Duży wyciek danych osobowych pacjentów – sprawdź, czy Twój numer PESEL został upubliczniony

Wyciek danych był efektem zmasowanego ataku na serwery spółki. Hakerzy z grupy „RA World” zamierzali bowiem wymusić okup na firmie. W efekcie w sieci upubliczniono takie dane osobowe pacjentów, jak:

• imię i nazwisko,

• numer PESEL,

• data urodzenia,

• miejsce zamieszkania,

• wynik badania laboratoryjnego (a więc dane wrażliwe).

Szeroki zakres danych osobowych i ich rodzaj generują znaczne zagrożenie dla pacjentów. W komunikacie wydanym przez spółkę wskazano, że poziom ryzyka naruszenia praw i wolności podmiotów danych jest wysoki i przejawia się w zagrożeniu:

• kradzieżą tożsamości np. w celu zagłosowania nad projektami obywatelskimi,

• zaciągnięcia zobowiązania w instytucjach kredytowych,

• wyłudzenia świadczeń zdrowotnych i ubezpieczeniowych,

• zarejestrowania karty prepaid w celach przestępczych.

W związku z incydentem spółka podjęła szeroko zakrojone działania. Przede wszystkim przeprowadziła analizę zgodnie z wytycznymi ENISA i oceniła poziom zagrożenia w związku z incydentem. Następnie zgłosiła naruszenie ochrony danych do Prezesa UODO i opublikowała stosowny komunikat dla podmiotów danych. W dalszej kolejności poinformowała o zdarzeniu CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia, jak również złożyła zawiadomienie o uzasadnionym podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

Firma wdrożyła także awaryjne procedury bezpieczeństwa i komunikacji w celu likwidacji skutków ataku oraz ustalenia zakresu szkód. Oprócz tego przeprowadziła audytu bezpieczeństwa danych osobowych oraz rozpoczęła monitorowanie internetu pod kątem możliwego upublicznienia danych, które uległy wyciekowi.

Dzięki inicjatywie CERT Polska i Centralnego Ośrodka Informatyki możliwe jest sprawdzenie, czy padliśmy ofiarą opisanego ataku hakerskiego. Każdy może bowiem sprawdzić, czy jego numer PESEL został upubliczniony w sieci.

• www.gov.pl

• www.alablaboratoria.pl