– W pierwszej chwili pomyślałam, że może chodzi o wezwanie na bezpłatną cytologię, wszak od ostatniego badania w ramach NFZ minęło u mnie 4 lata, ale to, co przeczytałam, wbiło mnie w osłupienie – pisze do nas oburzona Czytelniczka, która – podobnie jak wielu innych mieszkańców – dostała w ostatnim czasie list od CDT „Medicus”. Placówka zawiadamia w nim o naruszeniu ochrony danych osobowych swoich pacjentów, co ma mieć bezpośredni związek z cyberatakiem, odnotowanym 16 grudnia zeszłego roku. Dlaczego zatem sprawa ujrzała światło dzienne dopiero kilka miesięcy później?
Na naszą skrzynkę mailową wpłynęło kilka wiadomości od Czytelników, którzy otrzymali wspomniane zawiadomienia od Medicusa, dotyczące naruszenia ochrony danych osobowych.
– Po przeczytaniu treści listu okazało się, że 16 grudnia 2023 r. miał miejsce atak hakerski na serwery tejże placówki medycznej, w związku z czym ujawniono dane pacjentów, w tym imiona, nazwiska, numery pesel oraz historię choroby – opisuje oburzona pacjentka.
Kobieta sprawę nagłośniła na jednej z popularnych lubińskich grup facebookowych, a odzew po publikacji był – jak twierdzi – przeogromny i do tej pory kontaktują się z nią pokrzywdzone osoby. Obawia się również ewentualnych konsekwencji, w razie gdyby ktoś postanowiłby posłużyć się jej danymi w złej wierze. Na przykład biorąc kredyt lub oszukując inną osobę.
– Rozumiem, że świat teraz taki jest, że cyberataki to chleb powszedni, więc tym bardziej nad naszym bezpieczeństwem powinien czuwać ktoś, kto wie jak to robić. Podstawa prawna wskazuje, iż wystarczy uzasadniona obawa przez użyciem danych przez osoby postronne, by uzyskać jakąkolwiek kwotę zadośćuczynienia/odszkodowania. Nie musi też przecież dojść do powzięcia kredytu na nasze dane, ale mogą one posłużyć np. do założenia fejkowego konta na facebooku, olx. Ktoś, mając nasze dane, może od innych wyłudzać pieniądze, tworzyć fałszywe zrzutki, mając do dyspozycji historię medyczną. Proszę sobie wyobrazić, że co chwilę mam też połączenia na whats up z zagranicznych numerów, których numery kierunkowe należą np do Brazylii, Malezji, Ghany. Zawsze od razu blokuję i zgłaszam whats up takie połączenia – kontynuuje Czytelniczka.
Zwraca też uwagę na to, że zawiadomienie otrzymała w maju tego roku, podczas gdy kradzież danych miała miejsce w połowie grudnia zeszłego roku.
– Gdzie zatem przez ostatnie 6 miesięcy byli ludzie odpowiedzialni za dopuszczenie do wycieku danych? – pyta retorycznie.
Na potwierdzenie swoich słów Czytelniczka dołączyła też skan otrzymanego pisma (załączone pod artykułem). Placówka wyjaśnia w nim, co dokładnie się wydarzyło, opisuje podjęte przez nią działania, możliwe konsekwencje oraz informuje, w jaki sposób można się zabezpieczyć przed negatywnymi skutkami.
– W dniu 16 grudnia 2023 r. odnotowaliśmy nieuprawniony dostęp do zasobów informatycznych CDT Medicus polegający na przełamaniu przez grupę cyberprzestępców stosowanych przez CDT Medicus zabezpieczeń. Niezwłocznie po identyfikacji incydentu, zablokowaliśmy atakującym dostęp do zasobów i rozpoczęliśmy szereg działań zmierzających do zabezpieczenia dowodów i wyjaśnienia zdarzenia, w tym do ustalenia do jakich danych atakujący mogli uzyskać dostęp – czytamy w pierwszych zdaniach dokumentu.
Placówka choć potwierdza, że do próby ataku doszło, to jednocześnie zapewnia, że systemy ochronne zadziałały należycie, przez co dostęp do jej zasobów został zablokowany.
Postanowiliśmy dodatkowo zapytać przedstawicieli spółki o kwestie, o których nie było mowy w rozsyłanych zawiadomieniach. Szczególnie interesowało nas, z czego wynika opisana wcześniej kilkumiesięczna rozbieżność czasowa między odnotowaniem cyberataku, a powiadomieniem o tym fakcie zainteresowanych osób.
Gdy tylko wykryliśmy próbę ataku cyberprzestępców, niezwłocznie go powstrzymaliśmy i zablokowaliśmy dostęp do naszych zasobów informatycznych. Niezwłocznie złożyliśmy zawiadomienie na policji o popełnieniu przestępstwa, powiadomiliśmy NASK CSIRT oraz Prezesa Urzędu Ochrony Danych Osobowych. Naszym priorytetem było zachowanie ciągłości obsługi naszych pacjentów. Różnica w czasie pomiędzy stwierdzeniem naruszenia, a zawiadomieniem o zdarzeniu, wynika przede wszystkim z kwestii konieczności ustalenia zakresu i skali zdarzenia. Po zablokowaniu dostępu do zasobów w związku z cyberatakiem, podjęto szereg działań mających na celu ustalenie przyczyn zdarzenia, wdrożenie dodatkowych zabezpieczeń, a także ustalenie do jakich dokładnie danych atakujący mogli uzyskać dostęp przełamując istniejące zabezpieczenia. Analiza wykazała, iż dostęp ograniczył się do zasobów, na których przechowywane były pliki i dokumenty w nieustrukturyzowanej formie, co wiązało się z manualną weryfikacją każdego pojedynczego pliku (obrazując dokładniej – koniecznością otworzenia pliku, przejrzenia jego zawartości oraz weryfikacji zakresu danych w nim zawartego).
Pomimo najwyższego priorytetu zadania oraz dołożenia wszelkiej staranności w realizacji, działanie okazało się procesem długotrwałym, lecz niezbędnym do ustalenia listy osób koniecznych do zawiadomienia.
Przeprowadziliśmy wewnętrzne i zewnętrzne audyty, na podstawie, których wiemy że nasza główna baza z danymi medycznymi nie została naruszona. Jednocześnie od dnia zdarzenia stale monitorujemy sieć pod kątem naruszenia naszych zasobów.
– wyjaśniają przedstawiciele CDT Medicus.
Poprosiliśmy też o podanie liczby osób, których dane osobowe mogą być zagrożone.
O wycieku danych i ich zagrożeniu mówimy, gdy dane osobowe zostaną upublicznione. Nadmieniamy, że baza z danymi medycznymi nie została naruszona, atakujący mieli dostęp tylko do ograniczonego zakresu danych przechowywanych na naszych zasobach sieciowych i takie osoby otrzymały zawiadomienia z instrukcją postępowania prewencyjnego.
Chcemy także uspokoić i wyjaśnić osobom, które aktualnie otrzymują zawiadomienia, że nie mamy wiedzy o tym, że ich dane osobowe zostały opublikowane. Z daleko posuniętej ostrożności i odpowiedzialności informacja o zdarzeniu jest dystrybuowana do wszystkich osób, których dane znajdowały się na zasobach, do których cyberprzestępcy uzyskali dostęp.
– odpowiada spółka.
Dodajmy, że CDT Medicus w związku z zaistniałą sytuacją udostępnia kod do uruchomienia usługi ochrony przed wyłudzeniami w ramach Biura Informacji Kredytowej (BIK) – usługa Alert BIK na okres 12 miesięcy. W przypadku chęci skorzystania z takiej możliwości, należy skontaktować się na podane w zawiadomieniu dane.
