14 grudnia 2023 r. estoński Inspektorat Ochrony Danych (DPI) ogłosił, że w wyniku cyberataku doszło do naruszenia danych w firmie Asper Biogene OÜ, specjalizującej się w badaniach genetycznych. Asper Biogene poinformowała policję, DPI i Urząd Systemów Informacyjnych (RIA), że nieautoryzowana osoba uzyskała dostęp do ich bazy danych i pobrała różne pliki.
DPI poinformowało, że z bazy danych pobrano około 100 000 różnych plików, zawierających dane osobowe i informacje dotyczące stanu zdrowia około 10 000 osób. Osoby te zostaną indywidualnie powiadomione o naruszeniu danych przez podmioty, które zamówiły testy genetyczne w Asper Biogene. DPI udostępniło również listę 43 firm świadczących usługi zdrowotne lub inne, które zostały dotknięte incydentem.
DPI wyjaśniło, że władze nadal pracują nad ustaleniem dokładnej zawartości plików i pełnego zakresu danych objętych wyciekiem. Prace te mają na celu zidentyfikowanie potencjalnych zagrożeń dla prywatności i bezpieczeństwa danych pacjentów, a także ocenę potencjalnych konsekwencji naruszenia dla osób, których dane mogły zostać wykorzystane w sposób nieuprawniony.
DPI zwróciło się do wszystkich podmiotów, które współpracowały z Asper Biogene, o podjęcie dodatkowych środków ostrożności w celu ochrony danych pacjentów i zapobiegania dalszemu naruszeniu prywatności. DPI zaleciło wzmocnienie procedur bezpieczeństwa IT, regularne przeglądy systemów i stałe monitorowanie aktywności sieciowej.
Dodatkowo DPI wskazało na konieczność podjęcia działań zwiększających świadomość pacjentów, aby ci mieli wiedzę dotyczącą możliwych ryzyk związanych z naruszeniem ich danych. Zaleca się, aby pacjenci monitorowali swoje raporty kredytowe i byli czujni wobec potencjalnych oszustw lub nieautoryzowanego wykorzystania ich danych.
Asper Biogene, współpracując z odpowiednimi organami, podjęło kroki mające na celu zabezpieczenie swoich systemów i zapobieganie podobnym incydentom w przyszłości. Firma zobowiązała się do przeprowadzenia kompleksowej analizy bezpieczeństwa i wdrożenia dodatkowych środków ochrony danych.