Jak nieoficjalnie dowiedziała się "Rzeczpospolita", kontrola Urzędu Danych Osobowych (UODO) w ALAB-ie jest raczej nieunikniona. "Z dużym prawdopodobieństwem może zakończyć się nałożeniem kary pieniężnej" - czytamy w dzienniku. Na razie UODO czeka na dokładniejsze wyjaśnienia od ALAB-u, który bada sprawę wspólnie z firmą zewnętrzną. Spółka zobowiązała się też, że do końca stycznia 2024 r. uzupełni wyjaśnienia, które tuż po ataku hakerskim przesłała do UODO.
Czy ALAB dopełnił wszystkich obowiązków jako administrator danych?
Wiceprezes UODO Jakub Groszkowski w rozmowie z dziennikiem zauważa, że problemem jest nie tyle fakt, że doszło do ataku hakerskiego - bo przed doświadczonymi cyberprzestępcami praktycznie żaden system nie może się w stu procentach zabezpieczyć - ale to, że administrator mógł w ogóle nie być świadomy tego, że dane pacjentów są pobierane.
W sytuacjach jak ta, która miała miejsce w ALAB-ie, UODO może badać, czy firma przeprowadzała ocenę ryzyka przed zdarzeniem i jakie z tej oceny wyciągnęła wnioski, jakie działania zaplanowała i czy je wdrożyła, a także to, czy testowała odporność swoich systemów na zagrożenia ze strony cyberprzestępców.
Jakie kary za ewentualne zaniedbania?
Kara za zaniedbanie może wynieść do 4 proc. rocznego obrotu lub do 20 mln euro. Być może na skierowanie do sądów pozwów cywilnych przeciwko spółce zdecydują się też same osoby, których dane wyciekły. Prawnicy cytowani przez dziennik tłumaczą, że w postępowaniu sądowym będą one jednak musiały wykazać, że na skutek wycieku danych - o ile był on wynikiem zaniechań ze strony firmy - doszło do szkody majątkowej lub niemajątkowej.
O wycieku danych z firmy ALAB Laboratoria, świadczącej usługi z zakresu diagnostyki medycznej, zaczęło być głośno 27 listopada. Początkowo donosiły o nim media, a później sam ALAB potwierdził, że 19 listopada doszło do zmasowanego ataku na serwery firmy, w rezultacie którego wyciekły dane pacjentów, którzy w latach 2017-2023 korzystali z usług tej spółki. Dane te to nie tylko wyniki badań medycznych - co już samo w sobie jest poważną sprawą - ale też przypisane do nazwisk pacjentów numery PESEL i dokładne adresy. To z kolei stwarza realne ryzyko, że tymi danymi ktoś będzie chciał się posłużyć, by np. zaciągnąć na daną osobę pożyczkę w parabanku.
Ataku na ALAB dokonała grupa cyberprzestępcza z wykorzystaniem oprogramowania szyfrującego - ransomware. Ujawniła ona w internecie część wykradzionych danych i zagroziła, że opublikuje je wszystkie, jeżeli nie dostanie okupu.
Zobacz również:
Skala ataku może okazać się bezprecedensowa - z ustaleń "Rzeczpospolitej" wynika, że poszkodowanych może być więcej niż 30 tys. osób, o których mówiły początkowe szacunki. Prawdopodobnie problem dotyczy też nie tylko pacjentów z trzech placówek zlokalizowanych w Warszawie i okolicy, a także Łodzi, które zlecały ALAB-owi badania (na to wskazywały nieoficjalne informacje pojawiające się w sieci). Próbki do badań wysyłały ALAB-owi przychodnie państwowe i prywatne w całej Polsce. Dziennik przypomina, że z usług ALAB-u korzystał też warszawski szpital MSWiA, w którym leczą się politycy i urzędnicy państwowi.
