Cyberatak na Zakład Budynków Miejskich w Cieszynie

Zakład Budynków Miejskich w Cieszynie poinformował o możliwości wystąpienia nieuprawnionego dostępu do danych osobowych mieszkańców, które znajdują się w wewnętrznej bazie danych spółki. O zdarzeniu natychmiast zostały powiadomione odpowiednie instytucje, Prezes Urzędu Ochrony Danych Osobowych, policja oraz zespół reagowania na incydenty bezpieczeństwa komputerowego CERT Polska.

Do incydentu doszło 6 października w godzinach porannych. Spółka otrzymała wówczas informację o możliwym nieuprawnionym dostępie do swojego serwera, który został zablokowany w wyniku działania złośliwego systemu typu trojan (ransomware).

„Wstępna analiza wykazała, iż dane mogły zostać czasowo zaszyfrowane przez osobę nieuprawnioną. Nie ma dowodów na usunięcie lub modyfikację danych, jednak istnieje ryzyko, iż mogło dojść do ich częściowego skopiowania, np. w formie zrzutów ekranu lub zdjęć ekranu” – informuje cieszyński ZBM.
W bazie danych mogły się zaś znajdować m.in. takie informacje, jak: imię, nazwisko, adres zamieszkania, adres e-mail, numer telefonu, a w niektórych przypadkach również numer PESEL, numer rachunku bankowego, szczegóły rozliczeń oraz loginy i hasła klientów (zaszyfrowane).

Po wykryciu incydentu ZBM niezwłocznie podjął kroki mające na celu zabezpieczenie systemu i odzyskanie dostępu do bazy danych. Spółka powiadomiła adekwatne organy, zmieniła wszystkie hasła dostępowe i wprowadziła dodatkowe zabezpieczenia informatyczne, zaplanowała szkolenia pracowników z zakresu cyberbezpieczeństwa i ochrony danych osobowych, zwiększy częstotliwość kontroli bezpieczeństwa systemów i sieci, wdraża również system edukacyjny dla pracowników mający pomóc z rozpoznawani zagrożeń cybernetycznych.

Jednocześnie ZBM ostrzega, iż pozyskane dane mogą zostać wykorzystane przez osoby nieuprawnione do prób oszustw, np. podszywania się pod instytucje, wyłudzeń (phishingu) czy wysyłania fałszywych wiadomości e-mail i SMS.

W celu ograniczenia ewentualnych skutków cyberataku spółka zaleca, aby mieszkańcy zachowali ostrożność przy odbieraniu wiadomości i połączeń od nieznanych nadawców, nie otwierali podejrzanych linków ani nie dokonywali mikropłatności w nieznanych serwisach, nie przekazywali danych osobowych przez telefon lub e-mail, a w razie jakichkolwiek podejrzeń niezwłocznie poinformowali Zakład Budynków Miejskich o możliwym wykorzystaniu ich danych przez osoby trzecie.