У співзасновника «Унілабу» викрали персональні дані десятків тисяч пацієнтів: чи є серед них українці?

https://leopolis.news/post/97473/u-spivzasnovnyka-unilabu-vykraly-personalni-dani-desyatkiv-tysyach-pacientiv-chy-e-sered-nyh-ukranci?fbclid=IwAR3PIaN6JUc51ehPrvZMOv8U6_iFoMocO_tL1wZA9kliK93exJWWi4Hbwjo

07/12/2023

Варшавська регіональна прокуратура розпочала розслідування щодо хакерів, які викрали дані пацієнтів «ALAB Laboratoria». Шантажисти вимагали від компанії кілька сотень тисяч доларів викупу. Про це повідомляють польські ЗМІ.

За даними сервісу YouControl польська мережа «ALAB Laboratoria» є співзасновником української мережі медичних лабораторій UNILAB. Поляки володіють 44% статутного капіталу ТзОВ «УНІЛАБ», а решта 56% належить Богуславу Тадеушу Гнатовському, який є кінцевим бенефіціарним власником (контролером) юридичної особи, що розміщується у Швейцарії в Давос-дорф.

На україномовній версії сайту «ALAB Laboratoria» зазначає, що «Група ALAB – це найсучасніша мережа діагностичних лабораторій у Польщі, яка налiчує 90 лабораторій і майже 600 пунктів забору. Ми виконуємо понад 35 мільйонів тестів на рік. До групи ALAB входить також лабораторія Unilab в Україні».  

 

Сьогодні у Польщі живуть і працюють мільйони громадян України, лікуються воїни ЗСУ. І цілком можливо, що і вони є серед постраждалих клієнтів «ALAB Laboratoria». Їх персональними даними могли заволодіти хакери, які працюють на путінський режим.

Окрім того, послугами українського ТзОВ «УНІЛАБ» щодо лабораторних досліджень користуються десятки вітчизняних медзакладів та установ. Серед них Державна установа «Львівський обласний центр контролю та профілактики хвороб Міністерства охорони здоров’я України» (договір на 2 млн грн), комунальне некомерційне підприємство «5-а міська клінічна поліклініка м. Львова» (договір на 1 млн грн), комунальне некомерційне підприємство «4-а міська клінічна поліклініка м. Львова» (договір на 893 тис. грн), комунальне некомерційне підприємство Стрийської міської ради  «Стрийська центральна районна лікарня» (договір на 762 тис. грн), комунальне некомерційне підприємство «Стрийський пологовий будинок» (договір на 370 тис. грн) та багато інших. І в даній ситуації постає цілком логічне запитання: Чи існує ризик крадіжок персональних даних з української мережі медичних лабораторій, одним із засновників яких є постраждала польська фірма?

Тому з огляду на значний суспільний резонанс усієї цієї історії ми звернулись до ТзОВ «УНІЛАБ» з проханням повідомити: Чи є серед викраденої у Польщі інформації персональні дані громадян України? Чи існує загроза викрадення персональних даних клієнтів ТзОВ «УНІЛАБ»? Які заходи здійснює «УНІЛАБ» для убезпечення від подібних ситуацій? А також ми попросили надати іншу інформацію, що може бути важливою для забезпечення персональних даних клієнтів ТзОВ «УНІЛАБ».

Тим часом частина викрадених у Польщі персональних даних пацієнтів вже з’явилась у відкритому доступі. В Інтернет злили дані щонайменше десятків тисяч поляків, які проходили медичні обстеження в мережі лабораторій ALAB з 2017 по 2023 рік. Крадії погрожують, що якщо не отримають грошей, то опублікують усі вкрадені дані до 31 грудня.

«Невідомі особи здійснили несанкціонований доступ до ІТ-системи та отримали інформацію, що зберігається в ній, шляхом шифрування вмісту серверів, що належать потерпілій компанії, за допомогою шкідливих програм-вимагачів. Сфера розслідування також включає питання про вимоги викупу зловмисниками, які діють в рамках організації RA WORLD, в обмін на передачу ключів розшифровки та неоприлюднення отриманих даних. Провадження також ведеться у напрямку незаконної обробки персональних даних, адресних даних та результатів медичних оглядів осіб, які користуються послугами ТзОВ Alab Laboratoria», – повідомила речниця Варшавської прокуратури Олександра Скшиняж.

Цією справою також займається Управління захисту персональних даних та омбудсмен з прав пацієнтів. «На цьому етапі ми чекаємо подальших висновків від контролера даних, щоб знати деталі витоку та надійно пояснити його причини та масштаби. У зв’язку з резонансним витоком даних, в рамках співпраці обидві установи обміняються висновками щодо вжитих заходів та результатів своєї роботи. Метою цієї співпраці є насамперед благополуччя пацієнтів та захист їхніх персональних даних», – розповів заступник керівника Управління із захисту персональних даних Якуб Грошковський.

«Ми надзвичайно серйозно ставимося до потенційного порушення прав пацієнтів, беручи до уваги не лише букву закону, а й довіру пацієнтів до закладів охорони здоров’я та системи охорони здоров’я», – додав Уповноважений з прав пацієнтів Бартоломей Хмельовець.

У зв’язку з витоком мережа лабораторій ALAB опублікувала заяву, в якій підтвердила, що інцидент «є результатом злочинної діяльності, спрямованої на вимагання викупу від компанії». «19 листопада 2023 року спостерігалася спроба масованої атаки на сервери компанії. Після аналізу інциденту було встановлено, що незаконний доступ до даних могли отримати сторонні особи. Команда експертів одразу провела аналіз ризику інциденту відповідно до рекомендацій ENISA (Агентство Європейського Союзу з мережевої та інформаційної безпеки) і спочатку оцінила значення ризику як високе», – зазначається у повідомленні ALAB.

У компанії додали, що попередній аналіз інциденту показав, що треті особи могли незаконно отримати доступ до таких персональних даних, як ім’я та прізвище, номер соціального страхування, дата народження, місце проживання та результат лабораторного дослідження.

«У зв’язку з вищезазначеним були впроваджені екстрені процедури безпеки та комунікацій для усунення наслідків атаки та визначення масштабів збитків, інформуючи при цьому адміністраторів, дані яких були довірені компанії для обробки», – зазначається в повідомленні.

Науково-академічна комп’ютерна мережа (NASK) заявила, що людина, чиї дані були оприлюднені, повинна бути підготовлена і знати, що дані можуть використовувати кібершахраї. У цьому випадку слід бути більш пильними щодо електронних листів, повідомлень, телефонних дзвінків і перевіряти їх відправника. За словами NASK також треба скористатися новою опцією та заблокувати номер PESEL, що допоможе мінімізувати ризики, пов’язані з несанкціонованим використанням персональних даних, наприклад, у банку. У NASK повідомили, що експерти наголошують, що люди, які не користувалися послугами ALAB, також можуть піддаватися витоку даних. «Аналіз показав, що також мала місце крадіжка результатів тестів, проведених від імені інших медичних закладів, які не належать до групи ALAB», – додали в NASK.

Редакція слідкуватиме за розвитком цієї ситуації і повідомить про результати розслідування, яке здійснюють польські правоохоронні органи у справі  викрадення персональних даних десятків тисяч пацієнтів.

Маркіян Войтович, Leopolis.news