Naruszenie ochrony danych osobowych 18.04.2023 r.

Szanowni Państwo,

w związku z wystąpieniem Prezesa Urzędu Ochrony Danych Osobowych, DKN.5130.5275.2023.OS

TPA Spółka z ograniczoną odpowiedzialnością Spółka komandytowa zs. w Poznaniu, ul. Młyńska 12, 61-730 Poznań (Administrator), w trybie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) z przykrością informuje o naruszeniu ochrony danych osobowych.

Zawiadomienie kierujemy do wspólników spółek oraz członków organów tych spółek – klientów TPA sp. z o.o. sp.k. oraz kontrahentów tych podmiotów ujawnionych w informacjach pobranych w trybie art. 4 ust. 4aa ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym – podmiotów, które w okresie kwiecień 2023 – maj 2023  były przedmiotem analizy działu wycen lub zlecały TPA Sp. z o.o. SK usługę wycen, oraz ich kontrahentów.

W dniu 18 kwietnia 2023 r. doszło do ataku na infrastrukturę informatyczną spółki. Atak, którego padliśmy ofiarą, to atak typu phishing (osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika. 

Dopiero w dniu 01.05.2023 r. hakerzy udostępnili z konta tego użytkownika wszystkim użytkownikom w organizacji wiadomość zawierającą link do pliku, który wymuszał podanie  danych do logowania do MS Office, tym samym doszło do wykrycia incydentu. 

W dniu 01 maja 2023 r. po wykryciu incydentu natychmiast podjęliśmy działania, aby zatrzymać nieuprawniony dostęp, zabezpieczyć systemy i ograniczyć skutki zdarzenia:

• dokonaliśmy zablokowania konta użytkownika, 
• zmieniliśmy hasła do konta, 
• wykonaliśmy skanowanie antywirusowe oraz przegląd komputera i aplikacji, 
• usunęliśmy wgrany plik

Po stwierdzeniu naruszenia przeprowadzone zostało dodatkowe skanowanie antywirusowe wgranego pliku. W wyniku przeprowadzonej analizy nie stwierdzono zawirusowania pliku.

W trakcie incydentu mogło dojść do naruszenia poufności - nieuprawnionego dostępu do danych osobowych.

Nie mamy dowodu, aby należące do nas informacje, w tym dane osobowe, zostały ujawnione osobom nieuprawnionym, niemniej analiza naruszenia wykazała, że poprzez nieautoryzowane logowanie w okresie od 18 kwietnia 2023 r. do 01 maja 2023 r. hakerzy mogli uzyskać dostęp do zasobu pracownika działu  wycen zawierającego dane osób wymienionych w informacji odpowiadającej odpisowi z KRS klientów/kontrahentów (grupa około 100 rekordów KRS będących w analizie działu wycen)  – w zakresie:

• imienia, nazwiska,
• numeru PESEL, 
• funkcji w organie, 
• danych dotyczących wysokości wkładów wspólników w spółkach

O zdarzeniu bezzwłocznie poinformowaliśmy Prezesa Urzędu Ochrony Danych Osobowych. 

Z uwagi na charakter incydentu oraz zakres danych, które mogły zostać nim objęte, istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. W szczególności ryzyko to wynika z możliwości nieuprawnionego wykorzystania danych identyfikacyjnych (imię i nazwisko, numer PESEL, funkcja w organie) oraz danych finansowych (danych dotyczących wysokości wkładów wspólników w spółkach). 

Potencjalne negatywne konsekwencje mogą obejmować:

• utratę kontroli nad danymi, w tym kradzież tożsamości osoby, podszywanie się przy wykorzystaniu danych identyfikacyjnych (np. imię i nazwisko, PESEL),
• oszustwa lub inne czyny niedozwolone z wykorzystaniem danych osoby, 
• zaciąganie zobowiązań finansowych bez Państwa wiedzy (kredyty, pożyczki, zakupy ratalne np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości) lub otwieranie rachunków rozliczeniowych przeznaczonych do wykorzystania w działalności przestępczej,
• zawieranie bez Państwa wiedzy umów cywilnoprawnych (np. usługi telekomunikacyjne, abonamenty),
• uzyskanie dostępu do informacji o osobie, w tym informacji o sytuacji finansowej, o stanie zdrowia (np. w systemach rejestracji pacjenta lub bazach NFZ)
• wyłudzenia świadczeń (np. finansowych, socjalnych), odszkodowań lub innych korzyści majątkowych,
• wykorzystanie danych do ukrycia przez osoby trzecie swojej tożsamości, np. przy otrzymywaniu mandatu. 
• próby przejęcia dostępu do kont lub nieuprawnione wykorzystanie danych w systemach publicznych  (urzędowych, sądowych), finansowych (bankowych) lub medycznych (np. z użyciem numeru PESEL),

W celu zapobieżenia podobnym sytuacjom oraz zminimalizowania skutków incydentu wdrożyliśmy szereg środków:

• Podnosimy świadomość pracowników poprzez dystrybuowane materiały szkoleniowe dot. bezpiecznej pracy i zagrożeń, zwiększenie nacisku na przykłady możliwych wiadomości zawierających wyłudzenia haseł oraz uszczegółowienie informacji nt. sposobu zmiany haseł obowiązującej w organizacji
• przeprowadzamy szkolenia wdrożeniowe dla nowych pracowników wraz z przykładami potencjalnych sposobów podszywania się;
• wdrożyliśmy logowania wymagające podwójnej autoryzacji (MFA ) 
• pozytywnie wdrożyliśmy system bezpieczeństwa informacji potwierdzony certyfikatem ISO 27001
• otrzymujemy stałe powiadomienia z CERT dotyczące bezpieczeństwa

Do chwili obecnej nie otrzymaliśmy żadnych sygnałów, że dotyczące Państwa dane osobowe zostały gdzieś upublicznione lub są wykorzystywane przez niepowołane osoby. 

Prosimy jednak o  zachowanie szczególnej czujności oraz podjęcie któregoś (lub nawet kilku) z poniższych działań, ponieważ mogą one znacząco zredukować ryzyko nieuprawnionego wykorzystania Państwa danych osobowych:  

• zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu, aby uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których Państwo korzystacie, 
• zastrzeżenie numeru PESEL – to jedno z najskuteczniejszych zabezpieczeń przed wykorzystaniem danych do zaciągania zobowiązań (np. kredytów, pożyczek); można to zrobić online (https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie), w aplikacji mObywatel lub w urzędzie,
• sprawdzenie historii zapytań dotyczących numeru PESEL - kto i kiedy go weryfikował (https://www.gov.pl/web/gov/sprawdz-kto-weryfikowal-czy-masz-zastrzezony-numer-pesel).
• Sprawdzenie, czy dane nie zostały udostępnione w Internecie na stronie https://bezpiecznedane.gov.pl.
• monitorowanie aktywności kredytowej poprzez założenie konta w dostępnych na rynku systemach informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem (np. BIK, BIG - https://www.bik.pl/dla-ciebie/historia-kredytowa/raport-bik, KRD - https://konsument.krd.pl/#_ga=2.142247538.1961809930.1776976595-715450797.1776976595&_gac=1.15853186.1776976595.EAIaIQobChMIo6P00umElAMVe1RBAh3DlSbYEAAYASAAEgImc_D_BwE,    ERIF - https://erif.pl/konsumenci/sprawdz-siebie/)  oraz włączenie alertów o próbach wykorzystania danych,
• podawanie wyłącznie minimalnego zakresu danych niezbędnego do załatwienia danej sprawy 
• w przypadku zauważenia podejrzanych działań (np. próby zaciągnięcia zobowiązania, nieznane logowania, nieautoryzowane umowy) — niezwłoczny kontakt z właściwą instytucją (np. bankiem),
• w przypadku stwierdzenia lub podejrzenia popełnienia przestępstwa z użyciem Państwa danych - zgłoszenie sprawy organom ścigania 
• zgłoszenie faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości, np.: https://www.gov.pl/web/gov/zglos-nieuprawnione-wykorzystanie-swoich-danych-osobowych-kradziez-tozsamosci--uniewaznij-dowod 

Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną lub zauważą jakiekolwiek niepokojące sygnały, prosimy o przekazanie nam tej informacji oraz podjęcie odpowiednich działań. 

Jeżeli mają Państwo pytania dotyczące zdarzenia lub chcą uzyskać dodatkowe informacje w zakresie ochrony danych osobowych, prosimy o kontakt z Inspektorem Ochrony Danych TPA sp. z o.o. sp.k.:

Martyna Lipke – Gawronek
Inspektor Ochrony Danych 
TPA sp. z o.o. Sp.k.
Ul. Młyńska 12, Poznań
e-mail: iodo@tpa-group.pl 

Dokładamy wszelkich starań, aby podobne zdarzenia nie miały miejsca w przyszłości. 

Przepraszamy za wszelkie niedogodności, jakie mogły powstać w związku z zaistniałą sytuacją. Zapewniamy, że przykładamy najwyższą wagę do bezpieczeństwa Państwa danych i podejmujemy wszelkie możliwe działania, aby skutecznie chronić je w przyszłości.

Z wyrazami szacunku 

Zarząd TPA sp. z o.o. sp.k.