, linki do rzekomych systemów medycznych, MFAprzejęcie konta, chaos w rejestracji, ryzyko dostępu do danych pacjenta100% kont krytycznych z MFA i lista osób bez wyjątków
Podatne usługiVPN, zdalny pulpit, serwer kopii, urządzenia sieciowe, panel EDMwejście przez niezałataną usługę, przerwa w pracy EDM lub kopiibrak otwartych podatności krytycznych albo plan z terminem zamknięcia
Brak regularnego przeglądu ryzykapolityka bezpieczeństwa, kopie zapasowe, logi, właściciel systemuincydent bez logów, właściciela i decyzji o ciągłości obsługi pacjentówpodpisany przegląd ryzyka oraz lista działań z właścicielami

Ta tabela jest bardziej użyteczna niż kolejna ogólna prezentacja o cyberhigienie. Każdy wiersz kończy się pytaniem i metryką, więc nie da się go łatwo odłożyć na później. Jeżeli placówka nie ma działu IT, tym bardziej potrzebuje prostego widoku odpowiedzialności.

Phishing: rejestracja jest pierwszą linią obrony

W placówce medycznej phishing rzadko wygląda jak abstrakcyjny atak. Częściej to SMS o rzekomej migracji systemu, e-mail podszywający się pod dostawcę EDM albo link, który wygląda jak panel znanej instytucji. Rejestracja i administracja widzą takie wiadomości jako pierwsze, bo pracują na poczcie, telefonach i dokumentach od pacjentów.

To ma sens, gdy zaczynasz od kont i kanałów, które mają dostęp do danych pacjentów albo do grafiku. Najpierw poczta rejestracji, konto managera, konta administracyjne w EDM, zdalny dostęp administratora i panel dostawcy. W tych miejscach MFA, menedżer haseł i zasada potwierdzania podejrzanych wiadomości poza e-mailem są ważniejsze niż długie szkolenie raz w roku.

To nie ma sensu, gdy placówka robi jednorazową akcję edukacyjną, ale zostawia wspólne hasła, brak MFA i brak osoby, która decyduje, czy podejrzaną wiadomość zgłosić. Wtedy szkolenie poprawia świadomość, ale nie zmienia ryzyka operacyjnego. Z mojego doświadczenia pierwsze pytanie powinno brzmieć: kto ma prawo kliknąć link do panelu, a kto musi najpierw zapytać?

Podatne usługi: zapytaj o to, czego nie widać w recepcji

Druga luka jest mniej medialna, ale bardzo praktyczna. Podatne usługi to nie tylko „serwer gdzieś w chmurze”. W małej placówce mogą to być zdalny pulpit, VPN, urządzenie sieciowe, stary komputer w gabinecie, panel kopii zapasowych albo moduł integracji z systemem zewnętrznym. Jeżeli usługa jest wystawiona do internetu lub dostępna zdalnie, manager powinien wiedzieć, kto ją aktualizuje.

Nie chodzi o to, żeby właściciel przychodni stał się administratorem. Chodzi o prawo do prostego raportu: kiedy ostatnio zrobiono aktualizacje krytyczne, jakie podatności są otwarte, kto akceptuje wyjątek i jak długo wyjątek może trwać. Brak odpowiedzi jest odpowiedzią. Jeżeli dostawca lub administrator nie potrafi wskazać daty ostatniego przeglądu, to placówka ma ryzyko, którego nie widzi w codziennej pracy.

Warto tu połączyć przegląd techniczny z procesem opisanym w tekście o planie zgłoszenia incydentu do CSIRT CeZ. Tam pytanie brzmi: co robimy po zdarzeniu. Tutaj pytanie jest wcześniejsze: co możemy zamknąć, zanim zdarzenie przerwie rejestrację, teleporady albo dostęp do dokumentacji.

Przegląd ryzyka bez właściciela to najdroższa luka

Trzecia luka nie jest narzędziem, tylko sposobem zarządzania. Raport CSIRT CeZ zwraca uwagę na braki w politykach bezpieczeństwa i regularnych przeglądach ryzyka. Dla małej placówki to brzmi urzędowo, ale w praktyce oznacza jedno: nikt nie ma pełnej listy systemów, właścicieli, kopii, logów i wyjątków.

Sugeruję prosty przegląd na jednej stronie. Nie zastąpi formalnego audytu, ale pozwala managerowi zobaczyć, czy placówka ma czarne dziury. Najbardziej ryzykowne są systemy, które wszyscy uznają za oczywiste, bo wtedy nikt nie pyta o aktualizacje i logi.

Obszar przegląduMinimalna informacjaKto potwierdza
System i właścicielnazwa systemu, osoba odpowiedzialna, dostawcamanager placówki
Dostęp i logowanieMFA, role, konta administracyjne, wyjątkiadministrator lub dostawca EDM
Kopie i logiostatni test odtworzenia, zakres logów, retencjaadministrator oraz IOD
Aktualizacjedata ostatniej poprawki krytycznej, otwarte podatnościadministrator lub dostawca

Jeżeli placówka używa narzędzi AI przy mailach, formularzach albo dokumentach, przegląd ryzyka powinien uwzględnić także te wejścia. Dobrym uzupełnieniem jest tekst o AI w placówce a cyberbezpieczeństwie, ale tu najważniejszy jest szerszy porządek: najpierw mapa systemów, potem automatyzacje.

Pytania do dostawcy EDM, administratora i IOD

Rozmowa z dostawcą nie powinna kończyć się zdaniem „mamy zabezpieczenia”. Manager potrzebuje odpowiedzi, które można wpisać do przeglądu ryzyka. Najlepiej wysłać pytania pisemnie, bo wtedy łatwiej wrócić do nich przy audycie, zmianie umowy albo incydencie.

  • Które konta w EDM i panelach administracyjnych mają obowiązkowe MFA?
  • Kto ma dostęp administracyjny i jak często przeglądacie te uprawnienia?
  • Jakie logi są dostępne dla placówki po podejrzanym logowaniu, eksporcie danych lub awarii?
  • Kiedy ostatnio wykonano aktualizacje krytyczne systemu, integracji i komponentów dostępowych?
  • Czy kopie zapasowe są regularnie testowane przez odtworzenie, a nie tylko deklarowane?
  • Jaka jest ścieżka kontaktu po godzinach, gdy rejestracja nie ma dostępu do systemu?
  • Kto zatwierdza wyjątek, gdy łatka bezpieczeństwa nie może być wdrożona od razu?

Ja bym nie zaczynał od zakupu nowej usługi, dopóki te pytania nie mają właścicieli. Najtańsza poprawa bezpieczeństwa często polega na domknięciu dostępu, kopii i logów, a nie na kolejnym panelu. Jeżeli odpowiedź wymaga technicznego doprecyzowania, administrator może ją rozwinąć, ale decyzja o ryzyku zostaje po stronie managera.

Przykład w małej przychodni: tydzień porządków

Przykład modelowy - scenariusz pokazuje sposób myślenia o przeglądzie bezpieczeństwa. Liczby i role są modelowe, nie opisują realnej placówki ani danych pacjenta.

Mała przychodnia specjalistyczna ma 18 osób, jeden system EDM, pocztę w chmurze, zdalny dostęp dla administratora, rejestrację telefoniczną i lokalny komputer do skanów. Po lekturze raportu manager wybiera jeden tydzień na przegląd. Nie zatrzymuje placówki, tylko robi krótkie spotkania z administratorem, dostawcą EDM, kierownikiem rejestracji i IOD.

Pierwszego dnia powstaje lista kont krytycznych i wyjątków MFA. Drugiego dnia administrator pokazuje daty aktualizacji oraz usługi dostępne zdalnie. Trzeciego dnia dostawca EDM odpowiada na pytania o logi i kopie. Czwartego dnia rejestracja przechodzi krótką ścieżkę rozpoznawania podejrzanych wiadomości. Piątego dnia manager podpisuje listę działań: co zamykamy teraz, co ma termin, czego świadomie nie akceptujemy bez decyzji właściciela.

AI może pomóc w przygotowaniu pustej checklisty i podsumowaniu spotkania, ale bez danych pacjenta, loginów, nazwisk i szczegółów incydentu. Manager zatwierdza priorytety, dostawca potwierdza fakty techniczne, a IOD ocenia ryzyko dla danych osobowych. Decyzje kliniczne i dane pacjenta zostają poza automatyzacją.

Pierwszy tydzień: zamknij minimum, które robi różnicę

Nie trzeba zaczynać od wielkiego programu cyberbezpieczeństwa. Wystarczy tydzień pracy, który kończy się widocznym efektem. Manager powinien widzieć listę rzeczy zamkniętych, a nie tylko „temat w toku”.

  • Spisz konta krytyczne: EDM, poczta rejestracji, konta administracyjne, dostęp zdalny, kopie zapasowe.
  • Potwierdź MFA dla kont, które dotykają danych pacjentów lub paneli administracyjnych.
  • Poproś dostawcę EDM i administratora o datę ostatnich aktualizacji krytycznych.
  • Sprawdź, kto ma logi po podejrzanym logowaniu, eksporcie danych lub awarii.
  • Wykonaj krótki test odtworzenia kopii albo przynajmniej potwierdź ostatni test.
  • Zrób 30-minutowy przegląd phishingu z rejestracją i administracją.
  • Ustal właściciela przeglądu ryzyka oraz termin kolejnego spotkania za miesiąc.

Po miesiącu sprawdź trzy liczby: ile kont krytycznych ma MFA, ile podatności krytycznych zostało zamkniętych i czy przegląd ryzyka ma właściciela. To są metryki, które manager może obronić przed zarządem, wspólnikami albo dostawcą. Nie obiecują pełnego bezpieczeństwa, ale pokazują, że placówka przestała działać na wyczucie.

Źródła