Grupa Żagiel


ul. Roztocze 4a
20-722 Lublin

Zawiadomienie o naruszeniu ochrony danych osobowych

Żagiel sp. z o.o. z siedzibą w Lublinie, ul. Roztocze 4A, jako administrator danych osobowych, z przykrością informuje o stwierdzeniu naruszenia ich ochrony.

Naruszenie dotyczy danych osobowych pracowników, współpracowników, klientów, kontrahentów spółki, przetwarzanych w związku z realizacją przez Żagiel sp. z o.o. procesu kontroli i nadzoru właścicielskiego nad Żagiel sp. z o.o., Żagiel Auto sp. z o.o., CRH Żagiel Auto sp. z o.o., CRH Akademos sp. z o.o., Klonowic Sp. z o.o., Żagiel Dom sp. z o.o., CRH Żagiel MED sp. z o.o. spółka jawna, CRH Żagiel Med sp. z o.o., Aerobaci sp. z o.o., Aero Poznań sp. z o.o.

W dniu 3 listopada 2022, w wyniku działania złośliwego oprogramowania Ransomware LockBit 3.0, doszło do zaszyfrowania danych w systemach informatycznych Żagiel sp. z o.o., co spowodowało krótkotrwałą utratę dostępu do tych danych. Dostępność danych została przywrócona z posiadanych przez nas kopii bezpieczeństwa. Pomimo stosowanych zabezpieczeń, doszło również do utraty poufności danych pracowników, współpracowników, klientów, kontrahentów spółki, czyli uzyskania do nich dostępu przez osoby nieuprawnione. W dniu 27 listopada 2022 r. dane zostały upublicznione poprzez opublikowanie pliku, w którym były przetwarzane, w sieci TOR.

Niezwłocznie po stwierdzeniu naruszenia podjęliśmy niezbędne działania w celu zminimalizowania jego ewentualnych skutków, między innymi poprzez zgłoszenia naruszenia i współpracę z Centralnym Biurem Zwalczania Cyberprzestępczości Policji oraz Computer Emergency Response Team (CERT). Śledztwo w tej sprawie prowadzi również Prokuratura Regionalna w Lublinie. Pomimo podjętych działań istnieje jednak ryzyko, że dane osobowe pracowników, współpracowników, klientów, kontrahentów spółki, zostaną wykorzystane przez osoby nieuprawnione.

Ryzyko takie wynika z faktu, iż – pomimo rosnącego poziomu stosowanych zabezpieczeń i uregulowań w tym zakresie – nadal funkcjonują na rynku i w przestrzeni publicznej:

  • instytucje pozabankowe, które umożliwiają uzyskanie kredytu przez Internet lub telefonicznie i wymagają jedynie podania podstawowych danych identyfikacyjnych, w tym numeru PESEL, bez okazywania dokumentów,
  • dostawcy różnego rodzaju usług, którzy dopuszczają skuteczne zawarcie umowy na dostawę usługi (np. telewizja kablowa, telefon, Internet) bez konieczności okazywania dokumentu tożsamości, a jedynie po podaniu podstawowych danych identyfikacyjnych,
  • samorządy i inne instytucje administracji publicznej, które udostępniają niektóre swoje usługi w oparciu o identyfikację użytkownika za pomocą numeru PESEL, na przykład istnieją systemy rejestracji pacjenta, do których dostęp można uzyskać telefonicznie podając numer PESEL,
  • osoby, które  po uzyskaniu  dostępu  do Pani/Pana danych,  mogą  podejmować próby wyłudzenia lub skłonienia Pani/Pana do określonego działania za pomocą SMS-ów, podszywając się pod firmy, instytucje finansowe lub urzędy.

W związku z tym incydentem istnieje ryzyko, iż dane osobowe pracowników, współpracowników, klientów, kontrahentów spółki, mogą zostać wykorzystane przez nieuprawnione osoby, co może doprowadzić do:

  • uzyskania przez osoby trzecie kredytów na Pani/Pana szkodę,
  • powstania w stosunku do Pani/Pana zadłużenia w przypadku nieopłacania nabytych usług przez nieuczciwe osoby,
  • ograniczenia możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach),
  • uzyskania dostępu do świadczeń opieki zdrowotnej oraz danych o stanie zdrowia,
  • prób uzyskania dostępu do środków finansowych zgromadzonych na Pani/Pana prywatnych kontach bankowych.

W celu uniemożliwienia nielegalnego wykorzystania Pani/Pana danych osobowych przez osoby, które mogły uzyskać od nich dostęp, zalecamy, aby:

  • ignorować nieoczekiwane wiadomości e-mail i SMS, w szczególności od nieznanych nadawców, nie otwierać załączników pochodzących z nieznanych źródeł ani nie używać przysłanych w nich linków do stron internetowych;
  • zachować szczególną ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów i oddzwaniania na nie;
  • zmienić wszystkie hasła do logowania, które Pani/Pan wykorzystuje w powiązaniu z posiadanym przez nas adresem e-mail;
  • rozważyć skorzystanie z możliwości unieważnienia dowodu osobistego (z powodu możliwej kradzieży tożsamości) na stronie www.gov.pl/web/gov/zglos-nieuprawnione-wykorzystanie-swoich-danych-osobowych-kradziez-tozsamosci--uniewaznij-dowod
  • rozważyć założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej, np. Alerty BIK (usługa płatna, informacje na stronie http://www.bik.pl/klienci-indywidualni/alerty-bik);
  • rozważyć skorzystanie z usługi powiadomienia o użyciu Pani/Pana numeru PESEL (usługa płatna w serwisie CHRONPESEL, strona www.chronpesel.pl).

Poszczególne grupy pracowników, współpracowników, klientów, kontrahentów spółki, których dane były przetwarzane przez Żagiel sp. z o.o. są sukcesywnie informowane o naruszeniu poufności ich danych osobowych i zalecanych działaniach zapobiegawczych, mających na celu uchronienie się przed ewentualnymi negatywnymi skutkami naruszenia. Wszystkie osoby, których poufność danych została naruszona zostaną powiadomieni indywidualnie.

Jeżeli dowie się Pani/Pan o wykorzystaniu lub próbie wykorzystania Pani/Pana danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji.

W razie dodatkowych pytań w sprawie przedmiotowego naruszenia lub wątpliwości dotyczących bezpieczeństwa przetwarzania danych można kontaktować się z powołanym przez nas Inspektorem Ochrony Danych – Mirosławem Idzikiem. Kontakt jest możliwy za pośrednictwem poczty elektronicznej: odo@zagiel.pl lub telefonicznie pod numerem: 509 185 303.

Niniejsze zawiadomienie zostało przygotowane zgodnie z wymogami unijnego Rozporządzenia o ochronie danych osobowych mającego zastosowanie od dnia 25 maja 2018 r.

Żagiel Sp. z o.o. z siedzibą w Lublinie dokłada wszelkiej staranności, aby dane osobowe pracowników, współpracowników, klientów, kontrahentów spółki, były przetwarzane w sposób gwarantujący ich bezpieczeństwo. Przedmiotowe zdarzenie wynikło z działań zorganizowanej grupy przestępczej i błędu systemowego legalnego oprogramowania renomowanej firmy.

Aby uniknąć w przyszłości podobnych incydentów, wprowadziliśmy zmiany organizacyjne i sprzętowe zwiększające poziom zabezpieczenia danych przed utratą ich poufności i przeprowadziliśmy dodatkowe testy bezpieczeństwa sieci. Dołożymy wszelkich starań, by w przyszłości takie zdarzenie nie mogło mieć miejsca, a dane pracowników, współpracowników, klientów, kontrahentów spółki, były bezpieczne.