Informacja o incydencie bezpieczeństwa i potencjalnym naruszeniu ochrony danych osobowych

Dolnośląskie Centrum Hurtu Rolno-Spożywczego S.A. we Wrocławiu, działając w poczuciu pełnej odpowiedzialności za bezpieczeństwo powierzonych nam danych, informuje, że w dniu 12 kwietnia 2025 roku Spółka stała się celem zaawansowanego ataku cybernetycznego, ukierunkowanego na destabilizację naszej infrastruktury IT oraz kradzież danych.

W wyniku natychmiastowej współpracy z Centralnym Biurem Zwalczania Cyberprzestępczości (CBZC) oraz ustaleń naszego zespołu bezpieczeństwa, zidentyfikowaliśmy, że atak został przeprowadzony z wykorzystaniem zaawansowanej metody, tzw. podatności typu zero-day, wymierzonej w oprogramowanie jednego z naszych urządzeń sieciowych.

Mimo podjęcia natychmiastowych i szeroko zakrojonych działań zaradczych, nie możemy wykluczyć, że w wyniku tego ataku doszło do nieuprawnionego ujawnienia określonych kategorii danych osobowych naszych kontrahentów, klientów, akcjonariuszy oraz pracowników.

Niniejszy komunikat stanowi publiczne zawiadomienie zgodnie z art. 34 ust. 3 lit. c RODO i w szczególności skierowany jest do osób, z którymi bezpośredni kontakt może być utrudniony lub jest niemożliwy.

1. Jakie kategorie danych mogły zostać ujawnione?

Analiza wykazała, że naruszenie mogło dotyczyć danych przetwarzanych w ramach naszej działalności biznesowej. Zakres danych jest różny w zależności od charakteru współpracy i może obejmować:

• Dane identyfikacyjne i kontaktowe: imiona i nazwiska, adresy (w szczególności korespondencyjne), numery telefonów, adresy e-mail, uprawnienia i licencje zawodowe, podpis;
• Dane identyfikacyjne i rejestrowe firm (osób prowadzących działalność gospodarczą): w szczególności NIP, REGON;
• Dane finansowe: informacje dotyczące zobowiązań i należności, płatności i statusu rozliczeń;
• Dane dot. zatrudnienia (miejsce, stanowisko/ewent. funkcja, służbowe dane kontaktowe) i dane dotyczące akcjonariuszy.

W zidentyfikowanych przypadkach mogło dojść do ujawnienia danych takich jak:

• numer PESEL (u poniżej 1% osób),
• numer i seria dowodu osobistego (u poniżej 0,5% osób).

2. Jakie jest potencjalne ryzyko dla osób, których dane dotyczą?

Nieuprawnione pozyskanie powyższych danych może zostać wykorzystane przez osoby trzecie do podjęcia działań niezgodnych z prawem.
W szczególności zalecamy zachowanie ostrożności wobec potencjalnych zagrożeń, takich jak:

• Próby wyłudzenia danych (phishing): Otrzymywanie fałszywych wiadomości
  e-mail, SMS lub telefonów;
• Kradzież lub próba kradzieży tożsamości: Wykorzystanie danych (zwłaszcza numeru PESEL) do zaciągania zobowiązań finansowych lub zawierania umów w Państwa imieniu;
• Niechciana korespondencja marketingowa.

3. Co rekomendujemy? Działania prewencyjne.

W celu zminimalizowania potencjalnych negatywnych skutków incydentu, rekomendujemy podjęcie następujących kroków:

• Zachowanie szczególnej ostrożności przy odbieraniu korespondencji i połączeń od nieznanych nadawców;
• Aktywacja alertów BIK (Biuro Informacji Kredytowej);
• Rozważenie zastrzeżenia numeru PESEL za pośrednictwem aplikacji mObywatel lub
  w urzędzie gminy. 

4. Jakie działania podjęła Spółka?

Od momentu wykrycia incydentu podjęliśmy szereg natychmiastowych i kompleksowych działań w celu zabezpieczenia danych i wyjaśnienia sprawy. Zgłosiliśmy sprawę do Centralnego Biura Zwalczania Cyberprzestępczości, na Policję oraz do Prezesa Urzędu Ochrony Danych Osobowych. Przeprowadziliśmy również, przy wsparciu zewnętrznych ekspertów, gruntowną przebudowę i modernizację całej infrastruktury IT.

5. Zasady uzyskiwania dodatkowych informacji

Uprzejmie informujemy, że w celu zapewnienia rzetelności i bezpieczeństwa komunikacji, wszelkich dodatkowych informacji w tej sprawie udzielamy wyłącznie w formie pisemnej lub e-mailowej.

Zapytania prosimy kierować na jeden z poniższych adresów:

• Pocztą elektroniczną na adres: dchrs@dchrs.com.pl
• Pocztą tradycyjną na adres: Dolnośląskie Centrum Hurtu Rolno-Spożywczego S.A., ul. Giełdowa 4, 52-438 Wrocław, z dopiskiem „Incydent bezpieczeństwa”.

W treści zapytania, w celu jednoznacznej weryfikacji Państwa tożsamości, prosimy o podanie następujących danych:

• Imię i nazwisko;
• Adres korespondencyjny lub adres e-mail, który był wykorzystywany w kontaktach ze Spółką;
• W przypadku osób prowadzących działalność gospodarczą – numer NIP.

Podanie powyższych danych jest niezbędne do odnalezienia Państwa w naszych systemach i udzielenia precyzyjnej informacji zwrotnej. Dane te zostaną wykorzystane wyłącznie w celu obsługi Państwa zapytania związanego z niniejszym incydentem.

Jest nam niezmiernie przykro z powodu zaistniałej sytuacji, gdyż bezpieczeństwo danych naszych partnerów jest dla nas absolutnym priorytetem.

Zapewniamy, że dołożyliśmy wszelkich starań, aby wyjaśnić okoliczności tego zdarzenia i wdrożyć najdalej idące środki naprawcze i zaradcze, minimalizujące ryzyko skutków podobnych cyberataków w przyszłości.

Zarząd
Dolnośląskiego Centrum Hurtu Rolno-Spożywczego S.A.