W ostatnich dniach pojawiły się informacje o cyberataku na infrastrukturę informatyczną Samodzielnego Wojewódzkiego Szpitala Zespolonego w Szczecinie. Sprawa wzbudziła duże zainteresowanie opinii publicznej, ponieważ dotyczy instytucji szczególnie wrażliwej - placówki ochrony zdrowia obsługującej dużą liczbę pacjentów.

Poniżej przedstawiamy podsumowanie najważniejszych faktów opartych na komunikatach instytucji publicznych oraz wypowiedziach osób bezpośrednio zaangażowanych w działania związane z obsługą incydentu.

Śledztwo wszczęte przez prokuraturę

11 marca 2026 r. Prokuratura Okręgowa w Szczecinie poinformowała o wszczęciu śledztwa w sprawie ataku hakerskiego na infrastrukturę teleinformatyczną szpitala. Według komunikatu do zdarzenia miało dojść w nocy z 7 na 8 marca 2026 r.

Jak przekazała prokuratura, system został zainfekowany złośliwym oprogramowaniem typu ransomware, a część danych została zaszyfrowana. Sprawcy mieli zażądać od placówki okupu za przywrócenie dostępu do systemów.

W komunikacie wskazano, że żądana kwota wynosiła kilka milionów dolarów.

Śledztwo dotyczy m.in. nieuprawnionej ingerencji w dane informatyczne oraz sprowadzenia zagrożenia dla życia lub zdrowia wielu osób korzystających ze świadczeń medycznych.

Wsparcie zespołów cyber z wojska

W reakcji na incydent Minister Obrony Narodowej Władysław Kosiniak-Kamysz poinformował o skierowaniu do wsparcia szpitala specjalistów z zespołu cyber Wojsk Obrony Terytorialnej.

Jak przekazał minister:

„W związku z cyberatakiem na infrastrukturę teleinformatyczną Szpitala Zespolonego w Szczecinie kierujemy tam zespół działań cyber z Dowództwa Wojsk Obrony Terytorialnej.”

Zespół ma wspierać działania związane z analizą incydentu, przywracaniem działania systemów oraz ich dodatkowym zabezpieczeniem.

Skala prac przy przywracaniu systemów

O skali działań prowadzonych po ataku mówił rzecznik szpitala Tomasz Owsik-Kozłowski. W wypowiedzi dla mediów wskazał, że proces przywracania infrastruktury informatycznej jest bardzo złożony.

Jak podkreślił:

„Ich praca skupia się po pierwsze na konfiguracji i uruchomieniu systemów informatycznych, w tym głównego systemu zarządzania szpitalem, a po drugie na przygotowaniu około tysiąca komputerów pracujących w szpitalu, z których każdy trzeba ręcznie sformatować i skonfigurować na nowo.”

Pokazuje to skalę wyzwań operacyjnych, z jakimi mierzą się zespoły techniczne podczas przywracania środowiska IT do bezpiecznego działania.

Ograniczenia w pracy części diagnostyki

W związku z incydentem szpital musiał wdrożyć procedury awaryjne, w tym przejście na papierowy tryb pracy.

Jak poinformował rzecznik placówki, do czasu przywrócenia standardowego działania systemów laboratorium centralne oraz Zakład Radiologii i Diagnostyki Obrazowej wykonują badania wyłącznie dla pacjentów hospitalizowanych, czyli znajdujących się już w oddziałach lub poradniach szpitala.

Czasowo wstrzymano również możliwość korzystania z komercyjnych usług laboratorium.

Co ten incydent pokazuje z perspektywy cyberbezpieczeństwa

Incydent w Szczecinie wpisuje się w szerszy trend obserwowany w ostatnich latach – sektor ochrony zdrowia pozostaje jednym z częściej atakowanych obszarów infrastruktury publicznej.

Z perspektywy cyberbezpieczeństwa zwracają uwagę szczególnie cztery elementy:

1. Wysoka wrażliwość systemów medycznych

Systemy informatyczne w placówkach medycznych obsługują jednocześnie dokumentację pacjentów, diagnostykę oraz procesy organizacyjne. Zakłócenie ich działania może szybko przełożyć się na ograniczenia w świadczeniu usług medycznych.

2. Złożoność procesu odtwarzania środowiska IT

Przywracanie infrastruktury po ataku ransomware często wymaga ponownej instalacji i konfiguracji dużej liczby stacji roboczych oraz systemów serwerowych.

3. Znaczenie świadomości bezpieczeństwa (cyber awareness)

Budowanie świadomości zagrożeń wśród pracowników jest jednym z podstawowych elementów ochrony organizacji przed incydentami. Szkolenia, testy phishingowe oraz jasne procedury zgłaszania podejrzanych zdarzeń mogą znacząco ograniczyć ryzyko skutecznego ataku.

W tym obszarze coraz większą rolę odgrywają platformy takie jak KnowBe4, które pozwalają prowadzić regularne szkolenia oraz symulacje phishingowe, pomagając organizacjom mierzyć realną podatność użytkowników i budować trwałe nawyki bezpieczeństwa.

4. Wzmacnianie mechanizmów uwierzytelniania

Jednym z podstawowych zabezpieczeń jest stosowanie uwierzytelniania wieloskładnikowego (2FA - two-factor authentication).

Wnioski

Cyberatak na szpital w Szczecinie pokazuje, jak istotne znaczenie ma odporność systemów IT w sektorze ochrony zdrowia. Incydent spowodował konieczność przejścia części procesów na tryb awaryjny oraz zaangażowania wielu zespołów technicznych.

Z perspektywy organizacji publicznych i prywatnych jest to przypomnienie, że budowanie cyber posture obejmuje zarówno technologie, jak i ludzi oraz procedury reagowania na incydenty.

Programy budowania świadomości bezpieczeństwa - takie jak rozwiązania KnowBe4 - mogą pomóc organizacjom ograniczać ryzyko skutecznych ataków poprzez szkolenia, testy phishingowe i systemowe podejście do cyber awareness.

Jeśli chcesz dowiedzieć się, jak takie rozwiązania mogą wspierać Twoją organizację, skontaktuj się z nami.


Źródła:

Prokuratura Okręgowa w Szczecinie – https://www.gov.pl/web/po-szczecin

PAP – https://www.pap.pl