Atak hakerski na szpital – brzmi jak fabuła thrillera technologicznego. Pacjenci w panice, lekarze bez dostępu do kartotek, unieruchomiony sprzęt, a personel medyczny zmuszony do walki z systemem zamiast o zdrowie pacjentów. Właśnie w takim momencie znajdowałem się… na łóżku szpitalnym w Szpitalu MSWiA w Krakowie, gdy placówka padła ofiarą cyberataku. No cóż, w takich chwilach kluczowe są plany awaryjne. Ataki zdarzają się, zdarzały i będą się zdarzać. Nie ma systemu w 100 proc. odpornego na zagrożenia. Pytanie brzmi: czy potrafimy funkcjonować, gdy nasze systemy przestaną działać? Czy mamy procedury na taką sytuację?

Z ciekawością śledziłem rozwój sytuacji. Zwłaszcza, że internet eksplodował. Na platformie X i Facebooku rozgorzała tradycyjna debata: „Czyja to wina?”, „Co na to rząd?”, „Kto powinien podać się do dymisji?”. Na LinkedInie rozpoczął się festiwal ekspertów: „To chińscy hakerzy”, „Wystarczyło kupić backup od firmy X i po problemie”, „Gdybyśmy wdrożyli NIS2, nic by się nie stało”. Każdy miał gotowe rozwiązanie, którego oczywiście nikt wcześniej nie zastosował.

Panika? Nie tutaj

Cyberataki na placówki medyczne to żadna nowość. Przykłady z Niemiec, USA czy Francji pokazują, że mogą one prowadzić do realnego zagrożenia życia pacjentów – w tym do sytuacji, w których szpitale nie mogą przeprowadzać operacji czy udzielać pomocy w nagłych przypadkach. A w Krakowie? Nic takiego się nie wydarzyło. Szpital był przygotowany na awarię i zadziałał zgodnie z procedurami. Po pierwsze, personel natychmiast przeszedł na dokumentację papierową – pacjenci byli przyjmowani na podstawie wywiadu medycznego, a lekarze mieli dostęp do podstawowych informacji niezbędnych do leczenia. Po drugie, łańcuch decyzyjny był jasny i sprawnie realizowany – nie było chaosu, nie było przestoju w opiece nad pacjentami. Po trzecie, lekarze i pielęgniarki zachowali pełen profesjonalizm – nikt nie sprawiał wrażenia, jakby sytuacja była dla niego zaskoczeniem. Po czwarte, komunikacja z pacjentami działała dobrze – informowano o tym, co się dzieje, co może ulec zmianie i na jakim etapie jest przywracanie normalnego funkcjonowania systemów.

A co z danymi pacjentów?

Największe pytanie dotyczyło oczywiście bezpieczeństwa danych pacjentów. Czy doszło do ich wycieku? Tego na razie nie wiemy – szpital poinformował o incydencie, a odpowiednie służby badają sprawę. Jednak tym, co najbardziej rzucało się w oczy, była reakcja w mediach społecznościowych. Jedni przekonywali, że „NIS2 by temu zapobiegło”. Otóż nie, to mit. Dyrektywa NIS2 nie jest magiczną tarczą chroniącą przed atakami – to regulacja dotycząca cyberbezpieczeństwa, ale to ludzie i ich działania są kluczowe. Inni z kolei dowodzili, że „wystarczyło kupić backup i po problemie”. No cóż, to kolejny mit. nawet najlepsze kopie zapasowe nie przywracają systemów w 15 minut – odtworzenie danych wymaga czasu, a szpitale nie mogą pozwolić sobie na przestoje.

Czy Twoja firma przetrwałaby taki atak?

Prawdziwa konkluzja powinna brzmieć: czy nasza firma lub instytucja mogłaby funkcjonować po wyłączeniu systemów informatycznych? Czy mamy opracowane procedury awaryjne? Szpital MSWiA w Krakowie zasługuje na szczególne uznanie za sprawne zarządzanie sytuacją kryzysową. Dzięki przygotowanym procedurom i profesjonalizmowi zespołu nie było chaosu, nie było paniki, nie było zagrożenia życia pacjentów.

Na zakończenie chciałbym podziękować lekarzom i personelowi szpitala MSWiA – w żadnym momencie nie czułem, aby moje zdrowie było zagrożone. Nie tylko w kwestiach medycznych, ale również organizacyjnych zachowywali się świetnie – sprawnie reagowali, informowali pacjentów i robili wszystko, aby sytuacja miała jak najmniejszy wpływ na leczenie.

A jeśli ktoś nadal myśli, że wystarczy antywirus i temat cyberbezpieczeństwa można zamknąć… cóż, powodzenia. Nie życzę mu w takim razie podobnego ataku.

Łukasz Kokoszka Łukasz Kokoszka  

Autor pełni rolę Cybersecurity Consultant w Sisoft.