RODO dla placówek medycznych
Wypełnij formularz
Potrzebujesz audytu?

Phishing w placówce medycznej — jak jedna wiadomość e-mail może doprowadzić do wycieku danych pacjentów

Phishing w placówce medycznej zaczyna się od zwykłej wiadomości

Phishing w placówce medycznej może wyglądać bardzo zwyczajnie. Pracownik rejestracji dostaje fakturę od rzekomego dostawcy. Lekarz otrzymuje link do dokumentu. Księgowość dostaje wiadomość o zaległej płatności. Administrator widzi e-mail udający komunikat od dostawcy programu medycznego.

Taka wiadomość może prowadzić do kradzieży loginu, przejęcia poczty, zainstalowania złośliwego oprogramowania albo uruchomienia ransomware. W placówce medycznej skutki mogą być poważne, bo poczta i systemy często zawierają dane pacjentów, dokumentację, wyniki badań, faktury i korespondencję z innymi podmiotami.

Gov.pl opisuje phishing jako wiadomości przygotowane tak, aby wyglądały wiarygodnie. Mogą nakłaniać do podania poufnych informacji, zawierać link do fałszywej strony albo zainfekowany załącznik.

Jak może wyglądać phishing skierowany do placówki medycznej?

Wiadomości phishingowe coraz rzadziej wyglądają jak oczywiste oszustwo. Często pasują do codziennej pracy placówki. Dlatego pracownik może kliknąć, bo wiadomość wygląda jak coś, czego się spodziewa.

Najczęstsze scenariusze:

  • fałszywa faktura od dostawcy materiałów medycznych,
  • wiadomość udająca NFZ, ZUS, bank albo operatora płatności,
  • link do rzekomego dokumentu od pacjenta,
  • załącznik udający wynik badania, skan lub potwierdzenie przelewu,
  • fałszywa informacja o konieczności aktualizacji programu medycznego,
  • prośba o ponowne logowanie do poczty lub panelu administracyjnego,
  • wiadomość od osoby podszywającej się pod właściciela placówki albo kierownika.

CERT Polska zwraca uwagę, że wiadomości phishingowe często są podobne do prawdziwych komunikatów usługodawców. To sprawia, że proste ostrzeżenie „nie klikaj w podejrzane linki” nie wystarcza. Personel musi wiedzieć, co dokładnie ma sprawdzać.

Co atakujący chce uzyskać?

Celem phishingu nie zawsze jest natychmiastowe zaszyfrowanie komputera. Czasem pierwszy krok jest cichy: przejęcie loginu do poczty, zdobycie hasła do systemu, uzyskanie dostępu do konta administratora albo namówienie pracownika do pobrania pliku.

W placówce medycznej szczególnie ryzykowne są:

  • login i hasło do poczty,
  • dostęp do programu medycznego,
  • dostęp do systemu rejestracji,
  • dostęp do panelu hostingu lub domeny,
  • dostęp do dysku z dokumentacją,
  • dostęp do systemu faktur,
  • konto administratora lub firmy IT.

Przejęta skrzynka e-mail może dać atakującemu dostęp do korespondencji z pacjentami, załączników, faktur, danych kontaktowych i historii spraw. Może też służyć do dalszych ataków, już z wiarygodnego adresu placówki.

Dlaczego rejestracja i lekarze są szczególnie narażeni?

Rejestracja obsługuje dużą liczbę wiadomości i telefonów. Pracownik często działa szybko: umawia wizyty, odbiera dokumenty, reaguje na prośby pacjentów, otwiera załączniki, drukuje pliki i przekazuje informacje dalej.

Lekarze i personel medyczny również mogą otrzymywać wiadomości z dokumentacją, wynikami, opisami badań albo informacjami od innych placówek. W natłoku pracy łatwo potraktować fałszywy załącznik jako zwykły dokument.

Dlatego phishing trzeba traktować jako ryzyko organizacyjne, a nie wyłącznie techniczne. Ochrona poczty, MFA i filtr antyspamowy są ważne, ale pracownik musi też wiedzieć, kiedy zatrzymać się i zgłosić podejrzaną wiadomość.

Załączniki i linki: dwa najczęstsze problemy

Najczęściej pracownik jest nakłaniany do kliknięcia linku albo otwarcia załącznika. Link może prowadzić do fałszywej strony logowania. Załącznik może zawierać złośliwe oprogramowanie albo skrypt uruchamiający dalszy atak.

W placówce warto przyjąć proste zasady:

  • nie logować się do poczty lub systemu z linku w wiadomości, jeżeli wiadomość budzi wątpliwości,
  • sprawdzać domenę strony logowania, a nie tylko wygląd strony,
  • nie otwierać załączników od nieznanych nadawców bez weryfikacji,
  • zachować ostrożność przy plikach spakowanych i nietypowych rozszerzeniach,
  • nie wpisywać hasła po kliknięciu linku z wiadomości, jeżeli można wejść do systemu samodzielnie z zapisanej zakładki,
  • zgłaszać podejrzane wiadomości do osoby odpowiedzialnej za IT lub bezpieczeństwo.

Centrum e-Zdrowia w fundamentalnych wytycznych wskazuje między innymi na systemy antyspamowe i antyphishingowe, blokowanie podejrzanych wiadomości i szkodliwych załączników oraz konfigurację SPF, DKIM i DMARC w poczcie.

MFA może ograniczyć skutki kradzieży hasła

Jeżeli pracownik poda hasło na fałszywej stronie, atakujący może spróbować natychmiast zalogować się do poczty lub systemu. MFA, czyli uwierzytelnianie wieloskładnikowe, utrudnia takie przejęcie konta.

MFA warto włączyć szczególnie dla:

  • poczty e-mail,
  • panelu administracyjnego strony,
  • hostingu i domeny,
  • systemu medycznego, jeżeli dostawca to umożliwia,
  • dostępu VPN lub zdalnego pulpitu,
  • kont administratorów,
  • kont właściciela i osób zarządzających.

MFA nie rozwiązuje każdego problemu. Jeżeli pracownik otworzy zainfekowany załącznik, potrzebne są też zabezpieczenia stacji roboczej, kopie zapasowe, aktualizacje i procedura reagowania. Przy poczcie jest jednak jednym z najważniejszych zabezpieczeń przed przejęciem konta.

Szkolenie personelu powinno być praktyczne

Szkolenie z phishingu nie powinno ograniczać się do ogólnego hasła „uważaj na linki”. Personel powinien zobaczyć przykłady wiadomości podobnych do tych, które naprawdę może otrzymać w pracy.

Dobre szkolenie dla placówki medycznej powinno obejmować:

  • fałszywe faktury,
  • wiadomości udające NFZ, ZUS, bank lub dostawcę programu,
  • fałszywe linki do logowania,
  • załączniki udające dokumentację lub wyniki,
  • przykłady podszywania się pod właściciela placówki,
  • zasady zgłaszania podejrzanej wiadomości,
  • procedurę po kliknięciu linku albo podaniu hasła.

Najważniejsze jest zdjęcie z pracownika presji. Jeżeli ktoś kliknął, powinien szybko zgłosić sprawę, a nie ukrywać ją ze strachu. Im szybciej placówka zareaguje, tym większa szansa ograniczenia skutków.

Co powinien zrobić pracownik po otrzymaniu podejrzanej wiadomości?

W placówce warto mieć krótką instrukcję dla personelu. Powinna być prosta i możliwa do wykonania w stresie.

Przykładowa procedura:

  1. Nie klikaj linku i nie otwieraj załącznika, jeżeli wiadomość budzi wątpliwości.
  2. Nie odpowiadaj nadawcy, jeżeli podejrzewasz podszycie.
  3. Przekaż wiadomość do osoby odpowiedzialnej za IT lub bezpieczeństwo.
  4. Jeżeli wiadomość dotyczy faktury, dostawcy albo pacjenta, potwierdź ją innym kanałem, na przykład telefonicznie, używając numeru znanego wcześniej, a nie z wiadomości.
  5. Nie usuwaj wiadomości przed oceną, bo może być potrzebna do analizy.
  6. Jeżeli to SMS, można zgłosić go do CERT Polska na numer 8080.

Gov.pl wskazuje, że podejrzane SMS-y i e-maile można zgłaszać do CERT Polska / CSIRT NASK. W przypadku SMS-ów działa numer 8080.

Kliknięcie linku albo podanie hasła nie musi oznaczać katastrofy, ale wymaga szybkiego działania. Najgorsze jest czekanie i sprawdzanie „czy coś się stanie”.

Pierwsze działania:

  1. Natychmiast zgłosić zdarzenie do IT, właściciela albo osoby odpowiedzialnej za bezpieczeństwo.
  2. Zmienić hasło do konta, którego mogło dotyczyć zdarzenie.
  3. Wylogować aktywne sesje, jeżeli system na to pozwala.
  4. Sprawdzić, czy na koncie pocztowym nie ustawiono reguł przekazywania wiadomości.
  5. Sprawdzić logowania i nietypową aktywność.
  6. Jeżeli pobrano lub uruchomiono plik, odłączyć komputer od sieci i nie usuwać śladów przed analizą.
  7. Ocenić, czy mogło dojść do naruszenia ochrony danych pacjentów.

Centrum e-Zdrowia w materiale dotyczącym ransomware dla ochrony zdrowia podkreśla, aby w pierwszej fazie izolować zagrożone urządzenie i nie czyścić go pochopnie, bo można utracić dowody potrzebne do analizy.

Phishing może prowadzić do naruszenia danych pacjentów

Jeżeli atakujący uzyskał dostęp do poczty, systemu medycznego, dysku z dokumentacją albo konta administratora, placówka musi sprawdzić, czy doszło do naruszenia ochrony danych osobowych.

Trzeba ustalić:

  • jakie konto zostało przejęte,
  • czy atakujący mógł zobaczyć dane pacjentów,
  • czy pobrano lub przekazano dalej załączniki,
  • czy w poczcie znajdowała się dokumentacja medyczna,
  • czy doszło do wysyłki wiadomości z konta placówki,
  • czy zmieniono ustawienia konta,
  • czy trzeba zgłosić naruszenie do UODO lub poinformować pacjentów.

W tym miejscu phishing łączy się z RODO. Jeżeli zdarzenie może powodować ryzyko naruszenia praw lub wolności pacjentów, placówka powinna ocenić obowiązek zgłoszenia naruszenia do UODO.

Co powinno zostać po uporządkowaniu ochrony przed phishingiem?

Po wdrożeniu podstawowych zasad placówka powinna mieć:

  • włączone MFA na kluczowych kontach,
  • zasady zgłaszania podejrzanych wiadomości,
  • krótką instrukcję dla rejestracji i personelu medycznego,
  • ustalony kontakt do IT,
  • podstawowe zabezpieczenia poczty,
  • procedurę po kliknięciu linku lub podaniu hasła,
  • szkolenie personelu z przykładami wiadomości,
  • dowód wykonania szkolenia,
  • procedurę oceny, czy incydent oznacza naruszenie danych pacjentów.

Najczęstsze błędy w placówkach medycznych

W praktyce często powtarzają się te same problemy.

Brak MFA na poczcie. Po kradzieży hasła atakujący może szybko przejąć konto.

Brak jasnej instrukcji dla personelu. Pracownik nie wie, komu zgłosić podejrzaną wiadomość.

Zbyt duże zaufanie do załączników. Faktura, skan albo wynik badania są otwierane automatycznie.

Ukrywanie kliknięcia. Pracownik boi się konsekwencji i zgłasza problem dopiero po czasie.

Brak kontroli nad pocztą. Nikt nie sprawdza reguł przekazywania, podejrzanych logowań i aktywnych sesji.

Brak powiązania z RODO. Placówka usuwa wiadomość i zmienia hasło, ale nie ocenia, czy mogło dojść do naruszenia danych pacjentów.

Podsumowanie

Phishing w placówce medycznej jest realnym zagrożeniem, bo jedna wiadomość może otworzyć drogę do poczty, dokumentacji, systemu rejestracji albo konta administratora. Skutki mogą dotyczyć zarówno pracy placówki, jak i bezpieczeństwa danych pacjentów.

Podstawą jest połączenie prostych zasad organizacyjnych i technicznych: MFA, ochrona poczty, indywidualne konta, szkolenie personelu, szybkie zgłaszanie incydentów i procedura działania po kliknięciu. Najważniejsze, żeby pracownik wiedział, co zrobić od razu, a placówka potrafiła ocenić, czy incydent wymaga działań na gruncie RODO.

Źródła

1. Gov.pl – Czym jest phishing i jak nie dać się nabrać – https://www.gov.pl/web/baza-wiedzy/czym-jest-phishing-i-jak-nie-dac-sie-nabrac-na-podejrzane-wiadomosci-e-mail-oraz-sms-y

2. CERT Polska – Nie klikaj w podejrzane linki, czyli jak nie ostrzegać przed zagrożeniem – https://cert.pl/posts/2023/03/podejrzane-linki/

3. Gov.pl – Zgłoś podejrzany SMS albo e-mail do CERT Polska / CSIRT NASK – https://www.gov.pl/web/baza-wiedzy/dostales-niepokojacy-sms-albo-email-zglos-go-do-cert-polska-csirt-nask

4. Centrum e-Zdrowia – Fundamentalne wytyczne w zakresie ochrony przed cyberatakami – https://cez.gov.pl/pl/page/o-nas/aktualnosci/fundamentalne-wytyczne-w-zakresie-ochrony-przed-cyberatakami

5. Centrum e-Zdrowia – Ransomware: czym jest i jak działa – https://www.cez.gov.pl/pl/page/o-nas/aktualnosci/ransomware-czym-jest-i-jak-dziala

6. Centrum e-Zdrowia – Atak ransomware, co robić? One-pager dla podmiotów ochrony zdrowia – https://www.cez.gov.pl/sites/default/files/paragraph.attachments.field_attachments/2026-05/CSIRT_CeZ_ransomware_onepager_V02%20%283%29.pdf

7. UODO – Zgłaszanie naruszeń ochrony danych osobowych – https://uodo.gov.pl/pl/525/2584

RODO MEDYCZNE

Specjalistyczne wsparcie w obszarze RODO i bezpieczeństwa informacji dedykowane wyłącznie dla sektora ochrony zdrowia.
Usługi
Audyt RODO
Wdrażanie RODO
Stała Obsługa
Firma
Rodo Stomatologia
Jak pracujemy
O nas
Baza wiedzy
Kontakt
Informacja
Wszystkie nasze audyty są przeprowadzane zgodnie z wytycznymi UODO i ENISA dla sektora zdrowia.
Polityka Prywatności

© 2026 RODO Medyczne. Wszystkie prawa zastrzeżone.

RODO dla placówek medycznych
Wypełnij formularz