Η Ένωση Πληροφορικών Ελλάδας ασκεί κριτική για την υπόθεση διαρροής προσωπικών και αποστολής emails σε αποδήμους από την ευρωβουλευτή Άννα Μισέλ Ασημακοπούλου.
Μεταξύ άλλων, στην ανακοίνωσή της τονίζει ότι υπήρξε από το υπουργείο Εσωτερικών καθυστέρηση 8 εβδομάδων και ότι «θα έπρεπε ήδη από τις πρώτες ώρες διαπίστωσης της διαρροής των προσωπικών δεδομένων (σίγουρα πριν τις 3/3/2024) να έχουν τεκμηριώσει πλήρως το γεγονός, μέσω των προβλεπόμενων διαδικασιών ελέγχου (auditing) που προβλέπεται σε ανάλογα περιστατικά πιθανής παραβίασης ασφάλειας».
Η ανακοίνωση
«Η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) επέλεξε συνειδητά να περιμένει την ολοκλήρωση της εσωτερικής έρευνας και την επίσημη ανακοίνωση εκ μέρους του Υπουργείου Εσωτερικών (ΥΠΕΣ), σχετικά με τη διαρροή προσωπικών δεδομένων αποδήμων που αποκαλύφθηκε μετά από μαζική αποστολή προεκλογικών μηνυμάτων στις καταχωρημένες διευθύνσεις emails.
Στις 26/4/2024 το ΥΠΕΣ ανακοίνωσε ότι η έρευνα ολοκληρώθηκε και προέκυψαν συγκεκριμένα πορίσματα, μεταξύ των οποίων:
Η διαρροή των προσωπικών δεδομένων όντως συνέβη στο ΥΠΕΣ, παρά την κάθετη άρνηση που αρχικά διατυπώθηκε στις 3/3/2024 από τον Γεν. Γραμ. Εσωτερικών και Οργάνωσης.
Στα δεδομένα που διέρρευσαν διαπιστώθηκε ότι όντως περιλαμβάνονται και τα καταχωρημένα emails των εκλογέων, παρότι αρχικά από το ΥΠΕΣ υπήρξε η διατύπωση ότι στα δεδομένα πολιτών που εκχωρούνται σε υποψηφίους εκλογών σύμφωνα με το νόμο δεν θα πρέπει να υπάρχουν προσωπικά στοιχεία επικοινωνίας.
Η διαρροή αφορά ξεκάθαρα εσωτερική παραβίαση και όχι εξωτερικό παράγοντα ή τεχνική παραβίαση μέτρων ασφαλείας (“…μη θεσμικά προβλεπόμενης διακίνησης, εντός του Υπουργείου Εσωτερικών, προσωπικών δεδομένων…”, “…συστήνονται πειθαρχικές ενέργειες στη βάση των ευρημάτων…”).
Δεν υπάρχει καμία διευκρίνιση σχετικά με το ποιος, πως και πότε ακριβώς συμμετείχε ενεργά ή παθητικά στη συγκεκριμένη παραβίαση, ούτε τα τεκμήρια που βρέθηκαν κατά την εσωτερική έρευνα και που προφανώς οδήγησαν στον πειθαρχικό έλεγχο.
Ως ΕΠΕ πιθανότατα θα αναμέναμε επιπλέον την ολοκλήρωση της εισαγγελικής διερεύνησης και των σχετικών ενεργειών εκ μέρους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Όμως, μετά τη δημοσίευση της παραπάνω ανακοίνωσης έγινε γνωστό ότι την ίδια μέρα με την ανακοίνωση (26/4) υπήρξε διάρρηξη στο ΥΠΕΣ και μάλιστα στο γραφείο του προϊσταμένου της Διεύθυνσης Εκλογών. Προφανώς οι εισαγγελικές Αρχές θα διαπιστώσουν αν και κατά πόσο το γεγονός συνδέεται ή όχι με την παραπάνω υπόθεση, όμως είναι σαφές ότι απαιτείται άμεση διερεύνηση στο υψηλότερο επίπεδο και προτεραιότητα εν όψει των ευρωεκλογών σε λίγες εβδομάδες, κάτι που ήδη αναμένεται με δύο ακόμα πορίσματα που θα ακολουθήσουν, από την Εθνική Επιτροπή Ασφάλειας Προσωπικών Δεδομένων και από την Εισαγγελία.
Αξίζει να σημειωθεί ότι, σύμφωνα με σχετικά δημοσιεύματα, “…ο υπάλληλος γνώριζε ότι ήταν λάθος όταν του ζήτησαν προσωπικά στοιχεία των εκλογέων εξωτερικού από τους καταλόγους που είχαν καταρτιστεί στις περσινές εθνικές εκλογές. Αλλά τα έδωσε (σύμφωνα με το πόρισμα) επειδή θεώρησε ότι οφείλει να ανταποκριθεί στην εντολή του προϊσταμένου του…”. Εφόσον επιβεβαιωθεί, αυτό πρακτικά σημαίνει ότι, όχι μόνο οι προβλέψεις του κανονισμού GDPR δεν εφαρμόζονται στο ΥΠΕΣ (αρμόδιο για τη διασφάλιση της εκλογικής διαδικασίας), αλλά παραβιάζονται πρόδηλα και σκόπιμα αντί από υποτιθέμενη άγνοια ή αβλεψία.
Επίσης, αξίζει να σημειωθεί ότι μόλις στις 26/5/2021, δύο χρόνια νωρίτερα από την παραπάνω υπόθεση και μετά από μια σειρά άλλων παρόμοιων υποθέσεων σε υπουργεία και φορείς του ευρύτερου Δημοσίου, εκδόθηκε απόφαση με τίτλο “Υποστηρικτικές Υπηρεσίες προς δημόσιους φορείς με στόχο τη συμμόρφωση προς τον Ευρωπαϊκό Κανονισμό για την Προστασία Δεδομένων GDPR (…)” και προϋπολογισμό 15 εκατ. €, με τελική ημερομηνία υποβολής προτάσεων στις 31/5/2021. Μεταξύ άλλων, στις δράσεις προβλέπονταν:
Διενέργεια Μελέτης Εκτίμησης Αντικτύπου για όποιες δραστηριότητες απαιτείται και ανάπτυξη/επικαιροποίηση κειμένων πληροφόρησης, συγκατάθεσης του πολίτη.
Ανάπτυξη / επικαιροποίηση πολιτικών και διαδικασιών προσωπικών δεδομένων, εκπαίδευση προσωπικού και έλεγχος εφαρμογής στην πράξη μέσω εσωτερικής επιθεώρησης.
Μελέτη και εφαρμογή μέτρων αυτοματοποιημένης επικαιροποίησης των εγγράφων συμμόρφωσης (DPIA, πολιτικές και διαδικασίες προσωπικών δεδομένων και ασφάλειας, αρχείο δραστηριοτήτων επεξεργασίας, κλπ.)
Στα παραπάνω υπογραμμίζονται τα στοιχεία που, αυτά και μόνο, θα έπρεπε ήδη από τις πρώτες ώρες διαπίστωσης της διαρροής των προσωπικών δεδομένων (σίγουρα πριν τις 3/3/2024) να έχουν τεκμηριώσει πλήρως το γεγονός, μέσω των προβλεπόμενων διαδικασιών ελέγχου (auditing) που προβλέπεται σε ανάλογα περιστατικά πιθανής παραβίασης ασφάλειας. Παρόλα αυτά, η παραδοχή εκ μέρους του ΥΠΕΣ καθυστέρησε οκτώ ολόκληρες εβδομάδες.
Δυστυχώς, ως ΕΠΕ είμαστε αναγκασμένοι να επανερχόμαστε ξανά και ξανά, ομολογουμένως με θλίψη, στα ίδια θέματα και σε πολύ συχνά τέτοια περιστατικά. Παρακάτω παραθέτουμε ενδεικτικά μερικά από αυτά:
Ανακοίνωση για τη διαρροή φορολογικών δεδομένων (2013)
Χωρίς πολιτική ασφαλείας τα πληροφοριακά συστήματα του Δημοσίου (2013)
Σοβαρό πρόβλημα ασφάλειας στην πλατφόρμα gov.gr
Ελλιπή τεχνικά μέτρα ασφάλειας σε ιστοτόπους δημόσιων φορέων
Επισημάνσεις σχετικά με τη σύμβαση Cisco-Webex με το υπουργείο Παιδείας
Περαιτέρω διερεύνηση του περιστατικού πιθανής παραβίασης ασφάλειας (Κτηματολόγιο)
Σχετικά με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)
Νέα αναβολή της αναβάθμισης ασφάλειας στις διαδικτυακές υπηρεσίες του TAXIS
Η εμπειρία μας δείχνει ότι το ζήτημα της ασφάλειας των πληροφοριακών συστημάτων και η προστασία των προσωπικών δεδομένων των πολιτών δεν ήταν ποτέ, ούτε είναι σήμερα στις προτεραιότητες των αρμόδιων φορέων στον ευρύτερο δημόσιο τομέα (και όχι μόνο). Όσο τα ζητήματα αυτά δεν αντιμετωπίζονται με την αρμόζουσα σοβαρότητα και επαγγελματισμό, δυστυχώς είναι απολύτως βέβαιο ότι θα συνεχίζονται περιστατικά όπως τα παραπάνω.
Παραμένουμε στη διάθεσή σας.
Το Διοικητικό Συμβούλιο
της Ένωσης Πληροφορικών Ελλάδας»
-
Νέα “θύελλα” ΟΠΕΚΕΠΕ: Το ΠΑΣΟΚ καταγγέλλει “καταχρηστική ασπίδα” του άρθρου 86 και ζητά Προανακριτική για Βορίδη – Αυγενάκη, μιλώντας για εκτροπή και απόπειρα παρεμπόδισης της Δικαιοσύνης
-
Εσωκομματικά “πυρά” στη ΝΔ – “Χτύπημα” από τον Νικήτα Κακλαμάνη στον Άδωνι Γεωργιάδη: Απαράδεκτη η εικόνα του σιδηροδέσμιου γιατρού, ο Υπουργός Υγείας έχασε το δίκιο του
-
Παντού μέσα ο Ερντογάν: Σχέδια για στρατιωτική επέμβαση και στο Ιράν – Σενάρια “ζώνης ανάσχεσης”, ντόμινο προσφυγικών ροών και το γεωπολιτικό παζάρι της Άγκυρας ανάμεσα σε Ουάσιγκτον και ΝΑΤΟ – Τι ετοιμάζει πάλι ο Σουλτάνος;
-
“Επιστρέφω επιτέλους κοντά σας”: Η συγκινητική επιστροφή της Σίας Κοσιώνη στο κεντρικό δελτίο του ΣΚΑΪ μετά από έναν μήνα απουσίας και δοκιμασίας με την υγεία της
-
Σοκ και τρόμος στη Γαστούνη: «Θα μας σκότωναν…» – Κραυγή απόγνωσης από τον ιδιοκτήτη περιπτέρου που ξυλοκοπήθηκε άγρια, μαζί με τον ανήλικο γιό του, από 20 Ρομά – Στο έλεος των κακοποιών οι πολίτες
-
Ένοχος ο Κώστας Δόξας για ενδοοικογενειακή βία σε βάρος της πρώην συζύγου του – Η ποινή που του επιβλήθηκε από το δικαστήριο
-
Τρομακτική σύγκρουση στη λεωφόρο Συγγρού: Μοτοσικλετιστής εκτινάχθηκε σε κολόνα μετά από πλαγιομετωπική πρόσκρουση με ΙΧ
-
Ραγδαίες εξελίξεις: Η Ε.Ε. καταγγέλλει τους δασμούς Τραμπ – Στον αέρα η μεγάλη εμπορική συμφωνία με τις ΗΠΑ
-
Σφαδρά “πυρά” Καρανίκα κατά Έλενας Ακρίτα: «Αυτό το “πράγμα” είναι επικίνδυνο, έπρεπε να την έχει αποβάλει ο Φάμελλος» – Η θέση για τον Άδωνι Γεωργιάδη και η επιστροφή Τσίπρα
-
Μετά τον Πούτιν και ο Μεντβέντεφ απειλεί Βρετανία και Γαλλία με πυρηνικό χτύπημα – Αν δώσουν ατομικό όπλο στην Ουκρανία…
-
Ίλιον: Διασώστης του ΕΚΑΒ κλήθηκε σε κέντρο διασκέδασης για λιποθυμία θαμώνα και… έπιασε το τραγούδι
-
Αχαρνών: Μονομαχία με κράνος και μαχαίρι στη μέση του δρόμου – Χειροπέδες σε δύο οδηγούς
-
Σε «Red Code» ξανά ο Έβρος – Χιλιάδες στρέμματα κάτω από το νερό
-
Σοκ στη χώρα: Φορέας HIV ερχόταν σε σεξουαλική επαφή με γυναίκες μόνο και μόνο για να τις κολλήσει και μετά γινόταν άφαντος
-
Βόλος: «Αμέρικαν μπαρ» βρεφονηπιακός – Τραυματισμός παιδιού, επίθεση από γονιό και συλλήψεις βρεφοκόμων