ALAB. Konsekwencje wycieku wrażliwych danych. Jak są poważne i jak się przed nimi chronić?

Z laboratorium badań medycznych ALAB wyciekły dane klientów. Nowo powstała, ale bardzo aktywna grupa cyberprzestępcza RA GROUP włamała się do baz danych spółki ALAB i uzyskała dostęp do danych osobowych obejmujących: imię i nazwisko, numer PESEL, datę urodzenia, miejsce zamieszkania oraz wyniki badań laboratoryjnych klientów. Na dowód swojej skuteczności grupa opublikowała na swoim blogu część wykradzionych danych zawierającą wyniki ponad 50 tysięcy analiz medycznych.

Co więcej, w przypadku gdy ALAB nie zdecyduje się na spełnienie żądań cyberprzestępców i zapłacenie okupu, grupa ma opublikować resztę posiadanych danych 31 grudnia.

Co warto wiedzieć…

Cyberprzestępstwa różnego typu są bardzo wygodną metodą pozyskiwania środków finansowych przez trochę bardziej ogarniętych, a pozbawionych skrupułów cyberprzestępców.

W Dark Webie dostępne są, na przykład, narzędzia oferujące usługi „biznesowe” RaaS, czyli Ransomware as a Service. Rozwiązania RaaS pozwalają przeprowadzić skuteczny atak osobom, którym brakuje umiejętności lub po prostu czasu w opracowanie własnego oprogramowania. Usługi takie mogą obejmować choćby całodobową pomoc techniczną, recenzje użytkowników, fora i inne funkcje bardzo przypominające te oferowane przez dostawców legalnych usług SaaS. Cena? Od 40 do kilku tysięcy dolarów miesięcznie, co stanowi ułamek średniego żądania okupu, które wynosi kilka lub kilkanaście milionów dolarów. Pieniądze leżą na ulicy, Proszę Państwa. A adekwatnie w Dark Webie.

Z tego względu Dark Web cierpi na nadpodaż danych i można w nim (podobno) znaleźć całe katalogi informacji, czy kart kredytowych, które nie budzą niczyjego zainteresowania. Przestępcy starają się raczej zmusić zaatakowaną firmę do zapłacenia okupu, informując o uzyskaniu dostępu do danych, a następnie – w przypadku „braku współpracy” – udostępniając część danych w Internecie. Takie podejście jest z ich punktu widzenia niewątpliwie bardziej zyskowne i wygodne.

Tym bardziej, iż informacja o wycieku danych jest zawsze poważnym problemem wizerunkowym i dlatego często firmy zgadzają się na zapłacenie okupu. Jest to jednak droga donikąd i tylko rozzuchwala cyberprzestępców.

Ale do rzeczy.

Jak działają współczesne laboratoria diagnostyczne i czy łatwo je zhakować?

Musimy zdawać sobie sprawę, iż współczesne laboratoria diagnostyczne to skomplikowane środowiska, które:

• łączą instrumenty i systemy diagnostyczne pochodzące od różnych producentów,
• przetwarzają próbki przesłane przez różnych zleceniodawców, takich jak lekarze, placówki służby zdrowia, czy szpitale, z których większość korzysta z własnych, odmiennych rozwiązań informatycznych i systemów,
• wykorzystują systemy do przesyłania danych pomiędzy instrumentami, ich gromadzenia i analiz (np. MYLA firmy bioMerieux) oraz z/do LIS, czyli Laboratoryjnego Systemu Informacyjnego, którym do laboratorium przekazywane są zlecenia badań, a laboratoria wysyłają wyniki analiz do lekarzy oraz
• korzystają z systemów i urządzeń używających protokołów transmisji danych opisujących działanie kolejnych warstw sieci.

I wszystkie te urządzenia, systemy, protokoły, cały galimatias sprzętowo-softwarowy, tworzony jest przez ludzi. Z tego względu, chociaż specjaliści dokładają wielu starań, żeby wszystko działało sprawnie i bez problemów, nieuniknione są niedociągnięcia i luki, bo taka jest natura rzeczy i narzędzi tworzonych przez człowieka.

Np. w 2020 roku firma JSOF zajmująca się cyberbezpieczeństwem wykryła szereg luk zero-day o nazwie Ripple20 w popularnym ethernetowym protokole komunikacyjnym TCP/IP. Nie były nią zagrożone systemy laboratoryjne, ale już np. … drukarki, na których drukowano wyniki badań – tak. I tak jak w przypadku wycieku danych z ALABU, luka ta mogła zostać wykorzystana do nielegalnego dostępu do wrażliwych danych pacjentów. Na szczęście w porę ją załatano.

Dlatego też dane statystyczne odnoszące się do naruszeń danych w opiece zdrowotnej są alarmujące. Od 2005 wycieki danych dotknęły ponad 249 mln osób, z czego ponad 157 mln przypadków w ciągu ostatnich pięciu lat. Branża opieki zdrowotnej zgłasza najwięcej naruszeń, a liczba ta stale rośnie. Tylko w roku 2023 liczba ujawnionych danych zdrowotnych podwoiła się, a średni koszt naruszenia przeważył koszty ponoszone przez inne sektory. Więcej o tym można przeczytać tu.

Obowiązujące procedury

Firmy związane z ochroną zdrowia podlegają szeregowi bardzo ścisłych procedur, które mają chronić interesy i dobro pacjentów.

W przypadku wycieku danych administrator danych ocenia ryzyko wynikające z naruszenia danych, dokumentuje wszelkie naruszenia oraz podejrzenia naruszeń i, co najważniejsze, zgłasza poważne naruszenia bezpieczeństwa danych do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od stwierdzenia naruszenia.

Jakie konsekwencje dla ALAB?

Wszystko zależy od działań podjętych przez Spółkę. Jednak wydaje się, iż ALAB starannie przestrzega procedur, wdrożył procedury bezpieczeństwa, wydał komunikat oraz współpracuje z adekwatnymi organami, czyli zgłosił naruszenie do Prezesa UODO i poinformował uprawnione instytucje, takie jak: CERT Polska, Centrum E-Zdrowia i Ministerstwo Zdrowia, a także złożył zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.

Jednak w bardzo podobnym przypadku z 2022 roku, firma Dedalus Biologie, z której wyciekły dane takie jak: imię, nazwisko, numer ubezpieczenia społecznego, nazwisko lekarza i daty badania oraz wyniki badań prawie 500 000 osób, została ukarana bardzo dotkliwą karą w wysokości 1,5 mln euro, o czym można przeczytać tu.

To sporo, biorąc pod uwagę, iż np. roczne przychody netto spółki ALAB wyniosły w 2022 roku 6,15 mln złotych.

Co grozi nam, szarym pacjentom, i jak możemy się zabezpieczyć?

Cóż, niestety zagrożeń jest sporo. Wyciek danych obejmujących imię, nazwisko, numer PESEL i adres może umożliwić osobom trzecim:

1. Uzyskanie kredytu w instytucjach parabankowych. Tym bardziej, iż wiele tego typu instytucji umożliwia łatwe i szybkie uzyskanie pożyczki lub kredytu, często przez Internet lub telefonicznie, bez konieczności okazywania dokumentów tożsamości.
2. Dostęp do świadczeń opieki zdrowotnej, które przysługują właścicielom danych oraz do informacji dotyczących ich stanu zdrowia. Tym bardziej, iż dostęp do systemu rejestracji pacjenta można uzyskać telefonicznie po potwierdzeniu tożsamości przy pomocy numeru PESEL.
3. Wyłudzenie ubezpieczenia, co może prowadzić do oskarżenia osób, których dane zostały naruszone, o oszustwo.
4. Rejestrację przedpłaconej karty telefonicznej (pre-paid) w celach przestępczych.

Co możemy zrobić, żeby zadbać o swoje bezpieczeństwo?

W sumie niewiele:

1. Zdecydowanie warto jak najszybciej założyć konto w systemie informacji kredytowej i regularnie kontrolować, czy ktoś nie sprawdzał naszej zdolności kredytowej.
   Na szczęście rozporządzenie RODO zapewnia nam darmowy dostęp do danych w Biurze Informacji Kredytowej (BIK). Tyle że, nie wszystkie instytucje finansowe sprawdzają w BIK status potencjalnego kredytobiorcy.
2. Warto też zgłosić fakt naruszenia danych odpowiednim organom w celu zapobieżenia tzw. „kradzieży tożsamości”.
3. I w końcu święty Graal, na który czekaliśmy tyle lat, czyli zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl.
   Tu jednak trzeba mieć świadomość, iż o ile możliwość zastrzeżenia numeru PESEL dostępna jest już od paru dni, to instytucje bankowe będą miały obowiązek kontrolowania takiego zastrzeżenia dopiero od czerwca tego roku.

A co jeżeli okaże się, iż ktoś jednak wykorzystał nasze dane i korzysta teraz z gotówki uzyskanej na nasze nazwisko? Na szczęście sprawa nie jest beznadziejna, bo zgłoszenie sprawy na policję pozwala rozwiązać problem. Nie oszczędzi jednak nerwów.

Co placówki służby zdrowia mogą zrobić, żeby chronić nasze dane?

Przede wszystkim szyfrować dane. To proste zabezpieczenie, które pozwala chronić dane wrażliwe. Tym bardziej, iż laboratoria nie potrzebują takich informacji jak nazwisko, imię, czy numer PESEL, ponieważ systemy diagnostyczne świetnie radzą sobie z próbkami oznaczonymi po prostu kodem kreskowym.

Poza tym placówki służby zdrowia powinny wprowadzić i ścisłe przestrzegać procedur uwierzytelniania, przekazywania i przesyłania danych, automatycznego usuwania niepotrzebnych już danych, niekorzystania ze współdzielonych kont, a także monitorowania i raportowania alertów bezpieczeństwa.

Z kolei, z raportu dotyczącego kosztów naruszeń danych w 2023 roku wynika, iż koszt naruszeń zdecydowanie maleje, gdy placówka służby zdrowia dysponuje narzędziami i zespołem zajmującym się ochroną i reagowaniem na naruszenia danych, a także gdy wdraża sztuczną inteligencję (AI) i automatyzację.

Pamiętajmy jednak, iż najczęstszą przyczyną wycieku danych jest prosty błąd ludzki. Brak aktualizacji haseł, uwłaczająco proste hasła, czy hasła zapisane na karteczkach przypiętych do monitora.

(O czym pisze Sylwia Błach w tekście Zadbaj o swoje bezpieczeństwo w sieci – poradnik z okazji Europejskiego Miesiąca Cyberbezpieczeństwa)

Dlatego tak istotne są regularne szkolenia pracowników z zakresu cyberbezpieczeństwa przeprowadzane choćby nie po to, żeby wpoić im kolejne zasady, ale żeby skłonić pracowników do czujności, ponieważ w naszej naturze leży rozleniwianie się i rezygnowanie z czasami uciążliwych, a niezbędnych procedur.

Zresztą kto z nas o tym nie wie?

Źródła:

1. https://www.medicaleconomics.com/view/patient-data-breaches-doubled-in-2023
2. https://edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_pl
3. https://www.bizraport.pl/krs/0000040890/alab-laboratoria-spolka-z-ograniczona-odpowiedzialnoscia
4. https://securityintelligence.com/articles/cost-of-a-data-breach-2023-healthcare-industry-impacts/

Zdjęcie tytułowe: vjohns1580 /Pixabay