Στα
τέλη Φεβρουαρίου 2024, με την απόφαση 10/2024, η Αρχή για την Προστασία
Προσωπικών Δεδομένων αποφάσισε να επιβάλει στα ΕΛ.ΤΑ. διοικητικό
πρόστιμο ύψους δύο εκατομμυρίων εννιακόσιων ενενήντα πέντε χιλιάδων
εκατόν σαράντα ευρώ (2.995.140 €), ως αποτέλεσμα παραβίασης πρωτοκόλλων
ασφαλείας που οδήγησε στη διαρροή προσωπικών δεδομένων έως 5.000.000
προσώπων.
Τα ΕΛ.ΤΑ. ενημέρωσαν την Αρχή στις 23/3/2022 και τις
27/7/2022 ότι το σύστημα λογισμικού της εταιρείας δέχτηκε κυβερνοεπίθεση
από τρίτους και διαρροή προσωπικών δεδομένων, τα οποία, σε επόμενη
φάση, δημοσιεύτηκαν στο σκοτεινό ιστό (Dark Web). Στις 29/12/2022 τα
ΕΛ.ΤΑ. πληροφόρησαν την Αρχή ότι «ως επακόλουθη δράση του ανωτέρω
περιστατικού, οι δράστες δημοσιοποίησαν στον σκοτεινό ιστό του
Διαδικτύου (Dark Web) προσωπικά δεδομένα που υπέκλεψαν κατά την
παραβίαση του συστήματος του υπευθύνου επεξεργασίας».
Από την
εξέταση των εγγράφων και ισχυρισμών που τέθηκαν ενώπιόν της, η Αρχή
Προστασίας Δεδομένων διαπίστωσε την τέλεση τεσσάρων παραβάσεων.
Ειδικότερα:
1. Από την εξέταση της τεχνικής έκθεσης περιστατικού
κυβερνοασφάλειας προέκυψε ότι τα ΕΛ.ΤΑ. δεν τηρούσαν επαρκή τεχνικά
μέτρα ασφαλείας στο σύστημα, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.
2. Από την εξέταση της πολιτικής ασφαλείας διαπιστώθηκε η μη ορθή εφαρμογή πολιτικών, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.
3.
Από την από 27-07-2022 γνωστοποίηση περιστατικού παραβίασης προέκυψε
ότι δε διασφαλίστηκε ο περιορισμός της πρόσβασης μόνο σε εξουσιοδοτημένα
άτομα, κατά παράβαση του άρθρου 5 παρ. 1 στοιχ. στ’.
4. Από την
εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι
δεν έγιναν αντιληπτές και δεν αποτράπηκαν οι δραστηριότητες ιχνηλάτησης
και αναγνώρισης εκ μέρους του δράστη και η απενεργοποίηση των μηχανισμών
ασφαλείας ως συνέπεια της εκτέλεσης διεργασιών του κακόβουλου
λογισμικού, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.
Δε διασφάλισαν, με
την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων, την
προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη
επεξεργασία, με αποτέλεσμα να λάβει χώρα απώλεια της κατά το άρθρο 5
παρ. 1 στοιχ. στ’ του ΓΚΠΔ επιβαλλόμενης εμπιστευτικότητας.
Δεν
εφάρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων, ώστε
να διασφαλιστεί ότι είναι σε θέση να αποδείξουν ότι πραγματοποίησαν
επεξεργασία, σύμφωνα με τους ορισμούς του άρθρου 32 του ΓΚΠΔ.
Δε
διασφάλισαν το απόρρητο, τη διαθεσιμότητα και την αξιοπιστία των
συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση και την
ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και
αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών
μέτρων για την ασφάλεια της επεξεργασίας, ούτως ώστε να διασφαλίζεται το
κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, για τα δικαιώματα των
υποκειμένων, κατά το άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ.
Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψη της επιβαρυντικώς σειρά παραγόντων, μεταξύ των οποίων:
-
Το μεγάλο εύρος των επηρεαζόμενων προσώπων, ήτοι 4.000.000-5.000.000,
μεταξύ των οποίων υπάλληλοι ΕΛ.ΤΑ., στελέχη, μέλη Δ.Σ., εκμισθωτές,
πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι,
συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές,
- Το
υψηλό ύψος της ζημίας, ήτοι εκτεταμένη διαρροή δεδομένων που αφορά
προσωπικά στοιχεία, οικονομικά δεδομένα κ.λπ. και η απώλεια
διαθεσιμότητας υπηρεσιών,
- Το ότι υπήρξαν παραλείψεις εφαρμογής της
πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από
μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με
τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη
αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από
τους μηχανισμούς προστασίας,
- Το ότι επηρεάστηκαν ιδιαίτερης
σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία
υπευθύνου επεξεργασίας και επηρεαζόμενων εταιρειών/φορέων, στοιχεία
εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά Δ.Σ., φωτογραφίες
προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση
κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων
δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών,
υπεύθυνες δηλώσεις/εξουσιοδοτήσεις.
Συνεκτιμώντας τα ανωτέρω, η Αρχή αποφάσισε να επιβάλει πρόστιμο 2.995.140 ευρώ.
Στα ψιλά πέρασε η είδηση...
Η είδηση πέρασε σχεδόν απαρατήρητη από τα συστημικά ΜΜΕ και καταδεικνύει ότι η πρόσφατη περίπτωση της διαρροής emails από το υπουργείο Εσωτερικών για λογαριασμό υποψήφιων ευρωβουλευτών είναι μόνο η κορυφή του παγόβουνου. Είναι επιτακτική ανάγκη διεξαγωγής ελέγχου αντοχής (crash tests) σε όλα τα λειτουργικά συστήματα υποδομών ζωτικής σημασίας (αεροδρόμια, λιμάνια, σιδηρόδρομος, οδική σηματοδότηση, εταιρείες ύδρευσης, τραπεζικός τομέας κ.ά.). Παράλληλα πρέπει να ελεγχθούν όλα τα συστήματα βάσεων δεδομένων προσωπικού Σωμάτων Ασφαλείας, Ενόπλων Δυνάμεων, Πολιτικής Προστασίας, καθώς πλέον οι Υπηρεσίες Πληροφοριών τρίτων χωρών “στρατολογούν” πληροφοριοδότες μέσω πρόσβασης σε αυτές τις βάσεις δεδομένων.
* Ο Κώστας Πικραμένος είναι διευθυντής
Ερευνών της CP Consulting, εταιρείας εκπόνησης στρατηγικών μελετών με
έδρα τη Μασσαλία και εμπειρογνώμονας στο Ευρωκοινοβούλιο σε θέματα
Στρατηγικής Ασφάλειας, Τουρκίας, Υπηρεσιών Πληροφοριών και Πολιτικού
Ισλάμ.
Δείτε στο αρχείο που ακολουθεί το σχετικό έγγραφο:
elta.pdf 365.19 KB - PDF https://www.neakriti.gr/apopseis/2050799_soyrotiri-kai-sta-elta
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου