@tomasz-frankowski jakieś źródło?

@ciszej

https://www.privacyshield.gov/ps/article?id=Germany-Data-Privacy-and-Protection#:~:text=Fines%20in%20case%20of%20non%2Dcompliance%20can%20reach%20up%20to%204%25%20of%20the%20annual%20worldwide%20revenue%20or%2020%20million%20euros%20%E2%80%93%20whichever%20is%20higher.%C2%A0

@tomasz-frankowski Karę powinni dostać swoją drogą, podobnego precedensu w skali światowej (żeby typowo medyczne badania wypłynęły) do tej pory nie było, a kara powinna być rekordowa - niezależnie od tego czy by zapłacili.

@tomasz-frankowski Jakiekolwiek potwierdzenie przyznania kary w podobnej sytuacji w Niemczech?

Bo przysłałeś same przepisy GDPR, które ogólnie całej Unii dotyczą więc generalnie nas też.

@tomasz-frankowski ale tu jest tylko informacja że kara może wynieść DO 20 mln euro (lub 4% przychodu), a nie że minimum jak przytoczyłeś.

Byłam ciekawa czy masz przykład konkretnie firmy, która został ukarana mandatem w takiej wysokości. Tym bardziej że w Polsce np. morele miało te kary stosunkowo niskie a opieramy się na podobnym źródle prawa - GDPR.

@tomasz-frankowski 

> W Niemczech taki incydent wiązałby się z minimum 20mln eur mandatu oraz wypłatami dla poszkodowanych.

Bzdura.

20 mln euro to drugi maksymalny próg kary z RODO, ale w Niemczech taka kara za wyciek nie została nigdy orzeczona.

Największa kara tam była za zbieranie danych wbrew prawu - czyli coś całkiem innego.

@zuchtomek 

> Karę powinni dostać swoją drogą, podobnego precedensu w skali światowej (żeby typowo medyczne badania wypłynęły) do tej pory nie było, a kara powinna być rekordowa - niezależnie od tego czy by zapłacili.

Mnóstwo było takich wycieków --> https://www.upguard.com/blog/biggest-data-breaches-in-healthcare

Co więcej - RODO nie przewiduje kary za sam fakt wycieku. Kary są za niezastosowanie adekwatnych do ryzyk środków technicznych i organizacyjnych służących ochronie danych. Jeśli wykorzystana została podatność "zero-day" albo zainfekowano systemy z uwagi na błąd pracownika mimo szkoleń i innych środków to kary może nie być w ogóle.

Ale Polskie UODo jest upośledzone jeszcze (Pisowcy tam siedzą) i będzie dążyć do kary piniężnej.

> Jakiekolwiek potwierdzenie przyznania kary w podobnej sytuacji w Niemczech?

Nie było takiej.

@GordonLameman No tak, trochę mnie poniosło, aczkolwiek USA nie obowiązuje GDPR

Podobny wyciek był we Francji: https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/

Kara €1,5 mln - ale oczywiście nie za sam wyciek, a 'zaniedbania'

@zuchtomek 

Gdyby UODO miało zastosować ten sam przelicznik to w przypadku ALAB kara wyniosłaby ok. 50 mln zł, czyli 6 razy więcej niż zysk spółki za 2022

@ciszej dokładnie w punkt!

@ciszej Jak dla mnie mimo wszystko dane medyczne są cenniejsze i bardziej newralgiczne niż PESELE czy inne teleadresowe informacje.

@zuchtomek a to tak, mi rozchodzi się tylko o fragment o PESELach - jednak na tym skupiła się większość doniesień medialnych i w przypadku każdego wycieku jest to najszerzej komentowane. Jednocześnie są grupy zmuszane do ujawniana pełnych danych osobowych na widok publiczny

@ciszej No zmuszane nie są - nie muszą prowadzić działalności

Skupili się na tych PESELach, żeby pokazać, że COŚ robią.

@ciszej Co do PESEL to każdy specjalista z branży powie, że to co UODo wyrabia z PESELami to debilizm.

PESEL nie powinien być "tajny" - bo nie jest tajny w odniesieniu do dużej grupy osób (KRS, CRBR, etc).

Problemem było to, że w Polsce PESEL był używnay jako login - co jest karygodnym kurwa błędem.

Ale to się powoli zmienia.

@zuchtomek sprytne z tą działalnością xd

@bimberman 

> możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,

Brednie.

> może to ustawka aby zarobić kasę na tych badaniach,

Upośledzone brednie

> może to było planowane przez kartele farmaceutyczne,

Kretyńskie brednie.

> taka ilość danych na temat zdrowia ludzi w danym kraju jest dla tych korpo - bandytów bezcenna

Nie, nie jest bezcenna. W naszym kraju nie są aż tak dużo warte - w USA, gdzie jest pełna dowolnośc przy reklamie usług medycznych są bardzo cenne. U nas? Wyjebka. Żadna firma nie może w UE tych danych wykorzystać. To są dane, które posłużą co najwyżej do spear-phishingu.

A ty jak zwykle prezentujesz postawę "gówno o temacie wiem, to się wypowiem i pokażę wszystkim jaki ze mnie matoł".

@bimberman 

"możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,"

Grupa atakuje różne 'branże', wykorzystuje kod ransomwar'u Babuk i atakuje zapewne po prostu podatne urządzenia/usługi.

Lista ostatnich ofiar, które jeszcze mają czas zapłacić w foto poniżej np: https://www.nidec-gpm.com

"może to ustawka aby zarobić kasę na tych badaniach," - w sensie, że czyja ustawka i kto na tym chce zarobić i po co w takim razie publikuje te dane?

@zuchtomek 

"może to ustawka aby zarobić kasę na tych badaniach," - w sensie, że czyja ustawka i kto na tym chce zarobić i po co w takim razie publikuje te dane?

może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu,

ktoś pisze że info z badań jest nieistotne, że to zwykły włam możliwe ale zawsze trzeba szukać drugiego dna

z jakieś strony (3 kwietnia 2023):

Polski rynek apteczny jest wart prawie 46 mld zł. Połowa obrotów to sprzedaż leków bez recepty (OTC). Prognozy pokazują, że globalny rynek preparatów OTC (Over The Counter) będzie rósł średnio o 7 proc. rocznie przez najbliższe 8 lat. 

jeśli na podstawie badań widać jaki jest stan zdrowia to można na tym zarobić wypuszczając zamienniki czy nowe preparaty na różne dolegliwości - olbrzymia kasa przez następne kilka lat

będzie rósł średnio o 7 proc. rocznie przez najbliższe 8 = 56% 46 mld zł + 56% ??

@bimberman 

> może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu,

W jaki sposób to ma zamydlić oczy?! Dane są opublikowane. Zacznij myśleć. Logicznie, kwa jego mać.

> ktoś pisze że info z badań jest nieistotne, że to zwykły włam możliwe ale zawsze trzeba szukać drugiego dna

Ty to lepiej psychiatry poszukaj.

> jeśli na podstawie badań widać jaki jest stan zdrowia to można na tym zarobić wypuszczając zamienniki czy nowe preparaty na różne dolegliwości - olbrzymia kasa przez następne kilka lat

Bzdura. Informacje o tym na co Polacy najwięcej chorują i z czym wejść na rynek są dostępne w ramch danych statystycznych. To co piszesz nie ma najmniejszego i sensu jest po prostu głupie. Teoria spiskowa godna 6-latka.

@bimberman 

"może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu," - to dalej nie odpowiada na moje pytanie czyja to ustawka..

Alabu? Po co jak oni mieli te dane i mogli je sprzedać po cichu?

"ktoś pisze że info z badań jest nieistotne"

kto tak pisze? Dane są istotne ale dla klientów bo można sprawdzić kto się badał na HIV i szantażować.

"z jakieś strony (3 kwietnia 2023):"

Znów 'z jakiejś' xD

I myślisz, że ten 46mld rynek potrzebuje danych Alabu i próbki 500k Polaków?

Przecież oni pewnie bezpośrednio ze szpitali i po prostu statystyk sprzedażowych widzą co ludzie kupują i na co jest zapotrzebowanie.

@bimberman ty to jestes specjalistą XD

@libertarianin dzięki lubię patrzeć na wszystko z innej perspektywy i zawsze szukam drugiego dna - co nie znaczy że nie mogę się mylić

@GtotheG

Tu możesz sprawdzić, czy Twoje dane wyciekły:

https://bezpiecznedane.gov.pl/

Nie wiem tylko, czy baza jest zaktualizowana - pokazuje 12.2023, więc sprawdziłbym dziś i za parę dni.

CO do samych wyników - no nie mogę tego linkować. Etyka nie pozwala

@GtotheG Możesz na bezpieczne dane tak jak kolega napisał, albo jak nie ufasz rządowi to możesz u mnie albo u @GordonLameman zapewne ( ͡~ ͜ʖ ͡°)

@GordonLameman przeciez tam nawet nie pokazuja tych wynikow tylko czy dane wyciekly i to tylko twoje xD ja swoje znam, ogladac nie musze

@zuchtomek mozna po imieniu i nazwisku kogos sprawdzic?

@GtotheG

Chcesz sprawdzać swoich byłych? xDDDDDDDD

@GtotheG Jeśli ma się dane i potrafi filtrować to oczywiście, natomiast samo ich pobieranie i przetwarzanie jest nielegalne

@GordonLameman tak, problem?

@GtotheG 

Z perspektywy prawa - tak.

Jestem z branży, w dodatku wiąże mnie etyka, więc ja tu niestety nie pomogę

@motokate 

Co więcej, tylko w 60% przypadkach po zapłaceniu okupu dane są odszyfrowywane w przypadku ransomware

@motokate 

Według mnie jest to słuszna postawa jeśli wyciekają dane Twojej firmy, loginy i hasła czy nawet jakieś dane płatności.

Jednak w przypadku kiedy obracasz danymi zdrowotnymi setek tysięcy osób no to jednak dla maksymalizacji starań i zapewnienia bezpieczeństwa tych danych chwyciłbym się zapłaty okupu (mówi się o 500k poszkodowanych i wycenie na 2zł za osobę, więc okup prawdopodobnie na 1mln złotych opiewał.).

Oczywiście - nie ma żadnej gwarancji, ale przestępcom też zależy na swoistej 'reputacji'.

Oni na tym zarabiają i z takiego upubliczniania danych nic nie mają, a czas na taki atak mimo wszystko trzeba poświęcić.

Nie wydaje mi się również, że to kogokolwiek ośmiela - na tyle dużo tych grup istnieje, że większej 'promocji' nie potrzeba, a i tzw. próg wejścia jest tu dość wysoki i jednak niewiele osób to potrafi.

"nie ma sensu powiększać strat płaceniem okupu." - a jakie straty poniósł ALAB, że ma ich 'nie powiększać'? Póki co straty to jedynie prywatność ich klientów..

@GordonLameman Tu nie tyle chodziło o odszyfrowanie co bardziej o to żeby nie zostały upublicznione.

Nie mylmy też ogólnych statystyk wliczających script kiddies korzystających z RaaS ze zorganizowanymi grupami

@zuchtomek 

> Tu nie tyle chodziło o odszyfrowanie co bardziej o to żeby nie zostały upublicznione.

Gdzieś czytałem, że ich zasoby były też zaszyfrowane. Nie wiem jak tam u nich backupy lecą, ale to też może być problem gdy mówisz klientowi, żeby pobrał sobie swoje wyniki z darknetu, bo oni nie mają xD

> Nie mylmy też ogólnych statystyk wliczających script kiddies korzystających z RaaS ze zorganizowanymi grupami 

A to jasna sprawa. Inna rzecz, że gdyby negocjowali to nikt by się nie dowiedział tak wcześnie o wycieku. Trochę dziwne podejście, bo mogli za 1 mln zł temat załatwić, a tak to może kosztować ich dużo więcej.

@GordonLameman Prawdopodobnie zaszyfrowali, ale ALAB nie miał dużej przerwy w działaniu więc raczej odzyskali wszystko z backupów.

@libertarianin 

100% bezpieczeństwa nie istnieje, a jeśli ktoś mówi inaczej to kłamie. Różne są wektory ataku i nawet rozwiązania uważane szeroko za bezpieczne potrafią mieć nieznane szerzej 0-daye czy innego typu backdoory.

Na początku przestępcy opublikowali próbkę - niejako w celu potwierdzenia, że takie dane posiadają, dali czas na zapłatę okupu do końca roku i z obietnicy się wywiązali.

@libertarianin każdy kto choć trochę liznął temat wie że nie ma czegoś takiego jak "zrobienie wzorowo" i spokój

@zgrzyt @zuchtomek ja to wiem, mleko się rozlało - teraz tylko pozostał damage control