ALAB… to jeszcze nie koniec!

Pod koniec grudnia, tuż przed Świętami A.D. 2023, hakerzy opublikowali kolejny zbiór danych zawierających ponad 200 tys. pozycji dotyczących tym razem informacji o pracownikach i współpracownikach Alab Labolatoria. Jest to najgłośniejszy od lat na rodzimym rynku atak na systemy przedsiębiorstwa, skutkujący kradzieżą danych i żądaniem okupu za ich nieujawnianie. Warto wrócić do niego, gdyż przypadek ten jest lekcją „do odrobienia” nie tylko dla podmiotów medycznych, ale również dla innych branż, a przy tym posiada walor edukacyjny w kontekście działania ubezpieczeń cyber. Przeanalizujmy zatem – na podstawie dostępnych informacji – krok po kroku scenariusz tego incydentu i spójrzmy, na jakim etapie i w jakim zakresie zadziałać mogłaby ochrona z takiej polisy.

RA World w akcji

Według pokrzywdzonego w dniu 19 listopada br. zaobserwowano próbę zmasowanego ataku na serwery spółki. Nie zostało podane do publicznej wiadomości, jakim rodzajem ataku posłużyli się przestępcy, stąd też krążące w sieci informacje, jakoby był to najczęściej stosowany atak typu ransomware, skutkujący zaszyfrowaniem danych, nie zostały potwierdzone. Efektem przeprowadzonego ataku było uzyskanie dostępu do zasobów cyfrowych i pobranie z nich dwóch baz danych (łącznie 246 GB), na które składają się dane operacyjne ALAB (m.in. umowy najmu, polisy, akty notarialne) oraz medyczne dotyczące wyników badań kilkuset tysięcy pacjentów wraz z danymi osobowymi jak imię i nazwisko, PESEL czy adres zamieszkania. Na skutek pozyskanych w ten sposób danych grupa hakerska RA World zastosowała wobec ALAB szantaż, polegający na żądaniu okupu w zamian za nieupublicznienie posiadanych danych, na co nie zgodził się zarząd spółki.

ALAB w defensywie

W pierwszym kroku, po uzyskaniu obiektywnej wiedzy o próbie ataku i możliwości uzyskania dostępu do danych przez podmiot nieuprawniony, ALAB wszczął procedurę zarządzania cyberincydentem. W tym celu powołał zespół ekspercki, który dokonał następujących czynności:

• przeanalizował ryzyko incydentu zgodnie z rekomendacjami ENISA (Agencja UE ds. Bezpieczeństwa Sieci i Informacji) i oszacował je jako wysokie,
• wdrożył awaryjne procedury bezpieczeństwa i komunikacji zmierzające do ograniczenia skutków ataku oraz ustalenia zakresu ewentualnych szkód,
• poinformował administratorów danych (placówki medyczne, na rzecz których ALAB świadczył usługi diagnostyczne) o incydencie i możliwych skutkach dla tych podmiotów,
• zgłosił naruszenie do Urzędu Ochrony Danych Osobowych oraz poinformował uprawnione instytucje, tj. CERT, Ministerstwo Zdrowia, Centrum E-Zdrowia,
• złożył zawiadomienie o możliwości popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości,
• wdrożył procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz monitoringu sieci pod tym kątem,
• sporządził analizę możliwych negatywnych konsekwencji incydentu dla klientów i partnerów spółki wraz z rekomendacją podjęcia określonych działań.

Wszystkie powyższe aktywności podjęte przez ALAB mieszczą się w katalogu czynności objętych ochroną ubezpieczenia cyber w zakresie klauzuli pokrycia kosztów reakcji i zarządzania kryzysowego na skutek naruszenia bezpieczeństwa informacji, do których należy zaliczyć – poza powyższym – również:

• koszty poinformowania osób, których dane zostały naruszone, w tym koszty druku, wysyłki, publikacji, powiadomienia przez telefon lub e-mail, włącznie z kosztami utrzymania call center,
• koszty utrzymania zaufania klientów poprzez bieżący monitoring danych, które uległy wykradzeniu, sporządzania raportów i analiz, zabezpieczenia danych klientów przez uprawnione podmioty władzy publicznej lub właściwe agencje i organizacje,
• koszty usług public relations, mające na celu zarządzanie kryzysem reputacyjnym i minimalizację szkód na wizerunku zarówno w mediach, jak i całościowo jako marką.

Pokrzywdzeni i podmioty uprawnione dopiero się rozkręcają

Według doniesień prasowych, 11 grudnia br. rozpoczęła się w ALAB kontrola Urzędu Ochrony Danych Osobowych pod kątem zaistniałego incydentu. Zakończy się ona wydaniem decyzji administracyjnej oraz zastosowaniem ewentualnych środków przewidzianych art. 58 ust. 2 i art. 83 RODO, w tym administracyjnej kary pieniężnej, których zakresu nie jesteśmy w stanie teraz przewidzieć. W tym obszarze polisa cyber może zrefundować wartość poniesionych wydatków związanych z:

• kosztami obrony w postępowaniu administracyjnym, w tym zaskarżeniem decyzji,
• nałożoną w postępowaniu administracyjną karą pieniężną.

Jeśli chodzi o administratorów danych (placówki medyczne), na zlecenie których ALAB przeprowadzał badania diagnostyczne pacjentów, mogą oni w razie poniesienia kosztów wynikających bezpośrednio z incydentu (np. obsługa zapytań lub roszczeń od pacjentów, koszty ich powiadomienia, koszty analiz, ekspertyz i opinii prawnych) wystąpić z roszczeniem do ALAB o naprawienie szkody w tym zakresie. Polisa cyber pokryłaby wówczas:

• koszty obrony przed roszczeniami lub koszty mediacji i ugody,
• wartość zasądzonych lub ustalonych w drodze ugody odszkodowań.

Pacjenci, których dane zostały pozyskane na skutek incydentu, zostali narażeni na szereg potencjalnych szkód i najmniejszym zmartwieniem dla ALAB-u powinny tu być roszczenia o naruszenie danych osobowych. Zakres wykradzionych danych umożliwia ich wykorzystanie w celu m.in. zaciągnięcia kredytów i pożyczek w instytucjach pozabankowych, zwłaszcza w kanałach zdalnych (online i telefon), wyłudzenia środków z ubezpieczenia, uzyskania dostępu do korzystania z usług zdrowotnych czy zarejestrowanie karty telefonicznej (prepaid), która może posłużyć do celów przestępczych. Rozmiar i zakres szkód, jakie mogą z tego wyniknąć dla osoby, których danymi się posłużono, można oszacować jako wysokie. Ewentualne roszczenia z tego tytułu, jakie wpłyną do ALAB-u, mogłyby zostać objęte ochroną umowy cyber w zakresie:

• kosztów obrony przed roszczeniami lub koszty mediacji i ugody,
• wartością zasądzonych lub ustalonych w drodze ugody odszkodowań.

To jak to jest z tym okupem?

Osobnym tematem jest rozstrzygnięcie kwestii okupu lub – bardziej ubezpieczeniowo – „cyberwymuszenia”, które często jest elementem (ukrytym celem) ataków przeprowadzanych przez grupy hakerskie. Dla celów porządkowych stwierdzić należy, że szantaż, jak i żądanie okupu, są przestępstwem penalizowanym na gruncie przepisów kodeksu karnego. Tyle w teorii, ponieważ praktyka, szczególnie w zakresie szkód cyber, pokazuje, że poniesienie kosztu okupu jest często nie tylko najtańszym środkiem zminimalizowania rozmiarów incydentu, ale również najszybszym w kontekście przywrócenia dostępu do zasobów cyfrowych i wznowienia działalności przedsiębiorcy.

Oczywiście możliwość jego opłacenia jest wyłącznie w gestii pokrzywdzonego i powinno to nastąpić po gruntownej analizie okoliczności incydentu oraz możliwych scenariuszy i konsekwencji dla wszystkich stron tego zdarzenia. Ubezpieczyciel w ramach klauzuli cyberwymuszeń zastrzega sobie prawo do decyzji o refundacji środków, jakie ubezpieczony poniósł w tym zakresie, o ile takie działanie obiektywnie ogranicza rozmiar i skutki szkody zarówno w obszarze ekonomicznym, jak i prawnym.

Podsumowanie

Powyższy przypadek w sposób namacalny potwierdza dane publikowane przez niezależne instytucje w corocznych raportach o stanie cyberbezpieczeństwa w Polsce. Sektor zdrowia, obok branży finansowej i administracji publicznej, jest najczęstszym celem działań grup hakerskich oraz jednym z najbardziej narażonych, jeśli chodzi o ataki oparte o złośliwe oprogramowanie,  w tym ransomware. Wrażliwość danych przechowywanych i przetwarzanych przez duże i średnie podmioty lecznicze, ale również przez samych lekarzy w prywatnych gabinetach tworzy wysokie ryzyko ich wycieku lub kradzieży, a co za tym idzie roszczeń i konsekwencji prawnych, które porównać można z konsekwencjami błędów medycznych.