Dane medyczne Polaków w sieci. Niewiele można z tym zrobić (aktualizacja)

Oryginalny news, 27.11.2023 r.: ALAB to jedna z największych sieci laboratoriów medycznych w Polsce. W jej skład wchodzi ponad 70 laboratoriów i 620 punktów pobrań. Cieszy się też całkiem dobrą opinią wśród pacjentów, ale zaufanie do niej właśnie zostało wystawione na próbę. Jak podaje serwis Zaufana Trzecia Strona, dane medyczne kilkudziesięciu tysięcy Polek i Polaków trafiły do sieci. To skutek zakończonego powodzeniem cyberataku i braku współpracy ze strony firmy ALAB. Czy ta ostatnia mogła zrobić coś więcej? A co może zrobić każda z ofiar?

Atak na polskie laboratoria medyczne. Dane pacjentów w sieci

Wcześniej w tym roku firma ALAB została zaatakowana przez grupę RA World, która dotąd nie miała na koncie żadnych spektakularnych akcji. W kampanii, której celem były komputery laboratoriów, wykorzystała oprogramowanie typu ransomware. Tak określa się złośliwy program, który (opcjonalnie) wykrada dane, (a zawsze) szyfruje je na komputerze ofiary i żąda okupu w zamian za ich odblokowanie. Firma ALAB nie chciała jednak zapłacić, w związku z czym cyberprzestępcy przystąpili do działania. 

Grupa RA World grozi, że do 31 grudnia 2023 r. opublikuje w sieci wszystkie dane, do jakich uzyskała dostęp. Mówi, że jest ich 246 GB. Aby udowodnić, że nie blefuje, wrzuciła próbkę o „wadze” 6 GB poprzez sieć TOR. Niczym odcięty palec ofiary wysyłany przez porywaczy, ma to zachęcić firmę ALAB do podjęcia działań. 

Wyciekły wyniki badań 50 tys. Polek i Polaków

Analizy tych danych podjęła się Zaufana Trzecia Strona. Z jej publikacji wynika, że do sieci trafiły dwa pliki. Pierwszy (ważący niewiele ponad 1 GB) zawiera same umowy zawierane przez ALAB. Drugi (to już 5 GB) mieści w sobie wyniki testów laboratoryjnych – między innymi biochemicznych, hematologicznych, immunochemicznych czy cytologicznych. 

Ten drugi plik to archiwum, na które składają się łącznie trzy katalogi. W środku znajduje się ponad 110 tys. plików w formatach PDF oraz XML. Są to po dwie wersje każdego wyniku, co szybko pozwala obliczyć, że mówimy tu o przeszło 55 tys. badań. Wstępna analiza pozwoliła oszacować, że dotyczą one różnych pacjentów, więc liczba poszkodowanych osób może być zbliżona do liczby badań. 

Co konkretnie wyciekło? 

Pliki – poza samymi wynikami testów laboratoryjnych – zawierają pełne dane osobowe (imię, nazwisko, adres i numer PESEL) oraz szczegóły na temat daty, godziny i zakresu wykonywanych badań. Wśród danych, które wyciekły, znajduje się również informacja o tym, kto był zleceniodawcą i lekarzem-specjalistą. W prosty sposób można więc powiązać konkretną osobę z daną grupą problemów medycznych.

Przykładowy plik z wycieku.

Zasięgiem wyciek obejmuje kilka ostatnich lat, konkretnie: od 2017 do 2023 r. Nie wiadomo, kiedy dokładnie doszło do ataku – jedyną wskazówkę stanowi fakt, że najnowsze badanie w wycieku pochodzi z 27 września 2023 r. Ogółem mowa o kilkudziesięciu tysiącach Polaków, których dane już teraz trafiły do sieci i wielu więcej, których wyniki mogą pojawić się w internecie wraz z końcem tego roku. 

Taka baza danych stanowi cenny łup dla cyberprzestępców, którzy z pewnością będą chcieli go wykorzystać. Wysoce prawdopodobne są w najbliższych miesiącach próby przeprowadzania ataków phishingowych na konkretnych pacjentów. Phishing polega na podszywaniu się pod osoby lub organizacje, a dane, takie jak numer PESEL czy informacja o konkretnym lekarzu odwiedzanym w konkretnym terminie, pozwalają uwiarygodnić się przestępcy podającemu się za kogoś innego. 

Co robić? Zacznij od zastrzeżenia numeru PESEL

Trudno doradzić coś przeciętnemu Kowalskiemu w tej sytuacji. Choć to pacjenci znajdują się w centrum wydarzeń, to nie mają żadnego wpływu ani na działania podejmowane przez cyberprzestępców, ani też na reakcje firmy ALAB. 

Niemniej wizja ataków phishingowych każe w nadchodzących miesiącach zwracać jeszcze większą uwagę na otrzymywanie wiadomości e-mail. Warto kilkukrotnie upewnić się, że wiadomość rzeczywiście podchodzi od danej osoby lub organizacji, zanim kliknie się link czy poda się swoje dane.

Najgorsze jest to, że dane już wyciekły i nie ma sposobu, by to powstrzymać. Jedynym, co tak naprawdę warto zrobić od razu, jest zastrzeżenie numeru PESEL – od listopada 2023 r. rzeczywiście można to zrobić nawet bez wychodzenia z domu. 

Ransomware. Czy firma ALAB powinna była opłacić okup?

Co na to wszystko ALAB? Jak na razie firma nie udzieliła oficjalnego komentarza w tej sprawie (poza krótkim komunikatem, który niczego nie wyjaśnia, bo też nie odnosi się do sytuacji pacjentów). Wirtualna Polska próbowała uzyskać konkretną odpowiedź, ale jak dotąd bez skutku. Telefon Rzecznika jest wyłączony.

Nie można jednakże podjąć się jednoznacznej oceny dotychczasowych działań firmy ALAB. Choć pacjenci mają prawo czuć oburzenie, to po „wylaniu się mleka”, czyli skutecznym przeprowadzeniu ataku przez RA World, przedstawiciele laboratoriów niewiele mogli już zrobić. Można wprawdzie było podjąć próbę opłacenia okupu, ale specjaliści ds. cyberbezpieczeństwa tego nie polecają – raz, że wcale nie ma się pewności, czy druga strona wywiąże się z umowy (wszak negocjuje się z przestępcami), a dwa: pokazuje się w ten sposób atakującym, że to się po prostu opłaca. 

Przed atakami typu ransomware co do zasady trudno jest się obronić. Aby zwiększyć szansę ich uniknięcia przedsiębiorstwa muszą mieć wdrożoną bardzo dopracowaną politykę bezpieczeństwa (zakładającą między innymi korzystanie z zaawansowanego oprogramowania antywirusowego i regularne wykonywanie audytów bezpieczeństwa IT). Ważne jest też przechowywanie wrażliwych danych offline i właściwa kontrola dostępu. 

No i właśnie – inną kwestią pozostaje to, co działo się przed przeprowadzeniem ataku. Nie znając szczegółów nie można dokonać rzetelnej oceny, niemniej jednak jeśli informacja o wycieku okaże się prawdą, to będzie to oznacza, że tak ważne dane nie zostały odpowiednio zabezpieczone. O dalszych ustaleniach będziemy informować na bieżąco.

Aktualizacja, 28.11.2023 r.:

Spółka ALAB laboratoria opublikowała komunikat w tej sprawie. Przyznała, że 19 listopada 2023 r. rzeczywiście doszło do ataku na serwery, w wyniku czego „osoby trzecie w sposób bezprawny mogły uzyskać dostęp” do danych pacjentów. Jak czytamy dalej: 

„W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości. Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych”.

Krótko mówiąc: incydent został oficjalnie potwierdzony. Firma ALAB podała przy okazji potencjalne skutki wycieku – to między innymi uzyskanie przez osoby trzecie kredytów i dostępu do świadczeń opieki zdrowotnej, wyłudzania ubezpieczeń, rejestrowania przedpłaconych kart telefonicznych. 

Równocześnie CERT Polska wraz z Centralnym Ośrodkiem Informatyki przygotował narzędzie, umożliwiające dokonanie weryfikacji, czy nasze dane zostały wykradzione w ramach ataku. Osoby, które chcą to sprawdzić, powinny udać się na stronę bezpiecznedane.gov.pl. Tam wystarczy się zalogować i kliknąć przycisk „Sprawdź wyciek z ALAB”.

Źródło: Zaufana Trzecia Strona, inf. własna