Sabotaż w polskiej firmie. Kierownik wykradł bazę danych klientów

„Jeden z naszych pracowników szczebla kierowniczego, mający dość specyficzne rozumienie pojęcia »przedsiębiorczość« (o innych tradycyjnych wartościach – jak lojalność – nie wspominając) postanowił skrócić sobie drogę do własnego biznesu i skopiował nasza bazę klientów” – stwierdzono w komunikacie na stronie IKZ Szkolenia.

Kradzież bazy danych

Zgodnie z zawiadomieniem, dane miały być wykorzystane w ramach „konkurencyjnej działalności”. Eksfiltracja miała być możliwa dzięki nadanym uprawnieniom, opisanym jako „niezbędne do świadczenia pracy”.

Przełożony pracownika dowiedział się o incydencie od służb informatycznych, które stwierdziły kradzież na podstawie logów systemowych.

W komunikacie podkreślono również to, że pracodawca otrzymał informacje o telefonach od zewnętrznej organizacji, skierowanych do dotychczasowych klientów firmy, oferując przedłużenie ważności uprawnień zawodowych (czym zajmuje się IKZ Szkolenia).

„Telefony miały wyraźnie sprofilowany charakter – występowały na krótko przed utratą ważności tych uprawnień” – czytamy w dokumencie.

Chcemy podkreślić, że naruszenie to nie stanowi typowego wycieku danych. Dane znalazły się w rękach profesjonalisty, który zna ich wartość i można przypuszczać, że nie będzie skory do ich ujawnienia osobom trzecim lub lekkomyślnego udostępniania w Internecie. Mowa raczej o nieuprawnionym dostępie do danych przez osobę, która nie powinna tego dostępu posiadać. Zgodnie z przepisami RODO, taki stan należy uznać za naruszenie ochrony danych osobowych z wszelkimi tego konsekwencjami.
IKZ Szkolenia

Dalsze działania

Firma poinformowała o zawiadomieniu odpowiednich organów o zdarzeniu, stwierdzając, że mogło dojść do popełnienia przestępstwa (m.in. w oparciu o art. 23 Ustawy o zwalczaniu nieuczciwej konkurencji).

Zakres danych, który uległ naruszeniu ochrony, obejmuje następujące rodzaje informacji:

• imię i nazwisko;
• PESEL;
• numer dowodu osobistego;
• miejsce i rodzaj pracy;
• dane kontaktowe;
• datę ważności uprawnień.

W ramach środków zaradczych firma wdrożyła ręczną akceptację eksportu danych z bazy (dokonywaną przez wyższe kierownictwo) oraz zweryfikowała uprawnienia pracowników.

„Mechanizmy bezpieczeństwa zadziałały i poinformowały nas o tym, jednak nie były w stanie temu zapobiec. Zaufanie jest ostatnią linią obrony, a ono właśnie zawiodło” – kwituje mocno IKZ Szkolenia.

Środki zaradcze

W ramach przeciwdziałania potencjalnym skutkom incydentu firma zaleca m.in.:

• zastrzeżenie numeru PESEL (co warto zrobić również, gdy nasze dane nie wyciekły);
• włączenie dwuetapowego logowania;
• uruchomienie „trybu informacyjnego" w systemie bankowym dot. zawieranych zobowiązań.

Dodatkowo warto podjąć poniższe kroki:

• stosowanie silnych i unikalnych haseł;
• skontaktowanie się z inspektorem ochrony danych organizacji;
• zgłaszanie wszelkich podejrzanych aktywności do odpowiednich organów (np. Policji);
• wykupienie usług związanych z ochroną tożsamości (np. oferowanych przez BIK czy ChrońPESEL);
• zachowanie wzmożonej ostrożności wobec potencjalnych prób kontaktu – nawet w sytuacji, gdzie ktoś podaje nasze dane osobowe.

IKZ Szkolenia podkreśla, aby nie ignorować wiadomości dotyczących rzekomych zobowiązań finansowych. Jest to słuszna rekomendacja, lecz wymaga dodania, że możemy spotkać się z próbami wyłudzenia danych osobowych przez osoby podszywające się pod zaufane podmioty – każda taka sytuacja wymaga samodzielnej weryfikacji w niezależnym źródle (innym niż w ramach prowadzonej korespondencji).

Co to dla nas oznacza?

Incydent doskonale pokazuje, że zagrożenia dotyczą nie tylko osób spoza organizacji, lecz również mogą pochodzić od pracowników. Zjawisko jest określane angielskim terminem insider threat (pol. zagrożenie wewnętrzne).

Zdarzenie doskonale opisuje rolę rozliczalności i kontroli dostępu. Gdyby nie logi systemowe, niepodważalne ustalenie osoby odpowiedzialnej za kradzież danych byłoby bardzo trudne. Sytuacja podkreśla również znaczenie odpowiedniego zarządzania uprawnieniami.

W komunikacie nie podano daty naruszenia. Bazując na Wayback Machine (od Internet Archive) oraz daty zaindeksowania podanej przez Google można stwierdzić, że komunikat opublikowano między 18 listopada 2025 roku a 2 stycznia br., przy czym bardziej prawdopodobny wydaje się zakres bliższy drugiej dacie.