Oświadczenie

Zarząd HK Finance Sp. z o.o., 12 lipca 2023 17:50

Gdańsk, 12 lipca 2023 roku

 

HK Finance sp. z o.o.

Al. Grunwaldzka 472

Budynek Olivia Four

80-309 Gdańsk

 

KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, działając jako administrator danych osobowych oraz jako podmiot przetwarzający dane w imieniu klientów, których dane osobowe zostały nam przekazane w ramach usług o świadczenie usług księgowych oraz usług kadrowo-płacowych, informujemy, że w ostatnim czasie doszło do zdarzenia, wskutek którego dostęp do 2% naszych archiwalnych zasobów  osobowych uzyskały osoby, które nie są do tego uprawnione.

Z uwagi na fakt, iż znacząca część indywidulanej korespondencji wysłanej do osób, których dane osobowe zostały wykradzione a dokonanej przez Spółkę listami poleconymi na adresy, w których posiadaniu była Spółka według stanu w archiwalnych bazach danych - w dniu dzisiejszym Zarząd HK Finance podjął decyzję o dodatkowym poinformowaniu w drodze publicznego komunikatu.

Poniżej przekazujemy informacje na temat tego zdarzenia, działań przez nas podjętych, a także działań, które można podjąć aby zminimalizować potencjalne skutki tego przestępstwa.

Jak doszło do naruszenia danych osobowych

W dniu 23 maja 2023 r. HK Finance sp. z o.o. ("Spółka") dowiedziała się, że niektóre archiwalne dane osobowe (poniżej 2% posiadanych danych osobowych) zlokalizowanych na serwerach kopii zapasowych zostały bezprawnie pozyskane i ujawnione przez osoby trzecie w wyniku przestępstwa - ukierunkowanego ataku hackerskiego na systemy informatyczne Spółki. Incydentem zostało objęte środowisko serwerowe Spółki. Atakujący przy pomocy oprogramowania wirusowego typu ransomware uzyskali dostęp do infrastruktury informatycznej Spółki, w tym do archiwalnej danych osobowych naszych pracowników i pracowników naszych klientów. 

W wyniku ataku, w najszerszym ujęciu ukradzione następujące dane osobowe:

imię i nazwisko

numer PESEL

Data urodzenia

Adres zamieszkania

Adres e-mail

Informacja o wysokości archiwalnego wynagrodzenia

 

Powyższe dane osobowe zostały bezprawnie ukradzione przez hakerów i nie jesteśmy w stanie samodzielnie oszacować, ile osób mogło potencjalnie uzyskać dostęp.

 

Jakie są potencjalne ryzyka związane z wykorzystaniem wykradzionych danych osobowych?

Pragniemy zwrócić szczególnie uwagę wszystkich zainteresowanych osób, iż osoba, która ma dostęp do wykradzionych danych osobowych, może bezprawnie:

założyć konto internetowe z użyciem ich danych osobowych w serwisach internetowych nieweryfikujących danych użytkowników;

próbować podszyć się pod inną osobę lub instytucję w celu wyłudzenia od nich dodatkowych informacji (np. danych do logowania, szczegółów ich karty kredytowej);

wykorzystać wykradzione dane osobowe do zarejestrowania karty telefonicznej typu prepaid, która może posłużyć do celów przestępczych;

próbować uzyskać pożyczki w instytucjach poza bankowych, w których nie ma konieczności okazywania dokumentu tożsamości  np. przez Internet lub telefonicznie;

próbować wykorzystać wykradzione dane osobowe do uwierzytelniania (weryfikacji tożsamości) i zaciągania zobowiązań w ich imieniu, np. w sklepach internetowych;

próbować uzyskać wgląd do danych o ich stanie zdrowia osoby, której dane wykradziono poprzez pozyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych, w których dostęp do rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL;

próbować wykorzystać skradzione dane osobowe do wyłudzenia ubezpieczenia, np. na skutek podania fałszywych informacji o wypadku komunikacyjnym;

próbować wykorzystywać skradzione dane osobowe do zawarcia umów cywilnoprawnych, np. najmu nieruchomości lub umowy sprzedaży;

próbować wykorzystywać skradzione dane osobowe do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego, tym samym skorzystać z ich praw obywatelskich;

próbować wykorzystywać skradzione dane o ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu.

Jakie działania mogą podjąć osoby, których ochrona danych osobowych została naruszona, by ograniczyć ryzyko negatywnych konsekwencji?

Można zabezpieczyć swoje dane osobowe przed nieuprawnionym wykorzystaniem swoich danych osobowych zakładając konto w systemie informacji kredytowej lub gospodarczej w celu monitorowania swojej aktywności kredytowej i otrzymywania informacji w sytuacji złożenia wniosku kredytowego zawierającego ich dane osobowe. Takie funkcjonalności oferują m.in. system alertów Biura Informacji Kredytowej (www.bik.pl) oraz system Bezpieczny PESEL (www.bezpiecznypesel.pl).

Prosimy również aby zachować szczególną ostrożność przy podawaniu w najbliższym czasie swoich danych osobowych innym osobom. Osoby, które potencjalnie mogły wejść w posiadanie danych osobowych mogą próbować kontaktować się z takimi osobami i próbować pozyskać dodatkowe dane.

W celu zminimalizowania dalszych ewentualnych negatywnych skutków naruszenia zalecamy także, aby:

ignorować nieoczekiwane lub podejrzane wiadomości e-mail, w szczególności od nieznanych nadawców lub pochodzące z adresów mailowych usiłujących podszywać się pod powszechnie znane instytucje (np. banki lub organy państwowe) oraz nie otwierać podejrzanych załączników (np. przesyłanych pocztą elektroniczną plików w nieznanym lub niepopularnym formacie);

dokładnie analizować wszelkie komunikaty, przekazywane w szczególności drogą elektroniczną (np. informacje o wygranych w konkursach, specjalnych ofert i promocji), aby uniknąć ataku, którego celem może być wyłudzenie dodatkowych danych;

nie korzystać z linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach mailowych, SMSach lub poprzez komunikatory internetowe;

zachować ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów oraz podczas korzystania z bankowości elektronicznej lub płatności internetowych (np. każdorazowe sprawdzanie czy strona internetowa posiada certyfikat SSL, czyli secure socket layer);

dokładnie analizować wszelkie otrzymywane rachunki lub wezwania do zapłaty pod kątem możliwości podszywania się pod instytucje, z którymi zawarły umowy (np. sprawdzanie czy zmianie nie uległ numer konta bankowego do wpłat).

 

Jakie działania, jako Zarząd HK Finance podjęliśmy:

 

poinformowaliśmy Prezesa Urzędu Ochrony Danych Osobowych naruszeniu ochrony danych osobowych

dokonaliśmy zgłoszenia przestępstwa do Centralnego Biura ds. Zwalczania Cyberprzestępczości

dokonaliśmy zgłoszenia przestępstwa do Prokuratury Okręgowej w Gdańsku

dokonaliśmy zgłoszenia do CSIRT NASK o ataku hackerskim i wycieku danych

dokonaliśmy zgłoszenia do Orange

- do wszystkich osób, których dane zostały wykradzione ? gdzie występowaliśmy jako administrator danych osobowych wysłaliśmy imienne listy polecone z zawiadomieniem o naruszeniu ochrony ich danych osobowych

w przypadkach kradzieży danych osób, dla których byliśmy podmiotem przetwarzającym - dokonaliśmy zawiadomienia klientów o naruszeniu ochrony danych ich pracowników przekazując im dokładną, imienną listę wykradzionych danych;

- przeprowadziliśmy postępowanie wyjaśniające w związku z zaistniałym naruszeniem przy wsparciu profesjonalistów zajmujących się bezpieczeństwem systemów informatycznych i cyberbezpieczeństwem.

dokonaliśmy i nadal dokonujemy kolejnych zmian w zabezpieczeniach naszych systemów informatycznych. Znacząco zaostrzyliśmy również bezpieczeństwo wymiany informacyjnej w formie elektronicznej.

zastosowaliśmy dodatkowe techniczne środki bezpieczeństwa po stronie dostawcy usługi poczty elektronicznej

przeprowadzamy szkolenia swoich pracowników dotyczące ochrony danych osobowych i zagrożeń cybernetycznych.


 

 

Gdzie można uzyskać więcej informacji?

 

Jeżeli mają Państwo jakiekolwiek pytania w związku z zaistniałym zdarzeniem, prosimy o przesłanie zapytania na poniższy adres e-mail:

incydent@hk-finance.pl

Możliwy jest też ograniczony kontakt telefoniczny z recepcją naszego biura - tel. 583238440 ( w tym wypadku nie udzielamy dokładnych danych z uwagi na brak możliwości weryfikacji rozmówcy).

lub listownie:

HK Finance Spółka z o.o.

Aleja Grunwaldzka 472

80-309 Gdańsk

 

Jednocześnie pragniemy podkreślić, iż jako Spółka dokładamy wszelkiej staranności, aby dane osobowe zawarte w przekazywanej do nas dokumentacji były przetwarzane w sposób gwarantujący ich bezpieczeństwo i poufność.

Oświadczamy również, że podjęliśmy wszelkie niezbędne działania, aby skutki tego naruszenia były jak najmniej odczuwalne, niemniej jednak pragniemy przeprosić wszystkie osoby i naszych klientów, których zdarzenie dotyczy.

Dołożymy starań, aby podobne sytuacje nie miały miejsca w przyszłości.

 

Z poważaniem

Zarząd HK Finance sp. z o.o.

 

Anna Łabęcka-Milewska - członek zarządu

Katarzyna Zdeb-Czupryn - członek zarządu

 

Cofnij