Cyberbezpieczeństwo szpitali po niedoszłych grantach: jak zarządzać ryzykiem, finansami i zgodnością teraz, a nie jutro
W ochronie zdrowia nie ma pauzy od cyberzagrożeń. Według doniesień branżowych, część szpitali nie otrzymała środków z KPO na wzmocnienie bezpieczeństwa IT, a zapotrzebowanie przerosło pierwotną alokację. To ważny sygnał, lecz wciąż brakuje oficjalnych potwierdzeń co do skali oraz dalszych decyzji instytucji. Jedno jest pewne: placówki nie mogą odkładać działań na później.
Dyrektorzy i managerowie stają przed zadaniem pogodzenia realnych ryzyk operacyjnych z twardymi obowiązkami prawnymi, i to przy ograniczonych budżetach. Poniżej przedstawiamy priorytety i scenariusze działania, które pozwalają utrzymać ciągłość świadczeń i zgodność, niezależnie od tempa uruchamiania programów wsparcia.
Między obietnicą a ryzykiem operacyjnym
KPO miał wzmocnić odporność systemów IT podmiotów leczniczych, jednak popyt na finansowanie wyraźnie przewyższył dostępne środki. Doniesienia o szerszej grupie szpitali poza listą beneficjentów należy na razie traktować ostrożnie, bo brakuje potwierdzonych informacji o dodatkowej alokacji, kolejnych turach naborów czy regułach rozszerzenia listy.
Najważniejsza wskazówka na dziś: nie planować kluczowych zabezpieczeń w oparciu o niepewne dotacje. Minimalny poziom ochrony musi być sfinansowany i utrzymany z zasobów własnych, tak aby przerwa w pracy systemów nie paraliżowała udzielania świadczeń i rozliczeń.
Warto równolegle monitorować komunikaty MZ i CeZ dotyczące ewentualnych przesunięć w ramach KPO, harmonogramów konkursów oraz potencjalnej dopuszczalności retrofinansowania – to elementy, które mogą zmienić kolejność inwestycji, ale nie powinny wstrzymywać działań naprawczych.
Bez taryfy ulgowej: priorytety bezpieczeństwa niezależne od dotacji
RODO wymaga zapewnienia odpowiedniego poziomu bezpieczeństwa (m.in. dobór środków technicznych i organizacyjnych), a dane pacjentów należą do szczególnych kategorii. Dodatkowo, nadchodząca transpozycja NIS2 prawdopodobnie rozszerzy katalog placówek objętych dodatkowymi wymogami i kontrolami. To wszystko oznacza, że „minimum techniczne” trzeba realizować już teraz, z planem na etapowanie CAPEX i OPEX.
- Segmentacja sieci oraz zarządzanie tożsamościami i uprawnieniami (w tym MFA dla kont uprzywilejowanych).
- Kopie zapasowe zgodne z zasadą 3-2-1, z warstwą offline/immutable, regularnie testowane pod kątem odtworzenia.
- EDR/XDR, aktualizacje i łatki bezpieczeństwa, twardnienie konfiguracji systemów i aplikacji.
- Stałe monitorowanie (SOC lub usługa MSSP), gotowy plan reagowania na incydenty i zespół decyzyjny.
- Szkolenia personelu z phishingu i higieny haseł, polityki czystego pulpitu i kontroli nośników.
Wdrażając powyższe elementy, nie zapomnij o dokumentacji: politykach, rejestrach, DPIA dla systemów krytycznych, upoważnieniach oraz ewidencji aktywów. Dokumenty nie zastąpią zabezpieczeń, ale przesądzają o skuteczności i zgodności całego systemu.
Dzień, w którym HIS się zatrzyma
Rosnąca intensywność ataków ransomware w ochronie zdrowia przekłada się na konkretne scenariusze: wstrzymane przyjęcia, kolejki na SOR, utrudnione działanie laboratoriów i bloku operacyjnego, a do tego ryzyko naruszeń EDM oraz RIS/PACS. Nawet krótkotrwała niedostępność systemów potrafi zdezorganizować harmonogramy na wiele dni.
Plan ciągłości działania (BCP) i odtwarzania po awarii (DRP) powinny jasno wskazywać maksymalny tolerowany czas przestoju, priorytety przywracania systemów, mechanizmy pracy na papierze oraz ścieżki komunikacji z personelem, dostawcami i pacjentami. To nie jest wyłącznie kwestia technologii – to zarządzanie szpitalem w trybie kryzysowym.
W praktyce kluczowe jest przetestowane odtwarzanie kopii, precyzyjna inwentaryzacja zależności między systemami i umowy z dostawcami zapewniające realne czasy reakcji. Dobrze przygotowany BCP/DRP to różnica między kontrolowanym „downtime” a chaosem, który odbija się na bezpieczeństwie pacjentów i wyniku finansowym.
Regulacje wyprzedzają budżety
Obowiązki prawne nie zależą od tego, czy placówka otrzymała dotację. RODO wymaga zgłaszania naruszeń ochrony danych do UODO i – gdy to konieczne – do osób, których dane dotyczą. Krajowy system cyberbezpieczeństwa już dziś obejmuje wyznaczonych operatorów, a po wdrożeniu NIS2 krąg zobowiązanych podmiotów może się powiększyć.
Do niepewnych elementów należą szczegóły audytów, terminów raportowania incydentów i katalogu sankcji w polskich przepisach wykonawczych. Kierunek jest jednak jasny: więcej wymogów i większa odpowiedzialność. To dodatkowy argument, by porządkować dokumentację, podnosić dojrzałość procesów i nawiązywać współpracę z CSIRT w przypadku incydentów.
Audyt bezpieczeństwa i zgodności bywa najlepszym punktem startu do urealnienia planu inwestycji i OPEX. Jeśli potrzebujesz wsparcia w tym zakresie, sprawdź audyty dla podmiotów leczniczych.
Kontrakt i kasa: jak przejść przez rozliczenia w cieniu incydentu
Incydenty cyber potrafią okresowo zablokować sprawozdawczość, weryfikację uprawnień czy raportowanie świadczeń. To bezpośrednio uderza w płynność finansową. W takich sytuacjach warto niezwłocznie komunikować się z właściwym OW NFZ, udokumentować zakres i czas trwania zakłóceń oraz – jeśli to uzasadnione – wystąpić o potraktowanie ich jako okoliczności niezależnych.
Przy dłuższych przestojach konieczne może być aneksowanie harmonogramów pracy albo priorytetyzacja udzielania świadczeń po przywróceniu systemów, by zminimalizować ryzyko niewykonania ryczałtów czy limitów. Każdy przypadek wymaga indywidualnych ustaleń, ale im lepiej udokumentujesz działania naprawcze i skalę utrudnień, tym łatwiej o porozumienie.
Jeżeli incydent zagroził bieżącym rozrachunkom lub rozliczeniom świadczeń, pomocne może być wsparcie zespołu, który łączy kompetencje prawne i operacyjne w pracy z płatnikiem. Zobacz, jak możemy pomóc w obszarze rozliczeń z NFZ.
Skąd wziąć środki, kiedy KPO nie wystarcza
Warto rozważyć konkursy w programach UE 2021–2027 (krajowych i regionalnych), które przewidują działania na rzecz cyberbezpieczeństwa lub cyfryzacji. Kwalifikowalność podmiotów leczniczych i szczegółowe kryteria bywają jednak ograniczające, dlatego każdorazowo potrzebna jest analiza dokumentacji i kontakt z instytucją zarządzającą.
Nie wykluczaj projektów centralnych, jeśli pojawią się mechanizmy sektorowego wsparcia spoza KPO (np. inicjatywy CeZ lub NASK). Na dziś trudno wskazać dostępne i dedykowane nabory, dlatego monitoring komunikatów jest kluczowy. W tle pozostają instrumenty dłużne i leasing na infrastrukturę, a także polisy cyber – te ostatnie mogą przenosić część ryzyka finansowego incydentu, lecz nie zastąpią wymogów RODO/NIS.
Placówki, które uzyskały finansowanie z KPO, powinny zwrócić szczególną uwagę na zgodność z PZP, neutralność technologiczną, unikanie podwójnego finansowania i kwalifikowalność kosztów operacyjnych (np. SOC, subskrypcje). Korekty finansowe potrafią zniweczyć efekty projektu. Dobrą praktyką jest przegląd dokumentacji i planu zakupów przed ogłoszeniem postępowań.
Najczęstsze potknięcia i jak ich uniknąć
Najbardziej kosztownym błędem jest traktowanie cyberbezpieczeństwa jak jednorazowego zakupu. Bez procesów, ćwiczeń i przewidzianych kosztów utrzymania nawet najlepszy sprzęt szybko traci wartość. Niedoszacowane OPEX (monitoring, aktualizacje, licencje) zwykle wraca jak bumerang w postaci przestojów i luk w ochronie.
Drugi klasyk to kopie zapasowe, które istnieją „na papierze”: brak izolacji lub niezmienności, brak regularnych testów odtworzenia i pojedyncza lokalizacja. Dalej mamy brak segmentacji sieci, niekontrolowane konta uprzywilejowane, niekonsekwentne MFA i luki w zarządzaniu tożsamościami.
Często pojawiają się również błędy w PZP – vendor lock-in bez analizy TCO, specyfikacje nieodzwierciedlające faktycznych potrzeb czy niezgodność z wymogami neutralności. Z perspektywy ochrony danych problemem bywa niepełna dokumentacja RODO (DPIA dla systemów krytycznych, rejestry czynności), a także opóźnione zawiadamianie UODO i osób po naruszeniach. Wreszcie – pomijanie współpracy z CSIRT obniża skuteczność reakcji na incydenty.
Na radarze dyrektora: plan na kolejne kwartały
Przede wszystkim – zrób przegląd ryzyk i priorytetów na najbliższe 90 dni. Włącz do niego test odtworzeniowy kopii, przegląd uprawnień kont uprzywilejowanych, ćwiczenia z komunikacji kryzysowej i aktualizację IRP/BCP. To szybkie działania, które znacząco zmniejszają skutki ewentualnego incydentu.
Utrzymuj stały nasłuch komunikatów MZ i CeZ w sprawie ewentualnych realokacji środków i naborów, a także śledź konkursy w programach UE 2021–2027. Równolegle monitoruj prace legislacyjne nad wdrożeniem NIS2 oraz zmiany w zarządzeniach Prezesa NFZ dotyczące warunków realizacji umów i trybów awaryjnych przy zakłóceniach IT.
Nie ignoruj raportów CSIRT oraz decyzji UODO dotyczących sektora medycznego – to kompas, który wskazuje realne wektory ataków i oczekiwania organów. Wreszcie, weryfikuj na bieżąco wymagania techniczne i branżowe rekomendacje (backup immutability, segmentacja, EDR/XDR, SOC), bo właśnie one coraz częściej stają się kryterium ocen projektów i przedmiotem kontroli.
Nawet jeśli perspektywa dodatkowych środków publicznych jest kusząca, dzisiejsza dojrzałość cyber i porządek w dokumentacji zdecydują o tym, czy incydent będzie epizodem do opanowania, czy kryzysem, który uderzy w pacjentów, reputację i finanse.