Εράνισμα προσωπικών δεδομένων – 23/2023

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 7/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Ε.Υ.Π. – Ετήσια Έκθεση

Την Ετήσια Έκθεσή Προτεραιοτήτων και Τομέων Δράσης για την περίοδο Σεπτεμβρίου 2022 – Αυγούστου 2023 εξέδωσε η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Για τα ζητήματα κυβερνοασφάλειας και νέων τεχνολογιών, στην έκθεση επισημαίνεται, μεταξύ άλλων, ότι η ΕΥΠ ως Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) συνέβαλε στην πρόληψη, έγκαιρη προειδοποίηση και αντιμετώπιση κυβερνοεπιθέσεων, οι οποίες εκδηλώθηκαν σε βάρος δημοσίων φορέων της χώρας. Συνέταξε επίσης δεκάδες τεχνικές αναλύσεις για περιστατικά στον ελληνικό κυβερνοχώρο, τα οποία αφορούσαν κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), ηλεκτρονικό ψάρεμα (phishing), κακόβουλο λογισμικό (malware), παραβίαση δεδομένων (data breach), παραποίηση ιστοσελίδων (defacement), λυτρισμικό (ransomware), πειρατεία DNS (DNS hijacking), ύποπτη κυκλοφορία (suspicious traffic) και παραβιάσεις ηλεκτρονικών υποδομών. Επιπρόσθετα, πραγματοποίησε σειρά εκτιμήσεων ευπάθειας (vulnerability assessments) σε ιστοσελίδες, ιστότοπους και εφαρμογές δημοσίων φορέων.

Κύπρος – Ανοιχτό Πανεπιστήμιο

Πρόστιμο ύψους 45.000 ευρώ επέβαλε το Γραφείο Επιτρόπου στο Ανοιχτό Πανεπιστήμιο για περιστατικό κυβερνοεπίθεσης εναντίον αυτού, κυρίως λόγω μη εφαρμογής καταλλήλων μέτρων ασφαλείας. Oμάδα κακόβουλων χρηστών (hackers) δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι έφερε την ευθύνη για την επίθεση, δίδοντας χρονικό περιθώριο στο πανεπιστήμιο για την καταβολή λύτρων, ώστε να επιστραφούν / μη δημοσιοποιηθούν τα αρχεία που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα δημοσιεύθηκαν στο σκοτεινό διαδίκτυο (dark web). Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούσαν φοιτητές, απόφοιτους και άλλους συμβαλλόμενους του πανεπιστημίου, τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζομένους του ιδρύματος.

Δανία – Μέτρα ασφαλείας

Κατάλογο με μέτρα ασφαλείας εξέδωσε η εποπτική αρχή για εταιρείες και οργανισμούς, ώστε μέσω της υιοθέτησής τους να επιτυγχάνεται η προστασία των προσωπικών δεδομένων κατά τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR. Ένα εξ αυτών αποτελεί ο έλεγχος της φυσικής πρόσβασης στα δεδομένα, ο οποίος μπορεί να αποτελέσει σημαντικό μέτρο προστασίας τους, είτε πρόκειται για δεδομένα σε ηλεκτρονική είτε σε φυσική μορφή. Αυτό το μέτρο μπορεί να λάβει τη μορφή του ελέγχου -στον χώρο υποδοχής του κτηρίου- της εισόδου μη εξουσιοδοτημένων ατόμων και της καταγραφής των επισκεπτών.

Ε.Ε. – Αστυνομική συνεργασία

Σε συμφωνία κατέληξαν το Συμβούλιο της Ευρωπαϊκής Ένωσης (ΕΕ) και το Ευρωπαϊκό Κοινοβούλιο για την προώθηση της αστυνομικής συνεργασίας στην Ευρώπη. Πρόκειται για επικείμενη αναβάθμιση του υπάρχοντος πλαισίου, του καλούμενου Prüm I. Σύμφωνα με αυτό, οι αρχές επιβολής του νόμου δύνανται να συμβουλεύονται τις εθνικές βάσεις δεδομένων άλλων κρατών μελών σχετικά με δεδομένα DNA, δακτυλοσκοπικά δεδομένα και δεδομένα για άδειες κυκλοφορίας οχημάτων. Κατόπιν της συμφωνίας, οι κατηγορίες των εν λόγω δεδομένων θα διευρυνθούν, ώστε να είναι εφικτές αναζητήσεις και για εικόνες προσώπων και αστυνομικά αρχεία. Εφόσον υπάρξει εθνική πρόβλεψη, δυνατή θα είναι και η αναζήτηση με σκοπό την εύρεση αγνοούμενου προσώπου ή την αναγνώριση ανθρώπινων λείψανων.

Η.Π.Α. – Κλωνοποίηση φωνής

Σε διενέργεια διαγωνισμού κατά της κακόβουλης κλωνοποίησης φωνής (voice cloning challenge) προβαίνει η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) της χώρας. Η μίμηση της φωνής τρίτων μέσω της χρήσης Τεχνητής Νοημοσύνης γεννά ελπίδες για ορισμένους, π.χ. όσους πάσχουν από απώλεια της φωνής τους λόγω ατυχήματος ή ασθένειας, αποτελεί όμως κίνδυνο για πολλούς άλλους, καθώς έχει προστεθεί στο οπλοστάσιο των εγκληματιών. Έτσι, μέσω αυτής, κακοποιός δύναται να μιμηθεί τη φωνή συγγενικού μας προσώπου, ώστε να μας καλέσει, να μας πείσει ότι πρόκειται για συγγενή μας και επικαλούμενος διάφορες δικαιολογίες, π.χ. έκτακτη νοσηλεία, να κατορθώσει να μας αποσπάσει χρήματα. Γι’ αυτόν τον λόγο η FTC καλεί τους διαγωνιζόμενους να υποβάλουν τη βέλτιστη προσέγγιση για την προστασία των πολιτών από τους κινδύνους της κακόβουλης χρήσης της κλωνοποίησης φωνής. Το έπαθλο για τον νικητή θα είναι 25.000 δολάρια.

Ισραήλ –Έξυπνες συσκευές

Συστάσεις για τη χρήση έξυπνων συσκευών σε οικίες δημοσίευσε η εποπτική αρχή της χώρας. Όπως σημειώνεται, η χρήση έξυπνων συσκευών στο σπίτι, ήτοι ηλεκτρονικών συσκευών εφοδιασμένων με σένσορες για τη συλλογή δεδομένων, όπως δεδομένα μετακίνησης, θερμοκρασία, ήχο κ.α., μπορεί να έχει σημαντικές συνέπειες στην ιδιωτικότητα. Ενδεικτικά, με αυτές εισάγονται συστήματα παρακολούθησης στον πιο ιδιωτικό χώρο ενός ατόμου, με ότι αυτό συνεπάγεται. Μεταξύ άλλων, συνιστάται κατά τον καθορισμό του χώρου δραστηριότητας μιας έξυπνης συσκευής, π.χ. μιας ρομποτικής σκούπας, να λαμβάνεται υπόψη ότι είναι δυνατή η εξαίρεση ευαίσθητων χώρων της οικίας.