W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Strona informacyjna - Pomoc dla powodzian
Przejdź do strony

Wojewódzka Stacja Sanitarno-
Epidemiologiczna we Wrocławiu

Powrót

Publiczny komunikat o naruszeniu ochrony danych osobowych

10.01.2025

Szanowni Państwo! Drodzy Interesariusze, Kontrahenci, Współpracownicy! Zawiadamiamy Państwa, że Wojewódzka Stacja Sanitarno-Epidemiologiczna we Wrocławiu przy ul. Marii Curie-Skłodowskiej 73/77 padła ofiarą cyberataku, który doprowadził do naruszenia ochrony Państwa danych osobowych, którymi administrujemy, poprzez utratę dostępu do nich w związku z zaszyfrowaniem przez wrogie oprogramowanie danych zgromadzonych na serwerach naszego urzędu. Istnieje ryzyko, że atakujący wykradł również pliki, w których były dane osobowe. Jednocześnie informujemy, że do zdarzenia tego doszło mimo stosowania najwyższych standardów zabezpieczeń informatycznych i środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych.

Komunikat o cyberbezpieczeństwie

Zapewniamy, że wdrożyliśmy procedury, które mają na celu przywrócenie niezakłóconej działalności naszego Urzędu w pełnym zakresie i podejmujemy wszelkie możliwe działania mające na celu zminimalizowanie skutków incydentu. Jednocześnie informujemy, że ciągłość naszej działalności operacyjnej jest zachowana, z utrudnieniami opisanymi poniżej.

PUBLICZNY KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
sporządzony w trybie art. 34 RODO

Dolnośląski Państwowy Wojewódzki Inspektor Sanitarny we Wrocławiu (dalej DPWIS) kierujący Wojewódzką Stacją Sanitarno-Epidemiologiczną z siedzibą we Wrocławiu przy ul. Marii Curie-Skłodowskiej 73/77, na podstawie art. 34 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),

informuje o naruszeniu ochrony danych osobowych:

 

 I. Charakter naruszenia ochrony danych osobowych.

Do naruszenia ochrony danych osobowych doszło w wyniku ataku, który miał miejsce w dniu 10 grudnia 2024r., złośliwego oprogramowania szyfrującego pliki znajdujące się na serwerach Wojewódzkiej Stacji Sanitarno-Epidemiologicznej we Wrocławiu. Zaszyfrowanie danych spowodowało brak dostępu do danych oraz utratę niektórych dokumentów znajdujących się w systemie EZD (system Elektronicznego Zarządzanie Dokumentacją).

Naruszenie ochrony danych osobowych polegało na:

  1. Utracie dostępności danych osobowych.

Zaszyfrowanie bazy systemu EZD sprawiło, że Administrator utracił od dnia 10 grudnia 2024 roku, co będzie trwało do czasu odzyskania danych z kopii zapasowej, dostęp do dokumentów zgromadzonych w systemie EZD, w tym danych osobowych znajdujących się w tych dokumentach.

  1. Utracie integralności danych osobowych.

W wyniku działania złośliwego oprogramowania Administrator utracił korespondencję wpływającą do Urzędu drogą elektroniczną (ePUAP) w dniach od 30 listopada 2024 roku do dnia 10 grudnia 2024 roku.  

  1. Istnieje ryzyko, że nastąpiło również naruszenie poufności danych -  atakujący mógł wykraść pliki, w których były dane osobowe. Obecnie pracujemy nad tym aby ustalić dokładny zakres ataku i po uzyskaniu tych informacji zostanie zamieszczony nowy, stosowny komunikat uzupełniający tan opublikowany aktualnie.

 

II. Kategorie osób, których incydent dotyczy.

Incydent dotyczy naruszenia ochrony danych osobowych (naruszenia dostępności, integralności  i poufności)  wszystkich kategorii osób, których dane przetwarzane są w systemie EZD, tj.:

  1. Pracowników obecnych i byłych oraz osób zatrudnionych na podstawie umów cywilnoprawnych (dane przetwarzane przez administratora jako pracodawcę, w tym PESEL, imię nazwisko, adres zamieszkania, numer rachunku bankowego, dane o wynagrodzeniach);
  2. Obecnych i byłych kontrahentów (dane identyfikacyjne kontrahentów będących osobami fizycznymi – imię, nazwisko, adres siedziby, telefon, adres e-mail, adres ePUAP, dane o należnościach, numer rachunku bankowego oraz dane osobowe osób fizycznych będących reprezentantami kontrahentów, albo ich pracownikami czy osobami z nimi współpracującymi wskazanymi celem realizacji kontraktów - imię, nazwisko, adres zamieszkania, adres siedziby, telefon, adres e-mail,  adres ePUAP);
  3. Interesariuszy  WSSE  będących osobami fizycznymi (dane identyfikacyjne – imię, nazwisko, adres zamieszkania i/lub adres pracy, telefon, e-mail, adres ePUAP, wizerunek, dane osobowe w zależności od załatwianej sprawy w tym dane dotyczące zdrowia, informacje o prowadzonej działalności gospodarczej, w szczególności adres wykonywania działalności gospodarczej i wiele innych informacji przekazywanych z inicjatywy interesariuszy, którzy do WSSE kierowali w formie pisemnej zapytania i wnioski o podjęcie działań). W sytuacji, gdy wpływająca korespondencja pochodziła od osoby osadzonej, kontekst oraz treść pisma mogą ujawniać informacje o wyrokach skazujących, czynach zabronionych oraz imię ojca.
  4. Osób, których dane osobowe na podstawie przepisów prawa zostały przesłane do WSSE przez jednostki zewnętrzne, a także osób wobec których Wojewódzka Stacja prowadziła postępowania administracyjne, nadzorowe (kontrolne) i wyjaśniające wszczęte na podstawie informacji nie pochodzących od tych osób (dane identyfikacyjne – imię, nazwisko, adres zamieszkania, telefon, e-mail, adres ePUAP, dane osobowe w zależności od załatwianej sprawy w tym dane dotyczące zdrowia). Mogły się zdarzyć pojedyncze przypadki, że w korespondencji dotyczącej osób zakażonych wirusem HIV znalazły się informacje o seksualności lub orientacji seksualnej.

 

III. Możliwe konsekwencje naruszenia ochrony danych osobowych.

Bezpośrednią konsekwencją incydentu dla Dolnośląskiego Państwowego Wojewódzkiego Inspektora Sanitarnego jako administratora danych jest czasowa  utrata dostępu do dokumentów i danych osobowych. Przekłada się to na utrudnienia w prowadzeniu działalności w pełnym zakresie z uwagi na utratę dostępu do danych - dokumentów elektronicznych zlokalizowanych na serwerze EZD będącym przedmiotem cyberataku.

Kolejną konsekwencją dla Dolnośląskiego Państwowego Wojewódzkiego Inspektora Sanitarnego  jest utrata dokumentów, które wpłynęły do Urzędu oraz wyszły z Urzędu drogą elektroniczną (ePUAP) od dnia 30 listopada 2024 roku do dnia 10 grudnia 2024 roku.

 

Po dokonaniu analizy opisanych powyżej okoliczności w kontekście przetwarzania danych osobowych, wskazujemy jako możliwe konsekwencje zdarzenia dla osób, których dane dotyczą:

  • brak odpowiedzi Urzędu na pisma wniesione drogą elektroniczną (ePUAP) w okresie
    od 30 listopada 2024 r. do 10 grudnia 2024 r., w tym brak załatwienia spraw podlegających regulacjom kodeksu postępowania administracyjnego w sytuacji, gdy pismo je inicjujące wpłynęło w tym okresie;
  • opóźnione udzielenie odpowiedzi (w związku z przejściowym niedostępem do danych) przez Urząd, brak zawiadomienia stron/wnioskujących/skarżących przez Urząd o przekroczeniu terminu załatwienia sprawy;
  • opóźnienia w załatwieniu przez Urząd spraw podlegających regulacjom kodeksu postępowania administracyjnego;
  • w sytuacji złożenia do Urzędu dokumentu drogą elektroniczną (ePUAP) w okresie
    od 30 listopada 2024 r. do 10 grudnia 2024 r. konieczność jego ponownego złożenia, w tym na wezwanie Organu odtwarzającego akta sprawy;
  • utrata kontroli nad własnymi danymi osobowymi (nie wiadomo, kto w tej chwili ma dostęp do Państwa danych);
  • możliwość podjęcia przez osoby trzecie próby uzyskania pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
  • wykorzystanie danych do uwierzytelnienia (weryfikacji tożsamości) i zaciągnięcia zobowiązań np. zakupów (w tym ratalnych) w sklepach internetowych;
  • korzystanie z przysługujących praw obywatelskich, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
  • zawarcie umów cywilno-prawnych, np. najmu czy sprzedaży nieruchomości;
  • wyłudzenie ubezpieczenia;
  • posłużenie się fałszywymi danymi i ukrycie swojej tożsamości, np. przy otrzymywaniu mandatu;
  • próba wyłudzenia odszkodowania;
  • założenie konta internetowego (np. w serwisach społecznościowych czy poczty elektronicznej);
  • kierowanie wiadomości e-mail lub SMS zawierających informacje handlowe, na które osoby, których dane dotyczą nie wyraziły zgody;
  • podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej itp.);
  • uzyskanie dostępu do danych o stanie zdrowia, w przypadku przełamania zabezpieczeń do systemu świadczeń opieki zdrowotnej, np. poprzez potwierdzenie tożsamości za pomocą numeru PESEL;
  • korzystanie ze świadczeń opieki zdrowotnej poprzez potwierdzenie swojej tożsamości za pomocą numeru PESEL;
  • utratę poufności danych, dyskryminację w związku z ujawnieniem danych dotyczących zdrowia, wyroków skazujących, czynów zabronionych, seksualności lub orientacji seksualnej;
  • naruszenie dóbr osobistych w postaci prywatności odnośnie informacji dotyczących danych medycznych oraz o korzystaniu z usług opieki zdrowotnej.

 

IV. Środki zastosowane przez Administratora w związku z incydentem.

  1. Natychmiast po ujawnieniu incydentu zostały uruchomione procedury wewnętrzne dotyczące incydentów naruszeń ochrony danych osobowych.
  2. Powiadomiono Policję (Centralne Biuro Zwalczania Cyberprzestępczości we Wrocławiu).
  3.  Powiadomiono CSIRT-NASK (Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie) o zaistniałym incydencie.
  4. Przekazano do Prezesa Urzędu Ochrony Danych Osobowych zawiadomienie o naruszeniu ochrony danych osobowych.  
  5. Powiadomiono osoby, których dane dotyczą poprzez wydanie publicznego komunikatu.
  6. Zaangażowano firmę doradczą świadczącą usługi w zakresie cyberbezpieczeństwa. 
  7. Wydane zostało polecenie służbowe wyłączenia serwerów służbowych i nieużywania ich do czasu sprawdzenia i odwołania zakazu.
  8. Odcięto dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do Internetu.
  9. Rozpoczęto skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania;
  10. Zorganizowano spotkanie kadry kierowniczej z Dyrekcją i ustalono funkcjonowanie Urzędu w warunkach pracy zakłóconej incydentem.
  11. Trwają czynności analizowania przyczyn wystąpienia naruszenia i zabezpieczenia baz danych przez wystąpieniem dalszych naruszeń.

 

 V. Środki zastosowane lub proponowane przez administratora w celu zminimalizowania ewentualnych negatywnych skutków.

 W związku z utratą dokumentów składanych za pośrednictwem ePUAP w dniach 30 listopada – 10 grudnia 2024 roku, jeśli stwierdzą Państwo brak informacji zwrotnej na składane pisma we wskazanym okresie, prosimy o ponowne złożenie pism w formie papierowej lub ponownie poprzez ePUAP z adnotacją o wcześniejszym przesłaniu pisma ze wskazaniem daty.

W celu zabezpieczenia się i zminimalizowania ewentualnych negatywnych skutków naruszenia poufności, podajemy informacje o krokach, które mogą Państwo podjąć w związku z incydentem:

  • skorzystanie z możliwości założenia konta w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem i celem monitorowania prób uzyskania kredytu/pożyczki, w tym od podmiotów nie będących bankami, w szczególności w instytucjach tzw. parabankowych;
  • zmiana hasła do skrzynki poczty elektronicznej;
  • wymiana dowodu osobistego;
  • zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu;
  • ignorowanie nieoczekiwanych wiadomości e-mail i / lub SMS, w szczególności od nieznanych nadawców;
  • nieotwieranie nieznanych załączników wysłanych w wiadomościach e-mail i / lub SMS;
  • nieużywanie linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail i / lub SMS;
  • zachowanie ostrożności przy odczytywaniu wiadomości e-mail i/lub SMS, które w pierwszej chwili mogą wydawać się na pochodzące od znanych nadawców;
  • zachowanie ostrożności w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów;
  • zachowanie szczególnej ostrożności przy odbieraniu połączeń telefonicznych czy wiadomości zawierających informacje na temat Państwa problemu zdrowotnego od nieznanych nadawców;
  • w razie stwierdzenia kradzieży tożsamości należy natychmiast bezwzględnie zgłosić ten fakt organom ścigania.

 

Ponadto, osoby, których ujawniono dane dotyczące seksualności lub orientacji seksualnej, dane dotyczących wyroków skazujących oraz dane dotyczących czynów zabronionych, mają możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w przepisach ustaw Kodeks Cywilny lub/i Kodeks postępowania cywilnego.

 

 

VI. Kontakt w celu uzyskania dalszych informacji.

Liczymy, że mimo tego zdarzenia nie dojdzie do nieuprawnionego wykorzystania danych osobowych i podejrzenie kradzieży danych nie będzie niosło negatywnych konsekwencji.

W przypadku wątpliwości dotyczących zdarzenia w zakresie ochrony danych osobowych prosimy kontaktować się z Inspektorem Ochrony Danych:

Krzysztof Gorgol, numer telefonu: 71 328 30 41 wew. 220  

Przepraszamy za ewentualne niedogodności, których mogli Państwo doświadczyć w związku z zaistniałą sytuacją. Jeżeli pozyskamy dodatkowe informacje w sprawie incydentu opublikujemy w kolejnym publicznym komunikacie.

{"register":{"columns":[]}}