Τα δεδομένα της εκπαίδευσης του Ελσίνκι στα χέρια χάκερς
Η κυβερνοεπίθεση στα πληροφοριακά συστήματα της πόλης του Ελσίνκι οδήγησε στη διαρροή προσωπικών δεδομένων 38.000 δημοτικών υπαλλήλων και 80.000 μαθητών και γονέων
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Μαζική διαρροή δεδομένων από τη διεύθυνση εκπαίδευσης ανακοίνωσε πρόσφατα ο δήμος του Ελσίνκι στη Φινλανδία, μετά από κυβερνοεπίθεση στα πληροφοριακά του συστήματα.
Η δημοτική αρχή αντελήφθη την παραβίαση στις 30 Απριλίου και ενημέρωσε άμεσα την αρμόδια εποπτική αρχή προστασίας δεδομένων, ενώ μόλις στις 13 Μαΐου πραγματοποίησε συνέντευξη τύπου, προκειμένου να ενημερώσει για την έκταση του συμβάντος και τα μέτρα που έχει λάβει.
Σύμφωνα με τη σχετική ενημέρωση, οι άγνωστοι δράστες απέκτησαν πρόσβαση στα usernames και τα email του συνόλου των δημοτικών υπαλλήλων, καθώς και στις ταυτότητες και διευθύνσεις μαθητών, γονέων και κηδεμόνων, καθώς και του προσωπικού που απασχολείται στη Διεύθυνση Εκπαίδευσης της πόλης.
Παράλληλα, οι δράστες «σήκωσαν» το σύνολο των αρχείων της Διεύθυνσης Εκπαίδευσης, το οποίο περιλαμβάνει δεκάδες εκατομμύρια αρχεία, μεταξύ των οποίων και ιδιαίτερα ευαίσθητες πληροφορίες σχετικά με μαθητές ή αναρρωτικές άδειες του προσωπικού.
«Ο όγκος των δεδομένων που εξετάζουμε είναι σημαντικός. Δυστυχώς, δεν είμαστε ακόμη σε θέση να δώσουμε μια ακριβή εκτίμηση των δεδομένων στα οποία απέκτησε πρόσβαση ο δράστης. Αυτό που μπορούμε να πούμε αυτή τη στιγμή είναι ποιοι είναι οι ενδεχόμενοι κίνδυνοι, προκειμένου να προετοιμάζουμε το προσωπικό και τους πελάτες της Διεύθυνσης Εκπαίδευσης», δήλωσε ο εκτελεστικός διευθυντής της οικείας Διεύθυνσης.
Παράλληλα, αφήνεται ανοικτό το ενδεχόμενο να έχουν διαρρεύσει και προσωπικά δεδομένα υπαλλήλων και μαθητών από παλαιότερα έτη, τα οποία τηρούνταν στα πληροφοριακά συστήματα που δέχθηκαν την επίθεση.
Η επίθεση αποδίδεται ευθέως σε κενά ασφαλείας των πληροφοριακών συστημάτων, με τους αρμοδίους να μη διστάζουν να κάνουν λόγο για μέτρα που θα μπορούσαν και θα έπρεπε να έχουν ληφθεί, έτσι ώστε να αποκλειστεί το vulnerability που επέτρεψε την απομακρυσμένη πρόσβαση των δραστών.
«Για τον αποκλεισμό του vulnerability υπήρχε διαθέσιμο ένα hotfix, το οποίο δεν γνωρίζουμε ακόμη γιατί δεν είχε εγκατασταθεί στον server», ανέφερε ο Chief Digital Officer της πόλης του Ελσίνκι, επισημαίνοντας πως τα μέτρα ασφάλειας και οι διαδικασίες που είχαν ακολουθηθεί ήταν ανεπαρκή.
Για το περιστατικό εξέδωσε ανακοίνωση και η φινλανδική αρχή προστασίας δεδομένων, η οποία γνωστοποίησε πως εξετάζει τα μέτρα που είχαν ληφθεί για την αποτροπή ενός τέτοιου περιστατικού.
