W wyniku ataku hakerskiego na ALAB Laboratoria wykradziono dane osobowe około 12 500 pacjentów. Hakerzy zażądali okupu i grożą ujawnieniem kolejnych danych pacjentów. W najgorszym scenariuszu upublicznieniem danych osobowych i wyników badań laboratoryjnych zagrożonych jest łącznie około 200 tys. pacjentów. ALAB Laboratoria deklaruje, że nie negocjuje z terrorystami i nie zapłaci żadnego okupu.
Jak już informowaliśmy kilka razy, w listopadzie 2023 roku hakerzy grupy RA World włamali się na serwery firmy ALAB Laboratoria. Wykradli dane osobowe około 12 500 pacjentów i zażądali okupu. To prawdopodobnie największy atak tego typu w branży medycznej w naszym kraju.
- Opowiemy o tym zdarzeniu na takim poziomie szczegółowości, na jaki pozwalają prowadzone obecnie postępowania – stwierdził dr Seweryn Dmowski, doradca zarządu ds. komunikacji w firmie ALAB Laboratoria w czasie konferencji prasowej zorganizowanej 7 grudnia br. – Staramy się chronić dane naszych pacjentów, jak to jest możliwe. Są one przecież najbardziej wrażliwe. Dlatego ich kradzież odbija się szczególnie silnym echem w społeczeństwie.
Reklama
Ale z drugiej strony, nie ma takich zabezpieczeń, których hakerzy nie mogą złamać. Ciągle doskonalą oni techniki przełamywania zabezpieczeń. Można wręcz powiedzieć, że jest to jedna z najbardziej dynamicznie rozwijających się gałęzi współczesnej przestępczości. A przecież branża medyczna jest obecnie szczególnie narażona na cyberataki ze względu na ogromną wartość gromadzonych przez nią danych.
- Takie incydenty zdarzają się na całym świecie – podkreślił Seweryn Dmowski. – Cztery lata temu w Stanach Zjednoczonych ujawniono dane 12 milionów pacjentów firmy Quest Diagnostics, w tym roku – 20 mln rekordów z zasobów amerykańskiej firmy 23andMe (USA, 2023) i również w tym roku – 815 mln rekordów Indian Council of Medical Research. Nie chodzi o to, by bagatelizować atak na ALAB, ale przypominamy, że to się zdarza. Co naturalnie nie zwalnia nas z konieczności zachowania czujności.
Reklama
Grupa ALAB jest jedną z największych sieci laboratoriów analitycznych w naszym kraju. W ciągu 23 lat powstało 670 punktów pobrań i 82 laboratoria. Mogą one wykonywać 3 500 rodzajów badań. Dziennie przyjmują 50 tysięcy pacjentów i przeprowadzają 200 tys. badań laboratoryjnych. Rocznie oznacza to 21 mln pacjentów i 60 mln analiz medycznych.
12 500 numerów PESEL
6,5 GB danych medycznych
- ALAB przywiązuje ogromną wagę do cyberbezpieczeństwa – przekonywał Seweryn Dmowski. – Używa płatnych komercyjnych systemów IPS/IDS (Intrusion Prevention Systems/ Intrusion Detection Systems) zabezpieczających brzeg sieci korporacyjnej oraz płatnych komercyjnych systemów antywirusowych instalowanych na wszystkich serwerach oraz komputerach pracowników. Stosuje segmentację sieci na poziomie serwerów oraz pracowników. Wykorzystuje wielopoziomowe systemy backupowe (komercyjne oraz własnej produkcji) obejmujące regularny backup serwerów oraz danych znajdujących się na nich. Wprowadziliśmy urządzenia sieciowe w formie klastrów (duplikowane) oraz duplikację połączeń pomiędzy segmentami sieci, a także zautomatyzowane systemy do analizy logów z urządzeń brzegowych. Pracownikom ograniczono uprawnienia dostępowe do usług.
Reklama
Połączenia do placówek zamiejscowych oraz do klientów są zabezpieczone poprzez VPN (Virtual Private Network – wirtualną sieć prywatną). Dostęp do sieci firmowej z zewnątrz możliwy jest również wyłącznie za pomocą VPN. Prowadzone są okresowe szkolenia pracowników pod kątem bezpieczeństwa, zaś kwartalnie wydawany jest biuletyn bezpieczeństwa w formie e-mail. Całą dobę dyżurują administratorzy sieci. Poza tym zewnętrzna firma wykonuje regularne audyty bezpieczeństwa oraz skanowanie podatności.
17 listopada 2023 roku – przestępcy umieścili skopiowane dane osobowe pacjentów w darknecie;
19 listopada – wykryto podejrzaną aktywność na serwerach ALAB. Rzeczywiście, tego dnia nastąpił atak hakerski
O godzinie 1.00 – Pierwsze oznaki ataku: problemy z dostępem do usług Microsoft Office 365; dział IT rozpoczął analizę problemu;
2.30 – Zawężenie usterki do kontrolerów domeny, zidentyfikowanie problemu z logowaniem, początek procedury odzyskania z backupu kontrolera domeny Active Directory (AD);
3.50 – Koniec procesu odzyskiwania kontrolera domeny z ostatniego backupu, przywrócenie poświadczeń i ponowne logowanie: pierwsze oznaki szyfrowanych plików, natychmiastowa decyzja działu IT o wyłączeniu serwerów opartych o domenę AD;
4.00 – Alert dla wszystkich adminów, informacja o problemie z szyfrowaniem serwerów, awaryjne podjęcie pracy przez wszystkie osoby odpowiedzialne;
4.30 – Wyłączenie serwerów w każdej lokalizacji w Warszawie, rozpoczęcie procesu odzyskiwania zaszyfrowanych serwerów z kopii zapasowej;
5.06 – Kontakt z firmą CyberBlock zajmującą się analizą bezpieczeństwa sieci i prośba o pomoc;
8.00 – Nadzwyczajne spotkanie zarządu z Komitetem Bezpieczeństwa;
11.36 – Odczytanie listu hakerów z żądaniem okupu;
12.00 – Przywrócenie działania usługi Microsoft Office 365, kontynuacja odzyskiwania z kopii bezpieczeństwa zaszyfrowanych serwerów;
20.00 – Spotkanie komitetu bezpieczeństwa z zarządem, omówienie bieżącej sytuacji oraz postępów w odzyskiwaniu serwerów;
20.43 – Ustalenie przez firmę CyberBlock, że doszło do wycieku danych, a hakerzy umieścili w darknecie próbkę wykradzionych danych;
23.00 – Potwierdzenie przez dział IT, że udostępniona przez hakerów próbka danych jest autentyczna.
25-26 listopada – Przywrócenie pełnej stabilności systemu informatycznego oraz bezpieczeństwa wszystkich serwerów;
26 listopada – Upublicznienie przez przestępców informacji o danych osobowych pacjentów zamieszczonych w darknecie.
- Ocena uszkodzeń w infrastrukturze firmy
- Odzyskiwanie serwerów z kopii zapasowej i przywracanie usług
- Analiza logów oraz poszukiwanie wektora ataku
- Kontakt z CERT Polska
- Kontakt z hakerami
- Skany serwerów i stacji roboczych zgodnie z zaleceniami CyberBlock
- Ograniczenie dostępu do internetu dla pracowników i serwerów
- Regularne spotkania oraz przekazywanie postępów prac zarządowi
- Zgłoszenie do UODO
- Zgłoszenie na Policję
- Kontakt z klientami oraz pacjentami
21 listopada – Przesłano raport o naruszeniu do UODO, powiadomiono Policję i Centralne Biuro Zwalczania Cyberprzestępczości, skontaktowano się też z CERT w sprawie pomocy w audycie i analizie incydentu, a także z Rządowym Centrum Bezpieczeństwa, Ministerstwem Zdrowia i Centrum e-Zdrowia;
22 listopada – Rozpoczęto proces informowania klientów, co do których istniało podejrzenie, że ich dane mogły zostać skopiowane;
27 listopada – Wydano komunikat o incydencie naruszenia bezpieczeństwa danych osobowych, rozpoczęto bezpośrednią komunikację z pacjentami w celu minimalizacji ryzyka wykorzystania ich danych osobowych;
27 listopada – Rozpoczęto segmentację klientów pod kątem zagrożenia skopiowaniem danych oraz bezpośrednią komunikację z klientami i pacjentami, wykupiono też 6-miesięczny alert Biura Informacji Kredytowej dla każdej osoby, której dane zostały udostępnione;
28 listopada – Rozpoczęto powiadamianie klientów i pacjentów o możliwości sprawdzenia za pomocą serwisu bezpiecznedane.gov.pl, czy dane osobowe zostały upublicznione.
Pracownicy ALAB zareagowali na atak w prawidłowy sposób. Zarzucić im można jedynie zbyt późne powiadomienie poszkodowanych pacjentów.
- W czasie listopadowego ataku przestępcy uzyskali dostęp do jednego z kilkudziesięciu serwerów zawierających dane medyczne – ujawnił Seweryn Dmowski. – W najgorszym scenariuszu upublicznieniem danych osobowych i wyników badań laboratoryjnych zagrożonych jest łącznie około 200 tys. pacjentów. Wszystkie potencjalnie zagrożone placówki zostały powiadomione, przygotowaliśmy procedurę reagowania kryzysowego, która zostanie uruchomiona natychmiast w przypadku udostępnienia kolejnej partii danych. Ale większość skopiowanych danych stanowią dane korporacyjne, które nie zawierają danych osobowych pacjentów.
Reklama
Ryzyko upublicznienia danych
- Nie negocjujemy z terrorystami – podkreślił Maciej Hipsz, członek zarządu ALAB. – Nie zapłacimy żadnego okupu. Nie ukrywamy faktu wystąpienia incydentu ani jego skali. Od początku dążymy do otwartego i transparentnego informowania opinii publicznej na temat tego kryzysu. Informujemy też, że zachowaliśmy zdolność operacyjną firmy w obszarach kluczowych dla ratowania ludzkiego życia.
- Współpracujemy ze wszystkimi właściwymi instytucjami państwowymi i stosujemy się do ich zaleceń. Posiłkujemy się wiedzą i doświadczeniem zewnętrznych ekspertów. Nieustannie wzmacniamy bezpieczeństwo naszych systemów teleinformatycznych – dodał Tomasz Łaszkiewicz, dyrektor generalny, prokurent ALAB.
--
Mieczysław T. Starkowski
Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
????????????
????????????