Cyberatak na sieć placówek Bonifraterskiego Centrum Medycznego

We wtorek, 17 marca 2026, Bonifraterskie Centrum Medyczne poinformowało o cyberataku na infrastrukturę teleinformatyczną typu ransomware, który spowodował naruszenie ochrony danych osobowych. Wcześniej, 8 marca podobny atak miał miejsce na Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie.

Zdjęcie: Bonifraterskie Centrum Medyczne

Do ataku miało dojść 13 marca. Spółka dysponuje szpitalami w Katowicach, Krakowie i Łodzi oraz Szpitalem rehabilitacyjnym w Piaskach, Domem Seniora w Warszawie oraz Poradniami w Warszawie.

Podobnie jak w SPWSZ, atak polegał na zastosowaniu złośliwego oprogramowania szyfrującego, które doprowadziło do zaszyfrowania części zasobów informatycznych spółki, co wiąże się z wysokim ryzykiem nieuprawnionego dostępu i potencjalnej kradzieży.

W wyniku tego zdarzenia doszło do utraty dostępności danych osobowych, a także, z dużym prawdopodobieństwem, naruszenia ich poufności. Dotyczy to m.in. informacji dotyczących pacjentów, pracowników, kontrahentów oraz innych osób, których dane były przetwarzane przez Bonifraterskie Centrum Medyczne.

Dodano, że obecnie trwają działania wyjaśniające, mające na celu ustalenie zakresu incydentu. Podjęto także działania zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód. Jednocześnie Bonifraterskie Centrum Medyczne dokonało zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformował uprawnione instytucje, a także złożył zawiadomienie o podejrzeniu popełnienia przestępstwa.

Na czym polegał cyberatak?

Naruszenie ochrony danych osobowych miało charakter incydentu cybernetycznego polegającego na ataku z wykorzystaniem oprogramowania ransomware. Atak ten doprowadził do zaszyfrowania plików przechowywanych na wybranej infrastrukturze serwerowej, skutkując utratą dostępności do danych oraz potencjalnym naruszeniem ich poufności.

Ze względu na specyfikę działania ransomware istnieje wysokie prawdopodobieństwo, że dane osobowe zostały przejęte w sposób nieuprawniony przez cyberprzestępców przed ich zaszyfrowaniem. Może to oznaczać możliwość ich dalszego wykorzystania w sposób nieautoryzowany, np. poprzez sprzedaż, nielegalne rozpowszechnianie lub wykorzystanie do oszustw i kradzieży tożsamości.

Atak dotknął szeroki zakres danych osobowych, obejmujących m.in. informacje o pacjentach, pracownikach, kontrahentach oraz innych osobach, których dane były przetwarzane w systemach Bonifraterskiego Centrum Medycznego. W wyniku incydentu naruszona została dostępność danych, a także z dużym prawdopodobieństwem ich poufność.

Naruszenie to może prowadzić do negatywnych konsekwencji dla osób, których dane zostały objęte incydentem, w tym ryzyka nieuprawnionego wykorzystania danych pokrzywdzonych w celach oszustw, nadużyć finansowych, czy naruszenia prywatności.

Rodzaje danych objętych atakiem:

1. dane identyfikacyjne (m.in. imię, nazwisko, PESEL, nr dokumentu stwierdzającego tożsamość, organ wydający oraz data ważności, data urodzenia, obywatelstwo),
2. dane adresowe (adres zamieszkania, zameldowania, korespondencyjny),
3. dane kontaktowe (nr telefonu, adres e-mail),
4. dane szczególnej kategorii o stanie zdrowia (dokumentacja medyczna),
5. w minimalnym zakresie dane dotyczące faktu aresztowania lub zatrzymania przez organy ścigania w zakresie w jakim osobom tym były udzielane świadczenia zdrowotne,
6. dane finansowe (nr rachunków bankowych, informacja o wysokości wynagrodzenia pracowników i wysokości wynagrodzenia wynikających z umów kontraktowych),
7. dane kadrowe (historia zatrudnienia, informacje potwierdzające kwalifikacje, dane dzieci i współmałżonków pracowników).

Kategorie osób objętych atakiem:

1. pacjenci, przedstawiciele ustawowi pacjentów i osoby upoważnione przez pacjentów,
2. pracownicy,
3. kontrahenci/podwykonawcy.

Jak dodano, obecnie nie można jednoznacznie potwierdzić, czy dane pokrzywdzonych zostały skradzione, jednak istnieje wysokie prawdopodobieństwo.

Możliwe konsekwencje naruszenia

1. naruszenie prawa do prywatności, w związku z incydentem polegającym na ujawnieniu osobie nieupoważnionej danych osobowych zwykłych (tj. imię, nazwisko, adres zamieszkania i nr PESEL);
2. naruszenie dóbr osobistych wynikające z możliwości ujawnienia imienia i nazwiska, oraz nr PESEL wraz z pozostałymi danymi;
3. dyskryminacja wynikająca w szczególności z ujawnienia osobom nieupoważnionym wysokości wynagrodzenia pokrzywdzonych wraz z pozostałymi danymi;
4. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli, w związku z ujawnieniem imienia, nazwiska i nr PESEL (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.);
5. uzyskanie przez osoby trzecie pożyczek w instytucjach pozabankowych z użyciem imienia, nazwiska i nr PESEL osoby dotkniętej naruszeniem (np. przez Internet, bez konieczności okazywania dokumentu tożsamości);
6. uzyskanie przez osoby trzecie dostępu do systemów obsługujących udzielanie świadczeń medycznych osoby dotkniętej naruszeniem (czasami w takich systemach tożsamość potwierdza się za pomocą numeru PESEL);
7. próby zawarcia umów cywilnoprawnych na szkodę osoby, której dane ujawniono, w związku z ujawnieniem imienia, nazwiska i nr PESEL, np. umów z operatorami telekomunikacyjnymi czy dostawcami sygnału RTV;
8. uzyskanie przez osoby trzecie możliwości podjęcia próby założenia firmy z wykorzystaniem danych osobowych pokrzywdzonych, która następnie może posłużyć do wyłudzeń podatkowych, narażając pokrzywdzonych na nieprzyjemności i konieczność wykazania przez nich braku związku ze sprawą;
9. uzyskanie przez osoby trzecie możliwości złożenia fałszywej deklaracji podatkowej w imieniu pokrzywdzonych, powodując tym działaniem wszczęcie postępowania wyjaśniającego w Urzędzie Skarbowym;
10. ryzyko otrzymania wezwania do zwrotu środków, których faktycznie pokrzywdzeni nie otrzymali;
11. ryzyko podjęcia próby zamiany adresu korespondencyjnego pokrzywdzonych, numeru telefonu lub adresu e-mail powiązanego z kontem bankowym oraz z innymi kontami (np. kontem kredytowym, leasingowym, kontami rozliczeniowymi za dostarczone media (gaz, prąd, wodę etc.), czy wszelkiego rodzaju abonamenty i subskrypcje), co może utrudnić pokrzywdzonym dostęp do tych internetowych kont a także ryzyko przejęcia istotnych dokumentów w korespondencji z powiązanymi podmiotami;
12. ryzyko uzyskania dostępu do świadczeń pokrzywdzonych w ZUS lub NFZ;
13. ryzyko otrzymania wezwania do złożenia wyjaśnień w sprawie, z którą nie mają pokrzywdzeni nic wspólnego;
14. ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”;
15. wzrost zagrożenia fizycznego (np. włamania, stalking, niechciane wizyty);
16. możliwość fałszowania historii zawodowej i wykorzystania danych do nielegalnych celów;
17. ryzyko oszustw rekrutacyjnych, w tym podszywania się pod pracowników.

Bonifraterskie Centrum Medycznego informuje, że obecnie istnieją wysokie ryzyka związane z ewentualnym wykorzystaniem danych osobowych pokrzywdzonych w sposób nieuprawniony, narażające ich na ewentualne naruszenia praw i wolności.

Proponowane środki zaradcze

1. zastrzeżenie numeru PESEL. Od 1 czerwca 2024 r. instytucje finansowe (np. banki) mają obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki.
2. wykupienie rocznego abonamentu tzw. Alertów w BIK (Biurze Informacji Kredytowej).
3. przejrzenie dostępnych informacji w Internecie na swój temat i usunięcie tych, które mogą wykorzystać przestępcy do nielegalnej działalności, w szczególności numery telefonów komórkowych, adresy e-mail, wizerunek, adresy zamieszkania, ale także zbędne informacje o miejscach pobytu czy zainteresowaniach i wszelkie inne szczegóły, które mogą zostać wykorzystane przez przestępców do podszywania się pod pokrzywdzonych.
4. możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym i kodeksie postępowania cywilnego.
5. zachowanie szczególnej rozwagi podczas umieszczania jakichkolwiek prywatnych danych na swój temat w Internecie.
6. weryfikację swoich haseł wykorzystywanych w różnych portalach, sklepach internetowych, kontach pocztowych i ich zmianę w taki sposób by były w każdym takim miejscu niepowtarzalne.
7. weryfikację oraz odnowienie certyfikatów wykorzystywanych do komunikacji z systemami zewnętrznymi, w tym certyfikatów używanych przez lekarzy.
8. weryfikację występowania danych pokrzywdzonych w bazie znanych wycieków danych, za pośrednictwem rządowego portalu https://bezpiecznedane.gov.pl.