W ubiegłym tygodniu CD Projekt poinformował, że padł ofiarą ataku hakerskiego. Od tamtej pory badał zdarzenie. Ustalił, że część plików zawierających dane osobowe obecnych oraz byłych pracowników lub współpracowników została zaszyfrowana w sieci wewnętrznej przez złośliwe oprogramowanie, co skutkowało czasową utratą dostępu do tych danych. Pliki zawierały m.in. umowy o pracę lub o zachowanie poufności, a także kopie dokumentów tożsamości.
Zaszyfrowane dane osobowe zostały już odzyskane z kopii bezpieczeństwa. Hakerzy zostawili notatkę, sugerującą, że skopiowali pliki, i zagrozili ujawnieniem ich mediom.
CD Projekt poinformował, że w toku dochodzenia nie znalazł dowodów transferu jakichkolwiek danych osobowych poza sieć spółki. Zaznaczył jednak, że ze względu na sposób działania sprawców nie da się stwierdzić z całą pewnością, że nic nie zostało skopiowane.
Prawdopodobny brak wycieku danych to dobra wiadomość. Oznacza, że ryzyko negatywnych konsekwencji, np. ewentualnych roszczeń czy kar administracyjnych, maleje. Urząd Ochrony Danych Osobowych (UODO) bierze pod uwagę m.in. działania podjęte przez firmę, w której zdarzyło się naruszenie bezpieczeństwa.
Po stwierdzeniu ataku CD Projekt zgłosił sprawę na policję i poinformował UODO. Następnie, we współpracy z wyspecjalizowanym dostawcą usług, zaczął monitoring pod kątem pojawienia się danych osobowych pochodzących z sieci wewnętrznej. Do tej pory nie odnotowano żadnego przypadku ich ujawnienia.
Spółka podjęła też dodatkowe środki ostrożności. Odcięła zdalny dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do internetu. Rozpoczęła skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania, uruchomiła nowe narzędzia monitorujące aktywność na komputerach personelu oraz w sieci pod kątem wykrywania anomalii oraz zaotrzyła politykę w zakresie haseł.
CD Projekt zaangażował też zewnętrznych ekspertów od bezpieczeństwa IT w celu wyjaśnienia przyczyn i przebiegu zdarzenia oraz udzielił pracownikom dodatkowych instrukcji w zakresie ochrony danych osobowych i cyberbezpieczeństwa. Zasugerował im również m.in. założenie konta w systemie informacji kredytowej i wymianę dowodów osobistych.