Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Organizacje ochrony zdrowia od lat należą do najbardziej atrakcyjnych celów dla cyberprzestępców. Wynika to z wysokiej wartości danych medycznych, presji na utrzymanie ciągłości świadczenia usług oraz rozbudowanego ekosystemu dostawców, partnerów i personelu klinicznego. Obok ransomware i incydentów związanych z podmiotami trzecimi coraz większe znaczenie mają dziś ataki socjotechniczne, w tym phishing i pretexting.
Pretexting to forma manipulacji oparta na wiarygodnie przygotowanym scenariuszu podszycia się pod zaufaną osobę, dział lub proces. Celem może być wyłudzenie danych, zatwierdzenie płatności, reset hasła, nadanie dostępu albo skłonienie ofiary do uruchomienia złośliwego dokumentu. W środowisku medycznym, gdzie liczą się czas, zaufanie i szybka reakcja, takie techniki okazują się szczególnie skuteczne.
W skrócie
Raport Verizon DBIR 2026 wskazuje, że w sektorze ochrony zdrowia trzy dominujące wzorce naruszeń to intruzje systemowe, błędy operacyjne oraz socjotechnika. Łącznie odpowiadają one za 81% incydentów w tej branży. Powrót socjotechniki do czołówki nie oznacza jedynie większej liczby kampanii, ale także wzrost ich skuteczności.
Eksperci zwracają uwagę, że generatywna AI znacząco ułatwia tworzenie spersonalizowanych wiadomości i scenariuszy oszustw dopasowanych do realnych procesów placówek medycznych. W efekcie granica między legalną komunikacją a próbą manipulacji staje się coraz trudniejsza do wychwycenia.
Kontekst / historia
Zagrożenia cybernetyczne w ochronie zdrowia nie są nowym zjawiskiem. Sektor od lat mierzy się z ransomware, przejęciami kont, wyciekami danych pacjentów oraz konsekwencjami utrzymywania starszych systemów i urządzeń. Dodatkowym problemem jest silna zależność od zewnętrznych dostawców usług IT, laboratoriów, partnerów rozliczeniowych i podmiotów przetwarzających dane.
Na tym tle socjotechnika ewoluowała z prostych kampanii phishingowych do bardziej zaawansowanych operacji opartych na podszywaniu się pod pracowników HR, działy finansowe, help desk, dostawców lub kadrę zarządzającą. Coraz częściej są to ataki wielokanałowe, łączące e-mail, komunikację mobilną i manipulację tożsamością. Oznacza to przejście od masowych wiadomości do precyzyjnie przygotowanych kampanii wykorzystujących zaufanie i presję czasu.
Analiza techniczna
Z technicznego punktu widzenia kluczowym trendem jest rosnąca jakość pretekstów wykorzystywanych w atakach socjotechnicznych. Atakujący przygotowują przekonujące historie i tożsamości, które mają nakłonić ofiarę do wykonania określonej czynności bez uruchamiania podejrzeń.
W środowisku ochrony zdrowia szczególnie często pojawiają się scenariusze podszywania się pod:
- dostawców wystawiających faktury lub proszących o aktualizację danych,
- personel HR przesyłający dokumenty kadrowe,
- działy IT inicjujące procedury dostępu,
- partnerów klinicznych wymagających pilnej reakcji,
- kadrę kierowniczą zatwierdzającą wyjątki proceduralne.
Generatywna AI wzmacnia ten model działania na kilku poziomach. Pozwala tworzyć poprawne językowo i kontekstowe wiadomości na dużą skalę, analizować styl komunikacji oraz terminologię branżową, a także zwiększać wiarygodność złośliwych załączników i dokumentów. W rezultacie klasyczne oznaki podejrzanej wiadomości stają się mniej widoczne niż wcześniej.
Warto także zauważyć, że część wzrostu znaczenia socjotechniki może wynikać z lepszego raportowania i dokładniejszej klasyfikacji incydentów. Tam, gdzie wcześniej zdarzenia trafiały do kategorii ogólnych, obecnie częściej są rozpoznawane jako phishing, pretexting lub inne formy manipulacji użytkownikiem. Nie zmienia to jednak faktu, że realna skuteczność tych ataków rośnie, zwłaszcza tam, gdzie organizacja nie wdrożyła silnych mechanizmów ochrony tożsamości i procedur weryfikacyjnych.
Konsekwencje / ryzyko
Dla placówek medycznych skutki udanego ataku socjotechnicznego wykraczają daleko poza samo naruszenie poufności danych. Tego typu incydenty mogą prowadzić do przejęcia poświadczeń, eskalacji uprawnień, ruchu bocznego w sieci oraz kompromitacji skrzynek pocztowych.
- przejęcie dostępu do systemów klinicznych,
- nadużycia typu BEC i oszustwa płatnicze,
- uruchomienie incydentu ransomware,
- naruszenie danych pacjentów i danych finansowych,
- zakłócenie ciągłości opieki i procesów administracyjnych,
- straty prawne, regulacyjne i reputacyjne.
Szczególnie groźne jest połączenie socjotechniki z danymi pozyskanymi z wcześniejszych wycieków lub naruszeń u dostawców. Im więcej autentycznych dokumentów, wzorów komunikacji i szczegółów organizacyjnych trafia do przestępców, tym łatwiej zbudować przekonujące podszycie. W ten sposób wcześniejsze incydenty zwiększają skuteczność kolejnych kampanii wymierzonych w ludzi, a nie wyłącznie w technologię.
Rekomendacje
Podmioty ochrony zdrowia powinny traktować socjotechnikę jako ryzyko operacyjne i tożsamościowe, a nie jedynie problem związany z pocztą elektroniczną. Skuteczna strategia obrony powinna obejmować kilka warstw zabezpieczeń.
- wdrożenie MFA dla poczty, VPN i systemów zdalnego dostępu,
- ograniczenie uprawnień zgodnie z zasadą najmniejszych uprawnień,
- monitorowanie anomalii logowania, resetów haseł i zmian uprawnień,
- stosowanie formalnej weryfikacji zmian danych dostawców i dyspozycji płatniczych,
- potwierdzanie wrażliwych żądań innym kanałem komunikacji,
- szkolenie help desku i personelu administracyjnego pod kątem odporności na podszywanie się,
- korelację sygnałów z poczty, IAM, EDR i SIEM,
- regularne ćwiczenie scenariuszy reagowania na phishing, vendor fraud i BEC.
Szkolenia powinny być bardziej realistyczne i uwzględniać nie tylko klasyczny phishing, ale również pretexting związany z finansami, HR, IT i opieką kliniczną. Kluczowe jest wzmacnianie kultury szybkiego zgłaszania podejrzanych żądań bez obawy o negatywne konsekwencje.
Podsumowanie
Wzrost znaczenia socjotechniki w ochronie zdrowia pokazuje, że cyberprzestępcy coraz częściej optymalizują swoje działania pod kątem ludzkiego zaufania, a nie tylko luk technicznych. Verizon DBIR 2026 wskazuje, że sektor musi jednocześnie radzić sobie z intruzjami systemowymi, błędami operacyjnymi i coraz bardziej dopracowanymi kampaniami manipulacyjnymi.
Szczególnie niebezpieczny jest rozwój pretextingu wspieranego przez AI, który zwiększa wiarygodność podszyć i utrudnia ich wykrywanie. Dla organizacji medycznych oznacza to konieczność łączenia ochrony tożsamości, rygorystycznych procedur weryfikacji, dojrzałego monitoringu operacyjnego oraz ciągłego szkolenia personelu.
Źródła
- https://www.darkreading.com/cyber-risk/verizon-dbir-healthcare-fends-off-increased-social-engineering-attacks
- https://www.verizon.com/business/resources/reports/dbir/
- https://www.proofpoint.com/us/threat-reference/pretexting
- https://www.aha.org/h-isac-white-reports/2024-06-25-h-isac-tlp-white-threat-social-engineering-tactics-targeting-healthcare-and-public-health