Криминальное бюро Лыунаской префектуры начало уголовное производство с целью сбора доказательств незаконного скачивания файлов, содержащих информацию о состоянии здоровья людей. Инспекция по защите данных начала надзорное производство в отношении обработчика данных.
Результатом кибератаки стала кража данных около 10 000 пациентов больниц
В середине ноября Asper Biogene OÜ сообщила в полицию, в Департамент государственной инфосистемы и в Инспекцию по защите данных, что 11 ноября компания узнала, что кто-то незаконно проник в базу данных и скачал различные файлы. Для выяснения обстоятельств произошедшего полиция возбудила уголовное производство, а Инспекция по защите данных возбудила надзорное производство в отношении обработчика данных.
Из базы, которая на данный момент содержит личные данные и информацию о состоянии здоровья примерно 10 000 человек, было скачано около 100 000 копий различных файлов. Эти люди будут уведомлены об этом лично. Часть файлов содержала результаты генетических анализов, которые оказывающие услуги здравоохранения учреждения и частные лица заказывали в компании. Работа по установлению точного содержания данных еще продолжается. Компания Asper Biogene OÜ хорошо сотрудничала с полицией.
По словам старшего прокурора Лыунаской окружной прокуратуры Кретель Тамм, доказательства свидетельствуют о том, что атака с целью получения данных была преднамеренной и продуманной.
«С момента возбуждения уголовного дела и до настоящего момента мы провели срочные процессуальные действия как в Эстонии, так и в рамках международного сотрудничества, чтобы зафиксировать следы преступления и попытаться установить совершившего преступление. Хотя каждый клик оставляет след в виртуальном мире, киберпреступления обычно очень профессиональны: они тщательно планируются, а следы заметаются. Обычно целью является получение преступных доходов. Также в этом случае после кибератаки компании было предъявлено требование денег, после чего компания обратилась в полицию», - сказала Тамм.
Глава криминального бюро Лыунаской префектуры Рейн Восман сказал, что преступники действовали со знанием дела и получили доступ к базам данных компании.
«В сотрудничестве с другими учреждениями мы в настоящее время устанавливаем полный масштаб утечки данных. Преступники потребовали выкуп, и стоит повторить, что деньги в такой ситуации платить ни в коем случае нельзя. Это побуждает их продолжать действовать, но не гарантирует, что данные будут возвращены или преступник сам их удалит. О вымогательстве необходимо немедленно сообщать в полицию, как это было сделано в данном случае. Каждая компания или оказывающее услуги учреждение, которая имеет доступ к личным данным или данным о состоянии здоровья, должна обеспечить хорошую сохранность данных - это означает наличие современных и защищенных информационных систем», - сказал Восман.
Инспекция по защите данных зарегистрировала полученное от Asper Biogene OÜ сообщение о нарушении 15.11.2023 г. Все пострадавшие лица, которых можно установить на основании утекших данных, будут лично уведомлены поставщиками медицинских услуг. Большинство уведомлений будет отправлено в течение сегодняшнего дня (14 декабря).
Генеральный директор Инспекции по защите данных Пилле Лехис: «К сожалению, произошедшее показывает, что опасности в киберпространстве по-прежнему не воспринимаются всерьез. Успешные внешние атаки на организации и сопутствующие им последствия не следует воспринимать как неизбежные. Ответственность каждого обработчика данных заключается, среди прочего, в обеспечении целостности и конфиденциальности данных. За данными стоят реальные люди и реальные жизни, на которых в таких ситуациях это может сильно повлиять. Защита данных важна, и мы все несем ответственность за обеспечение защиты наших данных».
Уголовное дело возбуждено по статье Пенитенциарного кодекса о незаконном получении доступа к компьютерной системе.