11.1 C
Athens
Πέμπτη, 2 Δεκεμβρίου, 2021
ΑρχικήΝομικά ΘέματαΠροσωπικά Δεδομένα: Διαρροή από την Ελληνική Αστυνομία στο πλαίσιο κυβερνοεπίθεσης

Προσωπικά Δεδομένα: Διαρροή από την Ελληνική Αστυνομία στο πλαίσιο κυβερνοεπίθεσης


Του Δημήτρη Πατσιαβά,

Επίπληξη στην ΕΛ.ΑΣ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Απόφαση 43/2021)

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής ΑΠΔΠΧ ή Αρχή) επέβαλε στην Ελληνική Αστυνομία επίπληξη λόγω παράβασης του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR) με την Απόφαση 43/2021, για περιστατικό κυβερνοεπίθεσης που έλαβε χώρα το 2020.

Ι. Ιστορικό

Όλα ξεκίνησαν όταν πολίτης κατήγγειλε στην Αρχή ότι έλαβε τέσσερα μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς, οι οποίοι υποδύονταν στελέχη της Ελληνικής Αστυνομίας και τα οποία μηνύματα είτε έφεραν κακόβουλο λογισμικό (malware) είτε συνδέσμους (link), οι οποίοι παρέπεμπαν σε κακόβουλο λογισμικό. Η πρακτική αυτή είναι αρκετά συνήθης, κυρίως από επιτήδειους, οι οποίοι αποστέλλουν μηνύματα προσποιούμενοι ότι εργάζονται για τραπεζικά ιδρύματα, με την πρόφαση ότι ο τραπεζικός λογαριασμός του παραλήπτη του μηνύματος έχει μπλοκαριστεί ή επιδέχεται ενημέρωσης. Με τον τρόπο αυτό, πολλοί πολίτες πέφτουν θύματα των εγκληματιών, με αποτέλεσμα να πέφτουν στα χέρια των τελευταίων στοιχεία τραπεζικών λογαριασμών και να αποσπούν σημαντικά χρηματικά ποσά (η μέθοδος αυτή είναι αρκετά γνωστή ως “phishing”). 

Στην εν λόγω περίπτωση, από τα τέσσερα αυτά μηνύματα φάνηκε ότι το αρχικό μήνυμα που ο καταγγέλλων είχε αποστείλει προς την Ελληνική Αστυνομία το 2020 και περιελάμβανε προσωπικά του δεδομένα, όπως ονοματεπώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου και τον προσωπικό του κωδικό για την υπηρεσία Passenger Location Form, είχε διαρρεύσει σε άγνωστους τρίτους. Η απάντηση της Ελληνικής Αστυνομίας προς τον πολίτη ήταν πως υπήρξε πρόβλημα ασφαλείας στο ηλεκτρονικό της ταχυδρομείο, ενώ με επίσημο έγγραφο της προς την Αρχή, ανέφερε πως το διάστημα εκείνο έλαβε χώρα κυβερνοεπίθεση με κωδικό όνομα “EMOTET”, η οποία έπληξε αρκετά συστήματα παγκοσμίως. Μεγάλος αριθμός των επιθέσεων του “Emotet botnet” πραγματοποιήθηκε σε χρήστες στην Ελλάδα (περίπου 17,7 %). Πρόκειται για μία επίθεση, η οποία, ειδικά κατά το 2020 και μέχρι να κατασταλεί μετά από παγκόσμια δράση, αποτέλεσε μία από τις κορυφαίες και πιο σοβαρές απειλές στον κυβερνοχώρο, κατά τη διάρκεια της οποίας υποκλέπτονται μηνύματα ηλεκτρονικού ταχυδρομείου και στη συνέχεια προκαλείται μια αλυσιδωτή επιχείρηση μόλυνσης.

Η Αρχή έκρινε πως έχει επέλθει παραβίαση δεδομένων προσωπικού χαρακτήρα κατ’ άρθρο 4 του ΓΚΠΔ, δεν υπήρξε, ωστόσο, γνωστοποίηση του εν λόγω περιστατικού προς την Αρχή, όπως επιτάσσει το άρθρο 33 ΓΚΠΔ, ούτε προς τα θιγόμενα πρόσωπα (υποκείμενα των δεδομένων), σύμφωνα με το άρθρο 34 ΓΚΠΔ, καθώς ο κίνδυνος που προέκυψε από μια τέτοια διαρροή δεδομένων είναι υψηλός. Περαιτέρω, οι πληροφορίες που δόθηκαν από την Αστυνομία στον καταγγέλλοντα, στο πλαίσιο του αιτήματός του τελευταίου, ο οποίος άσκησε το δικαίωμα πρόσβασης που το χορηγεί ο ΓΚΠΔ, δεν θεωρήθηκαν πλήρεις.

Πηγή Εικόνας: rand.org

Σύμφωνα με το σκεπτικό της Αρχής, η Ελληνική Αστυνομία έδρασε σωστά κατ’ αρχήν στο πλαίσιο της αναφοράς του καταγγέλλοντος για τη διερεύνηση του περιστατικού. Ωστόσο, έσφαλε ως προς την εφαρμογή των άρθρων 33 και 34 του ΓΚΠΔ, σύμφωνα με τα οποία ο υπεύθυνος επεξεργασίας των δεδομένων (στην προκειμένη περίπτωση η Ελληνική Αστυνομία) πρέπει να ενημερώσει αμελλητί, και αν είναι δυνατόν εντός 72 ωρών από την στιγμή που έλαβε γνώση της παραβίασης, την Αρχή, εκτός και αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (άρθρο 33), ενώ κατά το άρθρο 34 πρέπει ο υπεύθυνος επεξεργασίας να ενημερώσει πέραν της Αρχής και τα υποκείμενα των δεδομένων, εφόσον η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Δεν έχει την τελευταία αυτή υποχρέωση ο υπεύθυνος επεξεργασίας, εάν έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας (λ.χ. ανωνυμοποίηση, κρυπτογράφηση) για την ασφάλεια της επεξεργασίας ή εάν η ενημέρωση αυτή προϋποθέτει δυσανάλογες ενέργειες. Ο υψηλός κίνδυνος που αναφέρεται στο άρθρο 34 είναι αρκετά γενικός όρος και πολλές φορές τα όρια του είναι αρκετά λεπτά, ώστε να κριθεί από τον εκάστοτε υπεύθυνο επεξεργασίας, αν είναι σκόπιμο να ενημερώσει τα φυσικά πρόσωπα, τα δεδομένα των οποίων έχουν παραβιαστεί.

Διαπιστώθηκε ακόμη, ότι σε πολλές περιπτώσεις δεν είχαν επικαιροποιηθεί λειτουργικά συστήματα ή αντιβιοτικά λογισμικά, που θα μπορούσαν να αποτρέψουν μία τέτοια παραβίαση. Η παράλειψη αυτή εκ μέρους της Ελληνικής Αστυνομίας φανερώνει μία σημαντική ανάγκη για επανεξέταση και επικαιροποίηση των μέτρων ασφαλείας, καθώς και την ανάγκη μίας πρακτικής/πολιτικής αντιμετώπισης παρόμοιων περιστατικών από την ΕΛ.ΑΣ.

Αξίζει να σημειωθεί ότι κατά τη λήψη απόφασης της εκάστοτε αρμόδιας Αρχής, για την επιβολή διοικητικού προστίμου, λαμβάνονται υπόψη οι παράγοντες που απαριθμούνται στο άρθρο 83 του GDPR, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, σχετικές προηγούμενες παραβάσεις, αν τυχόν έχουν συμβεί στο παρελθόν, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση, οι ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας για να μετριάσει τη ζημία, καθώς και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από την κάθε περίπτωση ξεχωριστά.

Σταθμίζοντας όλα τα παραπάνω, η Αρχή έκρινε ότι η ΕΛ.ΑΣ. στην συγκεκριμένη περίπτωση δεν είχε συμμορφωθεί πλήρως με τις υποχρεώσεις που πηγάζουν από τον ΓΚΠΔ, παραβιάζοντας τα άρθρα 15, 32, 33 και 34 του ΓΚΠΔ για την ικανοποίηση του δικαιώματος πρόσβασης, της ασφάλειας επεξεργασίας, της υποχρέωσης γνωστοποίησης της παραβίασης στην Αρχή και την υποχρέωση γνωστοποίησης της παραβίασης στα υποκείμενα των δεδομένων αντίστοιχα. Της αναγνωρίστηκαν, ωστόσο, και κάποια ελαφρυντικά, όπως για παράδειγμα ότι η κυβερνοεπίθεση “EMOTET” έπληξε μεγάλο αριθμό συστημάτων ανά τον κόσμο, καθώς και ότι η ΕΛ.ΑΣ. προέβη σε ενέργειες για την αντιμετώπιση της εν λόγω αλλά και την αποτροπή αντίστοιχης μελλοντικής επίθεσης, της επέβαλε, σύμφωνα με το άρθρο 58 παρ. 2 περ. β’ ΓΚΠΔ, τη διοικητική κύρωση της επίπληξης, κρίνοντάς την ως την καταλληλότερη βάσει της βαρύτητας των παραβάσεων του Κανονισμού.


ΕΝΔΕΙΚΤΙΚΕΣ ΠΗΓΕΣ
  • “Διαρροή προσωπικών δεδομένων από την Ελληνική Αστυνομία λόγω κυβερνοεπίθεσης (ΑΠΔΠΧ απόφαση 43/2021)”, διαθέσιμο εδώ
  • “Το κακόβουλο botnet Emotet ξαναχτυπά και μάλιστα αυτή τη φορά οι επιθέσεις αφορούν μεγάλο αριθμό χρηστών στην Ελλάδα”, διαθέσιμο εδώ
  • Η απόφαση διαθέσιμη εδώ

 

TA ΤΕΛΕΥΤΑΙΑ ΑΡΘΡΑ

Δημήτρης Πατσιαβάς
Γεννήθηκε στη Θεσσαλονίκη το 1996. Είναι δικηγόρος Αθηνών, με μεταπτυχιακό στο Δίκαιο και Πληροφορική. Τον απασχολούν ιδιαίτερα ζητήματα προσωπικών δεδομένων και πνευματικής ιδιοκτησίας. Μιλάει αγγλικά και γαλλικά. Στον ελάχιστο ελεύθερό του χρόνο ασχολείται με τον αθλητισμό και τις εκδρομές, καθώς λατρεύει να ανακαλύπτει νέα μέρη.