Szpitale narażone na ataki hakerów. A środków na cyberbezpieczeństwo za mało

Do szpitali na inwestycje w cyfryzację  ma trafić łącznie 3,131 mld zł. Chodzi o zakup sprzętu i usług na potrzeby m.in. wdrożenia rozwiązań AI, digitalizacji dokumentacji medycznej, integracji i rozbudowy systemów informatycznych szpitali oraz zwiększenia w nich poziomu cyberbezpieczeństwa. To ostatnie nabiera znaczenia w kontekście presji ze strony rosyjskich hakerów.

W tygodniu, który nastąpił po naruszeniu polskiej przestrzeni powietrznej przez rosyjskie drony (10-16 września), odnotowano bowiem 17 incydentów cyberbezpieczeństwa w ochronie zdrowia – przekazało „Rzeczpospolitej” Centrum e-Zdrowia, państwowa jednostka budżetowa powołana przez Ministerstwo Zdrowia. Z kolei w tygodniu poprzedzającym to wydarzenie takich incydentów było 20, w tym jedno włamanie. W ocenie ekspertów CeZ w ostatnich tygodniach nie widać wyraźnego wzrostu liczby incydentów. Ale już w całym 2025 roku tendencja – w porównaniu z ubiegłym rokiem – jest wyraźna.

Zabrakło pieniędzy z KPO na szpitale?

Ministerstwo Zdrowia poinformowało, że w ramach konkursu na cyfryzację szpitali z Krajowego Planu Odbudowy wpłynęło 495 wniosków, z czego pozytywnie oceniono większość – aż 457. „Do objęcia wsparciem zgodnie z warunkami konkursu rekomendowane zostało 325 przedsięwzięć o najwyższej uzyskanej punktacji” – czytamy w komunikacie. Mimo pozytywnej oceny złożonego wniosku, pieniędzy nie dostanie 132 szpitali, w tym 81 szpitali publicznych i 51 działających w formie spółek kapitałowych. Na liście pominiętych placówek znalazło się 5 szpitali wojskowych oraz 7 szpitali publicznych Ministerstwa Spraw Wewnętrznych i Administracji, w tym Szpital MSWiA w Krakowie, który w marcu 2025 r. padł ofiarą ataku hakerów.

– Wygląda to tak, jakby po prostu skończyły się pieniądze. Jeśli mamy środki z KPO przeznaczone na cyberbezpieczeństwo, nie można jednym ruchem odciąć jednej trzeciej szpitali publicznych, które spełniły warunki. Tym bardziej, że wraz z ogłoszeniem konkursu ceny oprogramowania oferowanego przez firmy wyraźnie wzrosły – mówi Tomasz Kopiec, dyrektor Szpitala im. prof. W. Orłowskiego CMKP w Warszawie.

„Resort zdrowia nie bierze pod uwagę realnej mapy potrzeb zdrowotnych”

Dyrektorzy szpitali, którzy mimo pozytywnej oceny wniosku nie otrzymali finansowania, stawiają pod znakiem zapytania słuszność kryteriów konkursowych. – Mamy wysokie zrozumienie dla potrzeb systemu ochrony zdrowia, ale szczególnie boli nas to, że ponownie organizator finansowania, chcąc uwzględnić interes ogółu, nie bierze pod uwagę tych jednostek, które z uwagi na swoją monospecjalityczność i działalność, jaką prowadzą, nie są w stanie osiągać takich liczb, które są stawiane jako warunki kwalifikacji – mówi „Rz” Marcin Ludyga, zastępca dyrektora ds. Transformacji Cyfrowej i Jakości w Centrum Leczenia Oparzeń w Siemianowicach Śląskich.

Jak tłumaczy Ludyga, chodzi o wymagania dotyczące zakresu realizowanych świadczeń. Z punktu widzenia kryteriów konkursowych szpital wysokospecjalistyczny, koncentrujący się na leczeniu oparzeń, był w gorszej sytuacji niż szpital, który udziela różnych rodzajów świadczeń. – Takie jednostki jak nasza są w swych potrzebach pomijane, a przecież w zakresie cyberbezpieczeństwa mamy takie same potrzeby jak inni realizatorzy świadczeń zdrowotnych – mówi zastępca dyrektora. Wskazuje też, że resort zdrowia nie bierze pod uwagę realnej mapy potrzeb zdrowotnych. W tym kontekście Centrum Leczenia Oparzeń w Siemianowicach Śląskich odpowiada na potrzeby regionu, gdzie działa przemysł zbrojeniowy, hutnictwo i górnictwo, a ryzyko wypadków i oparzeń jest wysokie.

– Kryteria wyraźnie premiowały mniejsze szpitale kosztem większych jednostek – uważa dyrektor Szpitala CMPK im. Orłowskiego w Warszawie. Jak tłumaczy, ocena koncentrowała się wyłącznie na danych historycznych, np. liczbie hospitalizacji. A całkowicie pominięto potencjał rozwojowy. Nie stworzono mechanizmu pozwalającego ocenić, jaką rolę dana placówka może pełnić w przyszłości dzięki uzyskanemu wsparciu. – To podejście jest bardzo krzywdzące, bo ocenia jedynie przeszłość, a nie przyszłość systemu ochrony zdrowia. Jeżeli mówimy o roli szpitali, musimy patrzeć na ich faktyczne znaczenie. SPSK im. prof. W. Orłowskiego CMKP mieszczący się przy ul. Czerniakowskiej w Warszawie został zobowiązany do zabezpieczenia łóżek w celu udzielania świadczeń szpitalnych na potrzeby obronne państwa. Spełniamy więc kryteria bezpieczeństwa i stabilności systemu, a jednocześnie w ocenie osób odpowiedzialnych za cyfryzację nie zasługujemy na wsparcie w zakresie cyberbezpieczeństwa. To jest po prostu niespójne i niesprawiedliwe – wskazuje Kopiec.

Czytaj więcej:

Biznes

Jak skutecznie bronić się przed cyberatakiem

Tylko kompleksowe podejście i strateg...

Pro