Wykradzione PESELE i dane medyczne z sieci laboratoriów ALAB

Według portalu Zaufana Trzecia Strona, ataku typu ransomware dokonała grupa hakerska RA World, która opublikowała stosowny komunikat oraz próbkę wykradzionych danych, w tym wyniki badań medycznych. Jak oceniono „w ujawnionych danych znajdują się wyniki ponad 55 tysięcy różnych badań, najczęściej dotyczących różnych osób. Można zatem przyjąć, że osób poszkodowanych w tym wycieku jest ponad 50 000 osób… Każdy wynik badania zawiera dane osobowe klienta firmy takie jak imię, nazwisko, PESEL oraz adres”. Ujawienie danych to konsekwencja braku chęci przekazania okupu.

Jak zwracają uwagę eksperci ds. cyberbezpieczeństwa sektor zdrowia niezmiennie pozostaje w obszarze zainteresowania przestępców, a ich działania są coraz bardziej wyrafinowane. Motywacją dla nich jest chęć kradzieży lub blokady danych, bez których zaatakowany podmiot nie może funkcjonować. Każda przerwa w działalności np. szpitala może mieć konsekwencje dla zdrowia i zagrażać życiu pacjentów. Jednak atak, taki jaki miał miejsce, niesie również poważne konsekwencje finansowe i reputacyjne dla zaatakowanej placówki medycznej.

„Miejmy świadomość, że hakerzy intensyfikują swoją działalność w sektorze zdrowia i poszukują nowych form nacisku na swoje ofiary, aby zmusić je do zapłacenia okupu” – komentuje Aleksander Kostuch, inżynier Stormshield. – „Skuteczność ataków cybernetycznych na placówki ochrony zdrowia może wynikać z przypadku, bo przestępcy automatyzują swoje działania szukając słabych punktów u wielu potencjalnych ofiar np. z wykorzystaniem malware. Nie bez znaczenia jest jednak fakt, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi cyberniebepieczeństw” – dodaje.

„Działaniem, które jak oceniam uzupełni, a czasami zastąpi szyfrowanie danych, jako skuteczny motywator do płacenia okupów, będzie narażanie na szwank reputacji ofiar. Reputacja, także w sektorze zdrowia a może nawet przede wszystkim ma swoją wartość. Do tego dojdzie większa świadomość ludzi, którzy jak można się spodziewać, będą podejmować kroki prawne domagając się odszkodowań za straty na jakie zostali narażeni” – uzupełnia Aleksander Kostuch.

Ataki na sektor zdrowia poza ryzykiem utraty reputacji i paraliżem funkcjonowania może prowadzić również do poważnych szkód finansowych. Dotyczy to nie tylko oczekiwania okupu czy kar finansowych ze strony organów dbających o przestrzenie prawa w zakresie przetwarzania informacji wrażliwych. Pacjenci, coraz bardziej świadomi swoich praw, mogą dochodzić odszkodowań.

Na początku 2021 roku Urząd Ochrony Danych Osobowych nakazał przedsiębiorcy z sektora ochrony zdrowia zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie im zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków incydentu. Zobligowany do działania podmiot nie wykonał zaleceń i w efekcie została na niego nałożona kara w wysokości 85 tys. złotych. (źródło: 2021.07.29-Rejestr-kar-pienieznych-Prezesa-UODO).

„Polska ustawa o ochronie danych osobowych przewiduje mniejsze niż w innych krajach kary dla podmiotów sektora finansów publicznych. Wciąż jednak to znaczące kwoty. Problem należy również analizować uwzględniając aspekt odszkodowań. Pacjenci, których dane zostały naruszone mogą składać pozwy sądowe, w których będą dochodzić zadośćuczynienia skutków cyberataków, które dotkną ich osobiście” – mówi Aleksander Kostuch.

Dlatego tak istotna jest dbałość o zabezpieczenia systemu IT i infrastruktury, z której korzystają placówki medyczne.

„Każdy kto systematyczne wdraża środki w obszarze bezpieczeństwa IT zniechęca napastników. Póki co mają oni do dyspozycji wiele celów, które nie stosują takich rozwiązań, co sprawia, że w ich przypadku szanse powodzenia ataku są dużo większe. Bilans ryzyka i potencjalnych korzyści skłania cyberprzestępców do szukania szansy w pierwszej kolejności właśnie w takich miejscach” – podsumowuje Aleksander Kostuch.