Kathimerini.com.cy
Πρόστιμο ύψους €45.000 στο Ανοικτό Πανεπιστήμιο Κύπρου επέβαλε η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Ειρήνη Λοϊζίδου, σε σχέση με την κυβερνοεπίθεση που σημειώθηκε τον περασμένο Μάρτιο. Όσον αφορά στην Κυβερνοεπίθεση στο Κτηματολόγιο, η κα Λοϊζίδου αναφέρει σε ανακοίνωσή της ότι έχει λάβει τις τελικές θέσεις του Κτηματολογίου επί της εκ πρώτης όψεως Απόφασης, ενώ το περιστατικό στο Πανεπιστήμιο Κύπρου είναι ακόμη υπό διερεύνηση σε συνεργασία με άλλες Αρχές/Υπηρεσίες.
Ολόκληρη η ανακοίνωση
Σε σχέση με την κυβερνοεπίθεση στο Ανοικτό Πανεπιστήμιο, στις 22/11/2023 εξέδωσα την Τελική Απόφαση με την οποία επέβαλα στο Ανοικτό Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους €45.000.
Όσον αφορά στην Κυβερνοεπίθεση στο Κτηματολόγιο, έχω λάβει τις τελικές θέσεις του Κτηματολογίου επί της εκ πρώτης όψεως Απόφασης, ενώ το περιστατικό στο Πανεπιστήμιο Κύπρου είναι ακόμη υπό διερεύνηση σε συνεργασία με άλλες Αρχές/Υπηρεσίες.
Απόφαση: Παραβίαση Προσωπικών Δεδομένων στο δίκτυο του Ανοικτού Πανεπιστημίου Κύπρου
Τον Μάρτιο του 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Ανοικτού Πανεπιστημίου Κύπρου (στο εξής το «Πανεπιστήμιο»). Oμάδα «χάκερς» (στο εξής «εισβολέας») δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι ήταν αυτή υπεύθυνη για την επίθεση και δόθηκε χρονικό περιθώριο στο Πανεπιστήμιο για την καταβολή λύτρων για την επιστροφή/μη δημοσιοποίηση των αρχείων που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα που είχαν κλαπεί δημοσιεύθηκαν από τον εισβολέα και έγιναν διαθέσιμα στο dark web.
Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούν σε φοιτητές, απόφοιτους και αλλά υποκείμενα (συμβαλλόμενοι Πανεπιστημίου) τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζόμενους.
Για το περιστατικό έχουν υποβληθεί στο Γραφείο μου 11 παράπονα από υποκείμενα των δεδομένων που καταγγέλλουν ότι τα προσωπικά τους δεδομένα έχουν διαρρεύσει λόγω του υπό εξέταση περιστατικού, τα οποία λήφθηκαν υπόψη κατά την εξέταση του περιστατικού.
Το Πανεπιστήμιο μού απέστειλε επίσης κατάλογο ενεργειών στις οποίες θα προβεί για ενίσχυση της ασφάλειας των συστημάτων του. Οι ενέργειες αυτές θα υλοποιηθούν σταδιακά με βάση πρόγραμμα που έχει καταρτιστεί, ξεκινώντας από τώρα, με χρονικό σημείο ολοκλήρωσης το 2026, ανάλογα με την κρισιμότητα, το κόστος και τα προαπαιτούμενα για την υλοποίησή τους.
Μετά από νομική και τεχνική εξέταση όλων των πιο πάνω, διαπιστώθηκε παράβαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679 από τη μη εφαρμογή των κατάλληλων μέτρων ασφαλείας και παραβίαση της αρχής της «λογοδοσίας».
Αφού λήφθηκαν υπόψη όλα τα γεγονότα της υπόθεσης, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από το Πανεπιστήμιο πριν από την επίθεση και οι μετριαστικοί παράγοντες που αναφέρθηκαν από το Πανεπιστήμιο, καθώς επίσης και ότι το Πανεπιστήμιο αποτελεί μέρος του ευρύτερου δημόσιου τομέα, επιβλήθηκε στο Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους €45.000.
Δόθηκε επίσης εντολή στο Πανεπιστήμιο όπως εντός έξι μηνών:
α) ορίσει υπεύθυνο ασφαλείας συστημάτων έστω και προσωρινό/αναπληρωτή, ο οποίος να επιβλέπει την εφαρμογή των μέτρων που το Πανεπιστήμιο προτίθεται να λάβει,
β) με ενημερώσει σχετικά με την πρόοδο της υλοποίησης των μέτρων τα οποία το ίδιο με ενημέρωσε ότι προτίθεται να λάβει.
