- Pisma otrzymali byli i obecni pracownicy
- Konsekwencje dla pracowników
- Zabezpieczcie swoje dane ostrzegł Centurion R
- Prokuratura Okręgowa i CBZC prowadzą postępowanie
- Urząd Ochrony Danych Osobowych zaleca ostrożność
- Jakie kroki powinna podjąć osoba, której dane mogły zostać wykradzione?
- Można dochodzić odszkodowania
Pisma otrzymali byli i obecni pracownicy
Z pisma rozesłanego przez Centurion, wynikało że 20/21 września br. doszło do ataku ransomware na dane tejże firmy. W wyniku tego ataku wrażliwe dane pracowników zarówno byłych, jak i obecnych mogły wpaść w niepowołane ręce. W piśmie wyszczególniono, jakie dane mogły wpaść w ręce osób trzecich. Są to:
- imię i nazwisko,
- data urodzenia,
- pesel,
- numer telefonu komórkowego,
- adres mailowy,
- adres zamieszkania,
- adres do korespondencji,
- NIP,
- seria i numer dowodu osobistego,
- data wydania dowodu,
- organ wydający dowód tożsamości,
- nazwa Urzędu Skarbowego właściwego do rozliczeń,
- numer konta bankowego,
- Oddział Wojewódzki NFZ,
- imiona rodziców.
Konsekwencje dla pracowników
Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie ich, między innymi w celu uzyskania przez osoby trzecie na szkodę osoby, której dane naruszono kredytów w instytucjach pozabankowych. Jak wiemy, wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób na przykład przez internet, lub telefonicznie bez konieczności okazywania dokumentu tożsamości.Innymi konsekwencjami, które mogą dosięgnąć osób, których dane mogły przejść w posiadanie osób trzecich, jest możliwość wyłudzenia ubezpieczenia lub środków z ubezpieczenia. To może spowodować dla osoby, której dane dotyczą negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.
Zabezpieczcie swoje dane ostrzegł Centurion R
Firma Centurion poleciła w swoim piśmie, aby w celu zabezpieczenia się przed negatywnymi skutkami zaistniałego naruszenia pracownicy podjęli kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji tego incydentu. Pierwszym i najważniejszym krokiem jest zastrzeżenie dowodu osobistego w placówce bankowej. Taki zgłoszony dokument tożsamości wprowadzany jest do bazy systemu dokumentów zastrzeżonych. Z takiej bazy korzystają niemal wszystkie banki oraz szereg innych instytucji. System dokumenty zastrzeżone chroni osoby, które utraciły swoje dokumenty tożsamości, poprzez ograniczenie możliwości ich wykorzystania do celów przestępczych. Osoby, których dane mogły ulec rozpowszechnieniu, mogą również założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej i w razie wykrycia nieautoryzowanych ruchów podjąć działania.Firma Centurion R oświadczyła, na końcu swojego pisma, że podjęła wszelkie konieczne w tym przypadku działania, które mają na celu zminimalizowanie skutków ewentualnego wycieku wrażliwych danych.
- Uprzejmie informujemy, iż aktualnie Prokuratura prowadzi śledztwo w związku z nieuprawnionym utrudnianiem dostępu do danych informatycznych naszej firmy. Niestety nie możemy przekazać Państwu więcej informacji w tej sprawie
- poinformowała naszą redakcję Małgorzata Klimiuk, dyrektor marketingu firmy Centurion-R Sp. z o.o.
Ta odpowiedź potwierdza, nieoficjalne informacje od pracowników tejże firmy o kłopotach z systemem zamówień internetowych oraz problemach na produkcji bezpośrednio po ataku. Ktoś, kto wszedł w posiadanie danych firmy, miał zażądać okupu w zamian za odblokowanie systemu, z którego korzysta firma.
Prokuratura Okręgowa i CBZC prowadzą postępowanie
Sprawą zajęło się Centralne Biuro Zwalczania Cyberprzestępczości w Rzeszowie oraz Prokuratura Okręgowa w Krośnie.
- Centralne Biuro Zwalczania Cyberprzestępczości prowadzi postępowanie dotyczące ataku złośliwym oprogramowaniem na serwery jednej z firm z powiatu Sanockiego. Prowadzone postępowanie nadzorowane jest przez Prokuraturę Okręgową w Krośnie. Na obecnym etapie prowadzonych czynności nie udzielamy więcej informacji
- informuje nas asp. Krzysztof Wrześniowski z Zespołu Prasowego Centralnego Biura Zwalczania Cyberprzestępczości.
Prowadzeni wiadomością od Centralnego Biura Zwalczania Cyberprzestępczości, potwierdziliśmy ten fakt w Prokuraturze Okręgowej.
Prokuratura Okręgowa prowadzi śledztwo w tej sprawie. Na dzień dzisiejszy nie ujawniamy żadnych szczegółów. Dopiero po zakończeniu postępowania będę mogła państwa poinformować o jego wynikach
- przekazuje nam Beata Piotrowicz Prokurator Prokuratury Okręgowej w Krośnie.
Z informacji uzyskanych od pracowników firmy Centurion dowiedzieliśmy się, że Komenda Powiatowa Policji w Sanoku zapisuje dane osób, które zgłaszają się z tą sprawą.
Urząd Ochrony Danych Osobowych zaleca ostrożność
W związku z możliwym wyciekiem wrażliwych danych osobowych, pracowników firmy produkcyjnej, zapytaliśmy rzecznika prasowego UODO o to, jak należy postępować w razie wystąpienia powyższych okoliczności.
W przypadku wystąpienia naruszenia ochrony danych osobowych do UODO trzeba zgłaszać te naruszenia, gdy w związku z ich wystąpieniem istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje nie tylko imię i nazwisko, ale także nr PESEL.
- informuje nas rzecznik prasowy Urzędu Ochrony Danych Osobowych Adam Sanocki.
Ataki hakerskie, czyli przełamywanie zabezpieczeń systemów informatycznych, w których przetwarzane są dane osobowe czy wykorzystywanie istniejących podatności (luk) w tych systemach to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (bądź mają taką możliwość) w posiadanie danych osobowych. W sytuacji, gdy administrator uzna, że istnieje ryzyko ich nieuprawnionego wykorzystania, powinien powiadomić osobę, której dane dotyczą o zaistniałym incydencie. Należy wtedy podjąć odpowiednie działania, aby ograniczać ewentualne negatywne konsekwencje.
- dodaje rzecznik.
Jakie kroki powinna podjąć osoba, której dane mogły zostać wykradzione?
Odpowiadając na pytanie jakie działania powinna podjąć osoba, której dane dotyczą w związku z wystąpieniem naruszenia pragnę podkreślić, że takimi działaniami może być m.in. założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej. Należy także zachować dużą ostrożność podczas podawania danych przez Internet oraz dokładnie analizować komunikaty zawarte np. w wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.
Osoby, które mają podejrzenie, że mogły stać się ofiarami kradzieży tożsamości powinny w pierwszej kolejności zgłaszać się na policję. Prezes UODO, nie jest organem ścigania, nie ma uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.
Można dochodzić odszkodowania
Rzecznik UODO poinformował nas, że każda osoba, która ma wątpliwości, czy administrator właściwie postępuje z danymi osobowymi, w tym przestrzega praw wynikających z RODO, ma prawo złożyć skargę do UODO. Każda sprawa skierowana do UODO jest rozpatrywania indywidualnie z uwzględnieniem wszystkich okoliczności jej dotyczących.Ponadto warto nadmienić, iż każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO.