Ενημέρωση για υλοποίηση επιπρόσθετων μέτρων κυβερνοασφάλειας ζητά από Κτηματολόγιο η Λοΐζίδου

Απόφαση για τις κυβερνοεπιθέσεις στο δίκτυο του Τμήματος Κτηματολογίου και Χωρομετρίας, στην οποία καταθέτει εισηγήσεις και ζητά ενημέρωση για προηγούμενες συστάσεις της εντός δύο μηνών, εξέδωσε το Δεκέμβριο η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ειρήνη Λοϊζίδου Νικολαΐδου.

Σε ανακοίνωση της η Επίτροπος υπενθυμίζει ότι στις 13 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο της εκ μέρους του Τμήματος Κτηματολογίου και Χωρομετρίας, στην οποία αναφέρεται ότι στις 8 Μαρτίου, 2023 το Τμήμα δέχτηκε κυβερνοεπίθεση, η οποία επηρέασε τη διαδικτυακή πύλη του (DLS Portal).

Αναφέρει ότι έγινε πλήρης διερεύνηση του περιστατικού και διαπιστώθηκε ότι από την επίθεση δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, επηρεάστηκε όμως η διαθεσιμότητα των δεδομένων, λόγω του ότι τα συστήματα τέθηκαν εκτός λειτουργίας για διερεύνηση του περιστατικού και σταδιακή επαναφορά τους.

Η Επίτροπος σημειώνει ότι ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει μεταξύ άλλων την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση. «Η έστω και προσωρινή μη διαθεσιμότητα των δεδομένων μπορεί να είχε επιπτώσεις στα υποκείμενα των δεδομένων από τη μη ύπαρξη της δυνατότητας εξυπηρέτησης τους», αναφέρει.

Επίσης σημειώνει ότι εφόσον ο εισβολέας είχε αποκτήσει πρόσβαση σε εξυπηρετητές του Τμήματος, υπήρχε η πιθανότητα να επιτύγχανε πρόσβαση και σε άλλα συστήματα / υποδίκτυα, τα οποία περιλαμβάνουν προσωπικά δεδομένα.

Σύμφωνα με την κ. Νικολαϊδου, μετά τον έλεγχο των τεχνικών και οργανωτικών μέτρων που λαμβάνονταν πριν το περιστατικό, των αποτελεσμάτων της διερεύνησης, των ενεργειών που έγιναν μετά το περιστατικό, και των ενεργειών που προγραμματίζονται να γίνουν για περαιτέρω θωράκιση των συστημάτων, διαπιστώθηκε παράβαση του Κανονισμού από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας.

Σημειώνει ότι στις 21 Δεκεμβρίου, 2023 εξέδωσε απόφαση με την οποία απήυθυνε επίπληξη και έδωσε εντολή στο Τμήμα, όπως εντός δύο μηνών την ενημερώσει σχετικά με την πρόοδο της υλοποίησης των επιπρόσθετων μέτρων που θα λάβει και της εξασφάλισης του επιπρόσθετου εξοπλισμού, τα αποτελέσματα του νέου ελέγχου διεισδυτικότητας και το στάδιο επίλυσης των ευρημάτων, και τα χρονοδιαγράμματα κατά τα οποία θα υλοποιηθούν οι ενέργειες για ενίσχυση της ασφάλειας των συστημάτων του.

Διευκρινίζει ότι για την έκδοση της απόφασης λήφθηκαν υπόψιν, όλα τα περιστατικά που αφορούν στην παρούσα υπόθεση και κυρίως ότι δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα και ότι το διάστημα κατά το οποίο επηρεάστηκε η διαθεσιμότητα των δεδομένων ήταν περιορισμένο, δηλαδή ότι η πλήρης επαναφορά όλων των συστημάτων έγινε μετά από ένα μήνα, αλλά αρκετές υπηρεσίες παρέχονταν στους πολίτες με φυσική παρουσία μετά από μια περίπου εβδομάδα. Λήφθηκε επίσης υπόψη το γεγονός ότι δεν φαίνεται να προκλήθηκε ουσιαστική ζημιά στα υποκείμενα.