Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Wprowadzenie do bezpieczeństwa IT od sekuraka!

Wprowadzenie do bezpieczeństwa IT

Cyberbezpieczeństwo w ochronie zdrowia: co zdradził nam zespół CSIRT CeZ?

26 września 2025, 08:30 | W biegu | 0 komentarzy
Tagi: , , , , , , ,

Na spotkaniu CSIRT CeZ, które odbyło się 24.09.2025, reprezentował nas Sebastian Jeż. Odpowiedzi na zadane przez Sebastiana pytania pokazują skalę wyzwań, z jakimi mierzy się CSIRT CeZ od czasu powołania w grudniu 2023 roku.

Zgodnie z wieloma raportami, ze względów geopolitycznych, Polska doświadcza największej liczby cyberataków wśród państw Unii Europejskiej. W samym sektorze ochrony zdrowia do końca sierpnia odnotowano 946 incydentów cyberbezpieczeństwa – niemal tyle, co w całym roku 2024. Dlatego CSIRT CeZ, jedyny sektorowy zespół cyberbezpieczeństwa w obszarze zdrowia, każdego dnia wspiera placówki medyczne w walce z rosnącymi zagrożeniami.

Średni koszt naruszenia danych w sektorze ochrony zdrowia na świecie obliczany jest w tym roku na 7,42 mln dolarów [1]

Czym zajmuje się CSIRT CeZ?

CSIRT CeZ to jeden z dwóch – obok CSIRT KNF – zespołów zajmujących się cyberbezpieczeństwem wybranego sektora (tu: ochrony zdrowia). Działa siedem dni w tygodniu, monitorując podatności, ostrzegając o zagrożeniach, wspierając placówki w obsłudze incydentów, edukując i prowadząc regularne szkolenia dla wielu grup odbiorców.

Fragment prezentacji CSIRT CeZ 24.09.2025

CSIRT CeZ:

  • reaguje na zagrożenia: rozsyła ostrzeżenia, publikuje informacje i zalecenia
    • (tylko w pierwszym kwartale 2025 r. wykryto i opisano ponad 120 podatności
      w infrastrukturze informatycznej placówek ochrony zdrowia: m.in. szpitali, POZ, AOS)
  • edukuje poprzez publikację merytorycznych poradników i artykułów
  • szkoli podczas organizowanych warsztatów – już ponad 1300 przeszkolonych pracowników podmiotów leczniczych
  • przyjmuje i obsługuje zgłoszenia dotyczące incydentów bezpieczeństwa,
  • zapewnia potrzebne wsparcie, adekwatne do zgłoszonego incydentu.

Cyberprzestępcy atakują wtedy, gdy najmniej się tego spodziewamy. Dlatego CSIRT CeZ działa siedem dni w tygodniu, by wspierać placówki medyczne w budowaniu odporności cyfrowej. Naszym celem jest nie tylko reagowanie, ale przede wszystkim zapobieganie, czyli profilaktyka w zakresie cyberbezpieczeństwa” – podkreśla Tomasz Jeruzalski, Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych i Pełnomocnik ds. CSIRT CeZ.

Diagnoza cyberodporności szpitali: wciąż wiele do zrobienia

Wysoka liczba zgłoszeń w polskim sektorze ochrony zdrowia nie jest przypadkowa. Wyniki analiz [2] prowadzonych w szpitalach przez CSIRT CeZ pokazują, że wiele z nich wciąż nie wdrożyło kluczowych zabezpieczeń ani procedur:

  • 60% podmiotów w ogóle nie monitoruje pojawiających się podatności
  • niecałe 60% jednostek wykonuje cykliczne testy kopii oraz odzyskiwania
  • prawie 9% nie ma tak podstawowych mechanizmów ochrony, jak oprogramowanie antywirusowe, systemy typu EDR/XDR (analiza zagrożeń na urządzeniach końcowych  oraz w sieci) czy firewall
  • uwierzytelnianie wieloskładnikowe/logowanie wieloetapowe (MFA) nadal nie jest powszechnie stosowanym mechanizmem – wdrożenia w podmiotach są punktowe, co tworzy jedynie mylne wrażenie bezpieczeństwa

Niektóre z pytań jakie zadaliśmy…

Jednym z pierwszych pytań była współpraca z CSIRT NASK i innymi krajowymi zespołami. To obszar bliski także nam w Sekuraku/Securitum – regularnie zgłaszamy podatności do różnych CSIRT-ów, które nierzadko zahaczają o obszar działania CSIRT CeZ.

Odpowiedź: Kontakt odbywa się na porządku dziennym – działa dedykowany komunikator, wykorzystywane są dynamiczne ścieżki komunikacji. Przy poważnych incydentach natychmiast tworzone są wspólne war roomy, w których koordynowane są działania i podejmowane decyzje w trybie ciągłym.

Sebastian zapytał także o kwestię atrybucji – czy CSIRT CeZ wskazuje, kto stoi za atakami.

Odpowiedź: Zespół prowadzi działania analizy powłamaniowej i threat huntingu, badając techniki i wektory ataku, ale nie dokonuje publicznej atrybucji. Wnioski służą przede wszystkim wewnętrznemu modus operandi i współpracy z innymi CSIRT-ami.

Skany infrastruktury – brzeg czy LAN?

Odpowiedź: Obecnie zespół realizuje głównie skany podatności na brzegu sieci, czyli usług wystawionych na zewnątrz. Skany LAN nie są jeszcze prowadzone – to wymaga dodatkowych regulacji prawnych i stwarza szereg innych problemów. W przyszłości jednak nie można wykluczyć, że CSIRT będzie poszerzał swój zakres działań.

Kolejne pytanie dotyczyło zakresu wsparcia udzielanego przez CSIRT CeZ wzdłuż łańcucha ataku – od momentu wykrycia pierwszych oznak zagrożenia, przez obsługę incydentu, aż po analizę powłamaniową.

Odpowiedź: Przedstawiciele zespołu wyjaśnili, że CSIRT CeZ może wspierać placówki na każdym etapie – zarówno poprzez szybkie ostrzeganie i konsultacje, jak i analizę w trakcie trwającego ataku czy doradztwo po incydencie. Celem jest nie tylko ograniczenie skutków ataku, lecz także wnioski i rekomendacje, które mają wzmocnić odporność cyfrową w przyszłości.

Na zdjęciu od lewej: Sebastian Jeż – Przedstawiciel Sekurak/Securitum, Jeremi Olechnowicz – Kierownik CSIRT CeZ, dr Tomasz Jeruzalski – Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych, Pełnomocnik ds. CSIRT CeZ, Mikołaj Dreger – CSIRT CeZ, Sebastian Bukowski – Dyrektor Departamentu Bezpieczeństwa, Bartosz Borysewicz – Zastępca Dyrektora Departamentu Bezpieczeństwa.
Na zdjęciu Rzecznik prasowy Centrum e-Zdrowia Tomasz Kulas oraz pozostali członkowie spotkania.
Na zdjęciu od lewej: Sebastian Jeż – Przedstawiciel Sekurak/Securitum, Jeremi Olechnowicz – Kierownik CSIRT CeZ, dr Tomasz Jeruzalski – Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych, Pełnomocnik ds. CSIRT CeZ.

~Sebastian Jeż

[1] Raport IBM „Cost of a Data Breach” w 2025 roku.

[2] Badanie zrealizowane w tym roku przez CSIRT CeZ.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz