Gdańsk, 12 lipca 2023 roku
HK Finance sp. z o.o.
Al.
Grunwaldzka 472
Budynek
Olivia Four
80-309
Gdańsk
KOMUNIKAT O
NARUSZENIU OCHRONY DANYCH OSOBOWYCH
Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady
(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE, działając jako administrator
danych osobowych oraz jako podmiot przetwarzający dane w imieniu klientów,
których dane osobowe zostały nam przekazane w ramach usług o świadczenie usług
księgowych oraz usług kadrowo-płacowych, informujemy, że w ostatnim czasie
doszło do zdarzenia, wskutek którego dostęp do 2% naszych archiwalnych zasobów osobowych uzyskały osoby, które nie są do
tego uprawnione.
Z uwagi na fakt, iż znacząca część
indywidulanej korespondencji wysłanej do osób, których dane osobowe zostały
wykradzione a dokonanej przez Spółkę listami poleconymi na adresy, w których
posiadaniu była Spółka według stanu w archiwalnych bazach danych - w dniu
dzisiejszym Zarząd HK Finance podjął decyzję o dodatkowym poinformowaniu w drodze
publicznego komunikatu.
Poniżej przekazujemy informacje na temat tego zdarzenia,
działań przez nas podjętych, a także działań, które można podjąć aby
zminimalizować potencjalne skutki tego przestępstwa.
Jak doszło do
naruszenia danych osobowych
W dniu 23 maja 2023 r. HK Finance sp. z o.o. ("Spółka")
dowiedziała się, że niektóre archiwalne dane osobowe (poniżej 2% posiadanych danych
osobowych) zlokalizowanych na serwerach kopii zapasowych zostały bezprawnie
pozyskane i ujawnione przez osoby trzecie w wyniku przestępstwa -
ukierunkowanego ataku hackerskiego na systemy informatyczne Spółki. Incydentem
zostało objęte środowisko serwerowe Spółki. Atakujący przy pomocy
oprogramowania wirusowego typu ransomware uzyskali dostęp do infrastruktury
informatycznej Spółki, w tym do archiwalnej danych osobowych naszych
pracowników i pracowników naszych klientów.
W wyniku ataku, w najszerszym ujęciu ukradzione następujące
dane osobowe:
imię i nazwisko
numer PESEL
Data urodzenia
Adres zamieszkania
Adres e-mail
Informacja o wysokości archiwalnego
wynagrodzenia
Powyższe dane osobowe zostały bezprawnie ukradzione przez
hakerów i nie jesteśmy w stanie samodzielnie oszacować, ile osób mogło
potencjalnie uzyskać dostęp.
Jakie są
potencjalne ryzyka związane z wykorzystaniem wykradzionych danych osobowych?
Pragniemy zwrócić szczególnie uwagę wszystkich
zainteresowanych osób, iż osoba, która ma dostęp do wykradzionych danych
osobowych, może bezprawnie:
- założyć
konto internetowe z użyciem ich danych osobowych w serwisach internetowych
nieweryfikujących danych użytkowników;
- próbować
podszyć się pod inną osobę lub instytucję w celu wyłudzenia od nich dodatkowych
informacji (np. danych do logowania, szczegółów ich karty kredytowej);
- wykorzystać
wykradzione dane osobowe do zarejestrowania karty telefonicznej typu prepaid,
która może posłużyć do celów przestępczych;
- próbować
uzyskać pożyczki w instytucjach poza bankowych, w których nie ma konieczności
okazywania dokumentu tożsamości np.
przez Internet lub telefonicznie;
- próbować
wykorzystać wykradzione dane osobowe do uwierzytelniania (weryfikacji
tożsamości) i zaciągania zobowiązań w ich imieniu, np. w sklepach
internetowych;
- próbować
uzyskać wgląd do danych o ich stanie zdrowia osoby, której dane wykradziono
poprzez pozyskanie dostępu do systemów obsługujących udzielanie świadczeń
medycznych, w których dostęp do rejestracji pacjenta można uzyskać, potwierdzając
swoją tożsamość za pomocą numeru PESEL;
- próbować
wykorzystać skradzione dane osobowe do wyłudzenia ubezpieczenia, np. na skutek
podania fałszywych informacji o wypadku komunikacyjnym;
- próbować
wykorzystywać skradzione dane osobowe do zawarcia umów cywilnoprawnych, np.
najmu nieruchomości lub umowy sprzedaży;
- próbować
wykorzystywać skradzione dane osobowe do oddania głosu w głosowaniu nad
środkami budżetu obywatelskiego, tym samym skorzystać z ich praw obywatelskich;
- próbować
wykorzystywać skradzione dane o ukrycia swojej tożsamości, np. przy
otrzymywaniu mandatu.
Jakie działania
mogą podjąć osoby, których ochrona danych osobowych została naruszona, by
ograniczyć ryzyko negatywnych konsekwencji?
Można zabezpieczyć swoje dane osobowe przed nieuprawnionym
wykorzystaniem swoich danych osobowych zakładając konto w systemie informacji
kredytowej lub gospodarczej w celu monitorowania swojej aktywności kredytowej i
otrzymywania informacji w sytuacji złożenia wniosku kredytowego zawierającego
ich dane osobowe. Takie funkcjonalności oferują m.in. system alertów Biura
Informacji Kredytowej (www.bik.pl) oraz system Bezpieczny PESEL
(www.bezpiecznypesel.pl).
Prosimy również aby zachować szczególną ostrożność przy
podawaniu w najbliższym czasie swoich danych osobowych innym osobom. Osoby,
które potencjalnie mogły wejść w posiadanie danych osobowych mogą próbować
kontaktować się z takimi osobami i próbować pozyskać dodatkowe dane.
W celu zminimalizowania dalszych ewentualnych negatywnych
skutków naruszenia zalecamy także, aby:
- ignorować
nieoczekiwane lub podejrzane wiadomości e-mail, w szczególności od nieznanych
nadawców lub pochodzące z adresów mailowych usiłujących podszywać się pod
powszechnie znane instytucje (np. banki lub organy państwowe) oraz nie otwierać
podejrzanych załączników (np. przesyłanych pocztą elektroniczną plików w
nieznanym lub niepopularnym formacie);
- dokładnie
analizować wszelkie komunikaty, przekazywane w szczególności drogą
elektroniczną (np. informacje o wygranych w konkursach, specjalnych ofert i
promocji), aby uniknąć ataku, którego celem może być wyłudzenie dodatkowych
danych;
- nie
korzystać z linków do stron internetowych otrzymanych od nieznanych nadawców w
wiadomościach mailowych, SMSach lub poprzez komunikatory internetowe;
- zachować
ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów
telefonów oraz podczas korzystania z bankowości elektronicznej lub płatności
internetowych (np. każdorazowe sprawdzanie czy strona internetowa posiada
certyfikat SSL, czyli secure socket layer);
- dokładnie
analizować wszelkie otrzymywane rachunki lub wezwania do zapłaty pod kątem
możliwości podszywania się pod instytucje, z którymi zawarły umowy (np.
sprawdzanie czy zmianie nie uległ numer konta bankowego do wpłat).
Jakie działania,
jako Zarząd HK Finance podjęliśmy:
- poinformowaliśmy
Prezesa Urzędu Ochrony Danych Osobowych naruszeniu ochrony danych osobowych
- dokonaliśmy
zgłoszenia przestępstwa do Centralnego Biura ds. Zwalczania Cyberprzestępczości
- dokonaliśmy
zgłoszenia przestępstwa do Prokuratury Okręgowej w Gdańsku
- dokonaliśmy
zgłoszenia do CSIRT NASK o ataku hackerskim i wycieku danych
- dokonaliśmy
zgłoszenia do Orange
- do
wszystkich osób, których dane zostały wykradzione ? gdzie występowaliśmy jako
administrator danych osobowych wysłaliśmy imienne listy polecone z
zawiadomieniem o naruszeniu ochrony ich danych osobowych
- w
przypadkach kradzieży danych osób, dla których byliśmy podmiotem
przetwarzającym - dokonaliśmy zawiadomienia klientów o naruszeniu ochrony danych
ich pracowników przekazując im dokładną, imienną listę wykradzionych danych;
- przeprowadziliśmy
postępowanie wyjaśniające w związku z zaistniałym naruszeniem przy wsparciu
profesjonalistów zajmujących się bezpieczeństwem systemów informatycznych i cyberbezpieczeństwem.
- dokonaliśmy
i nadal dokonujemy kolejnych zmian w zabezpieczeniach naszych systemów
informatycznych. Znacząco zaostrzyliśmy również bezpieczeństwo wymiany
informacyjnej w formie elektronicznej.
- zastosowaliśmy
dodatkowe techniczne środki bezpieczeństwa po stronie dostawcy usługi poczty
elektronicznej
- przeprowadzamy
szkolenia swoich pracowników dotyczące ochrony danych osobowych i zagrożeń
cybernetycznych.
Gdzie można
uzyskać więcej informacji?
Jeżeli mają Państwo jakiekolwiek
pytania w związku z zaistniałym zdarzeniem, prosimy o przesłanie zapytania na
poniższy adres e-mail:
incydent@hk-finance.pl
Możliwy jest też ograniczony
kontakt telefoniczny z recepcją naszego biura - tel. 583238440 ( w tym wypadku
nie udzielamy dokładnych danych z uwagi na brak możliwości weryfikacji
rozmówcy).
lub listownie:
HK Finance Spółka
z o.o.
Aleja Grunwaldzka
472
80-309 Gdańsk
Jednocześnie pragniemy podkreślić, iż jako Spółka dokładamy
wszelkiej staranności, aby dane osobowe zawarte w przekazywanej do nas
dokumentacji były przetwarzane w sposób gwarantujący ich bezpieczeństwo i
poufność.
Oświadczamy również, że podjęliśmy wszelkie niezbędne
działania, aby skutki tego naruszenia były jak najmniej odczuwalne, niemniej
jednak pragniemy przeprosić wszystkie osoby i naszych klientów, których
zdarzenie dotyczy.
Dołożymy starań, aby podobne sytuacje nie miały miejsca w
przyszłości.
Z poważaniem
Zarząd HK Finance
sp. z o.o.
Anna
Łabęcka-Milewska - członek zarządu
Katarzyna Zdeb-Czupryn
- członek zarządu