Η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) επέλεξε συνειδητά να περιμένει την ολοκλήρωση της εσωτερικής έρευνας και την επίσημη ανακοίνωση εκ μέρους του Υπουργείου Εσωτερικών (ΥΠΕΣ), σχετικά με τη διαρροή προσωπικών δεδομένων αποδήμων που αποκαλύφθηκε μετά από μαζική αποστολή προεκλογικών μηνυμάτων στις καταχωρημένες διευθύνσεις emails.

Δελτίο Τύπου - Σχετικά με τη διαρροή προσωπικών δεδομένων αποδήμων και τη διάρρηξη στο ΥΠΕΣ

Αθήνα, 2-5-2024

Στις 26/4/2024 το ΥΠΕΣ ανακοίνωσε¹ ότι η έρευνα ολοκληρώθηκε και προέκυψαν συγκεκριμένα πορίσματα, μεταξύ των οποίων:

Η διαρροή των προσωπικών δεδομένων όντως συνέβη στο ΥΠΕΣ, παρά την κάθετη άρνηση που αρχικά διατυπώθηκε² στις 3/3/2024 από τον Γεν. Γραμ. Εσωτερικών και Οργάνωσης.
Στα δεδομένα που διέρρευσαν διαπιστώθηκε ότι όντως περιλαμβάνονται και τα καταχωρημένα emails των εκλογέων, παρότι αρχικά από το ΥΠΕΣ υπήρξε η διατύπωση ότι στα δεδομένα πολιτών που εκχωρούνται σε υποψηφίους εκλογών σύμφωνα με το νόμο δεν θα πρέπει να υπάρχουν προσωπικά στοιχεία επικοινωνίας.
Η διαρροή αφορά ξεκάθαρα εσωτερική παραβίαση και όχι εξωτερικό παράγοντα ή τεχνική παραβίαση μέτρων ασφαλείας (“...μη θεσμικά προβλεπόμενης διακίνησης, εντός του Υπουργείου Εσωτερικών, προσωπικών δεδομένων...”, “...συστήνονται πειθαρχικές ενέργειες στη βάση των ευρημάτων...”).
Δεν υπάρχει καμία διευκρίνιση σχετικά με το ποιος, πως και πότε ακριβώς συμμετείχε ενεργά ή παθητικά στη συγκεκριμένη παραβίαση, ούτε τα τεκμήρια που βρέθηκαν κατά την εσωτερική έρευνα και που προφανώς οδήγησαν στον πειθαρχικό έλεγχο.

Ως ΕΠΕ πιθανότατα θα αναμέναμε επιπλέον την ολοκλήρωση της εισαγγελικής διερεύνησης και των σχετικών ενεργειών εκ μέρους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Όμως, μετά τη δημοσίευση της παραπάνω ανακοίνωσης έγινε γνωστό³ ότι την ίδια μέρα με την ανακοίνωση (26/4) υπήρξε διάρρηξη στο ΥΠΕΣ και μάλιστα στο γραφείο του προϊσταμένου της Διεύθυνσης Εκλογών. Προφανώς οι εισαγγελικές Αρχές θα διαπιστώσουν αν και κατά πόσο το γεγονός συνδέεται ή όχι με την παραπάνω υπόθεση, όμως είναι σαφές ότι απαιτείται άμεση διερεύνηση στο υψηλότερο επίπεδο και προτεραιότητα εν όψει των ευρωεκλογών σε λίγες εβδομάδες, κάτι που ήδη αναμένεται με δύο ακόμα πορίσματα που θα ακολουθήσουν, από την Εθνική Επιτροπή Ασφάλειας Προσωπικών Δεδομένων και από την Εισαγγελία⁴.

Αξίζει να σημειωθεί ότι, σύμφωνα με σχετικά δημοσιεύματα⁵, “...ο υπάλληλος γνώριζε ότι ήταν λάθος όταν του ζήτησαν προσωπικά στοιχεία των εκλογέων εξωτερικού από τους καταλόγους που είχαν καταρτιστεί στις περσινές εθνικές εκλογές. Αλλά τα έδωσε (σύμφωνα με το πόρισμα) επειδή θεώρησε ότι οφείλει να ανταποκριθεί στην εντολή του προϊσταμένου του...”. Εφόσον επιβεβαιωθεί, αυτό πρακτικά σημαίνει ότι, όχι μόνο οι προβλέψεις του κανονισμού GDPR δεν εφαρμόζονται στο ΥΠΕΣ (αρμόδιο για τη διασφάλιση της εκλογικής διαδικασίας), αλλά παραβιάζονται πρόδηλα και σκόπιμα αντί από υποτιθέμενη άγνοια ή αβλεψία.

Επίσης, αξίζει να σημειωθεί ότι μόλις στις 26/5/2021, δύο χρόνια νωρίτερα από την παραπάνω υπόθεση και μετά από μια σειρά άλλων παρόμοιων υποθέσεων σε υπουργεία και φορείς του ευρύτερου Δημοσίου, εκδόθηκε απόφαση⁶^,⁷ με τίτλο “Υποστηρικτικές Υπηρεσίες προς δημόσιους φορείς με στόχο τη συμμόρφωση προς τον Ευρωπαϊκό Κανονισμό για την Προστασία Δεδομένων GDPR (...)” και προϋπολογισμό 15 εκατ. €, με τελική ημερομηνία υποβολής προτάσεων⁸ στις 31/5/2021. Μεταξύ άλλων, στις δράσεις προβλέπονταν:

Διενέργεια Μελέτης Εκτίμησης Αντικτύπου για όποιες δραστηριότητες απαιτείται και ανάπτυξη/επικαιροποίηση κειμένων πληροφόρησης, συγκατάθεσης του πολίτη.
Ανάπτυξη / επικαιροποίηση πολιτικών και διαδικασιών προσωπικών δεδομένων, εκπαίδευση προσωπικού και έλεγχος εφαρμογής στην πράξη μέσω εσωτερικής επιθεώρησης.
Μελέτη και εφαρμογή μέτρων αυτοματοποιημένης επικαιροποίησης των εγγράφων συμμόρφωσης (DPIA, πολιτικές και διαδικασίες προσωπικών δεδομένων και ασφάλειας, αρχείο δραστηριοτήτων επεξεργασίας, κλπ.)

Στα παραπάνω υπογραμμίζονται τα στοιχεία που, αυτά και μόνο, θα έπρεπε ήδη από τις πρώτες ώρες διαπίστωσης της διαρροής των προσωπικών δεδομένων (σίγουρα πριν τις 3/3/2024) να έχουν τεκμηριώσει πλήρως το γεγονός, μέσω των προβλεπόμενων διαδικασιών ελέγχου (auditing) που προβλέπεται σε ανάλογα περιστατικά πιθανής παραβίασης ασφάλειας. Παρόλα αυτά, η παραδοχή εκ μέρους του ΥΠΕΣ καθυστέρησε οκτώ ολόκληρες εβδομάδες.

Δυστυχώς, ως ΕΠΕ είμαστε αναγκασμένοι να επανερχόμαστε ξανά και ξανά, ομολογουμένως με θλίψη, στα ίδια θέματα και σε πολύ συχνά τέτοια περιστατικά. Παρακάτω παραθέτουμε ενδεικτικά μερικά από αυτά:

Ανακοίνωση για τη διαρροή φορολογικών δεδομένων (2013)⁹
Χωρίς πολιτική ασφαλείας τα πληροφοριακά συστήματα του Δημοσίου (2013)¹⁰
Σοβαρό πρόβλημα ασφάλειας στην πλατφόρμα gov.gr¹¹
Ελλιπή τεχνικά μέτρα ασφάλειας σε ιστοτόπους δημόσιων φορέων¹²
Επισημάνσεις σχετικά με τη σύμβαση Cisco-Webex με το υπουργείο Παιδείας¹³
Περαιτέρω διερεύνηση του περιστατικού πιθανής παραβίασης ασφάλειας (Κτηματολόγιο)¹⁴
Σχετικά με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)¹⁵
Νέα αναβολή της αναβάθμισης ασφάλειας στις διαδικτυακές υπηρεσίες του TAXIS¹⁶

Η εμπειρία μας δείχνει ότι το ζήτημα της ασφάλειας των πληροφοριακών συστημάτων και η προστασία των προσωπικών δεδομένων των πολιτών δεν ήταν ποτέ, ούτε είναι σήμερα στις προτεραιότητες των αρμόδιων φορέων στον ευρύτερο δημόσιο τομέα (και όχι μόνο). Όσο τα ζητήματα αυτά δεν αντιμετωπίζονται με την αρμόζουσα σοβαρότητα και επαγγελματισμό, δυστυχώς είναι απολύτως βέβαιο ότι θα συνεχίζονται περιστατικά όπως τα παραπάνω.

Παραμένουμε στη διάθεσή σας.