Informacja dotycząca bezpieczeństwa danych

  • Katarzyna_Szulc_IR
    CD PROJEKT Moderator
    Dołączył:11.2015
    Postów:588

    Warszawa, 17 lutego 2021 r.

    INFORMACJA DOTYCZĄCA BEZPIECZEŃSTWA DANYCH

    Drogi były pracowniku lub współpracowniku CD PROJEKT S.A. („Spółka”),

    jak mogłeś/mogłaś się dowiedzieć z oficjalnego komunikatu CD PROJEKT RED na Twitterze lub naszych wcześniejszych zawiadomień, CD PROJEKT S.A. stała się niedawno celem ataku hakerskiego, wykrytego 8 lutego 2021 r.

    Mimo że nie stwierdziliśmy „wycieku” danych osobowych (a ryzyko takiego wycieku oceniamy na niskie), naszym obowiązkiem, wynikającym z Ogólnego Rozporządzenia o Ochronie Danych („RODO”), jest wskazanie Ci możliwych skutków zdarzenia, tak jakby wyciek danych rzeczywiście miał miejsce.

    Z tego względu, poniżej przedstawiamy wymagane informacje na temat zdarzenia.

    Charakter zdarzenia:

    Zbadaliśmy zdarzenie i ustaliliśmy, że:

    1. część plików zawierających dane osobowe obecnych oraz byłych pracowników lub współpracowników (dalej „pracowników”) Spółki została zaszyfrowana w sieci wewnętrznej CD PROJEKT przez złośliwe oprogramowanie, co skutkowało czasową utratą dostępu do tych danych;
    2. zaszyfrowane pliki zawierały dokumenty związane z Twoim zatrudnieniem w Spółce, m.in.:
      – umowy o pracę lub inne rodzaje umów (o dzieło, o współpracę, zlecenie),
      – umowy o zachowanie poufności,
      – kopie dokumentów tożsamości (w przypadkach, kiedy były niezbędne do podpisania umów z pracownikami z zagranicy lub z uwagi na przepisy prawa),
      – kwestionariusze pracownicze,
      – informacje dot. wynagrodzeń, benefitów i tym podobnych spraw, włącznie z informacjami zawartymi w zgłoszeniach do prywatnej opieki medycznej (mogących zawierać także dane osobowe członków Twojej rodziny);
    3. zaszyfrowane dane osobowe zostały z powodzeniem odzyskane z kopii bezpieczeństwa – żadne dane nie zostały utracone;
    4. sprawcy pozostawili notatkę, w której zasugerowali, że nie tylko zaszyfrowali dane, ale również skopiowali pliki, w tym dane osobowe personelu, a także zagrozili, że ujawnią je mediom;
    5. w toku naszego dochodzenia nie znaleźliśmy żadnych dowodów na potwierdzenie transferu jakichkolwiek danych osobowych poza sieć wewnętrzną Spółki;
    6. tym niemniej, sposób działania sprawców sprawia, że stwierdzenie z całkowitą pewnością, czy dane osobowe zostały rzeczywiście skopiowane, może być niemożliwe.

    Wstępne środki bezpieczeństwa

    Od samego początku podchodziliśmy do zaistniałej sytuacji ze szczególną ostrożnością. W związku z tym:

    • zgłosiliśmy sprawę na policję;
    • poinformowaliśmy o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych;
    • zaczęliśmy monitorować sieć we współpracy z wyspecjalizowanym dostawcą usług, pod kątem pojawienia się danych osobowych pochodzących z naszej sieci wewnętrznej (nie odnotowaliśmy żadnego przypadku ujawnienia);
    • 9 lutego poinformowaliśmy publicznie o zdarzeniu za pośrednictwem Twittera1;
    • 9 lutego zwróciliśmy się do naszych byłych pracowników za pośrednictwem Twittera, udostępniając adres poczty elektronicznej Zespołu Privacy, na który mogą oni kierować pytania dotyczące ataku2;
    • komunikowaliśmy się za pośrednictwem poczty elektronicznej z każdą osobą wyrażającą obawę o bezpieczeństwo jej danych w związku z incydentem,
    • wysłaliśmy wiadomości zawierające wskazówki i rekomendacje dot. cyberbezpieczeństwa oraz ochrony danych bezpośrednio do byłych pracowników, na dostępne nam adresy poczty elektronicznej.

    W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:

    • odcięliśmy zdalny dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do Internetu;
    • rozpoczęliśmy skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania i uruchomiliśmy nowe narzędzia monitorujące aktywność na komputerach personelu i w sieci, pod kątem wykrywania anomalii;
    • wzmocniliśmy politykę haseł i wymusiliśmy zmianę haseł personelu do wszystkich usług sieciowych (w tym także nieobjętych incydentem);
    • zaangażowaliśmy zewnętrznych ekspertów od bezpieczeństwa IT w celu wyjaśnienia przyczyn i przebiegu zdarzenia;
    • udzieliliśmy pracownikom dodatkowych instrukcji i ostrzeżeń dot. ochrony danych osobowych oraz cyberbezpieczeństwa.

    Możliwe konsekwencje

    W wykonaniu obowiązku wynikającego z RODO, informujemy, że możliwe konsekwencje naruszenia mogą obejmować (w szerokim znaczeniu):

    1. utratę kontroli nad Twoimi danymi osobowymi, naruszenie Twojego prawa do prywatności, które mogą np. doprowadzić do naruszenia Twojego dobrego imienia lub prowadzić do dyskryminacji;
    2. ograniczenie możliwości realizowania praw osoby, której dane dotyczą, z art. 15-22 RODO – np. otrzymania kopii Twoich danych lub żądania ich usunięcia;
    3. ograniczenie możliwości realizowania przysługujących Ci praw – na przykład głosowania nad projektami finansowanymi z budżetu partycypacyjnego;
    4. kradzież lub sfałszowanie tożsamości;
    5. stratę finansową, np. uzyskanie przez osoby trzecie pożyczek w pozabankowych instytucjach finansowych w Twoim imieniu;
    6. korzystanie z przysługujących ci świadczeń opieki zdrowotnej oraz uzyskanie dostępu do danych o Twoim stanie zdrowia;
    7. wyłudzenie ubezpieczenia lub środków z ubezpieczenia, lub inne próby wyłudzenia, jak phishing czy szantaż;
    8. zawarcie umów cywilnoprawnych, np. najmu nieruchomości, prowadzących do rozporządzenia mieniem na Twoją szkodę, jak również zawarcia umów o świadczenie usług, np. telewizji kablowej, telefonu (w tym zarejestrowanie karty przedpłaconej), Internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie negatywnych konsekwencji w postaci zadłużenia;
    9. otrzymywanie niechcianej korespondencji (spamu).

    Rekomendowane działania

    Przygotowaliśmy przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Twoich danych:

    1. Założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Twoje nazwisko, np. BIK https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl. Jeśli jesteś cudzoziemcem, poszukaj podobnej usługi w swoim kraju.
    2. Zastrzeżenie dowodu osobistego lub innego dokumentu wykorzystywanego w formalnej komunikacji ze Spółką (np. paszport) w banku, w którym masz konto, lub w innym, nawet jeśli nie masz tam założonego konta – lista polskich banków przyjmujących takie zgłoszenia znajduje się tutaj: https://dokumentyzastrzezone.pl/lista-bankow-zastrzegajacych-dokumenty-od-wszystkich-osob/.
    3. Jeśli jesteś obywatelem Polski – wyrobienie nowego dowodu osobistego poprzez kontakt z właściwym Urzędem Gminy lub Dzielnicy, unieważnienie aktualnego dokumentu i złożenie wniosku o wyrobienie nowego. Możesz zrobić to przez Internet, wykorzystując Profil Zaufany, osobiście w urzędzie lub za pośrednictwem tradycyjnej poczty, jeśli znajdujesz się za granicą. Więcej informacji znajduje się na tej stronie: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzie-swojego-dowodu-osobistego-uniewaznij-dowod.

    Jeśli aktualnie posługujesz się innym dokumentem tożsamości niż wykorzystywany w formalnej komunikacji ze Spółką, np. jeśli dokument został wymieniony po zakończeniu współpracy ze Spółką, nie ma potrzeby zastrzegania / ubiegania się o nowy dokument tożsamości zgodnie z punktem 2 i 3 powyżej.

    1. Jeśli podejrzewasz, że mogłeś stać się ofiarą przestępstwa, niezwłocznie zgłoś się na policję. Jeśli przestępstwo zostało popełnione z wykorzystaniem Twoich danych osobowych, powiadom podmioty używające tych danych, np. bank, pożyczkodawców lub sieć telekomunikacyjną. Zbierz oraz zachowaj dowody wszelkich formalnych czynności podjętych w związku z zajściem, aby móc je wykorzystać podczas ewentualnego procesu sądowego.
    2. Jeśli używasz numeru PESEL jako loginu na jakimkolwiek portalu lub koncie internetowym – zmień login (o ile dany serwis dopuszcza taką zmianę).
    3. Zachowaj szczególną ostrożność w przypadku, gdy:
      a) otrzymasz niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
      b) odbierasz połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje Ci twoje aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te wykradzione;
      c) udostępniasz lub wykorzystujesz swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach. Zwracaj szczególną uwagę na linki i wypatruj nieprawidłowości.

    Jeśli zaobserwujesz jakiekolwiek nieprawidłowości, nie udostępniaj żadnych danych osobowych i zgłoś ten fakt organom ścigania.

    W przypadku dodatkowych pytań dot. bezpieczeństwa danych, skontaktuj się z nami za pośrednictwem adresu poczty elektronicznej dpo@cdprojektred.com.


    1 https://twitter.com/CDPROJEKTRED/status/1359048125403590660

    2 https://twitter.com/CDPROJEKTRED/status/1359230980775694341

  • Musisz być zalogowany aby odpowiadać w tym temacie.