EPEC padł ofiarą cyberataku. Od 20 czerwca trwają prace nad przywróceniem pełnej sprawności sieci informatycznej spółki. Przedstawiciele przedsiębiorstwa twierdzą, że nie doszło do wycieku danych osobowych klientów, chociaż mają oni utrudniony dostęp np. do sald rozliczeń.
O problemach z systemem informatycznym EPEC i cyberataku spółka poinformowała na swojej stronie internetowej 20 czerwca.
- 18 czerwca pracownicy Elbląskiego Przedsiębiorstwa Energetyki zauważyli anomalie w pracy systemów informatycznych EPEC, a następnie stwierdzili, że zostały zainfekowane złośliwym oprogramowaniem. W efekcie część danych została zaszyfrowana, co uniemożliwiło pracownikom realizowanie działań w sieci informatycznej EPEC. Kluczowe systemy w firmie – obsługujące system ciepłowniczy oraz przyjmowanie zgłoszeń do Pogotowia Ciepłowniczego pracują bez zakłóceń – informuje w odpowiedzi na nasze pytania Małgorzata Pryśko-Grobelna, odpowiedzialna w EPEC za kontakty z mediami. - Klienci mogą mieć jednak kłopot z uzyskaniem od EPEC informacji bieżących, na przykład na temat salda rozliczeń czy statusu wniosku o przyłączenie. Informacje te znajdują się w systemie, który uległ awarii. Trwa przywracanie działania centrali telefonicznej dedykowanej klientom, dlatego EPEC uruchomił nowy numer dla klientów: 502 489 964.
Do naszej redakcji dotarło pismo od jednego z Czytelników, który twierdzi, że EPEC nie powiadomił o awarii Generalnego Inspektora Ochrony Danych Osobowych. Wysłał do GIODO doniesienie w tej sprawie, zarzucając w nim władzom EPEC bezczynność w tej sprawie.
„W ocenie służb informacyjnych EPEC spółka w chwili obecnej została sparaliżowana, nie działają oprogramowania (system bilingowy, oprogramowanie z danymi odbiorców indywidualnych oraz system księgowy EGERIA, a także oprogramowanie SCADA, zarządzające infrastrukturą techniczną spółki. Służby te poprosiły Zarząd o jak najszybsze zgłoszenie naruszenia danych osobowych, jednakże Zarząd Spółki w obawie przed konsekwencjami ze strony nadzoru oraz mediów cały czas wskazuje, że jako administrator danych musi stwierdzić naruszenie w momencie, w którym „uzyskuje on wystarczający stopień pewności, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych”. - pisze Czytelnik w piśmie do GIODO, domagając się kontroli. I dodaje: - Postępowanie takie powinno rozpocząć się jak najszybciej, nie zrobiono praktycznie nic. W ocenie służb informatycznych należy zgłosić przedmiotowy incydent RODO zarówno do Urzędu Ochrony Danych Osobowych jak i użytkowników – czytamy w piśmie.
Małgorzata Pryśko-Grobelna w odpowiedzi na nasze pytania zapewnia, że „pracownicy Działu IT EPEC niezwłocznie po wykryciu zakażenia przystąpili do prac nad przywróceniem pracy systemu. W dniach 18-19 czerwca przeprowadzono testy i stwierdzono, że sytuacja nie powtórzyła się. Od 20 czerwca trwają prace nad przywróceniem pełnej sprawności sieci informatycznej EPEC. Podczas analizy stwierdzono, że przyczyną zdarzenia był cyberatak. Administrator nie otrzymał żadnych informacji, że osoba trzecia jest w posiadaniu danych przetwarzanych przez EPEC. Nie doszło do wycieku danych osobowych” - zapewnia Małgorzata Pryśko-Grobelna. I dodaje: zgodnie z zasadami oceny ryzyka opracowanymi przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, nie było potrzeby zawiadamiania Prezesa Urzędu Ochrony Danych Osobowych. EPEC 20 czerwca o zdarzeniu zawiadomił ABW (Agencję Bezpieczeństwa Wewnętrznego - red.) oraz CSIRT NASK (państwowa agenda zajmująca się cyberbezpieczeństwem – red.)