04-01-2024 10:35
Ανακοίνωση της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Δεύτερη Απόφαση για τις κυβερνοεπιθέσεις στο δίκτυο του Τμήματος Κτηματολογίου και Χωρομετρίας
Στις 13 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Τμήματος Κτηματολογίου και Χωρομετρίας (στο εξής το «Τμήμα») στην οποία αναφέρεται ότι στις 8 Μαρτίου 2023 το Τμήμα δέχτηκε κυβερνοεπίθεση, η οποία επηρέασε τη διαδικτυακή πύλη του Τμήματος (DLS Portal).
Μετά από πλήρη διερεύνηση του περιστατικού διαπιστώθηκε ότι από την επίθεση δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, επηρεάστηκε όμως η διαθεσιμότητα των δεδομένων, λόγω του ότι τα συστήματα τέθηκαν εκτός λειτουργίας για διερεύνηση του περιστατικού και σταδιακή επαναφορά τους. Παρά το ότι δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, σημειώνω τα ακόλουθα:
α) Ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει, μεταξύ άλλων, τη διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση. Η έστω και προσωρινή μη διαθεσιμότητα των δεδομένων μπορεί να είχε επιπτώσεις στα υποκείμενα των δεδομένων από τη μη ύπαρξη της δυνατότητας εξυπηρέτησής τους.
β) Εφόσον ο εισβολέας είχε αποκτήσει πρόσβαση σε εξυπηρετητές του Τμήματος, υπήρχε η πιθανότητα να επιτύγχανε πρόσβαση και σε άλλα συστήματα/ υποδίκτυα, τα οποία περιλαμβάνουν προσωπικά δεδομένα.
Μετά από έλεγχο των τεχνικών και οργανωτικών μέτρων που λαμβάνονταν πριν το περιστατικό, των αποτελεσμάτων της διερεύνησης, των ενεργειών που έγιναν μετά το περιστατικό και των ενεργειών που προγραμματίζονται να γίνουν για περαιτέρω θωράκιση των συστημάτων, διαπιστώθηκε παράβαση του Κανονισμού από τη μη εφαρμογή των κατάλληλων μέτρων ασφαλείας.
Στις 21 Δεκεμβρίου 2023 εξέδωσα Απόφαση με την οποία απηύθυνα στο Τμήμα Επίπληξη. Έδωσα επίσης Εντολή στο Τμήμα, όπως εντός δύο μηνών με ενημερώσει σχετικά με:
α) Την πρόοδο της υλοποίησης των επιπρόσθετων μέτρων που θα λάβει και της εξασφάλισης του επιπρόσθετου εξοπλισμού.
β) Τα αποτελέσματα του νέου ελέγχου διεισδυτικότητας και το στάδιο επίλυσης των ευρημάτων.
γ) Τα χρονοδιαγράμματα κατά τα οποία θα υλοποιηθούν οι ενέργειες για ενίσχυση της ασφάλειας των συστημάτων του.
Για την έκδοση της Απόφασης λήφθηκαν υπόψιν όλα τα περιστατικά που αφορούν στην παρούσα υπόθεση και κυρίως ότι:
α) Δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα.
β) Το διάστημα κατά το οποίο επηρεάστηκε η διαθεσιμότητα των δεδομένων ήταν περιορισμένο (η πλήρης επαναφορά όλων των συστημάτων έγινε μετά από ένα μήνα, αλλά αρκετές υπηρεσίες παρέχονταν στους πολίτες με φυσική παρουσία μετά από μια περίπου εβδομάδα).
γ) Δεν φαίνεται να προκλήθηκε ουσιαστική ζημιά στα υποκείμενα.
(ΜΣ)
Σχετικά Ανακοινωθέντα