Εράνισμα προσωπικών δεδομένων – 4/2021
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 25/02/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Κυβερνοασφάλεια – Ασφαλής πλοήγηση
Με αφορμή την Παγκόσμια Ημέρα Ασφαλούς Πλοήγησης στο Διαδίκτυο, η Εθνική Αρχή Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης δημοσίευσε χρήσιμες οδηγίες για την ενίσχυση της ασφάλειας και της ιδιωτικότητας στον κυβερνοχώρο. Ως προς τη χρήση κωδικών πρόσβασης στους λογαριασμούς στο διαδίκτυο, επισημαίνεται ότι επιβάλλεται το σύνθετο αυτών. Ο ιδανικός κωδικός πρόσβασης πρέπει να περιέχει συνδυασμό αριθμών, συμβόλων, κεφαλαίων και πεζών γραμμάτων. Το δε μήκος του πρέπει να είναι μεταξύ 10 και 12 χαρακτήρων. Η χρήση προσωπικών δεδομένων, κοινών λέξεων που γράφονται προς τα πίσω, καθώς και ακολουθιών αριθμών και χαρακτήρων δέον είναι να αποφεύγεται. Συνιστάται επίσης η χρήση αυθεντικοποίησης δύο παραγόντων («2-factor authentication»), όταν υποστηρίζεται.
Κύπρος – Ανίχνευση κορωνοϊού
Να μην αναφωνούνται προσωπικά δεδομένα προσώπων τα οποία υποβλήθηκαν σε εξέταση ταχείας ανίχνευσης κορωνοϊού προειδοποιεί το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου). Όπως αναφέρεται, η σχετική πρακτική έχει διαπιστωθεί κατ’ επανάληψη σε ορισμένα κέντρα διεξαγωγής της εν λόγω εξέτασης από εργαζομένους τους, κατά την ώρα παραλαβής των αποτελεσμάτων των εξετασθέντων. Σύμφωνα με το Γραφείο Επιτρόπου, στην εν λόγω συμπεριφορά ελλοχεύουν κίνδυνοι για τα επηρεαζόμενα πρόσωπα. Παραβιάζεται μάλιστα κατ’ αυτόν τον τρόπο ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός ως GDPR. Πρόκειται για μία ακόμη οδηγία εποπτικής αρχής στην κατεύθυνση αντιμετώπισης των νέων προκλήσεων της πανδημίας, οι οποίες εκδηλώθηκαν με σφοδρότητα και στον χώρο των προσωπικών δεδομένων.
Εσθονία – «Βαθύ ψεύδος»
Τον κώδωνα του κινδύνου για τα «deepfakes» κρούει η Υπηρεσία Πληροφοριών Εξωτερικού της Εσθονίας (EFIS) στην ετήσια έκθεσή της για ζητήματα διεθνούς ασφαλείας. Υπενθυμίζεται ότι η τεχνολογία «deepfake» επιτρέπει τη δημιουργία συνθετικών μέσων, π.χ. βίντεο, με τη χρήση τεχνητής νοημοσύνης, στα οποία υπαρκτά πρόσωπα εμφανίζονται να ενεργούν με ρεαλιστικό τρόπο, χωρίς όμως στην πραγματικότητα να είναι αυτά. Τα «deepfakes» μπορούν να χρησιμοποιηθούν ιδίως για την τέλεση απάτης, εκβιασμού, την παράκαμψη μέτρων ασφαλείας για την αυθεντικοποίηση χρηστών, καθώς και στο πλαίσιο ψευδών ειδήσεων. Κατά την έκθεση, ο κίνδυνος θα καταστεί εξαιρετικά μεγάλος, όταν η τεχνολογική πρόοδος επιτρέψει τη δημιουργία «deepfakes» τόσο πειστικών, ώστε η ανίχνευση του ψεύδους τους να είναι αδύνατη με ανθρώπινο μάτι.
Ισπανία – Διαδικτυακές τηλεδιασκέψεις
Βασικές κατευθύνσεις για την πραγματοποίηση διαδικτυακών τηλεδιασκέψεων με στόχο την προστασία της ιδιωτικότητας και της ασφάλειας εξέδωσε η Αρχή Προστασίας Δεδομένων της Ισπανίας. Επαναφέροντας στη μνήμη το συμβάν του περασμένου Νοεμβρίου, όταν Ολλανδός δημοσιογράφος κατάφερε να εισέλθει σε διαδικτυακή τηλεδιάσκεψη των Υπουργών Αμύνης της Ευρωπαϊκής Ένωσης, η εποπτική αρχή τονίζει τη σημασία εφαρμογής βασικών μέτρων προστασίας. Μεταξύ άλλων, επισημαίνεται ότι οι τηλεδιασκέψεις δεν θα πρέπει να καταγράφονται, εκτός αν είναι αναγκαίο. Στην τελευταία περίπτωση, οι συμμετέχοντες θα πρέπει να ενημερώνονται για τον σκοπό της καταγραφής, καθώς και για το χρονικό σημείο έναρξης και λήξης της καταγραφής. Η σχετική ενημέρωση μπορεί να γίνεται και με αυτοματοποιημένο τρόπο.
Φινλανδία – Σχολικές φωτογραφίες
Εταιρεία φωτογράφισης παιδιών σε σχολεία της Φινλανδίας είχε υιοθετήσει την πρακτική να ενσωματώνει τις εκάστοτε φωτογραφίες, σε ασπρόμαυρη σμίκρυνση, στο αντίστοιχο τιμολόγιό της. Η μέθοδος αυτή διασφάλιζε κατά την εταιρεία την ορθή αντιστοίχιση φωτογραφιών και τιμολογίου για τους πελάτες της. Στην περίπτωση που καταγγέλθηκε, το επίμαχο τιμολόγιο διαβιβάστηκε στη συνέχεια σε εταιρεία είσπραξης απαιτήσεων, προκειμένου να επιτευχθεί η αποπληρωμή του. Έτσι όμως, διαβιβάστηκε και το περιεχόμενο των φωτογραφιών. Κατά την Αρχή Προστασίας Δεδομένων της Φινλανδίας, εν προκειμένω διαπιστώθηκε ιδίως παραβίαση της θεμελιώδης αρχής της ελαχιστοποίησης του GDPR, που επιβάλλει η επεξεργασία των προσωπικών δεδομένων να περιορίζεται στο αναγκαίο. Κατ’ εφαρμογή της, η πρακτική αυτή δεν ήταν εξ αρχής αναγκαία για την επίτευξη του σκοπού της ορθής αποστολής των φωτογραφιών σε πελάτες. Επομένως, ήταν αδικαιολόγητη.
INTERPOL – Νοτιοανατολική Ασία
Τις κυριότερες κυβερνοαπειλές στην περιοχή της Ένωσης των Χωρών της Νοτιοανατολικής Ασίας (ASEAN) επισημαίνει σε πρόσφατη έκθεσή της η INTERPOL. Όπως διαπιστώνεται, η αυξημένη χρήση του διαδικτύου λόγω πανδημίας έχει οδηγήσει σε άνοδο του κυβερνοεγκλήματος. Στην κορυφή της λίστας των κυβερνοαπειλών βρίσκονται, μεταξύ άλλων, οι απάτες επαγγελματιών στο διαδίκτυο («Βusiness Ε-mail Compromise»), όπου οι δράστες παρεμβαίνουν στη διαδικτυακή επικοινωνία μεταξύ συναλλασσόμενων επαγγελματιών, πείθοντας τους να καταθέσουν χρήματα σε διαφορετικούς τραπεζικούς λογαριασμούς από τους αρχικά συμφωνηθέντες. Επίσης, το ηλεκτρονικό ψάρεμα («phishing»), όπου οι δράστες προσποιούνται με ηλεκτρονική αλληλογραφία ότι εκπροσωπούν μια υπαρκτή εταιρεία, π.χ. τράπεζα, επιδιώκοντας να αποσπάσουν προσωπικά και οικονομικά δεδομένα του παραλήπτη.