Cyberatak na niemieckiego dostawcę usług rozliczeniowych dla szpitali Unimed ujawnia dane dziesiątek tysięcy pacjentów prywatnych
Cyberatak na firmę Unimed z Saary, świadczącą usługi rozliczeniowe dla szpitali, naruszył wrażliwe dane osobowe, finansowe i zdrowotne co najmniej 80 000 pacjentów prywatnych w samym Badenii-Wirtembergii, a pełna skala w skali kraju pozostaje nieznana.
Naruszenie i jego wykrycie
Cyberatak na Unimed, ogólnokrajowego dostawcę usług rozliczeniowych dla szpitali z siedzibą w Wadern w Saarze, doprowadził do kradzieży danych dziesiątek tysięcy pacjentów. Firma wykryła włamanie w połowie kwietnia 2026 roku i natychmiast odcięła interfejsy danych do swoich klientów jako środek ostrożności. Specjalistyczni zewnętrzni analitycy kryminalistyczni spędzili tygodnie na badaniu wycieku danych, co pozwoliło Unimed zidentyfikować poszkodowane osoby i powiadomić szpitale do połowy maja.
W zdecydowanej większości wyciekłych danych nie są to szczególnie wrażliwe dane finansowe i zdrowotne pacjentów.
Atak był skierowany bezpośrednio na infrastrukturę IT Unimed, a nie na same szpitale. Według jednostki „Kwalifikowana Cyberprzestępczość” Saarlandzkiego Urzędu Policji Kryminalnej, nieznani sprawcy uzyskali nieautoryzowany dostęp do części systemów firmy. Unimed oświadczył, że napastnicy stracili dostęp podczas samego ataku i że w systemach nie pozostali żadni nieautoryzowani zewnętrzni użytkownicy, które są obecnie ściśle monitorowane przez zewnętrzne Centrum Operacji Bezpieczeństwa.
Skala incydentu
Tylko w Badenii-Wirtembergii państwowy inspektor ochrony danych otrzymał zgłoszenia naruszeń z 17 szpitali. Cztery uniwersyteckie szpitale w tym kraju związkowym po raz pierwszy ujawniły sprawę w połowie maja, a późniejsze doniesienia lokalnych mediów podniosły szacunkową liczbę poszkodowanych pacjentów na południowym zachodzie do co najmniej 80 000. Unimed odmówił ujawnienia pełnej listy klientów ani całkowitej liczby ofiar w skali kraju.
Kiedy dane zdrowotne i inne wrażliwe dane, takie jak dane płatnicze, wpadną w ręce przestępców, zakładamy wysokie ryzyko.
Skradzione dane obejmują nazwiska, adresy, daty urodzenia, informacje finansowe, takie jak numery kont, oraz dane zdrowotne dotyczące diagnoz i historii leczenia. Dotyczy to wyłącznie pacjentów prywatnych i samopłacących.
Złożoność jurysdykcyjna
Odpowiedzialność za śledztwo jest podzielona między kraje związkowe. Ponieważ siedziba Unimed znajduje się w Saarze, władze Saary prowadzą dochodzenie karne i nadzór nad ochroną danych. Centrum Cyberprzestępczości Badenii-Wirtembergii przy Prokuraturze Generalnej w Karlsruhe potwierdziło, że nie zajmuje się bezpośrednio tą sprawą. Niezależne Centrum Ochrony Danych Saary nadzoruje Unimed, podczas gdy inspektor Badenii-Wirtembergii przetwarza zgłoszenia naruszeń ze szpitali na południowym zachodzie i otrzymał już pierwsze skargi od poszkodowanych osób.
Reakcje oficjalne i instytucjonalne
Ministerstwo Zdrowia Badenii-Wirtembergii oświadczyło, że nie ma ani technicznego, ani prawnego nadzoru nad szpitalami, w związku z czym nie ciąży na nim obowiązek zgłaszania. Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) odmówił komentarza i odesłał pytania do Unimed. Stowarzyszenie Szpitali Badenii-Wirtembergii również nie udzieliło informacji. Szpital Uniwersytecki w Tybindze, który skontaktował się ze wszystkimi 902 poszkodowanymi pacjentami, po przeglądzie bezpieczeństwa ponownie otworzył połączenie danych z Unimed.
Porady dla poszkodowanych pacjentów
Organy ochrony konsumentów i urzędnicy ds. ochrony danych wydali wytyczne dla osób, których dane mogły zostać naruszone. Centrum porad konsumenckich zaleca zwiększoną czujność: skrupulatne sprawdzanie podejrzanych e-maili, uważne monitorowanie wyciągów bankowych i kart kredytowych oraz weryfikację tożsamości każdego, kto niespodziewanie kontaktuje się, powołując się na leczenie, ubezpieczenie lub usługi zdrowotne. Państwowy inspektor ochrony danych ostrzegł również przed udostępnianiem wrażliwych informacji zdrowotnych podczas niechcianych rozmów lub wiadomości i wezwał do ostrożności w przypadku faktur, które mogły zostać sfałszowane.
Powinni również dokładnie sprawdzać odbiorców przy płaceniu faktur, ponieważ mogą zostać wysłane potencjalnie sfałszowane faktury.
Zgodnie z RODO osoby poszkodowane mają prawo zapytać, czy i które ich dane zostały ujawnione, oraz mogą dochodzić roszczeń cywilnych z tytułu szkód materialnych lub niematerialnych, jeśli naruszenie RODO, takie jak niewystarczające zabezpieczenia, spowodowało incydent i doprowadziło do wymiernej, odczuwalnej straty. Obecna ocena Unimed, oparta na opinii zleconych specjalistów, jest taka, że publikacja skradzionych danych nie jest już prawdopodobna i jak dotąd nie ma oznak konkretnego nadużycia.
- Unimed wykrywa nieautoryzowany dostęp do swojej infrastruktury IT i odcina interfejsy danych do klientów.
- Analiza kryminalistyczna zakończona; Unimed przekazuje dane poszkodowanych pacjentów szpitalom, aby mogły powiadomić osoby.
- Co najmniej 17 szpitali w Badenii-Wirtembergii złożyło zgłoszenia naruszeń; Szpital Uniwersytecki w Tybindze ponownie otwiera połączenie z Unimed.
