-
.
- Ελληνικά
13 марта 2023 года в мое Управление от имени Департамента кадастра и землеустройства (далее "Департамент") было подано уведомление о нарушении данных, в котором говорилось, что 8 марта 2023 года Департамент подвергся кибератаке, которая затронула веб-портал Департамента (DLS Portal).
После всестороннего расследования инцидента было установлено, что в результате атаки злоумышленник не получил доступ к персональным данным, но доступность данных была нарушена из-за того, что системы были отключены для расследования инцидента и постепенно восстановлены. Несмотря на то, что злоумышленник не получил доступа к персональным данным, я отмечаю следующее:
a) Контролер должен обеспечить, в частности, доступность и надежность систем и услуг обработки на постоянной основе. Даже временная недоступность данных могла повлиять на субъектов данных, поскольку их невозможно было обслуживать.
b) Если злоумышленник получил доступ к серверам Департамента, существовала вероятность, что он мог получить доступ к другим системам/подсетям, которые включают персональные данные.
После рассмотрения технических и организационных мер, принятых до инцидента, результатов расследования, действий, предпринятых после инцидента, и действий, которые планируется предпринять для дальнейшей защиты систем, было выявлено нарушение Регламента в виде невыполнения соответствующих мер безопасности.
21 декабря 2023 года я вынес решение, в котором объявил Департаменту выговор. Я также поручил Департаменту в течение двух месяцев проинформировать меня о:
a) О ходе реализации дополнительных мер, которые он предпримет, и об обеспечении безопасности дополнительного оборудования.
b) О результатах нового теста на проникновение и о ходе устранения выявленных нарушений.
c) О сроках, в которые будут реализованы меры по повышению безопасности его систем.
При вынесении Решения были приняты во внимание все факты, относящиеся к данному делу, и в частности то, что:
a) Злоумышленник не получил доступ к персональным данным.
b) Период, в течение которого доступность данных была нарушена, был ограниченным (полное восстановление всех систем произошло через месяц, но некоторые услуги были предоставлены гражданам в физическом присутствии примерно через неделю)
c) Субъектам не был нанесен существенный вред.
Содержание этой статьи, включая сопутствующие изображения, принадлежит PIO
Мнения и взгляды выражены автором и/или PIO
источником
