Nawet 187,5 tys. osób może dotyczyć wyciek danych z Alab Laboratoria. Urząd Ochrony Danych wszedł w poniedziałek z kontrolą do firmy.
44,5 GB danych medycznych wykradli cyberprzestępcy z serwerów należących do firmy Alab Laboratoria. Na razie udostępnili tylko 6,5 GB, czyli dane 12,5 tys. pacjentów. Jeśli firma nie zgodzi się zapłacić okupu, do internetu mogą wyciec informacje o 187,5 tys. osób. Czas na zapłatę upływa z końcem roku, ale kierownictwo Alabu deklaruje, że nie spełni żądań przestępców.
Wyciek danych z Alabu to jak do tej pory największy przypadek udostępnienia danych pacjentów. Dotyczy nie tylko osób, które badały się bezpośrednio w laboratoriach firmy, lecz także w podmiotach współpracujących z grupą. Alab wykonuje ok. 200 tys. badań dziennie, współpracuje z nim 3,5 tys. przychodni, szpitali czy gabinetów medycznych.
Zgodnie z informacjami firmy do ataku doszło w nocy z 18 na 19 listopada. Około godz. 1 w nocy dział IT zidentyfikował problemy z dostępem do używanych w firmie usług Microsoft Office i rozpoczął weryfikację usterki. Przed godz. 4 informatycy zorientowali się, że ktoś szyfruje pliki na serwerze. Tuż po godz. 5 rano ściągnięto specjalizującą się w cyberbezpieczeństwie firmę CyberBlock. Po godz. 11.30 do firmy przyszedł list z żądaniem okupu. Do końca dnia dział IT firmy potwierdził, że baza danych pobranych przez hakerów jest autentyczna.
Jak twierdzą przedstawiciele firmy, informacja o wycieku danych trafiła do UODO 21 listopada, a więc dwa dni po wycieku. Zmieścili się zatem w ustawowym terminie – wynosi on 72 godziny od stwierdzenia naruszenia. Spółka miała również obowiązek poinformować osoby, których dane wyciekły. Komunikat w tej sprawie wydano publicznie dopiero 27 listopada. Władze Alabu zapewniają, że z pacjentami zaczęły się kontaktować już pięć dni wcześniej.
To wszystko ważne szczegóły – od nich zależeć będzie, czy i jaką karę UODO wymierzy Alabowi. Ta może być naprawdę poważna – RODO pozwala nałożyć do 4 proc. rocznego obrotu lub do 20 mln euro. A to nie koniec, bo dochodzą jeszcze potencjalne kary z powództwa cywilnego, jeśli pacjenci zdecydują się na indywidualne dochodzenie roszczeń. Jak informuje nas Adam Sanocki, rzecznik UODO, kontrolerzy urzędu weszli do spółki w poniedziałek.
Jak sprawdzić, czy nasze dane zostały skradzione przez przestępców? Zespół NASK pobrał udostępnioną bazę i zasilił nią serwis Bezpiecznedane.gov.pl. Można się tam upewnić, czy informacje o naszym zdrowiu znajdowały się w dotychczas ujawnionych wyciekach danych polskich użytkowników (nie tylko Alabu). – Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane, a ich liczba może się zmienić – zastrzegają pracownicy NASK.
W ramach ograniczania potencjalnych strat Alab zamierza zaoferować wszystkim pacjentom, których dane zostały skradzione, półroczny abonament w Biurze Informacji Kredytowej (BIK). – Jeżeli pacjent odkryje, że informacje o nim znalazły się w upublicznionej puli, może poprosić o to w punkcie, w którym zlecał badania lub bezpośrednio w firmie – mówi Seweryn Dmowski, ekspert ds. komunikacji w Alabie. – Dzięki temu będzie otrzymywał automatyczne alerty, jeśli ktoś będzie chciał wziąć na jego dane kredyt czy zarejestrować kartę SIM – wyjaśnia.
Pacjenci, którzy obawiają się, że ich dane wyciekły, mogą skorzystać także z bezpłatnej usługi zastrzegania numeru PESEL. Można to zrobić na dwa sposoby – albo przez stronę internetową w serwisie Mobywatel.gov.pl, albo w urzędzie gminy. Na razie nie będzie to jednak miało żadnego skutku, obowiązek sprawdzania, czy numer PESEL został zastrzeżony, wprowadzono dopiero od 1 czerwca 2024 r. Część instytucji może jednak dobrowolnie przystąpić do systemu już wcześniej. ©℗