Ciekawostki

Dane medyczne Polaków w sieci. Niewiele można z tym zrobić (aktualizacja)

przeczytasz w 4 min.

Wyniki badań kilkudziesięciu tysięcy Polaków trafiły do sieci - podaje serwis Zaufana Trzecia Strona. Cyberprzestępcy mówią, że mają ich więcej. Co może zrobić każdy z nas w obliczu tego wycieku? Niestety niewiele. A czy firma ALAB mogła zrobić coś więcej?

Oryginalny news, 27.11.2023 r.: ALAB to jedna z największych sieci laboratoriów medycznych w Polsce. W jej skład wchodzi ponad 70 laboratoriów i 620 punktów pobrań. Cieszy się też całkiem dobrą opinią wśród pacjentów, ale zaufanie do niej właśnie zostało wystawione na próbę. Jak podaje serwis Zaufana Trzecia Strona, dane medyczne kilkudziesięciu tysięcy Polek i Polaków trafiły do sieci. To skutek zakończonego powodzeniem cyberataku i braku współpracy ze strony firmy ALAB. Czy ta ostatnia mogła zrobić coś więcej? A co może zrobić każda z ofiar?

Atak na polskie laboratoria medyczne. Dane pacjentów w sieci

Wcześniej w tym roku firma ALAB została zaatakowana przez grupę RA World, która dotąd nie miała na koncie żadnych spektakularnych akcji. W kampanii, której celem były komputery laboratoriów, wykorzystała oprogramowanie typu ransomware. Tak określa się złośliwy program, który (opcjonalnie) wykrada dane, (a zawsze) szyfruje je na komputerze ofiary i żąda okupu w zamian za ich odblokowanie. Firma ALAB nie chciała jednak zapłacić, w związku z czym cyberprzestępcy przystąpili do działania. 

Grupa RA World grozi, że do 31 grudnia 2023 r. opublikuje w sieci wszystkie dane, do jakich uzyskała dostęp. Mówi, że jest ich 246 GB. Aby udowodnić, że nie blefuje, wrzuciła próbkę o „wadze” 6 GB poprzez sieć TOR. Niczym odcięty palec ofiary wysyłany przez porywaczy, ma to zachęcić firmę ALAB do podjęcia działań. 

Wyciekły wyniki badań 50 tys. Polek i Polaków

Analizy tych danych podjęła się Zaufana Trzecia Strona. Z jej publikacji wynika, że do sieci trafiły dwa pliki. Pierwszy (ważący niewiele ponad 1 GB) zawiera same umowy zawierane przez ALAB. Drugi (to już 5 GB) mieści w sobie wyniki testów laboratoryjnych – między innymi biochemicznych, hematologicznych, immunochemicznych czy cytologicznych. 

Ten drugi plik to archiwum, na które składają się łącznie trzy katalogi. W środku znajduje się ponad 110 tys. plików w formatach PDF oraz XML. Są to po dwie wersje każdego wyniku, co szybko pozwala obliczyć, że mówimy tu o przeszło 55 tys. badań. Wstępna analiza pozwoliła oszacować, że dotyczą one różnych pacjentów, więc liczba poszkodowanych osób może być zbliżona do liczby badań. 

Co konkretnie wyciekło? 

Pliki – poza samymi wynikami testów laboratoryjnych – zawierają pełne dane osobowe (imię, nazwisko, adres i numer PESEL) oraz szczegóły na temat daty, godziny i zakresu wykonywanych badań. Wśród danych, które wyciekły, znajduje się również informacja o tym, kto był zleceniodawcą i lekarzem-specjalistą. W prosty sposób można więc powiązać konkretną osobę z daną grupą problemów medycznych.

ALAB wyciek przykład
Przykładowy plik z wycieku.

Zasięgiem wyciek obejmuje kilka ostatnich lat, konkretnie: od 2017 do 2023 r. Nie wiadomo, kiedy dokładnie doszło do ataku – jedyną wskazówkę stanowi fakt, że najnowsze badanie w wycieku pochodzi z 27 września 2023 r. Ogółem mowa o kilkudziesięciu tysiącach Polaków, których dane już teraz trafiły do sieci i wielu więcej, których wyniki mogą pojawić się w internecie wraz z końcem tego roku. 

Taka baza danych stanowi cenny łup dla cyberprzestępców, którzy z pewnością będą chcieli go wykorzystać. Wysoce prawdopodobne są w najbliższych miesiącach próby przeprowadzania ataków phishingowych na konkretnych pacjentów. Phishing polega na podszywaniu się pod osoby lub organizacje, a dane, takie jak numer PESEL czy informacja o konkretnym lekarzu odwiedzanym w konkretnym terminie, pozwalają uwiarygodnić się przestępcy podającemu się za kogoś innego. 

Co robić? Zacznij od zastrzeżenia numeru PESEL

Trudno doradzić coś przeciętnemu Kowalskiemu w tej sytuacji. Choć to pacjenci znajdują się w centrum wydarzeń, to nie mają żadnego wpływu ani na działania podejmowane przez cyberprzestępców, ani też na reakcje firmy ALAB. 

Niemniej wizja ataków phishingowych każe w nadchodzących miesiącach zwracać jeszcze większą uwagę na otrzymywanie wiadomości e-mail. Warto kilkukrotnie upewnić się, że wiadomość rzeczywiście podchodzi od danej osoby lub organizacji, zanim kliknie się link czy poda się swoje dane.

Najgorsze jest to, że dane już wyciekły i nie ma sposobu, by to powstrzymać. Jedynym, co tak naprawdę warto zrobić od razu, jest zastrzeżenie numeru PESEL – od listopada 2023 r. rzeczywiście można to zrobić nawet bez wychodzenia z domu. 

Ransomware. Czy firma ALAB powinna była opłacić okup?

Co na to wszystko ALAB? Jak na razie firma nie udzieliła oficjalnego komentarza w tej sprawie (poza krótkim komunikatem, który niczego nie wyjaśnia, bo też nie odnosi się do sytuacji pacjentów). Wirtualna Polska próbowała uzyskać konkretną odpowiedź, ale jak dotąd bez skutku. Telefon Rzecznika jest wyłączony.

Nie można jednakże podjąć się jednoznacznej oceny dotychczasowych działań firmy ALAB. Choć pacjenci mają prawo czuć oburzenie, to po „wylaniu się mleka”, czyli skutecznym przeprowadzeniu ataku przez RA World, przedstawiciele laboratoriów niewiele mogli już zrobić. Można wprawdzie było podjąć próbę opłacenia okupu, ale specjaliści ds. cyberbezpieczeństwa tego nie polecają – raz, że wcale nie ma się pewności, czy druga strona wywiąże się z umowy (wszak negocjuje się z przestępcami), a dwa: pokazuje się w ten sposób atakującym, że to się po prostu opłaca. 

Przed atakami typu ransomware co do zasady trudno jest się obronić. Aby zwiększyć szansę ich uniknięcia przedsiębiorstwa muszą mieć wdrożoną bardzo dopracowaną politykę bezpieczeństwa (zakładającą między innymi korzystanie z zaawansowanego oprogramowania antywirusowego i regularne wykonywanie audytów bezpieczeństwa IT). Ważne jest też przechowywanie wrażliwych danych offline i właściwa kontrola dostępu. 

No i właśnie – inną kwestią pozostaje to, co działo się przed przeprowadzeniem ataku. Nie znając szczegółów nie można dokonać rzetelnej oceny, niemniej jednak jeśli informacja o wycieku okaże się prawdą, to będzie to oznacza, że tak ważne dane nie zostały odpowiednio zabezpieczone. O dalszych ustaleniach będziemy informować na bieżąco.

Aktualizacja, 28.11.2023 r.:

Spółka ALAB laboratoria opublikowała komunikat w tej sprawie. Przyznała, że 19 listopada 2023 r. rzeczywiście doszło do ataku na serwery, w wyniku czego „osoby trzecie w sposób bezprawny mogły uzyskać dostęp” do danych pacjentów. Jak czytamy dalej: 

„W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości. Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych”.

Krótko mówiąc: incydent został oficjalnie potwierdzony. Firma ALAB podała przy okazji potencjalne skutki wycieku – to między innymi uzyskanie przez osoby trzecie kredytów i dostępu do świadczeń opieki zdrowotnej, wyłudzania ubezpieczeń, rejestrowania przedpłaconych kart telefonicznych. 

Równocześnie CERT Polska wraz z Centralnym Ośrodkiem Informatyki przygotował narzędzie, umożliwiające dokonanie weryfikacji, czy nasze dane zostały wykradzione w ramach ataku. Osoby, które chcą to sprawdzić, powinny udać się na stronę bezpiecznedane.gov.pl. Tam wystarczy się zalogować i kliknąć przycisk „Sprawdź wyciek z ALAB”.

Źródło: Zaufana Trzecia Strona, inf. własna

Komentarze

10
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Przem0l
    17
    1. wyglada na to, ze alab nie ma soc, ktory by pracowal 24/7 ani nie zlecila tego 3rd party. Ktos by wyciek zauwazyl, zatrzymal i poinformowal (obudzil) odpowiednie osoby.
    2. wyglada na to, ze alab nie oddziela danych warzliwych od internetu skoro mozna sobie na zywca zgrac wszystko.
    3. wyglada na to, ze alab nie szyfruje dostatecznie skutecznie danych skoro ktos sie do nich dobra.
    4. wyglada na to, ze alab nie archiwizuje offline starych danych skoro dane z 2017 roku tez wyciekly.
    5. wyglada na to, ze alab nie ma nawet statycznego monitoringu ruchu sieciowego, ktory by przycial ruch i zaalarmowal w pore odpowiednie osoby.
    6. wyglada na to, ze alab traktuje it security jako niepotrzebny koszt skoro oplaca sie ryzykowac zaplacenie kar (ktore widocznie sa za niskie) niz wdrozyc i utrzymac cos co dziala.
    7. wyglada na to, ze alab nie wyciagnie z tego wnioskow, ktore by zapewnily bezpieczenstwo na odpowiednim poziomie skoro dalo sie wyciagnac prawie cwierc terabajta wrazliwych danych.

    Zastanowmy sie nad powodem tego co sie stalo. Otoz widocznie branza medyczna nie podlega takim regulacjom jak finansowa skoro stalo sie to co sie stalo. To jest wina panstwa, ze nie zadbalo zeby firmy jak alab musialy przejsc weryfikacje i cykliczne audyty pod grozba cofniecia akredytacji.
    • avatar
      Pafun
      9
      "Zacznij od zastrzeżenia numeru PESE" - i co to Panie redaktorku da?
      ... ano nic bo oczywiście tylko niewielka część portali (o telewizji to już w ogóle nie wspomnę) informuje, że takie zastrzeżenie rodzi skutki prawne od dnia 01.06.2024 r. czyli dopiero za pół roku !!!
      Ludzie myślą, że jak teraz zastrzegą to już od dnia zastrzeżenia są chronieni, a prawda jest taka, że nie... że dopiero od czerwca przyszłego roku będzie ich pesel chroniony.
      Bo czaszami to jednak dobrze jest przeczytać ustawę, a nie klepać w kółko błędne informacje.
      • avatar
        Okonio
        2
        "Wirtualna Polska próbowała uzyskać konkretną odpowiedź, ale jak dotąd bez skutku. Telefon Rzecznika jest wyłączony."
        Przeraża bezczelność i buta. Nie tylko nie szukają sposobu, by ostrzec poszkodowanych, ale najwyraźniej mają wszystkich mniej więcej tam, gdzie przegrani wyborów mają wolę narodu.
        Liczę na reakcję prokuratury - niech sprawdzą, czy zabezpieczyli dane w sposób prawidłowy.
        • avatar
          BTemp
          1
          Pytanie kto zapewniał obsługę IT. Własny dział czy outsourcing? Czy były wykonywane audyty bezpieczeństwa. Czy były zabezpieczenia w stylu chociażby sprzętowych firewall-i itp. Sam wykonuję audyty kontrolujące dostęp co tydzień, a monitoring ruchu jest wykonywany na bieżąco. Dostęp do wrażliwych danych tylko przez użytkowników specjalnych itp. Widać firma chciała zaoszczędzić no i zaoszczędziła.
          • avatar
            pimpolok
            -2
            Poczytajcie prawdę na niezależnych portalach o wdrażanych toksycznych bateriach w elektrykach i o wpływie ogromnego pola magnetycznego na pasażerów tej trumny!!!!
            Benchmark kłamie!!! Kłamie od początku czyli od 1997 roku!!!! Wszystko co piszą to jedne wielkie kłamstwo!!! To portal założony przez MASONÓW!!!!!!!!!!!
            Nie dla elektryków!!! Smierć wszystkim którzy je promują!!!!!
            • avatar
              pawluto
              -3
              Alab to firemka co zarobiła mase kasy na pseudo pandemii...
              Powinni zostać ukarani za niedopilnowanie bazy danych - Kara powinna być mocna i surowa by inne firmy lepiej dbały o bezpieczeństwo w sieci.
              Atak ransomware znany jest od kilku lat więc można się było przed nim zabezpieczyć...
              • avatar
                gicmo
                0
                "Pakiet BIK się opłaca Ochrona przed wyłudzeniami i informacje o Twoich kredytach Tylko 129 zł za rok!"

                Zbóje kradnące nasze dane to jedno, a szubrawcy wymuszający kupowanie usług, które powinny być dostępne za darmo wraz z prowadzeniem rachunku bankowego, to druga sprawa.
                • avatar
                  vacotivus
                  0
                  No to liczymy na dotkliwą karę finansową dla ALAB za zaniedbanie.

                  Witaj!

                  Niedługo wyłaczymy stare logowanie.
                  Logowanie będzie możliwe tylko przez 1Login.

                  Połącz konto już teraz.

                  Zaloguj przez 1Login