ITSPACEPoradniki › Ransomware w gabinecie stomatologicznym — scenariusz ataku i obrona

Ransomware w gabinecie stomatologicznym — scenariusz ataku i obrona

Adrian Strzeszewski · opublikowano 15 lipca 2026 · aktualizacja: 15 lipca 2026
Ransomware szyfruje bazę pacjentów, zdjęcia RTG i dokumenty, a przestępcy żądają okupu — w Polsce zwykle równowartości kilkunastu–kilkudziesięciu tysięcy złotych od małej placówki. Okupu nie warto płacić: nie ma gwarancji odzyskania danych, a incydent i tak trzeba zgłosić do UODO w ciągu 72 godzin. Realną obroną jest kopia zapasowa offline lub niezmienna poza lokalizacją, segmentacja sieci, EDR, MFA i aktualizacje — gabinet z przetestowanym backupem wraca do pracy w godziny, bez płacenia przestępcom.

Jak wygląda atak ransomware na gabinet? Realistyczny scenariusz

Poniedziałek, 7:55. Rejestratorka włącza komputer, ale zamiast terminarza w Unidencie widzi czarny ekran z komunikatem: dane zostały zaszyfrowane, klucz do odzyskania kosztuje 2 bitcoiny, czas na wpłatę — 72 godziny. Baza pacjentów, zdjęcia RTG z pięciu lat, faktury i grafik pracy — wszystko ma rozszerzenie .locked. Za chwilę okazuje się, że zaszyfrowane są też komputery przy unitach oraz dysk sieciowy, na który „robił się backup”. Do ataku doszło najpewniej tydzień wcześniej: ktoś otworzył załącznik z „fakturą” albo przestępcy weszli przez źle zabezpieczony pulpit zdalny, po czym cicho rozpoznawali sieć i skasowali dostępne kopie zapasowe, zanim uruchomili szyfrowanie.

To nie jest scenariusz filmowy — placówki medyczne są ulubionym celem grup ransomware, bo dane medyczne są krytyczne, a presja czasu ogromna: każdy dzień przestoju to odwołane wizyty i realne straty. Mały gabinet nie jest „za mały, żeby go atakować” — ataki są zautomatyzowane i trafiają tam, gdzie akurat otworzą się drzwi.

Dlaczego nie warto płacić okupu?

Jak się bronić? Sześć warstw, które naprawdę działają

  1. Kopia zapasowa offline lub niezmienna, poza lokalizacją. Nowoczesny ransomware najpierw szuka i niszczy backupy. Dlatego przynajmniej jedna kopia musi być nieosiągalna z sieci gabinetu: szyfrowany Cloud Backup z wersjonowaniem i blokadą usuwania albo nośnik fizycznie odłączany. Zasady doboru kopii, szyfrowania i testów odtworzenia opisujemy w poradniku o backupie danych w gabinecie zgodnym z prawem.
  2. Segmentacja sieci. Oddzielne VLAN-y dla stanowisk, urządzeń diagnostycznych i gości sprawiają, że infekcja jednego komputera nie rozlewa się na całą placówkę i archiwum RTG.
  3. EDR zamiast samego antywirusa. Klasyczny antywirus reaguje na znane pliki; systemy EDR wykrywają podejrzane zachowania — masowe szyfrowanie, kasowanie kopii systemowych — i potrafią automatycznie odciąć stację od sieci.
  4. Aktualizacje systemów i oprogramowania, w tym gabinetowego, oraz wyłączenie nieużywanych usług zdalnego dostępu. Większość ataków wykorzystuje luki znane od miesięcy.
  5. MFA i konta imienne. Uwierzytelnianie wieloskładnikowe dla poczty, dostępu zdalnego i panelu backupu oraz osobne konta dla każdego pracownika — bez wspólnego hasła „recepcja”.
  6. Ludzie. Krótkie, regularne szkolenia z rozpoznawania phishingu, bo to wciąż najczęstsza furtka wejścia.

Żadna z tych warstw nie działa „raz na zawsze”. Kopie trzeba testowo odtwarzać co najmniej raz na kwartał, monitoring musi faktycznie alarmować (a ktoś musi te alarmy czytać), a uprawnienia pracowników — być przeglądane po każdej zmianie kadrowej. W placówkach, które przechodzą audyt bezpieczeństwa po raz pierwszy, niemal zawsze znajdujemy to samo: backup skonfigurowany lata temu, który od miesięcy kończy się błędem, i konto byłego pracownika z pełnym dostępem do bazy pacjentów. To dokładnie te furtki, z których korzystają grupy ransomware.

Obowiązki RODO: 72 godziny na zgłoszenie

Zaszyfrowanie danych pacjentów to naruszenie ochrony danych osobowych — a dane o zdrowiu należą do szczególnej kategorii z art. 9 RODO. Administrator ma 72 godziny od stwierdzenia naruszenia na zgłoszenie do Prezesa UODO; przy wysokim ryzyku dla pacjentów trzeba też zawiadomić ich samych. Równolegle warto zawiadomić organy ścigania i zespół CERT Polska oraz udokumentować cały przebieg incydentu. Ukrywanie ataku jest najgorszą strategią: grozi karą administracyjną i utratą zaufania, a wyciek często i tak wychodzi na jaw, gdy przestępcy publikują dane. Warto pamiętać, że zgłoszenie naruszenia samo w sobie nie oznacza kary — UODO ocenia przede wszystkim to, jakie środki ochrony placówka stosowała przed incydentem i jak zareagowała po nim.

Plan reakcji: co robić w pierwszej godzinie?

Kolejność ma znaczenie: odłączyć zainfekowane komputery od sieci (nie wyłączać ich — to utrudnia analizę), nie restartować serwera, spisać co i kiedy zauważono, wezwać wsparcie IT i nie dotykać kopii zapasowych do czasu ustalenia zakresu infekcji. Placówki objęte stałą obsługą informatyczną gabinetów stomatologicznych i klinik mają ten plan przygotowany zawczasu: monitoring wychwytuje anomalię, wiadomo gdzie są kopie i kto podejmuje decyzje. Koszt takiej ochrony w abonamencie to orientacyjnie kilkaset złotych miesięcznie dla małego gabinetu (ostateczna wycena zależy od liczby stanowisk i zakresu SLA) — wielokrotnie mniej niż jeden dzień przestoju, nie mówiąc o okupie, którego i tak nie warto płacić.

Najczęstsze pytania

Czy mały gabinet stomatologiczny naprawdę jest celem ransomware?

Tak, bo ataki są zautomatyzowane — złośliwe kampanie phishingowe i skanowanie internetu w poszukiwaniu otwartych pulpitów zdalnych nie rozróżniają wielkości firmy. Placówki medyczne są przy tym atrakcyjne, bo przechowują krytyczne dane i działają pod presją czasu, co zwiększa skłonność do zapłaty okupu.

Co zrobić w pierwszej kolejności po wykryciu szyfrowania danych?

Natychmiast odłączyć zainfekowane komputery od sieci przewodowej i Wi-Fi, ale ich nie wyłączać ani nie restartować. Następnie spisać objawy i godzinę wykrycia, wezwać wsparcie IT oraz zabezpieczyć kopie zapasowe przed podłączeniem do zainfekowanej sieci. Zgłoszenie naruszenia do UODO musi nastąpić w ciągu 72 godzin od jego stwierdzenia.

Czy zapłacenie okupu rozwiązuje problem?

Nie. Nie ma gwarancji otrzymania działającego klucza, część danych często pozostaje uszkodzona, a placówka trafia na listy ofiar skłonnych płacić. Obowiązki prawne, w tym zgłoszenie naruszenia do UODO i ewentualne zawiadomienie pacjentów, pozostają aktualne niezależnie od zapłaty.

Jaki backup chroni przed ransomware?

Taki, którego atakujący nie może zaszyfrować ani usunąć: kopia offline na odłączanym nośniku albo kopia niezmienna w chmurze z wersjonowaniem i blokadą usuwania, przechowywana poza lokalizacją gabinetu. Kluczowy jest też regularny test odtworzenia — kopia, której nikt nigdy nie przywrócił testowo, może okazać się bezużyteczna.

Potrzebujesz wsparcia IT w swoim gabinecie lub klinice?
Obsługujemy placówki stomatologiczne i medycyny estetycznej w Warszawie i okolicach.

📞 531 330 080 kontakt@itspace.com.pl