Aktualności
StartAktualnościInformacja dotycząca bezpieczeństwa danych

Informacja dotycząca bezpieczeństwa danych

17 lutego 2021

Warszawa, 17 lutego 2021 r.

INFORMACJA DOTYCZĄCA BEZPIECZEŃSTWA DANYCH

Drogi były pracowniku lub współpracowniku CD PROJEKT S.A. („Spółka”),

jak mogłeś/mogłaś się dowiedzieć z oficjalnego komunikatu CD PROJEKT RED na Twitterze lub naszych wcześniejszych zawiadomień, CD PROJEKT S.A. stała się niedawno celem ataku hakerskiego, wykrytego 8 lutego 2021 r.

Mimo że nie stwierdziliśmy „wycieku” danych osobowych (a ryzyko takiego wycieku oceniamy na niskie), naszym obowiązkiem, wynikającym z Ogólnego Rozporządzenia o Ochronie Danych („RODO”), jest wskazanie Ci możliwych skutków zdarzenia, tak jakby wyciek danych rzeczywiście miał miejsce.

Z tego względu, poniżej przedstawiamy wymagane informacje na temat zdarzenia.

Charakter zdarzenia:

Zbadaliśmy zdarzenie i ustaliliśmy, że:

  1. część plików zawierających dane osobowe obecnych oraz byłych pracowników lub współpracowników (dalej „pracowników”) Spółki została zaszyfrowana w sieci wewnętrznej CD PROJEKT przez złośliwe oprogramowanie, co skutkowało czasową utratą dostępu do tych danych;
  2. zaszyfrowane pliki zawierały dokumenty związane z Twoim zatrudnieniem w Spółce, m.in.:
    – umowy o pracę lub inne rodzaje umów (o dzieło, o współpracę, zlecenie),
    – umowy o zachowanie poufności,
    – kopie dokumentów tożsamości (w przypadkach, kiedy były niezbędne do podpisania umów z pracownikami z zagranicy lub z uwagi na przepisy prawa),
    – kwestionariusze pracownicze,
    – informacje dot. wynagrodzeń, benefitów i tym podobnych spraw, włącznie z informacjami zawartymi w zgłoszeniach do prywatnej opieki medycznej (mogących zawierać także dane osobowe członków Twojej rodziny);
  3. zaszyfrowane dane osobowe zostały z powodzeniem odzyskane z kopii bezpieczeństwa – żadne dane nie zostały utracone;
  4. sprawcy pozostawili notatkę, w której zasugerowali, że nie tylko zaszyfrowali dane, ale również skopiowali pliki, w tym dane osobowe personelu, a także zagrozili, że ujawnią je mediom;
  5. w toku naszego dochodzenia nie znaleźliśmy żadnych dowodów na potwierdzenie transferu jakichkolwiek danych osobowych poza sieć wewnętrzną Spółki;
  6. tym niemniej, sposób działania sprawców sprawia, że stwierdzenie z całkowitą pewnością, czy dane osobowe zostały rzeczywiście skopiowane, może być niemożliwe.

Wstępne środki bezpieczeństwa

Od samego początku podchodziliśmy do zaistniałej sytuacji ze szczególną ostrożnością. W związku z tym:

  • zgłosiliśmy sprawę na policję;
  • poinformowaliśmy o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych;
  • zaczęliśmy monitorować sieć we współpracy z wyspecjalizowanym dostawcą usług, pod kątem pojawienia się danych osobowych pochodzących z naszej sieci wewnętrznej (nie odnotowaliśmy żadnego przypadku ujawnienia);
  • 9 lutego poinformowaliśmy publicznie o zdarzeniu za pośrednictwem Twittera1;
  • 9 lutego zwróciliśmy się do naszych byłych pracowników za pośrednictwem Twittera, udostępniając adres poczty elektronicznej Zespołu Privacy, na który mogą oni kierować pytania dotyczące ataku2;
  • komunikowaliśmy się za pośrednictwem poczty elektronicznej z każdą osobą wyrażającą obawę o bezpieczeństwo jej danych w związku z incydentem,
  • wysłaliśmy wiadomości zawierające wskazówki i rekomendacje dot. cyberbezpieczeństwa oraz ochrony danych bezpośrednio do byłych pracowników, na dostępne nam adresy poczty elektronicznej.

W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:

  • odcięliśmy zdalny dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do Internetu;
  • rozpoczęliśmy skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania i uruchomiliśmy nowe narzędzia monitorujące aktywność na komputerach personelu i w sieci, pod kątem wykrywania anomalii;
  • wzmocniliśmy politykę haseł i wymusiliśmy zmianę haseł personelu do wszystkich usług sieciowych (w tym także nieobjętych incydentem);
  • zaangażowaliśmy zewnętrznych ekspertów od bezpieczeństwa IT w celu wyjaśnienia przyczyn i przebiegu zdarzenia;
  • udzieliliśmy pracownikom dodatkowych instrukcji i ostrzeżeń dot. ochrony danych osobowych oraz cyberbezpieczeństwa.

Możliwe konsekwencje

W wykonaniu obowiązku wynikającego z RODO, informujemy, że możliwe konsekwencje naruszenia mogą obejmować (w szerokim znaczeniu):

  1. utratę kontroli nad Twoimi danymi osobowymi, naruszenie Twojego prawa do prywatności, które mogą np. doprowadzić do naruszenia Twojego dobrego imienia lub prowadzić do dyskryminacji;
  2. ograniczenie możliwości realizowania praw osoby, której dane dotyczą, z art. 15-22 RODO – np. otrzymania kopii Twoich danych lub żądania ich usunięcia;
  3. ograniczenie możliwości realizowania przysługujących Ci praw – na przykład głosowania nad projektami finansowanymi z budżetu partycypacyjnego;
  4. kradzież lub sfałszowanie tożsamości;
  5. stratę finansową, np. uzyskanie przez osoby trzecie pożyczek w pozabankowych instytucjach finansowych w Twoim imieniu;
  6. korzystanie z przysługujących ci świadczeń opieki zdrowotnej oraz uzyskanie dostępu do danych o Twoim stanie zdrowia;
  7. wyłudzenie ubezpieczenia lub środków z ubezpieczenia, lub inne próby wyłudzenia, jak phishing czy szantaż;
  8. zawarcie umów cywilnoprawnych, np. najmu nieruchomości, prowadzących do rozporządzenia mieniem na Twoją szkodę, jak również zawarcia umów o świadczenie usług, np. telewizji kablowej, telefonu (w tym zarejestrowanie karty przedpłaconej), Internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie negatywnych konsekwencji w postaci zadłużenia;
  9. otrzymywanie niechcianej korespondencji (spamu).

Rekomendowane działania

Przygotowaliśmy przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Twoich danych:

  1. Założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Twoje nazwisko, np. BIK https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl. Jeśli jesteś cudzoziemcem, poszukaj podobnej usługi w swoim kraju.
  2. Zastrzeżenie dowodu osobistego lub innego dokumentu wykorzystywanego w formalnej komunikacji ze Spółką (np. paszport) w banku, w którym masz konto, lub w innym, nawet jeśli nie masz tam założonego konta – lista polskich banków przyjmujących takie zgłoszenia znajduje się tutaj: https://dokumentyzastrzezone.pl/lista-bankow-zastrzegajacych-dokumenty-od-wszystkich-osob/.
  3. Jeśli jesteś obywatelem Polski – wyrobienie nowego dowodu osobistego poprzez kontakt z właściwym Urzędem Gminy lub Dzielnicy, unieważnienie aktualnego dokumentu i złożenie wniosku o wyrobienie nowego. Możesz zrobić to przez Internet, wykorzystując Profil Zaufany, osobiście w urzędzie lub za pośrednictwem tradycyjnej poczty, jeśli znajdujesz się za granicą. Więcej informacji znajduje się na tej stronie: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzie-swojego-dowodu-osobistego-uniewaznij-dowod.

Jeśli aktualnie posługujesz się innym dokumentem tożsamości niż wykorzystywany w formalnej komunikacji ze Spółką, np. jeśli dokument został wymieniony po zakończeniu współpracy ze Spółką, nie ma potrzeby zastrzegania / ubiegania się o nowy dokument tożsamości zgodnie z punktem 2 i 3 powyżej.

  1. Jeśli podejrzewasz, że mogłeś stać się ofiarą przestępstwa, niezwłocznie zgłoś się na policję. Jeśli przestępstwo zostało popełnione z wykorzystaniem Twoich danych osobowych, powiadom podmioty używające tych danych, np. bank, pożyczkodawców lub sieć telekomunikacyjną. Zbierz oraz zachowaj dowody wszelkich formalnych czynności podjętych w związku z zajściem, aby móc je wykorzystać podczas ewentualnego procesu sądowego.
  2. Jeśli używasz numeru PESEL jako loginu na jakimkolwiek portalu lub koncie internetowym – zmień login (o ile dany serwis dopuszcza taką zmianę).
  3. Zachowaj szczególną ostrożność w przypadku, gdy:
    a) otrzymasz niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
    b) odbierasz połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje Ci twoje aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te wykradzione;
    c) udostępniasz lub wykorzystujesz swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach. Zwracaj szczególną uwagę na linki i wypatruj nieprawidłowości.

Jeśli zaobserwujesz jakiekolwiek nieprawidłowości, nie udostępniaj żadnych danych osobowych i zgłoś ten fakt organom ścigania.

W przypadku dodatkowych pytań dot. bezpieczeństwa danych, skontaktuj się z nami za pośrednictwem adresu poczty elektronicznej dpo@cdprojektred.com.


1 https://twitter.com/CDPROJEKTRED/status/1359048125403590660

2 https://twitter.com/CDPROJEKTRED/status/1359230980775694341