Dane w niebezpieczeństwie

W ostatnich tygodniach opinię publiczną obiegła informacja o rozległym wycieku danych (w tym tzw. danych wrażliwych) z jednej z największych polskich sieci laboratoriów medycznych – ALAB laboratoria sp. z o.o. 

Wedle informacji prasowych upublicznione zostały dane kilkudziesięciu tysięcy Polaków, jednak przestępcy mogą być w posiadaniu danych znacznie większej ilości osób. Wyciek był wynikiem ataku typu ransomware, zorganizowanego przez międzynarodową grupę hakerów, a przestępcy mieli chcieć żądać okupu. 

Ransomware, czyli co?

Ransomware jest typem złośliwego oprogramowania, które ma na celu wymuszenie zapłaty okupu w zamian za odblokowanie plików, przywrócenia sprawności urządzenia bądź (w przypadku ataków na firmy) niepublikowania danych osobowych klientów i pracowników lub poufnych informacji handlowych (kontraktów, zamówień, planów na działalność itp.). Ransomware „dostaje się” do komputera użytkownika poprzez wykonanie interakcji z jego strony, np. kliknięcie w link w wiadomości e-mail, pobranie programu komputerowego z niezaufanego źródła, kliknięcie w reklamę która przekieruje nas na niebezpieczną stronę. 

Nie-klienci ALAB również narażeni

Nawet jeśli nie byliście nigdy klientami tej sieci laboratoriów, wasze dane mogły zostać objęte wyciekiem. Wystarczy, że przychodnia lub szpital, w którym wykonywaliście badania, ma podpisaną umowę z ALAB jako podwykonawcą. W taki sposób ALAB przetwarzał dane wielu osób, które mogą nie być w pełni świadome, że są w „grupie ryzyka” szeregu niebezpieczeństw związanych z wyciekiem danych osobowych. Warto mieć na uwadze, że wyciek dotyczył tzw. danych wrażliwych (w RODO nazywanych szczególnymi kategoriami danych), czyli danych dotyczących zdrowia. W dokumentach znalazły się również inne dane, takie jak imię i nazwisko, nr PESEL, adres zamieszkania, nazwę podmiotu zlecającego badania, daty i godziny zlecenia oraz wykonania badania, numer badania w systemie ALAB. 

Możliwe konsekwencje 

Potencjalne konsekwencje wycieku danych mogą być bardzo dotkliwe: próba wykorzystania danych do uzyskania kredytu/pożyczki w instytucjach pozabankowych, zarejestrowania na nasze dane karty SIM i wykorzystanie jej do popełnienia przestępstwa, podszywanie się. Natomiast konsekwencje grożą nie tylko osobom, których dane zostały wykradzione. ALAB może otrzymać karę nawet  do 20 milionów euro lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (górny limit kary wyznacza ta z kwot, która jest wyższa). 

Co możesz zrobić, gdy padniesz ofiarą wycieku danych osobowych?

Warto zweryfikować, czy nasze dane zostały objęte wyciekiem i upublicznieniem. Specjaliści z Ministerstwa Cyfryzacji przygotowali specjalną stronę internetową https://bezpiecznedane.gov.pl/ na której po zalogowaniu się możesz zweryfikować, czy twoje dane zostały ujawnione w tym lub innych wyciekach danych. Warto również rozważyć wykupienie dostępu do alertów Biura Informacji Kredytowej albo zwrócenie się do BIK o kopię przetwarzanych przez nich danych osobowych. Druga z opcji jest darmowa, natomiast nie gwarantuje alertów ani powiadomień gdyby w późniejszym czasie w bazie pojawiły się nowe zadłużenia. Jeśli wskutek wycieku danych doznamy szkody majątkowej bądź niemajątkowej (np. związanej z naruszeniem dóbr osobistych) możemy dochodzić roszczeń wobec Administratora danych na drodze cywilnoprawnej. Natomiast niezależnie od tego, czy nasze dane były objęte wyciekiem, warto jest zastrzec swój numer PESEL. 

Zastrzeżony PESEL

W ostatnim czasie, w ramach cyfryzacji polskiej administracji powstała możliwość zastrzeżenia numeru PESEL, m.in. w celu ochrony Polaków przed negatywnymi konsekwencjami wycieku danych. Już od 1 czerwca 2024 r. instytucje finansowe (w niektórych przypadkach również operatorzy telekomunikacyjni i notariusze) przed zawarciem umowy o kredyt, pożyczkę, leasing, otwarcie konta, modyfikację już istniejącej umowy itd. będą zobowiązane do zweryfikowania czy dany nr PESEL nie jest zastrzeżony. W przypadku zastrzeżenia numeru PESEL umowa nie będzie mogła być zawarta. Zastrzeżenie numeru PESEL można w każdej chwili cofnąć, np. wtedy kiedy faktycznie będziemy chcieli zawrzeć umowę kredytu. Zastrzeżenie swojego numeru PESEL nie niesie za sobą żadnych negatywnych konsekwencji, nie wpływa na możliwość zapisania się do lekarza czy wizyty w urzędzie, więc mimo tego że do pełnego funkcjonowania zastrzeżonych PESELi zostało jeszcze pół roku warto to zrobić już teraz. Możesz to zrobić za pomocą Profilu zaufanego lub w aplikacji mObywatel.

Na rybach też nie jest bezpieczniePhishing, pochodzący etymologicznie od słowa fishing (z ang. wędkowanie) oznacza przestępny sposób pozyskania danych osobowych, uzyskania dostępu do konta lub zainstalowania złośliwego oprogramowania przy użyciu socjotechnik, czyli wpływania na ludzką psychikę. Przykładem phishingu może być wiadomość e-mail w której ktoś podszywa się pod twojego współpracownika lub SMS z linkiem wzywający do dopłaty kilku złotych do rachunku za prąd. Takie wycieki danych są równie niebezpieczne co opisywany wyciek ALAB, a w najgorszych przypadkach mogą zakończyć się np. podaniem cyberprzestępcom danych do swojego konta bankowego. Gdy nie jesteśmy pewni, czy wiadomość jest autentyczna warto zweryfikować ją u źródła, np. dzwoniąc do osoby lub na infolinię instytucji będącej jej rzekomym adresatem. Wzbudzające wzmożoną ostrożność powinny być wiadomości zawierające linki i odnośniki (przestrzegam przed ich otwieraniem!), presja czasowa (np. informacja, że w przypadku braku w wpłaty w ciągu 24h odcięta zostanie dostawa energii elektrycznej), obietnice podarowania gotówki lub szybkiego zysku z inwestycji na giełdzie. Jeśli wiadomość brzmi zbyt dobrze żeby była prawdziwa, oznacza to, że nie jest prawdziwa. Podejrzane wiadomości można zgłaszać (bezpośrednio je przesyłając) poprzez stronę internetową CERT Polska lub na numer telefonu 8080. Polecam zapisać ten numer w kontaktach, by w razie otrzymania podejrzanej wiadomości móc ją niezwłocznie przesłać. Im szybciej dokonane zostanie zgłoszenie, tym szybciej strona internetowa będzie mogła zostać dodana do stron niebezpiecznych, do których dostęp będzie „blokowany” przez dostawcę Internetu, co pomoże uniknąć oszukania innych osób, w tym np. seniorów.