Warszawa, 17 lutego 2021 r.
INFORMACJA DOTYCZĄCA BEZPIECZEŃSTWA DANYCH
Drogi były pracowniku lub współpracowniku CD PROJEKT S.A. („Spółka”),
jak mogłeś/mogłaś się dowiedzieć z oficjalnego komunikatu CD PROJEKT RED na Twitterze lub naszych wcześniejszych zawiadomień, CD PROJEKT S.A. stała się niedawno celem ataku hakerskiego, wykrytego 8 lutego 2021 r.
Mimo że nie stwierdziliśmy „wycieku” danych osobowych (a ryzyko takiego wycieku oceniamy na niskie), naszym obowiązkiem, wynikającym z Ogólnego Rozporządzenia o Ochronie Danych („RODO”), jest wskazanie Ci możliwych skutków zdarzenia, tak jakby wyciek danych rzeczywiście miał miejsce.
Z tego względu, poniżej przedstawiamy wymagane informacje na temat zdarzenia.
Charakter zdarzenia:
Zbadaliśmy zdarzenie i ustaliliśmy, że:
- część plików zawierających dane osobowe obecnych oraz byłych pracowników lub współpracowników (dalej „pracowników”) Spółki została zaszyfrowana w sieci wewnętrznej CD PROJEKT przez złośliwe oprogramowanie, co skutkowało czasową utratą dostępu do tych danych;
- zaszyfrowane pliki zawierały dokumenty związane z Twoim zatrudnieniem w Spółce, m.in.:
– umowy o pracę lub inne rodzaje umów (o dzieło, o współpracę, zlecenie),
– umowy o zachowanie poufności,
– kopie dokumentów tożsamości (w przypadkach, kiedy były niezbędne do podpisania umów z pracownikami z zagranicy lub z uwagi na przepisy prawa),
– kwestionariusze pracownicze,
– informacje dot. wynagrodzeń, benefitów i tym podobnych spraw, włącznie z informacjami zawartymi w zgłoszeniach do prywatnej opieki medycznej (mogących zawierać także dane osobowe członków Twojej rodziny); - zaszyfrowane dane osobowe zostały z powodzeniem odzyskane z kopii bezpieczeństwa – żadne dane nie zostały utracone;
- sprawcy pozostawili notatkę, w której zasugerowali, że nie tylko zaszyfrowali dane, ale również skopiowali pliki, w tym dane osobowe personelu, a także zagrozili, że ujawnią je mediom;
- w toku naszego dochodzenia nie znaleźliśmy żadnych dowodów na potwierdzenie transferu jakichkolwiek danych osobowych poza sieć wewnętrzną Spółki;
- tym niemniej, sposób działania sprawców sprawia, że stwierdzenie z całkowitą pewnością, czy dane osobowe zostały rzeczywiście skopiowane, może być niemożliwe.
Wstępne środki bezpieczeństwa
Od samego początku podchodziliśmy do zaistniałej sytuacji ze szczególną ostrożnością. W związku z tym:
- zgłosiliśmy sprawę na policję;
- poinformowaliśmy o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych;
- zaczęliśmy monitorować sieć we współpracy z wyspecjalizowanym dostawcą usług, pod kątem pojawienia się danych osobowych pochodzących z naszej sieci wewnętrznej (nie odnotowaliśmy żadnego przypadku ujawnienia);
- 9 lutego poinformowaliśmy publicznie o zdarzeniu za pośrednictwem Twittera1;
- 9 lutego zwróciliśmy się do naszych byłych pracowników za pośrednictwem Twittera, udostępniając adres poczty elektronicznej Zespołu Privacy, na który mogą oni kierować pytania dotyczące ataku2;
- komunikowaliśmy się za pośrednictwem poczty elektronicznej z każdą osobą wyrażającą obawę o bezpieczeństwo jej danych w związku z incydentem,
- wysłaliśmy wiadomości zawierające wskazówki i rekomendacje dot. cyberbezpieczeństwa oraz ochrony danych bezpośrednio do byłych pracowników, na dostępne nam adresy poczty elektronicznej.
W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:
- odcięliśmy zdalny dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do Internetu;
- rozpoczęliśmy skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania i uruchomiliśmy nowe narzędzia monitorujące aktywność na komputerach personelu i w sieci, pod kątem wykrywania anomalii;
- wzmocniliśmy politykę haseł i wymusiliśmy zmianę haseł personelu do wszystkich usług sieciowych (w tym także nieobjętych incydentem);
- zaangażowaliśmy zewnętrznych ekspertów od bezpieczeństwa IT w celu wyjaśnienia przyczyn i przebiegu zdarzenia;
- udzieliliśmy pracownikom dodatkowych instrukcji i ostrzeżeń dot. ochrony danych osobowych oraz cyberbezpieczeństwa.
Możliwe konsekwencje
W wykonaniu obowiązku wynikającego z RODO, informujemy, że możliwe konsekwencje naruszenia mogą obejmować (w szerokim znaczeniu):
- utratę kontroli nad Twoimi danymi osobowymi, naruszenie Twojego prawa do prywatności, które mogą np. doprowadzić do naruszenia Twojego dobrego imienia lub prowadzić do dyskryminacji;
- ograniczenie możliwości realizowania praw osoby, której dane dotyczą, z art. 15-22 RODO – np. otrzymania kopii Twoich danych lub żądania ich usunięcia;
- ograniczenie możliwości realizowania przysługujących Ci praw – na przykład głosowania nad projektami finansowanymi z budżetu partycypacyjnego;
- kradzież lub sfałszowanie tożsamości;
- stratę finansową, np. uzyskanie przez osoby trzecie pożyczek w pozabankowych instytucjach finansowych w Twoim imieniu;
- korzystanie z przysługujących ci świadczeń opieki zdrowotnej oraz uzyskanie dostępu do danych o Twoim stanie zdrowia;
- wyłudzenie ubezpieczenia lub środków z ubezpieczenia, lub inne próby wyłudzenia, jak phishing czy szantaż;
- zawarcie umów cywilnoprawnych, np. najmu nieruchomości, prowadzących do rozporządzenia mieniem na Twoją szkodę, jak również zawarcia umów o świadczenie usług, np. telewizji kablowej, telefonu (w tym zarejestrowanie karty przedpłaconej), Internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie negatywnych konsekwencji w postaci zadłużenia;
- otrzymywanie niechcianej korespondencji (spamu).
Rekomendowane działania
Przygotowaliśmy przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Twoich danych:
- Założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Twoje nazwisko, np. BIK https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl. Jeśli jesteś cudzoziemcem, poszukaj podobnej usługi w swoim kraju.
- Zastrzeżenie dowodu osobistego lub innego dokumentu wykorzystywanego w formalnej komunikacji ze Spółką (np. paszport) w banku, w którym masz konto, lub w innym, nawet jeśli nie masz tam założonego konta – lista polskich banków przyjmujących takie zgłoszenia znajduje się tutaj: https://dokumentyzastrzezone.pl/lista-bankow-zastrzegajacych-dokumenty-od-wszystkich-osob/.
- Jeśli jesteś obywatelem Polski – wyrobienie nowego dowodu osobistego poprzez kontakt z właściwym Urzędem Gminy lub Dzielnicy, unieważnienie aktualnego dokumentu i złożenie wniosku o wyrobienie nowego. Możesz zrobić to przez Internet, wykorzystując Profil Zaufany, osobiście w urzędzie lub za pośrednictwem tradycyjnej poczty, jeśli znajdujesz się za granicą. Więcej informacji znajduje się na tej stronie: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzie-swojego-dowodu-osobistego-uniewaznij-dowod.
Jeśli aktualnie posługujesz się innym dokumentem tożsamości niż wykorzystywany w formalnej komunikacji ze Spółką, np. jeśli dokument został wymieniony po zakończeniu współpracy ze Spółką, nie ma potrzeby zastrzegania / ubiegania się o nowy dokument tożsamości zgodnie z punktem 2 i 3 powyżej.
- Jeśli podejrzewasz, że mogłeś stać się ofiarą przestępstwa, niezwłocznie zgłoś się na policję. Jeśli przestępstwo zostało popełnione z wykorzystaniem Twoich danych osobowych, powiadom podmioty używające tych danych, np. bank, pożyczkodawców lub sieć telekomunikacyjną. Zbierz oraz zachowaj dowody wszelkich formalnych czynności podjętych w związku z zajściem, aby móc je wykorzystać podczas ewentualnego procesu sądowego.
- Jeśli używasz numeru PESEL jako loginu na jakimkolwiek portalu lub koncie internetowym – zmień login (o ile dany serwis dopuszcza taką zmianę).
- Zachowaj szczególną ostrożność w przypadku, gdy:
a) otrzymasz niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
b) odbierasz połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje Ci twoje aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te wykradzione;
c) udostępniasz lub wykorzystujesz swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach. Zwracaj szczególną uwagę na linki i wypatruj nieprawidłowości.
Jeśli zaobserwujesz jakiekolwiek nieprawidłowości, nie udostępniaj żadnych danych osobowych i zgłoś ten fakt organom ścigania.
W przypadku dodatkowych pytań dot. bezpieczeństwa danych, skontaktuj się z nami za pośrednictwem adresu poczty elektronicznej dpo@cdprojektred.com.
1 https://twitter.com/CDPROJEKTRED/status/1359048125403590660
2 https://twitter.com/CDPROJEKTRED/status/1359230980775694341