Wyciekły medyczne dane Polaków. Ekspert komentuje (aktualizacja)

Serwis Zaufana Trzecia Strona przekazał Polakom bardzo złą wiadomość. W efekcie cyberataku, który miał miejsce na jedną z największych sieci laboratoriów medycznych w Polsce - ALAB, wyniki badań kilkudziesięciu tysięcy pacjentów zostały ujawnione w sieci. Cyberprzestępcy, którzy przeprowadzili atak, twierdzą ponadto, że mają w swoim posiadaniu jeszcze więcej danych.

ALAB to sieć składająca się z ponad 70 laboratoriów i 620 punktów pobrań. Niemała jest więc też liczba jej klientów. Ich zaufanie zostało nadszarpnięte, jako że dane medyczne kilkudziesięciu tysięcy Polaków zostały ujawnione w sieci, jak podaje serwis Zaufana Trzecia Strona. Jest to wynik udanego cyberataku i braku współpracy ze strony firmy ALAB.

Jesienią 2023 r. firma ALAB padła ofiarą ataku przeprowadzonego przez RA World. Grupa wykorzystała oprogramowanie typu ransomware, które pozwala na wykradanie danych i szyfrowanie ich na komputerze ofiary, a następnie żądanie okupu za ich odblokowanie. Firma ALAB odmówiła zapłaty, co skłoniło cyberprzestępców do działania.

Według Zaufanej Trzeciej Strony grupa RA World udostępniła 6 GB plików, z czego większość stanowią wyniki badań w formatach PDF i XML. Wstępna analiza wykazała, że mowa jest o ponad 55 tys. dokumentów i potencjalnie o ok. 50 tys. Polek i Polaków, których dane trafiły do sieci.

Dalsza część artykułu pod materiałem wideo

Jakie dane wyciekły? Imionami, nazwiska, numery PESEL, adresy zamieszkania oraz przypisane do tych personaliów wyniki badań (wraz z datami i zleceniodawcami). Wyciek obejmuje badania wykonane między 2017 a 2023 r. (najnowsze wyniki w wycieku są datowane na 27 września 2023 r.).

Grupa RA World twierdzi ponadto, że jest to tylko mały fragment tego, co udało się jej zdobyć. Grozi, że do końca 2023 roku opublikuje w sieci wszystko, a ma mieć w swoim posiadaniu aż 246 GB danych.

Taka baza danych stanowi cenny łup dla cyberprzestępców, którzy z pewnością będą chcieli go wykorzystać. W najbliższych miesiącach można spodziewać się prób przeprowadzania ataków phishingowych na konkretnych pacjentów. Cyberprzestępcy będą podszywać się pod rozmaite organizacje, a uzyskane dane pomogą im się uwiarygodnić.

Dlatego w najbliższych miesiącach warto jeszcze mocniej pilnować tego, co się klika i gdzie podaje się swoje dane. Należy dokładnie przyglądać się każdej wiadomości e-mail z linkami i załącznikami.

Przede wszystkim jednak na początek warto zastrzec swój numer PESEL. Od listopada 2023 roku można to zrobić nawet bez wychodzenia z domu – w aplikacji mObywatel.

Specjaliści ds. cyberbezpieczeństwa tego nie polecają - po pierwsze, nie ma pewności, czy druga strona wywiąże się z umowy, a po drugie, pokazuje się w ten sposób atakującym, że to się po prostu opłaca.

Faktem jest też, że przed atakami typu ransomware trudno jest się obronić. Aby zwiększyć szansę ich uniknięcia, przedsiębiorstwa muszą mieć wdrożoną bardzo dopracowaną politykę bezpieczeństwa, która zakłada między innymi korzystanie z zaawansowanego oprogramowania antywirusowego i regularne wykonywanie audytów bezpieczeństwa IT. Ważne jest też przechowywanie wrażliwych danych offline i właściwa kontrola dostępu.

Jest jednak coś jeszcze. Jeśli informacja o wycieku okaże się prawdą, to wyjdzie na to, że dane nie zostały odpowiednio zabezpieczone przez firmę ALAB. Za to zaś grożą jej poważne konsekwencje, wynikające przede wszystkim z RODO.

Sprawę skomentował Aleksander Kostuch, inżynier Stormshield, europejskiego lidera branży bezpieczeństwa IT:

– Miejmy świadomość, że hakerzy intensyfikują swoją działalność w sektorze zdrowia i poszukują nowych form nacisku na swoje ofiary, aby zmusić je do zapłacenia okupu. Skuteczność ataków cybernetycznych na placówki ochrony zdrowia może wynikać z przypadku, bo przestępcy automatyzują swoje działania szukając słabych punktów u wielu potencjalnych ofiar np. z wykorzystaniem malware. Nie bez znaczenia jest jednak fakt, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi cyberniebezpieczeństw.

– Działaniem, które jak oceniam uzupełni, a czasami zastąpi szyfrowanie danych, jako skuteczny motywator do płacenia okupów, będzie narażanie na szwank reputacji ofiar. Reputacja, także w sektorze zdrowia a może nawet przede wszystkim ma swoją wartość. Do tego dojdzie większa świadomość ludzi, którzy jak można się spodziewać, będą podejmować kroki prawne domagając się odszkodowań za straty na jakie zostali narażeni.

– Polska ustawa o ochronie danych osobowych przewiduje mniejsze niż w innych krajach kary dla podmiotów sektora finansów publicznych. Wciąż jednak to znaczące kwoty. Problem należy również analizować uwzględniając aspekt odszkodowań. Pacjenci, których dane zostały naruszone mogą składać pozwy sądowe, w których będą dochodzić zadośćuczynienia skutków cyberataków, które dotkną ich osobiście

– Każdy kto systematyczne wdraża środki w obszarze bezpieczeństwa IT zniechęca napastników. Póki co mają oni do dyspozycji wiele celów, które nie stosują takich rozwiązań, co sprawia, że w ich przypadku szanse powodzenia ataku są dużo większe. Bilans ryzyka i potencjalnych korzyści skłania cyberprzestępców do szukania szansy w pierwszej kolejności właśnie w takich miejscach.

Jest reakcja spółki ALAB laboratoria. Opublikowała komunikat, w którym przyznała, że 19 listopada 2023 r. rzeczywiście doszło do ataku na jej serwery. Analiza potwierdziła także, że "osoby trzecie w sposób bezprawny mogły uzyskać dostęp" do danych pacjentów. O wszystkim poinformowano administratora danych, Prezesa Urzędu Ochrony Danych Osobowych, CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia oraz Centralne Biuro Zwalczania Cyberprzestępczości.

– W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. […] Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych – czytamy w komunikacie.

Z pełną treścią komunikatu można zapoznać się na stronie ALAB laboratoria. Podano tam więcej szczegółów na temat tego, jakie są możliwe negatywne skutki i jakie są rekomendowane działania dla potencjalnych ofiar.

Jeśli już jesteśmy przy potencjalnych ofiarach, to warto też wspomnieć o tym, że CERT Polska wraz z Centralnym Ośrodkiem Informatyki przygotował narzędzie, umożliwiające dokonanie weryfikacji: Sprawdź, czy twoje dane też wykradziono.