Καταγγελίες για απόπειρα συγκάλυψης
Πρόστιμα ύψους 6.000.000 ευρώ στην εταιρεία Cosmote και 3.250.000 ευρώ στον ΟΤΕ, επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για παραβίαση των προσωπικών δεδομένων χιλιάδων πελατών τους.
Τα πρόστιμα αφορούν τη διαρροή δεδομένων κλήσεων χιλιάδων συνδρομητών της Cosmote και του ΟΤΕ κατά το χρονικό διάστημα από 1 έως 5 Σεπτεμβρίου 2020.
Η υπόθεση είχε λάβει μεγάλη δημοσιότητα με την εταιρεία κινητής τηλεφωνίας να αποδίδει τη διαρροή δεδομένων κλήσεων συνδρομητών, σε κυβερνοεπίθεση που ανακάλυψε κατά τη διάρκεια ελέγχου των συστημάτων της.
Εξετάζοντας τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφέρει πως «περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα».
Από τη διερεύνηση της υπόθεσης από την ανεξάρτητη Αρχή, «προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων – ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία».
Εξάλλου, από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα «διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού».
Για τις παραπάνω παραβάσεις με βάση το άρθρο 83 παρ. 2 ΓΚΠΔ, η ανεξάρτητη αρχή επέβαλε στην COSMOTE πρόστιμο ύψους 6.000.000 ευρώ και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων.
Στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 ευρώ.
Στη βουλή η σκοτεινή υπόθεση
Με δήλωσή του ο Τομεάρχης Ψηφιακής Διακυβέρνησης του ΣΥΡΙΖΑ καλεί την κυβέρνηση «να ενημερώσει και να εφαρμόσει την νομοθεσία για την σοβαρή κυβερνοεπίθεση στην COSMOTE».
Πρόκειται για το περιστατικό που ανακοινώθηκε και επίσημα χθες, και αφορά στην υποκλοπή μεγάλου όγκου δεδομένων και στοιχείων (αριθμών τηλεφώνων και κλήσεων για 5 ημέρες) από την τηλεφωνική εταιρεία, τα οποία αντιστοιχούν σε «μεγάλο αριθμό πολιτών αλλά και κυβερνητικών στελεχών μεταξύ των οποίων – όπως αναφέρει και το σχετικό ρεπορτάζ – και του ίδιου του Πρωθυπουργού», σχολιάζει ο Μ. Κάτσης.
Το συμβάν είναι «εξαιρετικά κρίσιμο και δημιουργεί σοβαρό θέμα εθνικής ασφάλειας», τόνισε, προσθέτοντας πως «στην κυβέρνηση δεν έχουν αντιληφθεί ότι η ασφάλεια της χώρας δεν είναι η καταστολή και τα αστυνομικά show αλλά είναι ένα πολύπλοκο και σοβαρό ζήτημα».
Όπως υπογράμμισε: «Με το ν.4577/2018 της κυβέρνησης ΣΥΡΙΖΑ, κάθε πάροχος ψηφιακών υπηρεσιών οφείλει να λαμβάνει όλα τα απαραίτητα μέτρα για την προστασία του δικτύου και των πληροφοριών και να ενημερώνει εντός 24 ωρών, χωρίς ΚΑΜΙΑ καθυστέρηση σε κάθε σοβαρή διατάραξη τους πολίτες-συνδρομητές, τις ανεξάρτητες αρχές και τις αρμόδιες υπηρεσίες, δηλαδή την Εθνική Αρχή Κυβερνοσφάλειας του Υπουργείου Ψηφιακής διακυβέρνησης και την Ελληνική Αρμόδια Ομάδα Απόκρισης Κυβερνοπεριστατικών (CSIRT)».
Στη συνέχεια, ο Μ. Κάτσης ρωτάει την κυβέρνηση «γιατί ένα τόσο εκτεταμένο περιστατικό που συνέβη πριν από περισσότερο από 1 μήνα βγήκε μόλις χτες στη δημοσιότητα;». Και προσθέτει: «Η κυβέρνηση είχε ενημερωθεί από την πρώτη στιγμή ως όφειλε και ναι γιατί συγκάλυψε το γεγονός και δεν ενημέρωσε τους πολίτες;».
Τέλος, ο Τομεάρχης Ψηφιακής Διακυβέρνησης του ΣΥΡΙΖΑ, απευθυνόμενος στην κυβέρνηση και τον Υπουργό Ψηφιακής Διακυβέρνησης, τους εγκάλεσε «να μην κρύβονται ανεύθυνα πίσω από την αναμενόμενη καθησυχαστική ανακοίνωση της εταιρίας και να ενημερώσουν ανοιχτά εάν έχουν γίνει όλες οι απαραίτητες ενέργειες που ορίζει η Ελληνική και Κοινοτική νομοθεσία, για να προστατευτούν τα δεδομένα των πολιτών και των επιχειρήσεων, αν οι αρμόδιες αρχές έχουν λάβει εντολή να διενεργήσουν τους προβλεπόμενους ελέγχους και κυρίως να απαντήσει αν θα επιβληθούν κυρώσεις και διορθωτικά μέτρα από τον αρμόδιο Υπουργό Ψηφιακής Διακυβέρνησης προς την εταιρεία σύμφωνα με τα όσα ορίζει η κείμενη νομοθεσία».