W ciągu kilkunastu dni dane osobowe kilkuset tysięcy osób trafiły w niepowołane ręce na skutek rażącego naruszenia procedur. Teraz każda z nich może paść ofiarą wyłudzenia i spłacać cudzy kredyt. Najpierw pod koniec października ujawniono, że m.in. imiona i nazwiska oraz numery PESEL 200 tysięcy pacjentów Dolnośląskiego Centrum Onkologicznego zaginęły wraz z laptopem pracownika zewnętrznej firmy informatycznej, który je przechowywał. Zaledwie kilkanaście dni później podobna afera wybuchła w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie. Tu z kolei zaginął laptop pracownika uczelni, na którym przechowywane były dane tysięcy studentów biorących udział w rekrutacji na studia.
Dane do wyłudzenia kredytu
Imię, nazwisko, PESEL , adres zamieszkania – to wystarczające dane, aby próbować przy ich umiejętnym wykorzystaniu wyłudzić na kogoś kredyt gotówkowy, kupić drogi sprzęt na raty, zarejestrować firmę i kupować atrakcyjne towary z odroczonym terminem płatności. Złodziej pozostaje nieuchwytny, a kłopot ma Bogu ducha winny posiadacz PESEL-u wzywany na policję i do sądu, ścigany przez komornika i firmę windykacyjną. Nawet jeśli po wielu miesiącach, a czasami i latach, uda mu się udowodnić, że „to nie on”, nikt nie zrekompensuje mu zszarganych nerwów, stresu i niepewności towarzyszącej każdej wizycie listonosza czy telefonom z nieznanych numerów i pieniędzy wydanych na prawników.
Historia się powtarza
Opisane wcześniej przypadki nie są jedynymi, jakie w ostatnio ujawniono. W maju wykryto, że imiona, nazwiska i PESEL-e 29 tysięcy pacjentów prywatnej poradni medycyny pracy z Wrocławia były widoczne dla każdego, kto wszedł na jej niezabezpieczony serwer. W styczniu z rejestracji szpitala w Bełchatowie zniknął rejestr z danymi 150 pacjentów tamtejszej przychodni. Służba zdrowia to drugi po instytucjach finansowych obiekt ataków hakerów. I bardzo słabo zabezpieczony. A w szpitalach leczy się rocznie 8-9 mln Polaków. Każdy z nich może być nieświadomym „kredytobiorcą.”
Kogo atakują hakerzy
– Opracowane w 2017 r. Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia wykazują, że placówki medyczne są – po instytucjach finansowych – drugim, najczęściej wybieranym celem ataków hakerskich. Autorzy rekomendacji wskazują przy tym, że często nie posiadają one odpowiednich zabezpieczeń systemów informatycznych. Zwracają również uwagę na niepożądane działania ich personelu, które są niezgodne z przyjętymi przez te placówki procedurami. To niestety przekłada się na niskie bezpieczeństwo gromadzonych przez nie danych, a tym samym na bezpieczeństwo finansowe pacjentów, bo przecież przy pomocy takich skradzionych danych można dokonać wielu wyłudzeń. Biorąc pod uwagę, że praktycznie każdy z nas korzysta ze służby zdrowia, zagrożenie jest duże – mówi Anna Marcinkowska, ekspert z platformy ChronPESEL.pl, partnera Krajowego Rejestru Długów.
Brak haseł
Te obserwacje potwierdza analiza ujawnionych przypadków utraty danych. W Dolnośląskim Centrum Onkologicznym dane pacjentów leczonych tam od 2002 roku znajdowały się na zagubionym laptopie pracownika zewnętrznej firmy informatycznej. Serwera przychodni medycyny pracy nikt nie zabezpieczył hasłem. Podobna sytuacja miała miejsce w 2017 roku w szpitalu w Kole, wtedy wyciekły dane 50 tys. pacjentów. Książka z danymi pacjentów w szpitalnej przychodni w Bełchatowie leżała w rejestracji i ktoś ją po prostu wziął i wyniósł. Portal Niebezpiecznik.pl podał pod koniec 2017 roku, że na skutek luki w programie informatycznym wykorzystywanym przez 90 szpitali dane ich pacjentów mogły trafić w niepowołane ręce.
– Przypadek SGGW pokazuje, że słabym punktem mogą być także uczelnie wyższe. To i tak jednak tylko wierzchołek góry lodowej. Do opinii publicznej docierają tylko nieliczne informacje o przypadkach utraty danych osobowych. Przykłady: kiedy zginie laptop albo książka, bądź ktoś nagłośni przypadek luki w systemie informatycznym. Ale często ich administratorzy nawet nie zdają sobie sprawy z tego, że zostały skradzione dane pacjentów, bo hakerzy w przeciwieństwie do włamywaczy nie zostawiają śladów, a w tym przypadku nie dochodzi o fizycznego zaboru danych, tylko ich skopiowania – wyjaśnia Anna Marcinkowska z platformy ChronPESEL.pl.
Liczba poszkodowaych – nieznana
Z tego też względu trudno nie tylko policzyć, ale nawet oszacować ile osób zostało poszkodowanych na skutek kradzieży ich danych. Instytucje finansowe ujawniają jedynie ilu przypadkom wyłudzenia kredytów udało się zapobiec. Dane są jednak niepełne i mocno rozbieżne. Wahają się od ponad 300 milionów złotych rocznie do ponad 2 miliardów złotych. Informacje o faktycznie dokonanych kradzieżach na cudze dane osobowe są skrzętnie ukrywane.
– Tego zagrożenia nie da się uniknąć, może dotknąć każdego. To jak astma czy alergia, znak naszych czasów. Ale to wcale nie oznacza, że jesteśmy bezbronni. Konieczne jest stałe monitorowanie czy ktoś nie wykorzystuje akurat naszego PESEL-u, żeby złożyć wniosek o kredyt lub pożyczkę. Wtedy kredytodawca sprawdza, czy nie widniejemy w Krajowym Rejestrze Długów, ale musi mieć na to naszą zgodę. Jeśli jej nie dawaliśmy, a dostajemy powiadomienie o takim sprawdzeniu, trzeba szybko reagować. Dlatego, że właśnie padamy ofiarą przestępstwa – dodaje Anna Marcinkowska.
Żródło: KRD