incydent-rodo

Komunikat - aktualizacja

Poznań dnia, 6 maja 2021 r.

 

Do dnia dzisiejszego nie otrzymaliśmy żadnych żądań ze strony atakujących, a nasi zewnętrzni eksperci nie zidentyfikowali bazy w darknecie, ani w innym miejscu, w którym takie bazy mogą się pojawić. Tym samym możemy domniemywać, że szybka reakcja na atak naszego zespołu IT spowodowała, że poufność danych nie została naruszona. Jednocześnie chcemy zapewnić, że cały czas monitorujemy sytuację.

W razie pytań i wątpliwości prosimy o kontakt z naszym Inspektorem Ochrony Danych, Panem Krzysztofem Dziemian pod adresem rodo.01@jaikudo.pl.


Komunikat

Poznań, dnia 16 lutego 2021 r.

 

W dniu 19 stycznia 2021 roku, jak wiele innych firmy, padliśmy ofiarą skutecznego cyberataku na naszą infrastrukturę informatyczną, który polegał na bezprawnym dostępie do wewnętrznej sieci informatycznej oraz na próbie zaszyfrowania systemów JAI KUDO. Nasze procedury wewnętrzne zadziałały i funkcjonowanie firmy nie zostało zakłócone.

Niezwłocznie rozpoczęliśmy wewnętrzne dochodzenie, do którego zaangażowaliśmy również zewnętrznych ekspertów ds. cyberbezpieczeństwa. Na chwilę obecną stan naszej wiedzy jest taki, że nie możemy potwierdzić, czy jakiekolwiek dane osobowe zostały wyprowadzone na zewnątrz. Niemniej taką ewentualność musimy także brać pod uwagę.

Jeśli jesteś naszym kontrahentem
w naszych systemach (tylko jeśli zostały podane) mogły znajdować się następujące Państwa dane: Twoja nazwa oraz dane identyfikacyjne, telefon, email, informacje na temat łączących nas transakcji.

Naruszenie danych osobowych może nieść ze sobą pewne konsekwencje. Prosimy mieć na uwadze, że w związku
z atakiem pojawia się ryzyko:

• upublicznienia Państwa danych osobowych;

• wejścia w posiadanie Państwa adresów e-mail przez cyberprzestępców, którzy mogą prowadzić
ataki spersonalizowane phishingowe w celu wyłudzenia informacji lub zainfekowania urządzeń.
W każdym podobnym przypadku obowiązuje zasada „ograniczonego zaufania”. W razie wątpliwości nie należy klikać w linki oraz nie należy odpowiadać na podejrzenie maile. Ponadto należy pamiętać
o unikalnym i silnym haśle.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia danych osobowych zalecamy:

• zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;

• ignorowanie nieoczekiwanych wiadomości, w szczególności od nieznanych nadawców.

Podjęcie tych działań ma na celu zabezpieczenie Państwa danych osobowych przed niewłaściwym ich wykorzystaniem.

Jeśli jesteś naszym byłym lub obecnym pracownikiem
w naszych systemach (tylko jeśli zostały podane) mogły znajdować się następujące dane pracowników: informacje znajdujące się w systemach kadrowo-płacowych oraz dane kontaktowe (m.in. status zatrudnienia, stanowisko, stawka, wymiar, pesel, NIP, inf. dot. dowodu osobistego, adres zameldowania, adres zamieszkania, adres korespondencyjny).

Naruszenie danych osobowych niesie ze sobą pewne konsekwencje. Dlatego trzeba mieć świadomość, że
w związku z atakiem pojawia się ryzyko:
• upublicznienia danych osobowych;
• uzyskania przez osoby trzecie kredytów w instytucjach pozabankowych, na szkodę osoby, której dane naruszono. Wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
• uzyskania dostępu do dokumentów urzędowych lub korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono, oraz dostępu do jej danych o stanie zdrowia. Często dostęp do systemów można uzyskać telefonicznie, potwierdzając tożsamość za pomocą nr PESEL i innych danych;
• korzystania z praw obywatelskich osoby, której dane naruszono, np: do głosowania nad środkami budżetu obywatelskiego – co może uniemożliwić skorzystanie z przysługujących praw;
• wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co dla osoby, której dane dotyczą, może wiązać się z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
• wejścia w posiadanie służbowych adresów e-mail przez cyberprzestępców, którzy mogą prowadzić ataki spersonalizowane phishingowe w celu wyłudzenia informacji lub zainfekowania urządzeń. W każdym podobnym przypadku obowiązuje zasada “ograniczonego zaufania”. W razie wątpliwości nie powinniśmy klikać w linki, ani odpowiadać na podejrzane maile. Ponadto warto pamiętać o unikalnym i silnym haśle.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia danych osobowych zalecane jest:
• założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej, np: Biuro Informacji Kredytowej S.A., strona https://www.bik.pl; Biuro Informacji Gospodarczej InfoMonitor S.A., strona https://big.pl; Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A., strona https://krd.pl; Serwis CHRONPESEL, strona https://www.chronpesel.pl).
• dokonanie wymiany dokumentu tożsamości;
• zachowanie ostrożności przy podawaniu danych osobowych, zwłaszcza przez Internet czy telefon;
• ignorowanie nieoczekiwanych wiadomości, w szczególności od nieznanych nadawców.

Podjęcie tych działań ma na celu zabezpieczenie Państwa danych osobowych przed niewłaściwym ich wykorzystaniem.

Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych osobowych przez osobę nieuprawnioną, prosimy o niezwłoczne zawiadomienie o tym fakcie organów ścigania (Policję, Prokuraturę) oraz o przekazanie tej informacji do JAI KUDO.

W razie jakichkolwiek pytań prosimy o kontakt z naszym Inspektorem Ochrony Danych, Panem Krzysztofem Dziemian pod adresem rodo.01@jaikudo.pl

O wszelkich aktualizacjach dotyczących incydentu i wprowadzonych środkach zaradczych będziemy Państwa informować na bieżąco, po uzyskaniu pełnych informacji, na tej stronie.

Z poważaniem,

Artur Obuchowski
Dyrektor Zarządzający