Ośrodek Pomocy Społecznej w Pszowie - ops.pszow.pl

Szanowni Państwo, Drodzy Interesariusze, Współpracownicy, zawiadamiamy Państwa, że Ośrodek Pomocy Społecznej w Pszowie (ul. Ks. Pawła Skwary 48, 44-370 Pszów) padł ofiarą cyberataku, który doprowadził do naruszenia ochrony Państwa danych osobowych, którymi administrujemy, poprzez utratę dostępu do części z nich w związku z zaszyfrowaniem przez wrogie oprogramowanie danych zgromadzonych na serwerze naszej jednostki. Istnieje ryzyko, że atakujący wykradł również pliki, w których były dane osobowe. Jednocześnie informujemy, że do zdarzenia tego doszło mimo stosowania zabezpieczeń informatycznych i środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych.

Zapewniamy, że wdrożyliśmy procedury, które mają na celu przywrócenie niezakłóconej działalności naszej jednostki w pełnym zakresie i podejmujemy wszelkie możliwe działania mające na celu zminimalizowanie skutków incydentu. Jednocześnie informujemy, że ciągłość naszej działalności operacyjnej jest zachowana, z utrudnieniami opisanymi poniżej.

 

PUBLICZNY KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
sporządzony w trybie art. 34 RODO

 

Ośrodek Pomocy Społecznej w Pszowie (dalej OPS) ul. Ks. Pawła Skwary 48, 44-370 Pszów, na podstawie art. 34 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),

informuje o naruszeniu ochrony danych osobowych:

 I. Charakter naruszenia ochrony danych osobowych.

Do naruszenia ochrony danych osobowych doszło w wyniku ataku, który miał miejsce w dniu 23 lutego 2025 r., złośliwego oprogramowania szyfrującego pliki znajdujące się na serwerze Ośrodek Pomocy Społecznej w Pszowie. Zaszyfrowana została część danych,  która dotyczy świadczeń rodzinnych, funduszu alimentacyjnego, dłużników alimentacyjnych, programu „Za życiem”, zasiłku dla opiekunów, wyliczeń dochodów dla programu „Czyste powietrze”, co spowodowało brak dostępu do danych.

Naruszenie ochrony danych osobowych polegało na:

1. Utracie dostępności danych osobowych.

Zaszyfrowanie baz programów dziedzinowych oraz dokumentów sprawiło, że Administrator utracił od dnia 23 lutego 2025 roku, co będzie trwało do czasu odzyskania danych z kopii zapasowej, dostęp do dokumentów i programów dziedzinowych, w tym danych osobowych znajdujących się w tych dokumentach i bazach.

2. Utracie integralności danych osobowych.

W wyniku działania złośliwego oprogramowania Administrator mógł utracić cześć dokumentów wytworzone przez pracowników OPS w dniach od 17 lutego 2025 roku do dnia 21 lutego 2025 roku.  

3. Istnieje ryzyko, że nastąpiło również naruszenie poufności danych -  atakujący mógł wykraść pliki, w których były dane osobowe. Obecnie we współpracy z CSIRT NASK i Centralnym Biuro Zwalczania Cyberprzestępczości pracujemy nad tym aby ustalić dokładny zakres ataku i po uzyskaniu tych informacji zostanie zamieszczony nowy, stosowny komunikat uzupełniający tan opublikowany aktualnie.

 

II. Kategorie osób, których incydent dotyczy.

Incydent dotyczy naruszenia ochrony danych osobowych (naruszenia dostępności, integralności  i poufności)  kategorii osób, których dane przetwarzane były na zaatakowanym serwerze, tj.:

1. Pracowników ( imię, nazwisko, login, hasło);
2. Interesariuszy  OPS  będących osobami fizycznymi (imię, nazwisko, adres zamieszkania i/lub adres pracy, telefon, adres e-mail, numer PESEL, numer rachunku bankowego, dane dotyczące zarobków, imiona rodziców, nazwisko rodowe matki, seria i numer dowodu osobistego, dane osobowe w zależności od załatwianej sprawy w tym dane dotyczące zdrowia, informacje o prowadzonej działalności gospodarczej, informacje dotyczące wyroków skazujących i wiele innych informacji przekazywanych z inicjatywy interesariuszy, którzy do OPS kierowali w formie pisemnej zapytania i wnioski). 
3.  

III. Możliwe konsekwencje naruszenia ochrony danych osobowych.

Bezpośrednią konsekwencją incydentu dla Ośrodka Pomocy Społecznej w Pszowie jako administratora danych jest czasowa  utrata dostępu do baz danych i dokumentów zawierających  dane osobowe. Przekłada się to na utrudnienia w prowadzeniu działalności w pełnym zakresie z uwagi na utratę dostępu do serwera będącego przedmiotem cyberataku.

 

Po dokonaniu analizy opisanych powyżej okoliczności w kontekście przetwarzania danych osobowych, wskazujemy jako możliwe konsekwencje zdarzenia dla osób, których dane dotyczą:

• opóźnienia w załatwieniu przez OPS spraw podlegających regulacjom kodeksu postępowania administracyjnego;
• utrata kontroli nad własnymi danymi osobowymi (nie wiadomo, kto w tej chwili ma dostęp do Państwa danych);
• możliwość podjęcia przez osoby trzecie próby uzyskania pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
• wykorzystanie danych do uwierzytelnienia (weryfikacji tożsamości) i zaciągnięcia zobowiązań np. zakupów (w tym ratalnych) w sklepach internetowych;
• korzystanie z przysługujących praw obywatelskich, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
• zawarcie umów cywilno-prawnych, np. najmu czy sprzedaży nieruchomości;
• wyłudzenie ubezpieczenia;
• posłużenie się fałszywymi danymi i ukrycie swojej tożsamości, np. przy otrzymywaniu mandatu;
• próba wyłudzenia odszkodowania;
• założenie konta internetowego (np. w serwisach społecznościowych czy poczty elektronicznej);
• kierowanie wiadomości e-mail lub SMS zawierających informacje handlowe, na które osoby, których dane dotyczą nie wyraziły zgody;
• podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej itp.);
• uzyskanie dostępu do danych o stanie zdrowia, w przypadku przełamania zabezpieczeń do systemu świadczeń opieki zdrowotnej, np. poprzez potwierdzenie tożsamości za pomocą numeru PESEL;
• korzystanie ze świadczeń opieki zdrowotnej poprzez potwierdzenie swojej tożsamości za pomocą numeru PESEL;
• utratę poufności danych, dyskryminację w związku z ujawnieniem danych dotyczących zdrowia, wyroków skazujących;
• naruszenie dóbr osobistych w postaci prywatności odnośnie informacji dotyczących danych medycznych oraz o korzystaniu z usług opieki zdrowotnej.

 

IV. Środki zastosowane przez Administratora w związku z incydentem.

1. Natychmiast po ujawnieniu incydentu zaatakowany serwer został wyłączony z użytku poprzez odseparowanie go od sieci.
2. Powiadomiono Policję - Centralne Biuro Zwalczania Cyberprzestępczości (CBZC).
3. Powiadomiono CSIRT-NASK (Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie) o zaistniałym incydencie.
4. Przekazano do Prezesa Urzędu Ochrony Danych Osobowych zawiadomienie o naruszeniu ochrony danych osobowych.  
5. Powiadomiono osoby, których dane dotyczą poprzez wydanie publicznego komunikatu.
6. Zastosowana się do wszystkich poleceń i zaleceń pracowników CSIRT-NASK . 
7. Po dokonaniu wszystkich czynności dowodowych przez CSIRT-NASK i CBZC wyłączono zaatakowany serwer do czasu sprawdzenia incydentu.
8. Rozpoczęto skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania;
9. Trwają czynności analizowania przyczyn wystąpienia naruszenia i zabezpieczenia baz danych przez wystąpieniem dalszych naruszeń.

 

 V. Środki zastosowane lub proponowane przez administratora w celu zminimalizowania ewentualnych negatywnych skutków.

 W celu zabezpieczenia się i zminimalizowania ewentualnych negatywnych skutków naruszenia poufności, podajemy informacje o krokach, które mogą Państwo podjąć w związku z incydentem:

• Skorzystanie z możliwości zastrzeżenia numeru PESEL w urzędzie gminy lub w aplikacji mObywatel - zastrzeżenie numeru PESEL zabezpiecza przed bezprawnym wykorzystaniem go przez innych
• skorzystanie z możliwości założenia konta w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem i celem monitorowania prób uzyskania kredytu/pożyczki, w tym od podmiotów nie będących bankami, w szczególności w instytucjach tzw. parabankowych;
• zmiana hasła do skrzynki poczty elektronicznej;
• wymiana dowodu osobistego;
• zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu;
• ignorowanie nieoczekiwanych wiadomości e-mail i / lub SMS, w szczególności od nieznanych nadawców;
• nieotwieranie nieznanych załączników wysłanych w wiadomościach e-mail i / lub SMS;
• nieużywanie linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail i / lub SMS;
• zachowanie ostrożności przy odczytywaniu wiadomości e-mail i/lub SMS, które w pierwszej chwili mogą wydawać się na pochodzące od znanych nadawców;
• zachowanie ostrożności w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów;
• zachowanie szczególnej ostrożności przy odbieraniu połączeń telefonicznych czy wiadomości zawierających informacje na temat Państwa problemu zdrowotnego od nieznanych nadawców;
• w razie stwierdzenia kradzieży tożsamości należy natychmiast bezwzględnie zgłosić ten fakt organom ścigania.

 

Ponadto, osoby, których ujawniono dane dotyczące  wyroków skazujących, mają możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w przepisach ustaw Kodeks Cywilny lub/i Kodeks postępowania cywilnego.

 

VI. Kontakt w celu uzyskania dalszych informacji.

Liczymy, że mimo tego zdarzenia nie dojdzie do nieuprawnionego wykorzystania danych osobowych i podejrzenie kradzieży danych nie będzie niosło negatywnych konsekwencji.

W przypadku wątpliwości dotyczących zdarzenia w zakresie ochrony danych osobowych prosimy kontaktować się z Inspektorem Ochrony Danych:

Aleksander Kloc, numer telefonu: 531141109

lub bezpośrednio do Ośrodka Pomocy Społecznej w Pszowie pod numerem 32 7291046

Przepraszamy za ewentualne niedogodności, których mogli Państwo doświadczyć w związku z zaistniałą sytuacją. Jeżeli pozyskamy dodatkowe informacje w sprawie incydentu opublikujemy w kolejnym publicznym komunikacie.