1 Grudnia 2023
Czy zastrzeżenie numeru PESEL jest wystarczające, aby ustrzec się przed konsekwencjami wycieku danych pacjentów?
„Największy wyciek danych medycznych w Polsce”, „Głośny wyciek danych z laboratorium”, „Wyniki badań tysięcy Polaków wyciekły do internetu” – takie nagłówki wywołują dreszcze w ostatnich dniach. Jedni z wdzięcznością przyjmują możliwość zastrzeżenia numeru PESEL, inni węszą w tym spisek, jakoby była to próba uzasadnienia sfinansowania systemu Bezpieczne Dane. Przyglądamy się na chłodno: faktom, obowiązującym regulacjom prawnym i statystykom, aby ocenić realność zagrożenia kolejnych wycieków danych pacjentów i znaleźć optymalne rozwiązania problemu.
Co oznacza wyciek danych osobowych?
Jeszcze kilkanaście lat temu każde skierowanie do laboratorium wymagało odbycia dwóch wizyt w punkcie – pierwszej, aby oddać materiał do badań, i drugiej, aby odebrać wynik analiz. Obecnie wyniki można odbierać przez internet. To bardzo wygodne, ale i może nieść ze sobą pewne ryzyko. Zgromadzone dane pacjentów są cenne dla cyberprzestępców. Tym bardziej że zdarza się, że niedoinwestowane placówki medyczne korzystają z niezoptymalizowanych systemów zabezpieczeń oraz nie zawsze postępują zgodnie z dobrymi praktykami opracowanymi przez ENISA wraz z CERT-EU.
Oczywiście nie jest łatwo zdobyć dane pacjentów. Jednak zawsze wtedy, gdy człowiek tworzy system zabezpieczeń – inny człowiek jest w stanie go złamać. Wystarczy, że pojawią się luki w oprogramowaniu i zawiodą procedury ochrony danych, a nie pozostanie to niezauważone dla coraz bardziej wyspecjalizowanych cyberprzestępców stosujących ransomware.
Jak wynika z danych Check Point Research – co tydzień zaatakowana zostaje 1 na 34 organizacji na całym świecie. Są to również placówki i punkty medyczne. Jak wynika z danych Ministerstwa Cyfryzacji – wycieki danych pacjentów w minionym roku zdarzały się aż trzykrotnie częściej niż dotychczas.
Do takich incydentów (w tym do wycieku danych osobowych wrażliwych) dochodzi wówczas, gdy cyberprzestępcy przedrą się przez systemy zabezpieczeń i zyskają dostęp do danych osób poddawanych diagnostyce. Są to: imiona i nazwiska, numery PESEL, adresy zamieszkania, numery telefonów, katalog wykonanych badań i ich wyniki. Dzięki dostępowi do takich informacji przestępcy mogą wymusić okup na podmiocie, od którego je wykradli lub sprzedać je za wysokie sumy mniejszym przestępcom grasującym w sieci. A to może rodzić kolejne nieprzyjemne konsekwencje, jak próba wyłudzenia pożyczki na Twoje dane czy założenia działalności gospodarczej z ich wykorzystaniem. Zwykle efektem są niemałe straty finansowe i duża dawka stresu oraz czas poświęcony na wyjaśnienie sytuacji.
Oczywiście nie jest łatwo zdobyć dane pacjentów. Jednak zawsze wtedy, gdy człowiek tworzy system zabezpieczeń – inny człowiek jest w stanie go złamać. Wystarczy, że pojawią się luki w oprogramowaniu i zawiodą procedury ochrony danych, a nie pozostanie to niezauważone dla coraz bardziej wyspecjalizowanych cyberprzestępców stosujących ransomware.
Jak wynika z danych Check Point Research – co tydzień zaatakowana zostaje 1 na 34 organizacji na całym świecie. Są to również placówki i punkty medyczne. Jak wynika z danych Ministerstwa Cyfryzacji – wycieki danych pacjentów w minionym roku zdarzały się aż trzykrotnie częściej niż dotychczas.
Do takich incydentów (w tym do wycieku danych osobowych wrażliwych) dochodzi wówczas, gdy cyberprzestępcy przedrą się przez systemy zabezpieczeń i zyskają dostęp do danych osób poddawanych diagnostyce. Są to: imiona i nazwiska, numery PESEL, adresy zamieszkania, numery telefonów, katalog wykonanych badań i ich wyniki. Dzięki dostępowi do takich informacji przestępcy mogą wymusić okup na podmiocie, od którego je wykradli lub sprzedać je za wysokie sumy mniejszym przestępcom grasującym w sieci. A to może rodzić kolejne nieprzyjemne konsekwencje, jak próba wyłudzenia pożyczki na Twoje dane czy założenia działalności gospodarczej z ich wykorzystaniem. Zwykle efektem są niemałe straty finansowe i duża dawka stresu oraz czas poświęcony na wyjaśnienie sytuacji.
Jak sprawdzić czy dane wyciekły?
Jak reagujesz na komunikaty, że doszło do wycieku danych osobowych pacjentów? Mało kto przechodzi obok tego obojętnie. Większość osób odczuwa potrzebę zweryfikowania, czy ich dane również padły łupem cyberprzestępców.
Na szczęście istnieje narzędzie, które pozwala to sprawdzić. Mowa tu nie tylko o najpopularniejszym narzędziu Have Been Pwnd, ale też o nowym systemie Bezpieczne Dane, zaprojektowanym przez Ministerstwo Cyfryzacji we współpracy z państwowym instytutem badawczym NASK.
CERT Polska i Centralny Ośrodek Informatyki na bieżąco aktualizują dane w narzędziu. Pozwala ono zweryfikować bieżące wycieki danych pacjentów, a także te minione (na dzień 30.11.2023 system obejmuje wycieki danych do maja 2023 r.).
Konieczne jest tu jednak Twoje zaangażowanie w regularne weryfikowanie alertów w systemie. To dość wymagające i wraz z czasem, jaki upływa od ostatniego poważnego ataku lub wyłudzenia danych osobowych, częstotliwość tych weryfikacji zwykle spada.
Wygodniejszym narzędziem jest otrzymywanie na bieżąco alertów o próbach wykorzystania Twoich danych osobowych. Wybierz jeden z naszych pakietów Chroń PESEL a ostrzeżemy Cię za każdym razem, gdy Twój numer PESEL zostanie sprawdzony w KRD lub gdy ktoś będzie usiłował wykorzystać go do założenia działalności gospodarczej.
W zależności od wybranego pakietu możesz też liczyć na wsparcie prawne w przypadku kradzieży tożsamości oraz zwrot kosztów obsługi prawnej, jeśli mimo wsparcia dojdzie do wyłudzenia na Twoje dane.
Na szczęście istnieje narzędzie, które pozwala to sprawdzić. Mowa tu nie tylko o najpopularniejszym narzędziu Have Been Pwnd, ale też o nowym systemie Bezpieczne Dane, zaprojektowanym przez Ministerstwo Cyfryzacji we współpracy z państwowym instytutem badawczym NASK.
CERT Polska i Centralny Ośrodek Informatyki na bieżąco aktualizują dane w narzędziu. Pozwala ono zweryfikować bieżące wycieki danych pacjentów, a także te minione (na dzień 30.11.2023 system obejmuje wycieki danych do maja 2023 r.).
Konieczne jest tu jednak Twoje zaangażowanie w regularne weryfikowanie alertów w systemie. To dość wymagające i wraz z czasem, jaki upływa od ostatniego poważnego ataku lub wyłudzenia danych osobowych, częstotliwość tych weryfikacji zwykle spada.
Wygodniejszym narzędziem jest otrzymywanie na bieżąco alertów o próbach wykorzystania Twoich danych osobowych. Wybierz jeden z naszych pakietów Chroń PESEL a ostrzeżemy Cię za każdym razem, gdy Twój numer PESEL zostanie sprawdzony w KRD lub gdy ktoś będzie usiłował wykorzystać go do założenia działalności gospodarczej.
W zależności od wybranego pakietu możesz też liczyć na wsparcie prawne w przypadku kradzieży tożsamości oraz zwrot kosztów obsługi prawnej, jeśli mimo wsparcia dojdzie do wyłudzenia na Twoje dane.
Co zrobić, gdy wyciekną dane?
Stało się, Twoje dane trafiły w ręce cyberprzestępców. Co teraz? Jak wynika raportu „Dane osobowe – czy wiemy, jak je chronić?” z maja 2023 r., aż 55,5% Polaków nie wie, jak zachować się, gdy ich dane wyciekną do internetu.
Najgorsze co możesz wówczas zrobić – to bezczynnie przyglądać się kolejnym ruchom hakerów. Jak więc się zachować?
Najgorsze co możesz wówczas zrobić – to bezczynnie przyglądać się kolejnym ruchom hakerów. Jak więc się zachować?
- Po pierwsze – sprawdź, jakie dane wyciekły (jeśli korzystasz z naszego pakietu Poziom 2 Bezpieczeństwa lub Poziom 3 Bezpieczeństwa, to my przygotujemy dla Ciebie zestawienie takich informacji, aby zmniejszyć ryzyko, że w stresie o czymś zapomnisz – poinformujemy Cię, jeśli ktoś ujawni w internecie Twój PESEL, adres e-mail lub numer telefonu).
- Po drugie zmień hasła dostępu – wiele laboratoriów daje pacjentom możliwość stworzenia stałego konta, na którym mają dostęp do wszystkich badań.
- Po trzecie – sprawdź czy dane, które wyciekły, zostały już wykorzystane (możesz to zweryfikować w systemie Bezpieczne Dane albo Have Been Pwnd). Możesz też otrzymać powiadomienie SMS o tym, że ktoś sprawdził Cię w KRD, od razu po tym fakcie, jeśli wybierzesz jeden z naszych pakietów.
- Po czwarte – zastrzeż dokumenty, co do których istnieje ryzyko, że mogą zostać wykorzystane ich dane (np. numer karty kredytowej wraz z kodem CVC2, dowód osobisty).
Czy zastrzeżenie PESEL wystarczająco Cię zabezpiecza?
Od 17 listopada każdy polski obywatel ma możliwość zastrzeżenia swojego numer PESEL. Banki, notariusze czy firmy udzielające pożyczek będą miały obowiązek weryfikacji zastrzeżenia od 1 czerwca 2024 r. Jeśli systemy informatyczne zostaną zintegrowane szybciej – będą mogli wdrożyć takie procedury przed terminem granicznym.
Z pewnością jednak zastrzeżenie numeru PESEL nie zadziała natychmiastowo. Nie to jednak powinno najbardziej zaskoczyć obywateli. Jak wyjaśnia ekspert Chroń PESEL Bartłomiej Drozd w rozmowie z serwisem Infor – nawet po zastrzeżeniu numeru PESEL można paść ofiarą hakerów i obudzić się z cudzym kredytem do spłacenia. Jak to możliwe? Wystarczy, że cyberprzestępcy wykorzystają PESEL do założenia firmy i zawnioskują o kredyt na podstawie przyznanego numeru NIP. Numer PESEL mogą wykorzystać też przestępcy np. do wynajmu mieszkania czy auta – wówczas to Ty możesz zostać pociągnięty do odpowiedzialności finansowej i karnej za ewentualne zniszczenie lokalu czy pojazdu.
Zastrzeżenie numeru PESEL jest więc dobrym z założenia, ale niewystarczającym zabezpieczeniem.
Z pewnością jednak zastrzeżenie numeru PESEL nie zadziała natychmiastowo. Nie to jednak powinno najbardziej zaskoczyć obywateli. Jak wyjaśnia ekspert Chroń PESEL Bartłomiej Drozd w rozmowie z serwisem Infor – nawet po zastrzeżeniu numeru PESEL można paść ofiarą hakerów i obudzić się z cudzym kredytem do spłacenia. Jak to możliwe? Wystarczy, że cyberprzestępcy wykorzystają PESEL do założenia firmy i zawnioskują o kredyt na podstawie przyznanego numeru NIP. Numer PESEL mogą wykorzystać też przestępcy np. do wynajmu mieszkania czy auta – wówczas to Ty możesz zostać pociągnięty do odpowiedzialności finansowej i karnej za ewentualne zniszczenie lokalu czy pojazdu.
Zastrzeżenie numeru PESEL jest więc dobrym z założenia, ale niewystarczającym zabezpieczeniem.
Czy da się ustrzec przed zagrożeniem wycieku danych?
Niestety, tak jak nie jesteś w stanie ustrzec się przed kolizjami drogowymi, tak też nie istnieje narzędzie, które w pełni chroniłoby przed wyciekiem zdjęć do internetu, wyłudzeniem danych osobowych czy ich kradzieżą.
A zagrożenie jest spore. Jak wynika z przywoływanego już raportu „Dane osobowe – czy wiemy, jak je chronić?” od co trzeciej osoby cyberprzestępcy próbowali wyłudzić dane osobowe w ciągu minionych 12 miesięcy.
Skoro nie możesz uchronić się przed wyciekami danych pacjentów – zadbaj o to, by jak najszybciej zostać o nich poinformowanym, a tym samym móc ekspresowo zareagować i zapobiec przykrym konsekwencjom tego zdarzenia.
A zagrożenie jest spore. Jak wynika z przywoływanego już raportu „Dane osobowe – czy wiemy, jak je chronić?” od co trzeciej osoby cyberprzestępcy próbowali wyłudzić dane osobowe w ciągu minionych 12 miesięcy.
Skoro nie możesz uchronić się przed wyciekami danych pacjentów – zadbaj o to, by jak najszybciej zostać o nich poinformowanym, a tym samym móc ekspresowo zareagować i zapobiec przykrym konsekwencjom tego zdarzenia.
Bibliografia
1. https://managerplus.pl/najniebezpieczniejsze-grupy-ransomware-w-2023-roku-9390, dostęp: 30.11.2023 r.
2. A. Oksiuta, Łatwe źródła zysków dla hakerów. Wzrosła liczba ataków na placówki medyczne, https://www.pap.pl/aktualnosci/latwe-zrodlo-zyskow-dla-hakerow-wzrosla-liczba-cyberatakow-na-placowki-medyczne, dostęp: 30.11.2023 r.
3. Ustawa z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz.U. 2023 poz. 1394), https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20230001394/O/D20231394.pdf, dostęp: 30.11.2023 r.
4. Dane osobowe – czy wiemy, jak je chronić?, https://uodo.gov.pl/pl/file/4378, dostęp: 30.11.2023 r.
5. Z. Biskupski, Zastrzeżenie numeru PESEL w rejestrze. Wpadasz w pułapkę, nawet o tym nie wiedząc, https://www.infor.pl/prawo/konsument-i-umowy/6374460,zastrzezenie-numeru-pesel-w-rejestrze-wpadasz-w-pulapke-nawet-o-tym.html, dostęp: 30.11.2023 r.
2. A. Oksiuta, Łatwe źródła zysków dla hakerów. Wzrosła liczba ataków na placówki medyczne, https://www.pap.pl/aktualnosci/latwe-zrodlo-zyskow-dla-hakerow-wzrosla-liczba-cyberatakow-na-placowki-medyczne, dostęp: 30.11.2023 r.
3. Ustawa z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz.U. 2023 poz. 1394), https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20230001394/O/D20231394.pdf, dostęp: 30.11.2023 r.
4. Dane osobowe – czy wiemy, jak je chronić?, https://uodo.gov.pl/pl/file/4378, dostęp: 30.11.2023 r.
5. Z. Biskupski, Zastrzeżenie numeru PESEL w rejestrze. Wpadasz w pułapkę, nawet o tym nie wiedząc, https://www.infor.pl/prawo/konsument-i-umowy/6374460,zastrzezenie-numeru-pesel-w-rejestrze-wpadasz-w-pulapke-nawet-o-tym.html, dostęp: 30.11.2023 r.
Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).