Niebezpieczny cyberatak - szybka reakcja szpitala MSWiA i ekspertów T-Mobile 

W sobotę, 8 marca 2025 roku, Samodzielny Publiczny Zakład Opieki Zdrowotnej MSWiA w Krakowie (SPZOZ MSWiA w Krakowie) padł ofiarą cyberataku. Złośliwe oprogramowanie przejęło kontrolę nad systemami teleinformatycznymi, unieruchamiając je i szyfrując dane. 

„Mieliśmy poważny incydent cyberbezpieczeństwa. Atak typu ransomware sparaliżował nasze systemy” - poinformował dr n. med. Michał Zabojszcz, dyrektor SPZOZ MSWiA w Krakowie. 

Branża medyczna jest szczególnie narażona na ataki. Cyberatak na jednostki ochrony zdrowia grozi przede wszystkim pacjentom. Lekarze, personel medyczny tracą dostęp do informacji o stanie zdrowia pacjentów. 

Rano, na monitorze dyżurnej lekarki, pojawił się niepokojący komunikat, o którym natychmiastowo poinformowała dyrektora szpitala. 

„Po weryfikacji okazało się, że dane zostały zaszyfrowane, serwery nie działały prawidłowo i nie było dostępu do danych medycznych” - wyliczał Marcin Stokłosa, kierownik Działu Obsługi Informatycznej SP ZOZ MSWiA w Krakowie. 

Dyrektor szpitala przyznał, że informatycy z jego placówki sami nie byli w stanie zareagować na tak poważny incydent.  

„Firma T-Mobile była jedną z pierwszych firm, do których zwróciliśmy się o pomoc - i tę pomoc dostaliśmy praktycznie od ręki” - zaznaczył dyrektor szpitala w Krakowie. 

T-Mobile, jako wieloletni partner technologiczny szpitala i dostawca środowiska sieciowego, dotychczas nie uczestniczył bezpośrednio we współpracy z placówką w zakresie cyberbezpieczeństwa. Jednak dzięki ugruntowanym relacjom oraz skutecznej współpracy, firma była naturalnym wyborem w sytuacji kryzysowej. 

W odpowiedzi na zgłoszenie T-Mobile zorganizował zespół projektowy, który zajął się zabezpieczeniem danych z serwerów oraz przystąpił do działań wspierających w reagowaniu na wytyczne otrzymywane od służb. 

Kierownik Działu Obsługi Informatycznej Szpitala MSWiA w Krakowie poinformował, że T-Mobile pojawiło się niemalże natychmiast. Eksperci przybyli z zapasowym sprzętem, który miał zostać wykorzystany do odbudowy infrastruktury na potrzeby odzyskania danych, które były w kopii zapasowej, a do których nie było dostępu ze względu na fakt, że infrastruktura została sparaliżowana. 

„Natychmiast delegowaliśmy wszystkie osoby, które były niezbędne do tego, żeby w pierwszej kolejności pomóc klientowi zrozumieć, co się w ogóle wydarzyło, a w drugiej, wtedy, gdy już wiedzieliśmy, że mamy do czynienia z ransomwarem, ograniczyć rozprzestrzenianie się tej infekcji” - przekonuje Paweł Dobrzański CSO/ Security Tribe Lead T-Mobile Polska, członek zarządu T-Mobile Polska Business Solutions. 

Przez cały weekend do dyspozycji klientów pozostawał opiekun oraz zespół inżynierów spółki T-Mobile Polska Business Solutions, która wspólnie z T-Mobile dostarcza klientom zaawansowane rozwiązania cyberbezpieczeństwa w ramach oferty T Business. Praca specjalistów polegała na szybkiej reakcji na potrzeby szpitala - dostarczeniu zastępczego sprzętu, urządzeń sieciowych oraz czasowego dostępu internetowego, aby jak najszybciej umożliwić prace analityczne inżynierów pracujących zdalnie. Zespół pomógł odbudować klientowi infrastrukturę i odtworzyć dane, wdrożył również działania mające na celu poprawę bezpieczeństwa środowiska odtwarzanego po ataku, m.in. system do zarządzania użytkownikami i urządzeniami oraz system, który analizuje i łączy dane z różnych źródeł, aby szybciej wykrywać zagrożenia. 

Dzięki szybkiemu zgłoszeniu incydentu i sprawnej koordynacji działań pomiędzy służbami a szpitalem możliwa była sprawna reakcja oraz szybkie rozpoczęcie prac na rzecz odbudowy infrastruktury. 

„Dziś wiemy, że bardzo ważne jest wdrażanie środków zabezpieczających, czy to w postaci Security Operations Center, czy rozwiązań z zakresu kopii zapasowych, czy to chociażby zwykłego oprogramowania antywirusowego, które będzie skutecznie chroniło przed potencjalnymi zagrożeniami” - powiedział kierownik Działu Obsługi Informatycznej Szpitala MSWiA w Krakowie. 

Eksperci wskazują, że to nie pierwszy tego typu atak na ochronę zdrowia. Szpitale są częstym celem cyberataków - działy IT w szpitalach bywają niedoinwestowane, brakuje specjalistów, a placówki korzystają ze sprzętu, który często jest przestarzały. Specjaliści mówią, że ponad 72 proc. placówek nie dysponuje zespołami ds. cyberbezpieczeństwa. Mimo to, cyberataki nie są problemem pojedynczych branż - to zjawisko o rosnącej skali. Tylko w 2024 roku Security Operations Center T-Mobile odnotowało o 350% incydentów więcej niż w roku poprzednim.  

Jak się w takim razie chronić? Nie ma jednoznacznej recepty, ponieważ jednostki posiadają różne środowiska i możliwości budżetowe. Warto jednak dbać o regularne przeglądy podatności, audyty oraz modernizować infrastrukturę i podnosić poziom cyberodporności pracowników - tak, jak zrobił to szpital w Krakowie. Prawidłowa reakcja lekarki pozwoliła na szybką reakcję na incydent.  

Firmy, które nie posiadają rozbudowanych kompetencji w zakresie cyberbezpieczeństwa, mogą sięgać po usługi doradcze od zaufanych partnerów i korzystać z dostępnych finansowań. T-Mobile wspiera instytucje we wdrażaniu rozwiązań cyberbezpieczeństwa w ramach programów i dofinansowań na cyfrową transformację ochrony zdrowia, np. ze środków KPO. Najlepiej sprawdzają się indywidualnie dopasowane rozwiązania. Najczęściej wymienianymi rozwiązaniami wśród ekspertów w branży medycznej są systemy EDR, SIEM oraz zespoły SOC, ponieważ zapewniają ochronę danych pacjentów, szybkie wykrywanie incydentów i skuteczną ochronę przed cyberzagrożeniami.  

„Dzisiaj operator telekomunikacyjny nie może być tylko dostawcą usługi telekomunikacyjnej. Wszystkie gałęzie naszego życia społecznego i biznesowego przeniosły się do świata wirtualnego, także świat kryminalny. I jeżeli dostawca usługi telekomunikacyjnej, jak T-Mobile Polska, chce być partnerem dla swoich klientów, musi tą usługę poszerzać o usługi bezpieczeństwa, a także o inne usługi wspierające rozwój biznesu. Chcemy, żeby klienci na nas polegali, więc bez tego nie możemy proponować poważnej współpracy swojemu klientowi” - podsumował członek zarządu T-Mobile Polska Business Solutions. 

Oferta T Business to szerokie portfolio usług z zakresu cyberbezpieczeństwa dla organizacji i instytucji publicznych. Szczegóły dostępne na stronie: https://biznes.t-mobile.pl/pl/produkty-i-uslugi/cyberbezpieczenstwo/nis-2 

Źródło informacji: PAP MediaRoom