Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 13
DIGITAL TV 190
ilka aggelia
16 Απριλίου 2024 10:07

2.9 εκατομμύρια ευρώ πρόστιμο στα ΕΛΤΑ για την παραβίαση δεδομένων

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F09%2Fcybersecurity

Το δεύτερο μεγαλύτερο πρόστιμο της ιστορίας της σε επιχείρηση με έδρα την Ελλάδα επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε βάρος των Ελληνικών Ταχυδρομείων (ΕΛΤΑ).  

Με την απόφασή της υπ’ αριθμ. 10/2024, η αρμόδια εποπτική αρχή για την προστασία προσωπικών δεδομένων αποφάσισε να επιβάλει στα ΕΛΤΑ διοικητικό πρόστιμο ύψους δύο εκατομμυρίων εννιακόσιων ενενήντα πέντε χιλιάδων εκατόν σαράντα ευρώ (2.995.140€), ως αποτέλεσμα της παραβίασης δεδομένων που οδήγησε στη διαρροή προσωπικών δεδομένων έως 5.000.000 προσώπων και τη δημοσίευση αυτών στο Dark Web.

Η ΑΠΔΠΧ έλαβε από τα ΕΛΤΑ τις από 23-3-2022 και 27-7-2022 γνωστοποιήσεις παραβίασης δεδομένων του άρθρου 33 ΓΚΠΔ σχετικά με «κρυπτογράφηση λογισμικού στο σύστημα της εταιρίας, ως αποτέλεσμα κακόβουλης επίθεσης από τρίτους, και διαρροή προσωπικών δεδομένων τα οποία, σε επόμενη φάση, δημοσιεύτηκαν στο σκοτεινό ιστό (Dark Web)».

Μετά την αρχική γνωστοποίηση, η Αρχή ζήτησε από τα ΕΛΤΑ «την περιγραφή των ενεργειών που έχουν λάβει χώρα στο πλαίσιο διερεύνησης/αντιμετώπισης του εν λόγω περιστατικού και κάθε σχετική πληροφορία και αναφορά (π.χ. αναφορές προς/από άλλες αρμόδιες αρχές ή τρίτες εταιρείες), καθώς και τις ενέργειες στις οποίες τα ΕΛΤΑ έχουν προβεί σε σχέση με την ενημέρωση των επηρεαζόμενων υποκειμένων των δεδομένων και τυχόν τρίτων μερών».

Ακολούθως και μετά την αρχική απάντηση του υπευθύνου επεξεργασίας, η Αρχή ζήτησε «τις πολιτικές και διαδικασίες πληροφορικής και ασφάλειας πληροφοριών του φορέα αλλά και τον τρόπο εφαρμογής των εν λόγω πολιτικών και διαδικασιών στο πλαίσιο της αντιμετώπισης του εν λόγω περιστατικού παραβίασης».

Στη συνέχεια, τα ΕΛΤΑ υπέβαλαν την από 27-07-2022 γνωστοποίηση περιστατικού παραβίασης, η οποία συμπληρώθηκε με την από 29-12-2022 γνωστοποίηση, αναφέροντας ότι «ως επακόλουθη δράση του ανωτέρω περιστατικού, οι δράστες δημοσιοποίησαν στον σκοτεινό ιστό του Διαδικτύου (Dark Web) προσωπικά δεδομένα που υπέκλεψαν κατά την παραβίαση του συστήματος του υπευθύνου επεξεργασίας».

Από την εξέταση των εγγράφων και ισχυρισμών που τέθηκαν ενώπιόν της, η Αρχή Προστασίας Δεδομένων διαπίστωσε την τέλεση τεσσάρων παραβάσεων. Ειδικότερα:

Από την εξέταση των εγγράφων και ισχυρισμών που τέθηκαν ενώπιόν της, η Αρχή Προστασίας Δεδομένων διαπίστωσε την τέλεση τεσσάρων παραβάσεων. Ειδικότερα:

1. Από την εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι τα ΕΛΤΑ δεν τηρούσαν επαρκή τεχνικά μέτρα ασφαλείας στο σύστημα, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

2. Από την εξέταση της πολιτικής ασφαλείας διαπιστώθηκε η μη ορθή εφαρμογή πολιτικών, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

3. Από την από 27-07-2022 γνωστοποίηση περιστατικού παραβίασης προέκυψε ότι δεν διασφαλίστηκε ο περιορισμός της πρόσβασης μόνο σε εξουσιοδοτημένα άτομα, κατά παράβαση του 5 παρ. 1 στοιχ. στ’.

4. Από την εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι δεν έγιναν αντιληπτές και δεν αποτράπηκαν οι δραστηριότητες ιχνηλάτησης και αναγνώρισης εκ μέρους του δράστη και η απενεργοποίηση των μηχανισμών ασφαλείας ως συνέπεια της εκτέλεσης διεργασιών του κακόβουλου λογισμικού, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

Με βάση τις τέσσερις αυτές παραβάσεις, η Αρχή έκρινε ότι τα ΕΛΤΑ:

α. Δεν διασφάλισαν, με την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων, την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία με αποτέλεσμα να λάβει χώρα απώλεια της κατά το άρθρο 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ επιβαλλόμενης εμπιστευτικότητας.

β. Δεν εφάρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων ώστε να διασφαλιστεί ότι είναι σε θέση να αποδείξουν ότι πραγματοποίησαν επεξεργασία σύμφωνα με τους ορισμούς του άρθρου 32 του ΓΚΠΔ.

γ. Δεν διασφάλισαν το απόρρητο, την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση και την ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας, ούτως ώστε διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, για τα δικαιώματα των υποκειμένων, κατά το άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ.

Κατά συνέπεια, η Αρχή έκρινε πως έλαβαν χώρα παραβάσεις των υποχρεώσεων του υπευθύνου επεξεργασίας, όπως αυτές ορίζονται από τα άρθρα 5 παρ.1στ’ και 32 ΓΚΠΔ. Οι παραβάσεις αυτές κρίθηκαν ως αυτοτελείς.

Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψιν της επιβαρυντικώς σειρά παραγόντων, μεταξύ των οποίων:

– «το μεγάλο εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000-5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές»,

– «το υψηλό ύψος της ζημίας, ήτοι εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά στοιχεία, οικονομικά δεδομένα κλπ. και η απώλεια διαθεσιμότητας υπηρεσιών»,

– «το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας»,

– «το ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιριών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις».

Αντιθέτως, ως ελαφρυντικά στοιχεία ελήφθησαν υπόψιν – μεταξύ άλλων – η ενίσχυση της ασφάλειας του συστήματος μετά το περιστατικό και η δυσχερής οικονομική κατάσταση των ΕΛΤΑ κατά την εκδήλωση της επίθεσης.

ΠΗΓΗ: https://www.lawspot.gr/nomika-nea/29-ekatommyria-eyro-prostimo-sta-elta-gia-tin-paraviasi-dedomenon-apdph-10-2024

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Νοέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Νοεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές...
Universal Beams & Barriers
Τα beams και τα barriers αποτελούν σύγχρονα εργαλεία συστήματος ασφαλείας που μπορούν να τοποθετηθούν περιφερειακά του χώρου που θα επιλέξετε: σε πόρτες και παράθυρα, σε εισόδους γκαράζ και αλλού....
TOP VISION & Dahua Technology
Με μεγάλη επιτυχία και προσέλευση ολοκληρώθηκε και το φετινό τεχνικό σεμινάριο της TOP VISION, που ήταν αφιερωμένο στα προϊόντα της Dahua Technology. Το σεμινάριο πραγματοποιήθηκε στο ξενοδοχείο G...
Cubitech και ZKTeco
Με επιτυχία πραγματοποιήθηκε η εμπορική και τεχνική παρουσίαση των καινοτόμων λύσεων ασφάλειας και ελέγχου πρόσβασης από τις εταιρείες Cubitech και ZKTeco, που διοργάνωσε η ARK Academy το Σάββατο,...
ENERGIA.TEC 2024
Στο εκθεσιακό κέντρο MEC Παιανίας ανανέωσε μετά από δύο χρόνια το ραντεβού της για τρεις μέρες, από τις 11 έως τις 13 Οκτωβρίου 2024, η 5η διεθνής έκθεση ENERGIA.TEC, με κορυφαίους εκθέτες του κλά...
Cubitech CB-BI4045MWK
Η IP κάμερα τύπου bullet CB-BI4045MWK της Cubitech θα αναβαθμίσει την προστασία που παρέχει το σύστημα συναγερμού σας στον χώρο σας. Η εγκατάσταση της κάμερας και ο συγχρονισμός της με το σύστημα ...
Uniview EasyStar OwlView
Οι νέες κάμερες OwlView της Uniview με τεχνολογία Wise-ISP χρησιμοποιούν τεχνολογία AI για να δημιουργήσουν εικόνες που δεν μπορούν να συγκριθούν με άλλες κάμερες της αγοράς. Στο τρέχον τεύχος ...
ELDES KeyBoB
Το KeyBoB της ELDES προσφέρει στους χρήστες ενός συστήματος ασφαλείας τη δυνατότητα όπλισης και αφόπλισής του με ασφάλεια και ευελιξία. Συνδυάζει ευκολία χρήσης με προηγμένες λειτουργίες ασφαλείας...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, 14
Στο νέο τεύχος 14 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή επαγγελματία της αγοράς, στους υπεύθυνους ασφαλείας και εκπαί...
Hikvision Smart Hybrid Light
Η πρωτοποριακή τεχνολογία Smart Hybrid Light της Hikvision έρχεται για να βελτιστοποιήσει στον μέγιστο βαθμό τις δυνατότητες καταγραφής των καμερών, ειδικά κατά τις κρίσιμες νυχτερινές ώρες. Με τρ...
Hikvision Smart Hybrid Light
Η νέα σειρά αναλογικών καμερών 1080p D0T-LTS της Hikvision μάς εισάγει στο Turbo HD 8.0 με νέα χαρακτηριστικά που ξεχωρίζουν, όπως η δυνατότητα αμφίδρομης επικοινωνίας (Two-way-Audio) και ο διπλός...
ELDES ESIM320
Το ESIM320 της ELDES είναι ένας gate controler σχεδιασμένος να προσφέρει προστασία και άνεση στη διαχείριση πύλης και άλλων ηλεκτρονικών συσκευών. Μπορεί να τοποθετηθεί σε οποιοδήποτε είδος κτιρίο...
OPTEX AP-SERIES
Η σειρά αισθητήρων ανιχνευτών εισβολής AP της OPTEX αποτελεί μία πρόσθετη λύση ασφάλειας για όσους θέλουν να αναβαθμίσουν τον εσωτερικό τους χώρο προσθέτοντας ένα ακόμα επίπεδο ασφαλείας στο σύστη...
IoT σε ξενοδοχειακές μονάδες
Στον τομέα της φιλοξενίας, η ευημερία του προσωπικού, η διασφάλιση των περιουσιακών στοιχείων και η ασφάλεια των επισκεπτών, είναι οι τρεις λέξεις κλειδί για την επιτυχία. Σήμερα, το τεχνολογικό τ...
Video Analytics σε αεροδρόμια
Τα αεροπορικά ταξίδια είναι ένας από τους ταχύτερους και πιο αποτελεσματικούς τρόπους ταξιδιού παγκοσμίως. Καθημερινά πραγματοποιούνται περισσότερες από 100.000 εμπορικές πτήσεις και ως εκ τούτου ...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...