Τρεις κυρώσεις φτάνουν από τον Εγγυητή Απορρήτου για την επίθεση χάκερ στα συστήματα πληροφορικής της περιοχής του Λάτσιο το 2021. Ακολουθούν τα ποσά
Κυβερνοεπίθεση στα συστήματα πληροφορικής της περιοχής του Λάτσιο θυμάστε; Τώρα φτάνουν τα πρόστιμα από το Privacy Guarantor.
Η LAZIOcrea (η εταιρεία που διαχειρίζεται τα περιφερειακά συστήματα πληροφοριών), η περιφέρεια Lazio και η ASL Roma 3 θα πρέπει να πληρώσουν 271 χιλιάδες, 120 χιλιάδες και 10 χιλιάδες ευρώ αντίστοιχα. Αυτό καθόρισε ο Εγγυητής Απορρήτου στη διαδικασία που άνοιξε μετά την κυβερνοεπίθεση σχετικά με το περιφερειακό σύστημα υγείας που έλαβε χώρα τη νύχτα μεταξύ 31 Ιουλίου και 1ης Αυγούστου 2021. Αυτό ανακοινώθηκε από την Εγγυητική Αρχή Προσωπικών Δεδομένων υπό την προεδρία του Pasquale Stanzione στο ενημερωτικό δελτίο της 10ης Απριλίου 2024.
Οι χάκερ είχαν χτυπήσει τον ιστότοπο της Περιφέρειας, αυτόν του Περιφερειακού Συμβουλίου και την πύλη κρατήσεων για εμβόλια κατά του Covid-19, που διαχειριζόταν η Lazio Crea. Την εποχή που η τελευταία είχε δηλώσει ότι τα περιφερειακά δεδομένα υγείας ήταν ασφαλή, δεν είχαν παραβιαστεί και αποτυπώθηκαν, όπως και τα οικονομικά στοιχεία και η βάση δεδομένων του ισολογισμού. Ωστόσο, όπως υπογραμμίζεται στο σημείωμα του Εγγυητή, «Η παραβίαση δεδομένων – που προκλήθηκε από ransomware που εισήχθη στο σύστημα μέσω φορητού υπολογιστή που χρησιμοποιούσε υπάλληλος της Περιφέρειας – απέκλεισε την πρόσβαση σε πολλές υπηρεσίες υγείας, εμποδίζοντας, μεταξύ άλλων, τη διαχείριση κρατήσεων, πληρωμών , συλλογή αναφορών, καταγραφή εμβολιασμών. Οι τοπικές υγειονομικές αρχές, τα νοσοκομεία και τα γηροκομεία δεν μπόρεσαν να χρησιμοποιήσουν ορισμένα περιφερειακά πληροφοριακά συστήματα, μέσω των οποίων επεξεργάζονται δεδομένα για την υγεία εκατομμυρίων ασθενών, για χρονικό διάστημα που κυμαινόταν από λίγες ώρες (48) έως μερικούς μήνες».
Μετά τις έρευνες και έρευνες της υπόθεσης, στη συνέχεια επιβλήθηκαν οικονομικές κυρώσεις σε βάρος των τριών υπευθύνων όπως προβλέπει ο Κανονισμός (ΕΕ) 2016/679. Σύμφωνα με τη νομοθεσία για τις παραβιάσεις προσωπικών δεδομένων (παραβίαση δεδομένων), προβλέπονται οικονομικές κυρώσεις που μπορεί να φτάσουν έως και τα 10 εκατομμύρια ευρώ ή, στην περίπτωση των εταιρειών, έως και το 2% του συνολικού ετήσιου παγκόσμιου τζίρου.
Ως εκ τούτου, ο Εγγυητής Προστασίας Προσωπικών Δεδομένων επέβαλε συνολικό πρόστιμο 400 χιλιάδων ευρώ στην LAZIOcrea (την εταιρεία που διαχειρίζεται τα περιφερειακά πληροφοριακά συστήματα), την Περιφέρεια Λάτσιο και την ASL Roma 3.
Αρκεί να αναφέρουμε ότι μόλις τον περασμένο μήνα η ίδια αρχή επέβαλε πρόστιμο 2,8 εκατ. ευρώ στην τράπεζα UniCredit για παραβίαση προσωπικών δεδομένων που σημειώθηκε το 2018, η οποία αφορούσε χιλιάδες πελάτες και πρώην πελάτες.
Όλες οι λεπτομέρειες.
ΤΑ ΠΟΡΙΣΜΑΤΑ ΤΟΥ ΕΓΓΥΗΤΗ ΑΠΟΡΡΗΤΟΥ ΓΙΑ ΤΙΣ ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΤΗΣ ΠΕΡΙΟΧΗΣ ΛΑΤΣΙΟ
Από τις έρευνες και τις επιθεωρήσεις που διενήργησε η Αρχή, προέκυψε ότι η LAZIOcrea και η Περιφέρεια του Λάτσιο, «παρά τους διαφορετικούς ρόλους και επίπεδα ευθύνης, έχουν υποστεί πολυάριθμες και σοβαρές παραβιάσεις της νομοθεσίας περί απορρήτου, κυρίως λόγω της υιοθέτησης απαρχαιωμένων συστημάτων και η αποτυχία λήψης κατάλληλων μέτρων ασφαλείας για τον έγκαιρο εντοπισμό παραβιάσεων προσωπικών δεδομένων και την εγγύηση της ασφάλειας των δικτύων υπολογιστών», εξηγεί ο Εγγυητής.
Ειδικότερα, «η ανεπαρκής ασφάλεια των συστημάτων καθόρισε, κατά τη διάρκεια της κυβερνοεπίθεσης, την αδυναμία των περιφερειακών υγειονομικών υπηρεσιών να έχουν πρόσβαση στο σύστημα και να παρέχουν ορισμένες υπηρεσίες υγειονομικής περίθαλψης στους ασθενείς τους. Ειδικότερα, η μη διαθεσιμότητα των δεδομένων καθορίστηκε από την κυβερνοεπίθεση, η οποία κατέστησε απρόσιτους περίπου 180 εικονικούς διακομιστές, καθώς και από την επιλογή της LAZIOcrea να απενεργοποιήσει όλα τα συστήματα, μη μπορώντας να προσδιορίσει ποια ήταν σε κίνδυνο, ούτε να αποφύγει περαιτέρω διάδοση του κακόβουλου λογισμικού» εξηγεί η αρχή.
ΤΑ ΒΛΑΒΗ ΤΟΥ ΛΑΖΙΟΚΡΕΑ
Επιπλέον, σύμφωνα με τον Εγγυητή Προστασίας Προσωπικών Δεδομένων «Η LAZIOcrea δεν έχει εφαρμόσει τις απαραίτητες ενέργειες για τη σωστή διαχείριση της παραβίασης δεδομένων και των συνεπειών της, ιδίως προς τα υποκείμενα για τα οποία εκτελεί καθήκοντα ως υπεύθυνος επεξεργασίας δεδομένων (ξεκινώντας από τις πολυάριθμες εμπλεκόμενες εγκαταστάσεις υγειονομικής περίθαλψης) ".
Η ΕΥΘΥΝΗ ΤΗΣ ΠΕΡΙΦΕΡΕΙΑΣ ΛΑΤΣΙΟ
Από την πλευρά της, η Περιφέρεια του Λάτσιο, ως υπεύθυνος επεξεργασίας δεδομένων, «θα έπρεπε να έχει ασκήσει αποτελεσματικότερη εποπτεία της LAZIOcrea, ως υπεύθυνης επεξεργασίας δεδομένων της, διασφαλίζοντας ένα επίπεδο ασφάλειας κατάλληλο για τους κινδύνους καθώς και προστασία δεδομένων από το στάδιο του σχεδιασμού».
Η ΚΥΡΩΣΗ ΣΤΗΝ ΑΣΛ ΡΩΜΗ 3
Στην ASL Roma 3 η οποία, σε αντίθεση με άλλες εγκαταστάσεις υγειονομικής περίθαλψης, δεν κοινοποίησε την παραβίαση δεδομένων που προκλήθηκε από τη μη διαθεσιμότητα δεδομένων για την υγεία των ασθενών που υποβλήθηκαν σε επεξεργασία σε ορισμένα συστήματα, ο Εγγυητής επέβαλε πρόστιμο 10 χιλιάδων ευρώ.
Η ΘΕΣΗ ΤΗΣ ΑΡΧΗΣ
Τέλος, η Αρχή διευκρίνισε ότι «για τον καθορισμό του ύψους των κυρώσεων, ο Εγγυητής έλαβε υπόψη τη φύση και τη σοβαρότητα των παραβιάσεων, καθώς και τον βαθμό ευθύνης, ιδίως, υποκειμένων όπως η LAZIOcrea και η Περιφέρεια Λάτσιο».
Αυτή είναι μια αυτόματη μετάφραση μιας ανάρτησης που δημοσιεύτηκε στο Start Magazine στη διεύθυνση URL https://www.startmag.it/cybersecurity/le-mini-multe-del-garante-alla-regione-lazio-per-i-casini-informatici/ στις Wed, 10 Apr 2024 13:08:17 +0000.