Jeszcze pod koniec listopada Internet obiegła wiadomość o ataku na ALAB Laboratoria. Grupa hakerów RA World ogłosiła, że włamała się do systemów firmy i przejęła ogromny pakiet danych – około 246 GB. W sieci pojawiły się fragmenty dokumentacji, w tym wyniki ponad 50 tysięcy badań medycznych pacjentów, gromadzonych przez kilka ostatnich lat.

To zdarzenie pokazało, jak realnym i groźnym narzędziem stał się ransomware – złośliwe oprogramowanie, które blokuje dostęp do danych lub całych systemów, a następnie wymusza okup. Ataki tego typu są szybkie, skuteczne i potrafią sparaliżować działalność instytucji. Placówki medyczne, które padną ich ofiarą, często stają przed dramatycznym wyborem: zapłacić, by odzyskać dokumentację pacjentów, czy zmierzyć się z konsekwencjami jej utraty.

Ataki ransomware to forma cyberprzestępczości, w której złośliwe oprogramowanie blokuje dostęp do systemu lub szyfruje dane, a następnie żąda okupu za ich odblokowanie. Ofiary – w tym placówki medyczne – często tracą dostęp do całych baz pacjentów i dokumentacji medycznej.

Ransomware rozprzestrzenia się najczęściej przez fałszywe e-maile (phishing), które zawierają zainfekowane załączniki lub linki, a także przez odwiedzanie zainfekowanych stron internetowych czy wykorzystanie luk w nieaktualnym oprogramowaniu. Wystarczy jedno nieuważne kliknięcie pracownika, by całe systemy placówki zostały zaszyfrowane.

Skutki takiego ataku to nie tylko paraliż codziennej pracy i koszty związane z żądaniem okupu, ale też ryzyko ujawnienia wrażliwych danych medycznych pacjentów, co może skutkować odpowiedzialnością prawną i finansową placówki.

Dlatego zrozumienie, czym jest ransomware i jak działa, to pierwszy krok do wdrożenia realnych procedur bezpieczeństwa – od szkoleń personelu, przez regularne aktualizacje systemów, po przygotowanie planów awaryjnego odtwarzania dokumentacji medycznej.

ALAB Laboratoria sp. z o.o. 19 listopada 2023 r. poinformowało o próbie ataku na swoje serwery. Analiza wykazała, że dane mogły zostać bezprawnie dostępne dla osób nieuprawnionych. Eksperci, stosując rekomendacje Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), ocenili ryzyko incydentu jako wysokie.

Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z tym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

Phishing i Spoofing

Ataki rozpoczynają się najczęściej od fałszywych e-maili czy komunikatów, w których cyberprzestępcy podszywają się pod inne zaufane podmioty, np. strony banków czy operatorów sieci komórkowych. Ofiara, naiwnie klikając w załączniki lub linki, może uruchomić złośliwe oprogramowanie.

Exploit Kits

Złośliwe programy wykorzystują luki w zabezpieczeniach systemu operacyjnego lub aplikacji do wprowadzenia ransomware na komputer ofiary bez jej wiedzy.

Złośliwe strony internetowe

Odwiedzenie zainfekowanej strony internetowej może skutkować automatycznym pobraniem i uruchomieniem ransomware na komputerze użytkownika.

Szkodliwe reklamy online (malvertising)

Złośliwe reklamy online mogą zawierać skrypty, które automatycznie uruchamiają ransomware, gdy użytkownik odwiedza zainfekowaną stronę.

Przykłady znanych ataków ransomware

Atak ransomware to forma cyberzagrożenia, w której złośliwe oprogramowanie blokuje dostęp do systemu lub danych, a następnie żąda od ofiary zapłaty, zazwyczaj w kryptowalucie, w zamian za przywrócenie dostępu lub ich nieupublicznienie w darknecie.

Ataki ransomware stanowią poważne zagrożenie, a minimalizowanie ryzyka tego rodzaju ataków wymaga zastosowania skoordynowanych strategii ochronnych, obejmujących zarówno aspekty technologiczne, jak i świadomość pracowników oraz procedury zarządzania danymi, w tym danymi osobowymi z uwzględnieniem przepisów w zakresie ochrony danych osobowych.

Efektywne połączenie tych strategii umożliwia placówkom medycznym skuteczną ochronę przed atakami ransomware. Jednak żadna z tych strategii nie powinna działać samodzielnie, ich synergia jest kluczowa do skutecznej obrony przed ewolucją tego rodzaju zagrożeń.

Wyciek danych osobowych pacjentów na przykładzie firmy ALAB Laboratoria sp. z o.o. może stanowić poważne zagrożenie dla jednostek, niosąc za sobą liczne skutki zarówno prawne, psychologiczne, jak i społeczne. Psychologiczne i społeczne skutki dla osób poszkodowanych to między innymi:

1) stres i lęk – świadomość utraty prywatności oraz obawa przed potencjalnymi konsekwencjami wycieku danych może wywołać u poszkodowanych stres i lęk;

2) utrata zaufania – wyciek danych może prowadzić do utraty zaufania pacjentów do systemów ochrony danych, podmiotów leczniczych. To z kolei może wpłynąć na ich chęć korzystania z usług medycznych.

W komunikacie ALAB Laboratoria sp. z o.o. czytamy, że możliwe negatywne z punktu widzenia klientów konsekwencje incydentu to:

• uzyskanie przez osoby trzecie na szkodę osób, których dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób, np. przez Internet lub telefonicznie;
• uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono, oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając swoją tożsamość za pomocą numeru PESEL;
• korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego, co z kolei uniemożliwiałoby osobom, których dane użyto, skorzystanie z przysługującego im prawa.