My gubimy Twój PESEL a Ty opłać sobie monitoring

Motyla noga! Znowu to się stało! Po wielkim skandalu z ALAB-em w 2023 roku, który miał być kubłem zimnej wody dla całej branży, mamy kolejny odcinek serialu pod tytułem: Twoje dane są u nas bezpieczne (aż do weekendu). Tym razem padło na sieć laboratoriów medycznych Optimed. Efekt? Pani Basia z Kętrzyna właśnie dowiedziała się, że jej najbardziej intymne wyniki badań, numer PESEL i adres zamieszkania stały się publiczną własnością hakerów.

A firma? Firma hojnie sypie rekomendacjami, które Panią Basię będą kosztować nie tylko mnóstwo stresu, ale też realny czas i pieniądze. Optimed uprzejmie radzi: zastrzeż PESEL, opłać sobie monitoring w BIK-u i bądź czujna przy każdym telefonie. Innymi słowy: my zawaliliśmy, ale to Ty teraz martw się i płać.

Deja vu w wersji medycznej

Historia lubi się powtarzać, szczególnie gdy za błędy płacą klienci, a nie zarządy firm oraz konkretne osoby decyzyjne, które przez lata ignorowały sygnały ostrzegawcze. W listopadzie 2023 roku Polska rzekomo zamarła na wieść o wycieku z laboratoriów ALAB. Ponad 200 tysięcy osób trafiło wtedy na listę przebojów Darknetu. Wtedy obiecywano nam nowe standardy, audyty i państwową tarczę.

Ale prawda jest taka, że do dziś miliony Polaków wzruszają ramionami, twierdząc, że ich to nie dotyczyło, bo nigdy nie badali się w placówce pod szyldem ALAB. To właśnie ten moment, w którym wygrywa ignorancja na pełnej parze. Ci ludzie nie wiedzą, że ALAB był podwykonawcą setek mniejszych laboratoriów, przychodni i szpitali w całym kraju. Ich próbki i dane trafiały tam bez ich wyraźnej wiedzy, a potem wyciekły do sieci. Większość osób nawet nie sprawdziła na ogólnodostępnych listach, czy ich numer PESEL został wystawiony na licytację. Uznali, że skoro nie widzieli loga firmy na drzwiach, to są bezpieczni. Dziś, w maju 2026 roku, mamy powtórkę z tej samej lekcji, której nikt nie chciał odrobić, bo po co się martwić na zapas?

Dziś Laboratoria Medyczne Optimed ogłosiły incydent. Grupa hakerów – czy to z sąsiedniej klatki schodowej, czy z drugiego końca świata (bo jakie to ma ostatecznie znaczenie?) – weszła do głównej bazy danych jak do siebie. Ukradli, co chcieli i już. Co wynieśli? Wszystko, co pozwala ukraść tożsamość: imiona, nazwiska, PESEL-e, adresy i – to, co boli najbardziej – wyniki badań laboratoryjnych.

Co tak naprawdę grozi Pani Basi?

Wielu ekspertów i rzeczników prasowych bagatelizuje problem, mówiąc o wycieku danych. Dla Pani Basi to jednak początek horroru, który ma kilka mrocznych odsłon:

• Kradzież tożsamości 2.0: To nie tylko legendarne już kredyty i chwilówki brane na jej nazwisko. To także ryzyko, że ktoś założy firmę-słupa na jej dane, przez którą będą przepływać lewe pieniądze, a za dwa lata zapuka do niej urząd skarbowy lub policja.

• Szantaż intymny: Dane medyczne to nie są zwykłe rekordy w bazie. Jeśli Pani Basia robiła badania w kierunku chorób wenerycznych, onkologicznych czy hormonalnych, hakerzy mają w ręku narzędzie do wieloletniego szantażu. Wiadomość o treści: wiemy, na co chorujesz, wpłać 1000 zł albo dowie się Twoja rodzina i sąsiedzi, to realny scenariusz.

• Oszustwo na lekarza-eksperta: To najbardziej perfidna forma phishingu. Pani Basia odbiera telefon. Głos w słuchawce brzmi profesjonalnie: Dzień dobry, tu doktor Kowalski z kliniki specjalistycznej. Analizuję Pani ostatnie wyniki z Optimedu i muszę Panią zmartwić – poziom markerów jest krytyczny. Jeśli natychmiast nie wykupi Pani naszej terapii za 2000 zł, skutki będą nieodwracalne. Oszust zna daty badań, konkretne parametry i wartości. Dla przerażonej pacjentki brzmi to jak wyrok, a dla przestępcy to łatwy łup.

Pani Basia i kosztowne dobre rady

Pani Basia nie jest hakerem, nie ma pojęcia o wstrzykiwaniu złośliwych zapytań SQL Injection, braku walidacji danych wejściowych czy o tym, że firma prawdopodobnie oszczędziła na wdrożeniu porządnego WAF-a (Web Application Firewall), który odfiltrowałby takie ataki na poziomie brzegu sieci. Pani Basia chciała tylko sprawdzić poziom cholesterolu. Dziś stoi przed dylematem: jak ma zmienić dane, które wyciekły?

W oficjalnych komunikatach Optimed czytamy standardową korporacyjną mantrę:

W celu ograniczenia potencjalnych skutków zdarzenia rekomendujemy niezwłoczne zastrzeżenie numeru PESEL za pośrednictwem serwisu obywatel.gov.pl lub aplikacji mObywatel, a także rozważenie aktywacji monitoringu kredytowego, np. w systemach oferowanych przez Biuro Informacji Kredytowej. Zalecamy również zachowanie szczególnej ostrożności wobec wiadomości e-mail, wiadomości SMS oraz połączeń telefonicznych, które mogą być próbą wyłudzenia dodatkowych danych.

To szczyt bezczelności. Firma gubi Twoje dane, a w zamian daje Ci... listę zadań do wykonania w czasie wolnym. To Pani Basia płaci realną cenę za błędy korporacji:

• Pieniądze na monitoring: Dlaczego Pani Basia ma płacić kilkadziesiąt złotych rocznie za monitoring w BIK, żeby sprawdzić, czy haker nie bierze na nią pożyczki? Firma rekomenduje ten wydatek, bo sama nie potrafiła ochronić jej tożsamości.

• Wymiana dokumentów: Skoro wyciekł PESEL i adres, Pani Basia dla świętego spokoju musi teraz biegać do fotografa, zapłacić za zdjęcia i odstać swoje w kolejce w urzędzie, żeby wymienić dowód osobisty. Firma gubi dane, a Ty tracisz poranek na walkę z biurokracją i nowymi wnioskami o plastik.

• Czas i nerwy: Godziny spędzone na nauce obsługi mObywatela i śledzeniu komunikatów. Każde powiadomienie na telefonie, każdy mail i każda próba połączenia z nieznanego numeru to teraz potencjalny atak phishingowy. Pani Basia musi stać się cyfrowym detektywem, bo Optimed zawiódł jako strażnik.

Wielkie zdziwienie po latach olewania tematu

Najbardziej uderzające jest to, że scenariusz zawsze wygląda tak samo, bo w wielu firmach panuje przekonanie: nas to nie dotyczy, jesteśmy za mali. Zarządy traktują cyberbezpieczeństwo jak czarną dziurę, w której znikają pieniądze, nie dając w zamian żadnych zasięgów ani słupków sprzedaży. Szkolenia pracowników? Przecież umieją obsługiwać Worda, po co im wiedza o socjotechnice? Aktualizacje systemów i regularny patch management? Działa, to nie ruszaj, bo jeszcze się środowisko produkcyjne wyłoży, a przecież nie mamy budżetu na staging i rzetelne testy.

Wielu pracowników ma to po prostu w głębokim poważaniu. Dla nich cyberbezpieczeństwo to problem informatyka, a nie ich codzienna odpowiedzialność. Przesyłanie haseł na żółtych karteczkach, klikanie w każdy link z napisem promocja czy udostępnianie plików bez żadnych zabezpieczeń to smutna norma. Audyty i profesjonalne pentesty? Przecież informatyk od tonerów mówi, że jest bezpiecznie, bo mamy antywirusa na komputerze w recepcji.

A potem... wielkie zdziwienie zarządu! Ojej, padliśmy ofiarą bezprecedensowego, wyrafinowanego ataku! Prawda jest brutalna: hakerzy często nie muszą być wyrafinowani. Wystarczy im dziurawy system CMS, który nie widział aktualizacji od trzech lat, brak segmentacji sieci i pracownik, który uważa, że bezpieczeństwo to nudna teoria. Bez wdrożonego systemu klasy SIEM (Security Information and Event Management) czy SOC (Security Operations Center), firma dowiaduje się o wycieku dopiero, gdy hakerzy wystawiają bazę na sprzedaż.

Strategia 14 dni do zapomnienia

Procedura PR-owa w takich przypadkach jest w Polsce dopracowana do perfekcji.

1. Poinformuj (bo RODO zmusza).

2. Zastosuj pasywno-agresywne przeprosiny (Padliśmy ofiarą ataku – brzmi dumniej niż: nie zablokowaliśmy dostępu).

3. Wywiesz komunikat na stronie głównej (najlepiej małym drukiem).

4. Odlicz 14 dni, aż media zajmą się czymś innym, i skasuj komunikat. Udajemy, że nic się nie stało.

Za miesiąc tego typu firma będzie znów radosną marką. Fakt, że dane Pani Basi będą krążyć w sieci przez setki lat, nie znajdzie się w ich raporcie rocznym. Dane cyfrowe są nieśmiertelne, w przeciwieństwie do cierpliwości oszukanych pacjentów.

Szybkie auta, brak kierowców

Polska przechodzi rekordową cyfryzację. Mamy mObywatela, obowiązkowy KSeF zbierający dane o każdej transakcji w kraju i chatboty w każdym urzędzie. Problem polega na tym, że jako kraj rozdajemy wszystkim szybkie sportowe auta, ale nikt nie nauczył nas nimi jeździć.

Pędzimy autostradą cyfryzacji, zapominając, że bez pasów bezpieczeństwa (cyberhigieny) i hamulców (realnych inwestycji w infrastrukturę IT), każda stłuczka kończy się tragedią. Osobą odpowiedzialną za bezpieczeństwo w firmach medycznych wciąż zbyt często jest informatyk od kabli i tonerów, a zarządy traktują bezpieczeństwo jako koszt, a nie fundament. Wprowadzamy systemy jak KSeF, które są kopalnią wiedzy o finansach Polaków, ale czy naprawdę umiemy pilnować kluczy do tego skarbca, czy skończy się jak zwykle – wielkim zdziwieniem i kolejną darmową lekcją dla hakerów?

Kara? Może kiedyś...

Czy firma zapłaci? Prezes UODO może nałożyć karę. Ale historia uczy, że prawnicy korporacji będą się bić w sądach przez lata, aż sprawa się rozmyje. Kara dla firmy to koszt prowadzenia biznesu. Dla Pani Basi to strach przed każdym nieznanym numerem telefonu do końca życia.

Wnioski? Dopóki wyciek danych medycznych będzie traktowany tak samo lekko jak awaria ekspresu do kawy, nic się nie zmieni. Pani Basia pozostaje sama z zastrzeżonym PESEL-em, płatnym monitoringiem BIK i nowym dowodem osobistym. A my? My czekamy na kolejny wyciek. Bo przecież zmieniliśmy hasło, prawda? Na Maj2026!