ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ ΣΤΗΝ COSMOTE ΜΕ ΔΙΑΡΡΟΗ ΜΕΓΑΛΟΥ ΟΓΚΟΥ ΔΕΔΟΜΕΝΩΝ ΣΥΝΔΡΟΜΗΤΩΝ

  • Το περιστατικό παραβίασης

Η COSMOTE, ίσως η μεγαλύτερη Εταιρεία σταθερής και κινητής τηλεφωνίας στην Ελλάδα, δέχτηκε μεγάλων διαστάσεων κυβερνοεπίθεση το διάστημα 1-5 Σεπτεμβρίου του 2020, με αποτέλεσμα τη διαρροή δεδομένων τηλεφωνικών κλήσεων χιλιάδων χρηστών. Πιο συγκεκριμένα, πρόκειται για μία μη εξουσιοδοτημένη εξαγωγή αρχείου από το σύστημα της Εταιρείας, η οποία έγινε αντιληπτή μετά από έλεγχο στα συστήματα της COSMOTE.

Η Εταιρεία στο δελτίο τύπου που εξέδωσε σχετικά με το συμβάν αναφέρει μεταξύ άλλων ότι:

«Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI , ηλικία, φύλο, ARPU , συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.»

Όπως απαιτείται, η Εταιρεία απέκλεισε άμεσα οποιαδήποτε περαιτέρω πρόσβαση στα συτήματά της και προέβη στη λήψη όλων των απαραίτητων μέτρων για να περιορίσει τον κίνδυνο και να ελαχιστοποιήσει τις επιπτώσεις του περιστατικού αυτού παραβίασης δεδομένων. Ενημέρωσε επίσης τις αρμόδιες Αρχές, όπως άλλωστε προβλέπεται από το εθνικό κι ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Γιατί αποτελεί μείζον ζήτημα παραβίασης δεδομένων; Πόσο πολύ επηρεάζει την κατάσταση το γεγονός ότι δεν υπεκλάπησαν ονοματεπώνυμα συνδρομητών;

Η τεραστίων διαστάσεων αυτή πρόσβαση μη εξουσιοδοτημένων προσώπων σε αρχείο συνδρομητών της Εταιρείας αφορά τον αριθμό τηλεφώνου, την ημέρα και ώρα πραγματοποίησης της κλήσης και τη διάρκειά της, τον τύπο της συσκευής που χρησιμοποιήθηκε, την IMSI, την ηλικία και το φύλο του συνδρομητή, το ARPU, τις συντεταγμένες σταθμού βάσης και το πρόγραμμα κινητής τηλεφωνίας του συνδρομητή.

Ωστόσο, ακόμα κι εάν στις πληροφορίες που υπεκλάπησαν δεν αναγράφεται το ονοματεπώνυμο του κάθε συνδρομητή, όταν οι υπόλοιπες πληροφορίες που αφαιρέθηκαν συνδυαστούν, μπορούν να επιτρέψουν τον έμμεσο προσδιορισμό του συνδρομητή. Πολλές φορές δε η ταυτοποίηση ενός υποκειμένου εξαρτάται από το ποιος μπορεί να έχει πρόσβαση ακόμα και σε ελάχιστα δεδομένα για αυτόν, αλλά και σε οποιεσδήποτε άλλες πληροφορίες μπορούν να συνδυαστούν με αυτά, οι οποίες εκ πρώτης όψεως δεν οδηγούν στην ταυτοποίηση του υποκειμένου.

Επομένως, συχνά δεν είναι άμεσα προφανές εάν ένα υποκείμενο δεδομένων μπορεί να αναγνωριστεί ή όχι. Στην περίπτωση της COSMOTE λοιπόν, όπου κάποιος υπέκλεψε πληροφορίες από τις οποίες είχαν αφαιρεθεί τα ονόματα και τα επώνυμα των συνδρομητών, θα μπορούσε να είναι εξίσου εύκολο για τον μη εξουσιοδοτημένο πλέον κάτοχο των πληροφοριών να ταυτοποιήσει τον συνδρομητή και την τοποθεσία του, συνδυάζοντας τις υπόλοιπες πληροφορίες που συνέλεξε για αυτόν.

Επομένως, το γεγονός ότι υπάρχει ακόμα και η παραμικρή υποθετική πιθανότητα κάποιος να μπορεί να ανακατασκευάσει τα δεδομένα που διαθέτει με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ταυτοποιηθεί, αναδεικνύει έντονα την σημαντικότητα του περιστατικού που έλαβε χώρα.

Δεν θα πρέπει να λησμονηθούν τέλος και οι κοινωνικές συνέπειες μίας τέτοιας παραβίασης, τα στοιχεία των συνδρομητών της οποίας θα μπορούσαν είτε να χρησιμοποιηθούν για διαφημιστικούς σκοπούς είτε να πωληθούν στο σκοτεινό διαδίκτυο (dark web) για πολλές χιλιάδες Ευρώ, όπως συνέβη με τα δεδομένα χρηστών της δημοφιλούς πλατφόρμας Zoom . Για τον σκοπό αυτό, οι συχνοί έλεγχοι σωστής λειτουργίας των συστημάτων ενός οργανισμού, η συνεχής εκπαίδευση των εργαζομένων αλλά και η λήψη επίκαιρων και βέλτιστων ανά περίπτωση μέτρων, αποτελεί το κλειδί για την επίτευξη ενός επαρκούς επιπέδου ασφαλείας.

ΛΙΣΤΕΣ ΕΠΑΦΩΝ COVID-19: ΠΩΣ ΝΑ ΤΙΣ ΔΙΑΧΕΙΡΙΣΤΕΙΤΕ ΜΕ ΑΣΦΑΛΕΙΑ

Καθώς διανύουμε μία περίοδο πρωτοφανούς κρίσης εντός του 2020, όλες οι χώρες έχουν αναγκαστεί να υιοθετήσουν μία σειρά μέτρων προστασίας και πρόληψης από τον ιό COVID-19, με στόχο την όσο το δυνατόν αποτελεσματικότερη μείωση των κρουσμάτων σε καθημερινή βάση. Μεταξύ των μέτρων που έχουν προταθεί από τις κυβερνητικές αρχές, είναι και αυτή της υποχρεωτικής καταγραφής προσωπικών δεδομένων πελατών σε αρχείο, ούτως ώστε να είναι δυνατή μία ενδεχόμενη ιχνηλάτηση κρούσματος του ιού.

Πρόκειται πιο συγκεκριμένα για καταγραφή του ονοματεπωνύμου και των στοιχείων επικοινωνίας (τηλέφωνο επικοινωνίας ή διεύθυνση ηλεκτρονικού ταχυδρομείου) του υποκειμένου των δεδομένων, όπως για παράδειγμα του πελάτη μίας επιχείρησης ή του επισκέπτη μίας δημόσιας υπηρεσίας. Αυτά τα αρχεία προτείνεται να τηρούνται για χρονικό διάστημα ενός μήνα, με σκοπό την παρακολούθηση των στενών επαφών του ασθενούς από τις υγειονομικές αρχές σε περίπτωση που ο τελευταίος ασθενήσει από τον ιό.

Για να κρατήσει κάθε οργανισμός και επιχείρηση τα δεδομένα αυτά ασφαλή, χρειάζεται να έχει λάβει προηγουμένως συγκεκριμένα μέτρα προστασίας. Έτσι, τα παρακάτω βήματα μπορούν να βοηθήσουν κάθε επιχείρηση και οργανισμό να συμμορφωθεί με τα νέα μέτρα, τηρώντας παράλληλα τις απαιτήσεις ασφαλείας που επιβάλει το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Ελαχιστοποιήστε τον όγκο των δεδομένων που συλλέγετε

Συλλέξτε μόνο τις λεπτομέρειες που πρέπει να παρέχετε στις υγειονομικές αρχές για τον εντοπισμό των επαφών του ασθενούς, όπως για παράδειγμα το όνομα και το τηλέφωνο επικοινωνίας του, την ώρα και την ημερομηνία επαφής του με τον οργανισμό σας. Λάβετε υπόψη σας ότι δεν απαιτείται να ζητήσετε από τους πελάτες ή τους επισκέπτες σας να επαληθεύσουν την ταυτότητά τους.

  • Να είστε απολύτως σαφείς με τους πελάτες σας σχετικά με το «γιατί» συλλέγετε τα δεδομένα τους

Όλο το προσωπικό της επιχείρησης ή του οργανισμού πρέπει να είναι σε θέση να εξηγήσει με σαφήνεια τον σκοπό αυτής της συλλογής, σε κάθε σημείο της αλληλεπίδρασής σας μαζί τους. Εάν για παράδειγμα χρησιμοποιείτε κάποιο ηλεκτρονικό σύστημα κρατήσεων, θα μπορούσατε να προβάλετε σχετικές πληροφορίες πριν την πραγματοποίηση της κράτησης, ενημερώνοντάς τους ότι ορισμένα από τα στοιχεία τους θα διατηρηθούν με σκοπό την ενδεχόμενη ιχνηλάτηση των επαφών τους.

  • Αποθηκεύστε αυτές τις πληροφορίες με προσοχή

Δεν χρειάζεται απαραίτητα να χρησιμοποιείτε εξαιρετικά προηγμένη τεχνολογία για την αποθήκευσή τους. Ωστόσο, εάν αποφασίσετε να τις αποθηκεύσετε ηλεκτρονικά, βεβαιωθείτε ότι έχετε προβεί σε ασφαλή αποθήκευσή τους, με περιορισμένη πρόσβαση μέσω κωδικών ασφαλείας από συγκεκριμένο προσωπικό του οργανισμού.

Προσοχή! Οι λίστες με τα στοιχεία των πελατών σας δεν θα πρέπει να είναι ορατές στους υπόλοιπους πελάτες σας, με στόχο την αποφυγή οποιασδήποτε ενδεχόμενης παραβίασης προσωπικών δεδομένων.

  • Περιορίστε τα δεδομένα μόνο στον σκοπό για τον οποίο συλλέχθηκαν αρχικά

Μην χρησιμοποιείτε αυτά τα δεδομένα για σκοπούς άμεσου μάρκετινγκ ή για να δημιουργήσετε νέες σχέσεις με πελάτες για οποιονδήποτε λόγο. Επίσης, μην αποκαλύπτετε αυτά τα δεδομένα σε τρίτους, με εξαίρεση τις αρμόδιες υγειονομικές αρχές που θα τα αιτηθούν για σκοπούς ανίχνευσης των επαφών τους.

  • Βεβαιωθείτε ότι διαγράφετε τις πληροφορίες αυτές σε τακτά χρονικά διαστήματα, εφόσον έχει περάσει το νόμιμο υποχρεωτικό διάστημα τήρησής τους.

Η τρέχουσα περίοδος διατήρησης των πληροφοριών αυτών είναι ένας μήνας. Προγραμματίστε την τακτική τους διαγραφή και την καταστροφή τους. Βεβαιωθείτε επίσης ότι τα δεδομένα αυτά απορρίπτονται με ασφάλεια και τεμαχίστε τυχόν φυσικά αρχεία -εφόσον έχετε επιλέξει αυτόν τον τρόπο αποθήκευσής τους. Θυμηθείτε τέλος να τα διαγράψετε τόσο από τον κάδο ανακύκλωσης του υπολογιστή σας όσο και από τυχόν αρχεία cloud τηρείτε ως αντίγραφα ασφαλείας ηλεκτρονικά.

Πηγή: Data Protection Commission

Top