0
Wawrzyn Win
SZPITALE W CELOWNIKU

SZPITALE W CELOWNIKU

1

DLACZEGO SEKTOR ZDROWOTNY JEST OBSESJĄ HAKERÓW


Kiedy system padł, pacjenci czekali na analizę krwi 48 godzin. Wszyscy wiedzieli, że umierają ludzie.


To nie scenariusz z thrillera. To rzeczywistość z lutego 2024 roku, kiedy sieć szpitali Change Healthcare w Stanach Zjednoczonych padła ofiarą ransomware'u przeprowadzonego przez grupę ALPHV, działającą w modelu hakerów do wynajęcia. System obsługujący około 40% żądań zdrowotnych w USA przestał działać. Leki, które pacjenci zamawiają od dziesięcioleci, trzeba było rozprowadzać ręcznie. Personel medyczny wracał do kartoteki papierowej. A cyberprzestępcy żądali 22 milionów dolarów.


Zapłacili.


Dziś sektorem zdrowotnym jest obsesją cyberprzestępczości. Szpitale padają ofiarą ataków co kilka dni. Ale zanim wyjaśnimy dlaczego, musimy zrozumieć, jak to działa – i czemu wynajmij hakera (zamiast polować na pacjentów w lesie) stało się biznesem warty miliard dolarów.



CZEMU SZPITALE? WSZYSTKO SIĘ SPROWADZA DO PIENIĘDZY I DESPERACJI


Szpitale są idealnymi celami z trzech powodów:


Po pierwsze: mają pieniądze i muszą płacić szybko.


W przeciwieństwie do firm technologicznych, które mogą czekać tygodniami przed decyzją, szpitale znajdują się w sytuacji kryzysowej. Pacjent leży w sytuacji zagrażającej życiu. System kardiologiczny nie działa. Haker szyfruje bazy danych. A dyrektor szpitala stoi przed wyborem: potrzebuje 100 tysięcy dolarów, aby przywrócić system w ciągu godziny, czy ryzykuje śmierć pacjenta?


Ta asymetria negocjacyjna sprawia, że szpitale płacą szybciej niż każda inna branża.


Po drugie: infrastruktura jest zła.


Szpitale nie są instytucjami technologicznymi. Muszą obsługiwać sprzęt medyczny, który jest stary, niegrodzony i trudny do aktualizacji. Respirator z 2005 roku nie może być "patchowany" bez ryzyka, że pacjent przestanie oddychać. Maszyny do rezonansu magnetycznego pracują w sieci szpitalnej, ale zawierają luki, które nikogo nie interesują – bo nikt nie czekał, że ktoś będzie je atakować.


To tworzy idealne warunki dla cyberprzestępców. Szpital ma 500 połączonych urządzeń, 30 lat stare systemy Windows 7, i pracowników IT, którzy pracują 60 godzin tygodniowo. Kiedy pojawia się podatność – a pojawia się codziennie – szpital nie ma zasobów ani czasu, aby ją zamknąć.


Po trzecie: emocjonalna raczej – towarzyskość.


Szpital jest symbolem nadziei. Ludzie są gotowi zapłacić cokolwiek, aby uratować życie babci, matki czy dziecka. Hakerzy to rozumieją. Nie atakują ciebie – atakują instytucję, która stoi między tobą a śmiercią twojej bliskiej osoby. I wiedzą, że będziesz płakać, czekając na decyzję, a szpital nie będzie czekać na twoje pozwolenie.



HAKERZY DO WYNAJĘCIA: GDZIE ROBI SIĘ INTERES


Aby zrozumieć, dlaczego szpitale są atakowane coraz bardziej agresywnie, trzeba zrozumieć, jak usługi hakerskie się zmieniły.


Dziesięć lat temu, aby zaatakować szpital, trzeba było być hakerką z wyspecjalizowaną wiedzą. Trzeba było wiedzieć, jak używać metaexploit, jak penetrować sieci, jak pisać malware. To była elita – kilkaset osób na całym świecie.


Dzisiaj każdy może atakować szpital. Wystarczy pieniądze.


Działa to tak: grupa hakerów, taka jak ALPHV (również znana jako BlackCat), tworzy oprogramowanie ransomware'u – malware, który szyfruje wszystkie pliki na serwerze. Następnie ta grupa wynajmuje to oprogramowanie innym cyberprzestępcom, zwanych "afiliami". Afiliaci nie muszą rozumieć, jak działa kod. Muszą tylko wiedzieć, jak się zalogować do szpitala.


Ten model biznesowy nosi nazwę Ransomware-as-a-Service (RaaS) i zrewolucjonizował przestępczość cybernetyczną. Zamiast trzeba było żebyś był geniuszem informatycznym – teraz musisz być tylko uporem.


Przykład: „Usługi hakerskie cennik" na czarnym rynku wygląda mniej więcej tak:



  • Dostęp do sieci szpitala: 5 000 – 50 000 dolarów (sprzedawca Initial Access Broker'a – ktoś, kto już się włamał)

  • Użycie oprogramowania ransomware'u: 20% – 30% zysku (developer bierze prowizję)

  • Consulting: 10 000 – 30 000 dolarów (doradca, który mówi Ci, jak najlepiej zaatakować)


Dla porównania: to tańsze niż wynajmowanie biura. I bardziej dochodowe niż handel narkotykami.


W 2024 roku największa grupa ransomware'u, Qilin, złożyła raport ze swoich „dochodów" – 1,2 miliarda dolarów. Na stronie z „usługami hakerskimi" reklamuje się jako „profesjonalne biuro" z systemem kar, bonusami, a nawet urliopami dla pracowników (bez narkotyków).


To nie jest brudne podziemie. To jest IBM'a przestępczości.



QILIN: NOWY КОРОЛЬ RANSOMWARE'U


Jeśli LockBit był poprzednim liderem ataku na szpitale, Qilin jest nową gwiazdą.


W 2024 roku Qilin zaatakował 154 ofiary. W 2025 roku liczba ta wzrosła do 1044. To wzrost o 578 procent w ciągu jednego roku.


Ale statystyka, która naprawdę mówi wszystko: Qilin zaatakował szpitale bardziej agresywnie niż LockBit na szczycie swojej kariery.


W jednym miesiącu 2025 roku Qilin odpowiadał za 40% wszystkich ataków na opiekę zdrowotną w Stanach Zjednoczonych.


Dlaczego?


Ponieważ Qilin zrozumiał, co każdy przywódca musi wiedzieć: szpitale zawsze płacą.


Grupa rekrutuje hakerów na forach czarnego rynku, oferując:



  • Pensję 3000 – 10 000 dolarów miesięcznie

  • Bonusy za „udane misje" (ataki)

  • Premie za ataki na wrażliwe sektory (szpitale, infrastruktura krytyczna)


Jeden z ogłoszeń grupy Qilin mówił wprost: „Szpitale płacą szybciej. Szpitale płacą więcej. Szpitale nie mogą czekać."


I to jest całkowita strategia.



CHANGE HEALTHCARE: KIEDY 22 MILIONY DOLARÓW NIE WYSTARCZAJĄ


Atak Change Healthcare w lutym 2024 roku nie był największym atakiem ransomware'u w historii. Ale był najbardziej widoczny – bo dotknął każdego.


Change Healthcare obsługiwała prawie cały system medyczny w Stanach Zjednoczonych. Kiedy została zaatakowana przez ALPHV (grupę działającą w modelu „wynajmij hakera" – przyjmuj zlecenia od innych przestępców), skutki były natychmiastowe:



  • Pharmacie: Nie mogły weryfikować recept

  • Szpitale: Nie mogły przetwarzać żądań ubezpieczenia

  • Lekarze: Nie mieli dostępu do historii pacjentów

  • Pacjenci: Czekali po 48 godzin na wyniki testów


System obsługujący 40% żądań zdrowotnych w USA wyłączył się z powodu jednego ataku.


Hakerzy ukradli:



  • Numery PESEL (6 terabajtów danych)

  • Dokumentację medyczną

  • Informacje ubezpieczeniowe

  • Adresy domów pacjentów


Następnie żądali 22 milionów dolarów. Change Healthcare zapłaciła 22 miliony dolarów (350 Bitcoin).


Temu czasami ludzie pytają: "Ale przecież FBI mówi, nie płacą?"


Owszem, FBI mówi. Ale szpital ma pacjenta, któremu potrzebna jest terapia serca. FBI nie ma czasu.



QILIN ATAKUJE SZPITALE JAKO STRATEGIĘ


W przeciwieństwie do LockBit, który atakował wszystko (duże firmy, małe firmy, rządy), Qilin skoncentrował się na jednym celu: szpitalach.


W 2025 roku Qilin miał w swoim "portfolio" ponad 400 szpitali z całego świata. W tym kilkadziesiąt na terenie Unii Europejskiej.


Jeden z ataków Qilina – przypadkowy, ale mówiący – miał miejsce w szpitalu dziecięcym w Europie. Hakerzy szyfrowali wszystko, łącznie z systemami NICU (oddziały intensywnej opieki nad noworodkami). Szpital zwrócił się do organów ścigania. Ale zanim organów ścigania mogły coś zrobić, szpital zapłacił okupu – bo dzieci w NICU nie mogą czekać na śledztwo FBI.


To jest psychologia ataków na szpitale. Hakerzy się uczą.



EFEKT ZDOMINOWY: KIEDY JEDEN ATAK SPARALIŻUJE KRAJ


Polska nie jest wyjątkiem. W marcu 2024 roku atak ransomware'u na sieć szpitalną w jednym mieście wpłynął na 12 szpitali, bo dzielą sieć. Pacjenci zostawali bez możliwości przepisania leków. Operacje były odkładane. Jeden człowiek czekał siedem dni na wynik badania, które normalnie zajmuje dwie godziny.


To się zwie "efektem zdominowym" – jeden atak, przycisk domina, cały system pada.


Polska Agencja Bezpieczeństwa Informacyjnego (PABIP) mówi, że szpitale w Polsce są systematycznie atakowane. Ale wiele ataków jest nieujawnionych – bo szpitale wolą nie informować opinii publicznej, żeby nie wzbudzić paniki.


Ile ataków na polskie szpitale było w ostatnich dwóch latach? Nikt nie wie dokładnie. Ale PABIP szacuje, że co czwarty szpital doświadczył przynajmniej jednego poważnego incydentu.



JAK TO WYGLĄDA Z DRUGIEJ STRONY: ROZMAWIAMY Z OFIARAMI


Gdy publikujemy artykuł o atakach na szpitale, zazwyczaj dochodzimy do szpitali i pytamy: "Co się stało?"


Odpowiedź jest zwykle: "Nie możemy powiedzieć. To śledztwo."


Ale czasami, sporadycznie, pracownik szpitala – pielęgniastka, lekarz, pracownik IT – zgódzi się porozmawiać off the record.


Oto co mówią:


"Kiedy system padł, wróciliśmy do papierowej dokumentacji. Pamiętasz papierowe karty pacjentów? Zaplanowaliśmy je spalić w 1999 roku. Ale teraz wertowaliśmy je znowu, szukając informacji o pacjentach, którzy byli u nas trzy lata temu.


Pacjent przychodzi. Ma wysoki stan zapalny. Lekarz chce wiedzieć, czy pacjent brał kiedyś penicylinę (może mieć alergię). Ale karty są w szafie na drugim piętrze. Musimy czekać, aż ktoś je przynie. A tymczasem pacjent czeka.


Jeden pacjent, który miał cukrzycę, czekał 36 godzin na dawkę insuliny, bo system insulinowy – który jest komputerowy – nie działał. Pracownik na izbie przyjęć musiał ręcznie policzyć insulinę. I się pomylił. Pacjent dostał zbyt dużo.


Ten pacjent nie umarł. Ale mógł."



USŁUGI HAKERSKIE: EKOSYSTEM PRZESTĘPCZOŚCI


Aby w pełni zrozumieć, dlaczego szpitale są tak podatne, musimy zrozumieć ekosystem usług hakerskich.


To nie jest jeden haker, który atakuje szpital. To jest ekosystem:


1. Developer malware'u (tworzy oprogramowanie)



  • Zarabia: 20% – 30% każdego ataku


2. Afiliata (przeprowadza atak)



  • Zarabia: 70% – 80% każdego ataku

  • Nie musi być hakerką – musi tylko wiedzieć, jak się włamać


3. Initial Access Broker (IAB) (sprzedaje dostęp do sieci)



  • Zarabia: 5 000 – 50 000 dolarów za dostęp


4. Money Launderer (pranie pieniędzy)



  • Zarabia: 10% – 20% zysku

  • Konwertuje Bitcoin na rzeczywiste pieniądze


5. Negotiator (negocjuje z ofiarą)



  • Zarabia: pensję + bonus za każdy atak


6. Leak Site Admin (zarządza publiczną listą ofiar)



  • Zarabia: pensję


To jest przemysł. Nie jest to grupa. To jest przemysł.


I każdy z tych ludzi jest wyspecjalizowany. Żaden z nich nie potrzebuje rozumieć całego procesu. Każdy ma swoją rolę.


Dla porównania: to jest jak poznanie struktury großbanku w Monachium w 1938 roku. Każda osoba w banku miała swoją rolę. Nikt nie musiał rozumieć całego systemu. Każdy musiał tylko wykonać swoją pracę.



LICZBY, KTÓRE MÓWIĄ WSZYSTKO


Statystyka jest ważna, bo pokazuje skalę:



  • W 2020 roku: średni zysk z ataków ransomware'u wyniósł 20 miliardów dolarów globalnie

  • W 2023 roku: średni koszt ataku ransomware'u to 5,13 miliona dolarów

  • W 2024 roku: średni koszt ataku wzrósł do 5,5 – 6 milionów dolarów

  • W 2025 roku: średni koszt przewiduje się na 6,5 – 7 milionów dolarów


Ale dla szpitali liczby te są wyższe:



  • Średni koszt ataku na szpital: 10 – 15 milionów dolarów

  • Średni czas downtime'u: 24 – 48 godzin (czasami miesiące)

  • Procent szpitali, które płacą okupu: 60% – 70%


To oznacza, że szpitale są gotowe zapłacić więcej niż którkolwiek inny sektor.


I hakerzy to wiedzą.



CZEMU POLICJA JADA DO PRACY BICYKLEM?


Pytasz: "Ale czemu policja nie lapie tych hakerów?"


Odpowiedź jest smutna.


FBI zajęło się LockBit w 2024 roku – znalezło pracownika grupy, ujawniło jego tożsamość, jego pieniądze, jego dom. To był głośny sukces dla organów ścigania. Ale to zajęło lata. Zamknęli jeden dom, a powstało pięciu nowych.


W międzyczasie:



  • Qilin atakuje 1044 razy w roku

  • LockBit powraca z nową nazwą

  • RansomHub buduje nową sieć

  • Sinobi rekrutuje nowych afiliów


Jeśli FBI lapie jednego hackerę rocznie, a nowych pojawia się 100, to matematyka jest prosta.


Dodatkowo, atak na szpital przeprowadza się z komputera w Moskwie, pieniądze trafiają do portfela w Pjongjangu, a decyzja o ataku pochodzi z Chin. Policja w Polsce ma jurysdykcję w Polsce. Może zaatakować policję ruską? Nie.


To jest przyczyna bezkarności. Nie jest to brak technologii czy umiejętności – to jest geografia i polityka.



CO SZPITALE POWINNY ROBIĆ? (ALE NIE ROBIĄ)


Jeśli hakerzy do wynajęcia atakują szpitale dlatego, że szpitale je zapraszają do ataku (słabe bezpieczeństwo), to co szpitale powinny robić?


1. Backup offline


Przechowuj kopie baz danych poza internetem. Jeśli atak szyfruje wszystkie pliki, backup pozostanie nietkniętym. Ale to wymaga pieniędzy i planowania.


2. Segmentacja sieci


Jeśli haker włamie się do jednej części szpitala (np. do poczty), nie powinien mieć dostępu do wszystkiego. Szpitale powinny mieć 50 niezależnych sieci, a nie jedną dużą sieć.


3. Dwuetapowa autentykacja (2FA)


Każdy zalogowuje się nie tylko hasłem, ale i telefonem lub kluczem bezpieczeństwa. To drastycznie utrudnia włamywanie się.


4. Budżet na IT


Średni szpital wydaje 2% – 3% budżetu na IT i bezpieczeństwo. Sektor bankowy wydaje 8% – 10%. To jest różnica między systemem, który jest atakowany co dzień, a systemem, który jest atakowany co rok.


5. Szkolenia pracowników


83% ataków na szpitale zaczyna się od phishingu – pracownik kliknie na złośliwy email. Szkolenia z bezpieczeństwa zmniejszają to o 50% – 70%.


Ale większość szpitali robi żaden z tych punktów, bo:



  • Nie ma pieniędzy

  • Nie ma czasu

  • Biorą, że nieskończenie będą szczęśliwi

  • Myślą, że to się stanie innemu szpitalowi


To jest poznawczy błąd zwany "normalcy bias" – czasami po prostu czekamy, aż wypadek stanie się tragednią, i dopiero wtedy działamy.



CO MOŻESZ ZROBIĆ TERAZ?


Jeśli pracujesz w szpitalu:



  • Włącz dwuetapową autentykację (2FA) na swoim koncie

  • Nie otwieraj emaili od osób, które nie znasz

  • Mów swojemu szefowi, że szpital potrzebuje bezpieczeństwa cybernetycznego

  • Raportuj podejrzane logowania lub aktywność do IT


Jeśli jesteś pacjentem:



  • Pamiętaj, że twoje dane medyczne mogą zostać wyciekniętych przez ataki na szpitale

  • Jeśli szpital cię informuje o ataku, zmień hasła do swoich kont

  • Monitoruj swoją raport kredytowy – kradzież tożsamości jest powszechna po wyciekach


Jeśli jesteś politykiem:



  • Szpitale wymagają sfinansowania – zarówno bezpieczeństwa fizycznego, jak i cybernetycznego

  • Polska wymaga krajowej strategii bezpieczeństwa cybernetycznego dla sektora zdrowotnym

  • Inne kraje (USA, Australia) budują to. My też powinniśmy.



EPILOG: CO NAM OCZEKUJE NA PRZYSZŁOŚĆ?


Prognoza na 2025 – 2026 rok nie jest optymistyczna.


Qilin będzie rosnąć. LockBit powróci z nową nazwą. Nowe grupy się pojawią. A każda z nich będzie wiedzieć, co każda inna grupa odkryła: szpitale zawsze płacą.


Liczba ataków na szpitale będzie rosnąć. Średni koszt ataku będzie rosnąć. A pacjenci będą czekać – na lekarza, na wynik testu, na insulinę.


Aż do czasu, kiedy jedna z czegoś wydarzy się – pacjent umrze. A wtedy politycy będą protestować. Policja będzie obiecywać "zmiany". Media będą pisać "skandale".


Ale bez aktualnego budżetu na bezpieczeństwo, bez regulacji, bez działań – to będzie powtarzać się wciąż i wciąż.


Hakerzy do wynajęcia będą czekali. Szpitale będą płacić. A my wszyscy będziemy się modlić, że to nie będzie nasz szpital, nasz pacjent, nasza śmierć.