Fatalne wieści ws. wycieków z laboratoriów ALAB. "Zagrożonych jest nawet 200 tys. pacjentów"

Wyciek wrażliwych danych z ALAB

Groźny wyciek danych z ALAB poskutkował jak dotąd udostępnieniem danych 54. tys. pacjentów . Grupa RA World wzięła odpowiedzialność za włamanie i kradzież rekordów składających się z takich danych pacjentów ALAB, jak imię i nazwisko, adres fizyczny, PESEL, adres mailowy czy unikatowy identyfikator pacjenta.

To jednak nie dane teleadresowe wzbudziły w kontekście wycieku z ALAB największe kontrowersje, lecz wyniki badań. Włamywacze weszli w posiadanie wyników morfologii, ale też na przykład testów na obecność wirusa HIV . Jak dotąd opublikowana została paczka danych pacjentów z Warszawy, Łodzi i Łomianek. To jednak nie musi być ostatnie słowo RA World – łącznie skradli oni dane o łącznej wielkości 246 gigabajtów.

Oficjalny komunikat UODO

Do sprawy, która może poskutkować nałożeniem na ALAB laboratoria znaczącej kary, ustosunkował się już Urząd Ochrony Danych Osobowych działający w porozumieniu z Rzecznikiem Praw Pacjenta. Potwierdzono, że do UODO już 21 listopada trafiło zgłoszenie o naruszeniu ochrony danych , jednak instytucje nadal czekają na ustalenia administratora danych. Dopiero po wyjaśnieniu przyczyny i skali incydentu podejmowane będą dalsze kroki.

Wyjaśnienie sprawy w ramach współpracy UODO i RPP oraz wyciągnięcie ewentualnych konsekwencji wobec ALAB to jednak dopiero pierwszy etap zaplanowanych działań. Incydent nakłonił bowiem instytucje do wypracowania rekomendacji i ramowego planu działań w przypadku szczególnego rodzaju naruszeń ochrony danych, jaki ma miejsce w przypadku danych medycznych. Powstaną m.in. rekomendacje na rzez ograniczania ryzyka i niwelowania skutków.

Możliwy wyciek dokumentacji medycznej 200 tys. osób

Obecnie na temat konsekwencji włamania i kradzieży danych wiemy znacznie więcej. Jak donosi serwis cyberdefence24.pl, dane i prywatność pacjentów ALAB laboratoria nadal jest w niebezpieczeństwie, zaś sama firma nie zamierza podejmować kroków, które mogłyby skutkować dalszym wyciekom. To oznacza, że jeszcze w tym miesiącu do internetu dane informacje nawet kolejnych 200 tys. pacjentów . Wśród nich dostępne będę szczegóły dotyczące wyników badań medycznych.

Można odnieść wrażenie, że dla ALAB najważniejsze podczas incydentu było to, że firmie udało się zachować ciągłość pracy. Inne priorytety mają zapewne pacjenci ALAB, których dane zostały skradzione. A są powody do obaw: o ile jak dotąd – w „próbce” udostępniono 6,5 GB danych medycznych, 12,5 tys. numerów PESEL i 4 GB danych firmowych, to napastnicy dysponują jeszcze 44,5 GB danych medycznych, 187,5 tys. numerami PESEL i 190 GB danych firmowych . Jeśli ALAB nie zapłaci okupu (nie ujawniono kwoty), dane nawet 200 tys. osób mają zostać opublikowane 31 grudnia.

Wszystko wskazuje, że tak się właśnie stanie. Przedstawiciele firmy zakomunikowali bowiem, że ALAB laboratoria „nie negocjuje z terrorystami” , kontakt z hakerami został zakończony zaraz po tym, jak potwierdzono autentyczność skradzionych danych. W tej chwili poza dochodzeniem prowadzonym przez odpowiednie służby nie są prowadzone żadne działania, które mogłyby zapobiec udostępnieniu wrażliwych danych kolejnych pacjentów.