Wyciek danych z ALAB Laboratoria - największy wyciek danych medycznych

Jak wyglądają szczegóły wycieku z ALAB? Dlaczego dane medyczne to łakomy kąsek dla cyberprzestępców? W jaki sposób zabezpieczyć placówkę przed oprogramowaniem ransomware i innymi cyberzagrożeniami? Sprawdź!

W listopadzie 2023 roku miał miejsce wyciek danych z ogólnopolskiej sieci laboratoriów medycznych ALAB Laboratoria, uznawany za największy wyciek danych medycznych w Polsce. Hakerzy przejęli ogromną ilość danych pacjentów i firmy, opublikowali część z nich i zażądali okupu w zamian za nieupublicznienie reszty pozyskanych informacji.

Za włamaniem i kradzieżą stoi grupa hakerska RA World, która specjalizuje się w atakach z wykorzystaniem oprogramowania ransomware. 19 listopada 2023 roku przestępcy przypuścili udany atak na jeden z serwerów należących do ALAB Laboratoria. Przechwycili informacje i zaszyfrowali zawartość serwera. Przyczyny wycieku z ALAB nie są jeszcze znane, firma odmówiła komentarza w tej sprawie. Eksperci zakładają, że najprawdopodobniej cała sytuacja wynikła z błędu jednego z pracowników albo niedostatecznego zabezpieczenia serwerów.

Okazało się, że skala wycieku jest dużo większa, niż pierwotnie zakładano. Hakerzy przejęli około 200 tysięcy danych pacjentów z lat 2017-2023 (w tym imiona i nazwiska, adresy, numery PESEL, informacje o badaniach i wynikach), a także około 190 GB danych firmowych ALAB Laboratoria.

Co z pozyskanymi informacjami zrobili cyberprzestępcy? Na początku opublikowali w sieci około 10% danych pacjentów i około 4 GB danych spółki, żeby udowodnić, że atak rzeczywiście okazał się skuteczny. Następnie zażądali okupu (według nieoficjalnych danych mowa o kwocie wynoszącej kilkaset tysięcy dolarów). Zagrozili, że w przypadku nieotrzymania pieniędzy upublicznią resztę informacji i usuną zawartość serwera ALAB. Jako ostateczny termin zapłaty okupu wyznaczyli 31 grudnia 2023 roku.

Spółce ALAB przygląda się teraz Rzecznik Praw Pacjenta, który bada potencjalne naruszenie praw osób korzystających z usług laboratoriów. Poza tym prezes Urzędu Ochrony Danych Osobowych sprawdza, w jakich okolicznościach doszło do wycieku i czy ALAB podjęło odpowiednie kroki w trakcie kryzysu.

To, że hakerzy wzięli na celownik ALAB, wcale nie dziwi. Dane medyczne stanowią łakomy kąsek dla cyberprzestępców. Z jakich powodów? Przede wszystkim chodzi o pieniądze uzyskane ze sprzedaży takich informacji. Kartoteki pacjentów mają ogromną wartość na czarnym rynku. Mogą być wykorzystywane na przykład do: oszustw ubezpieczeniowych, kradzieży tożsamości, fałszowania faktur medycznych, szpiegostwa przemysłowego. Korzystają z nich też organizacje medyczne, by wykonywać badania, rozwijać nowe leki lub przeprowadzać analizy statystyczne.

Według raportu Fierce Healthcare koszt nielegalnie pozyskanych danych dostępowych do konta społecznościowego jednej osoby wynosi średnio 1 dolara. Z kolei dane medyczne należące do jednego pacjenta kosztują około 1 tys. dolarów! Co ważne, hasła czy numery kart bankowych, które wyciekły, można łatwo zmienić na nowe. Natomiast informacji medycznych zmienić się nie da.

Hakerzy kradną dane medyczne również po to, by wyłudzić okup, tak jak miało to miejsce w przypadku ALAB Laboratoria. Przestępcy atakują systemy IT za pomocą oprogramowania ransomware, które szyfruje napotkane dane. Następnie domagają się sporej kwoty w zamian za ich odszyfrowanie. Poza tym często straszą ofiarę opublikowaniem pozyskanych informacji w sieci, jeśli ta nie uiści okupu.

Motywację hakerów do kradzieży danych pacjentów stanowi też fakt, że placówki medyczne zazwyczaj nie są wystarczająco dobrze chronione w sieci. Często nie mogą sobie one pozwolić na taki poziom zabezpieczeń jak w innych branżach. Czasy pandemii wymusiły przyspieszoną digitalizację i komputeryzację, co nie zawsze idzie w parze z jakością cyberochrony. W infrastrukturze IT placówek widnieją luki, stosowane rozwiązania okazują się przestarzałe. Cyberprzestępcy nie muszą się zbytnio wysilać, żeby pozyskać interesujące ich dane.

Co zrobić, by ustrzec się przed losem, jaki spotkał ALAB Laboratoria? Żadne zabezpieczenia nie dają stuprocentowej gwarancji uniknięcia ataku. Jednak można podjąć działania, które znacznie zminimalizują prawdopodobieństwo wystąpienia incydentu. Pierwszym krokiem powinna być diagnoza ryzyka, czyli analiza stanu infrastruktury IT placówki, stosowanych procedur czy zgodności z regulacjami.

Kompleksową diagnozę bezpieczeństwa IT można przeprowadzić bezpłatnie, wykonując stworzony przez Sagenso audyt Telescope. Każda placówka medyczna z łatwością przejdzie przez wszystkie kroki samodzielnie, bez konieczności posiadania zaawansowanej wiedzy na temat cyberbezpieczeństwa. Po zakończeniu audytu otrzyma przejrzysty raport z zestawem wskazówek i rekomendacji. Takie informacje pomogą zaplanować dalszą strategię poprawy poziomu zabezpieczeń, żeby placówka stała się bardziej odporna na ataki ransomware i inne działania hakerów.

Materiał powstał we współpracy z Sagenso.

Sagenso Sp. z o.o. realizuje projekt „Opracowanie i walidacja opartego na sztucznej inteligencji systemu do ochrony przed złośliwym oprogramowaniem typu ransomware” POIR.01.01.01-00-0228/22 współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój, realizowany w ramach konkursu Narodowego Centrum Badań i Rozwoju: „Szybka Ścieżka – Innowacje Cyfrowe”.