Stara Wieś, dnia 19 grudnia 2024 r.
ZAWIADOMIENIE O MOŻLIWYM NARUSZENIU OCHRONY DANYCH OSOBOWYCH - AKTUALIZACJA
Szanowna Pani,
Szanowny Panie,
Scania Finance Polska sp. z o.o., z siedzibą w Starej Wsi, al. Katowicka 316, 05-830 Nadarzyn (dalej jako „SFP” lub „Spółka”) dopełniając swoich obowiązków jako administratora danych w rozumieniu art. 4 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) niniejszym przesyła aktualizację zawiadomienia o możliwym naruszeniu ochrony danych osobowych, które jest wynikiem ataku hakerskiego, który został stwierdzony w dniu 07.12.2024r.
W ślad za poprzednim zawiadomieniem przesyłamy jego aktualizację. SFP na podstawie przeprowadzonej wewnętrznej weryfikacji ustaliła, że poza skutkiem ataku w postaci zaszyfrowania danych przez sprawców istnieje wysokie ryzyko, że sprawcy pobrali (wykradli) przynajmniej część danych i mogą je ujawnić w sieci internet. Na chwilę obecną nie zostało ustalone czy na pewno oraz ewentualnie jaki zakres danych mógł zostać pobrany przez sprawców, ale SFP kierując się szczególną troską wobec swoich klientów podjęła decyzję o zawiadomieniu wszystkich klientów o tym ryzyku, możliwych zagrożeniach, a także rekomendacjach w jaki sposób można zabezpieczyć się przed skutkami ujawnienia danych w sieci internet.
Ponieważ opisywane naruszenie mogło dotyczyć Pani/Pana danych osobowych, prosimy o ponowne dokładne zapoznanie się z treścią poniższego komunikatu.
Opis charakteru naruszenia
W dniu 7 grudnia 2024 r. odnotowano próbę ataku hakerskiego na infrastrukturę IT Scania Polska S.A. (dalej również jako „SPL”) – dostawcy usług informatycznych dla SFP. Niezwłocznie po stwierdzonym incydencie rozpoczęto prace w trybie reakcji na zdarzenie, a także w miarę ustalania skutków zdarzenia podejmowano kolejne działania mające na celu próbę ograniczenia skutków tego ataku.
Jeszcze w dniu stwierdzenia ataku zdarzenie zostało zgłoszone przez SPL do Centralnego Biura Zwalczania Cyberprzestępczości (Policja), a także zorganizowano spotkanie z przedstawicielami CSIRT NASK w temacie incydentu oraz wsparcia jakie może udzielić CERT [1] (więcej o tej organizacji zobacz przypis poniżej).
Aktualnie SFP we współpracy z SPL, CERT oraz Policją prowadzi szereg działań mających na celu ustalenie potencjalnego wektora ataku, dokładnego czasu trwania oraz jego możliwych skutków dla osób, których dane osobowe zostały objęte atakiem. Na daną chwilę SFP potwierdza, że hakerzy przeprowadzili skuteczny atak typu ransomware, który polega na tym, że dane osobowe posiadane przez SFP zostały zaszyfrowane przez atakujących, przez co Spółka nie ma do nich dostępu lub też dostęp jest ograniczony.
Na tą chwilę SFP nadal nie dysponuje jednoznacznym potwierdzeniem, że dane zostały pobrane przez hakerów, ale przyjmuje że istnieje wysokie prawdopodobieństwo wystąpienia tego typu okoliczności.
W ramach wewnętrznego postępowania wyjaśniającego prowadzone są czynności mające na celu jednoznaczne ustalenie tej kwestii.
Biorąc pod uwagę powyższe zagrożenie, informujemy, że atakiem hakerskim mogły być Pani/Pana dane osobowe, o ile przekazywał(a) Pani/Pan dane w takim zakresie do Spółki lub występował(a) w roli klienta Spółki, jej przedstawiciela, beneficjenta rzeczywistego lub w inny sposób był(a) Pani/Pan powiązana(a) z klientem Spółki. Poniżej wskazujemy zakres danych jaki mógł być objęty naruszeniem ochrony danych osobowych:
· nazwa/imię i nazwisko, nr klienta, kod klienta, nr NIP, adres siedziby, e-mail, telefon komórkowy, nr REGON, nr rachunku bankowego, dane osoby upoważnionej do składania dyspozycji w imieniu klienta, dane zawarte we wniosku kredytowym oraz opracowane na jego podstawie: wpis do ewidencji działalności, umowa spółki lub akt założycielski, wyciąg z KRS, oświadczenie ZUS i US, dane z dowodów osobistych leasingobiorców, osób reprezentujących firmę oraz poręczycieli, informacja o intercyzach majątkowych, dane dotyczące przedmiotu finansowania, dokumenty finansowe: pełny raport wraz z opinią biegłego rewidenta za ostatni pełny rok, bilans i rachunek wyników za ostatnie dwa pełne lata, deklaracja PIT za ostatnie dwa lata (jeżeli nie jest sporządzany bilans i rachunek wyników), bilans i rachunek wyników za ostatni pełny rok, deklaracja PIT za ostatni rok (jeżeli nie jest sporządzany bilans i rachunek wyników), bilans i rachunek wyników za ostatni okres obrachunkowy bieżącego roku (ostatni pełny kwartał) lub KPiR, oświadczenie potencjalnego klienta na temat zaciągniętych kredytów i leasingów, oświadczenie majątkowe potencjalnego klienta, zestawienie użytkowanych samochodów ciężarowych, naczep i przyczep (powyżej 10t ładowności), wyniki oceny kredytowej, informacje o charakterystyce prowadzonej działalności potencjalnego klienta (Customer Full Info), wyniki kalkulacji finansowych, oświadczenia dotyczące GIIF (identyfikacja klientów), oświadczenie dotyczące list PEP, wyniki analizy ryzyka w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, dane zawarte w dokumentach stanowiących zabezpieczenie roszczeń: wekslach, poręczeniach etc., dane do logowania w eBOK, wysokości ewentualnego zadłużenia wobec SFP;
· dane osoby upoważnionej do działania w imieniu klienta będącego osobą prawną lub jednostką organizacyjną, nieposiadającą osobowości prawnej - imię/imiona, nazwisko, rodzaj dokumentu tożsamości, numer i seria dokumentu tożsamości, obywatelstwo/obywatelstwa, państwo urodzenia, data ważności dokumentu; dane beneficjenta rzeczywistego - imiona i nazwisko, PESEL/data urodzenia, gdy brak PESEL (jeśli klient posiada takie dane), obywatelstwo/obywatelstwa, państwo urodzenia (jeśli klient posiada takie dane), kraj zamieszkania (jeśli klient posiada takie dane), seria i numer dokumentu tożsamości (jeśli klient posiada takie dane), bezpośrednie uprawnienia/ rodzaj i opis uprzywilejowania, pośrednie uprawnienia/ rodzaj i opis uprawnień, inne uprawnienia;
· dane członków zarządu/prokurentów - imię i nazwisko, obywatelstwo, państwo urodzenia, PESEL (data urodzenia, gdy brak PESEL); oświadczenie dotyczące struktury własności i kontroli - imię i nazwisko/nazwa (firma) wspólnika, akcjonariusza/innej osoby posiadającej uprawnienia umożliwiające sprawowanie kontroli nad spółką, liczba udziałów/akcji, wartość nominalna udziałów/akcji łącznie, % udziałów/akcji, informacja o ustanowieniu zastawu/użytkowaniu udziału, % posiadanego prawa głosu, inne uprawnienia świadczące o posiadanej kontroli, dane, (II) dane osoby fizycznej prowadzącej działalność gospodarczą - imię i nazwisko, PESEL (lub data urodzenia, jeśli brak PESEL), obywatelstwo, państwo urodzenia, rodzaj dok. tożsamości, numer i seria dokumentu tożsamości, data ważności dokumentu tożsamości, adres zamieszkania,
· dane beneficjenta rzeczywistego - imiona i nazwisko, PESEL/data urodzenia, gdy brak PESEL (jeśli klient posiada takie dane), obywatelstwo/obywatelstwa, państwo urodzenia (jeśli klient posiada takie dane), kraj zamieszkania oraz adres zamieszkania i seria i numer dok. tożsamości (jeśli klient posiada takie dane), uzasadnienie gospodarcze do zawarcia transakcji, oświadczenie o braku zaległych zobowiązań względem ZUS i US lub ew. kwoty zaległości w ZUS i US, data rozpoczęcia działalności, osoba kontaktowa (imię i nazwisko, telefon), osoby upoważnione do podpisywana umów, adresy e-mail, firmy powiązane (nazwa firmy, branża/sektor), rodzaje działalności/rodzaje ładunków, informacje o zaciągniętych zobowiązaniach i ich rodzaju, wybrane pozycje majątku firmy, informacja o przychodach, kosztach, amortyzacji, zysku brutto/netto, wyniki oceny kredytowej,
· dane pełnomocnika - imię i nazwisko, PESEL (lub data urodzenia, jeśli brak), adres zamieszkania, obywatelstwo, państwo urodzenia, numer i seria oraz data ważności i rodzaj dokumentu tożsamości, główni dostawcy i odbiorcy (okres współpracy, % udziału w obrocie, branża/sektor, siedziba/państwo), kierunki wykonywania transportu (kraje), liczba osób zatrudnionych, liczba zatrudnionych kierowców, posiadany tabor (marka, liczba pojazdów, rok produkcji), referencje (nazwa firmy, adres), przedmiot umowy najmu, oświadczenia dotyczące GIIF (identyfikacja klientów), oświadczenie dotyczące list PEP, wyniki analizy ryzyka w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, etc.
Pomimo działań podjętych przez SFP we współpracy z SPL w związku z zaistniałym naruszeniem, istnieje ryzyko, że ktoś może wykorzystać ww. dane niezgodnie z Pani/Pana wolą. W związku z tym, przekazujemy informacje o możliwych skutkach zdarzenia oraz podajemy informacje o krokach, które może Pani/Pan podjąć w związku z zaistniałym incydentem.
Biorąc pod uwagę bieżące ustalenia Spółki w poniższym komunikacie uwzględniamy zarówno zagrożenie wynikające z zaszyfrowania danych jak i ich pobrania (kradzieży) przez sprawców, a także ryzyka ujawnienia danych kolejnym nieuprawnionym osobom, np. w sieci internet. Ryzyka te należy traktować jako wysokie.
Opis możliwych konsekwencji naruszenia ochrony danych osobowych
Podstawowym skutkiem stwierdzonego naruszenia ochrony danych w postaci ataku typu ransomware (ograniczenie dostępu do Pani/Pana danych osobowych) może być brak możliwości lub utrudnienia w korzystaniu z usług dostarczanych przez SFP na Pani/Pana rzecz. Nie wszystkie usługi przez nas świadczone mogą być w pełni dostępne lub będą realizowane przy użyciu alternatywnych rozwiązań, które nie zostały objęte atakiem hakerskim. W związku z tym czas oczekiwania związany z realizacją tych usług i powiązanych z nimi czynności może ulec wydłużeniu.
Ponadto uwzględniając ryzyko kradzieży danych osobowych przez sprawców, a także możliwość ich ujawnienia kolejnym osobom nieuprawnionym (np. w sieci internet), informujemy
o potencjalnych następstwach wynikających z tego typu zagrożeń.
W przypadku wystąpienia takiego zdarzenia, potencjalnym następstwem ewentualnego naruszenia ochrony Pani/Pan danych osobowych może być wykorzystanie przez osoby trzecie Pani/Pana danych osobowych m.in. w celu uzyskania korzyści majątkowej Pani/Pana kosztem. Wykorzystane dane osobowe mogą także potencjalnie służyć nakłonieniu Pani/Pana do zapłaty nieistniejących wierzytelności lub służyć do wyłudzenia dodatkowych Pani/Pana danych, które pierwotnie nie były objęte naruszeniem, co w konsekwencji mogłoby skutkować zaciągnięciem innych zobowiązań, np. dokonywanie zakupów w sieci Internet lub wyłudzanie kredytów czy też pożyczek w instytucjach pozabankowych. Potencjalnie ujawnione dane mogą także posłużyć w celu założenia na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej), wypożyczania na Pani/Pana dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie.
Biorąc pod uwagę Pani/Pana relację biznesową ze SFP, prosimy o zwrócenie szczególnej uwagi na wszelkie otrzymywane wiadomości (np. drogą e-mail) od osób, które podają się za przedstawicieli SFP, a które informują o zmianach numerów kont bankowych, na które należy wpłacać raty leasingu lub najmu lub inne świadczenia pieniężne należne SFP z tytułu zawartych umów. Prosimy również zwracać uwagę na wezwania do zapłaty lub inne wiadomości, które rzekomo pochodzą od przedstawicieli SFP.
Zwracamy uwagę, że SFP nigdy nie komunikuje się z klientami drogą mailową w celu poinformowania o zmianie tak kluczowych informacji jak numery rachunków bankowych, na które należy wpłacać należności.
Prosimy o zwracanie uwagi na adresy e-mail, z których pochodzą te wiadomości i zgłaszanie do nas wszelkich podejrzeń nieprawidłowości. Prosimy nie sugerować się zbieżnością imion, nazwisk czy też funkcji wskazywanych w tego typu wiadomościach z faktycznymi danymi naszych przedstawicieli, ponieważ mogą one być znane przestępcom.
Proponowane działania jakie może Pani/Pan podjąć w celu przeciwdziałania skutkom potencjalnego naruszenia
W przypadku podejrzenia wykorzystania Pani/Pana danych osobowych w sposób nieuprawniony, prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją. W szczególności prosimy zwracać uwagę na wszelką korespondencję kierowaną do Pani/Pana (z wykorzystaniem Pani/Pana danych osobowych) od podmiotów, z którymi osobiście nie miał(a) Pani/Pan zawiązanych żadnych relacji. Prosimy również o zwracanie uwagi na nietypowe próby kontaktu z Państwem realizowane przez osoby, które podają się za przedstawicieli SFP lub inne podmioty SCANIA w Polsce – prosimy tego typu sytuacje wyjaśniać z nami na bieżąco kontaktując się pod adresem wskazanym na końcu niniejszego pisma.
Nie należy lekceważyć tego typu pism, w szczególności przekazywanych drogą pisemną (papierową) i dokładnie zapoznawać się z ich treścią, ponieważ mogą to być na przykład potwierdzenia zawarcia określonej umowy (której sam(a) Pani/Pan nigdy nie zawierał(a) lub fałszywe wezwania do zapłaty z tytułu umowy zawartej ze Scania Finance Polska sp. z o.o.
Próbę kontaktu z Panią/Panem mogą podejmować również osoby prowadzące działania o charakterze windykacyjnym, powołujące się na zawarte ze Scania Finance Polska sp. z o.o. umowy lub też osoby przedstawiające się jako pracownicy SFP i przekazujące informację o zmianie istotnych warunków wiążących nas umów, np. rachunków bankowych na które należy dokonywać spłat.
Wszelkie tego typu zdarzenia należy niezwłocznie weryfikować bezpośrednio z podmiotami, które są stroną zawartych umów, a w uzasadnionych przypadkach zgłaszać na Policję.
Przypominamy również, że w przypadku ewentualnego wykorzystania Pani/Pana danych do zawarcia umów konsumenckich zawieranych na odległość zazwyczaj w takim przypadku przysługuje prawo odstąpienia od umowy w terminie 14 dni bez ponoszenia żadnych konsekwencji.
Z kolei w przypadku otrzymania zawiadomienia drogą elektroniczną (mailową) o podobnym charakterze, jak wskazany powyżej, należy zwracać szczególną uwagę na:
- podejrzane załączniki w wiadomościach mailowych – załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR,
- podejrzane linki znajdujące się w treści wiadomości,
- prośby podania swoich dodatkowych danych osobowych (np. w celu potwierdzenia swojej tożsamości).
Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych Pani/Pana danych osobowych, np. numerów kont bankowych, numerów kart kredytowych czy też danych wykorzystywanych do logowania (np. loginy i hasła). Z tego też względu zalecamy szczególną ostrożność przy otwieraniu tego typu wiadomości.
Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów.
Prosimy również zwrócić uwagę na hasła dostępu jakich używa Pani/Pan korzystając z zasobów sieci Internet (np. kont społecznościowych, kont e-mail, portali, bankowości elektronicznej). Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Pani/Pana danych osobowych (np. imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu).
W przypadku podejrzenia wykorzystania Pani/Pana danych w sposób nieuprawniony istnieje także możliwość:
a) sprawdzenia swojej historii kredytowej w Biurze Informacji Kredytowej – jest to instytucja gromadząca i przetwarzająca dane o wszystkich pożyczkach zaciąganych w bankach i SKOK-ach. W BIKu wskazane są informacje o kredytach spłacanych terminowo i zaległościach płatniczych. Szczegółowe informacje opisane są pod następującym linkiem: https://www.bik.pl/
b) sprawdzenie swoich danych w Krajowym Rejestrze Długów – KRD umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt. Szczegółowe informacje opisane są pod następującym linkiem: https://krd.pl/
Zdecydowanie rekomendujemy również skorzystanie z bezpłatnej usługi zastrzeżenia swojego numeru PESEL. Usługa zastrzeżenia numeru PESEL zabezpiecza przed bezprawnym wykorzystaniem go przez innych i ma charakter bezpłatny. Jednak zastrzeżenie można wycofać w dowolnej chwili, gdy potrzebujemy z niego skorzystać (można to zrobić np. za pomocą aplikacji mObywatel). Jeżeli numer PESEL jest zastrzeżony, wówczas nie wykorzysta go nieuprawniona osoba, nawet gdy zna ten numer. Więcej informacji o usłudze można uzyskać pod adresami:
· https://info.mobywatel.gov.pl/uslugi/zastrzez-pesel
Ze względu na zamieszczony powyżej szczegółowy opis prosimy również nie ujawniać treści niniejszego pisma osobom niezaufanym. W takim bowiem wypadku może to ułatwić osobom nieuprawnionym działania mające na celu wykorzystanie Pani/Pana danych osobowych.
Opis środków zastosowanych przez Scania Finance Polska Sp. z o.o. (SFP) w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków
Niezwłocznie po ujawnieniu opisanego wyżej naruszenia, SFP podjęła działania mające na celu jak najszybsze przeciwdziałanie naruszeniu oraz jego skutkom.
Bezpośrednio po stwierdzeniu ataku został powołany dedykowany zespół kryzysowy, uruchomiono obowiązującą w SFP procedurę reagowania na naruszenie ochrony danych osobowych, zawiadomiono o zdarzeniu najwyższą kadrę kierowniczą, poinformowano o zdarzeniu Inspektora Ochrony Danych oraz Managera Działu Compliance, podjęto rozmowy z pozostałymi dostawcami IT współpracującymi z SFP i pozostałymi spółkami z grupy SCANIA w celu zapewnienia dodatkowego wsparcia, poinformowano centralny zespół ds. bezpieczeństwa informacji działający w strukturach Grupy Kapitałowej Scania o zdarzeniu i potrzebie wsparcia.
Bezpośredniego wsparcia w ustaleniu szczegółów przeprowadzonego ataku oraz jego faktycznych skutków udziela SFP również zespół ekspertów CERT.
Spółka uruchomiła proces przywracania usług oraz danych z zasobów, które nie zostały objęte atakiem, dzięki czemu w ciągu 48h przywróciła całkowicie lub w dużym zakresie dostępność większości usług na rzecz swoich klientów. Ponadto dostosowano procedury obsługi klienta do dostępnych aktualnie rozwiązań, aby zapewnić stabilność w realizacji usług. Powołano również dedykowany adres kontaktowy do zgłaszania wszelkich zauważonych potencjalnych nieprawidłowości dotyczących wykorzystania Pani/Pana danych osobowych.
O zdarzeniu został poinformowany Prezes Urzędu Ochrony Danych Osobowych oraz Policja.
Wszystkie komórki organizacyjne SFP zostały postawione w stan najwyższej gotowości, a przedmiotowe zdarzenie i zaradzenie jego ewentualnym negatywnym dla Pani/Pana skutkom jest traktowane jest z najwyższym priorytetem.
Na podstawie dotychczasowych ustaleń, Spółka potwierdza skuteczny atak ransomware (utrata dostępności do danych), a także traktuje jako wysokie ryzyko kradzieży danych przez sprawców oraz możliwość ich ujawnienia dalszym osobom nieuprawnionym.
W imieniu Scania Finance Polska sp. z o.o. zapewniamy, iż dołożymy wszelkich starań oraz zastosujemy wszelkie możliwe środki w celu ograniczenia skutków zaistniałego zdarzenia oraz przeciwdziałania podobnym zdarzeniom w przyszłości.
Cały zespół Scania Finance Polska sp. z o.o. jest bardzo zdeterminowany, by zapewnić Państwu pełne wsparcie w bieżącej sytuacji.
Kontakt z Inspektorem Ochrony Danych Scania Finance Polska sp. z o.o. oraz dedykowanym zespołem reagowania na incydent
W przypadku dodatkowych pytań jesteśmy do Pani/Pana pełnej dyspozycji.
Więcej informacji odnośnie wskazanego naruszenia ochrony danych osobowych można uzyskać kontaktując się z Inspektorem Ochrony Danych Scania Finance Polska sp. z o.o. – mec. Jakubem Wezgraj na adres e-mail: pol.iod@scania.com lub pocztą tradycyjną na adres siedziby spółki Scania Finance Polska sp. z o.o. z dopiskiem „IOD”.
Powołano również zespół reagowania na incydent, który jest dostępny pod adresem e-mail: pol.zgloszenia@scania.com – prosimy o kierowanie pod ten adres wszelkich pytań i wątpliwości związanych z zaistniałą sytuacją
[1] CERT - zespół działający w strukturach NASK - Państwowego Instytutu Badawczego, powołany w 1996 roku
do reagowania na incydenty bezpieczeństwa komputerowego. Od 2018 roku realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa. https://cert.pl/
Stara Wieś, dnia 13 grudnia 2024 r.
ZAWIADOMIENIE O MOŻLIWYM NARUSZENIU OCHRONY DANYCH OSOBOWYCH
Szanowna Pani,
Szanowny Panie,
Scania Finance Polska sp. z o.o., z siedzibą w Starej Wsi, al. Katowicka 316, 05-830 Nadarzyn (dalej jako „SFP” lub „Spółka”) dopełniając swoich obowiązków jako administratora danych w rozumieniu art. 4 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) niniejszym informuje, że w dniu 07.12.2024 r. został stwierdzony atak hakerski, który doprowadził do naruszenia ochrony danych osobowych. Naruszenie mogło dotyczyć Pani/Pana danych osobowych. W związku z tym prosimy o dokładne zapoznanie się z treścią poniższego komunikatu.
Opis charakteru naruszenia
W dniu 7 grudnia 2024 r. odnotowano próbę ataku hakerskiego na infrastrukturę IT Scania Polska S.A. (dalej również jako „SPL”) – dostawcy usług informatycznych dla SFP. Niezwłocznie po stwierdzonym incydencie rozpoczęto prace w trybie reakcji na zdarzenie, a także w miarę ustalania skutków zdarzenia podejmowano kolejne działania mające na celu próbę ograniczenia skutków tego ataku.
Jeszcze w dniu stwierdzenia ataku zdarzenie zostało zgłoszone przez SPL do Centralnego Biura Zwalczania Cyberprzestępczości (Policja), a także zorganizowano spotkanie z przedstawicielami CSIRT NASK w temacie incydentu oraz wsparcia jakie może udzielić CERT[1] (więcej o tej organizacji zobacz przypis poniżej).
Aktualnie SFP we współpracy z SPL, CERT oraz Policją prowadzi szereg działań mających na celu ustalenie potencjalnego wektora ataku, dokładnego czasu trwania oraz jego możliwych skutków dla osób, których dane osobowe zostały objęte atakiem. Na daną chwilę SFP potwierdza, że hakerzy przeprowadzili skuteczny atak typu ransomware, który polega na tym, że dane osobowe posiadane przez SFP zostały zaszyfrowane przez atakujących, przez co spółka nie ma do nich dostępu lub też dostęp jest ograniczony.
Na tą chwilę SFP nie potwierdza, że dane zostały pobrane przez hakerów (nie potwierdzono wystąpienia takiej okoliczności). W ramach wewnętrznego postępowania wyjaśniającego prowadzone są czynności mające na celu jednoznaczne ustalenie tej kwestii.
Z daleko idącej ostrożności, informujemy, że atakiem hakerskim mogły być objęte (nie jest to nadal potwierdzone) Pani/Pana dane osobowe, o ile przekazywał(a) Pani/Pan dane w takim zakresie do Spółki lub występował(a) w roli klienta Spółki, jej przedstawiciela, beneficjenta rzeczywistego lub w inny sposób był(a) Pani/Pan powiązana(a) z klientem Spółki. Poniżej wskazujemy zakres danych jaki mógł być objęty naruszeniem ochrony danych osobowych:
· nazwa/imię i nazwisko, nr klienta, kod klienta, nr NIP, adres siedziby, e-mail, telefon komórkowy, nr REGON, nr rachunku bankowego, dane osoby upoważnionej do składania dyspozycji w imieniu klienta, dane zawarte we wniosku kredytowym oraz opracowane na jego podstawie: wpis do ewidencji działalności, umowa spółki lub akt założycielski, wyciąg z KRS, oświadczenie ZUS i US, dane z dowodów osobistych leasingobiorców, osób reprezentujących firmę oraz poręczycieli, informacja o intercyzach majątkowych, dane dotyczące przedmiotu finansowania, dokumenty finansowe: pełny raport wraz z opinią biegłego rewidenta za ostatni pełny rok, bilans i rachunek wyników za ostatnie dwa pełne lata, deklaracja PIT za ostatnie dwa lata (jeżeli nie jest sporządzany bilans i rachunek wyników), bilans i rachunek wyników za ostatni pełny rok, deklaracja PIT za ostatni rok (jeżeli nie jest sporządzany bilans i rachunek wyników), bilans i rachunek wyników za ostatni okres obrachunkowy bieżącego roku (ostatni pełny kwartał) lub KPiR, oświadczenie potencjalnego klienta na temat zaciągniętych kredytów i leasingów, oświadczenie majątkowe potencjalnego klienta, zestawienie użytkowanych samochodów ciężarowych, naczep i przyczep (powyżej 10t ładowności), wyniki oceny kredytowej, informacje o charakterystyce prowadzonej działalności potencjalnego klienta (Customer Full Info), wyniki kalkulacji finansowych, oświadczenia dotyczące GIIF (identyfikacja klientów), oświadczenie dotyczące list PEP, wyniki analizy ryzyka w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, dane zawarte w dokumentach stanowiących zabezpieczenie roszczeń: wekslach, poręczeniach etc., dane do logowania w eBOK, wysokości ewentualnego zadłużenia wobec SFP;
· dane osoby upoważnionej do działania w imieniu klienta będącego osobą prawną lub jednostką organizacyjną, nieposiadającą osobowości prawnej - imię/imiona, nazwisko, rodzaj dokumentu tożsamości, numer i seria dokumentu tożsamości, obywatelstwo/obywatelstwa, państwo urodzenia, data ważności dokumentu; dane beneficjenta rzeczywistego - imiona i nazwisko, PESEL/data urodzenia, gdy brak PESEL (jeśli klient posiada takie dane), obywatelstwo/obywatelstwa, państwo urodzenia (jeśli klient posiada takie dane), kraj zamieszkania (jeśli klient posiada takie dane), seria i numer dokumentu tożsamości (jeśli klient posiada takie dane), bezpośrednie uprawnienia/ rodzaj i opis uprzywilejowania, pośrednie uprawnienia/ rodzaj i opis uprawnień, inne uprawnienia;
· dane członków zarządu/prokurentów - imię i nazwisko, obywatelstwo, państwo urodzenia, PESEL (data urodzenia, gdy brak PESEL); oświadczenie dotyczące struktury własności i kontroli - imię i nazwisko/nazwa (firma) wspólnika, akcjonariusza/innej osoby posiadającej uprawnienia umożliwiające sprawowanie kontroli nad spółką, liczba udziałów/akcji, wartość nominalna udziałów/akcji łącznie, % udziałów/akcji, informacja o ustanowieniu zastawu/użytkowaniu udziału, % posiadanego prawa głosu, inne uprawnienia świadczące o posiadanej kontroli, dane, (II) dane osoby fizycznej prowadzącej działalność gospodarczą - imię i nazwisko, PESEL (lub data urodzenia, jeśli brak PESEL), obywatelstwo, państwo urodzenia, rodzaj dok. tożsamości, numer i seria dokumentu tożsamości, data ważności dokumentu tożsamości, adres zamieszkania,
· dane beneficjenta rzeczywistego - imiona i nazwisko, PESEL/data urodzenia, gdy brak PESEL (jeśli klient posiada takie dane), obywatelstwo/obywatelstwa, państwo urodzenia (jeśli klient posiada takie dane), kraj zamieszkania oraz adres zamieszkania i seria i numer dok. tożsamości (jeśli klient posiada takie dane), uzasadnienie gospodarcze do zawarcia transakcji, oświadczenie o braku zaległych zobowiązań względem ZUS i US lub ew. kwoty zaległości w ZUS i US, data rozpoczęcia działalności, osoba kontaktowa (imię i nazwisko, telefon), osoby upoważnione do podpisywana umów, adresy e-mail, firmy powiązane (nazwa firmy, branża/sektor), rodzaje działalności/rodzaje ładunków, informacje o zaciągniętych zobowiązaniach i ich rodzaju, wybrane pozycje majątku firmy, informacja o przychodach, kosztach, amortyzacji, zysku brutto/netto, wyniki oceny kredytowej,
· dane pełnomocnika - imię i nazwisko, PESEL (lub data urodzenia, jeśli brak), adres zamieszkania, obywatelstwo, państwo urodzenia, numer i seria oraz data ważności i rodzaj dokumentu tożsamości, główni dostawcy i odbiorcy (okres współpracy, % udziału w obrocie, branża/sektor, siedziba/państwo), kierunki wykonywania transportu (kraje), liczba osób zatrudnionych, liczba zatrudnionych kierowców, posiadany tabor (marka, liczba pojazdów, rok produkcji), referencje (nazwa firmy, adres), przedmiot umowy najmu, oświadczenia dotyczące GIIF (identyfikacja klientów), oświadczenie dotyczące list PEP, wyniki analizy ryzyka w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, etc.
Pomimo działań podjętych przez SFP we współpracy z SPL w związku z zaistniałym naruszeniem, istnieje jednak ryzyko, że ktoś może wykorzystać ww. dane niezgodnie z Pani/Pana wolą. W związku z tym, przekazujemy informacje o możliwych skutkach zdarzenia oraz podajemy informacje o krokach, które może Pani/Pan podjąć w związku z zaistniałym incydentem.
Opis możliwych konsekwencji naruszenia ochrony danych osobowych
Podstawowym skutkiem stwierdzonego naruszenia ochrony danych w postaci ataku typu ransomware (ograniczenie dostępu do Pani/Pana danych osobowych) może być brak możliwości lub utrudnienia w korzystaniu z usług dostarczanych przez SFP na Pani/Pana rzecz. Nie wszystkie usługi przez nas świadczone mogą być w pełni dostępne lub będą realizowane przy użyciu alternatywnych rozwiązań, które nie zostały objęte atakiem hakerskim. W związku z tym czas oczekiwania związany z realizacją tych usług i powiązanych z nimi czynności może ulec wydłużeniu.
Ponadto kierując się daleko idącą ostrożnością informujemy o potencjalnych następstwach w sytuacji gdyby SFP stwierdziła w przyszłości, że doszło do pobrania danych osobowych przez hakerów.
O ewentualnym potwierdzeniu się tych okoliczności będziemy informować Panią/Pana w odrębnym komunikacie (na chwilę obecną według wiedzy SFP taka okoliczność nie wystąpiła).
W przypadku potwierdzenia takiego zdarzenia, potencjalnym następstwem ewentualnego naruszenia ochrony Pani/Pan danych osobowych może być wykorzystanie przez osoby trzecie Pani/Pana danych osobowych m.in. w celu uzyskania korzyści majątkowej Pani/Pana kosztem. Wykorzystane dane osobowe mogą także potencjalnie służyć nakłonieniu Pani/Pana do zapłaty nieistniejących wierzytelności lub służyć do wyłudzenia dodatkowych Pani/Pana danych, które pierwotnie nie były objęte naruszeniem, co w konsekwencji mogłoby skutkować zaciągnięciem innych zobowiązań, np. dokonywanie zakupów w sieci Internet lub wyłudzanie kredytów czy też pożyczek w instytucjach pozabankowych. Potencjalnie ujawnione dane mogą także posłużyć w celu założenia na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej), wypożyczania na Pani/Pana dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie.
Proponowane działania jakie może Pani/Pan podjąć w celu przeciwdziałania skutkom potencjalnego naruszenia
W przypadku podejrzenia wykorzystania Pani/Pana danych osobowych w sposób nieuprawniony, prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją. W szczególności prosimy zwracać uwagę na wszelką korespondencję kierowaną do Pani/Pana (z wykorzystaniem Pani/Pana danych osobowych) od podmiotów, z którymi osobiście nie miał(a) Pani/Pan zawiązanych żadnych relacji. Prosimy również o zwracanie uwagi na nietypowe próby kontaktu z Państwem realizowane przez osoby, które podają się za przedstawicieli SFP lub inne podmioty SCANIA w Polsce – prosimy tego typu sytuacje wyjaśniać z nami na bieżąco kontaktując się pod adresem wskazanym na końcu niniejszego pisma.
Nie należy lekceważyć tego typu pism, w szczególności przekazywanych drogą pisemną (papierową) i dokładnie zapoznawać się z ich treścią, ponieważ mogą to być na przykład potwierdzenia zawarcia określonej umowy (której sam(a) Pani/Pan nigdy nie zawierał(a) lub fałszywe wezwania do zapłaty z tytułu umowy zawartej ze Scania Finance Polska sp. z o.o. Próbę kontaktu z Panią/Panem mogą podejmować również osoby prowadzące działania o charakterze windykacyjnym, powołujące się na zawarte ze Scania Finance Polska sp. z o.o. umowy. Wszelkie tego typu zdarzenia należy niezwłocznie weryfikować bezpośrednio z podmiotami, które są stroną zawartych umów, a w uzasadnionych przypadkach zgłaszać na Policję. Przypominamy również, że w przypadku ewentualnego wykorzystania Pani/Pana danych do zawarcia umów konsumenckich zawieranych na odległość zazwyczaj w takim przypadku przysługuje prawo odstąpienia od umowy w terminie 14 dni bez ponoszenia żadnych konsekwencji.
Z kolei w przypadku otrzymania zawiadomienia drogą elektroniczną (mailową) o podobnym charakterze, jak wskazany powyżej, należy zwracać szczególną uwagę na:
- podejrzane załączniki w wiadomościach mailowych – załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR,
- podejrzane linki znajdujące się w treści wiadomości,
- prośby podania swoich dodatkowych danych osobowych (np. w celu potwierdzenia swojej tożsamości).
Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych Pani/Pana danych osobowych, np. numerów kont bankowych, numerów kart kredytowych czy też danych wykorzystywanych do logowania (np. loginy i hasła). Z tego też względu zalecamy szczególną ostrożność przy otwieraniu tego typu wiadomości. Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów.
Prosimy również zwrócić uwagę na hasła dostępu jakich używa Pani/Pan korzystając z zasobów sieci Internet (np. kont społecznościowych, kont e-mail, portali, bankowości elektronicznej). Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Pani/Pana danych osobowych (np. imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu).
W przypadku podejrzenia wykorzystania Pani/Pana danych w sposób nieuprawniony istnieje także możliwość:
a) sprawdzenia swojej historii kredytowej w Biurze Informacji Kredytowej – jest to instytucja gromadząca i przetwarzająca dane o wszystkich pożyczkach zaciąganych w bankach i SKOK-ach. W BIKu wskazane są informacje o kredytach spłacanych terminowo i zaległościach płatniczych. Szczegółowe informacje opisane są pod następującym linkiem: https://www.bik.pl/
b) sprawdzenie swoich danych w Krajowym Rejestrze Długów – KRD umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt. Szczegółowe informacje opisane są pod następującym linkiem: https://krd.pl/
Przypominamy również, że w celach zapewnienia dodatkowego bezpieczeństwa istnieje możliwość zastrzeżenia swojego numeru PESEL. Usługa zastrzeżenia numeru PESEL zabezpiecza przed bezprawnym wykorzystaniem go przez innych i ma charakter bezpłatny. Jednak zastrzeżenie można wycofać w dowolnej chwili, gdy potrzebujemy z niego skorzystać (można to zrobić np. za pomocą aplikacji mObywatel). Jeżeli numer PESEL jest zastrzeżony, wówczas nie wykorzysta go nieuprawniona osoba, nawet gdy zna ten numer. Więcej informacji o usłudze można uzyskać pod adresami:
· https://info.mobywatel.gov.pl/uslugi/zastrzez-pesel
Ze względu na zamieszczony powyżej szczegółowy opis prosimy również nie ujawniać treści niniejszego pisma osobom niezaufanym. W takim bowiem wypadku może to ułatwić osobom nieuprawnionym działania mające na celu wykorzystanie Pani/Pana danych osobowych.
Opis środków zastosowanych przez Scania Finance Polska Sp. z o.o. (SFP) w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków
Niezwłocznie po ujawnieniu opisanego wyżej naruszenia, SFP podjęła działania mające na celu jak najszybsze przeciwdziałanie naruszeniu oraz jego skutkom.
Bezpośrednio po stwierdzeniu ataku został powołany dedykowany zespół kryzysowy, uruchomiono obowiązującą w SFP procedurę reagowania na naruszenie ochrony danych osobowych, zawiadomiono o zdarzeniu najwyższą kadrę kierowniczą, poinformowano o zdarzeniu Inspektora Ochrony Danych oraz Managera Działu Compliance, podjęto rozmowy z pozostałymi dostawcami IT współpracującymi z SFP i pozostałymi spółkami z grupy SCANIA w celu zapewnienia dodatkowego wsparcia, poinformowano centralny zespół ds. bezpieczeństwa informacji działający w strukturach Grupy Kapitałowej Scania o zdarzeniu i potrzebie wsparcia.
Bezpośredniego wsparcia w ustaleniu szczegółów przeprowadzonego ataku oraz jego faktycznych skutków udziela SFP również zespół ekspertów CERT.
Spółka uruchomiła proces przywracania usług oraz danych z zasobów, które nie zostały objęte atakiem, dzięki czemu w ciągu 48h przywróciła całkowicie lub w dużym zakresie dostępność większości usług na rzecz swoich klientów.
Ponadto dostosowano procedury obsługi klienta do dostępnych aktualnie rozwiązań, aby zapewnić stabilność w realizacji usług. Powołano również dedykowany adres kontaktowy do zgłaszania wszelkich zauważonych potencjalnych nieprawidłowości dotyczących wykorzystania Pani/Pana danych osobowych.
O zdarzeniu został poinformowany Prezes Urzędu Ochrony Danych Osobowych oraz Policja. Wszystkie komórki organizacyjne SFP zostały postawione w stan najwyższej gotowości,
a przedmiotowe zdarzenie i zaradzenie jego ewentualnym negatywnym dla Pani/Pana skutkom jest traktowane jest z najwyższym priorytetem.
Na podstawie dotychczasowych ustaleń, Spółka potwierdza skuteczny atak ransomware (utrata dostępności do danych), natomiast nie potwierdzono faktu pobrania Pani/Pana danych przez atakujących (utrata poufności danych). W przypadku potwierdzenia wystąpienia takiej okoliczności, niezwłocznie przekażemy Pani/Panu taką informację oraz dodatkowe rekomendacje w jaki sposób można minimalizować potencjalne skutki takiego zdarzenia.
W imieniu Scania Finance Polska sp. z o.o. zapewniamy, iż dołożymy wszelkich starań oraz zastosujemy wszelkie możliwe środki w celu ograniczenia skutków zaistniałego zdarzenia oraz przeciwdziałania podobnym zdarzeniom w przyszłości.
Cały zespół Scania Finance Polska sp. z o.o. jest bardzo zdeterminowany, by zapewnić Państwu pełne wsparcie w bieżącej sytuacji.
Kontakt z Inspektorem Ochrony Danych Scania Finance Polska sp. z o.o. oraz dedykowanym zespołem reagowania na incydent
W przypadku dodatkowych pytań jesteśmy do Pani/Pana pełnej dyspozycji.
Więcej informacji odnośnie wskazanego naruszenia ochrony danych osobowych można uzyskać kontaktując się z Inspektorem Ochrony Danych Scania Finance Polska sp. z o.o. – mec. Jakubem Wezgraj na adres e-mail: pol.iod@scania.com lub pocztą tradycyjną na adres siedziby spółki Scania Finance Polska sp. z o.o. z dopiskiem „IOD”.
Powołano również zespół reagowania na incydent, który jest dostępny pod adresem e-mail: pol.zgloszenia@scania.com – prosimy o kierowanie pod ten adres wszelkich pytań i wątpliwości związanych z zaistniałą sytuacją
[1] CERT - zespół działający w strukturach NASK - Państwowego Instytutu Badawczego, powołany w 1996 roku
do reagowania na incydenty bezpieczeństwa komputerowego. Od 2018 roku realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa. https://cert.pl/