Interpelacja nr 8866

do ministra spraw wewnętrznych i administracji, ministra zdrowia

w sprawie zabezpieczenia placówek ochrony zdrowia przed cyberatakami wobec postępującej cyfryzacji i zagrożeń dla ciągłości świadczenia usług medycznych

Zgłaszający: Janusz Cieszyński

Data wpływu: 26-03-2025

Szanowny Panie Ministrze, Szanowna Pani Minister,

w dniu 8 marca 2025 roku szpital MSWiA w Krakowie padł ofiarą ataku ransomware, co spowodowało konieczność wyłączenia systemów informatycznych placówki oraz przejścia na dokumentację papierową. Część danych została zaszyfrowana, a jak przyznał dyrektor placówki dr n. med. Michał Zabojszcz, nie można wykluczyć wycieku danych pacjentów. Ten incydent jasno pokazuje, jak poważnym zagrożeniem dla funkcjonowania systemu ochrony zdrowia w Polsce są ataki cybernetyczne.

Proces cyfryzacji w ochronie zdrowia postępuje, co jest konieczne, jednak wiąże się z rosnącą liczbą wrażliwych danych pacjentów przechowywanych w formie elektronicznej i wzrostem zagrożenia atakami hackerskimi. Jednocześnie, jak wynika z wypowiedzi dyrektora szpitala MSWiA w Krakowie, placówki medyczne borykają się z niedoborem specjalistów IT oraz ograniczonymi środkami finansowymi na zapewnienie odpowiednich zabezpieczeń systemów informatycznych. Dyrektor przyznał, że miał “najlepszy system zabezpieczeń, na który go było stać”, co sugeruje, że kwestie finansowe są istotną barierą w zapewnieniu odpowiedniego poziomu cyberbezpieczeństwa.

W związku z powyższym, zwracam się z następującymi pytaniami:

  1. Jakie konkretne działania planują Ministerstwo Zdrowia oraz Ministerstwo Spraw Wewnętrznych i Administracji w celu zwiększenia poziomu cyberbezpieczeństwa w placówkach ochrony zdrowia w Polsce, w szczególności w kontekście niedawnego ataku na szpital MSWiA w Krakowie?

  2. Czy planowane jest stworzenie kompleksowej strategii cyberbezpieczeństwa dla sektora ochrony zdrowia, uwzględniającej zarówno aspekty technologiczne, jak i kadrowe?

  3. W jaki sposób ministerstwa zamierzają rozwiązać problem niedoboru specjalistów IT w sektorze publicznej ochrony zdrowia, biorąc pod uwagę znaczną różnicę w wynagrodzeniach pomiędzy sektorem publicznym, a prywatnym?

  4. Czy planowane jest zwiększenie nakładów finansowych na cyberbezpieczeństwo w placówkach medycznych, w tym na modernizację infrastruktury informatycznej oraz szkolenia personelu?

  5. Jakie procedury są obecnie stosowane w przypadku cyberataków na placówki medyczne i czy planowana jest ich standaryzacja oraz udoskonalenie w świetle niedawnych doświadczeń?

  6. W jaki sposób ministerstwa planują zabezpieczyć ciągłość świadczenia usług medycznych w przypadku cyberataków, tak aby zminimalizować ich wpływ na pacjentów?

  7. Czy planowana jest modernizacja wytycznych dotyczących minimalnych standardów cyberbezpieczeństwa, które powinny spełniać placówki medyczne w Polsce?

  8. Jakie są plany w zakresie edukacji i podnoszenia świadomości personelu medycznego na temat zagrożeń związanych z cyberbezpieczeństwem?

  9. Czy ministerstwa planują współpracę międzynarodową w zakresie wymiany doświadczeń i dobrych praktyk dotyczących cyberbezpieczeństwa w ochronie zdrowia?

Z wyrazami szacunku

Janusz Cieszyński