Cyberatak na centrum zdrowia psychicznego. Komunikat po 3 latach

„Niniejszym informujemy, że w związku z wydarzeniem, które miało miejsce 3 marca 2023 roku, gdzie doszło do infekcji oprogramowaniem typu ransomware, zaszyfrowane zostały dane niektórych plików i użytkowników w SP ZOZ Szpitalu Specjalistycznym MSWiA w Złocieńcu w podległej jednostce Centrum Zdrowia Psychicznego w Drawsku Pomorskim” – czytamy w komunikacie szpitala z 5 maja br.

W dalszej części komunikatu wskazano wprost, że incydent dotyczy systemu informatycznego CZP w Drawsku Pomorskim.

W treści podkreślono, że śledztwo przeprowadzone przez CBZC oraz analizy ekspertów „CSIRT i NASK” (prawdopodobnie CSIRT NASK – przyp. red.) nie dostarczyły jednoznacznych dowodów na kradzież danych. Należy przy tym podkreślić, że to nie przesądza o tym, iż wycieku nie było.

Atak ransomware. Czy dane wyciekły?

Wskutek cyberataku doszło do zaszyfrowania plików na komputerze zawierającym „archiwalną bazę danych pacjentów”. Uznano, że wiąże się to z wysokim ryzykiem potencjalnej kradzieży (oraz nieuprawnionego dostępu).

Co ważne, zdarzenie spowodowało utratę dostępności do danych oraz duże prawdopodobieństwo naruszenia ich poufności.

Ze względu na specyfikę działania ransomware istnieje wysokie prawdopodobieństwo, że dane osobowe zostały przejęte w sposób nieuprawniony przez cyberprzestępców przed ich zaszyfrowaniem. (…) nie możemy jednoznacznie potwierdzić, czy Państwa dane zostały skradzione, jednak istnieje wysokie prawdopodobieństwo kradzieży tych danych.
SP ZOZ Szpital Specjalistyczny MSWiA w Złocieńcu o incydencie w Centrum Zdrowia Psychicznego w Drawsku Pomorskim

Wiadomo również, że incydent został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych.

Brak dowodów – to źle

W komunikacie SP ZOZ wskazano, że niemożliwe jest jednoznaczne stwierdzenie tego, czy dane zostały wykradzione. Brak jednoznacznego stanowiska odnośnie kradzieży danych wskazuje na brak możliwości analizy logów („dziennika zdarzeń”).

Nie byłby to pierwszy raz w polskim podmiocie publicznym – analiza systemów po ataku ransomware na Starostwo Powiatowe w Jędrzejowie również nie wykazała, czy cyberprzestępcom udało się wykraść dane 80 tys. osób.

Jednocześnie nie mamy informacji o tym, aby osoby zostały wcześniej poinformowane o zdarzeniu. Niewykluczone, że poszkodowani otrzymali stosowny komunikat wcześniej, lecz wpis z 5 maja jest pierwszą publiczną informacją o incydencie, która była przez nas możliwa do znalezienia w sieci. W treści komunikatu nie wskazano, aby było to powtórne zawiadomienie osób, lecz tytuł komunikatu to „Aktualizacja z dnia 05.05.2026 roku”.

Artykuł 34 RODO zobowiązuje administratora do poinformowania osób „bez zbędnej zwłoki”, lecz nie określa jasnych terminów zawiadomienia.

Jeżeli osoby, których dotyczy naruszenie ochrony danych, nie otrzymały informacji wcześniej, byłoby to bardzo niepokojące, ponieważ przez trzy lata nie wiedziały o zdarzeniu. Art. 34 ust. 3 lit c RODO umożliwia wydanie publicznego komunikatu (takiego jak z 5 maja br.) w sytuacji, gdy zawiadomienie osoby wymagałoby „niewspółmiernie dużego wysiłku”.

Kategorie danych i grupy osób

Wśród rodzajów danych, których bezpieczeństwo uległo naruszeniu znalazły się m.in.:

• imię i nazwisko;
• PESEL;
• nr dokumentu stwierdzającego tożsamość;
• organ wydający oraz data ważności;
• data urodzenia;
• obywatelstwo;
• adres zamieszkania, zameldowania i/lub korespondencyjny;
• numer telefonu;
• adres e-mail;
• dokumentacja medyczna;
• „w minimalnym zakresie dane dotyczące faktu aresztowania lub zatrzymania przez organy ścigania” (w przypadku udzielania świadczeń zdrowotnych).

Incydent obejmuje zarówno pacjentów (oraz osoby upoważnione) i pracowników placówki.

Jak się chronić?

Naruszenie obejmuje wiele rodzajów danych osobowych. Niezależnie od tego, czy nasze dane zostały potencjalnie wykradzione, powinniśmy stosować poniższe zalecenia:

• zastrzeżenie numeru PESEL;
• stosowanie dwuetapowego uwierzytelniania;
• korzystanie z silnych i unikalnych haseł;
• ostrożność wobec prób kontaktu od nieznajomych osób, szczególnie gdy nakłaniają nas do podania swoich danych osobowych lub podjęcia niezwłocznego działania.

Po otrzymaniu informacji o naruszeniu ochrony danych warto rozważyć skorzystanie z usług np. BIK czy ChrońPESEL oraz kontakt z inspektorem ochrony danych.