Ταυτότητες, υπεύθυνες δηλώσεις με ΑΦΜ, άδειες οδήγησης σε κοινή θέα στο διαδίκτυο: Τα δεδομένα χιλιάδων πολιτών, που τηρούσε ο δήμος τους, βγήκαν στον… αέρα – “Καμπάνα” 20.000 ευρώ

Στον… αέρα του διαδικτύου βρέθηκαν αρχεία 1.200 πολιτών που ήταν διαθέσιμα σε σχετική εφαρμογή δήμου, ενώ όπως διαπιστώθηκε πραγματοποιήθηκαν συνολικά περίπου 3.800 προσπάθειες μη εξουσιοδοτημένης πρόσβασης, οι περισσότερες των οποίων υπήρξαν αποτυχημένες ή αφορούσαν το ίδιο αρχείο.

Αυτό προέκυψε από καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για περιστατικό παραβίασης δεδομένων που αφορά στην μη εξουσιοδοτημένη πρόσβαση από χρήστες του διαδικτύου σε ευχερώς προσπελάσιμα αρχεία με προσωπικά δεδομένα πολιτών.

Συγκεκριμένα, σύμφωνα με την καταγγελία, αρχεία με προσωπικά δεδομένα πολιτών του συγκεκριμένου δήμου ήταν ευχερώς προσπελάσιμα από οποιονδήποτε χρήστη μέσω του ιστότοπου «…», με αλλαγή του τελευταίου πενταψήφιου αριθμού που εμφανίζεται στη σχετική ηλεκτρονική (URL) διεύθυνση.

Η Αρχή διαπίστωσε ότι η ανωτέρω καταγγελία είναι βάσιμη και προς επιβεβαίωση ελεγκτές της Αρχής, στο πλαίσιο διερεύνησης της καταγγελίας, «κατέβασαν» ένα μεγάλο αριθμό αρχείων με προσωπικά δεδομένα πολιτών του δήμου από τον ανωτέρω σύνδεσμο.

Προσωπικά δεδομένα: Οι διαπιστώσεις της Αρχής για έλλειψη μέτρων

Στην προκειμένη περίπτωση από τα στοιχεία του φακέλου της υπόθεσης, σύμφωνα με την Αρχή, προκύπτει ότι για την εν λόγω επεξεργασία δεν λήφθηκαν εξ αρχής από το σχεδιασμό επαρκή μέτρα ασφάλειας σε σχέση με τους αντίστοιχους κινδύνους για τα δικαιώματα και ελευθερίες των φυσικών προσώπων, αλλά ούτε και ήταν σε εφαρμογή διαδικασίες ελέγχου της αποτελεσματικότητας των υφιστάμενων μέτρων ασφάλειας. Συγκεκριμένα:

• Δεν είχαν τεθεί σε εφαρμογή κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί η εμπιστευτικότητα των προσωπικών δεδομένων τα οποία επηρεάστηκαν με το εν λόγω περιστατικό παραβίασης δεδομένων και τα οποία αφορούν αιτήσεις δημοτών του υπευθύνου επεξεργασίας για διάφορα ζητήματα. Όπως προκύπτει από την περιγραφή του περιστατικού παραβίασης, μη εξουσιοδοτημένοι χρήστες μπορούσαν να αποκτήσουν ή / και απέκτησαν πρόσβαση σε προσωπικά δεδομένα δημοτών του υπεύθυνου επεξεργασίας, στα οποία συμπεριλαμβάνονται, μεταξύ άλλων, αντίγραφα αστυνομικών ταυτοτήτων, υπεύθυνες δηλώσεις φυσικών προσώπων με συμπληρωμένα όλα τα πεδία με προσωπικά δεδομένα που ζητούνται από έντυπο υπεύθυνης δήλωσης (όπως ονοματεπώνυμα, πατρώνυμα, μητρώνυμα, ημερομηνία γέννησης, ταχυδρομική/ηλεκτρονική διεύθυνση, ΑΦΜ, κτλ.), άδειες οδήγησης κ.α.Όπως επίσης προκύπτει από το ιστορικό της παρούσας, η μη εξουσιοδοτημένη πρόσβαση ήταν αρκετά ευχερής, αφού κάποιος χρήστης με βασικές τεχνικές γνώσεις δημιουργίας ιστοσελίδων θα μπορούσε εύκολα να «αναγνωρίσει» ότι υπάρχει η συγκεκριμένη ευπάθεια.
• Δεν φαίνεται να υπήρχαν επαρκή σημεία ελέγχου, ώστε να ανιχνεύεται έγκαιρα τέτοιου είδους παραβίαση προσωπικών δεδομένων, όπως τακτική παρακολούθηση, αξιολόγηση και εκτίμηση των αρχείων όπου καταγράφονται οι προσβάσεις σε αρχεία με προσωπικά δεδομένα δημοτών της συγκεκριμένης εφαρμογής (logs), προκειμένου να ανιχνευθούν μη «ύποπτες» συμπεριφορές (δηλαδή ενέργειες χρηστών που θα μπορούσαν να ερμηνευθούν ως μη εξουσιοδοτημένες προσβάσεις ή απόπειρες μη εξουσιοδοτημένων προσβάσεων). Αυτό επιβεβαιώνεται και από το γεγονός ότι η παραβίαση προσωπικών δεδομένων δεν έγινε αντιληπτή από τον υπεύθυνο επεξεργασίας, αλλά ούτε και από τον εκτελούντα την επεξεργασία, παρά μόνο όταν ο πρώτος ενημερώθηκε από την Αρχή κατόπιν καταγγελίας. Αυτό μάλιστα συνέβη και στις τρεις (3) διαφορετικές φορές που υπήρξε η σχετική ευπάθεια και, άρα, έλαβε χώρα αντίστοιχο περιστατικό παραβίασης δεδομένων.
• Το ίδιο περιστατικό παραβίασης πραγματοποιήθηκε τρεις (3) φορές, σε κάθε ενεργοποίηση νέας έκδοσης της εφαρμογής. Επομένως δεν υπήρξε αμέσως αποτελεσματική αντιμετώπιση του περιστατικού. Ειδικότερα, η αντιμετώπισή του ήταν προσωρινή, αφού συνίστατο στην πλήρη απενεργοποίηση της σχετικής ιστοσελίδας, γεγονός που δεν επέτρεπε στους δημότες του υπεύθυνου επεξεργασίας να αξιοποιούν την εν λόγω διαδικτυακή υπηρεσία: κάθε νέα ενεργοποίηση όμως της ιστοσελίδας εξακολουθούσε να φέρει την ίδια ευπάθεια – και αυτό συνέβη, όπως προαναφέρθηκε, για άλλες δύο φορές. Περαιτέρω, προκύπτει ότι δεν ήταν σε εφαρμογή αποτελεσματικοί μηχανισμοί διαχείρισης αλλαγών, ούτε μηχανισμοί αναγνώρισης κενού ασφαλείας που οδηγεί σε περιστατικό παραβίασης δεδομένων.

Πρόστιμο 20.000 ευρώ σε δήμο και εταιρεία διαχείρισης

Οι παραλείψεις αυτές οδήγησαν την Αρχή στην επιβολή συνολικού προστίμου 20.000 ευρώ, εκ των οποίων τα 15.000 στο δήμο και τα 5.000 ευρώ στην εταιρεία διαχείρισης.

Όπως επισημάνθηκε προέκυψε ότι «ο υπεύθυνος επεξεργασίας δεν αξιολόγησε έγκαιρα τη σοβαρότητα του περιστατικού ώστε να μεριμνήσει για την αποτελεσματική αντιμετώπισή του, αφού η ορθή αξιολόγηση έγινε τελικώς σχεδόν τρεις (3) μήνες από την επέλευσή του. Εξάλλου, η ενημέρωση που τελικά ο υπεύθυνος επεξεργασίας παρείχε, με καθυστέρηση, στα επηρεαζόμενα πρόσωπα δεν είναι ορθή αφενός διότι αναφέρεται σε κυβερνοεπίθεση, ενώ το περιστατικό δεν σχετίζεται με κυβερνοεπίθεση, με την οποία νοείται οποιαδήποτε κακόβουλη ενέργεια που λαμβάνει μέρος μέσω ηλεκτρονικού υπολογιστή ή δικτύου με σκοπό την τροποποίηση, καταστροφή, κλοπή, υποκλοπή η μη εξουσιοδοτημένη πρόσβαση στις πληροφορίες του κατόχου, και αφετέρου διότι δεν παρατίθενται αναλυτικά τα προσωπικά δεδομένα που διέρρευσαν σε άγνωστους τρίτους. Επιπλέον, ο υπεύθυνος επεξεργασίας δεν προέβη στην επικαιροποίηση των στοιχείων της γνωστοποίησης του περιστατικού στην Αρχή, ως όφειλε».

Παράλληλα, τονίζεται πως ο αριθμός των υποκειμένων των δεδομένων ο οποίος φαίνεται να επηρεάστηκε δεν μπορεί να θεωρηθεί μικρός, ενώ το γεγονός ότι δεν αντιμετωπίστηκε επαρκώς με αποτέλεσμα να συμβεί το ίδιο περιστατικό 3 φορές, δυνητικά θα μπορούσε να επηρεάσει μεγαλύτερο αριθμό επηρεαζόμενων υποκειμένων των δεδομένων.

«Η επεξεργασία αφορά μεν κυρίως «απλά» προσωπικά δεδομένα, στα οποία, όμως, περιλαμβάνονται και δεδομένα, όπως αστυνομικές ταυτότητες ή διαβατήρια τα οποία μπορούν εύκολα να χρησιμοποιηθούν σε περιστατικά υποκλοπής ταυτότητας (σε επιγραμμικά, π.χ., περιβάλλοντα) και, κατά συνέπεια, θεωρούνται δεδομένα των οποίων η παραβίαση μπορεί να επιφέρει σοβαρούς κινδύνους» καταλήγει η Αρχή.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr