W ostatnich miesiącach Polska Agencja Antydopingowa (POLADA) miała paść ofiarą jednego z najbardziej niszczycielskich cyberataków w historii polskiego Internetu. Hakerzy, prawdopodobnie wspierani przez służby wrogiego państwa, mieli włamać się do infrastruktury agencji i wykraść wrażliwe dane dotyczące polskich sportowców. Następnie, 6 sierpnia 2024 roku, opublikowali te informacje w sieci, co wywołało falę oburzenia i zaniepokojenia wśród opinii publicznej.
Skalę wyciekłych danych
Wykradzione dane obejmowały nie tylko podstawowe informacje, takie jak imiona, nazwiska, adresy zamieszkania, numery telefonów i adresy e-mail, ale również dane o szczególnym znaczeniu. Wśród wyciekłych informacji znalazły się wyniki badań antydopingowych, wyniki badań medycznych oraz dokumentacja śledztw prowadzonych przez POLADA. Tego typu dane są niezwykle wrażliwe, a ich ujawnienie może mieć poważne konsekwencje dla dotkniętych osób.
Pierwszy komunikat Agencji
Przez długi czas POLADA unikała publicznego komentowania sprawy, zapewniając jednocześnie, że współpracuje z odpowiednimi instytucjami, takimi jak policja, CERT Polska (Computer Emergency Response Team), Urząd Ochrony Danych Osobowych oraz Ministerstwo Cyfryzacji. Dopiero w środę, w mediach społecznościowych pojawił się pierwszy oficjalny komunikat od dnia ujawnienia informacji o ataku. W swoim oświadczeniu POLADA wezwała do niepowielania informacji dyskredytujących polskich sportowców, które zaczęły pojawiać się w przestrzeni publicznej. Agencja stanowczo określiła je jako „fake newsy”, podkreślając, że „żaden z wymienionych sportowców nie uzyskał wyniku pozytywnego i żaden z przedstawionych terminów nie odpowiada prowadzonym kontrolom antydopingowym”.
Brak szybkiej reakcji POLADA
Niestety, odpowiedź POLADA na ten incydent pozostawia wiele do życzenia. Agencja poinformowała o wycieku dopiero po tym, jak dane zostały już opublikowane w sieci, a w jej komunikacie nie wspomniano o tym, że hakerzy uzyskali dostęp także do danych wrażliwych. Informacje przekazane przez agencję ograniczały się jedynie do podania podstawowych danych, co wzbudziło uzasadnione wątpliwości co do pełnej transparentności działań POLADA.
Dodatkowo, fakt, że o incydencie poinformowano publiczność dopiero prawie 3,5 miesiąca po jego wystąpieniu, jest poważnym uchybieniem. Zgodnie z RODO, administrator danych jest zobowiązany zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin od jego stwierdzenia, a także bez zbędnej zwłoki poinformować osoby, których dane zostały naruszone, jeśli istnieje wysokie ryzyko naruszenia ich praw lub wolności.
Konsekwencje opóźnionej reakcji
Brak szybkiej reakcji ze strony POLADA mógł znacząco zwiększyć skutki tego naruszenia. Szybkie działanie mogłoby pozwolić na podjęcie działań naprawczych, a także na ograniczenie skutków wycieku, poprzez umożliwienie sportowcom zastrzeżenia swoich danych czy zmiany haseł do różnych usług. W obliczu tak poważnego naruszenia, czas jest kluczowy – zarówno dla poprawy bezpieczeństwa danych, jak i ochrony praw osób, których dane zostały naruszone.