Ransomware w gabinecie stomatologicznym — scenariusz ataku i obrona
Jak wygląda atak ransomware na gabinet? Realistyczny scenariusz
Poniedziałek, 7:55. Rejestratorka włącza komputer, ale zamiast terminarza w Unidencie widzi czarny ekran z komunikatem: dane zostały zaszyfrowane, klucz do odzyskania kosztuje 2 bitcoiny, czas na wpłatę — 72 godziny. Baza pacjentów, zdjęcia RTG z pięciu lat, faktury i grafik pracy — wszystko ma rozszerzenie .locked. Za chwilę okazuje się, że zaszyfrowane są też komputery przy unitach oraz dysk sieciowy, na który „robił się backup”. Do ataku doszło najpewniej tydzień wcześniej: ktoś otworzył załącznik z „fakturą” albo przestępcy weszli przez źle zabezpieczony pulpit zdalny, po czym cicho rozpoznawali sieć i skasowali dostępne kopie zapasowe, zanim uruchomili szyfrowanie.
To nie jest scenariusz filmowy — placówki medyczne są ulubionym celem grup ransomware, bo dane medyczne są krytyczne, a presja czasu ogromna: każdy dzień przestoju to odwołane wizyty i realne straty. Mały gabinet nie jest „za mały, żeby go atakować” — ataki są zautomatyzowane i trafiają tam, gdzie akurat otworzą się drzwi.
Dlaczego nie warto płacić okupu?
- Nie ma żadnej gwarancji. Część ofiar po zapłacie nie dostaje działającego klucza albo odzyskuje dane częściowo i w uszkodzonej formie. Bywa też, że po wpłacie pojawia się drugie żądanie — za nieujawnianie wykradzionych danych.
- Płacąc, finansujesz przestępców i trafiasz na listę „płacących”, co zwiększa ryzyko ponownego ataku na tę samą placówkę.
- Zapłata niczego nie załatwia prawnie. Naruszenie ochrony danych osobowych i tak wystąpiło — obowiązek zgłoszenia do UODO oraz analiza, czy zawiadomić pacjentów, pozostają w mocy niezależnie od okupu.
Jak się bronić? Sześć warstw, które naprawdę działają
- Kopia zapasowa offline lub niezmienna, poza lokalizacją. Nowoczesny ransomware najpierw szuka i niszczy backupy. Dlatego przynajmniej jedna kopia musi być nieosiągalna z sieci gabinetu: szyfrowany Cloud Backup z wersjonowaniem i blokadą usuwania albo nośnik fizycznie odłączany. Zasady doboru kopii, szyfrowania i testów odtworzenia opisujemy w poradniku o backupie danych w gabinecie zgodnym z prawem.
- Segmentacja sieci. Oddzielne VLAN-y dla stanowisk, urządzeń diagnostycznych i gości sprawiają, że infekcja jednego komputera nie rozlewa się na całą placówkę i archiwum RTG.
- EDR zamiast samego antywirusa. Klasyczny antywirus reaguje na znane pliki; systemy EDR wykrywają podejrzane zachowania — masowe szyfrowanie, kasowanie kopii systemowych — i potrafią automatycznie odciąć stację od sieci.
- Aktualizacje systemów i oprogramowania, w tym gabinetowego, oraz wyłączenie nieużywanych usług zdalnego dostępu. Większość ataków wykorzystuje luki znane od miesięcy.
- MFA i konta imienne. Uwierzytelnianie wieloskładnikowe dla poczty, dostępu zdalnego i panelu backupu oraz osobne konta dla każdego pracownika — bez wspólnego hasła „recepcja”.
- Ludzie. Krótkie, regularne szkolenia z rozpoznawania phishingu, bo to wciąż najczęstsza furtka wejścia.
Żadna z tych warstw nie działa „raz na zawsze”. Kopie trzeba testowo odtwarzać co najmniej raz na kwartał, monitoring musi faktycznie alarmować (a ktoś musi te alarmy czytać), a uprawnienia pracowników — być przeglądane po każdej zmianie kadrowej. W placówkach, które przechodzą audyt bezpieczeństwa po raz pierwszy, niemal zawsze znajdujemy to samo: backup skonfigurowany lata temu, który od miesięcy kończy się błędem, i konto byłego pracownika z pełnym dostępem do bazy pacjentów. To dokładnie te furtki, z których korzystają grupy ransomware.
Obowiązki RODO: 72 godziny na zgłoszenie
Zaszyfrowanie danych pacjentów to naruszenie ochrony danych osobowych — a dane o zdrowiu należą do szczególnej kategorii z art. 9 RODO. Administrator ma 72 godziny od stwierdzenia naruszenia na zgłoszenie do Prezesa UODO; przy wysokim ryzyku dla pacjentów trzeba też zawiadomić ich samych. Równolegle warto zawiadomić organy ścigania i zespół CERT Polska oraz udokumentować cały przebieg incydentu. Ukrywanie ataku jest najgorszą strategią: grozi karą administracyjną i utratą zaufania, a wyciek często i tak wychodzi na jaw, gdy przestępcy publikują dane. Warto pamiętać, że zgłoszenie naruszenia samo w sobie nie oznacza kary — UODO ocenia przede wszystkim to, jakie środki ochrony placówka stosowała przed incydentem i jak zareagowała po nim.
Plan reakcji: co robić w pierwszej godzinie?
Kolejność ma znaczenie: odłączyć zainfekowane komputery od sieci (nie wyłączać ich — to utrudnia analizę), nie restartować serwera, spisać co i kiedy zauważono, wezwać wsparcie IT i nie dotykać kopii zapasowych do czasu ustalenia zakresu infekcji. Placówki objęte stałą obsługą informatyczną gabinetów stomatologicznych i klinik mają ten plan przygotowany zawczasu: monitoring wychwytuje anomalię, wiadomo gdzie są kopie i kto podejmuje decyzje. Koszt takiej ochrony w abonamencie to orientacyjnie kilkaset złotych miesięcznie dla małego gabinetu (ostateczna wycena zależy od liczby stanowisk i zakresu SLA) — wielokrotnie mniej niż jeden dzień przestoju, nie mówiąc o okupie, którego i tak nie warto płacić.
Najczęstsze pytania
Czy mały gabinet stomatologiczny naprawdę jest celem ransomware?
Tak, bo ataki są zautomatyzowane — złośliwe kampanie phishingowe i skanowanie internetu w poszukiwaniu otwartych pulpitów zdalnych nie rozróżniają wielkości firmy. Placówki medyczne są przy tym atrakcyjne, bo przechowują krytyczne dane i działają pod presją czasu, co zwiększa skłonność do zapłaty okupu.
Co zrobić w pierwszej kolejności po wykryciu szyfrowania danych?
Natychmiast odłączyć zainfekowane komputery od sieci przewodowej i Wi-Fi, ale ich nie wyłączać ani nie restartować. Następnie spisać objawy i godzinę wykrycia, wezwać wsparcie IT oraz zabezpieczyć kopie zapasowe przed podłączeniem do zainfekowanej sieci. Zgłoszenie naruszenia do UODO musi nastąpić w ciągu 72 godzin od jego stwierdzenia.
Czy zapłacenie okupu rozwiązuje problem?
Nie. Nie ma gwarancji otrzymania działającego klucza, część danych często pozostaje uszkodzona, a placówka trafia na listy ofiar skłonnych płacić. Obowiązki prawne, w tym zgłoszenie naruszenia do UODO i ewentualne zawiadomienie pacjentów, pozostają aktualne niezależnie od zapłaty.
Jaki backup chroni przed ransomware?
Taki, którego atakujący nie może zaszyfrować ani usunąć: kopia offline na odłączanym nośniku albo kopia niezmienna w chmurze z wersjonowaniem i blokadą usuwania, przechowywana poza lokalizacją gabinetu. Kluczowy jest też regularny test odtworzenia — kopia, której nikt nigdy nie przywrócił testowo, może okazać się bezużyteczna.
Potrzebujesz wsparcia IT w swoim gabinecie lub klinice?
Obsługujemy placówki stomatologiczne i medycyny estetycznej w Warszawie i okolicach.