Κοινωνία

«Χάκαραν» την Αστυνομία: Επίπληξη από την Αρχή Προστασίας Προσωπικών Δεδομένων για κενά ασφαλείας στα συστήματά της

Σε επίπληξη προς την Ελληνική Αστυνομία προέβη η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), έπειτα από αναφορά πολίτη ότι τον χάκαραν, καθώς έλαβε στο ηλεκτρονικό του ταχυδρομείο μηνύματα από άγνωστους αποστολείς, οι οποίοι υποδύονταν την Ελληνική Αστυνομία!

Ωστόσο, όπως κατήγγειλε ο πολίτης προς την ΑΠΔΠΧ, στο περιεχόμενο των μηνυμάτων που έλαβε υπήρχαν προσωπικά του δεδομένα, τα οποία ο ίδιος είχε αποστείλει προς την Ελληνική Αστυνομία στο πλαίσιο αίτησής του! Όπως δε κατήγγειλε ο πολίτης, ενώ δεν είχε λάβει καμία απάντηση από την ΕΛ.ΑΣ. επί της αρχικής του αίτησης, δέχθηκε στο ηλεκτρονικό του ταχυδρομείο τέσσερα μηνύματα τα οποία δήθεν προέρχονταν Ελληνική Αστυνομία με διευθύνσεις IP από διάφορες χώρες του εξωτερικού και τα οποία παρέπεμπαν σε κακόβουλο λογισμικό! Εν ολίγοις αυτό που ανέφερε ο καταγγέλλων, ήταν ότι το αρχικό του μηνύματα προς την Ελληνική Αστυνομία με τα προσωπικά του έχει διαρρεύσει εξ’ ολοκλήρου σε άγνωστους. Ο ίδιος δε επικοινώνησε τηλεφωνικά με την ΕΛ.ΑΣ. η οποία τον ενημέρωσε ότι υπήρχε πρόβλημα ασφάλειας στο ηλεκτρονικό της ταχυδρομείο!

Η αλληλογραφία και η απάντηση της ΕΛ.ΑΣ.

Κατά τη διάρκεια της εξέτασης της καταγγελίας από την ΑΠΔΠΧ, η ΕΛ.ΑΣ. της διαβίβασε την έγγραφη απάντησή της προς τον καταγγέλλοντα πολίτη, στην οποία ανέφερε ότι κατά τις ημερομηνίες που εκείνος έλαβε τα τέσσερα επίμαχα μηνύματα «ήταν σε πλήρη εξέλιξη κυβερνοεπίθεση με κωδικό όνομα «EMOTET» η οποία εκδηλώθηκε σε παγκόσμιο επίπεδο.

Από την πλευρά του, ο πολίτης διαβίβασε στην ανεξάρτητη αρχή έγγραφο της ΕΛ.ΑΣ, με το οποίο είχε ενημερωθεί, από την υπεύθυνο Προστασίας Δεδομένων της Ελληνικής Αστυνομίας, ότι το αίτημά του έχει προωθηθεί στο Τμήμα Ασφάλειας Πληροφορικών και Προστασίας Προσωπικών Δεδομένων της Διεύθυνσης Πληροφορικής της Ελληνικής Αστυνομίας.

Ακολούθως, η Αρχή με έγγραφη επιστολή της προς την ΕΛ.ΑΣ. της ζήτησε να περιγράψει τις ακριβείς ενέργειες στις οποίες προέβη για τον εξακρίβωση της ασφάλειας των συστημάτων της σε σχέση με το εν λόγω ζήτημα, λαμβάνοντας υπόψη ότι τα επίμαχα email δεν εστάλησαν από την ίδια. Μάλιστα, η Αρχή σημείωνε στην ίδια επιστολή της πως από την απάντηση της Ελληνικής Αστυνομίας προς τον καταγγέλλοντα, δεν προέκυψε ότι οι αρμόδιες υπηρεσίες της ΕΛ.ΑΣ. πραγματοποίησαν ελέγχους ως προς το αν κάποιο υποσύστημά της (π.χ. σταθμός εργασίας) έχει «μολυνθεί» από κακόβουλο λογισμικό ή αν έχει παραβιαστεί καθ’ οιονδήποτε άλλον τρόπο η ασφάλειά του, έτσι ώστε να «διευκολυνθεί» η εξάπλωση της ανωτέρω κυβερνοεπίθεσης. Στο ίδιο έγγραφο η Αρχή επισήμανε ότι ένας τέτοιος έλεγχος αποτελεί υποχρέωση της Ελληνικής Αστυνομίας.

Απαντώντας η ΕΛ.ΑΣ. ενημέρωσε την ανεξάρτητη Αρχή, ότι είχε προβεί σε συγκεκριμένες ενέργειες για την αντιμετώπιση του τόσου σοβαρού αυτού ζητήματος. Μεταξύ άλλων ανέφερε ότι:

α) Διερευνήθηκε από στελέχη της υπηρεσίας, σε συνεργασία με τους αναδόχους υποστήριξης των συγκεκριμένων συστημάτων, το ενδεχόμενο διείσδυσης ή μόλυνσης των εξυπηρετητών του φορέα, χωρίς όμως να διαπιστωθεί η οποιαδήποτε παράβαση.

Επιπλέον, ανέφερε ότι για τον περιορισμό της μετάδοσης του EMOTET, προέβη στα εξής οργανωτικά και τεχνικά μέτρα:

i) για τους ενδιάμεσους mail relays: ισχυροποιήθηκαν οι κανόνες φιλτραρίσματος αντιβιοτικού, spam και κακόφημου περιεχομένου, καταχωρήθηκαν σε «μαύρη λίστα» κάποια mail domains και αποστολείς, δημιουργήθηκαν επιπλέον φίλτρα με λέξεις-κλειδιά στο περιεχόμενο των μηνυμάτων, ενώ εγκαταστάθηκαν οι τελευταίες ενημερώσεις λογισμικού του συστήματος,

ii) για τους εξυπηρετητές ηλεκτρονικού ταχυδρομείου ισχυροποιήθηκαν οι κανόνες φιλτραρίσματος αντιβιοτικού, spam και κακόφημου περιεχομένου, παρότι προκαλούν περισσότερες εσφαλμένες αναγνωρίσεις,

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

iii) για τους σταθμούς εργασίας: έγινε διαμόρφωση (format) σε τέσσερις μεμονωμένες περιπτώσεις όπου ευρέθησαν μολύνσεις, αναβαθμίστηκαν οι παλαιότερες εκδόσεις του MS Outlook (όπου χρησιμοποιούνταν), οι περιφερειακοί διαχειριστές έλεγξαν για περίπτωση μη ενημερωμένου αντιβιοτικού λογισμικού και μερίμνησαν για την ενημέρωσή του, ελέγχθηκαν όλοι οι σταθμοί εργασίας του φορέα για τυχόν ανεύρεση επιβλαβών μηνυμάτων, άλλαξε το συνθηματικό (password) ορισμένων χρηστών και ζητήθηκε η χρήση webmail αντί του MS Outlook, 5 εφαρμόστηκαν αλλαγές στις πολιτικές τομέα για τον περιορισμό δικαιωμάτων εκτέλεσης εφαρμογών και μακροεντολών και powershell. Επιπλέον, η ΕΛ.ΑΣ. ανέφερε ότι διακινήθηκε έγγραφο μέσω εσωτερικής εφαρμογής αλληλογραφίας, ενημερώνοντας τους χρήστες για το κύμα κακόβουλων μηνυμάτων spam, πώς να τα χειριστούν και ποιον να ενημερώσουν, καθώς και ότι για το περιστατικό έλαβε γνώση το εθνικό CERT, η Δίωξη Ηλεκτρονικού Εγκλήματος, κ.λπ.

Κύρωση επίπληξης

Η ΑΠΔΠΧ εξετάζοντας τα στοιχεία της υπόθεσης και «συνυπολογίζοντας αφενός το μέγεθος της κυβερνοεπίθεσης EMOTET για την οποία είναι γνωστό ότι έπληξε πολύ μεγάλο αριθμό συστημάτων ανά τον κόσμο και αφετέρου ότι ο υπεύθυνος επεξεργασίας προέβη σε ενέργειες για την αντιμετώπισή της και για αποτροπή αντίστοιχης μελλοντικής επίθεσης» επέβαλε στην Ελληνική Αστυνομία, τη κύρωση της επίπληξης.

Τι αναφέρει στο σκεπτικό της απόφασής της

Στο σκεπτικό της απόφασής της αναφέρει πως η ενέργειες της ΕΛ.ΑΣ. για την αντιμετώπιση του προβλήματος, αν και ήταν καταρχήν στη σωστή κατεύθυνση, «εν τούτοις δεν προκύπτει ότι διερευνήθηκαν ενδελεχώς οι τυχόν συνέπειες του περιστατικού (π.χ. δεν διερευνήθηκε για πόσα πρόσωπα υπήρξε διαρροή δεδομένων, καθώς επίσης και τι είδους ήταν τα δεδομένα αυτά), με αποτέλεσμα να μην έχει γίνει η σχετική αξιολόγηση των συνεπειών - η οποία ήταν υποχρεωτική σύμφωνα με τα όσα ορίζονται στα άρθρα 33 και 34 του ΓΚΠΔ».

Ακόμη, η Αρχή στη σχετική απόφασή της, υπογραμμίζει ότι προέκυψε «με σαφήνεια ότι τα εν λόγω μέτρα – αν και, όπως προαναφέρθηκε, είναι σαφώς στη σωστή κατεύθυνση - υιοθετήθηκαν κατόπιν ανάλυσης των κινδύνων για τη συγκεκριμένη περίπτωση (δηλαδή δεν παρατίθεται ειδική τεκμηρίωση της καταλληλότητας και πληρότητας των μέτρων εν όψει των κινδύνων που καλούνται να αντιμετωπίσουν)». Τέλος, σύμφωνα με την ανεξάρτητη Αρχή «από τις ενέργειες αυτές προκύπτει ότι υπήρχαν περιπτώσεις όπου δεν είχαν επικαιροποιηθεί λειτουργικά συστήματα ή αντιβιοτικά λογισμικά, η παράλειψη δε αυτή καταδεικνύει μία εν γένει σημαντική έλλειψη διαδικασιών για επικαιροποίηση και επανεξέταση μέτρων ασφάλειας (τούτο ισχύει ανεξαρτήτως αν η εν λόγω μη επικαιροποίηση συνετέλεσε στο εν λόγω συμβάν παραβίασης δεδομένων ή όχι)».

Διαβάστε εδώ ολόκληρη την απόφαση που εξέδωσε η ΑΠΔΠΧ για την υπόθεση.

Ακολουθήστε το Πενταπόσταγμα στο Google news Google News

ΔΗΜΟΦΙΛΗ