To prawdopodobnie największy wyciek danych medycznych w Polsce. Cyberprzestępcy ukradli i ujawnili informacje dotyczące badań 50 tys. osób. A to jeszcze nie koniec.

Numer PESEL, imię, nazwisko, miejsce zamieszkania i szczegóły dotyczące zlecającego oraz wyników badań laboratoryjnych – takie dane ujawnili cyberprzestępcy z grupy RA World – podał serwis Zaufana Trzecia Strona. To jak do tej pory największy wyciek danych medycznych w Polsce. Alab obsługuje ponad 80 laboratoriów i prawie 400 punktów pobrań. Spółka współpracuje z 3,5 tys. podmiotów medycznych w całej Polsce. Chodzi o przychodnie, szpitale, prywatne praktyki lekarskie czy jednostki prowadzące badania kliniczne. Dziś wykonuje ok. 3 tys. rodzajów badań laboratoryjnych.

Z analizy, którą przeprowadził NASK, wynika, że doszło również do kradzieży wyników badań wykonywanych na zlecenie innych placówek medycznych, niebędących częścią grupy Alab.

Na razie przestępcy opublikowali próbkę danych, ale grożą, że jeśli nie otrzymają okupu, podadzą całość zbioru – jak przekonują, to łącznie 200 GB danych. Jak podaje zespół CERT firmy Orange, próbka dotyczy pacjentów podwarszawskiego centrum medycznego, stołecznej kliniki ginekologicznej oraz prywatnej praktyki medycznej z Łodzi. Dane dotyczą relatywnie świeżych badań – w zależności od kliniki wykonanych w okresie od października 2017 r. do września 2023 r. Kompletny zbiór ma być opublikowany do 31 grudnia.

Poprosiliśmy Alab o komentarz. Chcieliśmy wiedzieć: dlaczego firma nie poinformowała o sprawie pacjentów (na stronie spółki do zamknięcia tego wydania DGP nie było o wycieku nawet krótkiej informacji); kiedy Alab zorientował się, że wykradziono mu dane, w jaki sposób doszło do tego wycieku. Co zawiodło? Jakie kroki podjęła spółka? Nie otrzymaliśmy jednak odpowiedzi.

Nieco kulisów pokazuje w rozmowie z DGP Adam Haertle, ekspert z dziedziny cyberbezpieczeństwa i założyciel serwisu Zaufana Trzecia Strona. – O ataku na Alab laboratoria grupa RA World poinformowała 19 listopada, nie podając jeszcze wówczas pełnej nazwy ofiary – mówi. – Sama grupa napastników raczej nie będzie wykorzystywać wykradzionych danych – ich specjalnością jest szantaż i to na nim zarabiają wystarczająco dużo, by nie zajmować się innymi rodzajami przestępczej działalności. Może jednak wykradzione dane sprzedać innym przestępcom, którzy mogą próbować użyć ich do działań związanych z kradzieżą tożsamości lub szantażem konkretnych osób, których wyniki badań wyciekły – ocenia. Według danych serwisu Niebezpiecznik paczkę z informacjami o pacjentach wczoraj do południa pobrało już 100 osób (to niekoniecznie przestępcy, ale też analitycy w zakresie cyberbezpieczeństwa).

RA World lub Ra Group to stosunkowo nowa grupa hackerska – Cisco Talos zaobserwowało jej pierwsze działania w kwietniu br. Grupa wyspecjalizowała się w atakach na sektor medyczny – jej aktywność zauważono w Korei Południowej i USA. Jak przyznaje Adam Haertle, nie ma wielkich nadziei na skuteczną walkę z takimi przestępcami – większość sprawców, stojących za atakami ransomware, pozostaje bezkarnych. – Przebywają na terytorium Rosji, gdzie za ich działanie nie grożą żadne konsekwencje – mówi ekspert.

Co można zrobić, jeśli podejrzewamy, że nasze dane znalazły się w bazie ujawnionej przez przestępców? Jak informuje nas NASK, jeszcze w poniedziałek już ujawnionymi numerami PESEL zasilono bazę Bezpiecznedane.gov.pl. Można się tam upewnić, czy informacje o naszym zdrowiu znajdowały się w wycieku. – Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane, a ich liczba może się zmienić – zastrzegają pracownicy NASK.

Apelują też o czujność. – Trzeba być przygotowanym i świadomym, że cyberoszuści mogą te dane wykorzystać. Zalecamy ze wzmożoną czujnością podchodzić do e-maili, wiadomości i telefonów. Weryfikować ich nadawcę u źródła, a także skorzystać z nowej możliwości i zastrzec numer PESEL – wyliczają.

Jak to zrobić? Na razie dostępne są dwa sposoby – albo przez stronę internetową Obywatel.gov.pl, w aplikacji mObywatel, albo w urzędzie gminy. Na razie jednak nie będzie to miało żadnego skutku, obowiązek sprawdzania, czy numer PESEL jest zastrzeżony, wprowadzono dla instytucji finansowych dopiero od 1 czerwca 2024 r.

Wyciek danych z Alab eksperci w dziedzinie ochrony danych uważają za bardzo poważne naruszenie. – Po tym, co zrobili atakujący, wiemy już na pewno, że dane pobrano – a to oznacza, że dla osób dotkniętych atakiem, których dane wyciekły, powstaje bardzo duże ryzyko z punktu widzenia ich praw podstawowych. I raczej nie upatrywałbym go w mitycznym numerze PESEL, ale w danych dotyczących zdrowia – to wręcz sfera intymności, informacja o tym, na jakie choroby cierpimy, a to takie właśnie dane były objęte naruszeniem. I proszę sobie wyobrazić sytuację osób znanych publicznie, których szczegółowe informacje o stanie zdrowia nagle stają się publicznie dostępne – mówi dr Paweł Litwiński, adwokat z kancelarii radców prawnych i adwokatów Barta i Litwiński.

Sprawa może skończyć się dla spółki poważnymi konsekwencjami – unijne rozporządzenie o ochronie danych (RODO) przewiduje kary 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu podmiotu, który dopuścił się naruszenia. W dodatku poszkodowani działaniem spółki mogą starać się o odszkodowania.

Jak przyznaje Litwiński, wiele zależy od tego, czy Alab zgłosił od razu naruszenie do prezesa Urzędu Ochrony Danych Osobowych i czy powiadomił o incydencie poszkodowanych pacjentów. – Jeżeli się okaże, że w tym zakresie naruszył prawo, spodziewałbym się kary finansowej – prognozuje ekspert. Dodaje, że na jej ewentualną wysokość będzie też wpływać to, czy Alab mógł zgodnie z regułami sztuki zapobiec atakowi, np. poprzez odpowiednie zabezpieczenia.

Jak przyznają eksperci w dziedzinie cyberbezpieczeństwa, placówki medyczne i firmy związane z ochroną zdrowia to najczęstsze ofiary ataków przestępczych. – Są różne rodzaje ataków hakerskich. Te, o których słyszymy i które pojawiają się w oficjalnych statystykach, to najczęściej ataki typu ransomware czy DDos. Pierwszy polega na zainfekowaniu systemu informatycznego złośliwym oprogramowaniem, które szyfruje dane użytkownika, uniemożliwiając korzystanie z nich. Drugi to wysyłanie wielu zapytań przez zainfekowane komputery, które powodują przeciążenie serwera atakowanej placówki, paraliżując jej system komputerowy. A ich celem jest wymuszenie okupu – tłumaczy Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Najgłośniejszy incydent związany z wyciekiem danych miał miejsce rok temu w Instytucie Matki Polki w Łodzi. Lekarze nie mogli wystawiać skierowań na badania, recept, nie widzieli też wyników pacjentów. Placówka została zhakowana. Wszyscy musieli przejść na system papierowy, co blokowało część pracy szpitala. W ciągu kilku tygodni zbudowano nową sieć. Wdrożono też szereg dodatkowych zabezpieczeń i przeszkolono pracowników. Nie mogą oni np. podpinać pendrive’ów do komputerów pracujących w szpitalnej sieci. ©℗

Ochrona zdrowia na celowniku cyberprzestępców / Dziennik Gazeta Prawna - wydanie cyfrowe