NFZ Narodowy Fundusz Zdrowia Kujawsko-Pomorski Oddział Wojewódzki w Bydgoszczy

Informacja z CSIRT NASK o wzmożonej aktywności cyberprzestępców w sektorze zdrowia.

A pomniejsz czcionkę A standardowy rozmiar A powiększ czcionkę

Sektor zdrowia na celowniku cyberprzestępców


W ciągu ostatniego tygodnia CSIRT NASK odnotował w Polsce trzy skuteczne infekcje złośliwym oprogramowaniem szyfrującym w sektorze zdrowia. Skutkowały one całkowitym lub częściowym przerwaniem pracy zaatakowanej placówki. Według naszych prognoz, może to być dopiero początek szerszej kampanii wymierzonej w sektor zdrowia.

Atak zrealizowany w środowisku przetwarzania danych prowadzi do braku możliwości odczytu, edycji lub zapisu danych. Przekłada się to na poważne zagrożenie dla ciągłości usługi lub usług realizowanych w placówkach, a tym samym rzutuje na bezpieczeństwo terapii pacjentów.

W związku z powyższym, przekazujemy rekomendacje, które nie tylko pomogą zminimalizować ryzyko wystąpienia zagrożenia, ale także umożliwią skuteczne działania naprawcze. Zwracamy się również z uprzejmą prośbą do organu właściwego ds. cyberbezpieczeństwa w sektorze zdrowia o przekazanie wytycznych do jak największej liczby podmiotów, które mogą być narażone na atak.

W naszej ocenie samodzielne wykonanie podanych niżej kroków znacząco zredukuje ryzyko infekcji złośliwym oprogramowaniem typu ransomware. Równocześnie deklarujemy możliwość bezpośredniej konsultacji, jeśli w trakcie realizacji technicznej części zaleceń pojawią się wątpliwości. W tym celu prosimy o wiadomość email na adres cert@cert.pl.

Co należy zrobić?


Weryfikacja procedur wykonywania kopii zapasowych istotnych systemów - mowa o wszystkich systemach zawierających informacje kluczowe dla funkcjonowania podmiotu, np. dane pacjentów, informacje o leczeniu, informacje o kontrahentach, dane kadrowo-płacowe. W szczególności zbadanie ich pod kątem następujących zagadnień:

  • Czy takie procedury istnieją, a ich treść jest aktualna?
  • Czy wspomniane procedury działają i są cyklicznie realizowane?
  • Czy wykonywana kopia zapasowa danych jest archiwizowana w sposób trwały i odporny? (w szczególności czy przestrzeń kopii zapasowych nie jest podłączona jako zasób sieciowy w sieci roboczej, ponieważ najczęściej również ona zostanie zaszyfrowana)
  • Czy faktycznie istnieje możliwość odtworzenia pracy, wykorzystując wyłącznie kopię zapasową?
  • Czy przeprowadzane są testy utworzonych kopii zapasowych w regularnych odstępach czasu?

Identyfikacja zakresu publicznych adresów IP należących do podmiotów sektora zdrowia. W razie wątpliwości należy skontaktować się z obsługującym dany podmiot dostawcą usług internetowych w celu uzyskania takiej informacji.


  • Skanowanie sieci w poszukiwaniu dostępnych z Internetu serwerów i stacji roboczych udostępniających usługę zdalnego dostępu - Remote Desktop Protocol/RDP. Jest to jeden z najpopularniejszych wektorów ataku ransomware celowanego w organizacje. W razie trudności CERT Polska może wykonać je samodzielnie po przekazaniu zakresu adresów IP.
  •  Jeśli z jakiegoś powodu zdalny dostęp jest konieczny, silnie sugerujemy wprowadzić dodatkowe środki bezpieczeństwa (np. wystawianie zdalnego pulpitu tylko przez firmowy VPN).
  • Podjęcie działań zapobiegawczych, np. zmiana konfiguracji zapory sieciowej i blokada dostępu poprzez pulpit zdalny.
  • Upewnienie się, że hasła dostępowe dla wszystkich użytkowników - w szczególności administratora są odpowiednio mocne. Mogą w tym pomóc liczne rekomendacje dotyczące wybierania silnych haseł, np. to od firmy Avast: https://blog.avast.com/pl/10-rad-jak-wybra%C4%87-silne-has%C5%82o

W przypadku wykrycia infekcji oprogramowaniem szyfrującym (zmiana rozszerzenia plików, pojawienie się notki z żądaniem okupu) prosimy o niezwłoczny kontakt z zespołem CERT Polska poprzez stronę https://incydent.cert.pl albo email cert@cert.pl).

Polski sektor zdrowia nie jest jedynym narażonym na zorganizowane ataki z użyciem oprogramowania szyfrującego. W ostatnim czasie obserwowane są liczne przypadki skutecznych infekcji, a najgłośniejsze przypadki i niepokojące informacje płyną ze Stanów Zjednoczonych.

W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej szczegółów w naszej Polityce Cookies.

Zamknij