Czy mój 1-2 fotelowy gabinet jest realnym celem?

Tak. Verizon DBIR 2024 podaje, że w segmencie firm <50 osób ransomware stanowi 88% przypadków szkodliwego oprogramowania. Boty skanują polskie publicznie widoczne adresy IP co kilka godzin - jeśli macie wystawiony RDP lub starą wersję systemu gabinetowego, jesteście w kolejce niezależnie od skali.

Czy CGM/Estomed/Kamsoft sami nas chronią?

Tylko częściowo. Dostawca odpowiada za aktualizacje silnika aplikacji i łatki podatności CVE. Wy odpowiadacie za MFA, konfigurację uprawnień, backup, segmentację sieci, dostęp z internetu, hasła pracowników. Większość incydentów to luki w konfiguracji u was, nie w samej aplikacji.

Czy muszę szyfrować bazę pacjentów?

Tak. Dane medyczne to szczególne kategorie (art. 9 RODO). UODO interpretuje brak szyfrowania at-rest dla danych zdrowotnych jako poważne uchybienie art. 32. BitLocker na stacji + szyfrowanie bazy w systemie gabinetowym (jeśli oferuje) + szyfrowany backup.

Co z RTG i CBCT - są bezpieczne?

Same urządzenia bywają na starym Windows, często bez aktualizacji. Rozwiązanie: segmentacja - RTG/CBCT na osobnym VLAN bez dostępu z poczty i przeglądarki, dostęp tylko ze stacji diagnostycznych. Niewystawianie pacjentom Wi-Fi gabinetowego - osobna sieć gościnna.

Ile czasu zajmuje pierwsze wdrożenie?

Pierwszy tydzień - 6-8 godzin pracy (MFA, weryfikacja backupu, szkolenie zespołu). Pierwsze 90 dni - kolejne 20-30 godzin (segmentacja, polityki, audyt zewnętrzny). Realistyczne dla 1-2 fotelowego gabinetu prowadzonego przez jednego lekarza-właściciela.

Co jeśli pacjent prosi o swoją dokumentację?

Macie obowiązek udostępnić w 30 dni (art. 15 RODO + ustawa o prawach pacjenta art. 28). Forma: papierowa lub elektroniczna zaszyfrowana, nigdy zwykłym mailem. Procedura przekazania powinna być pisemna i znana recepcji.

Czy potrzebujemy IOD?

Solo-gabinet zwykle nie. Sieć gabinetów z setkami pacjentów - tak (art. 37 RODO - duża skala danych medycznych). UODO ocenia case by case. Outsourcing IOD-a dla gabinetu kosztuje 800-2500 zł miesięcznie.

Co zrobić, gdy zostaniemy zaatakowani?

Odłączcie zainfekowane stacje od sieci (kabel + Wi-Fi), nie wyłączajcie ich. Zachowajcie logi. Zgłoście CERT Polska (cert.pl/zglos) i UODO w 72h, jeśli dotknięte były dane medyczne pacjentów. Skonsultujcie się z firmą reagującą na incydenty zanim cokolwiek odzyskacie.

Ile kosztuje audyt zewnętrzny?

Audyt CyberCerber (CyberAudyt) dla typowego gabinetu - wycena w cenniku. Raport po polsku w 5 dni roboczych z priorytetami CVSS i planem naprawczym. Gwarancja: jeśli raport nie zawiera co najmniej trzech działań naprawczych, pełen zwrot. Pentest dostępny dla większych sieci gabinetów.

Czy ubezpieczenie cyber się opłaca?

Dla solo-gabinetu - granica opłacalności. Polisa kosztuje 1-3 tys. zł rocznie i pokrywa koszty incydentu plus karę RODO (do limitu polisy). Ubezpieczyciel wymaga MFA, backup, audytu cyber - czyli higieny, którą i tak warto mieć.

Czy mogę używać prywatnego telefonu do zdjęć kontrolnych pacjentów?

Nie. Zdjęcia pacjentów na prywatnym telefonie = brak kontroli nad backupem w iCloud/Google, ryzyko wycieku, art. 32 RODO niewdrożony. Zdjęcia tylko na służbowym urządzeniu szyfrowanym, transferowane przez system gabinetowy lub szyfrowany udostępniony folder.

Co z prowadzeniem klinik partnerskich (cross-practice)?

Każda klinika partnerska to osobny administrator danych. Wymagane: umowy powierzenia jeśli dzielicie systemy, klauzule cyber w umowie partnerskiej, MFA na współdzielonych kontach, odrębne loginy dla każdej kliniki, audit log każdego dostępu.

Cyberbezpieczeństwo w gabinecie stomatologicznym - praktyczny przewodnik

Q: Czy CGM/Estomed/Kamsoft sami nas chronią?

Tylko częściowo. Dostawca odpowiada za aktualizacje silnika aplikacji i łatki podatności CVE. Wy odpowiadacie za MFA, konfigurację uprawnień, backup, segmentację sieci, dostęp z internetu, hasła pracowników. Większość incydentów to luki w konfiguracji u was, nie w samej aplikacji.

Q: Czy muszę szyfrować bazę pacjentów?

Tak. Dane medyczne to szczególne kategorie (art. 9 RODO). UODO interpretuje brak szyfrowania at-rest dla danych zdrowotnych jako poważne uchybienie art. 32. BitLocker na stacji + szyfrowanie bazy w systemie gabinetowym (jeśli oferuje) + szyfrowany backup.

Q: Co z RTG i CBCT - są bezpieczne?

Same urządzenia bywają na starym Windows, często bez aktualizacji. Rozwiązanie: segmentacja - RTG/CBCT na osobnym VLAN bez dostępu z poczty i przeglądarki, dostęp tylko ze stacji diagnostycznych. Niewystawianie pacjentom Wi-Fi gabinetowego - osobna sieć gościnna.

Q: Ile czasu zajmuje pierwsze wdrożenie?

Pierwszy tydzień - 6-8 godzin pracy (MFA, weryfikacja backupu, szkolenie zespołu). Pierwsze 90 dni - kolejne 20-30 godzin (segmentacja, polityki, audyt zewnętrzny). Realistyczne dla 1-2 fotelowego gabinetu prowadzonego przez jednego lekarza-właściciela.

Q: Co jeśli pacjent prosi o swoją dokumentację?

Macie obowiązek udostępnić w 30 dni (art. 15 RODO + ustawa o prawach pacjenta art. 28). Forma: papierowa lub elektroniczna zaszyfrowana, nigdy zwykłym mailem. Procedura przekazania powinna być pisemna i znana recepcji.

Q: Czy potrzebujemy IOD?

Solo-gabinet zwykle nie. Sieć gabinetów z setkami pacjentów - tak (art. 37 RODO - duża skala danych medycznych). UODO ocenia case by case. Outsourcing IOD-a dla gabinetu kosztuje 800-2500 zł miesięcznie.

Q: Co zrobić, gdy zostaniemy zaatakowani?

Odłączcie zainfekowane stacje od sieci (kabel + Wi-Fi), nie wyłączajcie ich. Zachowajcie logi. Zgłoście CERT Polska (cert.pl/zglos) i UODO w 72h, jeśli dotknięte były dane medyczne pacjentów. Skonsultujcie się z firmą reagującą na incydenty zanim cokolwiek odzyskacie.

Q: Ile kosztuje audyt zewnętrzny?

Audyt CyberCerber (CyberAudyt) dla typowego gabinetu - wycena w cenniku. Raport po polsku w 5 dni roboczych z priorytetami CVSS i planem naprawczym. Gwarancja: jeśli raport nie zawiera co najmniej trzech działań naprawczych, pełen zwrot. Pentest dostępny dla większych sieci gabinetów.

Q: Czy ubezpieczenie cyber się opłaca?

Dla solo-gabinetu - granica opłacalności. Polisa kosztuje 1-3 tys. zł rocznie i pokrywa koszty incydentu plus karę RODO (do limitu polisy). Ubezpieczyciel wymaga MFA, backup, audytu cyber - czyli higieny, którą i tak warto mieć.

Cyberbezpieczeństwo gabinetu stomatologicznego to nie korporacyjny SOC, tylko sześć praktycznych nawyków: MFA na koncie systemu gabinetowego (CGM, Estomed, Kamsoft) i poczcie, regularne aktualizacje oprogramowania, backup dokumentacji medycznej z kopią offline, segmentacja RTG od sieci recepcyjnej, krótkie szkolenie zespołu z fałszywego NFZ-phishingu, zewnętrzny audyt podatności raz w roku. 80% ochrony za jeden tydzień pracy i mniej niż 8 000 zł rocznie.

1. Dlaczego gabinet jest celem

Trzy powody, dla których gabinety stomatologiczne są nadreprezentowane wśród polskich MŚP-ofiar:

Wartość rynkowa danych medycznych. IBM Cost of a Data Breach 2024 podaje, że pełna dokumentacja medyczna jednego pacjenta na dark web jest warta około 250-500 USD - około 50 razy więcej niż dane karty kredytowej. Baza 500 pacjentów typowego gabinetu to potencjalny przychód dla atakującego rzędu 100 000 USD.

Presja czasowa. Zaszyfrowanie dokumentacji = niemożność prowadzenia wizyt. Gabinet bez systemu pracuje w trybie awaryjnym maksymalnie 1-3 dni, potem traci pacjentów i przychody. Atakujący wie, że okup zostanie wpłacony szybciej niż w innych branżach.

Niski poziom higieny cyber. Większość polskich gabinetów nie ma działu IT. Zewnętrzny informatyk przyjeżdża “co coś nie działa”, a nie prewencyjnie. MFA nie jest standardem. RDP wystawiony do internetu dla zdalnej pracy menedżerki - typowe.

CERT Polska zanotował w 2024 r. kilkadziesiąt potwierdzonych ataków ransomware na podmioty z sektora ochrony zdrowia w Polsce; raport nie ujawnia podziału na typy podmiotów, ale anonimowe rozmowy z firmami IR wskazują, że gabinety stomatologiczne i kliniki estetyczne są w czołówce zgłoszeń.

2. Trzy warstwy obrony - zastosowane do gabinetu

Model trzech warstw (Dostęp / Dane / Oszustwa) z głównego przewodnika SMB przyłożony do realiów gabinetowych.

Warstwa 1 - Dostęp do systemu gabinetowego

MFA na koncie głównym CGM, Estomed lub Kamsoft Dent. Większość polskich gabinetów używa jednego z tych trzech systemów. Wszystkie trzy oferują MFA - większość gabinetów go nie włącza. Konfiguracja zajmuje 15 minut na konto.

MFA na poczcie biznesowej. Najczęstszy wektor ataku: fałszywy mail “od NFZ” z prośbą o reset hasła. Bez MFA jeden klik na fałszywej stronie logowania daje atakującemu dostęp do skrzynki, kontaktów z pacjentami i historii korespondencji z dostawcami.

Aktualizacje systemu gabinetowego. Dostawca publikuje łatki bezpieczeństwa zazwyczaj co miesiąc - nie zwlekajcie z instalacją. Krytyczne CVE w 7 dni, wysokie w 30. Procedura: weryfikacja na środowisku testowym (kopia bazy), wdrożenie po godzinach pracy.

Hasła pracowników. Każdy pracownik z osobnym loginem (nie współdzielony “stomatolog1”), MFA dla recepcji i menedżerki, blokada ekranu po 5 minutach bezczynności, hasło ≥12 znaków.

Pogłębione tematy: Pierwszy tydzień - 5 kroków, Zdalny dostęp do gabinetu - bezpiecznie.

Warstwa 2 - Dane: dokumentacja i obrazowanie

Backup dokumentacji medycznej w regule 3-2-1. Trzy kopie, dwa nośniki, jedna offline. Lokalny NAS + chmura z immutable (S3 Object Lock). RPO ≤24h, RTO ≤72h. Test odzysku raz na miesiąc - karta jednego pacjenta + jedno badanie obrazowe.

Segmentacja RTG i CBCT. Urządzenia diagnostyczne często pracują na Windows 7/8 bez aktualizacji - to znana luka. Rozwiązanie: osobny VLAN dla urządzeń medycznych, brak bezpośredniego dostępu z internetu, brak współdzielenia z siecią recepcji. Jeśli dostawca wymaga zdalnego serwisu - VPN z MFA.

Wi-Fi pacjentów na osobnej sieci. Wi-Fi gościnne dla pacjentów ma być w pełni odseparowane od sieci gabinetu - osobny SSID, osobny VLAN, brak dostępu do drukarki, NAS, systemu gabinetowego.

Szyfrowanie at-rest. BitLocker na każdej stacji roboczej, szyfrowanie bazy w systemie gabinetowym (jeśli dostawca oferuje), szyfrowany backup. Wymóg art. 32 RODO dla danych szczególnych kategorii.

Pogłębione tematy: Budżet cyber dla gabinetu.

Warstwa 3 - Ochrona przed oszustwami

Fałszywy NFZ + fałszywa Komenda Policji. Dwa najczęstsze polskie wzorce phishingu wymierzonego w gabinety: “kontrola NFZ” z prośbą o login do systemu, “Komenda Główna Policji” z prośbą o “współpracę przy sprawie pacjenta.” Obie próbują zaciągnąć recepcję do podania danych.

SPF + DKIM + DMARC na domenie gabinetu. Bez DMARC w polityce reject każdy może wysłać fałszywy mail “od was” do waszych pacjentów. Konfiguracja jednorazowa, ochrona stała.

Procedura weryfikacji “od szefa”. Jeśli właścicielka mailem prosi recepcję o pilny przelew - weryfikacja telefoniczna na znany numer (nie z maila). Pisemna procedura, znana całemu zespołowi.

Szkolenie zespołu raz w roku. Trzy godziny: rozpoznawanie phishingu, bezpieczne hasła + MFA, postępowanie z mailem od pacjenta, blokowanie ekranu, zgłaszanie podejrzanych zdarzeń. Plus symulowany phishing raz na 2 miesiące. Cel klikalności poniżej 5% w 12 miesięcy.

Pogłębione tematy: Szkolenie zespołu - jak prowadzić, Phishing i bezpieczeństwo poczty.

3. Compliance - co dotyczy gabinetu

RODO art. 9. Dane medyczne to szczególne kategorie. Wymaga: zgody pacjenta (zabieg + osobno publikacja zdjęć), klauzul informacyjnych, rejestru czynności, umów powierzenia z dostawcą systemu gabinetowego, retencji 20 lat (dokumentacja medyczna).

Tajemnica lekarska (ustawa o zawodach lekarza art. 40). Reżim równoległy do RODO. Naruszenie obu = podwójna odpowiedzialność (administracyjna + zawodowa przed Naczelną Izbą Lekarską).

NIS2 - prawie zawsze nie dotyczy. Sektor ochrony zdrowia załącznika I UKSC obejmuje “podmioty lecznicze” zatrudniające ≥50 osób. Solo-gabinet i 1-3 fotelowa praktyka są poza zakresem. Sieć 10+ foteli z kilkudziesięciu pracownikami - sprawdźcie. Decyzyjny test w pillarze NIS2/UKSC.

Co NIE dotyczy gabinetu solo: ISO 27001 (sensowne tylko jeśli klient korporacyjny wymaga), pełen SOC, dedykowany SIEM, pełnoetatowy specjalista bezpieczeństwa.

4. Budżet

Roczne widełki dla typowego gabinetu 1-4 fotele, 1-5 pracowników. Wszystkie ceny brutto, 2026 r.

0-1 000 zł rocznie. MFA na wszystkich kontach (bezpłatne w Google Workspace lub Microsoft 365 Business), SPF/DKIM/DMARC (jednorazowa konfiguracja administratora hostingu), BitLocker, podstawowa polityka pisemna.
1 000-3 000 zł rocznie. Microsoft 365 Business Premium ~25-30 zł/użytkownik/miesiąc (włącza EDR Defender, conditional access), NAS 2-bay (jednorazowo 2 000-3 000 zł), backup chmurowy z immutable 50-150 zł miesięcznie.
3 000-8 000 zł rocznie. Roczny audyt zewnętrzny (CyberAudyt CyberCerber - wycena w cenniku), profesjonalny phishing simulator dla zespołu, ubezpieczenie cyber dla gabinetu (1-3 tys. zł).
Powyżej 8 000 zł rocznie. Sieć gabinetów / klinika z 10+ pracowników. Tu wchodzą CyberAudyt lub Pentest, SOC w retainer, IOD outsourcing (800-2500 zł miesięcznie). Patrz budżet cyber dla gabinetu.

5. Plan 30-60-90 dni

Tydzień 1-2: Inwentaryzacja + MFA

Spis wszystkich kont biznesowych (system gabinetowy, NFZ, eRecepta, eSkierowanie, ZUS PUE, e-Urząd Skarbowy, hosting, panel WWW, bankowość). Włączenie MFA na każdym. Sprawdzenie wycieków domeny gabinetu w Have I Been Pwned. Reset haseł, gdzie wykryte.

Tydzień 3-4: Backup + dokumentacja

Wdrożenie backupu 3-2-1 dla bazy pacjentów + obrazowania. Pierwszy test odzysku - jedna karta + jedno badanie RTG/CBCT. BitLocker na wszystkich laptopach. Inwentaryzacja systemu gabinetowego: wersja, harmonogram aktualizacji u dostawcy.

Tydzień 5-8: Segmentacja + poczta

Osobny VLAN dla RTG/CBCT. Osobne Wi-Fi dla pacjentów. Konfiguracja SPF + DKIM + DMARC w trybie p=none, zbieranie raportów. Po 4 tygodniach analiza i przejście na p=reject. Pisemna procedura weryfikacji przelewów drugim kanałem. Krótkie szkolenie zespołu (1 godzina).

Tydzień 9-12: Audyt zewnętrzny

Zewnętrzna ocena podatności CyberCerber, raport po polsku w 5 dni z priorytetami CVSS. Naprawienie ustaleń krytycznych w 7 dni, wysokich w 30 dni. Audyt do kalendarza co 12 miesięcy. Polityka bezpieczeństwa IT - dokument z procesami i odpowiedzialnościami.

Po 90 dniach gabinet ma trzy warstwy obrony, dokumentację zgodną z art. 32 RODO, plan reagowania na incydent.

6. CyberCerber dla gabinetu

CyberCerber dostarcza zewnętrzną ocenę podatności specjalnie dla MŚP-gabinetów - raport po polsku, zrozumiały dla właściciela, nie tylko dla informatyka. Trzy produkty: PreScan (bezpłatny skan diagnostyczny w 24h), CyberAudyt (audyt CyberCerber - pełna ocena podatności, raport w 5 dni), Pentest (symulowany atak dla większych sieci i podmiotów regulowanych). Gwarancja na CyberAudyt: jeśli raport nie zawiera co najmniej trzech działań naprawczych, pełen zwrot.

Bezpłatne skanowanie wstępne - 24 godziny, bez instalacji niczego u was. Cennik pakietów. Strona usługi dla gabinetów stomatologicznych.

7. FAQ

(See faq field in frontmatter - 12 atomic Q/A pairs rendered as FAQPage JSON-LD.)

8. Powiązane przewodniki

Linki do głównego przewodnika SMB:

Cyberbezpieczeństwo w małej firmie - od czego zacząć
NIS2 i UKSC dla małej firmy (sprawdźcie, czy was dotyczy)