Powiadomienie
15.07.2021
Miejski Ośrodek Pomocy Społecznej w Przasnyszu przy ul. Jana Kilińskiego 2 niniejszym powiadamia o naruszeniu ochrony danych osobowych klientów oraz pracowników Ośrodka zgodnie z poniższym zakresem informacji:
1. Opis charakteru naruszenia
W dniu 23 lutego 2021 r. stwierdzono incydent polegający na ataku złośliwego oprogramowania szyfrującego pliki w tym bazy danych. Naruszenie dotyczyło pracowników posiadających dostęp do systemów dziedzinowych oraz świadczeniobiorców z: pomocy społecznej, świadczeń wychowawczych, zasiłków rodzinnych, funduszu alimentacyjnego, Programu Dobry Start, dodatku mieszkaniowego i energetycznego, stypendium szkolnego. Zakres danych osobowych objętych naruszeniem to: imię, nazwisko, adres e-mail, data urodzenia, PESEL, stan cywilny, numer telefonu, imiona rodziców, nazwisko rodowe matki, numer rachunku bankowego, adres zamieszkania lub pobytu, dane dotyczące zarobków, dochód rodziny, seria i numer dowodu osobistego, nazwa użytkownika i hasła, obywatelstwo, miejsce nauki, numer orzeczenia niepełnosprawności, problemy zdrowotne.
Za przywrócenie dostępności danych atakujący zażądał zapłaty okupu, niemniej żądanie to zostało stanowczo odrzucone.
2. Działania podjęte przez Miejski Ośrodek Pomocy Społecznej:
Bezzwłocznie po stwierdzeniu naruszenia podjęto wszelkie działania mające na celu powstrzymanie naruszenia oraz zminimalizowanie ewentualnych negatywnych skutków dla osób, których dane dotyczą.
Miejski Ośrodek Pomocy Społecznej podjął niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości. W tym celu został wymieniony:
-serwer z oprogramowaniem Windows Server 2019 Essential Edition Dell, oprogramowanie Symantec Endpoint Protection,
-router z zabezpieczeniem antywirusowym – FortiGate- 40F,
-zasilacz UPS podtrzymujący pracę serwera i innych urządzeń zamontowanych w szafie RACK
Ponadto dokonana została zmiana adresu IP łącza DSL celem utrudnienia identyfikacji łącza wcześniej atakowanego.
Powiadomiono także odpowiednie służby (Policja, CERT POLSKA), a zaistniała sytuacja została jednocześnie zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych.
Jednocześnie informujemy że dane zostały odzyskane z kopii zapasowych.
3. Możliwe konsekwencje naruszenia:
Obecnie nie posiadamy żadnych sygnałów o pozyskaniu danych osobowych przez osoby nieuprawnione i dalszym wykorzystaniu tych danych.Nie otrzymaliśmy informacji, aby na skutek ataku dane jakiejkolwiek osoby spośród klientów Ośrodka, czy pracowników zostały wykorzystane w sposób sprzeczny z interesami tych osób, w tym w celu uzyskania pożyczek, kredytów czy ubezpieczeń.
Jesteśmy jednak zobowiązani do poinformowania Państwa o zidentyfikowanych, możliwych konsekwencjach naruszenia danych osobowych takich jak:
a. uzyskania przez osoby trzecie (na szkodę osoby, której dane osobowe naruszono) kredytów w instytucjach pozabankowych - ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób (np. przez Internet lub telefonicznie) bez konieczności okazywania dokumentu tożsamości;
b. uzyskania przez osoby trzecie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
c. skorzystanie przez osoby trzecie z praw obywatelskich osoby, której dane naruszono (np.: do głosowania nad środkami budżetu obywatelskiego) - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
d. podjęcie przez osoby trzecie próby wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
e. zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
f. próby zawarcia przez osoby trzecie umów cywilno-prawnych (np. najmu nieruchomości);
g. wykorzystania danych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów).
4. Środki proponowane przez administratora w celu zaradzenia naruszenia.
Pomimo braku informacji o nieuprawnionym wykorzystaniu danych w celu zabezpieczenia się przed ewentualnymi negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:
a. założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl).
W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
b. wymianę dowodu osobistego,
c. zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.
5. Gdzie możecie Państwo uzyskać więcej informacji:
W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych: Panią Karoliną Matuszewską - Miejski Ośrodek Pomocy Społecznej, ul. Jana Kilińskiego 2, 06-300 Przasnysz, za pośrednictwem e-maila: iod@mopsprzasnysz.pllub pod numerem telefonu 29 752 28 83.
6. W związku z dużą liczbą klientów korzystających z różnych form pomocy w Miejskim Ośrodku Pomocy Społecznej w Przasnyszu Administrator odstępuje od zawiadamiania indywidualnie osób o naruszeniu ich danych. Indywidualne zawiadamianie osób byłoby bardzo czasochłonne, kosztowne i wymagające zaangażowania wielu pracowników.
Zgodnie z art. 34 ust 3 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) -administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą.
