Αποζημίωση – μαμούθ εις βάρος των ΕΛΤΑ
Πρόστιμο ύψους 3 εκατ. ευρώ - Αφορά υπόθεση του 2022 που χειρίστηκε η Αρχή Προστασίας και έχει να κάνει με 4 έως 5 εκατομμύρια φυσικά πρόσωπα
- Μπορεί η τεχνητή νοημοσύνη να αντικαταστήσει τον άνθρωπο στις μεταφράσεις;
- Μέγκαν Μαρκλ: Η συνέντευξη του 2017 που έδειχνε ότι θα πάει κόντρα στο παλάτι - αλλά κανείς δεν κατάλαβε
- Γαλλία και Γερμανία απειλούνται από ύφεση και ακυβερνησία
- Ο Κιμ Γιονγκ Ουν προτρέπει σε βελτίωση των στρατιωτικών δυνατοτήτων για πόλεμο, λέει το KCNA
Ηταν ξημερώματα Κυριακής 20 Μαρτίου 2022. Μέσα σε διάστημα πέντε ωρών οι κυβερνοεγκληματίες εξαπέλυσαν επίθεση στα υπολογιστικά συστήματα των ΕΛΤΑ με αποτέλεσμα να υπάρξει διαρροή προσωπικών δεδομένων, τα οποία, σε επόμενη φάση, δημοσιεύτηκαν στον σκοτεινό ιστό (Dark Web).
Η ιστορία της κυβερνοεπίθεσης στα ΕΛΤΑ και η διαρροή εκατομμυρίων δεδομένων, το εύρος των οποίων υπολογίζεται σε 4.000.000-5.000.000, που μπορεί να παραπέμπει αλλά δεν είναι κινηματογραφική ταινία, απασχόλησε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τα μέλη της οποίας με απόφασή τους επέβαλαν πρόστιμο 2.995.140 ευρώ.
Μέσα από το ιστορικό μάλιστα της απόφασης προκύπτει με ξεκάθαρο τρόπο ότι την περίοδο της κυβερνοεπίθεσης ο οργανισμός αντιμετώπιζε σοβαρές οικονομικές δυσκολίες και ως εκ τούτου τα μέτρα ασφάλειας δεν λειτουργούσαν εξαιτίας του εν λόγω οικονομικού περιορισμού. Μετά το «χτύπημα» των χάκερ και αφού τα προσωπικά δεδομένα είχαν… κάνει φτερά, όπως προκύπτει και από τα στοιχεία που τέθηκαν υπόψη της Αρχής, τα ΕΛΤΑ διέθεσαν σημαντικούς πόρους για τη θωράκιση της ασφάλειας του συστήματος, ενέργεια που μπήκε στο «ζύγι» ως θετικό στοιχείο.
Ενημέρωσαν
Τα ΕΛΤΑ αμέσως μετά την κυβερνοεπίθεση που δέχτηκαν γνωστοποίησαν στην Αρχή την παραβίαση που αφορούσε κρυπτογράφηση λογισμικού στο σύστημα της εταιρείας ως αποτέλεσμα κακόβουλης επίθεσης από τρίτους και διαρροή προσωπικών δεδομένων, τα οποία, σε επόμενη φάση, δημοσιεύτηκαν στον σκοτεινό ιστό (Dark Web).
Παράλληλα τα ΕΛΤΑ ενημέρωσαν για το περιστατικό την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών, την Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων και την Εθνική Αρχή Κυβερνοασφάλειας, ενώ από την πρώτη στιγμή είχαν ενημερωθεί και όλοι οι εταιρικοί πελάτες.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, που συνεδρίασε υπό τον πρόεδρό της, επίτιμο πρόεδρο του ΣτΕ Κωνσταντίνο Μενουδάκο, προχώρησε στην επιβολή του προστίμου 2.995.140 ευρώ σταθμίζοντας, όπως προκύπτει από το σκεπτικό της απόφασης:
• το μεγάλο εύρος των επηρεαζόμενων προσώπων, ήτοι 4.000.000-5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη ΔΣ, εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές
• το ύψος της ζημιάς από την εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά στοιχεία, οικονομικά δεδομένα
• το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφάλειας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας,
• το ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιρειών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις.
Από την άλλη πλευρά αξιολογήθηκαν ως «ελαφρυντικές περιστάσεις» για τον καθορισμό του προστίμου η ενίσχυση της ασφάλειας μετά την κυβερνοεπίθεση με τη λήψη τόσο τεχνικών όσο και οργανωτικών μέτρων, η μη διαρροή ευαίσθητων προσωπικών δεδομένων, η επαναφορά σημαντικού μέρους του όγκου των δεδομένων από αντίγραφα ασφαλείας, ενώ σημαντικό ρόλο έπαιξε και το γεγονός ότι το επίμαχο χρονικό διάστημα τα ΕΛΤΑ ήταν σε δυσχερή οικονομική κατάσταση καθώς η εταιρεία εμφάνιζε ζημιές στον κύκλο εργασιών της μέχρι τις 30/6/2022 και ο τελευταίος διαθέσιμος ετήσιος κύκλος εργασιών για το 2021 ήταν 299.514.0004 ευρώ.
Ακολουθήστε το in.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις