Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Naruszenie danych w ochronie zdrowia to incydent, w którym osoby nieuprawnione uzyskują dostęp do systemów lub plików zawierających informacje medyczne oraz dane osobowe pacjentów. Tego typu zdarzenia należą do najpoważniejszych z perspektywy cyberbezpieczeństwa, ponieważ łączą wrażliwe dane zdrowotne z informacjami identyfikacyjnymi i finansowymi, co zwiększa ryzyko kradzieży tożsamości, wyłudzeń oraz nadużyć ubezpieczeniowych.
Najnowszy przypadek dotyczy Radiology Associates of Richmond, które ujawniło incydent obejmujący 266 183 osoby. Z opublikowanych informacji wynika, że nieuprawniony dostęp do wewnętrznych systemów miał miejsce około 25 lipca 2025 r., a analiza skutków incydentu trwała przez wiele miesięcy.
W skrócie
- Radiology Associates of Richmond poinformowało o naruszeniu danych dotyczącym 266 183 osób.
- Atakujący mieli uzyskać dostęp do wewnętrznych systemów około 25 lipca 2025 r.
- Zakres incydentu ustalono po dochodzeniu i ręcznym przeglądzie dokumentów, zakończonym około 6 kwietnia 2026 r.
- Wysyłka zawiadomień do osób potencjalnie poszkodowanych rozpoczęła się 21 maja 2026 r.
- Wśród zagrożonych danych mogły znaleźć się imiona i nazwiska, numery Social Security, identyfikatory urzędowe, dane finansowe, informacje medyczne i dane dotyczące ubezpieczenia zdrowotnego.
Kontekst / historia
Incydent wpisuje się w utrzymujący się trend ataków na podmioty ochrony zdrowia. Organizacje medyczne są atrakcyjnym celem dla cyberprzestępców, ponieważ przechowują duże ilości danych o wysokiej wartości, a jednocześnie często działają w złożonych środowiskach IT obejmujących systemy diagnostyczne, archiwa obrazowe, platformy administracyjne i rozwiązania rozliczeniowe.
W tym przypadku istotne jest również to, że nie jest to pierwszy incydent związany z tą organizacją. Wcześniej zgłaszano już naruszenie powiązane z atakiem z kwietnia 2024 r., które miało objąć około 1,4 mln osób. Powtarzające się problemy bezpieczeństwa w jednej organizacji zwykle wskazują na potrzebę ponownej oceny architektury zabezpieczeń, monitoringu, segmentacji środowiska oraz procedur reagowania na incydenty.
Analiza techniczna
Z dostępnych informacji wynika, że napastnicy uzyskali dostęp do wewnętrznych systemów organizacji, a następnie pozyskali pliki zawierające chronione informacje zdrowotne. Nie ujawniono jednak szczegółowego wektora wejścia, dlatego nie można jednoznacznie potwierdzić, czy źródłem incydentu było przejęcie konta, phishing, wykorzystanie podatności, dostęp przez usługi zdalne czy ruch boczny w sieci.
Technicznie jest to typowy scenariusz naruszenia polegającego na kradzieży danych po kompromitacji infrastruktury. Najpierw dochodzi do nieautoryzowanego dostępu do zasobów wewnętrznych, następnie do identyfikacji repozytoriów zawierających dane wysokiej wartości, a ostatecznie do eksfiltracji plików. Szczególnie istotny jest długi czas potrzebny do określenia pełnego zakresu incydentu, co może wskazywać na rozproszenie danych, brak pełnej widoczności telemetrycznej lub konieczność ręcznej analizy dużego zbioru dokumentów.
W środowiskach radiologicznych i diagnostycznych organizacje przetwarzają wiele kategorii informacji jednocześnie, w tym dane rejestracyjne pacjentów, dokumentację badań, metadane systemów PACS i RIS, dane rozliczeniowe oraz informacje ubezpieczeniowe. Jeśli incydent obejmuje pliki, a nie pojedynczą bazę danych, precyzyjne ustalenie zakresu naruszenia staje się znacznie trudniejsze i bardziej czasochłonne.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takiego incydentu jest ekspozycja danych o wysokiej wrażliwości. Połączenie danych identyfikacyjnych, finansowych i zdrowotnych może zostać wykorzystane do wieloetapowych oszustw, takich jak przejęcie tożsamości, wyłudzenia świadczeń, nadużycia związane z rozliczeniami medycznymi czy ukierunkowane kampanie phishingowe bazujące na wiarygodnym kontekście zdrowotnym.
Z punktu widzenia organizacji ryzyko obejmuje odpowiedzialność regulacyjną, straty reputacyjne oraz wysokie koszty operacyjne. Obejmują one obsługę zgłoszeń, wsparcie prawne, dochodzenie śledcze, działania naprawcze, monitoring kredytowy dla poszkodowanych oraz potencjalne roszczenia cywilne. Jeśli podobne incydenty występują więcej niż raz w krótkim czasie, rośnie także presja na zarząd i zespoły bezpieczeństwa w zakresie wykazania skuteczności wdrożonych zabezpieczeń.
Rekomendacje
Organizacje ochrony zdrowia powinny traktować ten przypadek jako kolejny sygnał, że bezpieczeństwo danych medycznych wymaga podejścia wielowarstwowego. W pierwszej kolejności należy ograniczać możliwość nieautoryzowanego dostępu poprzez stosowanie MFA dla kont uprzywilejowanych i dostępu zdalnego, segmentację sieci oraz konsekwentne wdrażanie zasady najmniejszych uprawnień.
Kluczowe znaczenie ma również rozwój zdolności detekcyjnych. Oznacza to centralizację logów, monitorowanie dostępu do repozytoriów plikowych, alertowanie na nietypowe operacje kopiowania i eksportu danych oraz korelację zdarzeń pomiędzy systemami EDR, SIEM i IAM. W środowiskach medycznych szczególnie ważne jest śledzenie dostępu do systemów przechowujących dokumentację pacjentów oraz nadzór nad integracjami z podmiotami zewnętrznymi.
W obszarze odporności operacyjnej warto wdrożyć klasyfikację danych i mapowanie przepływów informacji, aby szybciej określać skalę incydentu. Pomagają w tym również regularne testy reakcji na incydenty, przegląd retencji danych, szyfrowanie danych w spoczynku oraz ścisła kontrola dostępu do archiwów i udziałów sieciowych.
Osoby, których dane mogły zostać naruszone, powinny monitorować historię kredytową, zwracać uwagę na nietypową aktywność finansową oraz zachować ostrożność wobec wiadomości odnoszących się do tematów medycznych, rozliczeń i ubezpieczeń. Jeżeli incydent obejmował numery Social Security lub dane finansowe, wskazane jest zwiększenie czujności wobec prób oszustwa tożsamościowego.
Podsumowanie
Naruszenie danych w Radiology Associates of Richmond pokazuje, że sektor ochrony zdrowia pozostaje jednym z najważniejszych celów cyberprzestępców. Incydent objął 266 183 osoby i dotyczył plików zawierających chronione informacje zdrowotne oraz prawdopodobnie także dane identyfikacyjne i finansowe.
Choć nie ujawniono pełnych szczegółów technicznych ataku, sam schemat zdarzenia odpowiada dobrze znanemu modelowi: kompromitacja środowiska, uzyskanie dostępu do danych wysokiej wartości i ich eksfiltracja. Dla organizacji medycznych kluczowe pozostają dziś widoczność w środowisku, ograniczanie uprawnień, szybkie wykrywanie anomalii oraz sprawne reagowanie na incydenty.