VEC: Informovanie o porušení ochrany osobných údajov dotknutých osôb

V zmysle NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“) prevádzkovateľ Univerzita Mateja Bela v Banskej Bystrici, Národná 12, 974 01 Banská Bystrica, IČO: 30 232 295, telefón: +421484461111*, e-mail: sekretariat@umb.sk (ďalej len „Prevádzkovateľ“ alebo „UMB“ alebo „univerzita“) ako prevádzkovateľ spracúvajúci Vaše osobné  údaje v rámci plnenia úloh, povinností a napĺňania poslania verejnej vysokej školy v zmysle zákona č. 131/2002 Z. z. o vysokých školách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, verejnoprávnej a samosprávnej inštitúcie, ktorá sa zriaďuje a zrušuje zákonom, Vás týmto informuje o porušení ochrany osobných údajov dotknutých osôb podľa Čl. 34 ods. 3 písm. c) GDPR, a to v súvislosti s kybernetickým útokom na IT infraštruktúru UMB uskutočneným prostredníctvom „Medusa ransomware“ dňa 20.6.2023 (ďalej len „kybernetický útok“).

Kybernetickým útokom došlo k neoprávnenému prístupu a následnému odcudzeniu dát rôznej povahy o celkovom počte približne 420 000 súborov obsahujúcich aj osobné údaje fyzických osôb, čím došlo k narušeniu dôvernosti osobných údajov (t. j. k osobným údajom má prístup strana, ktorá nemá legitímne oprávnenie pre prístup k týmto údajom) s tým, že súčasne tu existuje aj prípadné riziko narušenia integrity osobných údajov (t. j. neoprávnená zmena, resp. úprava osobných údajov), a to v spojení s tou skutočnosťou, že bezprostredne po kybernetickom útoku došlo v prostredí darknetu k zverejneniu sedemdňového ultimáta pre UMB s požiadavkou zaplatenia výkupného vo výške 500 000 amerických dolárov za nezverejnenie nelegálne získaných dát, pričom uvedenú sumu mohol okrem UMB zaplatiť ktokoľvek, kto má o ukradnuté dáta záujem. Medzi dotknuté osoby zasiahnuté týmto bezpečnostným incidentom patria predovšetkým zamestnanci UMB, študenti UMB, bývalí zamestnanci a študenti UMB, uchádzači o zamestnanie a štúdium na UMB, klienti UMB, ako aj príbuzní týchto osôb.

Osobnými údajmi dotknutých osôb kompromitovanými kybernetickým útokom sú: meno a priezvisko, titul, rodné číslo, dátum narodenia, miesto narodenia, rodinný stav, osobné číslo, adresa, e-mail, telefón, fotografie, videozáznamy, údaje obsiahnuté vo fotokópiách a skenoch dokladov ako preukaz poistenca, cestovný pas, občiansky preukaz, osvedčenie o evidencii II, technický preukaz osvedčenie o evidencii I a pod., údaje týkajúce sa mzdy a zrážok zo mzdy zamestnancov, finančných príspevkov a stravovania zamestnancov, údaje týkajúce sa ubytovania, štúdia a sociálnej podpory študentov UMB, ID osoby, skratka zdravotného znevýhodnenia študentov UMB, IBAN bežného účtu, prípadne iné údaje.

Je však dôležité uviesť, že intenzita porušenia ochrany osobných údajov nie je vo všetkých prípadoch rovnaká, nakoľko u jednotlivých dotknutých osôb sa rozsah (tzn. počet a charakter) osobných údajov kompromitovaných bezpečnostným incidentom líši.

V reakcii na bezpečnostný incident prevádzkovateľ prijal bezprostredné opatrenia s cieľom zmiernenia nepriaznivých dôsledkov porušenia ochrany osobných údajov dotknutých osôb, ako aj opatrenia, ktorých účelom je predchádzanie obdobným bezpečnostným incidentom v budúcnosti. Konkrétne prevádzkovateľ pristúpil k realizácii nasledovných krokov:

 

• Dňa 20.6.2023 došlo k okamžitému vypnutiu siete a serverov univerzity ich správcami a osobných počítačov zo strany zamestnancov univerzity, aby sa predišlo pokračovaniu kybernetického útoku a nedošlo tak k ďalšiemu úniku alebo poškodeniu údajov. Následne boli zamestnanci univerzity informovaní o vzniknutej situácii spolu s pokynmi o ďalšom postupe. 
• V období od 20.6.2023 do 23.6.2023 prevádzkovateľ upovedomil o vzniknutej situácii všetky organizácie, s ktorými má univerzita technické prepojenia, aby tieto mohli prijať adekvátne opatrenia v spojitosti s kybernetickým útokom na IT infraštruktúru univerzity. 
• Nahlásenie závažného kybernetického bezpečnostného incidentu Národnému bezpečnostnému úradu dňa 21.6.2022, nahlásenie bezpečnostného incidentu orgánu dohľadu Úradu na ochranu osobných údajov Slovenskej republiky podľa Čl. 33 GDPR a § 40 zákona o ochrane osobných údajov dňa 22.6.2023 a podanie trestného oznámenia na neznámeho páchateľa Okresnému riaditeľstvu Policajného zboru v Banskej Bystrici dňa 26.6.2023. 

 

Doplnenie bezpečnostných opatrení zo strany prevádzkovateľa v spojitosti s bezpečnostným incidentom:

 

• Dňa 26.6.2023 bol spustený akademicky informačný systém v infraštruktúre dodávateľa, aby naň útočník nemal dosah, pričom prístup do neho je v počiatočnej fáze povolený len pre administratívnych pracovníkov univerzity z neverejnej siete. 
• Zavedenie povinnosti používania dvojfaktorovej autentifikácie do cloudových služieb univerzity. 
• Reinštalácia všetkých osobných počítačov (PC) s cieľom likvidácie potenciálne kompromitovaných systémov s cieľom zamedziť útočníkom opätovne sa dostať do siete. Údaje z pôvodných PC budú zamestnancom vrátené až po dôkladnej kontrole antivírovým softvérom. 
• Oboznámenie sa so zoznamom odcudzených súborov, ktoré plánujú hackeri zverejniť po uplynutí ultimáta, ich rozdelenie do niekoľkých skupín podľa kritéria citlivosti a miery potenciálu ich zneužitia.
• Vyzvanie zamestnancov, u ktorých sa identifikovalo odcudzenie digitalizovaných dokladov, aby v čo najkratšom čase vykonali úkony smerujúce k zneplatneniu dokladov.  
• Vyzvanie zamestnancov a študentov univerzity, aby si zmenili heslá a nastavili podobnú politiku prihlasovania  nimi používaných informačných systémov, webov, sociálnych sietí a pod.  

 

Za účelom predchádzania obdobným bezpečnostným incidentom prevádzkovateľ prijal a bude priebežne realizovať nasledovné opatrenia:

• Aktualizácia politiky pre prácu s dokumentmi v pracovných staniciach, ktorá bude zohľadňovať aktuálne hrozby v kybernetickom priestore.  
• Nákup novej hardvérovej infraštruktúry a softvéru pre zvýšenie kybernetickej odolnosti, ako aj nového zálohovacieho systému.  
• Vykonávanie pravidelných školení zamestnancov univerzity v oblasti kybernetickej bezpečnosti a proaktívne vyhľadávanie rizikového správania sa zamestnancov univerzity v digitálnom priestore (penetračné testy, phishingové testy a pod.). 
• Zvýšenie zabezpečenia siete inštaláciou firewallov pre jednotlivé segmenty. 

 

V prípade, ak sa dotknutá osoba dozvie o skutočnostiach nasvedčujúcich tomu, že jej osobné údaje, ktorými disponovala UMB ako prevádzkovateľ v čase pred bezpečnostným incidentom, boli použité v rozpore s jej záujmami, je možné obrátiť sa na prevádzkovateľa na nasledovných kontaktných údajoch zodpovednej osoby, resp. osoby, u ktorej možno získať viac informácií:

Rektorát UMB, Národná 12, 974 01 Banská Bystrica

e-mail: zodpovedna.osoba.rek@umb.sk

 

                                                                          doc. Ing. Vladimír Hiadlovský, PhD.

                                                                 rektor Univerzity Mateja Bela v Banskej Bystrici