Atak na klinikę serca. Zagrożone bezpieczeństwo pacjentów

Zorganizowana grupa hakerska wykradła dane pacjentów Polsko-Amerykańskich Klinik Serca (firma American Heart of Poland – Grupa AHP), w tym również z placówki w Nysie. Przestępcy chcieli wyłudzić okup od właścicieli firmy. - Wspomniane zdarzenie może prowadzić do strat pieniężnych i niepieniężnych oraz niepożądanych konsekwencji – ostrzega Grupa AHP.

Zagrożone bezpieczeństwo pacjentów
Złodzieje upublicznili wykradzione dane (nazwiska, pesel, informacje o zdrowiu itd.) w internecie i nieuprawnione osoby mogą je wykorzystać do celów przestępczych. 
- To część internetu niedostępna dla zwykłych użytkowników, ale niestety dostępna dla świata przestępczego – informuje prokurator Marek Lachendro z Prokuratury Okręgowej w Bielsku Białej, nadzorujący śledztwo w tej sprawie. 
W pismach skierowanych do pacjentów, których dane padły łupem hakerów, firma AHP wymienia niektóre potencjalne ryzyka, na które zostali narażeni. Oszuści mogą np. podszyć się pod pracowników różnych instytucji (banku, ZUS, NFZ itp.) i starać się wyłudzić hasła do logowania czy dane kart kredytowych. Poszkodowani muszą więc ignorować nieznane wiadomości (maile i SMS) oraz unikać podobnych rozmów telefonicznych. Istnieje też obawa pojawienia się w sieci fałszywych kont w portalach społecznościowych na skradzione nazwiska czy podszywanie się oszustów pod osoby, którym skradziono tożsamość. Poszkodowani mogą być też szantażowani przez osoby znające szczegóły ich stanu zdrowia. Niebezpieczne jest też ryzyko uzyskania przez przestępców na rzecz poszkodowanych pożyczek i kredytów w tzw. parabankach. Jest to tym bardziej realne, że w tych instytucjach finansowych pieniądze można uzyskać przez internet i telefonicznie tylko na pesel, bez dowodu osobistego. 

Pomóc może alert BIK
W tej sytuacji wręcz nieodzowne byłoby założenie konta w Biurze Informacji Kredytowej (BIK) i wykupienie tam alertów BIK. Za cenę 24 zł przez 12 miesięcy będziemy otrzymywać powiadomienie SMS-em lub mailem o każdej próbie zaciągnięcia na nasze nazwisko kredytu lub pożyczki. Uważajmy jednak na oszustów podszywających się pod BIK - jeśli nie mamy tam swoich kont (zabezpieczonych hasłem), to ignorujmy telefony, SMS-y i maile, rzekomo od BIK. Zawierają one linki, za pośrednictwem których złodzieje wyczyszczą nasze rachunki bankowe. 
Alert BIK działa dopiero od chwili wykupienia, dlatego warto też sprawdzić czy złodzieje wcześniej nie zaciągnęli kredytów i pożyczek na nasze nazwisko. Pewność zyskamy kupując raport BIK, tym bardziej że Polsko-Amerykańskie Kliniki Serca poinformowały o ataku po upływie kilku miesięcy od przestępstwa. Atak hakerski na serwery został przeprowadzony w styczniu 2021 r., a niektórzy pacjenci otrzymali pisma w czerwcu br., czyli niemal po pół roku. Wynika to - jak wyjaśnia Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych - z ogromniej ilości wykradzionych danych oraz z faktu, że przestępstwo miało skomplikowany charakter. Grupa AHP musiała odzyskać skradzione dane i dopiero wtedy mogła ustalić osoby poszkodowane. 

RODO miało działać i co?
Prezes UODO, jak zapewnia rzecznik, został powiadomiony o ataku hakerskim w wymaganym przez prawo terminie do 72 godzin od jego stwierdzenia.
- 28 stycznia 2021 r. administrator dokonał wstępnego zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych (zgłoszenie to uzupełniono 22 lutego 2021 r.).
Termin ten jednak pozostaje w sprzeczności z prokuratorską informacją dotyczącą daty stwierdzenia hakerskiego ataku: 11 stycznia br. (o czym poniżej). Wróćmy jednak do dalszych wyjaśnień rzecznika Urzędu Ochrony Danych Osobowych: 
- Naruszenie polegało na nieuprawnionym dostępie do informacji poprzez złamanie zabezpieczeń oraz zainstalowanie złośliwego oprogramowania ingerującego w poufność danych. Obecnie jest za wcześnie, by mówić o możliwych dalszych działaniach w tej sprawie. Jeśli chodzi o zakres danych, których dotyczy naruszenie, to z uwagi na trwające czynności wyjaśniające, szczegółowe informacje są dostępne jedynie dla administratora i uprawnionych organów – informuje Adam Sanocki. 

Śledztwo w sprawie ataku
Działaniom grupy hakerów przygląda się Prokuratura Okręgowa w Bielsku Białej. 
- Prowadzone od 10 marca 2021 roku w tutejszej prokuraturze śledztwo dotyczy usiłowania wyłudzenia okupu od grupy American Hearts of Poland przez grupę hakerską, która dokonała zaszyfrowania oprogramowaniem typu ransomware
systemów informatycznych pokrzywdzonego przy jednoczesnym wykradzeniu danych. Nadto został przeprowadzony atak DDos na domeny pokrzywdzonego.
W sprawie tej przyjęto kwalifikacje z art. 13 § 1 kk (przyp. usiłowanie) w zw. z art. 287 §
1 kk (przyp. oszustwo komputerowe) w zw. z art. 294 § 1 kk (przyp. obostrzenie odpowiedzialności – od roku do 10 lat więzienia) oraz art. 269a kk (przyp. sabotaż komputerowy) i 267 § 4 kk (przyp. bezprawne uzyskanie informacji).
Skutki działania sprawców zostały ujawnione w dniu 11 stycznia 2021 roku. Śledztwo ma charakter rozwojowy i obejmuje wszystkie aspekty prawne
związane z atakiem na systemy informatyczne grupy American Hearts of Poland - informuje prokurator Agnieszka Michulec, rzecznik prasowy Prokuratury Okręgowej w Bielsku Białej.

Zadbajcie o dowody!
Osoby, których dane zostały wykradzione, skutki tego czynu mogą odczuć nie teraz, ale za kilka lub kilkanaście lat, kiedy już sprawa przycichnie. Teraz więc trzeba zadbać o to, by zgromadzić dowody kradzieży. Nie tylko zachować pisemną informację z American Hearts of Poland, ale warto też zadbać o to, by uzyskać status poszkodowanego w prokuratorskim śledztwie. 
- Osoby, których dane zostały wykradzione będą miały status pokrzywdzonych w toczącej się sprawie pod warunkiem złożenia wymaganego prawem wniosku o ściganie czynu z art. 267 § 4 i 5 kk - informuje prokurator Agnieszka Michulec.

Taki wniosek, jak wyjaśnia prowadzący śledztwo prokurator Marek Lachendro, najlepiej wysłać bezpośrednio do Prokuratury Okręgowej w Bielsku Białej (Prokuratura Okręgowa w Bielsku – Białej, ul. Legionów 79, 43-300 Bielsko - Biała), podając w piśmie sygnaturę sprawy PO I Ds. 7.2021. Należy w nim podać swoje dane (również kontaktowe, z telefonem) oraz krótko opisać, że był atak hakerski i skradziono wasze dane. Trzeba też dołączyć kserokopię zawiadomienia z American Hearts of Poland. 
- Nasza prokuratura skontaktuje się z policją najbliżej miejsca zamieszkania wnioskodawcy np. w Nysie, która w ramach współpracy przesłucha go w charakterze świadka – informuje prokurator z Bielska.
Można też złożyć zawiadomienie bezpośrednio w jednostce policji właściwej dla miejsca
zamieszkania osoby, której skradziono dane. To jednak wg prokuratora Marka Lachendro wydłuży proces wyjaśniania sprawy. Miejscowa policja będzie musiała bowiem wszcząć dochodzenie, a potem skierować prośbę do Bielska Białej o włączenie go do prowadzonego tam śledztwa.
Niezależnie od sposobu należy dopilnować tej sprawy, by korzystać z pełni praw osoby pokrzywdzonej. Będzie ślad w aktach, że nasze dane zostały skradzione, a także będziemy na bieżąco informowani o przebiegu i finale śledztwa.