Wspólny komunikat Deutsche Leasing Polska i innych spółek z grupy za granicą (zwanych dalej łącznie "Deutsche Leasing") zgodnie z art. 34 ust. 3 lit. c) ogólnego rozporządzenia o ochronie danych (RODO).
Cyberatak w dniu 3 czerwca 2023 r. - co się stało?
3 czerwca 2023 r. Deutsche Leasing wykrył cyberatak na część swoich systemów informatycznych. Firma zareagowała natychmiast, wdrożyła planem awaryjnym, odcięła dostęp do systemów i poinformowała o wycieku organy ścigania.
Wraz z zewnętrznymi ekspertami ds. informatyki śledczej i konsultantami ds. bezpieczeństwa IT Deutsche Leasing pracowała nad analizą ataku i zabezpieczeniem dowodów. Po zakończeniu analizy informatycznej Deutsche Leasing z powodzeniem przywróciła do działania swoje systemy IT, aplikacje i interfejsy IT z klientami i partnerami.
Wykryto kradzież danych.
Analiza kryminalistyczna IT wykazała, że w trakcie cyberataku uzyskano dostęp do poszczególnych serwerów i danych pomimo natychmiastowych środków zaradczych. Ani systemy IT wymagane do realizacji naszych procesów biznesowych, ani przechowywane na nich dane pracowników, klientów i partnerów nie zostały naruszone.
W międzyczasie systemy monitorowania firmy wykryły publikację wykradzionych dokumentów Deutsche Leasing w sieci Darknet. Dokumenty te zawierają dane osobowe. Deutsche Leasing niezwłocznie powiadomiła o tym fakcie zainteresowane osoby fizyczne.
Chociaż obecnie nie ma dowodów na to, że cyberatak i publikacja danych mogłyby mieć związek z innymi danymi osobowymi, nie możemy tego z całą pewnością wykluczyć. Z tego powodu Deutsche Leasing podjął teraz decyzję , że należy poinformować o ryzyku wycieku danych wszystkie strony, których może to dotyczyć, za pomocą niniejszego komunikatu na swojej stronie internetowej
Jakich podmiotów danych i jakich danych może to dotyczyć?
Podmiotami danych, których wyciek potencjalnie mógłby dotyczyć, mogą być pracownicy lub byli pracownicy instytucji partnerskich zajmujących się refinansowaniem, klienci i potencjalni klienci, poręczyciele, producenci, dealerzy, usługodawcy, dostawcy lub faktyczni właściciele, w zakresie takich danych jak np. imię i nazwisko, dane biznesowe, dane kontaktowe, a także numery identyfikacyjne (PESEL, NIP, REGON) oraz informacje finansowe w przypadku poręczycieli.
Może to równie żdotyczyć danych osobowych byłych pracowników Firmy, usługodawców zewnętrznych lub członków organów kolegialnych takich jak , np. imię i nazwisko, adres, datę i miejsce urodzenia, życiorys, dane takie jak numer konta lub inne dane bankowe, numery identyfikacyjne, a także dane do kontaktu.
Jakie potencjalne zagrożenia wynikają z tego incydentu?
Biorąc pod uwagę zwykłe zachowanie takich grup atakujących, nie można wykluczyć, że nowe dane osobowe zostaną opublikowane, a kontrola nad danymi osobowymi może zostać utracona. W indywidualnych przypadkach możliwe jest również, że osoby, których dane dotyczą, mogą w przyszłości otrzymywać więcej wiadomości spamowych lub niechcianych połączeń reklamowych. Może również zaistnieć ryzyko przestępczego wykorzystania danych, np. w formie kradzieży tożsamości lub podobnych działań.
Jakie kroki można podjąć, aby złagodzić lub uniknąć negatywnych konsekwencji wynikających z incydentu?
Deutsche Leasing uprzejmie prosi o zachowanie czujności w zakresie bezpieczeństwa danych osobowych. W przypadku zauważenia jakichkolwiek nietypowych lub podejrzanych działań (takich jak nietypowe ruchy na koncie, zwiększona liczba podejrzanych wiadomości e-mail), prosimy o natychmiastowe zwiększenie własnych środków bezpieczeństwa IT. Obejmuje to natychmiastową zmianę haseł, których używasz od dłuższego czasu, konsekwentne stosowanie bardziej złożonych, a tym samym bezpieczniejszych kodów dostępu lub ustawienie uwierzytelniania dwuskładnikowego dla kont bankowych i mediów społecznościowych, a także monitorowanie własnego konta bankowego pod kątem podejrzanej aktywności na koncie.
Z uwagi możliwość ujawnienia nr PESEL w celu zabezpieczenia się przed wyłudzeniem kredytu lub pożyczki można skorzystać z następujących usług monitorowania swojej aktywności kredytowej i pożyczkowej:
Alerty BIK (stworzony przez Związek Banków Polskich) - usługa umożliwia ustawienie monitoringu na dane klienta w systemie. W momencie, gdy dowolny podmiot dokona sprawdzenia tych konkretnych danych w systemie BIK, klient otrzyma powiadomienie SMS o takiej próbie. https://www.bik.pl/klienci-indywidualni/
Chroń PESEL (stworzony przez Kaczmarski Group we współpracy z Krajowym Rejestrem Długów) - usługa umożliwia poprzez rejestrację w systemie chronPESEL.pl, aktywację monitoringu danych osobowych i numeru PESEL. Klienci będą informowani o każdej próbie zapytania do bazy KRD BIG S.A przy próbie zaciągnięcia zobowiązania na te dane w jednym z 25 banków, 64 firmach pożyczkowych i wszystkich 4 sieciach komórkowych.
Bezpieczny PESEL (stworzony przez Polski Związek Instytucji Pożyczkowych) - usługa umożliwiająca zastrzeżenie w systemie Bezpieczny PESEL swojego numeru PESEL, co powoduje, że informacja o zastrzeżeniu będzie widoczna dla wszystkich pożyczkodawców współpracujących z systemem
https://www.bezpiecznypesel.pl
Ustawa weszła w życie następnego dnia po jej publikacji w Dzienniku Ustaw. Jednak przepisy dot. zastrzegania nr PESEL wejdą w życie w dniu wdrożenia rozwiązań technicznych umożliwiających stosowanie tych przepisów. Dzień wdrożenia rozwiązań technicznych zostanie ogłoszony w Monitorze Polskim przez ministra właściwego do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw wewnętrznych.
Jakie kroki podjął Deutsche Leasing w celu złagodzenia lub uniknięcia negatywnych konsekwencji wynikających z incydentu?
Od 3 czerwca 2023 r. Deutsche Leasing ściśle współpracuje z ekspertami ds. bezpieczeństwa IT i zlecił usługodawcy monitorowanie Darknetu i wykrywanie wszelkich danych udostępnionych przez grupę atakującą, gdy tylko się pojawią. Ponadto Deutsche Leasing zgłosił incydent organom nadzorczym i organom ścigania.
Deutsche Leasing przeprasza za wszelkie niedogodności, jakie obecna sytuacja może spowodować dla osób, których może ona dotyczyć.
Kontakt:
W przypadku pytań dotyczących incydentu prosimy o kontakt mailowy na adres pldataprivacyrequest@deutsche-leasing.com.
