Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r.
Cyberbezpieczeństwo w ochronie zdrowia: co zdradził nam zespół CSIRT CeZ?
Na spotkaniu CSIRT CeZ, które odbyło się 24.09.2025, reprezentował nas Sebastian Jeż. Odpowiedzi na zadane przez Sebastiana pytania pokazują skalę wyzwań, z jakimi mierzy się CSIRT CeZ od czasu powołania w grudniu 2023 roku.
Zgodnie z wieloma raportami, ze względów geopolitycznych, Polska doświadcza największej liczby cyberataków wśród państw Unii Europejskiej. W samym sektorze ochrony zdrowia do końca sierpnia odnotowano 946 incydentów cyberbezpieczeństwa – niemal tyle, co w całym roku 2024. Dlatego CSIRT CeZ, jedyny sektorowy zespół cyberbezpieczeństwa w obszarze zdrowia, każdego dnia wspiera placówki medyczne w walce z rosnącymi zagrożeniami.
Średni koszt naruszenia danych w sektorze ochrony zdrowia na świecie obliczany jest w tym roku na 7,42 mln dolarów [1].
Czym zajmuje się CSIRT CeZ?
CSIRT CeZ to jeden z dwóch – obok CSIRT KNF – zespołów zajmujących się cyberbezpieczeństwem wybranego sektora (tu: ochrony zdrowia). Działa siedem dni w tygodniu, monitorując podatności, ostrzegając o zagrożeniach, wspierając placówki w obsłudze incydentów, edukując i prowadząc regularne szkolenia dla wielu grup odbiorców.
CSIRT CeZ:
- reaguje na zagrożenia: rozsyła ostrzeżenia, publikuje informacje i zalecenia
- (tylko w pierwszym kwartale 2025 r. wykryto i opisano ponad 120 podatności
w infrastrukturze informatycznej placówek ochrony zdrowia: m.in. szpitali, POZ, AOS)
- (tylko w pierwszym kwartale 2025 r. wykryto i opisano ponad 120 podatności
- edukuje poprzez publikację merytorycznych poradników i artykułów
- szkoli podczas organizowanych warsztatów – już ponad 1300 przeszkolonych pracowników podmiotów leczniczych
- przyjmuje i obsługuje zgłoszenia dotyczące incydentów bezpieczeństwa,
- zapewnia potrzebne wsparcie, adekwatne do zgłoszonego incydentu.
„Cyberprzestępcy atakują wtedy, gdy najmniej się tego spodziewamy. Dlatego CSIRT CeZ działa siedem dni w tygodniu, by wspierać placówki medyczne w budowaniu odporności cyfrowej. Naszym celem jest nie tylko reagowanie, ale przede wszystkim zapobieganie, czyli profilaktyka w zakresie cyberbezpieczeństwa” – podkreśla Tomasz Jeruzalski, Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych i Pełnomocnik ds. CSIRT CeZ.
Diagnoza cyberodporności szpitali: wciąż wiele do zrobienia
Wysoka liczba zgłoszeń w polskim sektorze ochrony zdrowia nie jest przypadkowa. Wyniki analiz [2] prowadzonych w szpitalach przez CSIRT CeZ pokazują, że wiele z nich wciąż nie wdrożyło kluczowych zabezpieczeń ani procedur:
- 60% podmiotów w ogóle nie monitoruje pojawiających się podatności
- niecałe 60% jednostek wykonuje cykliczne testy kopii oraz odzyskiwania
- prawie 9% nie ma tak podstawowych mechanizmów ochrony, jak oprogramowanie antywirusowe, systemy typu EDR/XDR (analiza zagrożeń na urządzeniach końcowych oraz w sieci) czy firewall
- uwierzytelnianie wieloskładnikowe/logowanie wieloetapowe (MFA) nadal nie jest powszechnie stosowanym mechanizmem – wdrożenia w podmiotach są punktowe, co tworzy jedynie mylne wrażenie bezpieczeństwa
Niektóre z pytań jakie zadaliśmy…
Jednym z pierwszych pytań była współpraca z CSIRT NASK i innymi krajowymi zespołami. To obszar bliski także nam w Sekuraku/Securitum – regularnie zgłaszamy podatności do różnych CSIRT-ów, które nierzadko zahaczają o obszar działania CSIRT CeZ.
Odpowiedź: Kontakt odbywa się na porządku dziennym – działa dedykowany komunikator, wykorzystywane są dynamiczne ścieżki komunikacji. Przy poważnych incydentach natychmiast tworzone są wspólne war roomy, w których koordynowane są działania i podejmowane decyzje w trybie ciągłym.
Sebastian zapytał także o kwestię atrybucji – czy CSIRT CeZ wskazuje, kto stoi za atakami.
Odpowiedź: Zespół prowadzi działania analizy powłamaniowej i threat huntingu, badając techniki i wektory ataku, ale nie dokonuje publicznej atrybucji. Wnioski służą przede wszystkim wewnętrznemu modus operandi i współpracy z innymi CSIRT-ami.
Skany infrastruktury – brzeg czy LAN?
Odpowiedź: Obecnie zespół realizuje głównie skany podatności na brzegu sieci, czyli usług wystawionych na zewnątrz. Skany LAN nie są jeszcze prowadzone – to wymaga dodatkowych regulacji prawnych i stwarza szereg innych problemów. W przyszłości jednak nie można wykluczyć, że CSIRT będzie poszerzał swój zakres działań.
Kolejne pytanie dotyczyło zakresu wsparcia udzielanego przez CSIRT CeZ wzdłuż łańcucha ataku – od momentu wykrycia pierwszych oznak zagrożenia, przez obsługę incydentu, aż po analizę powłamaniową.
Odpowiedź: Przedstawiciele zespołu wyjaśnili, że CSIRT CeZ może wspierać placówki na każdym etapie – zarówno poprzez szybkie ostrzeganie i konsultacje, jak i analizę w trakcie trwającego ataku czy doradztwo po incydencie. Celem jest nie tylko ograniczenie skutków ataku, lecz także wnioski i rekomendacje, które mają wzmocnić odporność cyfrową w przyszłości.
~Sebastian Jeż
[1] Raport IBM „Cost of a Data Breach” w 2025 roku.
[2] Badanie zrealizowane w tym roku przez CSIRT CeZ.
Jakoś na razie nie chwytam idei CSIRT bez skanowania sieci. Na razie z opisu brzmi to jak czysto doradcza instytucja, ale pewnie się mylę. Może moglibyście zrobić jakiś wywiad z kimś zanurzonym w jej działalność? Np jak szpitale reagują na nich, na czym polega opór materii, czy 91% szpitali które jak wynika z danych mają „podstawowe mechanizmy ochrony”, to ma je naraz czy pojedynczo (np tylko antywirusa, tylko firewalle), itp. Czy badana na zabezpieczenia była tylko część biurowa, czy systemy OT (urządzenia medyczne) też. Ogólnie to byłby bardzo przydatny CSIRT, ale no pierwszy raz o nim słyszę, a stan security w szpitalach czasem widzę (i nie są to pozytywne wrażenia). O i jeszcze, co z innymi placówkami ochrony zdrowia niż szpitale.