Πρόστιμο 45.000 ευρώ στο Ανοικτό Πανεπιστήμιο Κύπρου για διαρροή δεδομένων μετά από κυβερνοεπίθεση

Πρόστιμο 45.000 ευρώ στο Ανοικτό Πανεπιστήμιο Κύπρου επέβαλε το Γραφείο Επιτρόπου Προστασίας Δεδομένων για περιστατικό διαρροής δεδομένων μετά από κυβερνοεπίθεση.

Η σχετική ανακοίνωση της Επιτρόπου αναφέρει τα εξής:

«Στις 30 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Ανοικτού Πανεπιστημίου Κύπρου (στο εξής το «Πανεπιστήμιο»). Oμάδα «χάκερς» (στο εξής «εισβολέας») δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι ήταν αυτή υπεύθυνη για την επίθεση και δόθηκε χρονικό περιθώριο στο Πανεπιστήμιο για την καταβολή λύτρων για την επιστροφή / μη δημοσιοποίηση των αρχείων που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα που είχαν κλαπεί, δημοσιευθήκαν από τον εισβολέα και έγιναν διαθέσιμα στο dark web.

Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούν σε φοιτητές, απόφοιτούς και αλλά υποκείμενα (συμβαλλόμενοι Πανεπιστημίου) τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζόμενους.

Για το περιστατικό έχουν υποβληθεί στο Γραφείο μου 11 παράπονα από υποκείμενα των δεδομένων που καταγγέλλουν ότι τα προσωπικά τους δεδομένα έχουν διαρρεύσει λόγω του υπό εξέταση περιστατικού, τα οποία λήφθηκαν υπόψη κατά την εξέταση του περιστατικού.

Το Πανεπιστήμιο μου απέστειλε επίσης κατάλογο ενεργειών στις οποίες θα προβεί για ενίσχυση της ασφάλειας των συστημάτων του. Οι ενέργειες αυτές θα υλοποιηθούν σταδιακά με βάση πρόγραμμα που έχει καταρτιστεί, ξεκινώντας από τώρα, με χρονικό σημείο ολοκλήρωσης το 2026, ανάλογα με την κρισιμότητα, το κόστος και τα προαπαιτούμενα για την υλοποίηση τους.

Μετά από νομική και τεχνική εξέταση όλων των πιο πάνω, διαπιστώθηκε παράβαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679 από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας και παραβίαση της αρχής της «λογοδοσίας».

Αφού λήφθηκαν υπόψιν, όλα τα γεγονότα της υπόθεσης, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από το Πανεπιστήμιο πριν από την επίθεση και οι μετριαστικοί παράγοντες που αναφέρθηκαν από το Πανεπιστήμιο, καθώς επίσης και ότι το Πανεπιστήμιο αποτελεί μέρος του ευρύτερου δημόσιου τομέα, επιβλήθηκε στο Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους σαράντα-πέντε χιλιάδων (€45.000) ευρώ.

Δόθηκε επίσης Εντολή στο Πανεπιστήμιο, εντός έξι μηνών:

(α) να ορίσει υπεύθυνο ασφαλείας συστημάτων έστω και προσωρινό / αναπληρωτή, ο οποίος να επιβλέπει την εφαρμογή των μέτρων που το Πανεπιστήμιο προτίθεται να λάβει,

(β) να με ενημερώσει σχετικά με την πρόοδο της υλοποίησης των μέτρων των οποίων το ίδιο με ενημέρωσε ότι προτίθεται να λάβει». (πηγη dataprotection.gov.cy/ photo freepik.com)

Σχόλια

Top Legal Stories

Μεταναστευτικό Δίκαιο: Νέοι κανόνες για την άδεια εργασίας/διαμονής

Σημαντική απόφαση του ΕΔΑΔ για την κλιματική αλλαγή: Μη λήψη επαρκών και αποτελεσματικών μέτρων από το κράτος

Πρόστιμο σε ιατρό για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων

Η παραβίαση της υποχρέωσης εκτίμησης της πιστοληπτικής ικανότητας του δανειολήπτη ως λόγος ακύρωσης της δανειακής σύμβασης

Κλειστό Κύκλωμα Βιντεοπαρακολούθησης σε σχολεία: Ανακοίνωση της Επιτρόπου Προστασίας Δεδομένων