Stara Wieś, dnia 19 grudnia 2024 r.
ZAWIADOMIENIE O MOŻLIWYM NARUSZENIU OCHRONY DANYCH OSOBOWYCH - AKTUALIZACJA
Szanowna Pani,
Szanowny Panie,
Scania Polska S.A. z siedzibą w Starej Wsi, al. Katowicka 316, 05-830 Nadarzyn (dalej też jako „SPL” lub „Spółka”) działając w imieniu swoim oraz innych podmiotów należących do sieci dealerskiej oraz serwisowej SCANIA w Polsce (pełna lista podmiotów wskazana poniżej [1] , dopełniając swoich obowiązków jako administratorów danych w rozumieniu art. 4 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) niniejszym przesyła aktualizację zawiadomienia o możliwym naruszeniu ochrony danych osobowych, które jest wynikiem ataku hakerskiego, który został stwierdzony w dniu 07.12.2024r.
SPL na podstawie przeprowadzonej wewnętrznej weryfikacji ustaliła, że poza skutkiem ataku w postaci zaszyfrowania danych przez sprawców istnieje wysokie ryzyko, że sprawcy pobrali (wykradli) przynajmniej część danych i mogą je ujawnić w sieci internet. Na chwilę obecną nie zostało ustalone czy na pewno oraz ewentualnie jaki zakres danych mógł zostać pobrany przez sprawców, ale SPL oraz inne podmioty należące do sieci dealerskiej oraz serwisowej SCANIA w Polsce kierując się szczególną troską wobec swoich klientów podjęła decyzję o zawiadomieniu wszystkich klientów o tym ryzyku, możliwych zagrożeniach, a także rekomendacjach w jaki sposób można zabezpieczyć się przed skutkami ujawnienia danych w sieci internet.
SPL na dole niniejszej strony podaje również pełną listę pozostałych podmiotów (administratorów danych) należących do sieci dealerskiej oraz serwisowej SCANIA w Polsce, które także stały się celem opisywanego ataku.
Opis charakteru naruszenia
W dniu 7 grudnia 2024 r. odnotowano próbę ataku hakerskiego na infrastrukturę IT Scania Polska S.A. (dalej również jako „SPL”), w której zapisana była między innymi baza danych klientów SCANIA Polska S.A. oraz innych podmiotów należących do sieci dealerskiej oraz serwisowej SCANIA w Polsce.
Niezwłocznie po stwierdzonym incydencie rozpoczęto prace w trybie reakcji na zdarzenie, a także w miarę ustalania skutków zdarzenia podejmowano kolejne działania mające na celu próbę ograniczenia skutków tego ataku.
Jeszcze w dniu stwierdzenia ataku zdarzenie zostało zgłoszone przez SPL do Centralnego Biura Zwalczania Cyberprzestępczości (Policja), a także zorganizowano spotkanie z przedstawicielami CSIRT NASK w temacie incydentu oraz wsparcia jakie może udzielić CERT[2] (więcej o tej organizacji zobacz przypis poniżej).
Aktualnie SPL we współpracy CERT, wyspecjalizowanym podmiotem zewnętrznym oraz Policją prowadzi szereg działań mających na celu ustalenie potencjalnego wektora ataku, dokładnego czasu trwania oraz jego możliwych skutków dla osób, których dane osobowe zostały objęte atakiem.
Na daną chwilę SPL potwierdza, że hakerzy przeprowadzili skuteczny atak typu ransomware, który polega na tym, że dane osobowe posiadane przez SPL zostały zaszyfrowane przez atakujących, przez co Spółka nie ma do nich dostępu lub też dostęp jest ograniczony.
Na tą chwilę SPL nadal nie dysponuje jednoznacznym potwierdzeniem, że dane zostały pobrane (skradzione) przez hakerów, ale przyjmuje że istnieje wysokie prawdopodobieństwo wystąpienia tego typu okoliczności. W ramach wewnętrznego postępowania wyjaśniającego prowadzone są czynności mające na celu jednoznaczne ustalenie tej kwestii.
Biorąc pod uwagę powyższe zagrożenie, informujemy, że atakiem hakerskim mogły być objęte Pani/Pana dane osobowe, o ile przekazywał(a) Pani/Pan dane w takim zakresie do SPL lub innych podmiotów z sieci dealerskiej lub serwisowej SCANIA (wymienionych w niniejszym piśmie), występował(a) w roli klienta wobec tych podmiotów, przedstawiciela klienta, beneficjenta rzeczywistego lub w inny sposób był(a) Pani/Pan powiązana(a) z klientem. Poniżej wskazujemy zakres danych jaki mógł być objęty naruszeniem ochrony danych osobowych:
Poniżej wskazujemy zakres danych jaki mógł być objęty naruszeniem ochrony danych osobowych:
· nazwa prowadzonej działalności gospodarczej, adres siedziby, nr KRS, REGON, NIP, nr rachunku bankowego, dane osób reprezentujących i właścicieli prowadzonych działalności (JDG oraz spółki prawa cywilnego), dane osoby upoważnionej do składania dyspozycji w imieniu firmy / wskazanej do kontaktu w sprawie realizacji umowy: imię, nazwisko, stanowisko, pełniona funkcja, e-mail, telefon kontaktowy, opis reklamacji, dane z zawartych umów, wynagrodzenie i przedmiot umowy, numer PESEL lub seria i numer dokumentu tożsamości jeśli były podane przy okazji zawarcia umowy, wysokość i rodzaj wierzytelności, informacje o zakupach w sklepie internetowym, numer ID.
Pomimo działań podjętych przez SPL w związku z zaistniałym naruszeniem, istnieje ryzyko, że ktoś może wykorzystać ww. dane niezgodnie z Pani/Pana wolą. W związku z tym, przekazujemy informacje o możliwych skutkach zdarzenia oraz podajemy informacje o krokach, które może Pani/Pan podjąć w związku z zaistniałym incydentem.
Biorąc pod uwagę bieżące ustalenia Spółki w poniższym komunikacie uwzględniamy zarówno zagrożenie wynikające z zaszyfrowania danych jak i ich pobrania (kradzieży) przez sprawców, a także ryzyka ujawnienia danych kolejnym nieuprawnionym osobom, np. w sieci internet.
Ryzyka te należy traktować jako wysokie.
Opis możliwych konsekwencji naruszenia ochrony danych osobowych
Podstawowym skutkiem stwierdzonego naruszenia ochrony danych w postaci ataku typu ransomware (ograniczenie dostępu do Pani/Pana danych osobowych) może być brak możliwości lub utrudnienia w korzystaniu z usług dostarczanych przez podmioty należące do sieci dealerskiej oraz serwisowej SCANIA w Polsce na Pani/Pana rzecz. Nie wszystkie usługi przez nas świadczone mogą być w pełni dostępne lub będą realizowane przy użyciu alternatywnych rozwiązań, które nie zostały objęte atakiem hakerskim. W związku z tym czas oczekiwania związany z realizacją tych usług i powiązanych z nimi czynności może ulec wydłużeniu.
Ponadto uwzględniając ryzyko kradzieży danych osobowych przez sprawców, a także możliwość ich ujawnienia kolejnym osobom nieuprawnionym (np. w sieci internet), informujemy
o potencjalnych następstwach wynikających z tego typu zagrożeń.
W przypadku wystąpienia takiego zdarzenia, potencjalnym następstwem ewentualnego naruszenia ochrony Pani/Pan danych osobowych może być wykorzystanie przez osoby trzecie Pani/Pana danych osobowych m.in. w celu uzyskania korzyści majątkowej Pani/Pana kosztem. Wykorzystane dane osobowe mogą także potencjalnie służyć nakłonieniu Pani/Pana do zapłaty nieistniejących wierzytelności lub służyć do wyłudzenia dodatkowych Pani/Pana danych, które pierwotnie nie były objęte naruszeniem, co w konsekwencji mogłoby skutkować zaciągnięciem innych zobowiązań, np. dokonywanie zakupów w sieci Internet lub wyłudzanie kredytów czy też pożyczek w instytucjach pozabankowych. Potencjalnie ujawnione dane mogą także posłużyć w celu założenia na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej), wypożyczania na Pani/Pana dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie.
Biorąc pod uwagę Pani/Pana relację biznesową z nami, prosimy o zwrócenie szczególnej uwagi na wszelkie otrzymywane wiadomości (np. drogą e-mail) od osób, które podają się za przedstawicieli SPL lub innych podmiotów z sieci dealerskiej i serwisowej SCANIA w Polsce, a które informują o zmianach numerów kont bankowych, na które należy wpłacać należności z tytułu świadczonych usług.
Prosimy również zwracać uwagę na wezwania do zapłaty lub inne wiadomości, które rzekomo pochodzą od naszych. Zwracamy uwagę, że nigdy nie komunikujemy się z klientami drogą mailową w celu poinformowania o zmianie tak kluczowych informacji jak numery rachunków bankowych, na które należy wpłacać należności czy też zmiany naszych danych kontaktowych lub kluczowych parametrów świadczonych usług.
Prosimy o zwracanie uwagi na adresy e-mail, z których pochodzą te wiadomości i zgłaszanie do nas wszelkich podejrzeń nieprawidłowości. Prosimy nie sugerować się zbieżnością imion, nazwisk czy też funkcji wskazywanych w tego typu wiadomościach z faktycznymi danymi naszych przedstawicieli, ponieważ mogą one być znane przestępcom.
Proponowane działania jakie może Pani/Pan podjąć w celu przeciwdziałania skutkom potencjalnego naruszenia
W przypadku podejrzenia wykorzystania Pani/Pana danych osobowych w sposób nieuprawniony, prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją. W szczególności prosimy zwracać uwagę na wszelką korespondencję kierowaną do Pani/Pana (z wykorzystaniem Pani/Pana danych osobowych) od podmiotów, z którymi osobiście nie miał(a) Pani/Pan zawiązanych żadnych relacji. Prosimy również o zwracanie uwagi na nietypowe próby kontaktu z Państwem realizowane przez osoby, które podają się za przedstawicieli SPL lub inne podmioty SCANIA w Polsce – prosimy tego typu sytuacje wyjaśniać z nami na bieżąco kontaktując się pod adresem wskazanym na końcu niniejszego pisma.
Nie należy lekceważyć tego typu pism, w szczególności przekazywanych drogą pisemną (papierową)
i dokładnie zapoznawać się z ich treścią, ponieważ mogą to być na przykład potwierdzenia zawarcia określonej umowy (której sam(a) Pani/Pan nigdy nie zawierał(a) lub fałszywe wezwania do zapłaty z tytułu umowy zawartej z nami. Próbę kontaktu z Panią/Panem mogą podejmować również osoby prowadzące działania o charakterze windykacyjnym, powołujące się na działanie w imieniu podmiotów SCANIA w Polsce. Wszelkie tego typu zdarzenia należy niezwłocznie weryfikować bezpośrednio z podmiotami, które są stroną zawartych umów, a w uzasadnionych przypadkach zgłaszać na Policję. Przypominamy również, że w przypadku ewentualnego wykorzystania Pani/Pana danych do zawarcia umów konsumenckich zawieranych na odległość zazwyczaj w takim przypadku przysługuje prawo odstąpienia od umowy w terminie 14 dni bez ponoszenia żadnych konsekwencji.
Z kolei w przypadku otrzymania zawiadomienia drogą elektroniczną (mailową) o podobnym charakterze, jak wskazany powyżej, należy zwracać szczególną uwagę na:
- podejrzane załączniki w wiadomościach mailowych – załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR,
- podejrzane linki znajdujące się w treści wiadomości,
- prośby podania swoich dodatkowych danych osobowych (np. w celu potwierdzenia swojej tożsamości).
Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych Pani/Pana danych osobowych, np. numerów kont bankowych, numerów kart kredytowych czy też danych wykorzystywanych do logowania (np. loginy i hasła). Z tego też względu zalecamy szczególną ostrożność przy otwieraniu tego typu wiadomości.
Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów.
Prosimy również zwrócić uwagę na hasła dostępu jakich używa Pani/Pan korzystając z zasobów sieci Internet (np. kont społecznościowych, kont e-mail, portali, bankowości elektronicznej). Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Pani/Pana danych osobowych (np. imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu).
W przypadku podejrzenia wykorzystania Pani/Pana danych w sposób nieuprawniony istnieje także możliwość:
a) sprawdzenia swojej historii kredytowej w Biurze Informacji Kredytowej – jest to instytucja gromadząca i przetwarzająca dane o wszystkich pożyczkach zaciąganych w bankach i SKOK-ach. W BIKu wskazane są informacje o kredytach spłacanych terminowo i zaległościach płatniczych. Szczegółowe informacje opisane są pod następującym linkiem: https://www.bik.pl/
b) sprawdzenie swoich danych w Krajowym Rejestrze Długów – KRD umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt. Szczegółowe informacje opisane są pod następującym linkiem: https://krd.pl/
Zdecydowanie rekomendujemy również skorzystanie z bezpłatnej usługi zastrzeżenia swojego numeru PESEL. Usługa zastrzeżenia numeru PESEL zabezpiecza przed bezprawnym wykorzystaniem go przez innych i ma charakter bezpłatny. Jednak zastrzeżenie można wycofać w dowolnej chwili, gdy potrzebujemy z niego skorzystać (można to zrobić np. za pomocą aplikacji mObywatel). Jeżeli numer PESEL jest zastrzeżony, wówczas nie wykorzysta go nieuprawniona osoba, nawet gdy zna ten numer. Więcej informacji o usłudze można uzyskać pod adresami:
· https://info.mobywatel.gov.pl/uslugi/zastrzez-pesel
Ze względu na zamieszczony powyżej szczegółowy opis prosimy również nie ujawniać treści niniejszego pisma osobom niezaufanym. W takim bowiem wypadku może to ułatwić osobom nieuprawnionym działania mające na celu wykorzystanie Pani/Pana danych osobowych.
Opis środków zastosowanych przez Scania Polska S.A. w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków
Niezwłocznie po ujawnieniu opisanego wyżej naruszenia, podjęliśmy działania mające na celu jak najszybsze przeciwdziałanie naruszeniu oraz jego skutkom.
Bezpośrednio po stwierdzeniu ataku został powołany dedykowany zespół kryzysowy, uruchomiono obowiązującą w SPL procedurę reagowania na naruszenie ochrony danych osobowych, zawiadomiono o zdarzeniu najwyższą kadrę kierowniczą, poinformowano o zdarzeniu Inspektora Ochrony Danych oraz Managera Działu Compliance, podjęto rozmowy z pozostałymi dostawcami
IT współpracującymi z SPL i pozostałymi spółkami z grupy SCANIA w celu zapewnienia dodatkowego wsparcia, poinformowano centralny zespół ds. bezpieczeństwa informacji działający w strukturach Grupy Kapitałowej Scania o zdarzeniu i potrzebie wsparcia.
Bezpośredniego wsparcia w ustaleniu szczegółów przeprowadzonego ataku oraz jego faktycznych skutków udziela SPL również zespół ekspertów CERT oraz dedykowany zewnętrzny podmiot.
Spółka uruchomiła proces przywracania usług oraz danych z zasobów, które nie zostały objęte atakiem, dzięki czemu w ciągu 48h przywróciła całkowicie lub w dużym zakresie dostępność większości usług na rzecz swoich klientów. Ponadto dostosowano procedury obsługi klienta do dostępnych aktualnie rozwiązań, aby zapewnić stabilność w realizacji usług. Powołano również dedykowany adres kontaktowy do zgłaszania wszelkich zauważonych potencjalnych nieprawidłowości dotyczących wykorzystania Pani/Pana danych osobowych.
O zdarzeniu został poinformowany Prezes Urzędu Ochrony Danych Osobowych oraz Policja.
Wszystkie komórki organizacyjne SPL zostały postawione w stan najwyższej gotowości, a przedmiotowe zdarzenie i zaradzenie jego ewentualnym negatywnym dla Pani/Pana skutkom jest traktowane jest z najwyższym priorytetem.
Na podstawie dotychczasowych ustaleń, Spółka potwierdza skuteczny atak ransomware (utrata dostępności do danych), a także traktuje jako wysokie ryzyko kradzieży danych przez sprawców oraz możliwość ich ujawnienia dalszym osobom nieuprawnionym.
W imieniu Scania Polska S.A. oraz innych podmiotów należących do sieci dealerskiej oraz serwisowej SCANIA w Polsce zapewniamy, iż dołożymy wszelkich starań oraz zastosujemy wszelkie możliwe środki w celu ograniczenia skutków zaistniałego zdarzenia oraz przeciwdziałania podobnym zdarzeniom w przyszłości.
Cały nasz zespół jest bardzo zdeterminowany, by zapewnić Państwu pełne wsparcie w bieżącej sytuacji.
Kontakt z Inspektorem Ochrony Danych Scania Polska S.A. oraz dedykowanym zespołem reagowania na incydent
W przypadku dodatkowych pytań jesteśmy do Pani/Pana pełnej dyspozycji.
Więcej informacji odnośnie wskazanego naruszenia ochrony danych osobowych można uzyskać kontaktując się z Inspektorem Ochrony Danych Scania Polska S.A. – mec. Jakubem Wezgraj na adres e-mail: pol.iod@scania.com lub pocztą tradycyjną na adres siedziby spółki Scania Polska S.A. z dopiskiem „IOD”.
Powołano również zespół reagowania na incydent, który jest dostępny pod adresem e-mail: pol.zgloszenia@scania.com – prosimy o kierowanie pod ten adres wszelkich pytań i wątpliwości związanych z zaistniałą sytuacją
[1] 1) "HOŁOWIŃSCY-SCANSERWIS" SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, Krzywa Góra 26, 87-800 Włocławek, Polska, nr NIP 8882982534, KRS 0000297854;
2) "SCAN-PARTNER" SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, Rudzka 35 B, 95-030 Rzgów, Polska,
nr NIP 7282679815, KRS 0000298185;
3) WARSZTAT USŁUG TECHNICZNYCH TYNFOWICZ SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, Sybiraków 42, 66-400 Gorzów Wielkopolski, Polska, nr NIP 5990205435, KRS 0000420105;
4) AUTO SERVICE TRUCKSCAN KWARCIŃSCY SPÓŁKA JAWNA, Henryka Sienkiewicza 107, 62-600 Koło, Polska,
nr NIP 6662131313, KRS 0001036834;
5) "DUNCAN" SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, Kielecka 122A, 26-601 Radom, Polska,
nr NIP 9482167297, KRS 0000073130.
[2] CERT - zespół działający w strukturach NASK - Państwowego Instytutu Badawczego, powołany w 1996 roku
do reagowania na incydenty bezpieczeństwa komputerowego. Od 2018 roku realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa. https://cert.pl/
Stara Wieś, dnia 13 grudnia 2024 r.
ZAWIADOMIENIE O MOŻLIWYM NARUSZENIU OCHRONY DANYCH OSOBOWYCH
Szanowna Pani,
Szanowny Panie,
Scania Polska S.A. z siedzibą w Starej Wsi, al. Katowicka 316, 05-830 Nadarzyn (dalej też jako „SPL” lub „Spółka”) dopełniając swoich obowiązków jako administratora danych w rozumieniu art. 4 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) niniejszym informuje, że w dniu 07.12.2024 r. został stwierdzony atak hakerski, który doprowadził do naruszenia ochrony danych osobowych. Naruszenie mogło dotyczyć Pani/Pana danych osobowych. W związku z tym prosimy o dokładne zapoznanie się z treścią poniższego komunikatu.
Opis charakteru naruszenia
W dniu 7 grudnia 2024 r. odnotowano próbę ataku hakerskiego na infrastrukturę IT Spółki. Niezwłocznie po stwierdzonym incydencie rozpoczęto prace w trybie reakcji na zdarzenie, a także w miarę ustalania skutków zdarzenia podejmowano kolejne działania mające na celu próbę ograniczenia skutków tego ataku.
Jeszcze w dniu stwierdzenia ataku zdarzenie zostało zgłoszone przez SPL do Centralnego Biura Zwalczania Cyberprzestępczości (Policja), a także zorganizowano spotkanie z przedstawicielami CSIRT NASK w temacie incydentu oraz wsparcia jakie może udzielić CERT[1] (więcej o tej organizacji zobacz przypis poniżej).
Aktualnie SPL, CERT oraz Policja prowadzi szereg działań mających na celu ustalenie potencjalnego wektora ataku, dokładnego czasu trwania oraz jego możliwych skutków dla osób, których dane osobowe zostały objęte atakiem. Na daną chwilę SPL potwierdza, że hakerzy przeprowadzili skuteczny atak typu ransomware, który polega na tym, że dane osobowe posiadane przez SPL zostały zaszyfrowane przez atakujących, przez co Spółka nie ma do nich dostępu lub też dostęp jest ograniczony.
Na tą chwilę SPL nie potwierdza, że dane zostały pobrane przez hakerów (nie potwierdzono wystąpienia takiej okoliczności). W ramach wewnętrznego postępowania wyjaśniającego prowadzone są czynności mające na celu jednoznaczne ustalenie tej kwestii.
Z daleko idącej ostrożności, informujemy, że atakiem hakerskim mogły być objęte (nie jest to nadal potwierdzone) Pani/Pana dane osobowe, o ile przekazywał(a) Pani/Pan dane w takim zakresie do Spółki lub występował(a) w roli klienta, przedstawiciela/pełnomocnika/reprezentanta klienta Spółki, użytkownika sklepu internetowego Spółki.
Poniżej wskazujemy zakres danych jaki mógł być objęty naruszeniem ochrony danych osobowych:
· nazwa prowadzonej działalności gospodarczej, adres siedziby, nr KRS, REGON, NIP, nr rachunku bankowego, dane osób reprezentujących i właścicieli prowadzonych działalności (JDG oraz spółki prawa cywilnego), dane osoby upoważnionej do składania dyspozycji w imieniu firmy / wskazanej do kontaktu w sprawie realizacji umowy: imię, nazwisko, stanowisko, pełniona funkcja, e-mail, telefon kontaktowy, opis reklamacji, dane z zawartych umów, wynagrodzenie i przedmiot umowy, numer PESEL lub seria i numer dokumentu tożsamości jeśli były podane przy okazji zawarcia umowy, wysokość i rodzaj wierzytelności, informacje o zakupach w sklepie internetowym, numer ID.
Pomimo działań podjętych przez SPL w związku z zaistniałym naruszeniem, istnieje jednak ryzyko, że ktoś może wykorzystać ww. dane niezgodnie z Pani/Pana wolą. W związku z tym, przekazujemy informacje o możliwych skutkach zdarzenia oraz podajemy informacje o krokach, które może Pani/Pan podjąć w związku z zaistniałym incydentem.
Opis możliwych konsekwencji naruszenia ochrony danych osobowych
Podstawowym skutkiem stwierdzonego naruszenia ochrony danych w postaci ataku typu ransomware (ograniczenie dostępu do Pani/Pana danych osobowych) może być brak możliwości lub utrudnienia w korzystaniu z usług dostarczanych przez SPL na Pani/Pana rzecz. Nie wszystkie usługi przez nas świadczone mogą być w pełni dostępne lub będą realizowane przy użyciu alternatywnych rozwiązań, które nie zostały objęte atakiem hakerskim. W związku z tym czas oczekiwania związany z realizacją tych usług i powiązanych z nimi czynności może ulec wydłużeniu.
Ponadto kierując się daleko idącą ostrożnością informujemy o potencjalnych następstwach w sytuacji gdyby SPL stwierdziła w przyszłości, że doszło do pobrania danych osobowych przez hakerów.
O ewentualnym potwierdzeniu się tych okoliczności będziemy informować Panią/Pana w odrębnym komunikacie (na chwilę obecną według wiedzy SPL taka okoliczność nie wystąpiła). W przypadku potwierdzenia takiego zdarzenia, potencjalnym następstwem ewentualnego naruszenia ochrony Pani/Pan danych osobowych może być wykorzystanie przez osoby trzecie Pani/Pana danych osobowych m.in. w celu uzyskania korzyści majątkowej Pani/Pana kosztem. Wykorzystane dane osobowe mogą także potencjalnie służyć nakłonieniu Pani/Pana do zapłaty nieistniejących wierzytelności lub służyć do wyłudzenia dodatkowych Pani/Pana danych, które pierwotnie nie były objęte naruszeniem, co w konsekwencji mogłoby skutkować zaciągnięciem innych zobowiązań, np. dokonywanie zakupów w sieci Internet lub wyłudzanie kredytów czy też pożyczek w instytucjach pozabankowych. Potencjalnie ujawnione dane mogą także posłużyć w celu założenia na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej), wypożyczania na Pani/Pana dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie.
Proponowane działania jakie może Pani/Pan podjąć w celu przeciwdziałania skutkom potencjalnego naruszenia
W przypadku podejrzenia wykorzystania Pani/Pana danych osobowych w sposób nieuprawniony, prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją. W szczególności prosimy zwracać uwagę na wszelką korespondencję kierowaną do Pani/Pana (z wykorzystaniem Pani/Pana danych osobowych) od podmiotów, z którymi osobiście nie miał(a) Pani/Pan zawiązanych żadnych relacji. Prosimy również o zwracanie uwagi na nietypowe próby kontaktu z Państwem realizowane przez osoby, które podają się za przedstawicieli SPL lub inne podmioty SCANIA w Polsce – prosimy tego typu sytuacje wyjaśniać z nami na bieżąco kontaktując się pod adresem wskazanym na końcu niniejszego pisma.
Nie należy lekceważyć tego typu pism, w szczególności przekazywanych drogą pisemną (papierową) i dokładnie zapoznawać się z ich treścią, ponieważ mogą to być na przykład potwierdzenia zawarcia określonej umowy (której sam(a) Pani/Pan nigdy nie zawierał(a) lub fałszywe wezwania do zapłaty z tytułu umowy zawartej ze Scania Polska S.A.. Próbę kontaktu z Panią/Panem mogą podejmować również osoby prowadzące działania o charakterze windykacyjnym, powołujące się na zawarte ze Scania Polska S.A. umowy. Wszelkie tego typu zdarzenia należy niezwłocznie weryfikować bezpośrednio z podmiotami, które są stroną zawartych umów, a w uzasadnionych przypadkach zgłaszać na Policję. Przypominamy również, że w przypadku ewentualnego wykorzystania Pani/Pana danych do zawarcia umów konsumenckich zawieranych na odległość zazwyczaj w takim przypadku przysługuje prawo odstąpienia od umowy w terminie 14 dni bez ponoszenia żadnych konsekwencji.
Z kolei w przypadku otrzymania zawiadomienia drogą elektroniczną (mailową) o podobnym charakterze, jak wskazany powyżej, należy zwracać szczególną uwagę na:
- podejrzane załączniki w wiadomościach mailowych – załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR,
- podejrzane linki znajdujące się w treści wiadomości,
- prośby podania swoich dodatkowych danych osobowych (np. w celu potwierdzenia swojej tożsamości).
Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych Pani/Pana danych osobowych, np. numerów kont bankowych, numerów kart kredytowych czy też danych wykorzystywanych do logowania (np. loginy i hasła). Z tego też względu zalecamy szczególną ostrożność przy otwieraniu tego typu wiadomości. Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów.
Prosimy również zwrócić uwagę na hasła dostępu jakich używa Pani/Pan korzystając z zasobów sieci Internet (np. kont społecznościowych, kont e-mail, portali, bankowości elektronicznej). Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Pani/Pana danych osobowych (np. imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu).
W przypadku podejrzenia wykorzystania Pani/Pana danych w sposób nieuprawniony istnieje także możliwość:
a) sprawdzenia swojej historii kredytowej w Biurze Informacji Kredytowej – jest to instytucja gromadząca i przetwarzająca dane o wszystkich pożyczkach zaciąganych w bankach i SKOK-ach. W BIKu wskazane są informacje o kredytach spłacanych terminowo i zaległościach płatniczych. Szczegółowe informacje opisane są pod następującym linkiem: https://www.bik.pl/
b) sprawdzenie swoich danych w Krajowym Rejestrze Długów – KRD umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt. Szczegółowe informacje opisane są pod następującym linkiem: https://krd.pl/
Przypominamy również, że w celach zapewnienia dodatkowego bezpieczeństwa istnieje możliwość zastrzeżenia swojego numeru PESEL. Usługa zastrzeżenia numeru PESEL zabezpiecza przed bezprawnym wykorzystaniem go przez innych i ma charakter bezpłatny. Jednak zastrzeżenie można wycofać w dowolnej chwili, gdy potrzebujemy z niego skorzystać (można to zrobić np. za pomocą aplikacji mObywatel). Jeżeli numer PESEL jest zastrzeżony, wówczas nie wykorzysta go nieuprawniona osoba, nawet gdy zna ten numer. Więcej informacji o usłudze można uzyskać pod adresami:
· https://info.mobywatel.gov.pl/uslugi/zastrzez-pesel
Ze względu na zamieszczony powyżej szczegółowy opis prosimy również nie ujawniać treści niniejszego pisma osobom niezaufanym. W takim bowiem wypadku może to ułatwić osobom nieuprawnionym działania mające na celu wykorzystanie Pani/Pana danych osobowych.
Opis środków zastosowanych przez Scania Polska S.A. w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków
Niezwłocznie po ujawnieniu opisanego wyżej naruszenia, SPL podjęła działania mające na celu jak najszybsze przeciwdziałanie naruszeniu oraz jego skutkom.
Bezpośrednio po stwierdzeniu ataku został powołany dedykowany zespół kryzysowy, uruchomiono obowiązującą w SPL procedurę reagowania na naruszenie ochrony danych osobowych, zawiadomiono o zdarzeniu najwyższą kadrę kierowniczą, poinformowano o zdarzeniu Inspektora Ochrony Danych oraz Managera Działu Compliance, podjęto rozmowy z pozostałymi dostawcami IT współpracującymi z SPL i pozostałymi spółkami z grupy SCANIA w celu zapewnienia dodatkowego wsparcia, poinformowano centralny zespół ds. bezpieczeństwa informacji działający w strukturach Grupy Kapitałowej Scania o zdarzeniu i potrzebie wsparcia.
Bezpośredniego wsparcia w ustaleniu szczegółów przeprowadzonego ataku oraz jego faktycznych skutków udziela SPL również zespół ekspertów CERT.
Spółka uruchomiła proces przywracania usług oraz danych z zasobów, które nie zostały objęte atakiem, dzięki czemu w ciągu 48h przywróciła całkowicie lub w dużym zakresie dostępność większości usług na rzecz swoich klientów. Ponadto dostosowano procedury obsługi klienta do dostępnych aktualnie rozwiązań, aby zapewnić stabilność w realizacji usług. Powołano również dedykowany adres kontaktowy do zgłaszania wszelkich zauważonych potencjalnych nieprawidłowości dotyczących wykorzystania Pani/Pana danych osobowych.
O zdarzeniu został poinformowany Prezes Urzędu Ochrony Danych Osobowych oraz Policja. Wszystkie komórki organizacyjne SPL zostały postawione w stan najwyższej gotowości, a przedmiotowe zdarzenie i zaradzenie jego ewentualnym negatywnym dla Pani/Pana skutkom jest traktowane jest z najwyższym priorytetem.
Na podstawie dotychczasowych ustaleń, Spółka potwierdza skuteczny atak ransomware (utrata dostępności do danych), natomiast nie potwierdzono faktu pobrania Pani/Pana danych przez atakujących (utrata poufności danych). W przypadku potwierdzenia wystąpienia takiej okoliczności, niezwłocznie przekażemy Pani/Panu taką informację oraz dodatkowe rekomendacje w jaki sposób można minimalizować potencjalne skutki takiego zdarzenia.
W imieniu Scania Polska S.A.. zapewniamy, iż dołożymy wszelkich starań oraz zastosujemy wszelkie możliwe środki w celu ograniczenia skutków zaistniałego zdarzenia oraz przeciwdziałania podobnym zdarzeniom w przyszłości. Cały zespół Scania Polska S.A. jest bardzo zdeterminowany, by zapewnić Państwu pełne wsparcie w bieżącej sytuacji.
Kontakt z Inspektorem Ochrony Danych Scania Polska S.A. oraz dedykowanym zespołem reagowania na incydent
W przypadku dodatkowych pytań jesteśmy do Pani/Pana pełnej dyspozycji.
Więcej informacji odnośnie wskazanego naruszenia ochrony danych osobowych można uzyskać kontaktując się z Inspektorem Ochrony Danych Scania Polska S.A. – mec. Jakubem Wezgraj na adres e-mail: pol.iod@scania.com lub pocztą tradycyjną na adres siedziby spółki Scania Polska S.A. z dopiskiem „IOD”.
Powołano również zespół reagowania na incydent, który jest dostępny pod adresem e-mail: pol.zgloszenia@scania.com – prosimy o kierowanie pod ten adres wszelkich pytań i wątpliwości związanych z zaistniałą sytuacją.
[1] CERT - zespół działający w strukturach NASK - Państwowego Instytutu Badawczego, powołany w 1996 roku do reagowania na incydenty bezpieczeństwa komputerowego. Od 2018 roku realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa. https://cert.pl/