-
.
- Ελληνικά
В связи с кибератакой на Открытый университет 22.11.2023 я вынес окончательное решение о наложении на Открытый университет административного штрафа в размере 45 000 евро.
Что касается кибератаки на Земельный кадастр, то я получил окончательную позицию Земельного кадастра по решению prima facie, в то время как инцидент с Университетом Кипра все еще расследуется в сотрудничестве с другими органами/службами.
Решение. Группа "хакеров" (далее - "злоумышленники") заявила через социальную сеть Twitter, что именно они ответственны за атаку, и Университету был предоставлен срок для уплаты выкупа за возврат/нераскрытие файлов, утечка которых произошла в результате атаки. По истечении срока выплаты выкупа похищенные данные были опубликованы злоумышленником и размещены в "темной паутине".
После проведения полного расследования инцидента было установлено, что утечка данных касалась студентов, выпускников и других субъектов (подрядчиков Университета), которые были кэшированы на пострадавшем сервере и использовались для обработки задач сотрудниками.
По данному инциденту в мое Управление было подано 11 жалоб от субъектов данных, жалующихся на утечку их персональных данных в результате рассматриваемого инцидента, которые были учтены при рассмотрении инцидента.
Университет также направил мне список действий, которые он предпримет для повышения безопасности своих систем. Эти действия будут осуществляться поэтапно в соответствии с разработанным графиком, начиная с настоящего момента и заканчивая 2026 годом, в зависимости от критичности, стоимости и предпосылок для их реализации.
После проведения юридической и технической проверки всего вышеперечисленного было выявлено нарушение Общего регламента по защите данных (ЕС) 2016/679 в виде невыполнения соответствующих мер безопасности и нарушения принципа "подотчетности".
Приняв во внимание все обстоятельства дела, технические и организационные меры, принятые Университетом до атаки, и смягчающие факторы, о которых сообщил Университет, а также тот факт, что Университет является частью более широкого государственного сектора, на Университет был наложен административный штраф в размере €45.000.
Университету также было предписано в течение шести месяцев:
a) назначить сотрудника по системной безопасности, пусть даже временного/заместителя, для контроля за реализацией мер, которые Университет намерен принять,
b) информировать меня о ходе реализации мер, о которых Университет сообщил мне, что намерен принять.
(PM/EP)
Содержание данной статьи, включая сопутствующие изображения, принадлежит PIO
Мнения и взгляды, высказанные в статье, принадлежат автору и/или PIO
Источник
