W sprawie bodaj najpoważniejszego wycieku danych w Polsce łatwo zapomnieć, kto jest ofiarą, a kto sprawcą przestępczego procederu. To naprawdę nie spór przyzwoitych hakerów rodem z filmów science-fiction ze złą korporacją, tylko bandyckie wymuszenie przy wykorzystaniu danych Bogu ducha winnych obywateli.
Wyciek z ALAB-u oznacza, że ujawnione mogą być nie tylko numery PESEL i adresy obywateli, lecz także to jakie badania wykonywali (GETTY, Jaap Arriens, Michal Fludra, NurPhoto)
Tekst powstał w ramach projektu WP Opinie. Przedstawiamy w nim zróżnicowane spojrzenia komentatorów i liderów opinii publicznej na kluczowe sprawy społeczne i polityczne.
– Przestępcy upublicznili kolejną partię danych, do których uzyskali nieautoryzowany dostęp w wyniku cyberataku na nasze serwery sprzed miesiąca – przyznał właśnie dr Seweryn Dmowski, doradca zarządu ALAB ds. komunikacji.
Zobacz także:
Wielka tajemnica Narodowego Banku Polskiego [OPINIA]
To druga paczka danych, która została opublikowana. Pierwsza informacja o wycieku pojawiła się w listopadzie.
Dalsza część artykułu pod materiałem wideo
Zobacz także: Oczy światowych rynków na TVP? "Takie wywrotki można robić w nieskończoność"
Wtedy też poinformowano, że hakerzy żądają okupu od spółki prowadzącej usługi z zakresu badań medycznych. Ta zapłaty okupu odmawia.
Hakerzy grożą, że jeśli nie dostaną pieniędzy do końca roku, w internecie pojawi się znacznie większa liczba wrażliwych danych o obywatelach.
Perfidne uderzenie
ALAB to spółka, która przeciętnemu Czytelnikowi może być nieznana. Gotów więc ktoś pomyśleć, że „wyciek jak wyciek”, bywało takich wiele.
Niestety – takich jak ten w Polsce wiele nie bywało.
ALAB bowiem gromadzi najwrażliwsze dane osobowe – te medyczne.
Wyciek danych z ALAB-u oznacza więc, że ujawnione mogą być nie tylko numery PESEL i adresy obywateli, lecz także to jakie badania wykonywali. W ten sposób w sieci mogą znaleźć się np. informacje, że badałem się w kierunku występowania u mnie chorób wenerycznych, że mam podwyższony cukier albo że szykowałem się do poważnej operacji.
Mówiąc wprost: doszło do bardzo poważnego w skutkach wycieku danych.
ALAB uspokaja, że wykradziono dane tylko niewielkiej liczby pacjentów w stosunku do tego, ile danych firma gromadzi, zaś większość danych, które „pociekły”, to sprawy korporacyjne. Te zresztą zostały ujawnione teraz.
Z informacji przekazanych mediom przez ALAB wynika, że wykradziono 44,5 gigabajtów danych z wynikami badań pacjentów, w tym niespełna 200 tys. numerów PESEL oraz 190 gigabajtów danych firmowych.
Dane o 12,5 tys. pacjentów hakerzy już – aby udowodnić, że mówią prawdę – opublikowali w listopadzie.
Spółka zapewnia też, że robi wszystko, aby zniwelować skutki wycieku, a także, że zabezpieczała przechowywane dane najlepiej, jak to było możliwe.
Negocjacje z terrorystą
Opinie w internecie są dla ALAB-u druzgocące. Nie brakuje takich, że spółka powinna zapłacić okup hakerom, żeby nie doszło do opublikowania ogromu danych w internecie. Pojawia się krytyka, że pieniądze są ważniejsze od bezpieczeństwa pacjentów, skoro spółka jednoznacznie podkreśla, że okupu nie zapłaci.
Szkopuł w tym, że w całej tej historii – jakkolwiek smutnej – wielu z nas umyka, kto jest sprawcą, a kto jest ofiarą.
Fakty są zaś takie, że sprawca jest oczywisty: to cyberprzestępcy, którzy wykradli dane. Lubimy ich nazywać hakerami, bo wielu z nas kojarzy się to całkiem dobrze, ale prawda jest taka, że to najzwyczajniej w świecie bandyci.
Kradzież ogromu danych osobowych nie jest w niczym lepsza od kradzieży portfela w autobusie albo wyrwania torebki na ulicy. Jest wręcz gorsza, bo niesie za sobą znacznie większe szkody społeczne ze względu na skalę działania.
ALAB – spółka, której wykradziono dane – jest w tej historii ofiarą. Może być tak, i to sprawdza Urząd Ochrony Danych Osobowych, że ofiara nie jest bez winy. Niewykluczone przecież, że powinna lepiej zabezpieczać dane osobowe pacjentów, niżeli to robiła. Dla jasności: nie wiemy tego dzisiaj. Ale to możliwe. Ba, nie będę przesadnie zaskoczony, jeśli tak się za pewien czas okaże.
Nie zmienia to jednak faktu, że to okradziona spółka najwięcej traci na tej sytuacji. Zachęcanie zaś do dogadania się z przestępcami jest o tyle głupie, że z własnym katem nie należy negocjować kwoty po której uiszczeniu odstąpi on od znęcania się. Dodatkowo zapłata okupu byłaby sygnałem dla wszystkich cyberbandziorów, że warto atakować, bo za skuteczny atak może czekać atrakcyjna nagroda.
Tymczasem należy pokazywać, że nagród nie będzie. Co najwyżej będzie kara, jeśli uda się przestępców namierzyć.
Głos jaskiniowca
Gdy dowiedziałem się, że wyciekły dane z ALAB-u, byłem wkurzony. Od lat zajmuję się bowiem tematyką zdrowotną i od lat, wspólnie z redaktorem Jakubem Styczyńskim z portalu RynekZdrowia.pl, alarmowaliśmy, że zachłyśnięcie się nowoczesnymi technologiami oraz przechowywaniem wszystkiego w chmurze, musi skończyć się źle.
Byliśmy trochę jak jaskiniowcy – gdy wszyscy mówili, że jest super, my pukaliśmy się maczugami po czołach.
Dla jasności, trochę przesadzaliśmy, całkiem świadomie. Oczywiste jest to, że nie ma dziś odwrotu od przechowywania danych w formie cyfrowej. I oczywiste jest, że choćby dane przechowywać wyłącznie w starych segregatorach w archiwum, to ktoś mógłby się włamać do archiwum i wynieść segregatory.
Po prostu chcieliśmy zwrócić uwagę na zagrożenia.
Teraz to nasze nawoływanie po trosze zyskało na sensie i znaczeniu.
Uważam więc, że miałbym moralne prawo, by ustawić się w pierwszym rzędzie wśród rzucających w ALAB kamieniami. Ale postoję z tyłu, za kamienie nie chwycę. Wolę napiętnować przestępców.
Patryk Słowik jest dziennikarzem Wirtualnej Polski
Napisz do autora: [email protected]