02-09-2021

Informacja o naruszeniu ochrony danych osobowych

Barak, dnia 02 września 2021 roku

 

INFORMACJA O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

Działając w imieniu SIGMA S.A. (dalej jako Spółka) niniejszym realizując obowiązki administratora danych osobowych wynikające z art. 34 ust. 1 i nast. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO), informujemy, iż w dniu 23 sierpnia 2021 roku, około godziny 00:30 doszło do włamania na jeden z serwerów należących do Spółki, skąd na inne serwery zostały przesłane programy szyfrujące typu ransomware PHOBOS. Zgodnie z uzyskanymi informacjami, atakowi poddane zostały jedynie pliki nie związane z żadną bazą danych (np. SQL). Bazy danych systemów nie zostały naruszone i zaszyfrowane. Po odnalezieniu na zaatakowanych serwerach procesu odpowiedzialnego za szyfrowanie danych, został on wyłączony a ransomware usunięty. Dostępność do szyfrowanych danych została przywrócona w całości z kopii zapasowej w ciągu 48 godzin od daty stwierdzenia ataku. Wśród danych osobowych mogących potencjalnie być przedmiotem naruszenia mogły być dane osobowe naszych kontrahentów i ich pracowników: imię i nazwisko, adres zamieszkania, adres e – mail, seria i numer dowodu osobistego, PESEL, numer telefonu.

Opis możliwych konsekwencji naruszenia ochrony Pani/Pana danych osobowych.

Na chwilę obecną nie mamy żadnych sygnałów, że wskazane powyżej dane osobowe zostały gdzieś upublicznione lub są wykorzystywane przez osobę niepowołaną. Mając na uwadze przebieg zdarzenia oraz podjęte niezwłocznie środki zaradcze, w naszej ocenie nie zachodzi ryzyko wycieku danych osobowych i nieuprawnionego dostępu do nich osób nieuprawnionych. Nie stwierdzono ponadnormatywnego przesyłu danych na routerze w trakcie ataku, co sugeruje, że żadne dane podczas ataku nie zostały wysłane poza sieć firmową. Zalecamy jednak zachowanie czujności oraz zapoznanie się z poniższym wykazem ewentualnych działań osób niepowołanych, które potencjalnie mogą wystąpić.

Z uwagi na zakres danych osobowych, których naruszenie mogło dotyczyć, następstwem naruszenia Pani/Pana danych osobowych w związku z potencjalnym nieuprawnionym dostępem do nich, może być m.in.:

- podjęcie przez osoby trzecie próby uzyskania na Pani/Pana szkodę pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;

- wykorzystanie przez osoby trzecie Pani/Pana danych osobowych do próby wyłudzenia ubezpieczenia;

- uzyskanie przez osoby trzecie dostępu do środków finansowych zgromadzonych na Pani/Pana rachunku bankowym;  

- podjęcie przez osoby trzecie próby zawarcia na Pani/Pana szkodę umów cywilno-prawnych, np. umowy sprzedaży, umowy najmu nieruchomości, umowy na dostawę usług np. telewizji, Internetu, mediów itp.;

- posłużenie się przez osoby trzecie Pani/Pana danymi w celu uzyskania dostępu do określonych usług oferowanych przez podmioty, które udostępniają niektóre swoje usługi w oparciu o identyfikację użytkownika za pomocą numeru PESEL

- nieuprawniony dostęp do skrzynki mailowej.

Opis środków zastosowanych przez administratora w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych      

W związku z zaistniałym naruszeniem ochrony danych osobowych, zgłosiliśmy zdarzenie organom ścigania. Spółka jako administrator danych osobowych przeprowadziła postępowanie wyjaśniające i podjęła środki zaradcze w zakresie ochrony danych osobowych. Podjęliśmy działania mające na celu przeciwdziałanie naruszeniu i zminimalizowanie jego negatywnych skutków dla osób, których dane dotyczą. Niezależnie od powyższego, przeprowadziliśmy analizę przyczyn wystąpienia naruszenia i  zdecydowaliśmy się na wprowadzenie dodatkowych odpowiednich środków, które mają na celu  przeciwdziałać wystąpieniu podobnego incydentu w przyszłości, w szczególności Spółka niezwłocznie podda się szczegółowemu audytowi w zakresie zabezpieczeń realizowanemu przez zewnętrzną firmę specjalizująca się w audytach bezpieczeństwa systemów informatycznych oraz po konsultacji ze specjalistą w zakresie zabezpieczeń, w razie takiej konieczności poweźmie odpowiednie działania zabezpieczające. Z uwagi na incydent, który wystąpił, ponownie zostanie przeprowadzona analiza ryzyka.

Opis środków proponowanych osobie w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych zalecamy Pani/Panu podjęcie następujących działań:

− rekomendujemy skorzystanie z możliwości uzyskania informacji z systemu informacji  kredytowej. W tym celu może Pani/Pan zarejestrować się na stronie Biura Informacji  Kredytowej (BIK) i ściągnąć raport na temat swoich zobowiązań kredytowych i  finansowych. Więcej informacji może Pani/Pan uzyskać na stronie BIK (www.bik.pl/);

− rekomendujemy skorzystanie z możliwości uzyskania informacji na temat Pani/Pana  zobowiązań pieniężnych z biur informacji gospodarczych (BIG). Dostęp do informacji  gospodarczych Pani/Pana dotyczących jest bezpłatny, jeżeli następuje nie częściej niż  raz na 6 miesięcy (art. 23 ustawy o udostępnianiu informacji gospodarczej i wymianie danych gospodarczych). Wykaz biur informacji gospodarczych oraz lista stron  internetowych, na których może Pan uzyskać więcej informacji znajdują się na stronie internetowej:https://www.gov.pl/web/rozwoj-praca-technologia/wykaz-biur-wykonujacych-dzialalnosc-gospodarcza;

− rekomendujemy zachowanie ostrożności przy podawaniu Pani/Pana danych osobowych innym osobom. Dotyczy to w szczególności podawania danych za pośrednictwem Internetu lub przez telefon.

Dane kontaktowe w celu uzyskania dodatkowych informacji:

Jeżeli ma Pani/Pan jakiekolwiek pytania w związku z zaistniałym zdarzeniem, prosimy o kontakt pod numerem telefonu 81 502 33 59 lub w siedzibie Spółki SIGMA S.A, Barak 6, 21 – 002 Jastków.

 

Plik do pobrania

Pozostałe aktualności