Author: Aimilios Koronaios

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 1/02/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΕΛ.ΑΣ. – Λούτρινο κουκλάκι

Αστυνομικοί του Τμήματος Ασφαλείας Θέρμης συνέλαβαν ημεδαπή 26 ετών για παραβίαση του απορρήτου τηλεφωνικής επικοινωνίας και προφορικής συνομιλίας. Προηγήθηκε καταγγελία του πρώην συζύγου της, σύμφωνα με την οποία, αφού ο ίδιος παρέλαβε το ανήλικο τέκνο τους, βάσει σχετικής απόφασης, μετέβη σε κατοικία που διαμένει. Εκεί, μεταξύ προσωπικών αντικειμένων του παιδιού, αυτός εντόπισε λούτρινο κουκλάκι, στο οποίο υπήρχε επιμελώς κρυμμένο και ενεργοποιημένο USB stick, που κατέγραφε προσωπικές του συνομιλίες. Η συλληφθείσα, με τη δικογραφία που σχηματίστηκε σε βάρος της, οδηγήθηκε στον αρμόδιο Εισαγγελέα.

Κύπρος – Σύστημα Υγείας

Καταγγελία υποβλήθηκε στο Γραφείο Επιτρόπου Κύπρου σχετικά με πρόσβαση σε λογαριασμό πολίτη στο πληροφοριακό σύστημα του Γενικού Συστήματος Υγείας (ΓεΣΥ) από ιατρό. Συγκεκριμένα, ως η καταγγέλλουσα ανέφερε, διαπίστωσε πρόσβαση στα προσωπικά της δεδομένα από την ιατρό, στην ηλεκτρονική πύλη δικαιούχων του ΓεΣΥ, χωρίς να τη γνωρίζει, χωρίς να υπάρχει παραπεμπτικό και χωρίς την άδειά της. Στο πλαίσιο της διερεύνησης, τόσο η καταγγέλλουσα όσο και η ιατρός ανέφεραν προς το Γραφείο Επιτρόπου ότι εκάστη δεν γνώριζε την άλλη και ότι η ιατρός δεν εξέτασε την καταγγέλλουσα. Η τελευταία δεν μπόρεσε όμως να αποδείξει ότι έλαβε με νόμιμο τρόπο τα προσωπικά δεδομένα της καταγγέλλουσας και ότι είχε εξουσιοδότηση όπως επιτύχει πρόσβαση στην πύλη δικαιούχου. Για τους λόγους αυτούς της επιβλήθηκε διοικητικό πρόστιμο ύψους 1.500 ευρώ.

Ε.Δ.Δ.Α. – Καταδίκη Ελλάδος

Απόφαση σε βάρος της Ελλάδος εξέδωσε το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ), με την οποία καλείται η χώρα μας να καταβάλει ποσό ύψους 70.000 ευρώ. Η υπόθεση αφορούσε εκδιδόμενα πρόσωπα τα οποία συνελήφθησαν στο πλαίσιο αστυνομικής επιχείρησης στο κέντρο της Αθήνας το 2012. Κατόπιν ιατρικών εξετάσεων, συμπεριλαμβανομένων εξετάσεων αίματος, διαπιστώθηκε ότι αυτά ήταν οροθετικά. Με διάταξη μάλιστα εισαγγελέα δημοσιοποιήθηκαν τα ονόματά τους, οι φωτογραφίες τους και το γεγονός ότι ήταν οροθετικά, στη συνέχεια δε υπήρξε μεγάλη διασπορά των εν λόγω στοιχείων από δημοσιογραφικά μέσα. Όπως έκρινε το ΕΔΔΑ, εν προκειμένω συνέτρεχε παραβίαση του άρθρου 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου για το δικαίωμα σεβασμού της ιδιωτικής ζωής, αφενός λόγω των υποχρεωτικών εξετάσεων αίματος, δίχως να υφίσταται το αναγκαίο νομοθετικό πλαίσιο, και αφετέρου λόγω της ως άνω δημοσιοποίησης προσωπικών δεδομένων.

Ελβετία – Αίθουσα διακομιστή

Τον επικαιροποιημένο οδηγό με προτεινόμενα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων δημοσίευσε στην ιστοσελίδα της στην αγγλική γλώσσα η εποπτική αρχή. Μεταξύ άλλων, θίγεται και το θέμα της ασφάλειας της αίθουσας διακομιστή (server room). Όπως σημειώνεται, πρόκειται για τον πιο ευαίσθητο χώρο ενός οργανισμού, καθώς τα δεδομένα αποθηκεύονται στα μηχανήματα τα οποία βρίσκονται σε αυτόν. Για την προστασία του, λοιπόν, προτείνονται ο περιορισμός του αριθμού των προσώπων τα οποία είναι εξουσιοδοτημένα να εισέρχονται σε αυτόν, η ανάθεση της καθαριότητας του στα ίδια πρόσωπα του προσωπικού καθαρισμού, η καταγραφή όσων εισέρχονται σε αυτόν και η προστασία του με σύστημα συναγερμού. Επίσης, η επιλογή υπόγειου χώρου για την αίθουσα διακομιστή, ώστε να ελαχιστοποιούνται τα σημεία φυσικής πρόσβασης, π.χ. πόρτες και παράθυρα, καθώς και η αυτόματη ανίχνευση φυσικών συμβάντων, όπως φωτιές ή πλημμύρες, μέσω ειδικών συστημάτων.

Η.Π.Α. – Νέα νομοθεσία

Η δέκατη τρίτη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών -και η πρώτη για το 2024- έγινε το Νιου Τζέρσεϊ, μετά τις Αϊόβα, Βιρτζίνια, Γιούτα, Ιντιάνα, Καλιφόρνια, Κολοράντο, Κονέκτικατ, Μοντάνα, Ντέλαγουερ, Όρεγκον, Τενεσί και Τέξας. Ο νέος νόμος, ο οποίος υιοθετήθηκε, θα τεθεί σε εφαρμογή τον Ιανουάριο του 2025. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στο Νιου Τζέρσεϊ ή παράγουν προϊόντα / παρέχουν υπηρεσίες με αποδέκτες καταναλωτές αυτού. Για να κληθεί σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το αν λαμβάνει χώρα πώληση προσωπικών δεδομένων.

Ιταλία – Βρέφος

Πρόσκληση απηύθυνε η εποπτική αρχή της χώρας στον τύπο, ενημερωτικές ιστοσελίδες και μέσα κοινωνικής δικτύωσης για να απέχουν από την περαιτέρω κοινολόγηση βίντεο καμερών ασφαλείας στο οποίο έχει καταγραφεί γυναίκα να εγκαταλείπει νεογέννητο βρέφος στην είσοδο νοσοκομείου. Η εποπτική αρχή τονίζει ότι εν λόγω ενέργεια παραβιάζει το πλαίσιο προστασίας των προσωπικών δεδομένων, καθώς και τους δεοντολογικούς κανόνες της δημοσιογραφίας, δεδομένου ότι οι επίμαχες εικόνες πλήττουν την αξιοπρέπεια της γυναίκας σε μια στιγμή ιδιαίτερης ευαλωτότητάς της.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 18/01/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΥΨηΔ – Κυβερνοασφάλεια

Σε διαβούλευση τέθηκε από το Υπουργείο Ψηφιακής Διακυβέρνησης (ΥΨηΔ) το νομοσχέδιο για τον εκσυγχρονισμό και την ενίσχυση της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία θα καταστεί νομικό πρόσωπο δημοσίου δικαίου. Κατά το άρθρο 4 αυτού, σκοπός της αναβαθμισμένης πλέον αρχής θα είναι η οργάνωση, ο συντονισμός, η εφαρμογή και ο έλεγχος ενός ολοκληρωμένου πλαισίου στρατηγικών, μέτρων και δράσεων για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας στη χώρα. Όπως υπογραμμίζεται στην έκθεση ανάλυσης συνεπειών ρύθμισης του νομοσχεδίου, η κυβερνοασφάλεια αποτελεί έναν ταχέως εξελισσόμενο και ιδιαιτέρως κρίσιμο τομέα για την Ελλάδα, δεδομένου ότι συνδέεται άρρηκτα τόσο με την εύρυθμη λειτουργία των κρίσιμων υποδομών της όσο και με την ανθεκτικότητα και απόκριση του κράτους σε κυβερνοαπειλές, καθώς επίσης και με την επιχειρησιακή συνέχεια των υπηρεσιών τις οποίες αυτό παρέχει.

Κύπρος – Αστυνομία

Την προσοχή του κοινού συστήνει για ακόμα μια φορά η Αστυνομία Κύπρου, σχετικά με τηλεφωνικές απάτες μέσω της εφαρμογής επικοινωνίας WhatsApp. Συγκεκριμένα, επιτήδειοι χρησιμοποιώντας την εν λόγω εφαρμογή καλούν ανυποψίαστους πολίτες, παριστάνοντας ψευδώς ότι επικοινωνούν εκ μέρους της Αστυνομίας. Η επικοινωνία γίνεται στην αγγλική γλώσσα και οι επιτήδειοι ζητούν από τους πολίτες όπως δηλώσουν διάφορα προσωπικά και τραπεζικά στοιχεία τους (επίδειξη ταυτότητας, χρεωστικές / πιστωτικές κάρτες κ.τ.λ.). Οι προαναφερόμενες τηλεφωνικές κλήσεις είναι προϊόν απάτης και δεν προέρχονται από την Αστυνομία. Το κοινό καλείται όπως είναι ιδιαίτερα προσεκτικό και: α) να μην ανταποκρίνεται στις κλήσεις και τις οδηγίες που λαμβάνουν από τους επιτήδειους, β) να μην ανταποκρίνεται σε τυχόν συνδέσμους (links) που αποστέλλονται, γ) να μην αποκαλύπτει σε άλλους τους κωδικούς τους οποίους τυχόν έλαβε στο κινητό τηλέφωνό του.

Δανία – Περιστατικά παραβίασης

Προτάσεις για το πως μπορούν να αποφευχθούν δέκα χαρακτηριστικές περιπτώσεις περιστατικών παραβίασης προσωπικών δεδομένων δημοσίευσε η εποπτική αρχή. Ανάμεσα σε αυτές περιλαμβάνεται το σενάριο της παράδοσης σε τρίτο ή δημοσίευσης εγγράφων από εργαζόμενο τα οποία περιέχουν προσωπικά δεδομένα, χωρίς αυτό να είναι επιτρεπτό. Κατά τις συστάσεις της αρχής, το προαναφερθέν σενάριο μπορεί να αποφευχθεί εφόσον οι εργαζόμενοι λαμβάνουν συστάσεις, ώστε να ελέγχουν οι ίδιοι προσωπικά το εκάστοτε υλικό προ της διάχυσής του και να διαγράφουν προσωπικά δεδομένα τα οποία τυχόν περιλαμβάνονται σε αυτό. Σε ορισμένες περιπτώσεις μάλιστα πρέπει να προβλέπονται διαδικασίες ελέγχου του υλικού και από δεύτερο εργαζόμενο, με τον ίδιο σκοπό, προ της κοινολόγησής του.

Η.Π.Α. – Δεδομένα τοποθεσίας

Με την απαγόρευση κοινολόγησης ή πώλησης ευαίσθητων δεδομένων τοποθεσίας θα κληθεί να συμμορφωθεί εταιρεία η οποία δραστηριοποιείται ως μεσίτης δεδομένων (data broker), προκειμένου να διευθετήσει ισχυρισμούς της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) εναντίον της. Σύμφωνα με αυτούς, η εμπλεκόμενη εταιρεία προέβη στην πώληση δεδομένων τοποθεσίας τα οποία θα μπορούσαν να χρησιμοποιηθούν για την παρακολούθηση των επισκέψεων ατόμων σε ευαίσθητες τοποθεσίες, όπως κλινικές υγείας και αναπαραγωγικής υγείας, χώρους θρησκευτικές λατρείας και χώρους προστασίας από την ενδοοικογενειακή βία. Πρόκειται για την πρώτη στα χρονικά απαγόρευση στη χρήση και πώληση ευαίσθητων δεδομένων τοποθεσίας, καθώς η επίμαχη πρακτική όχι μόνο παραβίαζε την ιδιωτικότητα των καταναλωτών, αλλά τους εξέθετε επίσης σε πιθανές δυσμενείς διακρίσεις, σωματική βία, συναισθηματική ταλαιπωρία και άλλες βλάβες.

Ιταλία – Φυσική κατάσταση

Οδηγίες για την προστασία των προσωπικών δεδομένων κατά τη χρήση εφαρμογών και συσκευών ιχνηλάτησης φυσικής κατάστασης (fitness tracker apps/devices) εξέδωσε η εποπτική αρχή. Αυτές οι εφαρμογές και συσκευές μπορούν να συλλέγουν και επεξεργάζονται πλήθος δεδομένων, όπως  τον καρδιακό ρυθμό κατά τη διάρκεια δραστηριοτήτων, την καθημερινή διαδρομή τρεξίματος, των αριθμό επαναλήψεων κατά την εκτέλεση ασκήσεων γυμναστικής, το βάρος, το ύψος, τη διατροφή, το επίπεδο άγχους και  τις ώρες ύπνου. Τα δεδομένα αυτά θα μπορούσαν να κοινολογηθούν σε τρίτους για σκοπούς τους οποίους ο χρήστης ενδέχεται να αγνοεί. Μεταξύ των συμβουλών οι οποίες παρέχονται είναι η απενεργοποίηση των δυνατότητων οι οποίες δεν αξιοποιούνται από τον χρήστη, ώστε να περιορισθεί η συλλογή των δεδομένων στο απολύτως απαραίτητο.

Χονγκ Κονγκ – Εργαζόμενοι

Στη δημοσίευση έκθεσης έρευνας για μη νόμιμη αποθήκευση και χρήση προσωπικών δεδομένων εργαζομένων / πρώην εργαζομένων από εργοδότες σε τέσσερις περιπτώσεις προέβη το αρμόδιο Γραφείο Επιτρόπου. Τα τελευταία πέντε έτη η εποπτική αρχή έλαβε κατά μέσο όρο περισσότερες από 100 καταγγελίες ανά έτος για ζητήματα διαχείρισης ανθρωπίνου δυναμικού. Στο πλαίσιο αυτής, προτείνεται στους εργοδότες να εφαρμόσουν προγράμματα διαχείρισης προσωπικών δεδομένων και να σχεδιάσουν στρατηγική εκπαίδευσης του προσωπικού σχετικά με την προστασία αυτών.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 4/01/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Α.Π.Δ.Π.Χ. – Μείωση πόρων

Η μόνη χώρα στην Ευρώπη με αρνητική οικονομική στήριξη της αρμόδιας αρχής είναι η Ελλάδα. Αυτό επισημαίνει με δελτίο τύπου το Σωματείο Επιστημονικού Προσωπικού της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Σύμφωνα με τις κρίσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τη δεύτερη αξιολόγηση του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, των οποίων γίνεται επίκληση, μπορεί μεν όλες οι ευρωπαϊκές αρχές προστασίας δεδομένων να αντιμετωπίζουν προβλήματα ανθρώπινων και οικονομικών πόρων, μόνο όμως η Ελλάδα έχει μειώσει τους πόρους τους οποίους παρέχει στην ΑΠΔΠΧ και μάλιστα κατά 15% μεταξύ 2020 και 2024. Το δελτίο τύπου σημειώνει επίσης ότι τα έτη 2021-2023 ο προϋπολογισμός της αρμόδιας αρχής έχει περικοπεί δραματικά, όταν θα έπρεπε να συμβαίνει το ακριβώς αντίθετο.

Κύπρος – Κυβερνοασφάλεια

Η Αρχή Ψηφιακής Ασφάλειας διεξήγαγε για δεύτερη συνεχή χρονιά, στο πλαίσιο των αρμοδιοτήτων της, δύο παγκύπριες έρευνες με σκοπό τη συλλογή στοιχείων και πληροφοριών σχετικά με την κυβερνοασφάλεια στην κυπριακή επικράτεια. Η μια έρευνα απευθυνόταν σε πολίτες και η άλλη σε επιχειρήσεις. Διεξήχθησαν παράλληλα τους μήνες Οκτώβριο-Δεκέμβριο 2023 σε δείγμα 1006 πολιτών και 444 επιχειρήσεων διαφόρων τομέων. Σύμφωνα με τα αποτελέσματά τους, το 53% των πολιτών δέχθηκε επίθεση / παραβίαση τους τελευταίους 12 μήνες, με μέσο όρο 25,9 επιθέσεις τον χρόνο. Ως προς τις επιχειρήσεις, το 49% αυτών δέχθηκε επίθεση / παραβίαση τους τελευταίους 12 μήνες, με μέσο όρο 1 επίθεση την εβδομάδα.

Η.Π.Α. – Αναγνώριση προσώπου

Την πενταετή απαγόρευση χρήσης τεχνολογίας αναγνώρισης προσώπου με σκοπό την παρακολούθηση θα κληθεί να εφαρμόσει μεγάλη αλυσίδα φαρμακείων της χώρας, κατόπιν κατηγοριών της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) για αποτυχία εφαρμογής κατάλληλων διαδικασιών σε εκατοντάδες καταστήματά της. Κατά την αρμόδια αρχή, η αλυσίδα φαρμακείων χρησιμοποίησε από το 2012 μέχρι το 2020 τεχνολογία αναγνώρισης προσώπου σε σύστημα καμερών, με σκοπό να εντοπίζονται αυτόματα πρόσωπα τα οποία εισέρχονταν στα καταστήματα και εμπλέκονταν με κλοπές ή άλλη προβληματική συμπεριφορά. Λόγω μη λήψης των κατάλληλων μέτρων όμως, το σύστημα υπεδείκνυε εσφαλμένα ως κλέφτες ή ταραχοποιούς άτομα τα οποία ουδέποτε κατά το παρελθόν είχαν επιδείξει αντίστοιχη συμπεριφορά, με αποτέλεσμα να καλείται άνευ λόγου η αστυνομία ή αυτά να παρενοχλούνται από το προσωπικό του εκάστοτε καταστήματος.

Ιντερπόλ – Κέντρα κυβερνοαπάτης

Μεγάλη επιχείρηση της Ιντερπόλ (Operation Storm Makers II) κινητοποίησε αρχές επιβολής του νόμου σε 27 κράτη στην Ασία και σε άλλες περιοχές για την καταπολέμηση της εμπορίας ανθρώπων (human trafficking) και της παράνομης διακίνησης μεταναστών (migrant smuggling). H επιχείρηση εστίασε στην αυξανόμενη εμπορία ανθρώπων με προορισμό διαβόητα κέντρα κυβερνοαπάτης στην Νοτιανατολική Ασία. Σε αυτή τη μορφή εγκληματικής δράσης, τα θύματα παρασύρονται μέσω ψευδών αγγελιών εργασίας να ταξιδέψουν σε άλλη χώρα, στη συνέχεια δε υποχρεώνονται να διαπράξουν διαδικτυακές απάτες σε βιομηχανική κλίματα, ενώ υφίστανται τρομακτική σωματική κακοποίηση. Ενδεικτικά, προ της επιχείρησης, η Ιντεπόλ παρείχε υποστήριξη σε εθνικές αρχές αναφορικά με υπόθεση στην οποία 40 Μαλαισιανοί παρασύρθηκαν με ψευδείς υποσχέσεις για υψηλά αμειβόμενη εργασία και μετέβηκαν στο Περού, εκεί όμως υποχρεώθηκαν να διαπράττουν τηλεπικοινωνιακές απάτες.

Μαυρίκιος – Ιδιωτικότητα

Προτεραιότητα στην ανάπτυξη ενός ολοκληρωμένου νομικού πλαισίου για την προστασία της ιδιωτικότητας έχει δώσει η κυβέρνηση της χώρας, σύμφωνα με την Ana Brian Nougrères, Ειδική Εισηγήτρια του ΟΗΕ. Κατά τις διαπιστώσεις της, ο Μαυρίκιος αποτελεί πρότυπο για την περιοχή της Αφρικής, καθώς έχει ευθυγραμμιστεί με το πλαίσιο προστασίας της Ευρωπαϊκής Ένωσης. Παρά ταύτα, υπάρχει αναγκαιότητα για νέες νομοθετικές και κανονιστικές παρεμβάσεις, καθώς και για εφαρμογή μέτρων, ώστε να προωθηθεί περαιτέρω το δικαίωμα στην ιδιωτικότητα. Και αυτό, δεδομένου ότι λαμβάνονται παράλληλα μέτρα για τη δημιουργία μεγάλων βάσεων προσωπικών δεδομένων, όπως η λειτουργία συστημάτων βιντεοεπιτήρησης σε δημόσιους χώρους και η υποχρεωτική επανεγγραφή όλων των χρηστών συσκευών κινητής τηλεφωνίας, με σκοπό την καταπολέμηση της παράνομης διακίνησης ναρκωτικών.

Νορβηγία – Γυμναστήρια

Πρόστιμο ύψους περίπου 850.000 ευρώ επέβαλε η εποπτική αρχή σε μεγάλη αλυσίδα γυμναστηρίων της χώρας για πλήθος παραβάσεων του GDPR. Η αρχή κινητοποιήθηκε κατόπιν της υποβολής πολλών καταγγελιών πελατών των γυμναστηρίων την περίοδο 2018-2021, σύμφωνα με τις οποίες παραβιάζονταν τα δικαιώματα πρόσβασης και διόρθωσης των προσωπικών δεδομένων τους. Κατόπιν διερεύνησης της υπόθεσης, η εποπτική αρχή διαπίστωσε πώς πράγματι τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης προσωπικών δεδομένων των πελατών δεν τύγχαναν σεβασμού, παρανόμως δε λάμβανε χώρα η επεξεργασία δεδομένων σχετικά με το ιστορικό εκγύμνασής τους.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 21/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Γ.Ε.ΕΘ.Α. – Κυβερνοάμυνα

Με επιτυχία ολοκληρώθηκε στην αρχή του μήνα η διεξαγωγή στο Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) της άσκησης CYBER COALITION 2023, μιας από τις σημαντικότερες ασκήσεις κυβερνοάμυνας του ΝΑΤΟ. Η άσκηση  σχεδιάζεται και διευθύνεται από το Στρατηγείο Μετασχηματισμού (Allied Command Transformation) αυτού. Από ελληνικής πλευράς συντονίζεται και παρακολουθείται από τη Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ. Κατά τη διάρκειά της έλαβαν χώρα σενάρια που αφορούσαν στην αντιμετώπιση κυβερνοεπιθέσεων σε κρίσιμες υποδομές, οι οποίες υποστηρίζουν επιχειρήσεις του ΝΑΤΟ, ήτοι σε υποδομές δικτυακές, πληροφοριακές, παραγωγής ενέργειας και εφοδιαστικής αλυσίδας, καθώς και στη μόλυνση συστημάτων υποστήριξης ηλεκτρικών οχημάτων. Εξετάστηκαν επίσης θέματα νομικής φύσης τα οποία αφορούν στην θεώρηση των κυβερνοεπιθέσεων ως ενόπλων επιθέσεων. Η άσκηση διεξήχθη μέσω τηλεματικής με διασύνδεση σε εικονικό πεδίο ασκήσεων στο Κέντρο Αριστείας Συνεργατικής Κυβερνοάμυνας (Cooperative Cyber Defence Center of Excellence), στο Ταλίν της Εσθονίας.

Ευρωπόλ – Bluetooth

Για τη χρήση από το οργανωμένο έγκλημα έξυπνων ασύρματων ιχνηλατών με τεχνολογία Bluetooth (Bluetooth trackers), οι οποίοι συνήθως χρησιμοποιούνται για τον γεωεντοπισμό προσωπικών αντικειμένων και οχημάτων, προειδοποιεί η Ευρωπόλ. Παρά το ότι τα εν λόγω αντικείμενα σχεδιάστηκαν για την εύρεση απολεσθέντων κλειδιών και τσαντών ή την αποτροπή κλοπής οχήματος, πλέον χρησιμοποιούνται από τους εγκληματίες σε σχέση με παράνομα προϊόντα, πρωτίστως στη διακίνηση ναρκωτικών. Τα Bluetooth trackers είναι μικρότερα και φθηνότερα άλλων αντίστοιχων συσκευών, με μπαταρία μεγάλης διάρκειας ζωής – κατά προσέγγιση ένα με δύο έτη-, ενώ είναι και αδιάβροχα. Αποτελούν, λοιπόν, μια ελκυστική λύση για τους εγκληματίες, ώστε να παρακολουθούν την πορεία και να εντοπίζουν παράνομα εμπορεύματά τους. Στην περίπτωση των ναρκωτικών, έχει επιβεβαιωθεί ότι αυτά έχουν χρησιμοποιηθεί για την παρακολούθηση της πορείας του παράνομου φορτίου.

Ηνωμένο Βασίλειο – Ταλιμπάν

Πρόστιμο ύψους 350.000 λιρών επέβαλε το Γραφείο Επιτρόπου στο Υπουργείο Άμυνας για την κοινολόγηση προσωπικών δεδομένων ατόμων τα οποία επεδίωκαν τη μετεγκατάστασή τους στο Ηνωμένο Βασίλειο, κατόπιν της ανάκτησης από τους Ταλιμπάν του ελέγχου στο Αφγανιστάν το 2021. Το περιστατικό παραβίασης έλαβε χώρα με την αποστολή ηλεκτρονικής αλληλογραφίας από το Υπουργείο Άμυνας σε Αφγανούς οι οποίοι είχαν επιλεγεί για εκκένωση, με χρήση του πεδίου «προς». Έτσι, οι ηλεκτρονικές διευθύνσεις 245 ατόμων εκτέθηκαν σε όλους τους παραλήπτες, με 55 εξ αυτών να έχουν και φωτογραφίες στο προφίλ της ηλεκτρονικής αλληλογραφίας τους. Δύο μάλιστα απήντησαν σε όλους τους παραλήπτες, με τον ένα να αποστέλλει την τοποθεσία του. Τα εν λόγω δεδομένα, αν είχαν περιέλθει στην κατοχή των Ταλιμπάν, θα μπορούσαν να θέσουν σε κίνδυνο ζωής τους παραλήπτες. Και αυτό γιατί το ηλεκτρονικό μήνυμα είχε σταλεί από την υπηρεσία με αρμοδιότητα μετεγκατάστασης Αφγανών οι οποίο συνεργάστηκαν με την κυβέρνηση του Ηνωμένου Βασιλείου στην προ των Ταλιμπάν περίοδο. Κατόπιν ελέγχου, διαπιστώθηκε επίσης ότι δύο αντίστοιχα περιστατικά είχαν κατά τον ίδιο τρόπο λάβει χώρα λίγες ημέρες νωρίτερα.

Η.Π.Α. – Δέματα

Συμβουλές για την προστασία από απάτες μέσω της αποστολής ψευδών ειδοποιήσεων αποστολής και παράδοσης δεμάτων, ιδίως κατά την περίοδο των εορτών, παρέχει η Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission). Οι εν λόγω ειδοποιήσεις αποστέλλονται μέσω ηλεκτρονικής αλληλογραφίας ή γραπτού μηνύματος. Αυτές μπορούν να αναφέρουν ότι μια απόπειρα παράδοσης ήταν ανεπιτυχής και να σας καλούν να πατήσετε σε σύνδεσμο, ώστε να προγραμματίσετε εκ νέου την παράδοση. Μπορούν επίσης να υποστηρίζουν ότι το δέμα σας είναι έτοιμο για αποστολή, αλλά θα πρέπει να ενημερώσετε τις προτιμήσεις αποστολής του. Στόχος των εγκληματιών είναι να πατήσετε τον σύνδεσμο, χωρίς να σκεφθείτε, ώστε στη συνέχεια να καταχωρίσετε δεδομένα σας, τα οποία θα χρησιμοποιηθούν από αυτούς σε βάρος σας, ή να εγκατασταθεί κακόβουλο λογισμικό στη συσκευή σας.

Τζαμάικα – Νέα νομοθεσία

Περίοδο χάριτος έξι μηνών για την υποχρεωτική εγγραφή τους στο Γραφείο του Επιτρόπου Πληροφοριών θα λάβουν οι οργανισμοί που επεξεργάζονται προσωπικά δεδομένα, παρά τη θέση σε εφαρμογή του νέου Νόμου για την Προστασία Δεδομένων (Data Protection Act) ήδη από την 1^η Δεκεμβρίου. Κατά δήλωση της αρμόδιας Υπουργού, η απόφαση λαμβάνεται κατόπιν αιτήματος πλήθος οργανισμών, ώστε να δοθεί περισσότερος χρόνος για τη συμμόρφωση με τη νέα νομοθεσία. Παρά ταύτα, όσοι οργανισμοί έχουν ήδη λάβει τα αναγκαία μέτρα και είναι έτοιμοι, ενθαρρύνονται να εγγραφούν αμέσως. Λοιποί οργανισμοί καλούνται να αξιοποιήσουν την περίοδο χάριτος, ώστε να συμμορφωθούν. Μεταξύ άλλων, δημόσιες αρχές, χρηματοπιστωτικά ιδρύματα, εκπαιδευτικά ιδρύματα, πάροχοι υπηρεσιών υγείας και πάροχοι υπηρεσιών ασφαλείας πρέπει να εγγραφούν κατά προτεραιότητα.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 7/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Ε.Υ.Π. – Ετήσια Έκθεση

Την Ετήσια Έκθεσή Προτεραιοτήτων και Τομέων Δράσης για την περίοδο Σεπτεμβρίου 2022 – Αυγούστου 2023 εξέδωσε η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Για τα ζητήματα κυβερνοασφάλειας και νέων τεχνολογιών, στην έκθεση επισημαίνεται, μεταξύ άλλων, ότι η ΕΥΠ ως Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) συνέβαλε στην πρόληψη, έγκαιρη προειδοποίηση και αντιμετώπιση κυβερνοεπιθέσεων, οι οποίες εκδηλώθηκαν σε βάρος δημοσίων φορέων της χώρας. Συνέταξε επίσης δεκάδες τεχνικές αναλύσεις για περιστατικά στον ελληνικό κυβερνοχώρο, τα οποία αφορούσαν κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), ηλεκτρονικό ψάρεμα (phishing), κακόβουλο λογισμικό (malware), παραβίαση δεδομένων (data breach), παραποίηση ιστοσελίδων (defacement), λυτρισμικό (ransomware), πειρατεία DNS (DNS hijacking), ύποπτη κυκλοφορία (suspicious traffic) και παραβιάσεις ηλεκτρονικών υποδομών. Επιπρόσθετα, πραγματοποίησε σειρά εκτιμήσεων ευπάθειας (vulnerability assessments) σε ιστοσελίδες, ιστότοπους και εφαρμογές δημοσίων φορέων.

Κύπρος – Ανοιχτό Πανεπιστήμιο

Πρόστιμο ύψους 45.000 ευρώ επέβαλε το Γραφείο Επιτρόπου στο Ανοιχτό Πανεπιστήμιο για περιστατικό κυβερνοεπίθεσης εναντίον αυτού, κυρίως λόγω μη εφαρμογής καταλλήλων μέτρων ασφαλείας. Oμάδα κακόβουλων χρηστών (hackers) δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι έφερε την ευθύνη για την επίθεση, δίδοντας χρονικό περιθώριο στο πανεπιστήμιο για την καταβολή λύτρων, ώστε να επιστραφούν / μη δημοσιοποιηθούν τα αρχεία που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα δημοσιεύθηκαν στο σκοτεινό διαδίκτυο (dark web). Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούσαν φοιτητές, απόφοιτους και άλλους συμβαλλόμενους του πανεπιστημίου, τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζομένους του ιδρύματος.

Δανία – Μέτρα ασφαλείας

Κατάλογο με μέτρα ασφαλείας εξέδωσε η εποπτική αρχή για εταιρείες και οργανισμούς, ώστε μέσω της υιοθέτησής τους να επιτυγχάνεται η προστασία των προσωπικών δεδομένων κατά τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR. Ένα εξ αυτών αποτελεί ο έλεγχος της φυσικής πρόσβασης στα δεδομένα, ο οποίος μπορεί να αποτελέσει σημαντικό μέτρο προστασίας τους, είτε πρόκειται για δεδομένα σε ηλεκτρονική είτε σε φυσική μορφή. Αυτό το μέτρο μπορεί να λάβει τη μορφή του ελέγχου -στον χώρο υποδοχής του κτηρίου- της εισόδου μη εξουσιοδοτημένων ατόμων και της καταγραφής των επισκεπτών.

Ε.Ε. – Αστυνομική συνεργασία

Σε συμφωνία κατέληξαν το Συμβούλιο της Ευρωπαϊκής Ένωσης (ΕΕ) και το Ευρωπαϊκό Κοινοβούλιο για την προώθηση της αστυνομικής συνεργασίας στην Ευρώπη. Πρόκειται για επικείμενη αναβάθμιση του υπάρχοντος πλαισίου, του καλούμενου Prüm I. Σύμφωνα με αυτό, οι αρχές επιβολής του νόμου δύνανται να συμβουλεύονται τις εθνικές βάσεις δεδομένων άλλων κρατών μελών σχετικά με δεδομένα DNA, δακτυλοσκοπικά δεδομένα και δεδομένα για άδειες κυκλοφορίας οχημάτων. Κατόπιν της συμφωνίας, οι κατηγορίες των εν λόγω δεδομένων θα διευρυνθούν, ώστε να είναι εφικτές αναζητήσεις και για εικόνες προσώπων και αστυνομικά αρχεία. Εφόσον υπάρξει εθνική πρόβλεψη, δυνατή θα είναι και η αναζήτηση με σκοπό την εύρεση αγνοούμενου προσώπου ή την αναγνώριση ανθρώπινων λείψανων.

Η.Π.Α. – Κλωνοποίηση φωνής

Σε διενέργεια διαγωνισμού κατά της κακόβουλης κλωνοποίησης φωνής (voice cloning challenge) προβαίνει η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) της χώρας. Η μίμηση της φωνής τρίτων μέσω της χρήσης Τεχνητής Νοημοσύνης γεννά ελπίδες για ορισμένους, π.χ. όσους πάσχουν από απώλεια της φωνής τους λόγω ατυχήματος ή ασθένειας, αποτελεί όμως κίνδυνο για πολλούς άλλους, καθώς έχει προστεθεί στο οπλοστάσιο των εγκληματιών. Έτσι, μέσω αυτής, κακοποιός δύναται να μιμηθεί τη φωνή συγγενικού μας προσώπου, ώστε να μας καλέσει, να μας πείσει ότι πρόκειται για συγγενή μας και επικαλούμενος διάφορες δικαιολογίες, π.χ. έκτακτη νοσηλεία, να κατορθώσει να μας αποσπάσει χρήματα. Γι’ αυτόν τον λόγο η FTC καλεί τους διαγωνιζόμενους να υποβάλουν τη βέλτιστη προσέγγιση για την προστασία των πολιτών από τους κινδύνους της κακόβουλης χρήσης της κλωνοποίησης φωνής. Το έπαθλο για τον νικητή θα είναι 25.000 δολάρια.

Ισραήλ –Έξυπνες συσκευές

Συστάσεις για τη χρήση έξυπνων συσκευών σε οικίες δημοσίευσε η εποπτική αρχή της χώρας. Όπως σημειώνεται, η χρήση έξυπνων συσκευών στο σπίτι, ήτοι ηλεκτρονικών συσκευών εφοδιασμένων με σένσορες για τη συλλογή δεδομένων, όπως δεδομένα μετακίνησης, θερμοκρασία, ήχο κ.α., μπορεί να έχει σημαντικές συνέπειες στην ιδιωτικότητα. Ενδεικτικά, με αυτές εισάγονται συστήματα παρακολούθησης στον πιο ιδιωτικό χώρο ενός ατόμου, με ότι αυτό συνεπάγεται. Μεταξύ άλλων, συνιστάται κατά τον καθορισμό του χώρου δραστηριότητας μιας έξυπνης συσκευής, π.χ. μιας ρομποτικής σκούπας, να λαμβάνεται υπόψη ότι είναι δυνατή η εξαίρεση ευαίσθητων χώρων της οικίας.