LPR: komunikat o potencjalnym naruszeniu danych osobowych
Lotnicze Pogotowie Ratunkowe opublikowało komunikat o potencjalnym naruszeniu danych osobowych w związku z bezprecedensowym cyberatakiem w dniu 14 lutego br. na stronę infetnetową LPR.
Był to zamach na jednostkę, która każdego dnia niesie pomoc ludziom – chorym oraz poszkodowanym w wypadkach i nagłych zachorowaniach. Po raz pierwszy w historii LPR ktoś próbował zachwiać działanie Śmigłowcowej Służby Ratownictwa Medycznego oraz lotniczego transportu sanitarnego.
Atak miał postać ransomware, a atakujący zażądali 390 tysięcy dolarów okupu za odszyfrowanie danych. Dyrektor LPR nie podjął jakichkolwiek negocjacji. Poniżej zamieszczamy komunikat LPR.
Komunikat o potencjalnym naruszeniu danych osobowych
Lotnicze Pogotowie Ratunkowe (dalej „LPR”), jako administrator danych osobowych, mając na względzie wymogi zawarte art. 34 ust. 1 w związku z ust. 3 lit c) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), niniejszym informuje o ewentualnej możliwości naruszenia ochrony danych osobowych, w związku ze zdarzeniem, do jakiego doszło w dniu 14 lutego 2022 r. Zdarzenie polegało na nieuprawnionym uzyskaniu dostępu do informacji, a jego przyczyną było zewnętrzne działanie zamierzone. Istnieje ryzyko, że atakujący wykradł lub uszkodził pliki lub aplikacje, lub programy zawierające dane osobowe.
W dniu 14 lutego 2022 r. ok. godz. 1:00 doszło do zdarzenia, które prawdopodobnie polegało na celowym przełamaniu zabezpieczeń informatycznych, włamaniu się sprawcy na serwery LPR i do prawdopodobnej kradzieży części lub całości danych znajdujących się na dyskach. W związku z powyższym, zachodzi uzasadnione podejrzenie, że w wyniku ww. działania mogło dojść do naruszenia ochrony danych osobowych (utraty, nieuprawnionego ujawnienia, nieuprawnionego dostępu) przetwarzanych przez LPR. Wśród skopiowanych zasobów mogły znajdować się dane osobowe pochodzące z różnych źródeł (dane z systemu finansowo-księgowego oraz karty medyczne), w tym imiona i nazwiska osób, adresy miejsca zamieszkania, adresy poczty elektronicznej, numery PESEL, telefonów, numery dowodów osobistych, informacje o udzielonej pomocy medycznej, okolicznościach wypadków.
Natychmiast po wykryciu naruszenia bezpieczeństwa środowiska informatycznego, nielegalny dostęp, został przez LPR zablokowany oraz podjęte zostały działania zabezpieczające mające na celu zminimalizowanie skutków tego zdarzenia oraz uniknięcie podobnych zdarzeń w przyszłości. Administrator wprowadził i planuje wprowadzić zmiany w zakresie stosowanych rozwiązań informatycznych, których celem jest zapewnienie wzmocnionej ochrony danych osobowych, zablokowano możliwość podłączania do komputerów służbowych nośników zewnętrznych. Opisywane zdarzenie wraz z jego potencjalnymi konsekwencjami będzie przedmiotem cyklicznych szkoleń pracowników. Od samego początku LPR podchodzi do zaistniałej sytuacji ze szczególną ostrożnością. W związku z tym:
• zgłoszono sprawę na Policji;
• zgłoszono naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;
• zgłoszono incydent do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV oraz do CERT NASK;
• poinformowano publicznie o zdarzeniu za pośrednictwem strony internetowej.
W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:
• odcięto dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do Internetu;
• rozpoczęto skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania;
• przygotowywane są dodatkowe instrukcje i ostrzeżenia dotyczące ochrony danych osobowych oraz cyberbezpieczeństwa;
• poinformowano pracowników, iż przetwarzanie danych osobowych może odbywać się wyłącznie na nośnikach służbowych zapewniających właściwą ochronę;
• przeprowadzono szkolenie kadry kierowniczej z zakresu ochrony danych osobowych.
Niniejsze powiadomienie ma na celu umożliwienie podjęcia niezbędnych działań zapobiegawczych powodujących minimalizację potencjalnych niekorzystnych skutków opisanego zdarzenia. Realizując obowiązek wynikający z treści art. 34 RODO, LPR informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią.
Możliwą konsekwencją ww. zdarzenia może być nieuprawnione wykorzystanie danych osobowych m.in. w celu:
1) ograniczenia możliwości realizowania praw osoby, której dane dotyczą, z art. 15-22 RODO – np. otrzymania kopii Państwa danych lub żądania ich usunięcia;
2) uzyskania przez osoby trzecie, na szkodę osoby, której dane dotyczą, kredytów lub pożyczek w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
3) uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane dotyczą, oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
4) korzystania z praw obywatelskich osoby, której dane dotyczą, np.: do głosowania nad środkami budżetu obywatelskiego – uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
5) wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
6) zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do popełnienia czynu niedozwolonego;
7) próby zawarcia umów cywilnoprawnych;
8) wykorzystania danych do ukrycia swojej tożsamości;
9) przesyłania Państwu niechcianej korespondencji (spamu).
Jak napisano powyżej, nieuprawniony dostęp do danych osobowych jest jedynie prawdopodobny, jednak zalecamy – w celu zabezpieczenia się przed negatywnymi skutkami zaistniałego naruszenia – aby osoby, których dane osobowe mogły ulec naruszeniu, podjęły kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:
1) założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej, np. BIK https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl). Jeśli są Państwo cudzoziemcami, prosimy poszukać podobnej usługi w swoim kraju. W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
2) zastrzeżenie dowodu osobistego lub innego dokumentu wykorzystywanego w formalnej komunikacji z LPR (np. paszport) w banku, w którym mają Państwo konto, lub w innym, nawet jeśli nie mają Państwo tam założonego konta – lista polskich banków przyjmujących takie zgłoszenia znajduje się pod adresem: https://dokumentyzastrzezone.pl/lista-bankow-zastrzegajacych-dokumenty-od-wszystkich-osob/;
3) zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
4) dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”;
5) powiadomienie podmiotów używających Państwa danych osobowych, których naruszenie dotyczy, np. pożyczkodawców lub sieć telekomunikacyjną;
6) zmianę loginu (o ile dany serwis dopuszcza taką zmianę), jeśli używali Państwo numeru PESEL jako loginu na jakimkolwiek portalu lub koncie internetowym;
7) zachowanie szczególnej ostrożność w przypadku, gdy:
a) otrzymają Państwo niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
b) odbierają Państwo połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje Państwa aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te wykradzione;
c) udostępniają Państwo lub wykorzystują swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach. Należy zwracać szczególną uwagę na linki i zwracać uwagę na nieprawidłowości tam zawarte.
W celu zminimalizowania potencjalnych skutków ww. zdarzenia, LPR podjęło natychmiastowe działania prowadzące do przywrócenia stanu bezpiecznego i prawidłowego przy przetwarzaniu danych. W kwestii potencjalnej utraty danych, zagrożenie jest minimalizowane poprzez zastosowane środki techniczne i organizacyjne. Administrator podejmuje wszelkie czynności prowadzące do ochrony danych osobowych np. poprzez natychmiastowe zgłoszenie sprawy w dniu 14 lutego 2022 r. do organów ścigania.
Liczymy, że mimo tego zdarzenia nie dojdzie do nieuprawnionego wykorzystania danych osobowych i podejrzenie kradzieży danych nie będzie w jakikolwiek sposób dotyczyło naruszeń osoby, których dane osobowe mogły zostać wykradzione oraz nie będzie niosło negatywnych konsekwencji. W celu uzyskania dodatkowych wyjaśnień, prosimy o kontakt z Inspektorem Ochrony Danych:
Pani Zuzanna Kosakowska
tel. 785 390 188
iod@www.lpr.com.pl
Lotnicze Pogotowie Ratunkowe
ul. Księżycowa 5
01-934 Warszawa
Komentarze