Phishing w placówce medycznej — jak rozpoznać atak?
Dlaczego phishing celuje w gabinety i kliniki?
Placówka medyczna to dla przestępców łakomy kąsek: baza pacjentów z danymi o zdrowiu, codzienny ruch faktur od wielu dostawców i personel skupiony na pacjentach, a nie na nagłówkach e-maili. Zdecydowana większość ataków ransomware zaczyna się właśnie od phishingu — jednego kliknięcia w recepcji, które otwiera napastnikowi drogę do całej sieci. Do tego dochodzi presja czasu: gdy w poczekalni siedzą pacjenci, nikt nie analizuje spokojnie każdej wiadomości, i dokładnie na to liczą atakujący.
Jakie scenariusze najczęściej trafiają do rejestracji i lekarzy?
- Fałszywa faktura lub wezwanie do zapłaty — PDF albo link „do pobrania faktury” od rzekomego dostawcy materiałów stomatologicznych, prądu czy telefonii; załącznik instaluje złośliwe oprogramowanie lub podmienia numer konta.
- „NFZ/P1/e-zdrowie wymaga logowania” — wiadomość o rzekomej blokadzie konta świadczeniodawcy, konieczności „aktualizacji certyfikatu” albo weryfikacji danych w systemie P1; link prowadzi do podrobionej strony logowania, która kradnie dane dostępowe.
- Podszycie pod dostawcę oprogramowania gabinetowego — e-mail lub telefon „z serwisu ProDentis/FELG Dent/Medicus” z prośbą o zainstalowanie programu do zdalnego pulpitu albo podanie hasła administratora „w celu pilnej aktualizacji”.
- SMS-y o paczkach i dopłatach — „dopłać 2,50 zł do przesyłki” z linkiem do fałszywej bramki płatności; w gabinecie, który stale zamawia materiały, taki SMS wygląda wiarygodnie.
Czym grozi udany atak w placówce medycznej?
Konsekwencje wykraczają daleko poza jedno zainfekowane stanowisko. Wykradzione hasło do poczty pozwala przestępcom czytać korespondencję z pacjentami i podstawiać własne numery kont w wysyłanych fakturach. Przejęte konto do systemu P1 czy oprogramowania gabinetowego to bezpośredni dostęp do dokumentacji medycznej — a więc naruszenie ochrony danych szczególnej kategorii, z obowiązkiem zgłoszenia do UODO i często także zawiadomienia samych pacjentów. Zainstalowane złośliwe oprogramowanie potrafi tygodniami czekać w tle, zbierając dane i mapując sieć, zanim zaszyfruje bazę w najbardziej bolesnym momencie — np. w poniedziałek rano przed pełnym grafikiem przyjęć. Do strat finansowych (odwołane wizyty, koszty odtworzenia, ewentualna kara administracyjna) dochodzi trudna do wyceny utrata zaufania: pacjenci wybaczają awarię terminarza, ale nie wyciek swojej dokumentacji.
Jak rozpoznać podejrzaną wiadomość w 30 sekund?
- Sprawdź prawdziwy adres nadawcy, nie samą nazwę wyświetlaną — „NFZ” piszący z domeny typu nfz-powiadomienia.info to oszustwo; instytucje publiczne używają swoich oficjalnych domen.
- Wyczuj presję czasu i straszenie — „konto zostanie zablokowane w 24 godziny”, „ostatnie wezwanie przed egzekucją”. Prawdziwe instytucje tak nie komunikują.
- Najedź kursorem na link bez klikania — jeśli adres w podpowiedzi różni się od tego, co sugeruje treść, nie klikaj. Na telefonie przytrzymaj link, by zobaczyć docelowy adres.
- Nie otwieraj nieoczekiwanych załączników — zwłaszcza plików .zip, .iso, dokumentów z makrami („włącz zawartość”) i rzekomych faktur od firm, z którymi nie współpracujesz.
- Zweryfikuj innym kanałem — zadzwoń do dostawcy na numer z umowy, nie z podejrzanego e-maila.
Warto też umówić z zespołem prostą zasadę: żadnych zmian numerów kont, haseł ani instalacji programów na podstawie samego e-maila lub telefonu. Każda taka prośba — nawet od „znanego” dostawcy czy „serwisu” — wymaga potwierdzenia u źródła. Ta jedna reguła zatrzymuje większość skutecznych oszustw, również tych, których filtr pocztowy nie wyłapie.
Co robić, gdy ktoś już kliknął?
Liczy się pierwsze pół godziny. Odłącz komputer od sieci (wyjmij kabel, wyłącz Wi-Fi), ale nie wyłączaj zasilania — ślady mogą być potrzebne do analizy. Natychmiast zgłoś incydent osobie odpowiedzialnej i swojej firmie IT. Zmień hasła, zaczynając od poczty, systemu P1 i oprogramowania gabinetowego — z innego, czystego urządzenia. Jeśli podano dane logowania lub mogło dojść do dostępu do danych pacjentów, potraktuj zdarzenie jako incydent RODO: masz 72 godziny na ocenę i ewentualne zgłoszenie naruszenia do UODO. Pamiętaj, że kliknięty phishing bywa dopiero początkiem — jeśli napastnik zdąży się zadomowić, finałem jest zaszyfrowanie bazy pacjentów, co opisujemy w poradniku o ransomware w gabinecie stomatologicznym.
Jak ograniczyć ryzyko na stałe?
Pojedyncze szkolenie nie wystarczy — potrzebny jest system kilku warstw. Filtrowanie poczty (dobre reguły antyspamowe i antyphishingowe to koszt rzędu 10–25 zł miesięcznie na skrzynkę) zatrzymuje większość ataków, zanim ktokolwiek je zobaczy. Uwierzytelnianie wieloskładnikowe (MFA) sprawia, że nawet wykradzione hasło nie wystarczy do przejęcia konta. Cykliczne, krótkie szkolenia personelu — najlepiej z przykładami prawdziwych wiadomości i kontrolowanymi testami phishingowymi — kosztują orientacyjnie 500–1500 zł na placówkę i realnie zmieniają nawyki. Do tego aktualizacje, ochrona EDR na stanowiskach i przetestowany backup jako ostatnia linia obrony. Stała obsługa informatyczna placówek medycznych spina te elementy w jeden abonament: analiza potrzeb, dobór SLA, wdrożenie zabezpieczeń i monitoring, dzięki któremu podejrzane zdarzenia widać, zanim staną się incydentem. Ostateczne koszty zależą od liczby stanowisk i zakresu umowy, ale to ułamek strat po jednym udanym ataku.
Najczęstsze pytania
Po czym najszybciej poznać e-mail phishingowy?
Po niezgodności prawdziwego adresu nadawcy z oficjalną domeną instytucji, presji czasu („konto zablokowane w 24 h”), linku prowadzącym pod inny adres niż sugeruje treść oraz nieoczekiwanym załączniku. W razie wątpliwości zweryfikuj sprawę telefonicznie, dzwoniąc na numer z umowy, a nie z podejrzanej wiadomości.
Pracownik kliknął w link z podejrzanego maila — co robić?
Natychmiast odłącz komputer od sieci (kabel i Wi-Fi), nie wyłączając zasilania, zgłoś incydent firmie IT i zmień hasła z innego urządzenia — najpierw do poczty, systemu P1 i oprogramowania gabinetowego. Jeśli mogło dojść do dostępu do danych pacjentów, oceń zdarzenie jako naruszenie RODO — na zgłoszenie do UODO masz 72 godziny.
Czy kliknięcie w phishing trzeba zgłaszać do UODO?
Nie każde. Zgłoszenia wymaga naruszenie ochrony danych osobowych, czyli sytuacja, w której doszło lub mogło dojść do nieuprawnionego dostępu do danych pacjentów lub personelu. Samo kliknięcie bez podania hasła i bez infekcji można udokumentować wewnętrznie, ale ocenę warto przeprowadzić z firmą IT i osobą odpowiedzialną za RODO.
Ile kosztuje ochrona antyphishingowa dla gabinetu?
Orientacyjnie na 2026 r.: filtrowanie poczty ok. 10–25 zł miesięcznie na skrzynkę, MFA często w cenie posiadanych usług, szkolenie personelu z testami phishingowymi 500–1500 zł na placówkę. W abonamencie serwisowym te elementy są zwykle wliczone — ostateczna wycena zależy od liczby stanowisk i zakresu SLA.
Potrzebujesz wsparcia IT w swoim gabinecie lub klinice?
Obsługujemy placówki stomatologiczne i medycyny estetycznej w Warszawie i okolicach.