Wojska Obrony Terytorialnej reagują na cyberatak na szpital w Szczecinie

W środę, 11 marca 2026, wicepremier i minister obrony narodowej Władysław Kosiniak-Kamysz poinformował w mediach społecznościowych, że w odpowiedzi na cyberatak wymierzony w infrastrukturę teleinformatyczną Samodzielnego Publicznego Wojewódzkiego Szpitala Zespolonego (SPWSZ) w Szczecinie, do wsparcia skierowano Zespół Działań Cyberprzestrzennych Dowództwa Wojsk Obrony Terytorialnej.

Zdjęcie: Wojska Obrony Terytorialnej

W związku z cyberatakiem na infrastrukturę teleinformatyczną Szpitala Zespolonego w Szczecinie kierujemy tam zespół działań cyber z Dowództwa Wojsk Obrony Terytorialnej.

Żołnierze wesprą szpital w przywróceniu i zabezpieczeniu systemów teleinformatycznych. Wojsko Polskie pomaga wszędzie tam, gdzie zagrożone jest bezpieczeństwo obywateli polskich – napisał szef MON na platformie społecznościowej X.

W odpowiedzi na cyberatak wymierzony w infrastrukturę teleinformatyczną Szpitala Zespolonego w Szczecinie, do wsparcia skierowano Zespół Działań Cyberprzestrzennych Dowództwa Wojsk Obrony Terytorialnej.

Żołnierze pomogą w przywróceniu sprawności oraz zabezpieczeniu systemów IT placówki. Reagujemy wszędzie tam, gdzie pojawia się zagrożenie dla bezpieczeństwa obywateli polskich – czytamy z kolei na profilu Dowództwa Wojsk Obrony Terytorialnej.

Cyberatak ransomware na SPWSZ w Szczecinie (Arkońska i Zdunowo)

Jak czytamy w komunikacie prasowym Samodzielnego Publicznego Wojewódzkiego Szpitala Zespolonego w Szczecinie, w dniu 8 marca br. zidentyfikowano incydent związany z cyberatakiem typu ransomware, który spowodował naruszenie ochrony danych osobowych.

Atak polegał na zastosowaniu złośliwego oprogramowania szyfrującego, które doprowadziło do zaszyfrowania części zasobów informatycznych Szpitala, co wiąże się z wysokim ryzykiem nieuprawnionego dostępu i potencjalnej kradzieży.

W wyniku tego zdarzenia doszło do utraty dostępności danych osobowych, a także, z dużym prawdopodobieństwem, naruszenia ich poufności. Dotyczy to m.in. informacji dotyczących pacjentów, pracowników, kontrahentów oraz innych osób, których dane były przetwarzane przez SPWSZ w Szczecinie.

Dodano, że obecnie trwają działania wyjaśniające, mające na celu ustalenie zakresu incydentu.

Podjęto także działania zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód. Jednocześnie SPWSZ w Szczecinie dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformował uprawnione instytucje, a także złożył zawiadomienie o podejrzeniu popełnienia przestępstwa.

Na czym polegał cyberatak?

Naruszenie ochrony danych osobowych miało charakter incydentu cybernetycznego polegającego na ataku z wykorzystaniem oprogramowania ransomware. Atak ten doprowadził do zaszyfrowania plików przechowywanych na wybranej infrastrukturze serwerowej, skutkując utratą dostępności do danych oraz potencjalnym naruszeniem ich poufności.

Ze względu na specyfikę działania ransomware istnieje wysokie prawdopodobieństwo, że dane osobowe zostały przejęte w sposób nieuprawniony przez cyberprzestępców przed ich zaszyfrowaniem. Może to oznaczać możliwość ich dalszego wykorzystania w sposób nieautoryzowany, np. poprzez sprzedaż, nielegalne rozpowszechnianie lub wykorzystanie do oszustw i kradzieży tożsamości.

Atak dotknął szeroki zakres danych osobowych, obejmujących m.in. informacje o pacjentach, pracownikach, kontrahentach oraz innych osobach, których dane były przetwarzane w systemach SPWSZ w Szczecinie. W wyniku incydentu naruszona została dostępność danych, a także z dużym prawdopodobieństwem ich poufność.

Naruszenie to może prowadzić do negatywnych konsekwencji dla osób, których dane zostały objęte incydentem, w tym ryzyka nieuprawnionego wykorzystania danych pokrzywdzonych w celach oszustw, nadużyć finansowych, czy naruszenia prywatności.

Rodzaje danych objętych atakiem:

1. dane identyfikacyjne (m.in. imię, nazwisko, PESEL, nr dokumentu stwierdzającego tożsamość, organ wydający oraz data ważności, data urodzenia, obywatelstwo),
2. dane adresowe (adres zamieszkania, zameldowania, korespondencyjny),
3. dane kontaktowe (nr telefonu, adres e-mail),
4. dane szczególnej kategorii o stanie zdrowia (dokumentacja medyczna),
5. w minimalnym zakresie dane dotyczące faktu aresztowania lub zatrzymania przez organy ścigania w zakresie w jakim osobom tym były udzielane świadczenia zdrowotne,
6. dane finansowe (nr rachunków bankowych, informacja o wysokości wynagrodzenia pracowników i wysokości wynagrodzenia wynikających z umów kontraktowych),
7. dane kadrowe (historia zatrudnienia, informacje potwierdzające kwalifikacje, dane dzieci i współmałżonków pracowników).

Kategorie osób objętych atakiem:

1. pacjenci, przedstawiciele ustawowi pacjentów i osoby upoważnione przez pacjentów,
2. pracownicy,
3. kontrahenci/podwykonawcy.

Jak dodano, obecnie nie można jednoznacznie potwierdzić, czy dane pokrzywdzonych zostały skradzione, jednak istnieje wysokie prawdopodobieństwo.

Możliwe konsekwencje naruszenia

1. naruszenie prawa do prywatności, w związku z incydentem polegającym na ujawnieniu osobie nieupoważnionej danych osobowych zwykłych (tj. imię, nazwisko, adres zamieszkania i nr PESEL);
2. naruszenie dóbr osobistych wynikające z możliwości ujawnienia imienia i nazwiska, oraz nr PESEL wraz z pozostałymi danymi;
3. dyskryminacja wynikająca w szczególności z ujawnienia osobom nieupoważnionym wysokości wynagrodzenia pokrzywdzonych wraz z pozostałymi danymi;
4. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli, w związku z ujawnieniem imienia, nazwiska i nr PESEL (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.);
5. uzyskanie przez osoby trzecie pożyczek w instytucjach pozabankowych z użyciem imienia, nazwiska i nr PESEL osoby dotkniętej naruszeniem (np. przez Internet, bez konieczności okazywania dokumentu tożsamości);
6. uzyskanie przez osoby trzecie dostępu do systemów obsługujących udzielanie świadczeń medycznych osoby dotkniętej naruszeniem (czasami w takich systemach tożsamość potwierdza się za pomocą numeru PESEL);
7. próby zawarcia umów cywilnoprawnych na szkodę osoby, której dane ujawniono, w związku z ujawnieniem imienia, nazwiska i nr PESEL, np. umów z operatorami telekomunikacyjnymi czy dostawcami sygnału RTV;
8. uzyskanie przez osoby trzecie możliwości podjęcia próby założenia firmy z wykorzystaniem danych osobowych pokrzywdzonych, która następnie może posłużyć do wyłudzeń podatkowych, narażając pokrzywdzonych na nieprzyjemności i konieczność wykazania przez nich braku związku ze sprawą;
9. uzyskanie przez osoby trzecie możliwości złożenia fałszywej deklaracji podatkowej w imieniu pokrzywdzonych, powodując tym działaniem wszczęcie postępowania wyjaśniającego w Urzędzie Skarbowym;
10. ryzyko otrzymania wezwania do zwrotu środków, których faktycznie pokrzywdzeni nie otrzymali;
11. ryzyko podjęcia próby zamiany adresu korespondencyjnego pokrzywdzonych, numeru telefonu lub adresu e-mail powiązanego z kontem bankowym oraz z innymi kontami (np. kontem kredytowym, leasingowym, kontami rozliczeniowymi za dostarczone media (gaz, prąd, wodę etc.), czy wszelkiego rodzaju abonamenty i subskrypcje), co może utrudnić pokrzywdzonym dostęp do tych internetowych kont a także ryzyko przejęcia istotnych dokumentów w korespondencji z powiązanymi podmiotami;
12. ryzyko uzyskania dostępu do świadczeń pokrzywdzonych w ZUS lub NFZ;
13. ryzyko otrzymania wezwania do złożenia wyjaśnień w sprawie, z którą nie mają pokrzywdzeni nic wspólnego;
14. ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”;
15. wzrost zagrożenia fizycznego (np. włamania, stalking, niechciane wizyty);
16. możliwość fałszowania historii zawodowej i wykorzystania danych do nielegalnych celów;
17. ryzyko oszustw rekrutacyjnych, w tym podszywania się pod pracowników.

SPWSZ informuje, że obecnie istnieją wysokie ryzyka związane z ewentualnym wykorzystaniem danych osobowych pokrzywdzonych w sposób nieuprawniony, narażające ich na ewentualne naruszenia praw i wolności.

Proponowane środki zaradcze

1. zastrzeżenie numeru PESEL. Od 1 czerwca 2024 r. instytucje finansowe (np. banki) mają obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki.
2. wykupienie rocznego abonamentu tzw. Alertów w BIK (Biurze Informacji Kredytowej).
3. przejrzenie dostępnych informacji w Internecie na swój temat i usunięcie tych, które mogą wykorzystać przestępcy do nielegalnej działalności, w szczególności numery telefonów komórkowych, adresy e-mail, wizerunek, adresy zamieszkania, ale także zbędne informacje o miejscach pobytu czy zainteresowaniach i wszelkie inne szczegóły, które mogą zostać wykorzystane przez przestępców do podszywania się pod pokrzywdzonych.
4. możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym i kodeksie postępowania cywilnego.
5. zachowanie szczególnej rozwagi podczas umieszczania jakichkolwiek prywatnych danych na swój temat w Internecie.
6. weryfikację swoich haseł wykorzystywanych w różnych portalach, sklepach internetowych, kontach pocztowych i ich zmianę w taki sposób by były w każdym takim miejscu niepowtarzalne.
7. weryfikację oraz odnowienie certyfikatów wykorzystywanych do komunikacji z systemami zewnętrznymi, w tym certyfikatów używanych przez lekarzy.
8. weryfikację występowania danych pokrzywdzonych w bazie znanych wycieków danych, za pośrednictwem rządowego portalu https://bezpiecznedane.gov.pl.

W związku z cyberatakiem na infrastrukturę teleinformatyczną Szpitala Zespolonego w Szczecinie kierujemy tam zespół działań cyber z Dowództwa Wojsk Obrony Terytorialnej.

Żołnierze wesprą szpital w przywróceniu i zabezpieczeniu systemów teleinformatycznych. Wojsko Polskie pomaga…

— Władysław Kosiniak-Kamysz (@KosiniakKamysz) March 11, 2026

W odpowiedzi na cyberatak wymierzony w infrastrukturę teleinformatyczną Szpitala Zespolonego w Szczecinie, do wsparcia skierowano Zespół Działań Cyberprzestrzennych Dowództwa Wojsk Obrony Terytorialnej.

Żołnierze pomogą w przywróceniu sprawności oraz zabezpieczeniu systemów IT… pic.twitter.com/UCCtryy1D8

— Terytorialsi | Zawsze Gotowi, Zawsze Blisko! (@terytorialsi) March 11, 2026

AKTUALIZACJA

We wtorek, 17 marca, szef MON poinformował, że żołnierze z Zespołu Działań Cyberprzestrzennych Dowództwa Wojsk Obrony Terytorialnej pomogli przywrócić działanie komputerów, sprawdzili sieć, aby zapobiec kolejnym atakom, i odtworzyli system informatyczny szpitala.

Zespół działań cyber z Dowództwa @terytorialsi niezwłocznie rozpoczął działania po cyberataku w Szpitalu Zespolonym w Szczecinie.

Informatycy WOT pomogli przywrócić działanie komputerów, sprawdzili sieć, aby zapobiec kolejnym atakom, i odtworzyli system informatyczny szpitala.… pic.twitter.com/RtsPegD9vN

— Władysław Kosiniak-Kamysz (@KosiniakKamysz) March 17, 2026