ΕΑΠ: ενημέρωση για διαρροή προσωπικών δεδομένων από επίθεση στις 25/10/2024

[nnn]

Δελτίο Τύπου:
Στο πλαίσιο της υπεύθυνης και διαφανούς ενημέρωσής σας, αναφορικά με την κακόβουλη επίθεση που είχε δεχτεί το Ίδρυμα, από ομάδα κυβερνοεγκληματιών, στις 25/10/2024, θα θέλαμε, αρχικώς, να σας ενημερώσουμε ότι η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη αλλά με βάση τα έως τώρα ευρήματα είμαστε σε θέση να παρέχουμε νέα ενημέρωση πάνω σε αυτό το θέμα.

Το περιστατικό

Στις 25/10/2024 εντοπίσαμε ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση. Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων. Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου.

Η έκταση της διαρροής

Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων. Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας. Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή είναι περιορισμένης κλίμακας. Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή. Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις.

Επιπρόσθετα, σύμφωνα με τις έως τώρα αναλύσεις, το συγκεκριμένο αρχείο που διέρρευσε δεν είναι εφικτό, στην παρούσα φάση, να ληφθεί ολόκληρο. Αυτό που μπορεί να καταστεί διαθέσιμο για λήψη, είναι αρκετά μικρότερο από το αρχικό σύνολο των δεδομένων που υποκλάπηκαν (περίπου 65 GB έχουν ανακτηθεί).

Κατηγορίες προσωπικών δεδομένων που ενδεχομένως να διέρρευσαν

Το Ίδρυμα προβαίνει σε ενημέρωση σχετικά με τις πιθανές κατηγορίες δεδομένων που ενδέχεται να έχουν επηρεαστεί. Η αναφορά μας περιλαμβάνει δεδομένα/κατηγορίες δεδομένων που θα μπορούσαν θεωρητικά να έχουν εκτεθεί.

Ονοματεπώνυμο, Πατρώνυμο / Μητρώνυμο, Ιδιότητα, Στοιχεία Συγγενών, Υπηκοότητα, Φύλο, Ημερομηνία Γέννησης, ΑΦΜ, ΑΜΚΑ, ΑΜ, ΑΔΤ, Υπογραφή (φυσική), Φωτογραφίες, όνομα χρήστη, Δεδομένα Επικοινωνίας (Ταχυδρομική Διεύθυνση, Αριθμός τηλεφώνου (σταθερό & κινητό), Διεύθυνση ηλεκτρονικού ταχυδρομείου (προσωπική & ιδρύματος), ηλεκτρονική αλληλογραφία), Ακαδημαϊκά και Εκπαιδευτικά Δεδομένα & Τίτλοι Σπουδών (Βαθμολογίες και επιδόσεις, Τίτλοι σπουδών, Βεβαιώσεις σπουδών), Δεδομένα Υγείας, Οικονομικά Δεδομένα (IBAN, στοιχεία τιμολόγησης, στοιχεία πληρωμής δαπάνης), Δεδομένα Επαγγελματικής & Ερευνητικής Δραστηριότητας (Βιογραφικό σημείωμα, ερευνητικό / επαγγελματικό / διδακτικό / συγγραφικό έργο), Δεδομένα Αποφάσεων Συλλογικών Οργάνων, αποφάσεις επιτροπών, Δεδομένα Συμβάσεων, Αναδόχων & Προσφορών.

Ωστόσο, βάσει των μέχρι τώρα διαθέσιμων ενδείξεων και της συνεχιζόμενης έρευνας, η πραγματική διαρροή φαίνεται να περιορίζεται σε σαφώς μικρότερο εύρος δεδομένων.

Ενέργειες που έγιναν προς αντιμετώπιση του περιστατικού

Το Ε.Α.Π. εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πιο συγκεκριμένα:

Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής.
Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα.
Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού.
Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται).
Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων.
Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις.
Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό.
Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση.
Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας.
Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν.

Ενδεχόμενες συνέπειες της διαρροής για τα υποκείμενα των δεδομένων

Μία διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως:
Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
Απόπειρες απάτης, μέσω email ή τηλεφώνου.
Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες.
Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων.
Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική).
Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).
Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς.
Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες.
Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται. Παρ’ όλα αυτά, συνιστούμε σε όλους τους ενδιαφερόμενους να λαμβάνουν τα κατάλληλα μέτρα προστασίας, διασφαλίζοντας τα δικαιώματά τους ως υποκείμενα δεδομένων. Με αυτόν τον τρόπο, όχι μόνο συμμορφώνονται με τις απαιτήσεις προστασίας αλλά και ενισχύουν, ενεργά, την ιδιωτικότητά τους.

Μέτρα προστασίας για τα υποκείμενα των δεδομένων

Για την προστασία σας, σας συνιστούμε να ακολουθήσετε τις εξής οδηγίες:

Αλλάξτε, άμεσα, τους κωδικούς πρόσβασης στους λογαριασμούς σας (ηλεκτρονικού ταχυδρομείου και υπηρεσιών μητρώου). Συνιστάται η χρήση ενός μοναδικού και ισχυρού κωδικού, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων. Επιπλέον, προτείνεται η τακτική αλλαγή του κωδικού, ιδανικά κάθε έξι μήνες.
Αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες.
Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες.
Μην ανοίγετε συνδέσμους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.
Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας.
Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο.
Περιορίστε τη δημοσίευση προσωπικών πληροφοριών σε δημόσιες πλατφόρμες και κοινωνικά δίκτυα.
Ρυθμίστε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας.
Ενημερώστε, άμεσα, τον πάροχο υπηρεσιών σας εάν παρατηρήσετε ύποπτη δραστηριότητα σε προσωπικούς ή επαγγελματικούς σας λογαριασμούς.
Σε περίπτωση που αρχίσετε να λαμβάνετε ανεπιθύμητες, εμπορικές κλήσεις, εξετάστε την πιθανότητα εγγραφής σας, μέσω των σχετικών, νόμιμων διαδικασιών στο μητρώο της παρ. 2, άρθρου 11, Ν. 3471/2006.
Σε περίπτωση που λαμβάνετε ενοχλητικά, διαφημιστικά email, μηνύματα ή μηνύματα τα οποία δε σχετίζονται με την εκπαιδευτική διαδικασία στις ηλεκτρονικές διευθύνσεις που σας έχουν δοθεί από το Ε.Α.Π., παρακαλούμε να τα γνωστοποιείτε στο Γραφείο Δικτυακών και Πληροφοριακών Υπηρεσιών, προωθώντας τα εν λόγω μηνύματα στην email διεύθυνση abuse@eap.gr, έτσι ώστε να λαμβάνονται όλα τα απαραίτητα μέτρα.
Επιπρόσθετα, μπορείτε να ενημερωθείτε για περισσότερες, ενδεικτικές, καλές πρακτικές προστασίας προσωπικών δεδομένων, στον κάτωθι οδηγό.

https://www.eap.gr/wp-content/upload.../dpo_guide.pdf

Η ανάκτηση, η ταξινόμηση και η ανάλυση των σχετικών αρχείων αποτελούν διαδικασίες που απαιτούν εξειδικευμένες γνώσεις και τεχνικά προηγμένες μεθόδους. Λόγω της τεχνικής φύσης και την πολυπλοκότητας αυτών των διαδικασιών και της ανάγκης συμμόρφωσης με το νομικό πλαίσιο περί προστασίας προσωπικών δεδομένων, η πλήρης διερεύνηση μπορεί να είναι ιδιαίτερα χρονοβόρα.

Θα θέλαμε να τονίσουμε ότι το Ε.Α.Π. συνεργάζεται, πλήρως, με τις αρμόδιες, εποπτικές αρχές, παρέχοντας κάθε απαιτούμενη πληροφόρηση και διευκόλυνση, στο πλαίσιο της διερεύνησης του περιστατικού, σε πλήρη συμμόρφωση με το ισχύον, νομικό και κανονιστικό πλαίσιο.

Δεδομένου ότι το ψηφιακό περιβάλλον είναι δυναμικό και συνεχώς εξελισσόμενο, με νέες προκλήσεις και τεχνολογικές μεταβολές που επηρεάζουν, άμεσα, τις απαιτήσεις κυβερνοασφάλειας, το Ε.Α.Π. δεσμεύεται να διατηρεί ένα διαρκώς, επικαιροποιημένο και προσαρμοσμένο στις συνθήκες πλαίσιο προστασίας, με στόχο τη μέγιστη, δυνατή διασφάλιση της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας των δεδομένων των χρηστών μας.

[ariadgr]

Το δελτίο τύπου βγήκε 5 μήνες μετά τη διαρροή; Στο πλαίσιο της υπεύθυνης και διαφανούς ενημέρωσης;

[nnn]

Το δελτίο τύπου βγήκε 5 μήνες μετά τη διαρροή; Στο πλαίσιο της υπεύθυνης και διαφανούς ενημέρωσης;

Μάλλον για να προλάβουν το πρόστιμο ....

[mzaf]

[YAziDis]

Μάλλον για να προλάβουν το πρόστιμο ....

ποιο πρόστιμο; Δηλαδή μετά από τόσο καιρό και δε θα γίνει κάτι αυτεπάγγελτο; Εμένα πριν από λίγο με ενημέρωσε συγγενής μου που επηρεάζεται από την διαρροή λογικά.

[netblues]

Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας. Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes)

Εχουμε κατι terrabytes απο video, αλλα μας πηραν μονο τη database που ηταν μονο 813Gb, ταπεινα data χρηστων.
γελανε και τα τσιμεντα. Δουλεμα στα μουτρα του ποπολου.

Σε περίπτωση που αρχίσετε να λαμβάνετε ανεπιθύμητες, εμπορικές κλήσεις, εξετάστε την πιθανότητα εγγραφής σας, μέσω των σχετικών, νόμιμων διαδικασιών στο μητρώο της παρ. 2, άρθρου 11, Ν. 3471/200

Θα πειτε και αλλα ασχετα? Δλδ οι εταιρειες ρευματος ψωνιζουν κλεμμενα data για πελατολογιο, και θα τους σταματησει το αρθρο 11? Αληθεια?

Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack)

Η επεξηγηση εντος παρενθεσης ειναι για οσους δεν καταλαβαν το εκτος παρενθεσης. Ποιοι ειναι αυτοι ακριβως?

Οποτε ειχαμε μια επιθεση με ransomware, που οδηγησε σε

Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων.

Κοινως, ξεβρακωμα, ασχετο ομως με ransomware. Παραπληροφορηση once more.

Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή.

Τι να πρωτοχωρεσει ενας τυπικος υπολογιστης. Δυο ονοματα γραφεις, και παει.. γεμισε. Ειστε σιγουρα της πληροφορικης? Εκπαιδευετε και κοσμο ? congrats.

Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις.

Τι λες βρε παιδι μου. ΚΑΙ αυτο το ξερετε? Αυτες τις γνωσεις προφανως μονον εσεις τις εχετε, μιας και εχετε βρει ενα μερος μονο., οι υπολοιποι ειμαστε γατακια.
Οσο εσεις ψαχνετε στο σκοτεινο διαδικτυο, εμεις τα βρηκαμε στο Internet.
Δεν ειναι μονο διαδικτυο, ειναι και σκοτεινο, και ως μερος της ειδικης τους γνωσης προκυπτει οτι διαδικτυο = web.
Ειμαι σιγουρος οτι ολα τα email που εχουν ειναι της μορφης wwwgramateiasxolis@eap.gr καθοτι οπως ολοι ξερουμε, ολες οι διευθυνσεις στο Internet ξεκινανε με www
(Ειναι trend αυτο, οχι αστεια).


Και στο τελος, ετσι για μπουγιο, μας δινει και συμβουλες... προστασιας. Ντρεπεται μεχρι και η ντροπη. Παντα τετοια.

Το να την φας, ειναι στο προγραμμα, συμβαινει και στις καλυτερες οικογενειες.
Το να παινευεσαι ομως οτι τα κανεις ολα σωστα και να δινεις και συμβουλες γυρω γυρω, σημαινει οτι τιποτε δεν εμαθες. Ισως την επομενη φορα μαθουν κατι παραπανω.

[mzaf]

@netblues
Χαρά στο κουράγιο σου να κάτσεις να γράψεις τα αυτονόητα. Οι άνθρωποι δεν ενδιαφέρονται (και, συνήθως, δεν ξέρουν την τύφλα τους) για ασφάλεια.
Όχι μόνο στο ΕΑΠ....ΠΑΝΤΟΥ.

[konig]

ανοιχτο πανεπιστημιο


στην κυριολεξια

[Jim Black]

Τι να πρωτοσχολιάσεις;
1) Το γεγονός ότι βγήκε ανακοίνωση 5 μήνες μετά το συμβάν;
2) Το γεγονός ότι όλο χαρά(;; μας ενημερώνουν ότι παραβιάστηκαν μόνο(!!!) 813BG τα οποία όλως τυχέως περιείχαν προσωπικά δεδομένα διότι προφανώς δεν είναι χαζοί έτσι ώστε να ασχοληθυούν με τα υπόλοιπα terra τα οποία περιείχαν εργασίες και άλλα άσχετα έγγραφα αλλά πήγαν κατευθείαν στο ζουμί;
3) Η' το γεγονός ότι ένα πανεπιστήμιο σαν το ΕΑΠ το οποίο λειτουργεί σχεδόν εξ' ολοκλήρου online δεν φρόντισε για το προφανές, δηλαδή για την ασφάλεια των δεδομένων του καθώς και των σπουδαστών του;

Τέλος να σημειώσω εδώ ότι έχει δεχτεί πολλές φορές το ΕΑΠ κριτικές για τις υπέρογκες χρεώσεις στα δίδακτρα του δεδομένου ότι όλα σχεδόν γίνονται online και μάλιστα φέτος για όχι μόνο δεν προχώρησε στην μείωση τους αλλά ίσα ίσα που τα αύξησε σχεδόν σε όλες τις σχολές του!

ανοιχτο πανεπιστημιο


στην κυριολεξια

[ipo]

Δυστυχώς οι επιθέσεις τύπου ransomware αυξάνονται και πάνε. Το βασικό πρόβλημα με τη διαρροή προσωπικών στοιχείων, μέχρι και αντιγράφων υπογραφών, είναι η υποκλοπή ταυτότητας και η πλαστογραφία.

Σε αυτές τις περιπτώσεις, ένας υπεύθυνος οργανισμός που υπέστη τέτοια παραβίαση συστημάτων, πληρώνει στους πελάτες-θύματα υπηρεσίες identity theft protection. Το έχει κάνει αυτό ο συγκεκριμένος φορέας;


Θα είχε ενδιαφέρον να μάθουμε τι κενά ασφαλείας εκμεταλλεύτηκαν και διείσδυσαν στα συστήματα. Να μαθαίνουμε οι υπόλοιποι και να γινόμαστε κάπως πιο ανθεκτικοί. Η ασφάλεια είναι συλλογική διαδικασία και θέλει διαφάνεια (crowd threat intelligence). Όλοι είμαστε συνεχώς εκτεθειμένοι σε απειλές και είναι θέμα χρόνου να χτυπήσει ή να σπάσει την πόρτα μας.

Καλό που είχαν έστω και παλιότερο cold backup. Άραγε η "υποδομή αντιγράφων ασφαλείας" πώς κατέρρευσε; Ήταν μονίμως online ή περίμεναν οι hacker να σηκωθεί και τότε την κατέλαβαν; Αν ήταν online, σημαίνει ότι είχε σχεδιαστεί κυρίως για hardware failures και disasters και όχι για επίθεση ransomware.

[Cha0s]

Το δελτίο τύπου βγήκε 5 μήνες μετά τη διαρροή; Στο πλαίσιο της υπεύθυνης και διαφανούς ενημέρωσης;

Yeap. Τώρα όπου νάναι πλησιάζει η ώρα να βγάλει και ο Φουρλής για το περιστατικό του Νοεμβρίου.
Πάνω απόλα υπευθυνότητα!

[Sebu]

Μάλλον για να προλάβουν το πρόστιμο ....

Τι προστιμο να προλαβουν? Προκειται για ευαισθητα προσωπικα δεδομενα που εχουν αυστηρες προθεσμιες ενημερωσης της ΑΠΔΠΧ και του κοινου σε περιπτωση διαρροης και παραβιασεων, αν θυμαμαι καλα παιζει να ειναι και 24 ωρες ή κατι παραπλησιο.
Και μονο αν δεν τηρησουν την υποχρεωση για ενημερωση εντος των περιθωριων του νομου για διαρροη προσωπικων δεδομενων θα εχει προστιμο απο την ΑΠΔΠΧ.
Εκτος και αν εφαγαν ηδη προστιμα και απλα στα Μετρα Συμμορφωσης και τις Διορθωτικες Ενεργειες ηταν και η ενημερωση του κοινου με καθε προσφορο μεσο και επελεγη το Δελτιο Τυπου γιατι η ενημερωση εναν εναν θα κοστιζε παρα πανω μαλλον.

Λχ εδω η ΑΠΔΠΧ εβαλε προστιμο το 2025 για παραβιαση της Εθνικης το 2020
Καλα κρασια...Ελλαδα -2.0
Ο νομος ειναι για να τηρειται με χρονοκαθυστερηση στη μπανανια της νοτιας Βαλκανικης...

https://www.dpa.gr/el/enimerwtiko/pr...iko-parabiasis

Και μερικες αλλες ενδιαφερουσες αποφασεις μιας και επεσα επανω τους

Αυτεπάγγελτη εξέταση και υποβολή καταγγελιών για τη νομιμότητα της επεξεργασίας βιομετρικών δεδομένων σε σύστημα ελεγχόμενης εισόδου

Εντολή συμμόρφωσης για μη σύννομη εγκατάσταση συστήματος βιντεοεπιτήρησης σε οικία

Εξέταση καταγγελίας υπαλλήλου της ΕΥΠ με αντικείμενο τη διαρροή προσωπικών δεδομένων

Παραπλησια υποθεση, καταγγελια απο υπαλληλο της ΕΥΠ το 2021 για διαρροη προσωπικων δεδομενων, η Αρχη εβαλε προστιμο το 2024. Ενταξει τις πηρε 3 χρονια, συμβαινουν αυτα

[konig]

σιγουρα θα πρεπει να πληρωσουν τους παντες αν τους πανε δικαστικα οπως εγινε και με την cosmote

[Jim Black]

Αν είμασταν στις ΗΠΑ, που εκεί τρέχουν στα δικαστήρια για κάθε λογής βλακεία, τώρα ήδη θα είχε κινηθεί νομικά μεγάλο μέρος των σπουδαστών.
Μακάρι να γίνει και εδώ κάτι αντίστοιχο μπας και σοβαρευτούν κάποιοι και αντιληφθούν ότι ο τομέας της κυβερνοασφάλειας είναι πολύ σημαντικός.

[ImNickDDMe]

Αν είμασταν στις ΗΠΑ, που εκεί τρέχουν στα δικαστήρια για κάθε λογής βλακεία, τώρα ήδη θα είχε κινηθεί νομικά μεγάλο μέρος των σπουδαστών.
Μακάρι να γίνει και εδώ κάτι αντίστοιχο μπας και σοβαρευτούν κάποιοι και αντιληφθούν ότι ο τομέας της κυβερνοασφάλειας είναι πολύ σημαντικός.

Η ειρωνία είναι ότι χθες έκανα ένα workshop πάνω στο linux hardening και σημερά διαβάζω αυτό.