Хакери отримали доступ до медичних даних багатьох жителів Естонії

Кримінальне бюро Ліунаської префектури розпочало кримінальне розслідування: з'ясовує, хто незаконно завантажив файли з інформацією про здоров'я людей. Файли були завантажені з бази даних компанії, яка займається генетичним тестуванням. Інспекція захисту даних своєю чергою ініціювала наглядове провадження щодо оброблювача даних.

Про це пише Delfi.

З бази, яка, за наявними даними, містить особисту та медичну інформацію близько 10 тисяч осіб, зловмисники завантажили приблизно 100 тисяч копій різних файлів. Люди, яких це стосується, будуть повідомлені особисто. Частина файлів містила результати генетичних аналізів, які постачальники медичних послуг та приватні особи замовляли в компанії. Що конкретно містили дані, уточнюється. Asper Biogene OÜ всебічно співпрацює з поліцією для з'ясування обставин.

За словами старшого прокурора Ліунаської окружної прокуратури Кретель Тамм, докази свідчать про те, що атака для отримання даних була навмисною та ретельно продуманою.

"З моменту порушення кримінальної справи і до сьогодні ми провели термінові процесуальні дії як в Естонії, так і в межах міжнародного співробітництва, щоб зафіксувати сліди злочину та спробувати встановити винуватця злочину. Хоча кожен клік залишає слід у віртуальному світі, кіберзлочини зазвичай виконані дуже професійно: вони ретельно плануються, а сліди заплутуються. Зазвичай метою є отримання кримінального доходу. Так і в цьому випадку після атаки компанії було висунуто фінансову вимогу, після чого компанія звернулася до поліції", – сказала Тамм.

Голова кримінального бюро Ліунаської префектури Райн Восман повідомив, що злочинці діяли вправно та отримали доступ до баз даних компанії.

"У співпраці з іншими відомствами ми нині встановлюємо повний масштаб витоку даних. Злочинці висунули вимогу про викуп, і варто повторити, що гроші в такій ситуації не можна платити в жодному разі. Це спонукає їх діяти, але не гарантує ні того, що дані буде повернуто, ні того, що злочинець їх видалить. Про здирництво необхідно негайно повідомляти поліцію, як це було зроблено в цьому випадку. Усі компанії та постачальники послуг, які мають справу з особистими або медичними даними, повинні забезпечити належне зберігання даних. Це означає наявність сучасних та захищених інформаційних систем", – сказав Восман.

Генеральний директор Інспекції із захисту даних Пілле Лехіс додає:

"На жаль, подія показує, що загрози в кіберпросторі, як і раніше, не сприймаються серйозно. Успішні зовнішні атаки на організації та супутні їм наслідки не слід сприймати як щось неминуче. Відповідальність кожного оброблювача даних полягає серед іншого в забезпеченні цілісності та конфіденційності даних. За даними стоять реальні люди та реальне життя, на яке в таких ситуаціях можуть сильно вплинути. Захист даних є важливим, і ми всі є відповідальними за забезпечення захисту наших даних".