Hakerzy uzyskali dostęp do informacji od dwóch różnych firm współpracujących z dostawcą energii
fot: Krystian Krawczyk
Należąca do Grupy Tauron firma Tauron Dystrybucja, dostarczająca prąd do ponad 5,5 mln odbiorców w południowej Polsce, to największy w kraju dystrybutor energii elektrycznej
fot: Krystian Krawczyk
Tauron poinformował 31 lipca o wycieku danych, które obejmują imiona i nazwiska, numery telefonów oraz PESEL czy adresy e-mail oraz część rozmów telefonicznych z klientami. Hakerzy uzyskali dostęp do tych informacji od dwóch różnych firm współpracujących z dostawcą energii. To nie pierwsza i nie ostatnia taka sytuacja w spółkach energetycznych, telekomunikacyjnych czy bankach.
Skutki mogą być dla poszkodowanych konsumentów bardzo przykre. Np. oszuści mogą zaciągnąć na nich kredyty, chwilówki, zrobić zakupy na raty, zawrzeć umowę telekomunikacyjną. Warto pamiętać, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
– Do incydentu doszło po stronie partnerów Taurona, co jednak nie zwalnia nas z obowiązku podjęcia działań w interesie naszych klientów. Tych klientów informujemy o tym, że nieuprawnione osoby mogły wejść w posiadanie rozmów oraz danych. Wszystkie dane klientów, przechowywane na serwerach Taurona, są bezpieczne – przekazała spółka w komunikacie.
Przystąpiła też do działań, których celem jest zabezpieczenie interesów klientów. Uruchomiono szereg procedur bezpieczeństwa. Przygotowano zasady informowania ww. klientów o wystąpieniu incydentu.
– Pracujemy nad wdrożeniem dla tych klientów bezpłatnej usługi „alert bezpieczeństwa danych osobowych”. Na bieżąco monitorujemy sytuację oraz przygotowujemy audyt dotyczący przyczyn wystąpienia tego incydentu – informuje Tauron.
Rzeczniczka spółki Tauron Sprzedaż Elżbieta Bukowiec podkreśliła, że stosowną informację przekazano do Urzędu Ochrony Danych Osobowych.
– Doniesienie o przestępstwie zostało zgłoszone do Wydziału do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Krakowie – mówi Bukowiec.
Tauron nie informuje o skali wycieku danych. Rok temu do podobnego włamania i kradzieży hakerskiej doszło w spółce Fortum Polska, firmie energetycznej działającej m.in. w Bytomiu, Częstochowie i Zabrzu. W zapisach danych znajdowały się imię i nazwisko, e-mail i adres zamieszkania, numer telefonu i PESEL, a nawet szczegóły umów z rocznym zużyciem gazu czy energii. Stało się tak podczas prac nad poprawą wydajności wyszukiwania dokumentów. W wyniku wdrożenia usługi baza danych nie była odpowiednio zabezpieczona. Spółka natychmiast po otrzymaniu informacji o wycieku zablokowała dostęp, poinformowała odpowiednie organy i przeprowadziła wewnętrzne dochodzenie.
Administrator danych nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych w ciągu 24 godzin, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone.
Jak podkreśla Andrzej Sanocki, rzecznik UODO, ważny jest bowiem odpowiednio szybki czas reakcji urzędu na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć.
– Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, numer dokumentu, adres – informuje.
Według CERT Polska najczęściej ofiarą ataków padają banki, następnie media, handel hurtowy i detaliczny, infrastruktura cyfrowa oraz finanse, usługi i administracja.
