Podmioty lecznicze i gabinety lekarskie na celowniku hakerów. Czego uczy nas przypadek ALAB Labolatoria?

ALAB… to jeszcze nie koniec!

Pod koniec grudnia, tuż przed Świętami A.D. 2023, hakerzy opublikowali kolejny zbiór danych zawierających ponad 200 tys. pozycji dotyczących tym razem informacji o pracownikach i współpracownikach Alab Labolatoria. Jest to najgłośniejszy od lat na rodzimym rynku atak na systemy przedsiębiorstwa, skutkujący kradzieżą danych i żądaniem okupu za ich nieujawnianie. Warto wrócić do niego, gdyż przypadek ten jest lekcją „do odrobienia” nie tylko dla podmiotów medycznych, ale również dla innych branż, a przy tym posiada walor edukacyjny w kontekście działania ubezpieczeń cyber. Przeanalizujmy zatem – na podstawie dostępnych informacji – krok po kroku scenariusz tego incydentu i spójrzmy, na jakim etapie i w jakim zakresie zadziałać mogłaby ochrona z takiej polisy.

RA World w akcji

Według pokrzywdzonego w dniu 19 listopada br. zaobserwowano próbę zmasowanego ataku na serwery spółki. Nie zostało podane do publicznej wiadomości, jakim rodzajem ataku posłużyli się przestępcy, stąd też krążące w sieci informacje, jakoby był to najczęściej stosowany atak typu ransomware, skutkujący zaszyfrowaniem danych, nie zostały potwierdzone. Efektem przeprowadzonego ataku było uzyskanie dostępu do zasobów cyfrowych i pobranie z nich dwóch baz danych (łącznie 246 GB), na które składają się dane operacyjne ALAB (m.in. umowy najmu, polisy, akty notarialne) oraz medyczne dotyczące wyników badań kilkuset tysięcy pacjentów wraz z danymi osobowymi jak imię i nazwisko, PESEL czy adres zamieszkania. Na skutek pozyskanych w ten sposób danych grupa hakerska RA World zastosowała wobec ALAB szantaż, polegający na żądaniu okupu w zamian za nieupublicznienie posiadanych danych, na co nie zgodził się zarząd spółki.

ALAB w defensywie

W pierwszym kroku, po uzyskaniu obiektywnej wiedzy o próbie ataku i możliwości uzyskania dostępu do danych przez podmiot nieuprawniony, ALAB wszczął procedurę zarządzania cyberincydentem. W tym celu powołał zespół ekspercki, który dokonał następujących czynności:

• przeanalizował ryzyko incydentu zgodnie z rekomendacjami ENISA (Agencja UE ds. Bezpieczeństwa Sieci i Informacji) i oszacował je jako wysokie,
• wdrożył awaryjne procedury bezpieczeństwa i komunikacji zmierzające do ograniczenia skutków ataku oraz ustalenia zakresu ewentualnych szkód,
• poinformował administratorów danych (placówki medyczne, na rzecz których ALAB świadczył usługi diagnostyczne) o incydencie i możliwych skutkach dla tych podmiotów,
• zgłosił naruszenie do Urzędu Ochrony Danych Osobowych oraz poinformował uprawnione instytucje, tj. CERT, Ministerstwo Zdrowia, Centrum E-Zdrowia,
• złożył zawiadomienie o możliwości popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości,
• wdrożył procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz monitoringu sieci pod tym kątem,
• sporządził analizę możliwych negatywnych konsekwencji incydentu dla klientów i partnerów spółki wraz z rekomendacją podjęcia określonych działań.

Wszystkie powyższe aktywności podjęte przez ALAB mieszczą się w katalogu czynności objętych ochroną ubezpieczenia cyber w zakresie klauzuli pokrycia kosztów reakcji i zarządzania kryzysowego na skutek naruszenia bezpieczeństwa informacji, do których należy zaliczyć – poza powyższym – również:

• koszty poinformowania osób, których dane zostały naruszone, w tym koszty druku, wysyłki, publikacji, powiadomienia przez telefon lub e-mail, włącznie z kosztami utrzymania call center,
• koszty utrzymania zaufania klientów poprzez bieżący monitoring danych, które uległy wykradzeniu, sporządzania raportów i analiz, zabezpieczenia danych klientów przez uprawnione podmioty władzy publicznej lub właściwe agencje i organizacje,
• koszty usług public relations, mające na celu zarządzanie kryzysem reputacyjnym i minimalizację szkód na wizerunku zarówno w mediach, jak i całościowo jako marką.

Pokrzywdzeni i podmioty uprawnione dopiero się rozkręcają

Według doniesień prasowych, 11 grudnia br. rozpoczęła się w ALAB kontrola Urzędu Ochrony Danych Osobowych pod kątem zaistniałego incydentu. Zakończy się ona wydaniem decyzji administracyjnej oraz zastosowaniem ewentualnych środków przewidzianych art. 58 ust. 2 i art. 83 RODO, w tym administracyjnej kary pieniężnej, których zakresu nie jesteśmy w stanie teraz przewidzieć. W tym obszarze polisa cyber może zrefundować wartość poniesionych wydatków związanych z:

• kosztami obrony w postępowaniu administracyjnym, w tym zaskarżeniem decyzji,
• nałożoną w postępowaniu administracyjną karą pieniężną.

Jeśli chodzi o administratorów danych (placówki medyczne), na zlecenie których ALAB przeprowadzał badania diagnostyczne pacjentów, mogą oni w razie poniesienia kosztów wynikających bezpośrednio z incydentu (np. obsługa zapytań lub roszczeń od pacjentów, koszty ich powiadomienia, koszty analiz, ekspertyz i opinii prawnych) wystąpić z roszczeniem do ALAB o naprawienie szkody w tym zakresie. Polisa cyber pokryłaby wówczas:

• koszty obrony przed roszczeniami lub koszty mediacji i ugody,
• wartość zasądzonych lub ustalonych w drodze ugody odszkodowań.

Pacjenci, których dane zostały pozyskane na skutek incydentu, zostali narażeni na szereg potencjalnych szkód i najmniejszym zmartwieniem dla ALAB-u powinny tu być roszczenia o naruszenie danych osobowych. Zakres wykradzionych danych umożliwia ich wykorzystanie w celu m.in. zaciągnięcia kredytów i pożyczek w instytucjach pozabankowych, zwłaszcza w kanałach zdalnych (online i telefon), wyłudzenia środków z ubezpieczenia, uzyskania dostępu do korzystania z usług zdrowotnych czy zarejestrowanie karty telefonicznej (prepaid), która może posłużyć do celów przestępczych. Rozmiar i zakres szkód, jakie mogą z tego wyniknąć dla osoby, których danymi się posłużono, można oszacować jako wysokie. Ewentualne roszczenia z tego tytułu, jakie wpłyną do ALAB-u, mogłyby zostać objęte ochroną umowy cyber w zakresie:

• kosztów obrony przed roszczeniami lub koszty mediacji i ugody,
• wartością zasądzonych lub ustalonych w drodze ugody odszkodowań.

To jak to jest z tym okupem?

Osobnym tematem jest rozstrzygnięcie kwestii okupu lub – bardziej ubezpieczeniowo – „cyberwymuszenia”, które często jest elementem (ukrytym celem) ataków przeprowadzanych przez grupy hakerskie. Dla celów porządkowych stwierdzić należy, że szantaż, jak i żądanie okupu, są przestępstwem penalizowanym na gruncie przepisów kodeksu karnego. Tyle w teorii, ponieważ praktyka, szczególnie w zakresie szkód cyber, pokazuje, że poniesienie kosztu okupu jest często nie tylko najtańszym środkiem zminimalizowania rozmiarów incydentu, ale również najszybszym w kontekście przywrócenia dostępu do zasobów cyfrowych i wznowienia działalności przedsiębiorcy.

Oczywiście możliwość jego opłacenia jest wyłącznie w gestii pokrzywdzonego i powinno to nastąpić po gruntownej analizie okoliczności incydentu oraz możliwych scenariuszy i konsekwencji dla wszystkich stron tego zdarzenia. Ubezpieczyciel w ramach klauzuli cyberwymuszeń zastrzega sobie prawo do decyzji o refundacji środków, jakie ubezpieczony poniósł w tym zakresie, o ile takie działanie obiektywnie ogranicza rozmiar i skutki szkody zarówno w obszarze ekonomicznym, jak i prawnym.

Podsumowanie

Powyższy przypadek w sposób namacalny potwierdza dane publikowane przez niezależne instytucje w corocznych raportach o stanie cyberbezpieczeństwa w Polsce. Sektor zdrowia, obok branży finansowej i administracji publicznej, jest najczęstszym celem działań grup hakerskich oraz jednym z najbardziej narażonych, jeśli chodzi o ataki oparte o złośliwe oprogramowanie,  w tym ransomware. Wrażliwość danych przechowywanych i przetwarzanych przez duże i średnie podmioty lecznicze, ale również przez samych lekarzy w prywatnych gabinetach tworzy wysokie ryzyko ich wycieku lub kradzieży, a co za tym idzie roszczeń i konsekwencji prawnych, które porównać można z konsekwencjami błędów medycznych.