Κυβερνοεπίθεση στο Πανεπιστήμιο Κύπρου: Επίπληξη από την κυπριακή εποπτική αρχή
Σύμφωνα με την ανακοίνωση της Επιτρόπου Προστασίας Δεδομένων δεν υπάρχουν ενδείξεις ότι επηρεάστηκε η εμπιστευτικότητα και η ακεραιότητα των δεδομένων
Ανακοίνωση Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφορικά με τις κυβερνοεπιθέσεις
Σε συνέχεια των ανακοινώσεων μου αναφορικά με τις Αποφάσεις που είχα εκδώσει για τις κυβερνοεπιθέσεις στο Ανοικτό Πανεπιστήμιο (22/11/2023) και το Τμήμα Κτηματολογίου και Χωρομετρίας (21/12/2023), συνεχίζω να παρακολουθώ την πρόοδο σχετικά με την υλοποίηση επιπρόσθετων ενεργειών για ενίσχυση της ασφάλειας των συστημάτων.
Σε σχέση με την Κυβερνοεπίθεση στο Πανεπιστήμιο Κύπρου εξέδωσα Απόφαση στις 31/5/2024:
Στις 3 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Πανεπιστημίου Κύπρου στην οποία αναφέρεται ότι το πανεπιστήμιο δέχτηκε Κυβερνοεπίθεση.
Για τη διερεύνηση του περιστατικού δόθηκε εντολή να διακοπεί η πρόσβαση του Πανεπιστημίου προς το διαδίκτυο και απενεργοποιήθηκαν όλες οι κύριες υπηρεσίες του Πανεπιστημίου για να ελεγχθούν κατά πόσο έχουν επηρεαστεί.
Μετά από την διερεύνηση του περιστατικού σε συνεργασία με την ΑΨΑ, δεν διαπιστώθηκαν ενδείξεις για διαρροή δεδομένων εκτός του δικτύου του Πανεπιστημίου. Εφόσον όμως ο εισβολέας είχε αποκτήσει πρόσβαση σε εξυπηρετητές του Πανεπιστημίου, υπάρχει η πιθανότητα ο εισβολέας να λάμβανε πρόσβαση και σε άλλα συστήματα / εξυπηρετητές και/ή να προέβαινε σε εξαγωγή προσωπικών δεδομένων, με μεγαλύτερη ευκολία.
Ανεξάρτητα από τα πιο πάνω, ως αποτέλεσμα του περιστατικού, επηρεάστηκε η διαθεσιμότητα των δεδομένων μέχρι την επαναφορά των συστημάτων η οποία ολοκληρώθηκε (με σταδιακή επαναφορά των συστημάτων) σε περίπου 2 εβδομάδες. Η έστω και προσωρινή μη διαθεσιμότητα των δεδομένων μπορεί να είχε επιπτώσεις στα υποκείμενα των δεδομένων.
Μετά το περιστατικό το Πανεπιστήμιο προχώρησε σε επιπρόσθετες ενέργειες και κοινοποίησε στο Γραφείο μου την Αναφορά Ενεργειών καθώς και αναφορά με τις επιπρόσθετες ενέργειες στις οποίες θα προβεί για την διασφάλιση της ασφάλειας των δεδομένων, συστημάτων και υποδομών.
Στις 31/5/2024 εξέδωσα Απόφαση με την οποία απεύθυνα στο Πανεπιστήμιο Επίπληξη για τη μη εφαρμογή των κατάλληλων μέτρων ασφαλείας.
Έδωσα επίσης Εντολή στο Πανεπιστήμιο, όπως εντός δύο μηνών με ενημερώσει σχετικά με:
α) την πρόοδο της υλοποίησης των επιπρόσθετων μέτρων που με είχε ενημερώσει ότι θα λάβει,
β) τα αποτελέσματα των νέων ελέγχων και το στάδιο επίλυσης των ευρημάτων, και
γ) τα χρονοδιαγράμματα κατά τα οποία θα υλοποιηθούν οι ενέργειες για ενίσχυση της ασφάλειας των συστημάτων του.
Η πιο πάνω ενημέρωση έχει ληφθεί και έχω ζητήσει από το Πανεπιστήμιο όπως με ενημερώσει εκ νέου σε σχέση με τα πιο πάνω περί τα τέλη Ιανουαρίου.
Για την έκδοση της Απόφασης λήφθηκαν υπόψη όλα τα περιστατικά που αφορούν στην παρούσα υπόθεση, και κυρίως τα ακόλουθα:
α) Δεν υπάρχουν ενδείξεις ότι επηρεάστηκε η εμπιστευτικότητα και η ακεραιότητα των δεδομένων προσωπικού χαρακτήρα,
β) το διάστημα κατά το οποίο επηρεάστηκε η διαθεσιμότητα των δεδομένων ήταν περιορισμένο,
γ) δεν φαίνεται να προκλήθηκε ουσιαστική ζημιά στα υποκείμενα και
δ) το Πανεπιστήμιο μετά το περιστατικό έλαβε και συνεχίζει να λαμβάνει βελτιωτικά / ενισχυτικά μέτρα ασφαλείας, για την καλύτερη προστασία των συστημάτων του.
Ειρήνη Λοϊζίδου Νικολαΐδου
Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Πηγή: dataprotection.gov.cy
