W marcu 2026 r. atak ransomware (polegający na zaszyfrowaniu danych na dysku poszkodowanego i żądaniu okupu za ich odszyfrowanie) sparaliżował działalność Szpitala Wojewódzkiego w Szczecinie. Uprzednio podobne ataki miały miejsce na szpital MSWiA w Krakowie oraz Centrum Medyczne w Łodzi. Podczas zdarzenia doszło do zaszyfrowania części danych i zablokowania systemów IT, placówka została zmuszona do przejścia na papierowy tryb pracy, pojawiło się ryzyko naruszenia danych osobowych pacjentów oraz sprawcy zażądali okupu sięgającego kilku milionów dolarów. Wraz z użyciem nowych technologii ataki tego typu stają się coraz bardziej popularne.
W przypadku ataku ransomware konieczne jest podjęcie odpowiednich kroków, w celu minimalizacji konsekwencji zdarzenia czy też prewencji ewentualnego ataku.
Reakcja na atak ransomware ma w polskim prawie dwa główne wymiary:
1) cyberbezpieczeństwo,
2) ochrona danych osobowych.
Konkretne obowiązki formalne zależą od tego, czy podmiot jest operatorem usługi kluczowej, podmiotem kluczowym, ważnym czy też podmiotem publicznym w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa oraz czy doszło do naruszenia ochrony danych osobowych.
Perspektywa cyberbezpieczeństwa – ustawa o krajowym systemie cyberbezpieczeństwa
Jeżeli podmiot należy do krajowego systemu cyberbezpieczeństwa, ciążą na nim szczegółowe obowiązki w zakresie wdrożenia systemu zarządzania bezpieczeństwem informacji, zgłaszania incydentów oraz współpracy z CSIRT (Computer Security Incident Response Team), czyli wyspecjalizowanym zespołem odpowiedzialnym za reagowanie na incydenty cyberbezpieczeństwa.
W Polsce funkcjonują trzy główne zespoły CSIRT: CSIRT MON, CSIRT NASK oraz CSIRT GOV. Realizują one zadania polegające na przeciwdziałaniu zagrożeniom cyberbezpieczeństwa, w tym przyjmowaniu i analizie zgłoszeń incydentów, ich klasyfikowaniu (np. jako incydenty poważne, istotne lub krytyczne) oraz koordynacji obsługi incydentów krytycznych.
Operatorzy usług kluczowych, dostawcy usług cyfrowych oraz określone podmioty publiczne mogą korzystać ze wsparcia CSIRT w obsłudze incydentów. W przypadku ataku ransomware lub innego poważnego cyberataku prawidłowy schemat działania obejmuje niezwłoczną identyfikację incydentu i jego wewnętrzną klasyfikację, zgłoszenie incydentu właściwemu CSIRT zgodnie z obowiązującymi procedurami, współpracę z tym zespołem w zakresie analizy technicznej, ograniczania skutków oraz przywracania ciągłości działania, a także wdrożenie środków naprawczych. Podmioty kluczowe i ważne mają ponadto obowiązek utrzymywania systemu ciągłego zarządzania ryzykiem.
Organy właściwe do spraw cyberbezpieczeństwa pełnią funkcję nadzorczą i kontrolną. Mogą przygotowywać rekomendacje oraz wytyczne sektorowe dotyczące wzmacniania cyberbezpieczeństwa, w tym zasad zgłaszania incydentów. W przypadku stwierdzenia podejrzenia naruszenia ochrony danych osobowych organ ten ma obowiązek poinformować Prezesa Urzędu Ochrony Danych Osobowych w terminie 7 dni.
Perspektywa ochrony danych osobowych – RODO
W przypadku ataku ransomware kluczowe jest ustalenie, czy doszło do naruszenia ochrony danych osobowych, czyli naruszenia bezpieczeństwa prowadzącego do zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych.
Jeżeli do takiego naruszenia doszło, administrator danych ma obowiązek prowadzić jego dokumentację, w tym rejestr naruszeń, zgłosić naruszenie Prezesowi Urzędu Ochrony Danych Osobowych, o ile istnieje ryzyko naruszenia praw lub wolności osób fizycznych, oraz zawiadomić osoby, których dane dotyczą, jeżeli ryzyko to jest wysokie.
Przepisy przewidują współpracę między organami działającymi w ramach systemu cyberbezpieczeństwa a organem ochrony danych osobowych – w razie podejrzenia naruszenia danych organ właściwy do spraw cyberbezpieczeństwa przekazuje informację Prezesowi UODO.
W praktyce reakcja na atak ransomware obejmujący dane osobowe powinna polegać na ustaleniu zakresu naruszenia, identyfikacji kategorii danych objętych incydentem, ocenie ryzyka dla osób fizycznych oraz podjęciu decyzji o obowiązkach zgłoszeniowych i informacyjnych.