OTWOCK – W piątek 13 stycznia doszło do ataku hakerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED przy ul. Andriollego 34/3 w Otwocku. Nieuprawniona osoba zaszyfrowała dane zgromadzone na serwerze, uniemożliwiając dostęp do nich oraz wykonanie kopii bezpieczeństwa




Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018–2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.
Naruszenie zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych oraz do organów ścigania. Obecnie nie wykryto innych działań niż zaszyfrowanie bazy danych pacjentów, które mogłyby wskazywać na dalsze wykorzystanie tych danych przez osoby nieuprawnione.

- Nie otrzymaliśmy informacji, aby na skutek ataku dane jakiejkolwiek osoby zostały wykorzystane w sposób sprzeczny z interesami tych osób, np. w celu uzyskania pożyczek, kredytów czy ubezpieczeń – informuje przychodnia w mediach społecznościowych.

Konsekwencje przejętych danych osobowych

Atak hakerski może jednak nieść zagrożenie dla osób, których dane trafiły w niepowołane ręce. Może skutkować np. wzięciem kredytów w instytucjach pozabankowych. Wiele z nich umożliwia uzyskanie pożyczki lub kredytu bez konieczności okazywania dokumentu tożsamości. Niepowołane osoby mogą uzyskać dostęp do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, gdyż dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając swoją tożsamość za pomocą numeru PESEL.
Jest możliwa także próba wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może sprowadzić na osobę, której dane dotyczą, problemy związane z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu. Posiadając czyjeś dane osobowe można również podjąć próbę zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może zostać użyta do celów przestępczych.
Istnieje także ryzyko zawarcia przez osoby trzecie umów cywilno-prawnych (np. najmu nieruchomości) lub wykorzystania pozyskanych danych do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów).
Kolejnym zagrożeniem dla pacjentów jest naruszenie dobra osobistego w postaci dyskryminacji z uwagi na stan zdrowia.

Jak się bronić?

Pomimo braku informacji o nieuprawnionym wykorzystaniu danych w celu zabezpieczenia się przed ewentualnymi negatywnymi skutkami zaistniałego naruszenia Centrum Medyczne zaleca, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących zagrożenie. Na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej: Biuro Informacji Kredytowej S.A., Biuro Informacji Gospodarczej InfoMonitor S.A., Krajowy Rejestr Długów Biuro Informacji Gospodarczej czy Serwis CHRONPESEL.
Warto też zastrzec dowód osobisty w swoim banku (osobiście lub poprzez infolinię) lub w dowolnym banku, który przyjmie zastrzeżenie także od osób niebędących jego klientami. Można skorzystać z konta na stronie www.bik.pl (tylko pod warunkiem, że osoba zastrzegająca miała tam już wcześniej założone konto z wykorzystaniem danych z utraconego dokumentu).
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zaleca się, by ignorować nieoczekiwane treści wiadomości, w tym telefonicznych, w trakcie których nastąpi próba uzyskania informacji na temat danych osobowych.
W takim przypadku przed podaniem informacji zaleca się zweryfikowanie innym kanałem komunikacji czy dany podmiot np. bank lub policja kontaktował się z państwem w celu otrzymania takich informacji. Może się okazać, że próbę wyłudzenia danych podjął oszust.