W nawiązaniu do wpisu na temat wycieku danych diagnostycznych Polaków - zgodnie z obietnicą przestępcy opublikowali - zuchtomek

Skoro nie chce płacić 2zł od osoby to niech płaci odszkodowania

W Niemczech taki incydent wiązałby się z minimum 20mln eur mandatu oraz wypłatami dla poszkodowanych.

@tomasz-frankowski jakieś źródło?

tomasz-frankowski

https://www.privacyshield.gov/ps/article?id=Germany-Data-Privacy-and-Protection#:~:text=Fines%20in%20case%20of%20non%2Dcompliance%20can%20reach%20up%20to%204%25%20of%20the%20annual%20worldwide%20revenue%20or%2020%20million%20euros%20%E2%80%93%20whichever%20is%20higher.%C2%A0

@ciszej

Germany -Data Privacy and Protection | Privacy Shield

Includes information on data privacy that U.S. firms should be aware of when exporting to the market.

Privacyshield

@tomasz-frankowski Karę powinni dostać swoją drogą, podobnego precedensu w skali światowej (żeby typowo medyczne badania wypłynęły) do tej pory nie było, a kara powinna być rekordowa - niezależnie od tego czy by zapłacili.

@tomasz-frankowski Jakiekolwiek potwierdzenie przyznania kary w podobnej sytuacji w Niemczech?

Bo przysłałeś same przepisy GDPR, które ogólnie całej Unii dotyczą więc generalnie nas też.

@tomasz-frankowski ale tu jest tylko informacja że kara może wynieść DO 20 mln euro (lub 4% przychodu), a nie że minimum jak przytoczyłeś.

Byłam ciekawa czy masz przykład konkretnie firmy, która został ukarana mandatem w takiej wysokości. Tym bardziej że w Polsce np. morele miało te kary stosunkowo niskie a opieramy się na podobnym źródle prawa - GDPR.

@tomasz-frankowski

> W Niemczech taki incydent wiązałby się z minimum 20mln eur mandatu oraz wypłatami dla poszkodowanych.

Bzdura.

20 mln euro to drugi maksymalny próg kary z RODO, ale w Niemczech taka kara za wyciek nie została nigdy orzeczona.

Największa kara tam była za zbieranie danych wbrew prawu - czyli coś całkiem innego.

@zuchtomek

> Karę powinni dostać swoją drogą, podobnego precedensu w skali światowej (żeby typowo medyczne badania wypłynęły) do tej pory nie było, a kara powinna być rekordowa - niezależnie od tego czy by zapłacili.

Mnóstwo było takich wycieków --> https://www.upguard.com/blog/biggest-data-breaches-in-healthcare

Co więcej - RODO nie przewiduje kary za sam fakt wycieku. Kary są za niezastosowanie adekwatnych do ryzyk środków technicznych i organizacyjnych służących ochronie danych. Jeśli wykorzystana została podatność "zero-day" albo zainfekowano systemy z uwagi na błąd pracownika mimo szkoleń i innych środków to kary może nie być w ogóle.

Ale Polskie UODo jest upośledzone jeszcze (Pisowcy tam siedzą) i będzie dążyć do kary piniężnej.

> Jakiekolwiek potwierdzenie przyznania kary w podobnej sytuacji w Niemczech?

Nie było takiej.

14 Biggest Healthcare Data Breaches [Updated 2023] | UpGuard

A list of the biggest data breaches rocking the healthcare industry in 2023, ranked by degree of impact.

Upguard

@GordonLameman No tak, trochę mnie poniosło, aczkolwiek USA nie obowiązuje GDPR

Podobny wyciek był we Francji: https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/

Kara €1,5 mln - ale oczywiście nie za sam wyciek, a 'zaniedbania'

Medical software firm fined €1.5M for leaking data of 490k patients

The French data protection authority (CNIL) fined medical software vendor Dedalus Biology with EUR 1.5 million for violating three articles of the GDPR (General Data Protection Regulation).

Gdyby UODO miało zastosować ten sam przelicznik to w przypadku ALAB kara wyniosłaby ok. 50 mln zł, czyli 6 razy więcej niż zysk spółki za 2022

@zuchtomek bawi mnie trochę guwnoburza z wyciekiem peseli, bo jakoś nikt nie protestuje o rządowy crbr, a tam mamy cały przegląd informacji o osobach xd

gawafe1241 rok temu

@ciszej dokładnie w punkt!

@ciszej Jak dla mnie mimo wszystko dane medyczne są cenniejsze i bardziej newralgiczne niż PESELE czy inne teleadresowe informacje.

@zuchtomek a to tak, mi rozchodzi się tylko o fragment o PESELach - jednak na tym skupiła się większość doniesień medialnych i w przypadku każdego wycieku jest to najszerzej komentowane. Jednocześnie są grupy zmuszane do ujawniana pełnych danych osobowych na widok publiczny

@ciszej No zmuszane nie są - nie muszą prowadzić działalności

Skupili się na tych PESELach, żeby pokazać, że COŚ robią.

@ciszej Co do PESEL to każdy specjalista z branży powie, że to co UODo wyrabia z PESELami to debilizm.

PESEL nie powinien być "tajny" - bo nie jest tajny w odniesieniu do dużej grupy osób (KRS, CRBR, etc).

Problemem było to, że w Polsce PESEL był używnay jako login - co jest karygodnym kurwa błędem.

Ale to się powoli zmienia.

@zuchtomek sprytne z tą działalnością xd

m-q rok temu

Sorry, ale za sprawdzenie bezpieczeństwa danych w IT się płaci. Ekipa zrobiła to może i bez konkretnego zamówienia ze strony ALAB, ale skutecznie wykryli luki i pewnie nawet wskazaliby je w ramach zapłaconego rachunku

bimberman rok temu

Zdarzenie to jest przede wszystkim konsekwencją stanowczej postawy spółki, która nie negocjuje z cyberprzestępcami i nie zamierza spełniać ich żądań w zakresie okupu.

do których nieautoryzowany dostęp uzyskali przestępcy.

możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,

może to ustawka aby zarobić kasę na tych badaniach,

może to było planowane przez kartele farmaceutyczne,

taka ilość danych na temat zdrowia ludzi w danym kraju jest dla tych korpo - bandytów bezcenna

> możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,

Brednie.

> może to ustawka aby zarobić kasę na tych badaniach,

Upośledzone brednie

> może to było planowane przez kartele farmaceutyczne,

Kretyńskie brednie.

> taka ilość danych na temat zdrowia ludzi w danym kraju jest dla tych korpo - bandytów bezcenna

Nie, nie jest bezcenna. W naszym kraju nie są aż tak dużo warte - w USA, gdzie jest pełna dowolnośc przy reklamie usług medycznych są bardzo cenne. U nas? Wyjebka. Żadna firma nie może w UE tych danych wykorzystać. To są dane, które posłużą co najwyżej do spear-phishingu.

A ty jak zwykle prezentujesz postawę "gówno o temacie wiem, to się wypowiem i pokażę wszystkim jaki ze mnie matoł".

"możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,"

Grupa atakuje różne 'branże', wykorzystuje kod ransomwar'u Babuk i atakuje zapewne po prostu podatne urządzenia/usługi.

Lista ostatnich ofiar, które jeszcze mają czas zapłacić w foto poniżej np: https://www.nidec-gpm.com

"może to ustawka aby zarobić kasę na tych badaniach," - w sensie, że czyja ustawka i kto na tym chce zarobić i po co w takim razie publikuje te dane?

Startseite - nidec-gpm.de

Nidec-gpm

bimberman rok temu

@zuchtomek

"może to ustawka aby zarobić kasę na tych badaniach," - w sensie, że czyja ustawka i kto na tym chce zarobić i po co w takim razie publikuje te dane?

może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu,

ktoś pisze że info z badań jest nieistotne, że to zwykły włam możliwe ale zawsze trzeba szukać drugiego dna

z jakieś strony (3 kwietnia 2023):

Polski rynek apteczny jest wart prawie 46 mld zł. Połowa obrotów to sprzedaż leków bez recepty (OTC). Prognozy pokazują, że globalny rynek preparatów OTC (Over The Counter) będzie rósł średnio o 7 proc. rocznie przez najbliższe 8 lat.

jeśli na podstawie badań widać jaki jest stan zdrowia to można na tym zarobić wypuszczając zamienniki czy nowe preparaty na różne dolegliwości - olbrzymia kasa przez następne kilka lat

będzie rósł średnio o 7 proc. rocznie przez najbliższe 8 = 56% 46 mld zł + 56% ??

> może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu,

W jaki sposób to ma zamydlić oczy?! Dane są opublikowane. Zacznij myśleć. Logicznie, kwa jego mać.

> ktoś pisze że info z badań jest nieistotne, że to zwykły włam możliwe ale zawsze trzeba szukać drugiego dna

Ty to lepiej psychiatry poszukaj.

> jeśli na podstawie badań widać jaki jest stan zdrowia to można na tym zarobić wypuszczając zamienniki czy nowe preparaty na różne dolegliwości - olbrzymia kasa przez następne kilka lat

Bzdura. Informacje o tym na co Polacy najwięcej chorują i z czym wejść na rynek są dostępne w ramch danych statystycznych. To co piszesz nie ma najmniejszego i sensu jest po prostu głupie. Teoria spiskowa godna 6-latka.

"może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu," - to dalej nie odpowiada na moje pytanie czyja to ustawka..

Alabu? Po co jak oni mieli te dane i mogli je sprzedać po cichu?

"ktoś pisze że info z badań jest nieistotne"

kto tak pisze? Dane są istotne ale dla klientów bo można sprawdzić kto się badał na HIV i szantażować.

"z jakieś strony (3 kwietnia 2023):"

Znów 'z jakiejś' xD

I myślisz, że ten 46mld rynek potrzebuje danych Alabu i próbki 500k Polaków?

Przecież oni pewnie bezpośrednio ze szpitali i po prostu statystyk sprzedażowych widzą co ludzie kupują i na co jest zapotrzebowanie.

libertarianin

@bimberman ty to jestes specjalistą XD

bimberman rok temu

@libertarianin dzięki lubię patrzeć na wszystko z innej perspektywy i zawsze szukam drugiego dna - co nie znaczy że nie mogę się mylić

@zuchtomek a gdzie mozna sprawdzic te wyniki?

https://bezpiecznedane.gov.pl/

@GtotheG

Tu możesz sprawdzić, czy Twoje dane wyciekły:

Nie wiem tylko, czy baza jest zaktualizowana - pokazuje 12.2023, więc sprawdziłbym dziś i za parę dni.

CO do samych wyników - no nie mogę tego linkować. Etyka nie pozwala

Bezpieczne dane

Bezpiecznedane

@GtotheG Możesz na bezpieczne dane tak jak kolega napisał, albo jak nie ufasz rządowi to możesz u mnie albo u @GordonLameman zapewne ( ͡~ ͜ʖ ͡°)

@GordonLameman przeciez tam nawet nie pokazuja tych wynikow tylko czy dane wyciekly i to tylko twoje xD ja swoje znam, ogladac nie musze

@zuchtomek mozna po imieniu i nazwisku kogos sprawdzic?

@GtotheG

Chcesz sprawdzać swoich byłych? xDDDDDDDD

@GtotheG Jeśli ma się dane i potrafi filtrować to oczywiście, natomiast samo ich pobieranie i przetwarzanie jest nielegalne

@GordonLameman tak, problem?

@GtotheG

Z perspektywy prawa - tak.

Jestem z branży, w dodatku wiąże mnie etyka, więc ja tu niestety nie pomogę

motokate rok temu

> Jak oceniasz działania ALABu po wycieku?

@zuchtomek IMHO słuszna postawa - nie ma żadnej gwarancji, że po zapłaceniu okupu dane i tak nie zostaną opublikowane albo nie wystosowane zostaną kolejne żądania, a każdy zapłacony okup ośmiela kolejnych chętnych do ataku. Dane wyciekły, mleko się rozlało, i tak gdzieś prędzej czy później by zaczęły krążyć - nie ma sensu powiększać strat płaceniem okupu.

@motokate

Co więcej, tylko w 60% przypadkach po zapłaceniu okupu dane są odszyfrowywane w przypadku ransomware

@motokate

Według mnie jest to słuszna postawa jeśli wyciekają dane Twojej firmy, loginy i hasła czy nawet jakieś dane płatności.

Jednak w przypadku kiedy obracasz danymi zdrowotnymi setek tysięcy osób no to jednak dla maksymalizacji starań i zapewnienia bezpieczeństwa tych danych chwyciłbym się zapłaty okupu (mówi się o 500k poszkodowanych i wycenie na 2zł za osobę, więc okup prawdopodobnie na 1mln złotych opiewał.).

Oczywiście - nie ma żadnej gwarancji, ale przestępcom też zależy na swoistej 'reputacji'.

Oni na tym zarabiają i z takiego upubliczniania danych nic nie mają, a czas na taki atak mimo wszystko trzeba poświęcić.

Nie wydaje mi się również, że to kogokolwiek ośmiela - na tyle dużo tych grup istnieje, że większej 'promocji' nie potrzeba, a i tzw. próg wejścia jest tu dość wysoki i jednak niewiele osób to potrafi.

"nie ma sensu powiększać strat płaceniem okupu." - a jakie straty poniósł ALAB, że ma ich 'nie powiększać'? Póki co straty to jedynie prywatność ich klientów..

@GordonLameman Tu nie tyle chodziło o odszyfrowanie co bardziej o to żeby nie zostały upublicznione.

Nie mylmy też ogólnych statystyk wliczających script kiddies korzystających z RaaS ze zorganizowanymi grupami

@zuchtomek

> Tu nie tyle chodziło o odszyfrowanie co bardziej o to żeby nie zostały upublicznione.

Gdzieś czytałem, że ich zasoby były też zaszyfrowane. Nie wiem jak tam u nich backupy lecą, ale to też może być problem gdy mówisz klientowi, żeby pobrał sobie swoje wyniki z darknetu, bo oni nie mają xD

> Nie mylmy też ogólnych statystyk wliczających script kiddies korzystających z RaaS ze zorganizowanymi grupami

A to jasna sprawa. Inna rzecz, że gdyby negocjowali to nikt by się nie dowiedział tak wcześnie o wycieku. Trochę dziwne podejście, bo mogli za 1 mln zł temat załatwić, a tak to może kosztować ich dużo więcej.

@GordonLameman Prawdopodobnie zaszyfrowali, ale ALAB nie miał dużej przerwy w działaniu więc raczej odzyskali wszystko z backupów.

3zet rok temu

@zuchtomek kara karą ale rozegrali to wzorowo, w takich sytuacjach się nie negocjuje.

libertarianin

@zuchtomek jakby zrobili to wzorowo to by nie było wycieku

tak to najwyżej dostateczny minus mogą dostać bo nie negocjowali z nimi, wyjasniło się jak to się stało że wysłali maila o wycieku danych A a potem się okazało że są dane B jakieś? bo nie wczytywałem się za bardzo

@libertarianin

100% bezpieczeństwa nie istnieje, a jeśli ktoś mówi inaczej to kłamie. Różne są wektory ataku i nawet rozwiązania uważane szeroko za bezpieczne potrafią mieć nieznane szerzej 0-daye czy innego typu backdoory.

Na początku przestępcy opublikowali próbkę - niejako w celu potwierdzenia, że takie dane posiadają, dali czas na zapłatę okupu do końca roku i z obietnicy się wywiązali.

zgrzyt rok temu

@libertarianin każdy kto choć trochę liznął temat wie że nie ma czegoś takiego jak "zrobienie wzorowo" i spokój

libertarianin