Warszawska Prokuratura Regionalna wszczęła śledztwo w sprawie hakerów, którzy wykradli dane pacjentów ALAB Laboratoria. Śledztwo obejmuje również wątek dotyczący żądania okupu. Jak nieoficjalnie ustaliła PAP, szantażyści zażądali od firmy kilkuset tysięcy dolarów.
Prokuratura Regionalna w Warszawie po analizie pisemnego zawiadomienia Alab Laboratoria Sp. z o.o. z siedzibą w Warszawie oraz materiałów przekazanych przez CBZC w dniu 29 listopada 2023 r. wszczęła śledztwo w sprawie uzyskania bez uprawnienia dostępu do systemu informatycznego i pozyskania zapisanych w nim informacji poprzez zaszyfrowanie za pomocą złośliwego oprogramowania ransomware zawartości serwerów należących do pokrzywdzonej spółki - poinformowała rzecznik Prokuratury Regionalnej prok. Aleksandra Skrzyniarz.
Zaznaczyła, że skutkiem ataku hakerskiego było utrudnienie dostępu do danych informatycznych oraz uniemożliwienie ich automatycznego przetwarzania, gromadzenia i przekazywania.
Śledztwo swoim zakresem obejmuje również wątek dotyczący żądania okupu przez sprawców działających w ramach organizacji RA WORLD w zamian za przekazanie kluczy deszyfrujących oraz nieupublicznianie pozyskanych danych. Postępowanie prowadzone jest również w kierunku bezprawnego przetwarzania danych osobowych, adresowych oraz wyników badań medycznych osób korzystających z usług Alab Laboratoria Sp. z o.o - dodała prok. Skrzyniarz.
Szantażyści zażądali od firmy kilkuset tysięcy dolarów - nieoficjalnie ustaliła PAP.
Warszawska Prokuratura Regionalna prowadzi czynności procesowe mające na celu m.in. ustalenie tożsamości sprawców.
Wyciekiem danych zajął się również prezes Urzędu Ochrony Danych Osobowych oraz Rzecznik Praw Pacjenta.
Zastępca prezesa UODO Jakub Groszkowski przekazał, że obecnie urząd analizuje zgłoszone 21 listopada naruszenie ochrony danych w Alab. "Na obecnym etapie czekamy na dalsze ustalenia administratora danych, aby dysponować wiedzą na temat szczegółów związanych z naruszeniem i rzetelnie wyjaśnić jego przyczyny i skalę" - dodał.
"W związku z głośnym wyciekiem danych, w ramach współpracy obie instytucje będą wymieniać się ustaleniami z podejmowanych działań oraz wynikami swoich prac. Celem tej współpracy jest przede wszystkim dobro pacjentów i ochrona ich danych osobowych" - zaznaczył Jakub Groszkowski.
Rzecznik Praw Pacjenta Bartłomiej Chmielowiec przekazał, że rozpoczyna postępowanie, by we współpracy z Prezesem UODO i spółką ustalić szczegóły sprawy. "Potencjalne naruszenie praw pacjenta traktujemy niezwykle poważnie, mając na uwadze nie tylko literę prawa, ale i zaufanie pacjentów do podmiotów leczniczych i systemu ochrony zdrowia" - dodał.
W poniedziałek portal zaufanatrzeciastrona.pl poinformował, że do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek jest skutkiem ataku grupy ransomware.
Jak przekazał portal, w sieci znalazły się dane co najmniej kilkudziesięciu tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria.
Według serwisu, szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych, a w niej między innymi wyniki ponad 50 tysięcy badań medycznych.
Hakerzy domagają się okupu od firmy za to, że nie ujawnią wszystkich przejętych danych. Grożą przy tym, że jeśli nie dostaną pieniędzy, do 31 grudnia opublikują wszystkie wykradzione dane.
W związku z wyciekiem, ALAB laboratoria opublikował komunikat, w którym potwierdza, że incydent "jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu". "19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką" - napisano w komunikacie.
Spółka dodała, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.
"W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania" - zaznaczono.
Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia. Złożyła także zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.
"Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych" - napisano.
Naukowa i Akademicka Sieć Komputerowa (NASK) poinformowała w poniedziałek, że osoba, której dane zostały upublicznione powinna być przygotowaną i świadomą, że cyberoszuści mogą te dane wykorzystać. W takim przypadku należy ze wzmożoną czujnością podchodzić do maili, wiadomości, telefonów oraz weryfikować ich nadawcę u źródła.
Jak przekazała NASK powinna też skorzystać z nowej możliwości i zastrzec nr PESEL, co pomoże zminimalizować ryzyko związane z nieuprawnionym wykorzystaniem naszych danych np. w banku.
NASK poinformowała, że eksperci podkreślają, że narażone na wyciek danych mogą być również osoby, które nie korzystały z usług firmy ALAB. "Analiza wykazała, że doszło również do kradzieży wyników badań wykonywanych na zlecenie innych placówek medycznych, nienależących do grupy ALAB" - dodała.