Napadi na zdravstvo ne mogu se izbjeći

Kibernetički napad na zdravstvo može rezultirati smrću pacijenta. Jednostavno se radi o činjenici.

Svake 39 sekundi negdje u svijetu dogodi se kibernetički napad. U zdravstvenom sektoru, ta statistika poprima zastrašujuću dimenziju. Ipak svaki napad potencijalno ugrožava ljudske živote.

93 posto američkih zdravstvenih organizacija doživjelo je barem jedan kibernetički napad u protekloj godini, s prosječno 43 incidenta po organizaciji.

ponemonsullivanreport

Istovremeno, prosječni troškovi povrede podataka u zdravstvu dosegnuli su 7,42 milijuna dolara po incidentu u 2025. godini.

Time vidimo da je zdravstvo četrnaestu godinu zaredom zadržalo neslavno prvo mjesto najskuplje industrije za povrede podataka, prema IBM-ovom godišnjem izvješću.

No, ono što posebno zabrinjava zdravstvene lidere nije gubitak podataka ni financijska šteta. Radi se o nečemu daleko ozbiljnijem.

Više od polovice zdravstvenih rukovoditelja vjeruje da je fatalni incident neizbježan u sljedećih pet godina, a gotovo svaki peti izjavljuje da je kibernetički napad već izravno poremetio skrb o pacijentima u njihovoj ustanovi.

Rastuće konsenzus među direktorima bolnica, glavnim direktorima za informacijsku sigurnost i voditeljima zdravstvenih sustava upozorava na zastrašujuću mogućnost.

Naime, fatalni kibernetički incident u kojem će pacijent izgubiti život kao izravna posljedica kibernetičkog napada više nije pitanje mogućnosti, već neizbježnosti.

U ovom članku analiziramo zašto zdravstveni lideri dijele to mračno uvjerenje, koliko smo blizu takvom scenariju, koje su najvjerojatnije situacije u kojima bi do njega moglo doći te što zdravstvene organizacije.

Stanje kibernetičke sigurnosti u zdravstvu

Zdravstveni sektor već godinama zauzima neslavno prvo mjesto kao najčešća meta kibernetičkih napada, kako smo već primijetili.

Grupe koje se bave ransomware-om pokrenule su 1.174 javno objavljenih napada u 2025. godini.

Radi se o porastu od 49 posto u odnosu na prethodnu godinu. Pri čemu je 22 posto tih napada bilo usmjereno na medicinske organizacije.

Daleko je to najveća koncentracija u bilo kojem pojedinačnom sektoru na globalnoj razini.

FBI je izvijestio da je samo u 2025. godini zdravstveni sektor pretrpio 460 ransomware napada, daleko više od bilo kojeg drugog podsektora kritične infrastrukture.

Među najistaknutijim incidentima nedavnog razdoblja ističe se napad na Change Healthcare u veljači 2024. godine, koji je paralizirao obradu recepata i osiguravateljskih zahtjeva za gotovo cijeli američki zdravstveni sustav.

Američki Ministarstvo zdravstva potvrdilo je da je napad na Change Healthcare pogodio približno 192,7 milijuna pojedinaca, gotovo dvije trećine američke populacije.

Ukupni prijavljeni izravni troškovi tog napada za UnitedHealth Group iznosili su 3,09 milijardi dolara do trećeg tromjesečja 2024. godine, prema prijavi tvrtke Komisiji za vrijednosne papire.

No 2025. i 2026. godina donijele su nove potresne incidente.

U veljači 2026. godine, ransomware napad na Sveučilišni medicinski centar Mississippija (UMMC) prisilio je tu jedinu akademsku medicinsku ustanovu u državi da zatvori klinike diljem cijele savezne države na više od tjedan dana, nakon što je napad onesposobio njihov Epic, sustav elektroničkih zdravstvenih kartona.

Osoblje je bilo prisiljeno koristiti ručno pisane kartone i improvizirane zapovjedne centre, a neki pacijenti su morali biti premješteni ili preusmjereni u druge medicinske ustanove.

Stručnjak za kibernetičku sigurnost dr. Christian Dameff, suvoditelj Centra za kibernetičku sigurnost u zdravstvu na Sveučilištu Kalifornije u San Diegu, upozorio je na deseterostruki rizik od smrti kod uobičajenih životno ugrožavajućih hitnih stanja.

Sve to zajedno s 40 posto duljim čekanjima u hitnim prijemima bolnica u okolici napadnute ustanove. Ta pojava naziva se eksplozijskim radijusom napada.

Samo nekoliko tjedana kasnije, u ožujku 2026. godine, uslijedio je još jedan masivan incident.

Dana 11. ožujka 2026. tvrtka Stryker, globalni proizvođač medicinske tehnologije čiji proizvodi utječu na više od 150 milijuna pacijenata godišnje, doživjela je kibernetički napad koji je rezultirao globalnim prekidom poslovanja.

Naime, iranska hakerska skupina ukrala je 50 gigabajta podataka, izbrisala gotovo 80.000 uređaja i poremetila operacije u 79 zemalja.

Napad je poremetio Strykerove poslovne operacije, otpremu i distribuciju te zaustavio proizvodnju, što je NHS u Engleskoj prisililo na hitnu procjenu utjecaja na opskrbu medicinskom opremom i potrošnim materijalom.

U europskom kontekstu, napad na irsku zdravstvenu službu HSE u 2021. godini ostaje upozoravajući primjer razmjera štete.

Taj je incident zahtijevao mjesece za potpuni oporavak i uzrokovao otkazivanje desetaka tisuća zakazanih pregleda i zahvata.

Naveli smo dosta primjera napada na zdravstvene sustave. Ono što čini zdravstveni sektor posebno ranjivim jest kombinacija nekoliko čimbenika.

Činjenica je da zdravstveni zapisi postižu visoke cijene na crnom tržištu, razgranati i nepovezani sustavi opterećeni zastarjelom tehnologijom stvaraju slijepe točke.

Uz to, nedovoljno financirani programi kibernetičke sigurnosti omogućuju ranjivostima da opstanu.

Fatalni incident je neizbježan

Kada je CHIME (College of Healthcare Information Management Executives) proveo anketu među vodećim zdravstvenim informatičarima, rezultati su bili zapanjujući.

Više od 67 posto ispitanika izjavilo je da smatra da je samo pitanje vremena kada će kibernetički napad izravno uzrokovati smrt pacijenta u nekoj zdravstvenoj ustanovi.

Institut Ponemon potvrdio je te strahove. Gotovo svaka četvrta tvrtka za pružanje zdravstvene skrbi koja je bila pogođena ransomware napadom prijavila je porast stope smrtnosti pacijenata nakon incidenta.

Ta zabrinutost nije rezultat pretjeranog opreza ili pesimizma, već realističnog sagledavanja strukturnih ranjivosti koje prožimaju cijeli zdravstveni ekosustav.

Naslijeđeni sustavi i zastarjela tehnologija

Jedna od najvećih ranjivosti krije se u samim temeljima zdravstvene infrastrukture. Mnoge bolnice i dalje koriste operativne sustave poput Windows 7 ili čak Windows XP, za koje proizvođači odavno ne izdaju sigurnosna ažuriranja.

Otprilike svaki peti povezani medicinski uređaj radi na nepodržanim platformama operativnih sustava koji više ne primaju sigurnosna ažuriranja.

Zapanjujućih 99 posto bolnica upravlja uređajima koji sadrže poznate i aktivno iskorištavane ranjivosti.

Zamjena tih uređaja često je financijski nepraktična jer jedan MRI uređaj može koštati više od dva milijuna dolara, a njegova projektirana uporabna životna dura daleko nadmašuje životni ciklus softvera koji ga pokreće.

Internetom povezani medicinski uređaji

Eksplozija IoT medicinskih uređaja stvorila je ogromnu napadačku površinu koju je iznimno teško zaštititi. Infuzijske pumpe, monitori vitalnih funkcija, ventilatori, inzulinske pumpe, pejsmejkeri.

Svi su ti uređaji danas povezani na bolničku mrežu.

Dvadeset dva posto zdravstvenih organizacija doživjelo je kibernetičke napade koji su izravno utjecali na medicinske uređaje, a tri četvrtine tih incidenata poremetilo je skrb o pacijentima, uključujući 24 posto slučajeva koji su zahtijevali premještanje pacijenata u druge ustanove.

Ograničeni proračuni za kibernetičku sigurnost

Pedeset šest posto zdravstvenih organizacija izdvaja manje od 10 posto svog IT proračuna za kibernetičku sigurnost, a 41 posto IT stručnjaka u zdravstvu smatra da njihove organizacije ne izdvajaju dovoljno financijskih sredstava za učinkovitu strategiju kibernetičke sigurnosti.

Sve sofisticiraniji napadači

Prijetnje više ne dolaze samo od oportunističkih kriminalaca. Počinitelji ovih napada prvenstveno su, ali ne isključivo, ruskog govornog područja ili se nalaze u Rusiji, a druge neprijateljske nacije koje pružaju utočište opasnim međunarodnim kriminalcima uključuju Iran, Kinu i Sjevernu Koreju.

Napad na Stryker u ožujku 2026. pripisuje se iranskoj hakerskoj skupini Handala, što naglašava geopolitičku dimenziju prijetnje.

Među najznačajnijim razvojnim trendovima je nastavak industrijalizacije kibernetičkog kriminala usmjerenog na zdravstvo jasno pomicanje od oportunističkih napada prema visoko koordiniranim, višefaznim operacijama.

U 2026. godini svjedočimo širenju primjera duboko lažiranih audio i video zapisa generiranih umjetnom inteligencijom, kao i otkrivanja ranjivosti i razvoja zlonamjernog softvera potpomognutog AI-jem.

Mogući scenariji fatalnog kibernetičkog incidenta

Stručnjaci za kibernetičku sigurnost u zdravstvu identificirali su nekoliko scenarija koji bi najvjerojatnije mogli rezultirati smrću pacijenta.

Ransomware tijekom kritičnog zbrinjavanja predstavlja možda najvjerojatniji scenarij. Svaki sat dok je sustav elektroničkih zdravstvenih kartona izvan mreže, kliničari rade naslijepo što se tiče povijesti lijekova, alergija i slikovnih nalaza.

Hitni odjeli aktiviraju protokole preusmjeravanja i šalju vozila hitne pomoći drugamo. Ljekarne se vraćaju na papir. Prosječni troškovi zastoja u američkom zdravstvu iznose 900.000 dolara dnevno.

Kompromitiranje medicinskih uređaja predstavlja scenarij koji izaziva najveću zabrinutost.

Sigurnosni istraživači posljednjih su godina demonstrirali hakiranje inzulinskih pumpi i pejsmejkera, pokazujući kako napadač može promijeniti doziranje ili isprazniti baterije.

Ventilatori, infuzijske pumpe i slikovni uređaji rade na firmveru bez sloja enkripcije, a lateralno kretanje s jednog uređaja može kompromitirati cijelu kliničku mrežu.

Regulatorne i pravne implikacije: od HIPAA do NIS2

Trenutni regulatorni okvir u Sjedinjenim Američkim Državama, koji se primarno oslanja na HIPAA propise donesene još 1996. godine, pokazuje se sve neadekvatnijim za suočavanje sa suvremenim kibernetičkim prijetnjama.

No, regulatori pojačavaju pritisak. HHS je predložio značajna ažuriranja HIPAA sigurnosnog pravila, uključujući eksplicitne zahtjeve za obveznu višefaktorsku autentifikaciju za administrativni pristup i pristup kritičnim sustavima.

Jedan od najradikalnijih prijedloga stigao je u travnju 2026. godine.

Bivša zamjenica pomoćnika direktora FBI-jeve Kibernetičke divizije Cynthia Kaiser, u svjedočenju pred Odborom za domovinski sigurnost Zastupničkog doma, predložila je da se ransomware hakeri koji ciljaju bolnice klasificiraju kao teroristi te da tužitelji razmotre mogućnost podizanja optužnica za ubojstvo.

Taj prijedlog označava dramatičan zaokret u načinu na koji zakonodavci percipiraju kibernetičke napade na zdravstvo.

U Europskoj uniji, Direktiva NIS2 koja je stupila na snagu 2023. godine klasificira zdravstvo kao sektor od visoke kritičnosti.

Hrvatska je među prvim zemljama EU-a transponirala NIS2 direktivu. Zakon o kibernetičkoj sigurnosti obuhvatio je 8.000 do 10.000 organizacija od veljače 2024. godine, s registracijom putem JISKB portala završenom do 1. ožujka 2025. i prvim nadzornim revizijama koje su počele u drugoj polovici 2025.

Hrvatska je 2025. godine usvojila i Nacionalni program upravljanja kibernetičkim krizama, koji definira postupke za odgovor na kibernetičke incidente velikih razmjera i usklađuje strukture odgovora na krize sa širim europskim okvirom suradnje u kibernetičkoj sigurnosti.

Što zdravstvene organizacije poduzimaju

Unatoč zastrašujućem pejzažu prijetnji, mnoge zdravstvene organizacije poduzimaju značajne korake prema poboljšanju svoje kibernetičke otpornosti.

Više od polovice zdravstvenih sustava povećava svoja ulaganja u kibernetičku sigurnost, od jačanja autentifikacijskih procesa do širenja IT timova.

Arhitektura nultog povjerenja postaje standard prema kojem teže vodeće zdravstvene organizacije.

Sustavi koji su preživjeli napad na Stryker bili su dizajnirani prema principima nultog povjerenja pretpostavljajući kompromitaciju i minimizirajući ovisnosti.

Time se značajno smanjila izloženost.

Sada se poravak se ubrzava. Pedeset osam posto zdravstvenih pružatelja usluga pogođenih ransomwareom u 2025. godini vratilo se na mrežu unutar tjedan dana.

Brojka je dvostruko viša odnosu na 21 posto koji su to izjavili 2024. godine, prema Sophosu.

Ukratko,ulaganja u planove za odgovor na incidente i offline sigurnosne kopije počinju davati rezultate.

Edukacija osoblja prepoznata je kao jedna od najvažnijih obrana.

Osamdeset dva posto povreda podataka potječe od krađe vjerodajnica izvršene putem e-maila ili SMS mamaca, što naglašava kritičnu važnost cyber hr training programa prilagođenih zdravstvenom osoblju.

Preporuke stručnjaka

Vodeći stručnjaci za kibernetičku sigurnost u zdravstvu slažu se oko niza ključnih preporuka koje svaka zdravstvena organizacija mora implementirati.

Prioritizacija temeljena na riziku ključna je za organizacije s ograničenim resursima.

Obavezno moramo identificirati sustave čiji bi ispad imao najizravniji utjecaj na sigurnost pacijenata i usmjeriti resurse na njihovu zaštitu kao apsolutni prioritet.

Segmentacija mreže predstavlja jednu od najdjelotvornijih mjera.

Zdravstvene organizacije trebaju segmentirati korporativna IT okruženja od kliničkih sustava i kritične infrastrukture. Ova mjera je relativno pristupačna čak i za manje organizacije i može drastično ograničiti sposobnost napadača da se kreće kroz mrežu.

Upravljanje rizicima trećih strana postalo je imperativ.

Udio povreda podataka u zdravstvu koje uključuju poslovne partnere udvostručio se u jednoj godini, s 15 na 30 posto, prema Verizonu.

Svaka zdravstvena organizacija mora temeljito provjeravati svoje dobavljače, kontinuirano nadzirati kritične partnere i imati planove za situacije kada ključni pružatelj usluga bude napadnut.

Offline sigurnosne kopije nisu glamurozna mjera, ali su vitalna.

Redovito sigurnosno kopiranje podataka na sustave koji nisu stalno povezani s mrežom osigurava mogućnost oporavka čak i nakon najrazornijeg ransomware napada.