7.5.24

«Τρύπα» GDPR στο υπουργείο Εσωτερικών...



Η Ενωση Πληροφορικών Ελλάδας ζητά διερεύνηση στο υψηλότερο επίπεδο της διαρροής προσωπικών δεδομένων των αποδήμων, καθώς στο αρμόδιο υπουργείο για τη διασφάλιση της εκλογικής διαδικασίας όχι μόνο δεν εφαρμόζονται οι προβλέψεις του κανονισμού προστασίας προσωπικών δεδομένων, αλλά παραβιάζονται πρόδηλα και σκόπιμα...
Την άμεση διερεύνηση στο υψηλότερο επίπεδο της διαρροής προσωπικών δεδομένων των αποδήμων και προτεραιότητα εν όψει των ευρωεκλογών σε λίγες εβδομάδες –καθώς αναμένονται ακόμα δύο πορίσματα, από την Εθνική Επιτροπή Ασφάλειας Προσωπικών Δεδομένων και από την Εισαγγελία– ζήτησε την περασμένη (Μεγάλη) Πέμπτη η Ενωση Πληροφορικών Ελλάδας, σχολιάζοντας με ιδιαιτέρως δηκτικές διαπιστώσεις την ολοκλήρωση της εσωτερικής έρευνας, την επίσημη ανακοίνωση του υπουργείου Εσωτερικών και τη διάρρηξη στο γραφείο του προϊσταμένου της Διεύθυνσης Εκλογών του υπουργείου.

Θυμίζουμε ότι η διαρροή προσωπικών δεδομένων αποκαλύφθηκε στις αρχές Μαρτίου φέτος, μετά από μαζική αποστολή χιλιάδων προεκλογικών μηνυμάτων στις καταχωρισμένες διευθύνσεις email και οδήγησε τη Νέα Δημοκρατία στην απόσυρση της υποψηφιότητας της Αννας-Μισέλ Ασημακοπούλου για την Ευρωβουλή, στην παραίτηση του γενικού γραμματέα του υπουργείου Εσωτερικών, Μιχάλη Σταυριανουδάκη, στην αποπομπή του γραμματέα αποδήμων του κόμματος, Νίκου Θεοδωρόπουλου, και στην εκκίνηση έρευνας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της Εισαγγελίας, τόσο στο υπουργείο Εσωτερικών και στους άμεσα εμπλεκόμενους όσο και στο κόμμα της Νέας Δημοκρατίας.

Το υπουργείο Εσωτερικών ανακοίνωσε στις 26 Απριλίου ότι η εσωτερική έρευνά του ολοκληρώθηκε και προέκυψαν συγκεκριμένα πορίσματα, μεταξύ των οποίων:

● Η διαρροή των προσωπικών δεδομένων όντως συνέβη στο ΥΠΕΣ, παρά την κάθετη άρνηση που αρχικά διατυπώθηκε στις 3.3.2024 από τον γεν. γραμματέα Εσωτερικών και Οργάνωσης.

● Στα δεδομένα που διέρρευσαν διαπιστώθηκε ότι όντως περιλαμβάνονται και τα καταχωρισμένα email των εκλογέων, παρότι αρχικά από το ΥΠΕΣ υπήρξε η διατύπωση ότι στα δεδομένα πολιτών που εκχωρούνται σε υποψηφίους εκλογών σύμφωνα με τον νόμο δεν θα πρέπει να υπάρχουν προσωπικά στοιχεία επικοινωνίας.

● Η διαρροή αφορά ξεκάθαρα εσωτερική παραβίαση και όχι εξωτερικό παράγοντα ή τεχνική παραβίαση μέτρων ασφαλείας («...μη θεσμικά προβλεπόμενης διακίνησης, εντός του Υπουργείου Εσωτερικών, προσωπικών δεδομένων...», «...συστήνονται πειθαρχικές ενέργειες στη βάση των ευρημάτων...»).

Ομως, το υπουργείο δεν διευκρινίζει σχετικά με το ποιος, πώς και πότε ακριβώς συμμετείχε ενεργά ή παθητικά στη συγκεκριμένη παραβίαση, ούτε τα τεκμήρια που βρέθηκαν κατά την εσωτερική έρευνα και που προφανώς οδήγησαν στον πειθαρχικό έλεγχο, ενώ έγινε προσπάθεια να επιρριφθούν ευθύνες στην περσινή υπηρεσιακή κυβέρνηση.

Σύμφωνα με σχετικά δημοσιεύματα, «...ο υπάλληλος γνώριζε ότι ήταν λάθος όταν του ζήτησαν προσωπικά στοιχεία των εκλογέων εξωτερικού από τους καταλόγους που είχαν καταρτιστεί στις περσινές εθνικές εκλογές –αλλά τα έδωσε (σύμφωνα με το πόρισμα) επειδή θεώρησε ότι οφείλει να ανταποκριθεί στην εντολή του προϊσταμένου του...». Εφόσον επιβεβαιωθεί, αυτό πρακτικά σημαίνει ότι όχι μόνο οι προβλέψεις του κανονισμού GDPR δεν εφαρμόζονται στο υπουργείο Εσωτερικών (αρμόδιο για τη διασφάλιση της εκλογικής διαδικασίας), αλλά παραβιάζονται πρόδηλα και σκόπιμα αντί από υποτιθέμενη άγνοια ή αβλεψία.

Το διοικητικό συμβούλιο της Ενωσης Πληροφορικών τονίζει ότι τυπικά θα ανέμενε την ολοκλήρωση της εισαγγελικής διερεύνησης και των σχετικών ενεργειών εκ μέρους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προτού σχολιάσει το ζήτημα της διαρροής προσωπικών δεδομένων, όμως, μετά την ανακοίνωση του υπουργείου Εσωτερικών, έγινε γνωστό ότι την ίδια μέρα με την ανακοίνωση (26/4) υπήρξε διάρρηξη στο ΥΠΕΣ και μάλιστα στο γραφείο του προϊσταμένου της Διεύθυνσης Εκλογών.

15 εκατ. στα σκουπίδια

Επισημαίνεται ότι μόλις στις 26.5.2021, δύο χρόνια νωρίτερα από την επίμαχη υπόθεση και μετά από μια σειρά άλλων παρόμοιων υποθέσεων σε υπουργεία και φορείς του ευρύτερου Δημοσίου, τα οποία είχαν επισημανθεί και από την «Εφ.Συν.»), εκδόθηκε απόφαση με τίτλο «Υποστηρικτικές Υπηρεσίες προς δημόσιους φορείς με στόχο τη συμμόρφωση προς τον Ευρωπαϊκό Κανονισμό για την Προστασία Δεδομένων GDPR [...]» και προϋπολογισμό 15 εκατ. ευρώ, με τελική ημερομηνία υποβολής προτάσεων στις 31.5.2021. Μεταξύ άλλων, στις δράσεις προβλέπονταν:

● Διενέργεια Μελέτης Εκτίμησης Αντικτύπου για όποιες δραστηριότητες απαιτείται και ανάπτυξη / επικαιροποίηση κειμένων πληροφόρησης, συγκατάθεσης του πολίτη.

● Ανάπτυξη / επικαιροποίηση πολιτικών και διαδικασιών προσωπικών δεδομένων, εκπαίδευση προσωπικού και έλεγχος εφαρμογής στην πράξη μέσω εσωτερικής επιθεώρησης.

● Μελέτη και εφαρμογή μέτρων αυτοματοποιημένης επικαιροποίησης των εγγράφων συμμόρφωσης (DPIA, πολιτικές και διαδικασίες προσωπικών δεδομένων και ασφάλειας, αρχείο δραστηριοτήτων επεξεργασίας, κ.λπ.).

Σύμφωνα με την Ενωση Πληροφορικών Ελλάδας, οι συγκεκριμένες δράσεις θα επέτρεπαν ήδη από τις πρώτες ώρες διαπίστωσης της διαρροής των προσωπικών δεδομένων (σίγουρα πριν από τις 3.3.2024) να έχουν τεκμηριώσει πλήρως το γεγονός, μέσω των προβλεπόμενων διαδικασιών ελέγχου (auditing) που προβλέπεται σε ανάλογα περιστατικά πιθανής παραβίασης ασφάλειας.

Συρροή παραβιάσεων

Παρ’ όλα αυτά, η παραδοχή εκ μέρους του υπουργείου Εσωτερικών καθυστέρησε οκτώ ολόκληρες εβδομάδες, τονίζει η ανακοίνωση του Δ.Σ. της Ενωσης Πληροφορικών, σημειώνοντας ότι τα τελευταία χρόνια έχουν καταγραφεί σοβαρά προβλήματα ασφαλείας στην πλατφόρμα gov.gr και ελλιπή τεχνικά μέτρα ασφαλείας σε ιστοτόπους δημόσιων φορέων (ενδεικτικά πολλοί παραμένουν χωρίς ασφαλή σύνδεση https και όχι μόνο), υπήρξαν σοβαρά περιστατικά με τη σύμβαση Cisco-Webex με το υπουργείο Παιδείας, ένα περιστατικό πιθανής παραβίασης ασφαλείας στο Κτηματολόγιο, προβλήματα στην εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), αλλά και προβλήματα ασφαλείας στις διαδικτυακές υπηρεσίες του TAXIS.

Η εμπειρία της Ενωσης Πληροφορικών Ελλάδας δείχνει ότι «το ζήτημα της ασφάλειας των πληροφοριακών συστημάτων και η προστασία των προσωπικών δεδομένων των πολιτών δεν ήταν ποτέ, ούτε είναι σήμερα στις προτεραιότητες των αρμόδιων φορέων στον ευρύτερο δημόσιο τομέα. Οσο τα ζητήματα αυτά δεν αντιμετωπίζονται με την αρμόζουσα σοβαρότητα και επαγγελματισμό, δυστυχώς είναι απολύτως βέβαιο ότι θα συνεχίζονται περιστατικά όπως τα παραπάνω».

efsyn.gr

Δεν υπάρχουν σχόλια: