CD Projekt: brak dowodów na wyciek danych osobowych

opublikowano: 18-02-2021, 12:47

Wewnętrzne śledztwo w sprawie ataku hakerskiego na producenta gier przyniosło dobre wieści, choć nie dało pewności.

W ubiegłym tygodniu CD Projekt poinformował, że padł ofiarą ataku hakerskiego. Od tamtej pory badał zdarzenie. Ustalił, że część plików zawierających dane osobowe obecnych oraz byłych pracowników lub współpracowników została zaszyfrowana w sieci wewnętrznej przez złośliwe oprogramowanie, co skutkowało czasową utratą dostępu do tych danych. Pliki zawierały m.in. umowy o pracę lub o zachowanie poufności, a także kopie dokumentów tożsamości.

Zaszyfrowane dane osobowe zostały już odzyskane z kopii bezpieczeństwa. Hakerzy zostawili notatkę, sugerującą, że skopiowali pliki, i zagrozili ujawnieniem ich mediom.

CD Projekt poinformował, że w toku dochodzenia nie znalazł dowodów transferu jakichkolwiek danych osobowych poza sieć spółki. Zaznaczył jednak, że ze względu na sposób działania sprawców nie da się stwierdzić z całą pewnością, że nic nie zostało skopiowane.

Prawdopodobny brak wycieku danych to dobra wiadomość. Oznacza, że ryzyko negatywnych konsekwencji, np. ewentualnych roszczeń czy kar administracyjnych, maleje. Urząd Ochrony Danych Osobowych (UODO) bierze pod uwagę m.in. działania podjęte przez firmę, w której zdarzyło się naruszenie bezpieczeństwa.

Po stwierdzeniu ataku CD Projekt zgłosił sprawę na policję i poinformował UODO. Następnie, we współpracy z wyspecjalizowanym dostawcą usług, zaczął monitoring pod kątem pojawienia się danych osobowych pochodzących z sieci wewnętrznej. Do tej pory nie odnotowano żadnego przypadku ich ujawnienia.

Spółka podjęła też dodatkowe środki ostrożności. Odcięła zdalny dostęp do sieci wewnętrznej oraz dostęp z sieci wewnętrznej do internetu. Rozpoczęła skanowanie komputerów pracowników w poszukiwaniu złośliwego oprogramowania, uruchomiła nowe narzędzia monitorujące aktywność na komputerach personelu oraz w sieci pod kątem wykrywania anomalii oraz zaotrzyła politykę w zakresie haseł.

CD Projekt zaangażował też zewnętrznych ekspertów od bezpieczeństwa IT w celu wyjaśnienia przyczyn i przebiegu zdarzenia oraz udzielił pracownikom dodatkowych instrukcji w zakresie ochrony danych osobowych i cyberbezpieczeństwa. Zasugerował im również m.in. założenie konta w systemie informacji kredytowej i wymianę dowodów osobistych.

Rynek gier
Newsletter z wiadomościami nt. branży gamingowej oraz polskich producentów gier komputerowych.
ZAPISZ MNIE
×
Rynek gier
autor: Grzegorz Suteniec
Wysyłany raz w tygodniu
Grzegorz Suteniec
Newsletter z wiadomościami nt. branży gamingowej oraz polskich producentów gier komputerowych.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.
© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane