Sieć AMEOS ofiarą poważnego naruszenia danych osobowych
Jeden z największych europejskich prywatnych operatorów opieki zdrowotnej — grupa AMEOS — poinformował, że padł ofiarą poważnego naruszenia bezpieczeństwa. Do incydentu doszło mimo istniejących zabezpieczeń, które, jak zapewnia organizacja, były „szeroko zakrojone”. Komunikat, opublikowany w związku z obowiązkiem wynikającym z art. 34 RODO, pojawił się na oficjalnej stronie internetowej AMEOS. Zgodnie z nim, nieuprawnione podmioty uzyskały dostęp do wewnętrznych systemów IT, co mogło doprowadzić do wycieku danych osobowych pacjentów, personelu oraz kontrahentów. Organizacja z siedzibą w Zurychu zarządza siecią ponad 100 placówek w Niemczech, Austrii i Szwajcarii. W jej strukturach pracuje łącznie około 18 tysięcy osób. Roczne przychody grupy przekraczają 1,4 miliarda dolarów, a potencjalny zasięg naruszenia może objąć dane osobowe związane z funkcjonowaniem systemu opieki zdrowotnej w całym regionie DACH. Choć przedstawiciele AMEOS nie udzielili jeszcze szczegółowych informacji dotyczących skali ataku, potwierdzają, że nieautoryzowany dostęp do danych osobowych miał miejsce i że nie można wykluczyć możliwości ich niewłaściwego wykorzystania. Zgodnie z oficjalnym oświadczeniem, chodzi m.in. o dane kontaktowe, dane pacjentów i pracowników oraz informacje związane z podmiotami współpracującymi z grupą.
Zamknięcie systemów i śledztwo w toku
W odpowiedzi na incydent operator natychmiast zamknął dostęp do swoich systemów informatycznych, odłączył wszystkie połączenia sieciowe i nawiązał współpracę z zewnętrznymi ekspertami od informatyki śledczej. Sprawą zajmują się także odpowiednie organy ochrony danych osobowych oraz policja. Do tej pory AMEOS nie posiada informacji, że dane, do których uzyskano dostęp, zostały opublikowane w Internecie, jednak nie można tego wykluczyć, dlatego organizacja zaleca ostrożność wszystkim, którzy kiedykolwiek korzystali z jej usług. AMEOS zaapelował do pacjentów i partnerów o szczególną czujność wobec potencjalnych prób wyłudzenia danych, oszustw telefonicznych lub phishingu. Podkreślono również, że każda osoba potencjalnie objęta incydentem zostanie bezpośrednio poinformowana, gdy tylko zakończy się analiza zakresu naruszenia.
Organizacja nie podała, czy incydent miał charakter typowy dla ataków ransomware, czyli czy dane zostały zaszyfrowane, ani nie wskazała sprawców. W chwili publikacji nie pojawiły się też żadne komunikaty ze strony znanych grup cyberprzestępczych, które zwykle przyznają się do podobnych ataków, publikując fragmenty przejętych danych w darknecie lub w ramach prób szantażu. O ile dochodzenie nadal trwa, już teraz incydent pokazuje, że sektor ochrony zdrowia — mimo wdrożonych zabezpieczeń i dużych nakładów na IT — wciąż pozostaje jednym z głównych celów ataków cyberprzestępców. Wysoka wartość danych medycznych, ich wrażliwość oraz znaczenie dla ciągłości działania systemu opieki sprawiają, że instytucje takie jak AMEOS muszą mierzyć się z ryzykiem znacznie częściej niż podmioty z innych sektorów.
Jeśli potwierdzą się doniesienia o ewentualnym wycieku danych, AMEOS może czekać nie tylko kosztowny proces informowania osób poszkodowanych, ale też ewentualne kary administracyjne wynikające z przepisów RODO. W kolejnych dniach należy spodziewać się dalszych aktualizacji i możliwego ujawnienia, jak wiele osób zostało faktycznie dotkniętych tym incydentem.
