Sprawa ALAB Laboratoria stała się symbolem skali zagrożeń, z jakimi mierzy się dziś sektor ochrony zdrowia w obszarze cyberbezpieczeństwa. Po ataku hakerskim z listopada 2023 r. do sieci - w tym do darknetu - trafiły dziesiątki tysięcy wyników badań pacjentów. Choć publicznie ujawniono około 55 tys. rekordów, sama spółka przyznała, że zagrożonych mogło być nawet 200 tys. osób. To największy jak dotąd wyciek danych medycznych w Polsce.
Atak, opóźniona reakcja i presja hakerów
Do cyberataku na systemy ALAB Laboratoria doszło w listopadzie 2023 r., jednak firma potwierdziła incydent dopiero kilka dni później. Jak się okazało, za włamaniem stała grupa ransomware, która zażądała okupu w zamian za niepublikowanie skradzionych danych.
ALAB od początku deklarował, że nie zamierza negocjować z przestępcami ani płacić okupu. W odpowiedzi hakerzy opublikowali część danych w darknecie i grozili ujawnieniem całości, wyznaczając „ostateczny termin” zapłaty. Jak dotąd zapowiedzi te nie zostały w pełni zrealizowane, a spółka pozostała przy swojej strategii odmowy.
UODO i Rzecznik Praw Pacjenta wkraczają do akcji
Skala incydentu sprawiła, że sprawą zajęły się kluczowe instytucje państwowe: Rzecznik Praw Pacjenta oraz Urząd Ochrony Danych Osobowych. Zgłoszenie naruszenia do UODO wpłynęło 21 listopada 2023 r., a po wstępnej analizie urząd zdecydował o wszczęciu kontroli.
Kontrola w ALAB Laboratoria rozpoczęła się 11 grudnia 2023 r. Jak wówczas informował urząd, jej celem była szczegółowa analiza zabezpieczeń technicznych i organizacyjnych stosowanych przez spółkę w celu ochrony danych osobowych pacjentów.
Na jakim etapie jest postępowanie?
Jak przekazał Adam Sanocki, rzecznik prasowy UODO, urząd zakończył już czynności kontrolne, a obecnie analizuje zgromadzony materiał dowodowy. Oznacza to, że sprawa weszła w kluczową fazę – oceny, czy ALAB dochował obowiązków wynikających z RODO, a jeśli nie, to w jakim zakresie i z jakimi konsekwencjami.
Na tym etapie UODO nie przesądza jeszcze o odpowiedzialności spółki ani o ewentualnych sankcjach.
Czy grozi gigantyczna kara finansowa?
Dane medyczne należą do kategorii danych szczególnie wrażliwych i podlegają najsurowszym wymogom ochrony. Naruszenie ich bezpieczeństwa może skutkować poważnymi konsekwencjami prawnymi, ale – jak podkreśla UODO – kary finansowe nie są jedynym narzędziem.
Prezes UODO może zastosować także:
- ostrzeżenie,
- upomnienie,
- nakaz dostosowania procesów do przepisów,
- ograniczenie przetwarzania danych.
Jeśli jednak zapadnie decyzja o nałożeniu kary administracyjnej, jej wysokość może sięgnąć maksymalnie 20 mln euro lub 4 proc. rocznego, światowego obrotu przedsiębiorstwa. Ostateczna kwota zależy od szeregu czynników, m.in.:
- charakteru i skali naruszenia,
- liczby poszkodowanych osób,
- czasu trwania incydentu,
- tego, czy naruszenie było umyślne,
- reakcji administratora danych (np. czy sam zgłosił wyciek i poinformował osoby, których dane dotyczą),
- wcześniejszych naruszeń.
Decyzja w tej sprawie zapadnie w drodze postępowania administracyjnego.
Co z pacjentami?
Dla setek tysięcy osób kluczowe pytanie brzmi: czy ich dane znalazły się wśród tych, które wyciekły. Ministerstwo Cyfryzacji uruchomiło w tym celu specjalną usługę w serwisie bezpiecznedane.gov.pl. Po zalogowaniu się (np. przez bankowość elektroniczną, Profil Zaufany lub aplikację mObywatel) można sprawdzić, czy konkretne dane zostały objęte incydentem.
To jeden z elementów minimalizowania skutków wycieku, ale dla wielu pacjentów szkody wizerunkowe i poczucie utraty prywatności są trudne do odwrócenia.
Sprawa precedensowa
Incydent z udziałem ALAB Laboratoria może stać się punktem odniesienia dla całego sektora ochrony zdrowia. Pokazuje, że nawet duże, wyspecjalizowane podmioty medyczne są celem zaawansowanych ataków, a skutki zaniedbań w obszarze cyberbezpieczeństwa mogą być wielowymiarowe: od utraty zaufania pacjentów, przez odpowiedzialność regulacyjną, aż po potencjalne wielomilionowe kary.
Ostateczne rozstrzygnięcia UODO pokażą, czy sprawa zakończy się jedną z najwyższych sankcji w historii ochrony danych w Polsce – czy też stanie się przede wszystkim impulsem do zaostrzenia standardów bezpieczeństwa w ochronie zdrowia.
Komentarze (0)