Η εταιρία «ΕΛΛΗΝΙΚΑ ΤΑΧΥΔΡΟΜΕΙΑ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ», (εφεξής ΕΛΤΑ) υπέβαλε στην Αρχή, με βάση τον Κανονισμό (ΕΕ) 2016/679 (Γενικός Κανονισμός Προστασίας Δεδομένων – εφεξής ΓΚΠΔ), τις με αρ. πρωτ. Γ/ΕΙΣ/5033/23-03-2022 και με αρ. πρωτ. Γ/ΕΙΣ/9170/27-07-2022 γνωστοποιήσεις περιστατικών παραβίασης που αφορούν κρυπτογράφηση λογισμικού στο σύστημα της εταιρίας, ως αποτέλεσμα κακόβουλης επίθεσης από τρίτους, και διαρροή προσωπικών δεδομένων τα οποία, σε επόμενη φάση, δημοσιεύτηκαν στο σκοτεινό ιστό (Dark Web). Από την περαιτέρω ανάλυση της κυβερνοεπίθεσης προκύπτει ότι έλαβαν χώρα, στο πλαίσιο της παραβίασης του συστήματος του υπευθύνου επεξεργασίας, ενέργειες μη εξουσιοδοτημένης απομακρυσμένης πρόσβασης σε σταθμούς εργασίας και σε αρχεία, εύρεση εκ μέρους του επιτιθέμενου των κωδικών πρόσβασης των λογαριασμών διαχείρισης του τομέα του δικτύου, μη εξουσιοδοτημένη πρόσβαση σε αρχεία και φακέλους και εγκατάσταση κακόβουλων διεργασιών.

Η Αρχή, αφού εξέτασε την αρχική γνωστοποίηση, απέστειλε το έγγραφο με το υπ’ αρ. πρωτ. Γ/ΕΞΕ/1208/19-05-2022 στα ΕΛΤΑ, ζητώντας την περιγραφή των ενεργειών που έχουν λάβει χώρα στο πλαίσιο διερεύνησης/αντιμετώπισης του εν λόγω περιστατικού και κάθε σχετική πληροφορία και αναφορά (π.χ. αναφορές προς/από άλλες αρμόδιες αρχές ή τρίτες εταιρείες), καθώς και τις ενέργειες στις οποίες τα ΕΛΤΑ έχουν προβεί σε σχέση με την ενημέρωση των επηρεαζόμενων υποκειμένων των δεδομένων και τυχόν τρίτων μερών.

Τα ΕΛΤΑ απάντησαν με τα υπ’ αρ πρωτ. Γ/ΕΙΣ/7610/01-06-2022 και Γ/ΕΙΣ/7660/02-06-2022 ηλεκτρονικά μηνύματα, στα οποία περιλαμβάνονταν τεχνική έκθεση περιστατικού Κυβερνοασφάλειας, τα κεντρικά σημεία της οποίας περιγράφονται αναλυτικά στο παράρτημα Α της απόφασης και αναφέρονταν τα ακόλουθα:

1. Πραγματοποιήθηκαν ανακοινώσεις του υπευθύνου επεξεργασίας προς το κοινό για ενημέρωση σχετικά με την παραβίαση (21.03.2022 και 23.03.2022), καθώς και για τις ενέργειες μετά την παραβίαση (24.03.2022 και 07.04.2022).

2. Υπήρξε εσωτερική ανακοίνωση υπευθύνου επεξεργασίας στην οποία προσδιορίζονταν οι ενέργειες επαναφοράς του συστήματος.

3. Έγινε ενημέρωση διεθνών φορέων International Post Corporation, PostEurop, και Universal Postal Union που επηρεάζονται από το περιστατικό (22.03.2022 και 23.03.2022).

4. Έγινε ενημέρωση της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (24.03.2022), της Εθνικής Επιτροπής Τηλεπικοινωνιών και Ταχυδρομείων (22.03.2022) και της Εθνικής Αρχής Κυβερνοασφάλειας (30.3.2022) .

5. Έγινε ενημέρωση της Εταιρίας Δικτύου Ύδρευσης και Αποχέτευσης Πρωτευούσης. Για το περιστατικό έχει υποβάλλει και η εν λόγω εταιρία αρχική αναφορά γνωστοποίησης με αρ. πρωτ. Γ/ΕΙΣ/5224/25-03-2022 και οριστική με αρ. πρωτ. Γ/ΕΙΣ/8266/24-06-2022.

6. Υποβλήθηκε συμπληρωματική γνωστοποίηση παραβίασης, με τα νέα δεδομένα που προέκυψαν κατά τη διερεύνηση του περιστατικού.

Στη συνέχεια, η Αρχή, αφού εξέτασε την ανωτέρω απάντηση, ζήτησε με το υπ’ αρ. Γ/ΕΞΕ/1499/21-06-2022 έγγραφο τις πολιτικές και διαδικασίες πληροφορικής και ασφάλειας πληροφοριών του φορέα αλλά και τον τρόπο εφαρμογής των εν λόγω πολιτικών και διαδικασιών στο πλαίσιο της αντιμετώπισης του εν λόγω περιστατικού παραβίασης. Τα ΕΛΤΑ, απάντησαν με το υπ’ αρ. πρωτ. Γ/ΕΙΣ/8566/06-07-2022 έγγραφο υποβάλλοντας τα ακόλουθα:

I. Την πολιτική ασφάλειας συστημάτων & δεδομένων, όπως έχει εγκριθεί κατά την 1753/01.06.2018 συνεδρίαση του διοικητικού συμβουλίου της εταιρίας, τα κεντρικά σημεία της οποίας περιγράφονται αναλυτικά στο παράρτημα Α της απόφασης.

II. Την πολιτική προστασίας της ιδιωτικότητας από τον σχεδιασμό και εξ ορισμού (privacy by default and by design), όπως έχει εγκριθεί κατά την 1868/29.12.2021 (θέμα 2ο) Συνεδρίαση του Διοικητικού Συμβουλίου στην οποία, μεταξύ άλλων, αναφέρονται τα εξής:

α. Η εταιρία εφαρμόζει από σχεδιασμό την προστασία των δεδομένων με την εφαρμογή κατάλληλων τεχνικών μέτρων ανά περίπτωση και ανά επιδιωκόμενο σκοπό σε σχέση πάντα με τον ενδεχόμενο κίνδυνο.
β. Η εταιρία διασφαλίζει εξ ορισμού ότι η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα περιορίζεται μόνο σε εξουσιοδοτημένα άτομα.
γ. Η εταιρία στο πλαίσιο της προστασίας της ιδιωτικότητας ως προεπιλογή διασφαλίζει ότι τα προσωπικά δεδομένα προστατεύονται αυτόματα.

Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψιν της σειρά κριτηρίων σύμφωνα με τις κατευθυντήριες γραμμές 4/2022 του ΕΣΠΔ, μεταξύ των οποίων:

- «το μεγάλο εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000-5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές»,

- «το υψηλό ύψος της ζημίας, ήτοι εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά στοιχεία, οικονομικά δεδομένα κλπ. και η απώλεια διαθεσιμότητας υπηρεσιών»,

- «το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας»,

- το ότι έλαβε χώρα παραβίαση του συστήματος του υπευθύνου επεξεργασίας, μη εξουσιοδοτημένη πρόσβαση σε πόρους, εγκατάσταση κακόβουλων λογισμικών και δημοσιοποίηση δεδομένων στο σκοτεινό ιστό, όπως περιγράφεται αναλυτικά στα παραρτήματα Γ, Δ, Ε και ΣΤ.

-Το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας, όπως περιγράφεται αναλυτικά στα παραρτήματα Δ και Ε

- «το ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιριών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις».

Αντιθέτως, ως ελαφρυντικά στοιχεία ελήφθησαν υπόψιν – μεταξύ άλλων - η ενίσχυση της ασφάλειας του συστήματος μετά το περιστατικό και η δυσχερής οικονομική κατάσταση των ΕΛΤΑ κατά την εκδήλωση της επίθεσης.

Συνεκτιμώντας τα ανωτέρω, η Αρχή αποφάσισε να επιβάλει πρόστιμο 2.995.140 ευρώ. 

Επισυνάπτεται το Κέιμενο της Απόφασης.

Πηγή: https://www.dpa.gr/