Szanowni Państwo,

kontaktujemy się z Państwem w związku z naruszeniem ochrony danych osobowych, które miało miejsce w Związku Liderów Sektora Usług Biznesowych z siedzibą w Warszawie (00-124), Rondo ONZ 1, KRS: 0000340712.

Troszcząc się o Państwa bezpieczeństwo i prywatność, celem zminimalizowania ewentualnych negatywnych skutków zdarzenia, incydent zgłosiliśmy do organów nadzorczych. Podjęliśmy również działania mające na celu dalsze zwiększenie poziomu bezpieczeństwa systemów i komunikacji wewnętrznej, których opis znajdą Państwo poniżej.

PRZEBIEG ZDARZENIA

W okresie pomiędzy 6 grudnia 2024 a 31 marca 2025 r. padliśmy ofiarą cyberataku. Zdarzenie polegało na uzyskaniu przez osobę nieuprawnioną (atakującego) dostępu do skrzynki e-mail na platformie Office 365 jednego z pracowników naszej organizacji. W jego trakcie atakujący mogli zapoznać się z treścią korespondencji znajdującej się na tej skrzynce e-mail.

Natychmiast po dowiedzeniu się o ataku, zablokowaliśmy dalszy dostęp do zaatakowanego konta e-mail i powiązanych z nim zasobów.

Przeprowadzona analiza specjalistyczna nie wykazała śladów wskazujących na przełamanie zabezpieczeń i przejęcia kontroli nad innymi kontami poczty e-mail w naszej organizacji, jak również uzyskania przez atakujących dostępu do innych aplikacji bądź zasobów powiązanych z kontem zaatakowanego pracownika.

RODZAJ I ZAKRES DANYCH 
OSOBOWYCH OBJĘTYCH NARUSZENIEM

Naruszenie mogło obejmować następujące kategorie Państwa danych osobowych:

imię i nazwisko, płeć, adres zamieszkania lub pobytu, adres prowadzonej działalności gospodarczej, adres e-mail, numer telefonu lub fax, miejsce zatrudnienia lub zajmowane stanowisko, stopień naukowy lub tytuł zawodowy, wizerunek, NIP, REGON jednoosobowej działalności gospodarczej, firma jednoosobowej działalności gospodarczej, wpis na „białą listę” podatników VAT, inny numer wpisu w rejestrze publicznym, numer rachunku bankowego, oraz inne dane, którymi podzielili się Państwo z nami w korespondencji e-mail. 


EWENTUALNE KONSEKWENCJE

Możliwe, lecz mało prawdopodobne, jest napotkanie przez Państwa znacznych niedogodności, które mogą polegać np. na:

• wysyłce niezamówionych materiałów marketingowych (spam),
• próbach phishingu, czyli kontaktów od nieznanych osób próbujących wyłudzić Państwa dodatkowe dane lub wymusić na Państwu podjęcie jakichś czynności, w tym za pośrednictwem rozmów telefonicznych, SMS lub wiadomości e-mail;
• poniesieniu przez Państwa dodatkowych kosztów, np. wyłudzenie ubezpieczenia lub środków z ubezpieczenia,
• próbach podszycia się pod Państwa (kradzież tożsamości) lub próbach wykorzystania Państwa danych w ramach działalności przestępczej, np. nieautoryzowanych transakcjach lub cyberprzestępstwach;
• wykorzystaniu Państwa adresu e-mail do zakładania kont na portalach internetowych;
• narażeniu na znaczny stres bądź inne dolegliwości natury psychicznej, w tym lęk lub poczucie utraty bezpieczeństwa;
• tworzeniu grafik lub filmów z wykorzystaniem Państwa wizerunku z wykorzystaniem sztucznej inteligencji (AI);
• dostępie do niestanowiących danych osobowych informacji poufnych o Państwa działalności gospodarczej.

Aktualnie nie odnotowaliśmy żadnych informacji o negatywnych skutkach związanych z omawianym zdarzeniem. Niemniej, zalecamy podjęcie przez Państwa środków ostrożności.

JAK MOŻNA SIĘ ZABEZPIECZYĆ?

Najlepsze zabezpieczenie przez Państwa swojej prywatności może polegać przede wszystkim na podjęciu następujących kroków:

• zmianie haseł do wszystkich ważnych kont, w szczególności do bankowości internetowej;
• sprawdzeniu rachunków bankowych pod kątem podejrzanych transakcji lub nieoczekiwanych przelewów rozliczeniowych;
• zachowaniu szczególnej ostrożności w przypadku podejrzanych wiadomości e-mail, SMS lub telefonów, zwłaszcza tych, które zawierają prośby o dodatkowe dane, pliki lub linki;
• unikaniu podawania informacji na swój temat w ramach rozmów telefonicznych i wiadomościach e-mail;
• monitorowaniu swoich kont online pod kątem nieautoryzowanych działań;
• zarejestrowaniu się na stronie https://www.bik.pl, by monitorować ewentualne wykorzystanie Państwa tożsamości przez osoby nieuprawnione;
• w przypadku naruszenia Państwa dóbr osobistych, w tym zaistnieniu jakiejkolwiek formy dyskryminacji bezpośredniej lub pośredniej, skorzystaniu ze środków ochrony dóbr osobistych wskazanych w przepisach ustaw Kodeks cywilny i Kodeks postępowania cywilnego.

JAK ZABEZPIECZYLIŚMY PAŃSTWA DANE PO NARUSZENIU?

W reakcji na naruszenie, podjęliśmy m.in. następujące działania chroniące Państwa dane osobowe:

• zablokowaliśmy dostęp osób trzecich do zaatakowanego konta e-mail pracownika;
• zawiadomiliśmy o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych, Centralne Biuro Zwalczania Cyberprzestępczości Policji oraz CERT Polska;
• przeprowadziliśmy audyt bezpieczeństwa stosowanych zabezpieczeń informatycznych w całej infrastrukturze Związku Liderów Sektora Usług Biznesowych;
• przeprowadziliśmy profesjonalną analizę powłamaniową, by ustalić przebieg zdarzenia oraz jego skutki;
• przeanalizowaliśmy posiadane rozwiązania techniczno-organizacyjne, w tym procedury i wytyczne wewnętrzne, a następnie wdrożyliśmy w nich wymagane zmiany, które poprawią ogólne bezpieczeństwo wewnątrz organizacji.

Serdecznie przepraszamy za zaistniałą sytuację i zobowiązujemy się do podjęcia wszelkich niezbędnych kroków mających na celu zabezpieczenie Państwa praw i wolności, w tym zapewnieniu Państwu niezbędnej pomocy.

W przypadku, gdyby potrzebowali Państwo jakiegokolwiek wsparcia, w tym prawnego lub faktycznej, prosimy o kontakt z wioletta.bobryk@absl.pl