Szanowni Państwo,
mając na uwadze wystąpienie Prezesa Urzędu Ochrony Danych Osobowych, Powiatowy Urząd Pracy w Policach informuje, co następuje:
w wyniku ujawnionego w dniu 12 sierpnia 2024 r. ataku ransomware przeprowadzonego przez grupę hakerską RansomHub doszło do naruszenia dostępności i poufności danych osobowych przetwarzanych przez tutejszy Urząd w systemie informatycznym.
W postępowaniu wyjaśniającym ustalono, że w trakcie cyberataku skopiowano 200 GB danych pochodzących z profili pracowników Urzędu utworzonych w domenie Windows, a następnie zaszyfrowano wszystkie dane przechowywane na serwerach Urzędu.
NARUSZENIE DOSTĘPNOŚCI DANYCH OSOBOWYCH
W związku z tymczasową utratą dostępu do danych w systemie informatycznym spowodowaną cyberatakiem i związanymi z nim działaniami służb oraz pracami naprawczymi, w okresie od 12 sierpnia 2024 r. do 13 września 2024 r. wystąpiły opóźnienia związane z realizacją przez tutejszy Urząd zadań ustawowych, które skutkowały czasowym ograniczeniem możliwości korzystania przez klientów Urzędu z uprawnień przysługujących im na mocy przepisów ustawy o promocji zatrudnienia i instytucjach rynku pracy.
Z dniem 16 września 2024 r. przywrócono normalny tok pracy Urzędu i pełną funkcjonalność systemu informatycznego z wykorzystaniem czystej i bezpiecznej infrastruktury komputerowej.
NARUSZENIE POUFNOŚCI DANYCH OSOBOWYCH
W dniu 22 sierpnia 2024 r. w sieci TOR opublikowano skopiowane w trakcie cyberataku dane pochodzące z wewnętrznej sieci Urzędu, w tym dane osobowe w zakresie:
mając na uwadze wystąpienie Prezesa Urzędu Ochrony Danych Osobowych, Powiatowy Urząd Pracy w Policach informuje, co następuje:
w wyniku ujawnionego w dniu 12 sierpnia 2024 r. ataku ransomware przeprowadzonego przez grupę hakerską RansomHub doszło do naruszenia dostępności i poufności danych osobowych przetwarzanych przez tutejszy Urząd w systemie informatycznym.
W postępowaniu wyjaśniającym ustalono, że w trakcie cyberataku skopiowano 200 GB danych pochodzących z profili pracowników Urzędu utworzonych w domenie Windows, a następnie zaszyfrowano wszystkie dane przechowywane na serwerach Urzędu.
NARUSZENIE DOSTĘPNOŚCI DANYCH OSOBOWYCH
W związku z tymczasową utratą dostępu do danych w systemie informatycznym spowodowaną cyberatakiem i związanymi z nim działaniami służb oraz pracami naprawczymi, w okresie od 12 sierpnia 2024 r. do 13 września 2024 r. wystąpiły opóźnienia związane z realizacją przez tutejszy Urząd zadań ustawowych, które skutkowały czasowym ograniczeniem możliwości korzystania przez klientów Urzędu z uprawnień przysługujących im na mocy przepisów ustawy o promocji zatrudnienia i instytucjach rynku pracy.
Z dniem 16 września 2024 r. przywrócono normalny tok pracy Urzędu i pełną funkcjonalność systemu informatycznego z wykorzystaniem czystej i bezpiecznej infrastruktury komputerowej.
NARUSZENIE POUFNOŚCI DANYCH OSOBOWYCH
W dniu 22 sierpnia 2024 r. w sieci TOR opublikowano skopiowane w trakcie cyberataku dane pochodzące z wewnętrznej sieci Urzędu, w tym dane osobowe w zakresie:
- imienia i nazwiska;
- numeru PESEL;
- daty urodzenia;
- numeru rachunku bankowego;
- adresu zamieszkania lub pobytu;
- adresu e-mail;
- numeru telefonu;
- nazwy użytkownika i/lub hasła (dotyczy wyłącznie pracowników Urzędu);
- zarobków i/lub posiadanego majątku;
- serii i numeru dowodu osobistego;
- dokumentów pobytowych cudzoziemców - serii i numeru oraz dat ważności paszportów, wiz i kart pobytu;
- okresów zatrudnienia (w tym cudzoziemców na podstawie oświadczeń o powierzeniu wykonywania pracy cudzoziemcowi i zezwoleń na pracę sezonową);
- wizerunku;
- korzystania z ustawowych form aktywizacji zawodowej;
- korzystania z pomocy udzielanej w ramach tzw. tarczy antykryzysowej.
Ponadto, w trakcie ataku skopiowano oraz opublikowano również dane szczególnej kategorii - dane o zdrowiu.
Zakres opublikowanych danych jest różny w odniesieniu do poszczególnych osób. Ujawnione dane pochodzą głównie z plików zawierających projekty sporządzonych pism, decyzji i umów, oraz z opracowań i tabel przygotowywanych na potrzeby wewnętrzne Urzędu i służące usprawnieniu codziennej pracy.
Ustawowy rejestr powiatowego urzędu pracy zawierający dane: osób bezrobotnych, poszukujących pracy, pracodawców i cudzoziemców oraz baza systemu Elektronicznego Zarządzania Dokumentacją były skutecznie zabezpieczone i nie uległy ujawnieniu.
MOŻLIWE KONSEKWENCJE NARUSZENIA POUFNOŚCI DANYCH OSOBOWYCH
W związku z opublikowaniem ww. danych osobowych informujemy, że może dojść do prób ich nieuprawnionego wykorzystania przez osoby trzecie skutkujących m.in.:
Zakres opublikowanych danych jest różny w odniesieniu do poszczególnych osób. Ujawnione dane pochodzą głównie z plików zawierających projekty sporządzonych pism, decyzji i umów, oraz z opracowań i tabel przygotowywanych na potrzeby wewnętrzne Urzędu i służące usprawnieniu codziennej pracy.
Ustawowy rejestr powiatowego urzędu pracy zawierający dane: osób bezrobotnych, poszukujących pracy, pracodawców i cudzoziemców oraz baza systemu Elektronicznego Zarządzania Dokumentacją były skutecznie zabezpieczone i nie uległy ujawnieniu.
MOŻLIWE KONSEKWENCJE NARUSZENIA POUFNOŚCI DANYCH OSOBOWYCH
W związku z opublikowaniem ww. danych osobowych informujemy, że może dojść do prób ich nieuprawnionego wykorzystania przez osoby trzecie skutkujących m.in.:
- zaciągnięciem w Państwa imieniu zobowiązań finansowych w instytucjach parabankowych;
- zawarciem w Państwa imieniu umów cywilno-prawnych;
- korzystaniem przez osoby nieuprawnione z przysługujących Państwu praw (np. w związku z głosowaniem nad środkami budżetu obywatelskiego);
- wyłudzeniem przez osoby nieuprawnione ubezpieczenia lub przysługujących Państwu środków z ubezpieczenia;
- posługiwaniem się przez osoby nieuprawnione Państwa danymi np. przy otrzymywaniu mandatu lub w trakcie rejestracji telefonicznej karty SIM;
- uzyskaniem przez osoby nieuprawnione dostępu do informacji o stanie Państwa zdrowia lub korzystaniem z przysługujących Państwu świadczeń opieki zdrowotnej, a w związku z tym przekłamaniem historii Państwa leczenia;
- wyłudzeniem za pośrednictwem komunikacji elektronicznej lub telefonicznej innych poufnych informacji na Państwa temat, w celu ich dalszego bezprawnego wykorzystania;
- otrzymywaniem niechcianych telefonów oraz wiadomości mailowych i SMS.
Ponadto w związku z ujawnieniem danych o zdrowiu możecie być Państwo narażeni na związane z nimi szykany i zachowania dyskryminacyjne.
ŚRODKI ZASTOSOWANE LUB PROPONOWANE W CELU ZARADZENIA NARUSZENIU I ZMINIMALIZOWANIA NEGATYWNYCH SKUTKÓW
W celu przeciwdziałania możliwym negatywnym skutkom cyberataku związanym z bezprawnym wykorzystaniem Państwa danych tutejszy Urząd rekomenduje byłym i obecnym klientom Urzędu, pracodawcom, osobom, których dane zostały udostępnione w celu realizacji zadań ustawowych (np. w związku z legalizacją zatrudnienia cudzoziemców) oraz pracownikom Urzędu zastrzeżenie numeru PESEL:
ŚRODKI ZASTOSOWANE LUB PROPONOWANE W CELU ZARADZENIA NARUSZENIU I ZMINIMALIZOWANIA NEGATYWNYCH SKUTKÓW
W celu przeciwdziałania możliwym negatywnym skutkom cyberataku związanym z bezprawnym wykorzystaniem Państwa danych tutejszy Urząd rekomenduje byłym i obecnym klientom Urzędu, pracodawcom, osobom, których dane zostały udostępnione w celu realizacji zadań ustawowych (np. w związku z legalizacją zatrudnienia cudzoziemców) oraz pracownikom Urzędu zastrzeżenie numeru PESEL:
- za pośrednictwem aplikacji mObywatel;
- na stronie www.gov.pl za pomocą profilu zaufanego lub
- osobiście podczas wizyty w dowolnym urzędzie gminy.
Ponadto zalecamy cykliczne weryfikowanie Państwa danych i informacji dostępnych w portalu pracjent.gov.pl oraz aplikacji mObywatel.
Zalecamy również zachowanie czujności i zwracanie uwagi na podejrzane maile (phishing), wiadomości SMS (smishing) oraz próby podszycia się pod firmy lub instytucje takie jak bank czy Policję (spoofing). O wszelkich podejrzanych działaniach należy każdorazowo poinformować Policję oraz CERT Polska pod adresem incydent.cert.pl. Wszystkie podejrzane wiadomości SMS z linkami można także przekazać bezpośrednio na numer 8080.
W przypadku urzeczywistnienia się negatywnych skutków naruszenia w postaci szykan lub dyskryminacji ze względu na stan zdrowia możecie Państwo skorzystać ze środków ochrony dóbr osobistych wskazanych w przepisach ustawy z dnia 23 kwietnia 1964 r. – Kodeks Cywilny i/lub ustawy z dnia 17 listopada 1964 r. - Kodeks Postępowania Cywilnego.
DANE KONTAKTOWE DO INSPEKTORA OCHRONY DANYCH
W związku z zaistniałym incydentem możecie się Państwo kontaktować z wyznaczonym inspektorem ochrony danych p. Katarzyną Tołkacz, dostępną pod numerem telefonu: +48 735 062 349 codziennie w dni robocze w godzinach pracy Urzędu.