Reklama

ALAB: nie negocjujemy z terrorystami. Zagrożonych jest ok. 200 tys. danych pacjentów

Polityka Zdrowotna
08/12/2023 09:42

W wyniku ataku hakerskiego na ALAB Laboratoria wykradziono dane osobowe około 12 500 pacjentów. Hakerzy zażądali okupu i grożą ujawnieniem kolejnych danych pacjentów. W najgorszym scenariuszu upublicznieniem danych osobowych i wyników badań laboratoryjnych zagrożonych jest łącznie około 200 tys. pacjentów. ALAB Laboratoria deklaruje, że nie negocjuje z terrorystami i nie zapłaci żadnego okupu.

Jak już informowaliśmy kilka razy, w listopadzie 2023 roku hakerzy grupy RA World włamali się na serwery firmy ALAB Laboratoria. Wykradli dane osobowe około 12 500 pacjentów i zażądali okupu. To prawdopodobnie największy atak tego typu w branży medycznej w naszym kraju.

- Opowiemy o tym zdarzeniu na takim poziomie szczegółowości, na jaki pozwalają prowadzone obecnie postępowania – stwierdził dr Seweryn Dmowski, doradca zarządu ds. komunikacji w firmie ALAB Laboratoria w czasie konferencji prasowej zorganizowanej 7 grudnia br. – Staramy się chronić dane naszych pacjentów, jak to jest możliwe. Są one przecież najbardziej wrażliwe. Dlatego ich kradzież odbija się szczególnie silnym echem w społeczeństwie.

Reklama

Ale z drugiej strony, nie ma takich zabezpieczeń, których hakerzy nie mogą złamać. Ciągle doskonalą oni techniki przełamywania zabezpieczeń. Można wręcz powiedzieć, że jest to jedna z najbardziej dynamicznie rozwijających się gałęzi współczesnej przestępczości. A przecież branża medyczna jest obecnie szczególnie narażona na cyberataki ze względu na ogromną wartość gromadzonych przez nią danych.

Największe wycieki danych medycznych

- Takie incydenty zdarzają się na całym świecie – podkreślił Seweryn Dmowski. – Cztery lata temu w Stanach Zjednoczonych ujawniono dane 12 milionów pacjentów firmy Quest Diagnostics, w tym roku – 20 mln rekordów z zasobów amerykańskiej firmy 23andMe (USA, 2023) i również w tym roku – 815 mln rekordów Indian Council of Medical Research. Nie chodzi o to, by bagatelizować atak na ALAB, ale przypominamy, że to się zdarza. Co naturalnie nie zwalnia nas z konieczności zachowania czujności.

Reklama

Grupa ALAB jest jedną z największych sieci laboratoriów analitycznych w naszym kraju. W ciągu 23 lat powstało 670 punktów pobrań i 82 laboratoria. Mogą one wykonywać 3 500 rodzajów badań. Dziennie przyjmują 50 tysięcy pacjentów i przeprowadzają 200 tys. badań laboratoryjnych. Rocznie oznacza to 21 mln pacjentów i 60 mln analiz medycznych.

Wyciek danych z ALAB

  • 12 500 numerów PESEL

  • 6,5 GB danych medycznych

  • 4 GB danych firmowych

 

- ALAB przywiązuje ogromną wagę do cyberbezpieczeństwa – przekonywał Seweryn Dmowski. – Używa płatnych komercyjnych systemów IPS/IDS (Intrusion Prevention Systems/ Intrusion Detection Systems) zabezpieczających brzeg sieci korporacyjnej oraz płatnych komercyjnych systemów antywirusowych instalowanych na wszystkich serwerach oraz komputerach pracowników. Stosuje segmentację sieci na poziomie serwerów oraz pracowników. Wykorzystuje wielopoziomowe systemy backupowe (komercyjne oraz własnej produkcji) obejmujące regularny backup serwerów oraz danych znajdujących się na nich. Wprowadziliśmy urządzenia sieciowe w formie klastrów (duplikowane) oraz duplikację połączeń pomiędzy segmentami sieci, a także zautomatyzowane systemy do analizy logów z urządzeń brzegowych. Pracownikom ograniczono uprawnienia dostępowe do usług.

Reklama

Połączenia do placówek zamiejscowych oraz do klientów są zabezpieczone poprzez VPN (Virtual Private Network – wirtualną sieć prywatną). Dostęp do sieci firmowej z zewnątrz możliwy jest również wyłącznie za pomocą VPN. Prowadzone są okresowe szkolenia pracowników pod kątem bezpieczeństwa, zaś kwartalnie wydawany jest biuletyn bezpieczeństwa w formie e-mail. Całą dobę dyżurują administratorzy sieci. Poza tym zewnętrzna firma wykonuje regularne audyty bezpieczeństwa oraz skanowanie podatności.

Reklama

Na czym polegał atak hakerski na ALAB?

17 listopada 2023 roku – przestępcy umieścili skopiowane dane osobowe pacjentów w darknecie;

19 listopada – wykryto podejrzaną aktywność na serwerach ALAB. Rzeczywiście, tego dnia nastąpił atak hakerski

O godzinie 1.00 – Pierwsze oznaki ataku: problemy z dostępem do usług Microsoft Office 365; dział IT rozpoczął analizę problemu;

2.30 – Zawężenie usterki do kontrolerów domeny, zidentyfikowanie problemu z logowaniem, początek procedury odzyskania z backupu kontrolera domeny Active Directory (AD);

3.50 – Koniec procesu odzyskiwania kontrolera domeny z ostatniego backupu, przywrócenie poświadczeń i ponowne logowanie: pierwsze oznaki szyfrowanych plików, natychmiastowa decyzja działu IT o wyłączeniu serwerów opartych o domenę AD;

Reklama

4.00 – Alert dla wszystkich adminów, informacja o problemie z szyfrowaniem serwerów, awaryjne podjęcie pracy przez wszystkie osoby odpowiedzialne;

4.30 – Wyłączenie serwerów w każdej lokalizacji w Warszawie, rozpoczęcie procesu odzyskiwania zaszyfrowanych serwerów z kopii zapasowej;

5.06 – Kontakt z firmą CyberBlock zajmującą się analizą bezpieczeństwa sieci i prośba o pomoc;

8.00 – Nadzwyczajne spotkanie zarządu z Komitetem Bezpieczeństwa;

11.36 – Odczytanie listu hakerów z żądaniem okupu;

12.00 – Przywrócenie działania usługi Microsoft Office 365, kontynuacja odzyskiwania z kopii bezpieczeństwa zaszyfrowanych serwerów;

Reklama

20.00 – Spotkanie komitetu bezpieczeństwa z zarządem, omówienie bieżącej sytuacji oraz postępów w odzyskiwaniu serwerów;

20.43 – Ustalenie przez firmę CyberBlock, że doszło do wycieku danych, a hakerzy umieścili w darknecie próbkę wykradzionych danych;

23.00 – Potwierdzenie przez dział IT, że udostępniona przez hakerów próbka danych jest autentyczna.

25-26 listopada – Przywrócenie pełnej stabilności systemu informatycznego oraz bezpieczeństwa wszystkich serwerów;

26 listopada – Upublicznienie przez przestępców informacji o danych osobowych pacjentów zamieszczonych w darknecie.

Reklama

Reakcja ALAB na atak hakerski

- Ocena uszkodzeń w infrastrukturze firmy

- Odzyskiwanie serwerów z kopii zapasowej i przywracanie usług

- Analiza logów oraz poszukiwanie wektora ataku

- Kontakt z CERT Polska

- Kontakt z hakerami

- Skany serwerów i stacji roboczych zgodnie z zaleceniami CyberBlock

- Ograniczenie dostępu do internetu dla pracowników i serwerów

- Regularne spotkania oraz przekazywanie postępów prac zarządowi

- Zgłoszenie do UODO

- Zgłoszenie na Policję

- Kontakt z klientami oraz pacjentami

Reakcja ALAB na upublicznienie danych osobowych

21 listopada – Przesłano raport o naruszeniu do UODO, powiadomiono Policję i Centralne Biuro Zwalczania Cyberprzestępczości, skontaktowano się też z CERT w sprawie pomocy w audycie i analizie incydentu, a także z Rządowym Centrum Bezpieczeństwa, Ministerstwem Zdrowia i Centrum e-Zdrowia;

Reklama

22 listopada – Rozpoczęto proces informowania klientów, co do których istniało podejrzenie, że ich dane mogły zostać skopiowane;

27 listopada – Wydano komunikat o incydencie naruszenia bezpieczeństwa danych osobowych, rozpoczęto bezpośrednią komunikację z pacjentami w celu minimalizacji ryzyka wykorzystania ich danych osobowych;

27 listopada – Rozpoczęto segmentację klientów pod kątem zagrożenia skopiowaniem danych oraz bezpośrednią komunikację z klientami i pacjentami, wykupiono też 6-miesięczny alert Biura Informacji Kredytowej dla każdej osoby, której dane zostały udostępnione;

Reklama

28 listopada – Rozpoczęto powiadamianie klientów i pacjentów o możliwości sprawdzenia za pomocą serwisu bezpiecznedane.gov.pl, czy dane osobowe zostały upublicznione.

Pracownicy ALAB zareagowali na atak w prawidłowy sposób. Zarzucić im można jedynie zbyt późne powiadomienie poszkodowanych pacjentów.

Dane 200 tysięcy pacjentów zagrożone 

- W czasie listopadowego ataku przestępcy uzyskali dostęp do jednego z kilkudziesięciu serwerów zawierających dane medyczne – ujawnił Seweryn Dmowski. – W najgorszym scenariuszu upublicznieniem danych osobowych i wyników badań laboratoryjnych zagrożonych jest łącznie około 200 tys. pacjentów. Wszystkie potencjalnie zagrożone placówki zostały powiadomione, przygotowaliśmy procedurę reagowania kryzysowego, która zostanie uruchomiona natychmiast w przypadku udostępnienia kolejnej partii danych. Ale większość skopiowanych danych stanowią dane korporacyjne, które nie zawierają danych osobowych pacjentów.

Reklama

Ryzyko upublicznienia danych

  • 187 500 numerów PESEL
  • 44,5 GB danych medycznych
  • 190 GB danych firmowych

 

- Nie negocjujemy z terrorystami – podkreślił Maciej Hipsz, członek zarządu ALAB. – Nie zapłacimy żadnego okupu. Nie ukrywamy faktu wystąpienia incydentu ani jego skali. Od początku dążymy do otwartego i transparentnego informowania opinii publicznej na temat tego kryzysu. Informujemy też, że zachowaliśmy zdolność operacyjną firmy w obszarach kluczowych dla ratowania ludzkiego życia.

 

- Współpracujemy ze wszystkimi właściwymi instytucjami państwowymi i stosujemy się do ich zaleceń. Posiłkujemy się wiedzą i doświadczeniem zewnętrznych ekspertów.  Nieustannie wzmacniamy bezpieczeństwo naszych systemów teleinformatycznych – dodał Tomasz Łaszkiewicz, dyrektor generalny, prokurent ALAB.

--

Mieczysław T. Starkowski

Obserwuj nas na Obserwuje nas na Google NewsGoogle News

Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!

Reklama

Komentarze opinie

  • Awatar użytkownika
    Stelar - niezalogowany 2023-12-08 12:21:56

    ????????????

    odpowiedz
    • Zgłoś wpis

Podziel się swoją opinią

Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.


Reklama
Reklama
Najnowsze wiadomości