Zawiadomienie o naruszeniu ochrony danych osobowych
Żagiel sp. z o.o. z siedzibą w Lublinie, ul. Roztocze 4A, jako administrator danych osobowych, z przykrością informuje o stwierdzeniu naruszenia ich ochrony.
Naruszenie dotyczy danych osobowych pracowników, współpracowników, klientów, kontrahentów spółki, przetwarzanych w związku z realizacją przez Żagiel sp. z o.o. procesu kontroli i nadzoru właścicielskiego nad Żagiel sp. z o.o., Żagiel Auto sp. z o.o., CRH Żagiel Auto sp. z o.o., CRH Akademos sp. z o.o., Klonowic Sp. z o.o., Żagiel Dom sp. z o.o., CRH Żagiel MED sp. z o.o. spółka jawna, CRH Żagiel Med sp. z o.o., Aerobaci sp. z o.o., Aero Poznań sp. z o.o.
W dniu 3 listopada 2022, w wyniku działania złośliwego oprogramowania Ransomware LockBit 3.0, doszło do zaszyfrowania danych w systemach informatycznych Żagiel sp. z o.o., co spowodowało krótkotrwałą utratę dostępu do tych danych. Dostępność danych została przywrócona z posiadanych przez nas kopii bezpieczeństwa. Pomimo stosowanych zabezpieczeń, doszło również do utraty poufności danych pracowników, współpracowników, klientów, kontrahentów spółki, czyli uzyskania do nich dostępu przez osoby nieuprawnione. W dniu 27 listopada 2022 r. dane zostały upublicznione poprzez opublikowanie pliku, w którym były przetwarzane, w sieci TOR.
Niezwłocznie po stwierdzeniu naruszenia podjęliśmy niezbędne działania w celu zminimalizowania jego ewentualnych skutków, między innymi poprzez zgłoszenia naruszenia i współpracę z Centralnym Biurem Zwalczania Cyberprzestępczości Policji oraz Computer Emergency Response Team (CERT). Śledztwo w tej sprawie prowadzi również Prokuratura Regionalna w Lublinie. Pomimo podjętych działań istnieje jednak ryzyko, że dane osobowe pracowników, współpracowników, klientów, kontrahentów spółki, zostaną wykorzystane przez osoby nieuprawnione.
Ryzyko takie wynika z faktu, iż – pomimo rosnącego poziomu stosowanych zabezpieczeń i uregulowań w tym zakresie – nadal funkcjonują na rynku i w przestrzeni publicznej:
W związku z tym incydentem istnieje ryzyko, iż dane osobowe pracowników, współpracowników, klientów, kontrahentów spółki, mogą zostać wykorzystane przez nieuprawnione osoby, co może doprowadzić do:
W celu uniemożliwienia nielegalnego wykorzystania Pani/Pana danych osobowych przez osoby, które mogły uzyskać od nich dostęp, zalecamy, aby:
Poszczególne grupy pracowników, współpracowników, klientów, kontrahentów spółki, których dane były przetwarzane przez Żagiel sp. z o.o. są sukcesywnie informowane o naruszeniu poufności ich danych osobowych i zalecanych działaniach zapobiegawczych, mających na celu uchronienie się przed ewentualnymi negatywnymi skutkami naruszenia. Wszystkie osoby, których poufność danych została naruszona zostaną powiadomieni indywidualnie.
Jeżeli dowie się Pani/Pan o wykorzystaniu lub próbie wykorzystania Pani/Pana danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji.
W razie dodatkowych pytań w sprawie przedmiotowego naruszenia lub wątpliwości dotyczących bezpieczeństwa przetwarzania danych można kontaktować się z powołanym przez nas Inspektorem Ochrony Danych – Mirosławem Idzikiem. Kontakt jest możliwy za pośrednictwem poczty elektronicznej: odo@zagiel.pl lub telefonicznie pod numerem: 509 185 303.
Niniejsze zawiadomienie zostało przygotowane zgodnie z wymogami unijnego Rozporządzenia o ochronie danych osobowych mającego zastosowanie od dnia 25 maja 2018 r.
Żagiel Sp. z o.o. z siedzibą w Lublinie dokłada wszelkiej staranności, aby dane osobowe pracowników, współpracowników, klientów, kontrahentów spółki, były przetwarzane w sposób gwarantujący ich bezpieczeństwo. Przedmiotowe zdarzenie wynikło z działań zorganizowanej grupy przestępczej i błędu systemowego legalnego oprogramowania renomowanej firmy.
Aby uniknąć w przyszłości podobnych incydentów, wprowadziliśmy zmiany organizacyjne i sprzętowe zwiększające poziom zabezpieczenia danych przed utratą ich poufności i przeprowadziliśmy dodatkowe testy bezpieczeństwa sieci. Dołożymy wszelkich starań, by w przyszłości takie zdarzenie nie mogło mieć miejsca, a dane pracowników, współpracowników, klientów, kontrahentów spółki, były bezpieczne.