Wyciek danych z Urzędu Gminy Nowiny

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 28 grudnia 2021

28

gru
2021

11 grudnia br. w godzinach wieczornych na oficjalnej stronie Urzędu Gminy Nowiny opublikowany został komunikat informujący o zaszyfrowaniu bazy programu kadrowo-finansowego. Incydent zgłoszono do CERT NASK. Następnie administrator otrzymał odpowiedź od operatora CERT informującą o wycieku danych z Urzędu Gminy Nowiny i opublikowaniu ich przez nieznanych sprawców.

Administrator otrzymał potwierdzenie wycieku czterech baz danych. Znajdowały się w nich dane osobowe pracowników (zarówno byłych, jak i obecnych) oraz kontrahentów współpracujących z Urzędem Gminy. Wyciek danych może dotyczyć kilkuset osób. Naruszeniem nie zostały objęte dane mieszkańców niezwiązanych z urzędem zawodowo. Ustalono, że naruszenie dotyczy danych osobowych takich jak: imię i nazwisko, nazwisko rodowe matki, adres zamieszkania, data i miejsce urodzenia, numer PESEL, dane dotyczące dokumentu tożsamości, numer rachunku bankowego oraz numer telefonu komórkowego.

URZĄD GMINY APELUJE O PODJĘCIE ŚRODKÓW ZAPOBIEGAWCZYCH

Administrator ocenił, że naruszenie ochrony danych osobowych może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, dlatego też o sytuacji powiadomił te osoby. Administrator radzi zastrzec dowód tożsamości lub jego wymianę, a także „zastrzeżenie numeru PESEL”. Administrator rekomenduje również zgłoszenie zdarzenia właściwym organom w celu zapobieżenia „kradzieży tożsamości” oraz ostrożność przy podawaniu danych innym osobom.

JAK DOSZŁO DO NARUSZENIA?

Jak informuje Urząd Gminy w Nowinach do incydentu doszło, ponieważ pracownik „otworzył zainfekowany link co skutkowało uruchomieniem oprogramowania złośliwego, który zaszyfrował serwer”. Powyższy opis jest mało precyzyjny, gdyż sam link nie może być zainfekowany. Poza tym najczęstszą przyczyną tego typu incydentów jest otworzenie zainfekowanego pliku makro załączonego jako załącznik do wiadomości e-mail lub pobranie złośliwego oprogramowania z podstawionej witryny.

Do ataku wykorzystano tzw. ransomware, czyli rodzaj złośliwego oprogramowania ograniczającego dostęp do systemu komputerowego. Najczęściej skutkiem tego typu ataku jest zaszyfrowanie danych i żądanie przez cyberprzestępców zapłacenia okupu za odszyfrowanie. Jednak w Urzędzie Gminy Nowiny nie odnotowano takiego żądania.

Co ciekawe, z powodu tego zdarzenia pracę stracił jeden z dwóch zatrudnionych w urzędzie informatyków. Jak stwierdził wójt gminy: „Niedopełnienie obowiązków służbowych było powodem dyscyplinarnego zwolnienia informatyka”. Nie wiadomo jednak o jakie obowiązki chodzi, ani czy zwolniony pracownik zawinił bezpośrednio, czy przez brak działań uświadamiających inne osoby.

NIE TYLKO URZĄD GMINY NOWINY…

W ostatnim czasie, a konkretniej w październiku b.r. Urząd Miasta w Otwocku poinformował, że padł ofiarą ataku hackerskiego. Włamanie na serwery stwierdzono 18 października. Sytuację zgłoszono do odpowiednich organów, tj. na policję, do UODO oraz CERT. W sprawie zostało również wszczęte śledztwo przez prokuraturę.

Cyberprzestępcy mogli pozyskać dostęp do takich danych jak: imię, nazwisko, adres zamieszkania, numer PESEL, NIP, seria i numer dowodu osobistego lub paszportu, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wysokość wynagrodzenia, wizerunek, stan cywilny, obywatelstwo, stan zdrowia, wykształcenie, karalność, adres e-mail i numer konta bankowego. Urząd Miasta w Otwocku podkreśla, że są to dane objęte atakiem hackerskim, jednak nie można potwierdzić ani zaprzeczyć czy doszło do ich „wycieku”.

„Plaga” wycieków danych nie kończy się jednak na Urzędzie Miasta w Otwocku. Naruszenia stwierdzono również m.in. w Małopolskim Urzędzie Marszałkowskim, Starostwie Powiatowym w Oświęcimiu, Urzędzie Gminy Kościerzyna oraz firmach – sieci sklepów MediaExpertSaturn i CD Projekt.

PRZY PODEJRZENIU WYCIEKU DANYCH NALEŻY ZACHOWAĆ SZCZEGÓLNĄ OSTRONOŚĆ

Od początku pandemii zaobserwowano gwałtowny wzrost liczby ataków w Internecie. Pamiętajmy, jakie działania należy podjąć w sytuacji wycieku danych. Natomiast administrator zobowiązany jest do poinformowania UODO o naruszeniu ochrony danych osobowych, a gdy może ono powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zawiadamia również te osoby

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.