Wyciekły medyczne dane Polaków. Ekspert komentuje (aktualizacja)

Wyciekły medyczne dane Polaków. Ekspert komentuje (aktualizacja)27.11.2023 14:23
Atak ransomware na ALAB
Źródło zdjęć: © Adobe Stock

Serwis Zaufana Trzecia Strona przekazał Polakom bardzo złą wiadomość. W efekcie cyberataku, który miał miejsce na jedną z największych sieci laboratoriów medycznych w Polsce - ALAB, wyniki badań kilkudziesięciu tysięcy pacjentów zostały ujawnione w sieci. Cyberprzestępcy, którzy przeprowadzili atak, twierdzą ponadto, że mają w swoim posiadaniu jeszcze więcej danych.

ALAB to sieć składająca się z ponad 70 laboratoriów i 620 punktów pobrań. Niemała jest więc też liczba jej klientów. Ich zaufanie zostało nadszarpnięte, jako że dane medyczne kilkudziesięciu tysięcy Polaków zostały ujawnione w sieci, jak podaje serwis Zaufana Trzecia Strona. Jest to wynik udanego cyberataku i braku współpracy ze strony firmy ALAB.

ALAB padł ofiarą cyberataku. To był ransomware

Jesienią 2023 r. firma ALAB padła ofiarą ataku przeprowadzonego przez RA World. Grupa wykorzystała oprogramowanie typu ransomware, które pozwala na wykradanie danych i szyfrowanie ich na komputerze ofiary, a następnie żądanie okupu za ich odblokowanie. Firma ALAB odmówiła zapłaty, co skłoniło cyberprzestępców do działania.

Według Zaufanej Trzeciej Strony grupa RA World udostępniła 6 GB plików, z czego większość stanowią wyniki badań w formatach PDF i XML. Wstępna analiza wykazała, że mowa jest o ponad 55 tys. dokumentów i potencjalnie o ok. 50 tys. Polek i Polaków, których dane trafiły do sieci.

Dalsza część artykułu pod materiałem wideo

Jakie dane Polaków wyciekły do sieci?

Jakie dane wyciekły? Imionami, nazwiska, numery PESEL, adresy zamieszkania oraz przypisane do tych personaliów wyniki badań (wraz z datami i zleceniodawcami). Wyciek obejmuje badania wykonane między 2017 a 2023 r. (najnowsze wyniki w wycieku są datowane na 27 września 2023 r.).

Grupa RA World twierdzi ponadto, że jest to tylko mały fragment tego, co udało się jej zdobyć. Grozi, że do końca 2023 roku opublikuje w sieci wszystko, a ma mieć w swoim posiadaniu aż 246 GB danych.

Co nam grozi i czy coś możemy zrobić?

Taka baza danych stanowi cenny łup dla cyberprzestępców, którzy z pewnością będą chcieli go wykorzystać. W najbliższych miesiącach można spodziewać się prób przeprowadzania ataków phishingowych na konkretnych pacjentów. Cyberprzestępcy będą podszywać się pod rozmaite organizacje, a uzyskane dane pomogą im się uwiarygodnić.

Pliki Boeinga w sieci. Cyberprzestępcy spełnili groźbę

Dlatego w najbliższych miesiącach warto jeszcze mocniej pilnować tego, co się klika i gdzie podaje się swoje dane. Należy dokładnie przyglądać się każdej wiadomości e-mail z linkami i załącznikami.

Przede wszystkim jednak na początek warto zastrzec swój numer PESEL. Od listopada 2023 roku można to zrobić nawet bez wychodzenia z domu – w aplikacji mObywatel.

Czy nie lepiej było zapłacić okup?

Specjaliści ds. cyberbezpieczeństwa tego nie polecają - po pierwsze, nie ma pewności, czy druga strona wywiąże się z umowy, a po drugie, pokazuje się w ten sposób atakującym, że to się po prostu opłaca.

Faktem jest też, że przed atakami typu ransomware trudno jest się obronić. Aby zwiększyć szansę ich uniknięcia, przedsiębiorstwa muszą mieć wdrożoną bardzo dopracowaną politykę bezpieczeństwa, która zakłada między innymi korzystanie z zaawansowanego oprogramowania antywirusowego i regularne wykonywanie audytów bezpieczeństwa IT. Ważne jest też przechowywanie wrażliwych danych offline i właściwa kontrola dostępu.

Holendrzy zapłacili okup. "Hakerzy" grozili ujawnieniem danych piłkarzy

Jest jednak coś jeszcze. Jeśli informacja o wycieku okaże się prawdą, to wyjdzie na to, że dane nie zostały odpowiednio zabezpieczone przez firmę ALAB. Za to zaś grożą jej poważne konsekwencje, wynikające przede wszystkim z RODO.

Wyciek ALAB – komentarz eksperta

Sprawę skomentował Aleksander Kostuch, inżynier Stormshield, europejskiego lidera branży bezpieczeństwa IT:

– Miejmy świadomość, że hakerzy intensyfikują swoją działalność w sektorze zdrowia i poszukują nowych form nacisku na swoje ofiary, aby zmusić je do zapłacenia okupu. Skuteczność ataków cybernetycznych na placówki ochrony zdrowia może wynikać z przypadku, bo przestępcy automatyzują swoje działania szukając słabych punktów u wielu potencjalnych ofiar np. z wykorzystaniem malware. Nie bez znaczenia jest jednak fakt, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi cyberniebezpieczeństw.

Wyciekły miliony haseł Polaków. Ekspert nie ma dobrych wieści

– Działaniem, które jak oceniam uzupełni, a czasami zastąpi szyfrowanie danych, jako skuteczny motywator do płacenia okupów, będzie narażanie na szwank reputacji ofiar. Reputacja, także w sektorze zdrowia a może nawet przede wszystkim ma swoją wartość. Do tego dojdzie większa świadomość ludzi, którzy jak można się spodziewać, będą podejmować kroki prawne domagając się odszkodowań za straty na jakie zostali narażeni.

– Polska ustawa o ochronie danych osobowych przewiduje mniejsze niż w innych krajach kary dla podmiotów sektora finansów publicznych. Wciąż jednak to znaczące kwoty. Problem należy również analizować uwzględniając aspekt odszkodowań. Pacjenci, których dane zostały naruszone mogą składać pozwy sądowe, w których będą dochodzić zadośćuczynienia skutków cyberataków, które dotkną ich osobiście

– Każdy kto systematyczne wdraża środki w obszarze bezpieczeństwa IT zniechęca napastników. Póki co mają oni do dyspozycji wiele celów, które nie stosują takich rozwiązań, co sprawia, że w ich przypadku szanse powodzenia ataku są dużo większe. Bilans ryzyka i potencjalnych korzyści skłania cyberprzestępców do szukania szansy w pierwszej kolejności właśnie w takich miejscach.

Aktualizacja, 28.11.2023 r.:

Jest reakcja spółki ALAB laboratoria. Opublikowała komunikat, w którym przyznała, że 19 listopada 2023 r. rzeczywiście doszło do ataku na jej serwery. Analiza potwierdziła także, że "osoby trzecie w sposób bezprawny mogły uzyskać dostęp" do danych pacjentów. O wszystkim poinformowano administratora danych, Prezesa Urzędu Ochrony Danych Osobowych, CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia oraz Centralne Biuro Zwalczania Cyberprzestępczości.

– W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. […] Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych – czytamy w komunikacie.

Z pełną treścią komunikatu można zapoznać się na stronie ALAB laboratoria. Podano tam więcej szczegółów na temat tego, jakie są możliwe negatywne skutki i jakie są rekomendowane działania dla potencjalnych ofiar.

Jeśli już jesteśmy przy potencjalnych ofiarach, to warto też wspomnieć o tym, że CERT Polska wraz z Centralnym Ośrodkiem Informatyki przygotował narzędzie, umożliwiające dokonanie weryfikacji: Sprawdź, czy twoje dane też wykradziono.

Wojciech Kulik, dziennikarz dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na