Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Αρχική Σελίδα Επικοινωνία English
 

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Αρχική Σελίδα / Γραφείο Επιτρόπου / Νέα / 2η Απόφαση για κυβερνοεπιθέσεις στο δίκτυο του Τμήματος Κτηματολογίου και Χωρομετρίας

2η Απόφαση για κυβερνοεπιθέσεις στο δίκτυο του Τμήματος Κτηματολογίου και Χωρομετρίας

Ανακοίνωση
Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα


2η Απόφαση για κυβερνοεπιθέσεις
στο δίκτυο του Τμήματος Κτηματολογίου και Χωρομετρίας

Στις 13 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Τμήματος Κτηματολογίου και Χωρομετρίας (στο εξής το «Τμήμα») στην οποία αναφέρεται ότι στις 8/3/2023 το Τμήμα δέχτηκε κυβερνοεπίθεση, η οποία επηρέασε τη διαδικτυακή πύλη του Τμήματος (DLS Portal).

Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι από την επίθεση δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, επηρεάστηκε όμως η διαθεσιμότητα των δεδομένων λόγω του ότι τα συστήματα τέθηκαν εκτός λειτουργίας για διερεύνηση του περιστατικού και σταδιακή επαναφορά τους. Παρά το ότι δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, σημειώνω τα ακόλουθα:
α) ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει μεταξύ άλλων την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση. Η έστω και προσωρινή μη διαθεσιμότητα των δεδομένων μπορεί να είχε επιπτώσεις στα υποκείμενα των δεδομένων από τη μη ύπαρξη της δυνατότητας εξυπηρέτησης τους.
β) εφόσον ο εισβολέας είχε αποκτήσει πρόσβαση σε εξυπηρετητές του Τμήματος, υπήρχε η πιθανότητα να επιτύγχανε πρόσβαση και σε άλλα συστήματα / υποδίκτυα, τα οποία περιλαμβάνουν προσωπικά δεδομένα.

Μετά από έλεγχο των τεχνικών και οργανωτικών μέτρων που λαμβάνονταν πριν το περιστατικό, των αποτελεσμάτων της διερεύνησης, των ενεργειών που έγιναν μετά το περιστατικό, και των ενεργειών που προγραμματίζονται να γίνουν για περαιτέρω θωράκιση των συστημάτων, διαπιστώθηκε παράβαση του Κανονισμού από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας.

Στις 21/12/2023 εξέδωσα Απόφαση με την οποία απεύθυνα στο Τμήμα Επίπληξη.
Έδωσα επίσης Εντολή στο Τμήμα, όπως εντός δύο μηνών με ενημερώσει σχετικά με:
α) την πρόοδο της υλοποίησης των επιπρόσθετων μέτρων που θα λάβει και της εξασφάλισης του επιπρόσθετου εξοπλισμού,
β) τα αποτελέσματα του νέου ελέγχου διεισδυτικότητας και το στάδιο επίλυσης των ευρημάτων, και
γ) τα χρονοδιαγράμματα κατά τα οποία θα υλοποιηθούν οι ενέργειες για ενίσχυση της ασφάλειας των συστημάτων του.

Για την έκδοση της Απόφασης λήφθηκαν υπόψιν, όλα τα περιστατικά που αφορούν στην παρούσα υπόθεση και κυρίως ότι:
α) δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα,
β) το διάστημα κατά το οποίο επηρεάστηκε η διαθεσιμότητα των δεδομένων ήταν περιορισμένο (η πλήρης επαναφορά όλων των συστημάτων έγινε μετά από ένα μήνα, αλλά αρκετές υπηρεσίες παρέχονταν στους πολίτες με φυσική παρουσία μετά από μια περίπου εβδομάδα),
γ) δεν φαίνεται να προκλήθηκε ουσιαστική ζημιά στα υποκείμενα.






Ειρήνη Λοϊζίδου Νικολαϊδου
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα

3 Ιανουαρίου 2024



Πίσω στην προηγούμενη σελίδα
Back To Top