Atak hakerski na ALAB Laboratoria – poważne naruszenie bezpieczeństwa danych osobowych w sektorze medycznym

Spółka ALAB Laboratoria 27 listopada 2023 r. wydała komunikat dotyczący incydentu naruszenia bezpieczeństwa danych osobowych, w którym poinformowała o możliwym naruszeniu ochrony danych osobowych w związku z atakiem hakerskim, do którego doszło 19 listopada 2023 r.

Analiza zdarzenia wykazała, że doszło do próby zmasowanego ataku na serwery spółki, skutkującego nieuprawnionym dostępem do danych osobowych. Incydent ten jest rezultatem działalności przestępczej, której celem było wymuszenie okupu.

W pierwszej reakcji na incydent wdrożono awaryjne procedury bezpieczeństwa zgodnie z zaleceniami Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Wstępna analiza ryzyka wskazała na wysokie ryzyko związane z incydentem.

Według tej analizy, osoby trzecie miały potencjalny nielegalny dostęp do danych osobowych, takich jak imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wyniki badań laboratoryjnych. W związku z tym spółka podjęła natychmiastowe kroki w celu likwidacji skutków ataku i określenia zakresu szkód.

Co więcej, spółka poinformowała administratorów, których dane przetwarzała, zgłosiła incydent do prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała odpowiednie instytucje, takie jak CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia. Zgłoszono także podejrzenie popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

W międzyczasie spółka podjęła działania mające na celu przeprowadzenie wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych. Uruchomiono również monitoring Internetu w celu wykrycia ewentualnego publicznego ujawnienia nielegalnie pozyskanych danych.

W oficjalnym komunikacie prasowym poinformowano o nawiązaniu współpracy między Prezesem Urzędu Ochrony Danych Osobowych (UODO) a Biurem Rzecznika Praw Pacjenta (RPP) w kontekście niedawno ujawnionego ataku hakerskiego i wycieku danych medycznych z firmy ALAB.

Obecnie UODO prowadzi analizę zgłoszonego naruszenia ochrony danych, oczekując na dalsze informacje od administratora danych, co pozwoli na dokładne zrozumienie szczegółów incydentu oraz ocenę jego zakresu.

Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta, podkreśla powagę potencjalnego naruszenia praw pacjentów, wskazując na istotność zaufania pacjentów do instytucji leczniczych i systemu ochrony zdrowia, nie tylko w kontekście samego prawa, lecz również ogólnego zaufania.

Wspólne działania tych dwóch instytucji mają na celu opracowanie rekomendacji, które pozwolą ograniczyć ryzyka związane z poważnymi naruszeniami ochrony danych oraz skutecznie niwelować ich konsekwencje.

UODO zaleca, aby pacjenci, którzy podejrzewają naruszenie ochrony danych, skorzystali z narzędzi udostępnionych przez ministra cyfryzacji. Weryfikacja dostępna na rządowym serwisie Bezpieczne Dane pozwala sprawdzić, czy dane pacjenta zostały objęte wyciekiem z firmy ALAB. Proces ten wymaga zalogowania się poprzez aplikację mObywatel, profil zaufany, bankowość elektroniczną, e-Dowód lub eID.

Należy podkreślić, że portal ten sprawdza jedynie dane opublikowane przez włamywaczy do tej pory. Jednorazowe sprawdzenie nie gwarantuje pełnej ochrony, biorąc pod uwagę deklaracje przestępców o stopniowym ujawnianiu danych. Dlatego zaleca się regularne logowanie się do usługi Bezpieczne Dane w celu monitorowania ewentualnych nowych publikacji.

Poważny wyciek danych medycznych z firmy ALAB stanowi prawdopodobnie najpoważniejsze naruszenie w historii polskiego sektora medycznego. Przestępcy, którzy już opublikowali ponad 50 tys. wyników testów laboratoryjnych, grożą ujawnieniem pełnego pakietu informacji 31 grudnia 2023 r., jeżeli firma nie uiści okupu.

Informacja o incydencie pojawiła się w poniedziałek na portalu Zaufana Trzecia Strona, który zdobył dostęp do wpisu na blogu cyberprzestępców, prezentującego wykradzione pliki od ALAB. Firma, która rocznie przeprowadza ponad 35 mln badań, potwierdziła w swoim komunikacie potencjalne zagrożenia związane z sytuacją oraz przedstawiła środki mające na celu zminimalizowanie szkód wynikających z incydentu.