Únik dat 10.000 klientů z genetických výzkumů

Únik osobních údajů je vždycky problém. Pro firmu i pro dotčené lidi. Když hacker získá přístup k datům z genetického testování, tak to platí dvojnásob.

Únik dat 10.000 klientů z genetických výzkumů

Estonská společnost Asper Biogene se zabývá genetickým testováním a diagnostikou dědičných chorob. Společnost utrpěla závažný únik dat, který vedl k nelegálnímu stažení osobních a citlivých zdravotních dat zhruba 10.000 jednotlivců. Únik, který vyvolal i trestní vyšetřování, vyvolal vážné obavy o soukromí a bezpečnost citlivých genetických informací klientů.

Únik genetických dat

Společnost Asper Biogene zjistila únik osobních údajů ze svých systémů 11. listopadu 2023. Okamžitě informovala bezpečnostní složky, včetně policie, agentury pro informační systém a estonský úřad pro ochranu dat. Společnost zjistila, že útočník získal přístup k její databázi a stáhl různé soubory ovlivňující zhruba 10.000 lidí.

Vyšetřování stále probíhá

Bezpečnostní složky, včetně Jihoestonského kriminálního úřadu a úřadu pro ochranu dat, incident stále vyšetřují. Během úniku bylo zkopírováno a stáhnuto přibližně 100.000 souborů. Postižení jednotlivci byli osobně informováni svými poskytovateli zdravotní péče.

Odcizená data zahrnují výsledky genetických testů objednaných poskytovateli zdravotní péče, nebo přímo jednotlivými klienty.

Pachatelé údajně stojící za útokem už zaslali požadavek na výkupné, zatím pouze v jediném případě.

Kretel Tamm, vedoucí místního státního zastupitelství, uvedla, že dostupné důkazy naznačují promyšlený kybernetický útok. I přes zavedená bezpečnostní opatření se jim podařilo přistoupit k citlivým informacím.  Rain Vosman, šéf Jihoestonského kriminálního úřadu, varoval před placením výkupného a vyzval firmy, aby věnovaly větší pozornost bezpečnosti dat.

Pille Lehis, generální ředitelka úřadu pro ochranu dat, zdůraznila vážnost úniku s ohledem na jeho rozsah, považujíc jej za největší únik dat, který byl v Estonsku zaznamenán. Podle ní bylo útokem zasaženo 40 zdravotnických společností, včetně těch, které se zabývají testováním plodnosti. Lehis zdůraznila, že během vyšetřování budou zkoumány i bezpečnostní opatření a interní procesy u poskytovatelů zdravotnických služeb.

Uvedla, že dotčení lidé by měli být velmi opatrní vůči e-mailům, které odkazují na jejich genetická data. "Známe případ z Finska, kde unikly informace z psychiatrické nemocnice, a dotčení pacienti byli vydíráni," dodala Lehis.

Právní důsledky úniku dat

Útok a související únik dat jsou bezpečnostními složkami šetřeny v rámci trestního řízení podle ustanovení trestního zákoníku o neoprávněném přístupu k počítačovému systému. Pachatelé mohou být pokutováni nebo odsouzeni k trestu až tří let odnětí svobody. Výše pokuty závisí na velikosti společnosti, rozsahu škod a její spolupráci.

Dotčení lidé budou moci žádat o kompenzaci v případě škody nebo majetkové újmy.

Závažný únik citlivých dat ve společnosti Asper Biogene zvedl vlnu obav ohledně bezpečnosti genetických informací. V této souvislosti také vyvstaly další otázky týkající se dostatečných opatření standardně implementovaných při zpracováni citlivých osobních údajů.

I tento případ totiž jasně demonstruje, jak je ochrana osobních údajů důležitá a jak lze například údaje o zdravotním stavu snadno zneužít s velmi závažnými důsledky pro dotčené osoby.