Świadczenie wychowawcze

Fundusz alimentacyjny

Asystenci Rodziny



Uzupełnione zawiadomienie w sprawie naruszenia bezpieczeństwa ochrony danych osobowych Drukuj
Środa, 10 Wrzesień 2025 13:56

Dyrektor Miejsko-Gminnego Ośrodka Pomocy Społecznej w Nowej Sarzynie informuje, iż Ośrodek mimo najnowszych zabezpieczeń i procedur mających na celu ochronę danych osobowych padł ofiarą ataku hakerskiego w dniu 27.01.2025 r.

O naruszeniu pierwotnie informowaliśmy za pośrednictwem naszej strony internetowej.

Link do pierwotnej informacji: https://www.mgops.nowasarzyna.eu/index.php?option=com_content&view=article&id=704:cyberatak-na-miejsko-gminny-orodek-pomocy-spoecznej-w-nowej-sarzynie&catid=39:aktualnoci

W tego typu sytuacjach, zgodnie z przepisami prawa art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwanej RODO, Miejsko-Gminny Ośrodek Pomocy Społecznej w Nowej Sarzynie ma obowiązek poinformować o możliwości naruszenia ochrony Pani/Pana danych osobowych. Włamanie na serwery Miejsko-Gminny Ośrodek Pomocy Społecznej w Nowej Sarzynie i zaszyfrowanie baz danych przy wykorzystaniu oprogramowania typu ransomware stwierdzono 27.01.2025 r. Są to działania o charakterze przestępczym, które zostały niezwłocznie zgłoszone na policję, do Urzędu Ochrony Danych Osobowych oraz do CERT i NASK – zespołu powołanego do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet.

W konsekwencji tego zdarzenia istnieje możliwość nieuprawnionego pozyskania danych przez osoby trzecie. Atakujący mogli uzyskać nieuprawniony dostęp do niektórych spośród danych osobowych przetwarzanych przez Miejsko-Gminny Ośrodek Pomocy Społecznej w Nowej Sarzynie takich jak: imię i nazwisko, adres zamieszkania, numer PESEL, seria i numer dowodu osobistego lub paszportu, data i miejsce urodzenia, stan cywilny, obywatelstwo lub innych danych które były przetwarzane w związku z załatwianymi sprawami.

Dla zapewnienia najwyższego standardu bezpieczeństwa danych osobowych w Miejsko-Gminnym Ośrodku Pomocy Społecznej w Nowej Sarzynie podjęto natychmiastowe czynności:

  • Zabezpieczono dostęp do baz danych w systemie informatycznym;
  • Poinformowano osoby, których naruszenie ochrony danych dotyczy poprzez opublikowanie niniejszego pisma;
  • Zainicjowano proces odtworzenia systemów informatycznych z kopii zapasowych.

W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji w odpowiedzi na zdarzenie:

  • Odcięty został dostęp do zainfekowanych systemów;
  • Rozpoczęto analizę logów w podanym okresie, analizę komputerów, urządzeń informatycznych oraz przeprowadzono wywiad z pracownikami urzędu w poszukiwaniu wszystkich metod uzyskania dostępów, jakie mogli uzyskać przestępcy;
  • Udzielono pracownikom dodatkowe instrukcje i ostrzeżenia dotyczące ochrony danych osobowych oraz cyberbezpieczeństwa.

Środki zastosowane przez Administratora w związku z incydentem

    Natychmiast po ujawnieniu incydentu zaatakowane serwery zostały wyłączone z użytku poprzez odseparowanie ich od sieci.

  • Powiadomiono Policję - Centralne Biuro Zwalczania Cyberprzestępczości (CBZC).
  • Powiadomiono NASK o zaistniałym incydencie.
  • Przekazano do Prezesa Urzędu Ochrony Danych Osobowych zawiadomienie o naruszeniu ochrony danych osobowych.  
  • Powiadomiono osoby, których dane dotyczą poprzez wydanie publicznego komunikatu.
  • Zastosowano się do wszystkich poleceń i zaleceń CSIRT-NASK . 
  • Po dokonaniu wszystkich czynności dowodowych przez CSIRT-NASK i CBZC wyłączono zaatakowany serwer do czasu sprawdzenia incydentu.
  • Wykonano skanowanie komputerów oraz serwerów pracowników w poszukiwaniu złośliwego oprogramowania;
  • Przeanalizowano przyczyny wystąpienia naruszenia;
  • Zabezpieczono infrastrukturę Ośrodka przez wystąpieniem dalszych naruszeń lub wystąpieniem podobnych naruszeń w przyszłości: Wdrożono system antywirusowy klasy EDR/XDR zarządzanego centralnie; Wdrożono system klasy NAC (Network Access Control); Wdrożono system klasy SIEM/SOAR razem z serwerem logów; Wdrożono serwer logów; Wdrożono urządzenia do analizy logów; Uruchomiono dodatkową serwerownię, która uchroni przed skutkami ewentualnych przerw w dostępności danych w przyszłości. 

Możliwe skutki i konsekwencje naruszenia ochrony danych osobowych

Ośrodek na skutek przeprowadzonego postępowania wyjaśniającego nie uzyskał bezpośredniego potwierdzenia że przestępcy odpowiedzialni za przeprowadzenie ataku nie pozyskali Państwa danych osobowych, jednak nie można obecnie takiej sytuacji wykluczyć. Dysponując wskazanymi wyżej danymi, osoba nieuprawniona może potencjalnie posługiwać się nimi tam, gdzie uwierzytelnienie wymaga podania imienia i nazwiska, numeru PESEL lub numeru dowodu osobistego i tym samym osoba nieuprawniona może:

  • Podejmować próby uzyskania na Pani/Pana szkodę pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, w przypadkach niewymagających okazywania dokumentu tożsamości;
  • Podejmować próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, w przypadkach gdy dostęp do systemów rejestracji pacjenta będzie oparty na potwierdzeniu swojej tożsamości z wykorzystaniem numeru PESEL;
  • Wykorzystać Pani/Pana dane osobowe do próby wyłudzenia odszkodowania;
  • Podjąć próbę zawarcia na Pani/Pana szkodę umów cywilnoprawnych;
  • Założyć konto na stronach internetowych, forach, sklepach i innych serwerach tam, gdzie brak jest weryfikacji zwrotnej za pomocą wiadomości e-mail lub numeru telefonu;
  • Dopuścić się działań o charakterze szykan – kierowania krzywdzących wiadomości, rozgłaszania nieprawdziwych informacji, poniżania w środowisku zawodowym lub prywatnym;
  • Dopuścić się dyskryminacji – np. nierównego traktowania w dostępie do usług, pracy czy świadczeń na podstawie pozyskanych danych. Dodatkowo może dopuścić się szykan i dyskryminacji z uwagi na naruszenie ochrony danych osobowych;
  • Naruszyć prywatność lub dobre imię poprzez ujawnienie danych w sposób szkodliwy dla Pani/Pana reputacji lub życia osobistego;
  • Narażać na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;
  • Wykorzystywać dane osobowe celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;
  • Wykorzystywać dane osobowe do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów);
  • Zarejestrować przedpłaconą kartę telefoniczną (pre-paid), która może służyć do celów przestępczych;

Rekomendowane działania

Miejsko-Gminny Ośrodek Pomocy Społecznej w Nowej Sarzynie przygotował przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Pani/Pana danych:

  • Założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Pani/Pana nazwisko, np. BIK: https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl;
  • Zastrzeżenie dowodu osobistego lub innego dokumentu w banku, w którym Pani/Pan posiada konto, lub w innym – nawet jeśli Pani/Pan nie ma tam założonego konta. Lista banków przyjmujących takie zgłoszenia: https://dokumentyzastrzezone.pl/lista-bankow-zastrzegajacych-dokumenty-od-wszystkich-osob;
  • Włączyć dodatkowe zabezpieczenie w serwisach, które umożliwiają weryfikację dwuetapową;
  • Zwracać szczególną uwagę na próby logowania na konta i sprawdzania alertów przesyłanych na adres e-mail;
  • Zachować ostrożność w kontakcie ze strony banków lub innych instytucji finansowych, w szczególności gdy rozmówca chce, powołując się na numer PESEL, uzyskać dane takie jak nr dowodu osobistego, nr konta bankowego, itp.;
  • Zachować ostrożność przy korzystaniu z mediów społecznościowych, w szczególności przy odbieraniu wiadomości prywatnych zawierających linki;
  • Wyrobienie nowego dowodu osobistego (dla obywateli Polski) – więcej informacji: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzenie-swojego-dowodu-osobistego-uniewaznij-dowod;
  • Zgłoszenie na policję w przypadku podejrzenia, że mogło dojść do przestępstwa z wykorzystaniem Pani/Pana danych osobowych. Powiadomienie również instytucji, które mogą być zaangażowane (bank, operator telekomunikacyjny, pożyczkodawca);
  • Zachowanie dowodów wszystkich działań podjętych w związku z incydentem;
  • Zwracanie szczególnej uwagi na podejrzane wiadomości, linki i połączenia telefoniczne – w szczególności takie, w których proszone jest o podanie dodatkowych danych;
  • Ostrożność przy podawaniu danych osobowych przez Internet, zwłaszcza za pośrednictwem linków w e-mailach i wiadomościach.
  • Bezpieczeństwo Państwa danych we własnym zakresie można sprawdzić na: https://bezpiecznedane.gov.pl/

Możliwość ochrony swoich praw

W przypadku naruszenia prywatności, dobrego imienia lub czci może Pani/Pan skorzystać z ochrony przewidzianej w Kodeksie cywilnym (art. 23 i 24), w tym z prawa do:

  • żądania zaprzestania działań naruszających;
  • domagania się usunięcia skutków naruszenia, np. poprzez przeprosiny;
  • ubiegania się o odszkodowanie lub zadośćuczynienie.

Takie roszczenia można zgłosić do sądu powszechnego.

Informujemy również, iż mają Państwo prawo skorzystać ze środków ochrony dóbr osobistych wskazanych w przepisach ustaw Kodeks Cywilny i Kodeks postępowania cywilnego, w szczególności wystąpić:

  1. z żądaniem zaprzestania naruszeń poprzez żądanie dopełnienia czynności, potrzebnych do usunięcia skutków naruszenia poprzez złożenie oświadczenia o odpowiedniej treści i formie, 
  2. z żądaniem wypłaty stosownego zadośćuczynienia lub zapłaty określonej kwoty na wskazany cel społeczny, 
  3. z żądaniem wypłaty stosownego odszkodowania, jeśli na skutek naruszenia doszło do wyrządzenia szkody majątkowej.

Jeśli dowiedzą się Państwo o wykorzystaniu Państwa danych osobowych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji.

Zapewniamy, że przedmiotowe zdarzenie miało charakter incydentalny.

Kontakt do Inspektora Ochrony Danych

Liczymy, że mimo tego zdarzenia nie dojdzie do nieuprawnionego wykorzystania danych osobowych i podejrzenie kradzieży danych nie będzie niosło negatywnych konsekwencji.

W przypadku wątpliwości dotyczących zdarzenia w zakresie ochrony danych osobowych prosimy kontaktować się z Inspektorem Ochrony Danych: 

Kamila Mierzwińska, tel. 17 7178169 wew. 22.

Zarówno Dyrektor jak i pracownicy, zapewniają, że dołożą wszelkich starań ograniczających negatywne skutki zdarzenia.
 

BIP MGOPS w Nowej Sarzynie

MGOPS w obiektywie

Reklama
Odsłon : 839453