Automatyka i robotyka

Intralogistyka i transport produkcyjny

Elektryka przemysłowa

Od blisko 30 lat realizujemy pod klucz projekty z zakresu automatyki i elektryki przemysłowej dla klientów na całym świecie. Poznaj nasze możliwości.

Inżynieria procesowa

Automatyzujemy procesy produkcyjne m.in. w przemyśle chemicznym i petrochemicznym. Dostarczamy pod klucz zaawansowane systemy i instalacje.

IT dla przemysłu

Rozwiązania dla wody, gazu, ciepła

IoT

Projektowanie i produkcja elektroniki

Specjalizujemy się w projektowaniu i produkcji urządzeń elektronicznych. Od ponad 20 lat dostarczamy na rynek kompletne rozwiązania elektroniczne.

System operacyjny czasu rzeczywistego

Nasz innowacyjny system operacyjny oferuje wyjątkową wydajność, bezpieczeństwo i efektywność pracy urządzeń IoT.

Informacje prawne

Szanowni Państwo,

AIUT Sp. z o.o., z siedzibą w  Gliwicach (44-109), przy ul. Leona Wyczółkowskiego 113 (dalej jako „Administrator” lub „AIUT”), w nawiązaniu do wcześniejszych komunikatów na stronie internetowej informuje, że ostatecznie potwierdziliśmy naruszenie ochrony danych osobowych:

  • obecnych i byłych pracowników oraz współpracowników Administratora, jak również
  • obecnych i byłych pracowników oraz współpracowników podwykonawców Administratora, realizujących umowy w ramach warsztatu elektrycznego, montaży obiektowych lub mechanicznego

- którzy współpracowali z AIUT przed 22 września 2024 r.

Niniejszy komunikat ma na celu przekazanie informacji osobom, których Administrator nie był w stanie poinformować indywidualnie, o okolicznościach naruszenia, jego możliwych konsekwencjach, dostępnych środkach zaradzenia skutkom naruszenia oraz o działaniach, które Administrator do tej pory podjął i podejmuje w związku z naruszeniem.

 

Opis zdarzenia

Administrator, po przeprowadzeniu szczegółowych analiz skali oraz zakresu danych objętych cyberatakiem opisanym szczegółowo w komunikatach zamieszonych w zakładce: https://aiut.com/aktualnosci/, ostatecznie potwierdził, że cyberprzestępcy uzyskali dostęp do plików, w których znajdowały się dane osobowe niektórych pracowników lub współpracowników AIUT oraz pracowników lub współpracowników podwykonawców Administratora. Poniżej opisujemy rodzaj danych osobowych, do których uzyskali dostęp atakujący.

Podkreślamy jednak, że rodzaj danych jest ściśle uzależniony od procesów, etapów i sposobów realizacji poszczególnych współprac z AIUT, w których brały udział osoby bezpośrednio dotknięte zdarzeniem (dane nie każdej osoby należącej do poszczególnych kategorii zostały dotknięte atakiem).

  • imię i nazwisko,
  • informacje o wynagrodzeniach,
  • nazwisko rodowe matki,
  • dane dotyczące działalności gospodarczej (w przypadku współpracy B2B),
  • PESEL – w przypadku osób zatrudnionych przed kwietniem 2018r.,
  • w przypadku pracowników lub współpracowników odbywających podróże służbowe – także numer i seria dokumentu tożsamości przekazanego w ramach organizacji podróży służbowej, skan dokumentu tożsamości (np. paszport, dowód, prawo jazdy), adres zamieszkania, certyfikat szczepienia przeciw COVID, zdjęcie twarzy, oraz inne dane konieczne w ramach pozyskania wizy pracowniczej do delegowanego kraju,
  • w przypadku pracowników lub współpracowników działów automatyki, w tym w szczególności pracowników warsztatów – także numer i seria dokumentu przekazanego w ramach potwierdzenia tym dokumentem posiadanych kwalifikacji (uprawnienia, certyfikaty, kursy, zaświadczenia, itp.).
  • dane identyfikacyjne (np. imię, nazwisko, numer PESEL, adresy zamieszkania, data urodzenia, informacja o prowadzonej działalności gospodarczej),
  • dane kontaktowe (np. numery telefonów, adresy e-mail)
  • dane związane z rozliczeniami (np. informacja o wynagrodzeniu),
  • inne informacje/dokumenty, które mogły być przekazane AIUT w ramach realizacji poszczególnych etapów współpracy związanych np. ze wsparciem z organizacją podróży zagranicznych pracowników podwykonawców, m.in.: dane niezbędne do organizacji zagranicznego wyjazdu służbowego np. seria i numer i/lub skan dokumentu tożsamości, skan prawa jazdy, skan wizy, zdjęcie twarzy, nazwisko rodowe.

Możliwe konsekwencje naruszenia ochrony danych osobowych:

W wyniku zaistniałej sytuacji, w zależności od katalogu danych, do których dostęp uzyskali cyberprzestępcy, mogą Państwo zetknąć się z próbami:

  • założenia na Państwa dane osobowe konta internetowego (np. poczty elektronicznej);
  • podszycia się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej);
  • wykorzystania Państwa danych do uwierzytelnienia (weryfikacji tożsamości) i zaciągnięcia zobowiązań w Państwa imieniu, np. w sklepach internetowych;
  • zarejestrowania z wykorzystaniem Państwa danych karty telefonicznej typu pre–paid, która może posłużyć do celów przestępczych;
  • próbą uzyskania na Państwa szkodę pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
  • próbą uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Państwa stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL;
  • wykorzystania Państwa danych osobowych, np. do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego, a tym samym Państwa dane osobowe mogą zostać wykorzystane przez osoby trzecie do skorzystania z Państwa praw obywatelskich;
  • wykorzystania Państwa danych osobowych do próby wyłudzenia ubezpieczenia, świadczeń z ubezpieczenia lub świadczeń zdrowotnych;
  • wykorzystania Państwa danych osobowych do próby zawarcia na Państwa szkodę umów cywilno-prawnych, np. najmu nieruchomości;
  • wykorzystania Państwa danych osobowych do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
  • wysyłki niezamówionych materiałów marketingowych (tzw. spam) na Państwa adres e-mail;
  • phishingu (wyłudzania informacji poprzez fałszywe wiadomości e-mail), smishingu (wyłudzania informacji za pomocą SMS-ów), a także vishingu (wyłudzania informacji przez telefon).

Do tej pory Administrator nie odnotował żadnych informacji o negatywnych skutkach związanych z tym incydentem. Niemniej jednak, Spółka zaleca podjęcie kilku środków ostrożności, aby maksymalnie zabezpieczyć swoje dane.

 

Środki zastosowane przez Administratora w celu zminimalizowania ewentualnych negatywnych skutków naruszenia

W związku z opisanym wyżej incydentem, Administrator podjął szereg działań mających na celu ograniczenie jego skutków oraz wzmocnienie ochrony swojej infrastruktury m.in.:

  • zgłoszenie naruszenia do odpowiednich instytucji, w tym Prezesa Urzędu Ochrony Danych Osobowych, Centralnego Biura Zwalczania Cyberprzestępczości oraz CERT, monitorowanie aktywności względem danych objętych naruszeniem, w celu zgłoszenia incydentów do odpowiednich zespołów CSIRT w razie potrzeby,
  • zastosowanie rozwiązań zalecanych w komunikacie Pełnomocnika Rządu ds. Cyberbezpieczeństwa z 18 października 2024 r. w odniesieniu do danych objętych naruszeniem, tj. dokonanie przeglądu infrastruktury IT/IoT, przeanalizowanie danych przetwarzanych przez AIUT, aby zidentyfikować możliwe cyberataki na obecnych i byłych podwykonawców,
  • poinformowanie Państwa o naruszeniu oraz zalecenie wzmożonej czujności wobec prób wyłudzania informacji, które mogą wykorzystywać nazwę AIUT.

 

Zalecane działania w celu zminimalizowania ewentualnych negatywnych skutków naruszenia:

Aby zminimalizować ewentualne negatywne skutki naruszenia zalecamy podjęcie następujących działań, które uchronią Państwa przed potencjalnym zagrożeniem nielegalnego wykorzystania danych:

  • zastrzeżenie numeru PESEL w aplikacji mObywatel, przez portal gov.pl lub w urzędzie gminy,
  • w przypadku, gdy naruszeniem zostały objęte informacje dotyczące Państwa dokumentów tożsamości – wymiana odpowiedniego dokumentu,
  • założenie konta w systemie informacji kredytowej celem monitorowania próby wyłudzenia kredytu przy użyciu Państwa danych, np. usługa Alerty BIK – ochrona przed wyłudzeniem kredytu,
  • poinformowanie właściwych organów (np. policji) w sytuacji, w której dowiedzą się Państwo o szkodzie majątkowej, związanej z kradzieżą tożsamości, np. gdy ktoś zawarł umowę kredytu, kupił kartę pre-paid lub zawarł umowę na świadczenie usług w Państwa imieniu,
  • dokładne weryfikowanie osób, które będą kontaktować się z Państwem,
  • zachowanie szczególnej ostrożności, gdy jakakolwiek firma, instytucja lub inny podmiot kontaktujący się z Państwem będzie dysponował Państwa danymi, które pozwalają na identyfikację i będzie próbował uzyskać od Państwa dodatkowe dane,
  • unikanie podawania informacji na swój temat podczas rozmów telefonicznych z nieznanymi osobami,
  • monitorowanie kont online pod kątem nieautoryzowanych działań,
  • zachowanie szczególnej ostrożności i nieklikanie w podejrzane linki ani niepodawanie swoich danych w odpowiedzi na nieznane wiadomości email/sms.

 

Kontakt w celu uzyskania dalszych informacji

W razie pytań związanych z naruszeniem i ochroną Państwa danych osobowych zachęcamy do kontaktu z Pełnomocnikiem ds. ochrony danych osobowych Martyną Urbańską, poprzez

  1. e-mail: odo@aiut.com.pl.
  2. pisemne na adres: ul. Leona Wyczółkowskiego 113, 44-109 Gliwice (z dopiskiem „Pełnomocnik ds. ochrony danych osobowych”).

Jednocześnie serdecznie przepraszamy za ewentualne niedogodności, których mogli Państwo doświadczyć w związku z zaistniałą sytuacją. Niniejszy komunikat został przygotowany zgodnie z wymogami art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Data komunikatu: 12.12.2024