Πρόστιμο 45 χιλ. στο Ανοικτό Πανεπιστήμιο για παραβίαση προσωπικών δεδομένων
Διοικητικό πρόστιμο €45.000 για την παραβίαση προσωπικών δεδομένων στο Ανοικτό Πανεπιστήμιο Κύπρου, από τη μη εφαρμογή κατάλληλων μέτρων κατά την κυβερνοεπίθεση, που δέχθηκε το εκπαιδευτικό ίδρυμα, επέβαλε η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ειρήνη Λοϊζίδου Νικολαΐδου.
Για την Κυβερνοεπίθεση στο Κτηματολόγιο, η Επίτροπος έχει λάβει τις τελικές θέσεις του Κτηματολογίου επί της εκ πρώτης όψεως Απόφασης, ενώ για το περιστατικό στο Πανεπιστήμιο Κύπρου η υπόθεση είναι ακόμη υπό διερεύνηση σε συνεργασία με άλλες Αρχές και υπηρεσίες.
Στη σημερινή της ανακοίνωση, η Επίτροπος παραθέτει την υπόθεση της παραβίασης προσωπικών δεδομένων στο δίκτυο του Ανοικτού Πανεπιστημίου Κύπρου, τον Μάρτιο του 2023. Συγκεκριμένα, ομάδα «χάκερς» δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι ήταν αυτή υπεύθυνη για την επίθεση και δόθηκε χρονικό περιθώριο στο Πανεπιστήμιο για την καταβολή λύτρων για την επιστροφή / μη δημοσιοποίηση των αρχείων που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα που είχαν κλαπεί, δημοσιευθήκαν από τον εισβολέα και έγιναν διαθέσιμα στο dark web, προστίθεται.
Όπως αναφέρει η Επίτροπος, μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούν σε φοιτητές, απόφοιτούς και αλλά υποκείμενα (συμβαλλόμενοι Πανεπιστημίου) τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζόμενους.
Για το περιστατικό, αναφέρει, έχουν υποβληθεί στο Γραφείο της 11 παράπονα από υποκείμενα των δεδομένων που καταγγέλλουν ότι τα προσωπικά τους δεδομένα έχουν διαρρεύσει λόγω του υπό εξέταση περιστατικού, τα οποία λήφθηκαν υπόψη κατά την εξέταση του περιστατικού.
Το Πανεπιστήμιο, συνεχίζει η Επίτροπος, της απέστειλε επίσης κατάλογο ενεργειών στις οποίες θα προβεί για ενίσχυση της ασφάλειας των συστημάτων του. Οι ενέργειες αυτές θα υλοποιηθούν σταδιακά με βάση πρόγραμμα που έχει καταρτιστεί, ξεκινώντας από τώρα, με χρονικό σημείο ολοκλήρωσης το 2026, ανάλογα με την κρισιμότητα, το κόστος και τα προαπαιτούμενα για την υλοποίηση τους.
Η Επίτροπος σημειώνει πως μετά από νομική και τεχνική εξέταση όλων των πιο πάνω, διαπιστώθηκε παράβαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679 από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας και παραβίαση της αρχής της «λογοδοσίας».
Αφού λήφθηκαν υπόψιν όλα τα γεγονότα της υπόθεσης, επισημαίνει η κ. Νικολαΐδου, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από το Πανεπιστήμιο πριν από την επίθεση και οι μετριαστικοί παράγοντες που αναφέρθηκαν από το Πανεπιστήμιο, καθώς επίσης και ότι το Πανεπιστήμιο αποτελεί μέρος του ευρύτερου δημόσιου τομέα, επιβλήθηκε στο Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους €45.000.
Δόθηκε επίσης Εντολή στο Πανεπιστήμιο, εντός έξι μηνών, πρώτον να ορίσει υπεύθυνο ασφαλείας συστημάτων έστω και προσωρινό / αναπληρωτή, ο οποίος να επιβλέπει την εφαρμογή των μέτρων που το Πανεπιστήμιο προτίθεται να λάβει, και δεύτερο, να την ενημερώσει σχετικά με την πρόοδο της υλοποίησης των μέτρων των οποίων το ίδιο την ενημέρωσε ότι προτίθεται να λάβει.