Informacja dotycząca bezpieczeństwa danych

Warszawa, 17 lutego 2021 r.

INFORMACJA DOTYCZĄCA BEZPIECZEŃSTWA DANYCH

Drogi były pracowniku lub współpracowniku CD PROJEKT S.A. („Spółka”),

jak mogłeś/mogłaś się dowiedzieć z oficjalnego komunikatu CD PROJEKT RED na Twitterze lub naszych wcześniejszych zawiadomień, CD PROJEKT S.A. stała się niedawno celem ataku hakerskiego, wykrytego 8 lutego 2021 r.

Mimo że nie stwierdziliśmy „wycieku” danych osobowych (a ryzyko takiego wycieku oceniamy na niskie), naszym obowiązkiem, wynikającym z Ogólnego Rozporządzenia o Ochronie Danych („RODO”), jest wskazanie Ci możliwych skutków zdarzenia, tak jakby wyciek danych rzeczywiście miał miejsce.

Z tego względu, poniżej przedstawiamy wymagane informacje na temat zdarzenia.

Charakter zdarzenia:

Zbadaliśmy zdarzenie i ustaliliśmy, że:

  1. część plików zawierających dane osobowe obecnych oraz byłych pracowników lub współpracowników (dalej „pracowników”) Spółki została zaszyfrowana w sieci wewnętrznej CD PROJEKT przez złośliwe oprogramowanie, co skutkowało czasową utratą dostępu do tych danych;
  2. zaszyfrowane pliki zawierały dokumenty związane z Twoim zatrudnieniem w Spółce, m.in.:
    – umowy o pracę lub inne rodzaje umów (o dzieło, o współpracę, zlecenie),
    – umowy o zachowanie poufności,
    – kopie dokumentów tożsamości (w przypadkach, kiedy były niezbędne do podpisania umów z pracownikami z zagranicy lub z uwagi na przepisy prawa),
    – kwestionariusze pracownicze,
    – informacje dot. wynagrodzeń, benefitów i tym podobnych spraw, włącznie z informacjami zawartymi w zgłoszeniach do prywatnej opieki medycznej (mogących zawierać także dane osobowe członków Twojej rodziny);
  3. zaszyfrowane dane osobowe zostały z powodzeniem odzyskane z kopii bezpieczeństwa – żadne dane nie zostały utracone;
  4. sprawcy pozostawili notatkę, w której zasugerowali, że nie tylko zaszyfrowali dane, ale również skopiowali pliki, w tym dane osobowe personelu, a także zagrozili, że ujawnią je mediom;
  5. w toku naszego dochodzenia nie znaleźliśmy żadnych dowodów na potwierdzenie transferu jakichkolwiek danych osobowych poza sieć wewnętrzną Spółki;
  6. tym niemniej, sposób działania sprawców sprawia, że stwierdzenie z całkowitą pewnością, czy dane osobowe zostały rzeczywiście skopiowane, może być niemożliwe.

Wstępne środki bezpieczeństwa

Od samego początku podchodziliśmy do zaistniałej sytuacji ze szczególną ostrożnością. W związku z tym:

  • zgłosiliśmy sprawę na policję;
  • poinformowaliśmy o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych;
  • zaczęliśmy monitorować sieć we współpracy z wyspecjalizowanym dostawcą usług, pod kątem pojawienia się danych osobowych pochodzących z naszej sieci wewnętrznej (nie odnotowaliśmy żadnego przypadku ujawnienia);
  • 9 lutego poinformowaliśmy publicznie o zdarzeniu za pośrednictwem Twittera1;
  • 9 lutego zwróciliśmy się do naszych byłych pracowników za pośrednictwem Twittera, udostępniając adres poczty elektronicznej Zespołu Privacy, na który mogą oni kierować pytania dotyczące ataku2;
  • komunikowaliśmy się za pośrednictwem poczty elektronicznej z każdą osobą wyrażającą obawę o bezpieczeństwo jej danych w związku z incydentem,
  • wysłaliśmy wiadomości zawierające wskazówki i rekomendacje dot. cyberbezpieczeństwa oraz ochrony danych bezpośrednio do byłych pracowników, na dostępne nam adresy poczty elektronicznej.

W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:

  • odcięliśmy zdalny dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do Internetu;
  • rozpoczęliśmy skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania i uruchomiliśmy nowe narzędzia monitorujące aktywność na komputerach personelu i w sieci, pod kątem wykrywania anomalii;
  • wzmocniliśmy politykę haseł i wymusiliśmy zmianę haseł personelu do wszystkich usług sieciowych (w tym także nieobjętych incydentem);
  • zaangażowaliśmy zewnętrznych ekspertów od bezpieczeństwa IT w celu wyjaśnienia przyczyn i przebiegu zdarzenia;
  • udzieliliśmy pracownikom dodatkowych instrukcji i ostrzeżeń dot. ochrony danych osobowych oraz cyberbezpieczeństwa.

Możliwe konsekwencje

W wykonaniu obowiązku wynikającego z RODO, informujemy, że możliwe konsekwencje naruszenia mogą obejmować (w szerokim znaczeniu):

  1. utratę kontroli nad Twoimi danymi osobowymi, naruszenie Twojego prawa do prywatności, które mogą np. doprowadzić do naruszenia Twojego dobrego imienia lub prowadzić do dyskryminacji;
  2. ograniczenie możliwości realizowania praw osoby, której dane dotyczą, z art. 15-22 RODO – np. otrzymania kopii Twoich danych lub żądania ich usunięcia;
  3. ograniczenie możliwości realizowania przysługujących Ci praw – na przykład głosowania nad projektami finansowanymi z budżetu partycypacyjnego;
  4. kradzież lub sfałszowanie tożsamości;
  5. stratę finansową, np. uzyskanie przez osoby trzecie pożyczek w pozabankowych instytucjach finansowych w Twoim imieniu;
  6. korzystanie z przysługujących ci świadczeń opieki zdrowotnej oraz uzyskanie dostępu do danych o Twoim stanie zdrowia;
  7. wyłudzenie ubezpieczenia lub środków z ubezpieczenia, lub inne próby wyłudzenia, jak phishing czy szantaż;
  8. zawarcie umów cywilnoprawnych, np. najmu nieruchomości, prowadzących do rozporządzenia mieniem na Twoją szkodę, jak również zawarcia umów o świadczenie usług, np. telewizji kablowej, telefonu (w tym zarejestrowanie karty przedpłaconej), Internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie negatywnych konsekwencji w postaci zadłużenia;
  9. otrzymywanie niechcianej korespondencji (spamu).

Rekomendowane działania

Przygotowaliśmy przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Twoich danych:

  1. Założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Twoje nazwisko, np. BIK https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl. Jeśli jesteś cudzoziemcem, poszukaj podobnej usługi w swoim kraju.
  2. Zastrzeżenie dowodu osobistego lub innego dokumentu wykorzystywanego w formalnej komunikacji ze Spółką (np. paszport) w banku, w którym masz konto, lub w innym, nawet jeśli nie masz tam założonego konta – lista polskich banków przyjmujących takie zgłoszenia znajduje się tutaj: https://dokumentyzastrzezone.pl/lista-bankow-zastrzegajacych-dokumenty-od-wszystkich-osob/.
  3. Jeśli jesteś obywatelem Polski – wyrobienie nowego dowodu osobistego poprzez kontakt z właściwym Urzędem Gminy lub Dzielnicy, unieważnienie aktualnego dokumentu i złożenie wniosku o wyrobienie nowego. Możesz zrobić to przez Internet, wykorzystując Profil Zaufany, osobiście w urzędzie lub za pośrednictwem tradycyjnej poczty, jeśli znajdujesz się za granicą. Więcej informacji znajduje się na tej stronie: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzie-swojego-dowodu-osobistego-uniewaznij-dowod.

Jeśli aktualnie posługujesz się innym dokumentem tożsamości niż wykorzystywany w formalnej komunikacji ze Spółką, np. jeśli dokument został wymieniony po zakończeniu współpracy ze Spółką, nie ma potrzeby zastrzegania / ubiegania się o nowy dokument tożsamości zgodnie z punktem 2 i 3 powyżej.

  1. Jeśli podejrzewasz, że mogłeś stać się ofiarą przestępstwa, niezwłocznie zgłoś się na policję. Jeśli przestępstwo zostało popełnione z wykorzystaniem Twoich danych osobowych, powiadom podmioty używające tych danych, np. bank, pożyczkodawców lub sieć telekomunikacyjną. Zbierz oraz zachowaj dowody wszelkich formalnych czynności podjętych w związku z zajściem, aby móc je wykorzystać podczas ewentualnego procesu sądowego.
  2. Jeśli używasz numeru PESEL jako loginu na jakimkolwiek portalu lub koncie internetowym – zmień login (o ile dany serwis dopuszcza taką zmianę).
  3. Zachowaj szczególną ostrożność w przypadku, gdy:
    a) otrzymasz niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
    b) odbierasz połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje Ci twoje aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te wykradzione;
    c) udostępniasz lub wykorzystujesz swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach. Zwracaj szczególną uwagę na linki i wypatruj nieprawidłowości.

Jeśli zaobserwujesz jakiekolwiek nieprawidłowości, nie udostępniaj żadnych danych osobowych i zgłoś ten fakt organom ścigania.

W przypadku dodatkowych pytań dot. bezpieczeństwa danych, skontaktuj się z nami za pośrednictwem adresu poczty elektronicznej dpo@cdprojektred.com.


1 https://twitter.com/CDPROJEKTRED/status/1359048125403590660

2 https://twitter.com/CDPROJEKTRED/status/1359230980775694341