Przejdź do treści

Gabinety stomatologiczne

Twój gabinet przechowuje dane pacjentów. Sprawdzamy, czy są bezpieczne.

Test bezpieczeństwa gabinetu stomatologicznego w stałej cenie. Sprawdzamy system gabinetowy, stację RTG, pocztę i rezerwacje - dokładnie tam, gdzie atakujący szuka wejścia. Bezpłatny PreScan w 24 godziny, pełny raport po polsku w 5 dni roboczych. Bez działu IT po Twojej stronie.

Zamów bezpłatne skanowanie wstępne

Znamy systemy, na których pracuje Twój gabinet

  • CGM
  • Estomed
  • Kamsoft Dent
  • Prodentis
  • Dentimax
  • Merit
  • Romexis
  • Carestream
  • Sidexis

Co warto wiedzieć

Dlaczego ransomware uwielbia gabinety stomatologiczne

To nie opinia - to coś, co ostatnie trzy lata raportów Verizon DBIR4 i IBM2 pokazują czarno na białym o małych firmach z sektora ochrony zdrowia.

01

Twoja dokumentacja jest warta więcej niż karta kredytowa.

Dane medyczne potrafią kosztować na dark webie nawet 50× więcej niż skradzione dane kart płatniczych, bo w jednym pliku masz pełną tożsamość, historię zdrowia i dane płatnicze - idealny zestaw do kradzieży tożsamości, wyłudzeń ubezpieczeniowych i ukierunkowanego szantażu.

02

Twój przestój jest nieproporcjonalnie drogi.

Bez zdjęć RTG w wersji cyfrowej, historii leczenia i bez oprogramowania do umawiania wizyt - nie pracujesz. Każdy dzień z zaszyfrowanym systemem to odwołane zabiegi, przełożeni pacjenci, utracone zaliczki i - co najgorsze - pacjenci, którzy po cichu już nie wracają. Branżowy średni czas odzyskania danych po ransomware w ochronie zdrowia MŚP to 12 tygodni.

03

Z zewnątrz wyglądasz jak łatwy cel.

Większość gabinetów pracuje na ryzykownej mieszance: domowy router, niezałatany system Windows, program do zdalnego dostępu dla managera i strona na WordPressie. Dla automatycznego skanera, który przeszukuje każdą pulę adresów IP w internecie, taki zestaw świeci się jak choinka.

Zakres oceny

Co sprawdzamy w Twoim gabinecie

Ekspozycja systemu gabinetowego

Sprawdzamy, czy Wasz program medyczny (np. Kamsoft Dent, CGM, Estomed, Dentimax, ProDentis lub Merit) nie został niebezpiecznie „wystawiony" do publicznego internetu. Weryfikujemy metody zdalnego dostępu dla managera (takie jak TeamViewer, AnyDesk czy protokół RDP). Otwarte i niezabezpieczone połączenia tego typu to najczęstsza ścieżka, którą hakerzy wprowadzają ransomware, by całkowicie zaszyfrować bazę pacjentów i sparaliżować pracę placówki.

Systemy RTG i obrazowania (PACS)

Stacje radiologiczne, pantomografy i tomografy CBCT (pracujące na oprogramowaniu Romexis, Carestream, Sidexis, Vatech czy Owandy) często działają na starszych wersjach systemu Windows w tej samej sieci co rejestracja. Podczas audytu sprawdzamy, czy te krytyczne urządzenia nie są bezpośrednio widoczne z internetu oraz czy zostały bezpiecznie odseparowane od reszty komputerów w gabinecie.

Bezpieczeństwo poczty gabinetu (SPF/DKIM/DMARC)

Audytujemy techniczną konfigurację filtrów bezpieczeństwa dla Twojej firmowej domeny (np. info@moj-gabinet.pl). Bez poprawnie wdrożonych zabezpieczeń SPF, DKIM i DMARC, cyberprzestępca może bez przeszkód wysłać do pacjenta lub Twojej księgowej maila, który wygląda identycznie jak wiadomość od Ciebie. To najczęstszy pierwszy krok hakerów w oszustwach polegających na podszywaniu się pod firmę i wyłudzaniu pieniędzy.

Hasła zespołu i wspólne loginy

Sprawdzamy adresy e-mail gabinetu w bazach wycieków (klasycznych i dark-webowych) oraz typowy w gabinetach wzorzec jednego wspólnego loginu dla całej recepcji. Jedno ujawnione hasło to zwykle otwarta droga do całej dokumentacji.

Rezerwacje online i płatności

System rezerwacji wizyt (własny, WordPress, zewnętrzny) oraz integracja z bramką płatniczą to dane pacjentów i pieniądze w jednym miejscu. Szukamy podatnych formularzy, przestarzałych wtyczek i wystawionych paneli administracyjnych.

Dostępność i kompletność backupu

Sprawdzamy, czy kopia zapasowa Twojej dokumentacji medycznej lub finansowej nie jest bezpośrednio osiągalna z internetu - a tym samym podatna na atak ransomware. Weryfikujemy, czy posiadasz bezpieczną kopię offline lub immutable (niezmienialną) oraz czy Wasze procedury spełniają złotą regułę backupu 3-2-1. Pamiętaj: backup, którego nikt nigdy nie testował pod kątem odzyskiwania danych, to nie backup - to tylko nadzieja.

Realne koszty

Ile naprawdę kosztuje wyciek

Do 20 mln €1

Kara UODO (RODO)

Dane pacjentów to dane osobowe objęte RODO. Opóźnione zgłoszenie naruszenia (okno to 72 godziny - Art. 33 RODO) albo niewystarczające zabezpieczenia potrafią uruchomić kary UODO. Egzekwowanie kar wobec ochrony zdrowia jest publicznie udokumentowane - to nie teoria.

3,31 mln USD2

Koszt incydentu

To średni koszt naruszenia dla firmy poniżej 500 pracowników wg IBM 2024 - prawnik, zgłoszenia, naprawa i utracone przychody razem. Koszt dla lokalnego gabinetu zwykle jest niższy, ale rzadko schodzi poniżej 100 tys. PLN, kiedy doliczymy kancelarię, RODO i logistykę powiadomień pacjentów.

Branża polecenia

Reputacja

Jeden mail informujący o wycieku, wysłany do Twoich pacjentów, jest wydarzeniem, które w praktyce napędzanej poleceniami potrafi zamknąć gabinet. Nie ma agencji PR, która to zmiękczy. Odbudowa zaufania to lata - jeśli w ogóle.

Jak to wygląda w praktyce

Pięć sposobów, w jakie traci gabinet stomatologiczny

Żaden z tych scenariuszy nie wymaga, byś był "ciekawym" celem. Wszystkie zaczynają się od czegoś, co skan wykrywa w pierwszych godzinach.

  1. 1

    Ransomware przez otwarty pulpit zdalny (RDP)

    Manager pracuje z domu, więc dostęp do komputera w gabinecie został bezpośrednio „wystawiony" do internetu. Automatyczny bot hakerski odnajduje go w kilka godzin, błyskawicznie łamie słabe hasło i szyfruje całą dokumentację. Efekt? Żądanie gigantycznego okupu pojawia się na ekranie komputera na rejestracji w poniedziałek rano.

  2. 2

    Phishing na recepcję ("fałszywy NFZ")

    Recepcja dostaje maila wyglądającego jak pismo z NFZ albo e-fakturę. Jedno kliknięcie instaluje złośliwe oprogramowanie albo wyłudza hasło do systemu gabinetowego. Recepcja klika dziesiątki maili dziennie - to najsłabsze ogniwo.

  3. 3

    Oszustwo na przelew (BEC)

    Bez poprawnego DMARC ktoś podszywa się pod Twoją domenę i wysyła do księgowej albo dostawcy maila ze "zmienionym numerem konta". Pieniądze wychodzą, zanim ktokolwiek zauważy. Najczęstszy realny koszt finansowy w MŚP.

  4. 4

    Stacja RTG wystawiona do internetu

    Komputer sterujący pantomografem albo CBCT, podłączony do sieci dla wygody zdalnego serwisu, jest widoczny publicznie. Atakujący wchodzi przez niego do sieci gabinetu - z pominięciem rejestracji i całej "ochrony".

  5. 5

    Wyciek loginu do rezerwacji

    Hasło do systemu rezerwacji online wycieka w naruszeniu u innego dostawcy. Ponieważ zespół używa tego samego hasła wszędzie, atakujący loguje się do kalendarza wizyt - a stamtąd do danych kontaktowych wszystkich pacjentów.

Zobacz, jak wygląda prawdziwy raport

Tak wygląda raport PreScan dla gabinetu stomatologicznego

Zredagowaliśmy nazwę i domenę. Reszta to realne wyjście - wykryte podatności, ocena krytyczności, priorytetyzowana lista działań i zrozumiałe wyjaśnienie, które menedżer gabinetu może tego samego dnia wysłać swojemu informatykowi.

Zobacz przykładowy raport …albo pomiń przykład - zamów własny PreScan bez opłat

Rezultaty

Co dostajesz

Każdy gabinet, który zamawia pełną ocenę, dostaje podobny w strukturze ale znacznie obszerniejszy raport.

  • Raport PDF - przystępny język, bez żargonu
  • Pełna lista podatności z oceną krytyczności (Krytyczna / Wysoka / Średnia / Niska), z CVSS tam, gdzie to ma sens
  • Priorytetyzowany plan działań, który Twój informatyk może wdrożyć od razu
  • Przewodnik konfiguracji bezpieczeństwa poczty (SPF, DKIM, DMARC) dla Twojej domeny
  • Raport o wyciekach - jakie adresy, w jakich wyciekach, kiedy
  • Mapa ekspozycji zewnętrznej - dokładnie to, co internet widzi z IP Twojego gabinetu
  • 30-minutowa rozmowa końcowa z oceniającym, przejście przez wyniki punkt po punkcie

Cennik

Stała cena, widoczna z góry

Zaczynasz za darmo. Płacisz tylko, jeśli jest co naprawiać. Cena CyberAudyt jest stała - niezależnie od liczby stanowisk czy lokalizacji.

Zacznij tutaj

PreScan

Bezpłatny

wynik w 24 h

Pasywny skan zewnętrzny gabinetu. Pokazujemy, co widać z internetu - bez żadnego dostępu z Twojej strony. Odpowiada na pytanie "czy w ogóle jest się czym martwić".

Najczęściej wybierany

CyberAudyt

2 900 zł

raport w 5 dni roboczych

Pełna ocena zewnętrzna z ręczną weryfikacją: system gabinetowy, RTG/PACS, poczta, rezerwacje, backup. Raport po polsku z priorytetami napraw i 30-minutowa rozmowa. Stała cena niezależnie od liczby stanowisk.

Retest po naprawie

50% ceny

po wdrożeniu poprawek

Po usunięciu podatności sprawdzamy ponownie, czy naprawy faktycznie zadziałały - za połowę ceny CyberAudyt dla gabinetów, które już go przeszły. Dowód dla Ciebie i dla pacjentów, że luki zostały zamknięte.

Stała cena - bez stawek godzinowych, bez niespodzianek. Większe sieci gabinetów lub wymóg klienta korporacyjnego: dostępny też pełny pentest.

Gwarancja: jeśli CyberAudyt nie wskaże co najmniej 3 konkretnych ustaleń do naprawy - nie płacisz nic.

Zacznij od bezpłatnego PreScan

Pytania, które słyszymy najczęściej

Najczęstsze wątpliwości właścicieli gabinetów

„Czy RODO wymaga testu bezpieczeństwa w gabinecie stomatologicznym?”
RODO nie nakazuje wprost "testu", ale art. 32 wymaga wdrożenia środków bezpieczeństwa adekwatnych do ryzyka i regularnego ich testowania. Dla gabinetu przetwarzającego dane medyczne (art. 9) zewnętrzna ocena podatności to najprostszy sposób, by wykazać, że ten obowiązek realizujecie.
„Czy możecie zbadać nasze oprogramowanie CGM albo Estomed?”
Tak. Sprawdzamy, czy CGM, Estomed, Kamsoft Dent, Prodentis, Dentimax czy Merit nie są wystawione do internetu i jak są skonfigurowane od strony dostępu. Nie zaglądamy do dokumentacji pacjentów - badamy powierzchnię ataku, czyli to, co widać z zewnątrz.
„Czy test zakłóci pracę gabinetu?”
Nie. Zarówno PreScan jak i CyberAudyt nie są agresywne - tylko odczytują to, co Twoje systemy same publikują w internecie. Nie logujemy się, nie instalujemy agentów, nie obciążamy sieci. Gabinet pracuje normalnie, pacjenci niczego nie zauważą.
„Ile czasu zajmuje skanowanie przy 5 stanowiskach?”
Sam PreScan to kilkadziesiąt minut skanu plus ręczny przegląd - raport dostajecie w 24 godziny. Pełny CyberAudyt kończymy raportem w 5 dni roboczych, niezależnie od tego, czy macie 5 stanowisk, czy 25. Cena też jest stała.
„Co jeśli znajdziecie lukę - ile kosztuje naprawa?”
To zależy od luki. Większość ustaleń w gabinecie to konfiguracja, którą Twój informatyk poprawia w kilka godzin (włączenie MFA, zamknięcie RDP, poprawka DMARC) - koszt bliski zeru. Raport zawsze podaje priorytet i szacowany nakład, żebyś wiedział, co naprawić najpierw.
„Czy dostajemy raport w języku polskim?”
Tak. Raport CyberAudyt jest po polsku i napisany dla właściciela, nie tylko dla informatyka: streszczenie, lista ustaleń z oceną krytyczności, plan napraw i sekcja techniczna dla Twojego IT. Bez żargonu w częściach, które są dla Ciebie.
„Czy test pokryje system RTG?”
Tak - z perspektywy sieci. Sprawdzamy, czy stacja RTG, pantomografu lub CBCT (Romexis, Carestream, Sidexis, Vatech, Owandy) nie jest widoczna z internetu i czy jest odseparowana od sieci rejestracji. To jeden z najczęściej zaniedbanych punktów w gabinecie.
„Czy mogę dokonać analizy zgodnie z etyką zawodową lekarza?”
Tak. Badamy wyłącznie infrastrukturę widoczną z internetu - nie potrzebujemy dostępu do dokumentacji medycznej ani do danych pacjentów. Nie narusza to tajemnicy lekarskiej; przeciwnie, pomaga ją chronić zgodnie z obowiązkiem zabezpieczenia danych.
„Mamy oprogramowanie do zarządzania gabinetem w chmurze - to nie problem dostawcy?”
Częściowo. Dostawca odpowiada za swoją infrastrukturę. Ty odpowiadasz za konta, które do niej sięgają, urządzenia, z których się logują, i adresy pracowników, pod które wpięte są te hasła. My sprawdzamy dokładnie to - część, której dostawca z definicji nie obejmuje ochroną.
„Nigdy nic się u nas nie wydarzyło. Czy to naprawdę konieczne?”
Większość naruszeń jest wykrywana miesiące po fakcie - według IBM 2024 średni czas wykrycia to 194 dni. Dobre pytanie to nie „czy nas zhakowano”, tylko „czy w ogóle byśmy wiedzieli gdyby się to wydarzyło”. Bezpłatny PreScan odpowie na to pytanie.�
„Jeśli coś znajdziecie, musimy naprawiać to u Was?”
Nie. Ocena mówi, co jest źle i co naprawić. Naprawę może zrobić Twój informatyk albo dowolna firma od cyberbezpieczeństwa. Jeśli nie masz zaufanego informatyka, polecimy rozwiązanie - ale nie ma żadnego lock-inu.

Zamów bezpłatny skan swojego gabinetu

Wysyłasz nam tylko nazwę domeny. W 24 godziny powiemy, co widzi atakujący. Jeśli nic poważnego - zatrzymujesz raport i znikamy. Jeśli znajdziemy coś poważnego - dostajesz propozycję pełnego assessmentu w 3 wariantach cenowych. Pełna elastyczność, bez presji, bez abonamentu.

Zamów bezpłatne skanowanie wstępne Wolisz najpierw porozmawiać? Napisz

Bez karty. Bez dostępu do Twoich systemów. Bez miesięcznych opłat.

Źródła

  1. 1Art. 83 RODO - administracyjne kary pieniężne (eur-lex.europa.eu)
  2. 2IBM Cost of a Data Breach Report 2024 (ibm.com/reports/data-breach)
  3. 3Art. 33 RODO - 72-godzinne zgłoszenie naruszenia (eur-lex.europa.eu)
  4. 4Verizon Data Breach Investigations Report 2024 (verizon.com/dbir)

Artykuły z bloga

Threat Intelligence

Jeden Otwarty Port: Jak Ransomware Trafia do Firm

Port 3389 otwarty na internet to najczęstszy punkt wejścia ransomware dla małych firm. Oto jak atakujący go znajdują, co się dzieje dalej i co z tym zrobić.

13 kwi 2026 Czytaj →
How-To

SPF, DKIM i DMARC dla biur rachunkowych

Trzy rekordy DNS stoją między Twoim biurem rachunkowym a oszustwem e-mail. Większości firm brakuje co najmniej jednego. Oto co robią, dlaczego mają znaczenie i jak sprawdzić swoje rekordy już teraz.

13 kwi 2026 Czytaj →