«Τρύπες» στο ηλεκτρονικό σύστημα της ΕΛΑΣ έφερε στο φως η κυβερνοεπίθεση με κωδικό όνομα «ΕΜΟΤΕΤ», που εκδηλώθηκε σε παγκόσμιο επίπεδο, με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να διαπιστώνει σωρεία παραβιάσεων στον τρόπο αντιμετώπισής της, αλλά και παραλείψεις στην επικαιροποίηση λειτουργικών συστημάτων και μέτρων ασφαλείας. Και να απευθύνει επίπληξη στην ΕΛΑΣ για τις παραβιάσεις του Κανονισμού Προστασίας Δεδομένων.
Η υπόθεση έφτασε στην Αρχή μετά από αναφορά πολίτη, ο οποίος το 2020 είχε στείλει μήνυμα ηλεκτρονικού ταχυδρομείου στην Ελληνική Αστυνομία, και ειδικότερα στη διεύθυνση …@astynomia.gr, το οποίο περιελάμβανε προσωπικά του δεδομένα όπως, πέραν της ηλεκτρονικής του διεύθυνσης, το ονοματεπώνυμο και τον προσωπικό του κωδικό για την υπηρεσία Passenger Location Form, αναφορικά με την επίσκεψή του στην Ελλάδα τον … του 2020.
Ακολούθως, χωρίς να λάβει απάντηση από την Ελληνική Αστυνομία, έλαβε τέσσερα διαφορετικά ηλεκτρονικά μηνύματα τα οποία «υποδύονται» ότι προέρχονται από την Ελληνική Αστυνομία και είτε έφεραν κακόβουλο λογισμικό είτε συνδέσμους οι οποίοι παρέπεμπαν σε κακόβουλο λογισμικό. Όπως ανέφερε ο πολίτης, οι διευθύνσεις διαδικτύου (διευθύνσεις IP) από τις οποίες φέρεται να προέρχονται τα εν λόγω μηνύματα αντιστοιχούν σε διάφορες χώρες του εξωτερικού. Από τα εν λόγω μηνύματα φαίνεται ότι το αρχικό μήνυμα του προς την Ελληνική Αστυνομία είχε διαρρεύσει εξ ολοκλήρου σε άγνωστους τρίτους.
Ο πολίτης απευθύνθηκε στην ΕΛΑΣ, η οποία του απάντησε πως κατά τις ημερομηνίες λήψης των προαναφερόμενων τεσσάρων μηνυμάτων ηλεκτρονικού ταχυδρομείου από υποτιθέμενο αποστολέα της Ελληνικής Αστυνομίας, ήταν σε πλήρη εξέλιξη κυβερνοεπίθεση με κωδικό όνομα «EMOTET» η οποία εκδηλώθηκε σε παγκόσμιο επίπεδο. Περαιτέρω, από τη μελέτη του κώδικα των εν λόγω μηνυμάτων, προκύπτει ότι τα μηνύματα δεν έχουν αποσταλεί από υποδομές της Ελληνικής Αστυνομίας αλλά από ηλεκτρονικούς λογαριασμούς που δεν έχουν καμία σχέση με την Ελληνική Αστυνομία.
Μετά την αναφορά του πολίτη, η ανεξάρτητη Αρχή κάλεσε την ΕΛΑΣ να περιγράψει τις ακριβείς ενέργειες στις οποίες προέβη για την εξακρίβωση της ασφάλειας των συστημάτων της σε σχέση με το εν λόγω ζήτημα, λαμβάνοντας υπόψη ότι, καίτοι καθίσταται σαφές ότι τα εν λόγω μηνύματα δεν εστάλησαν από την Ελληνική Αστυνομία, δεν προέκυψε εν τούτοις από την απάντησή της προς τον καταγγέλλοντα ότι πραγματοποιήθηκε έλεγχος από την πλευρά της ως προς το αν κάποιο υποσύστημά της (π.χ. σταθμός εργασίας) έχει «μολυνθεί» από κακόβουλο λογισμικό ή αν έχει παραβιαστεί καθ’ οιονδήποτε άλλον τρόπο η ασφάλειά του, έτσι ώστε να «διευκολυνθεί» η εξάπλωση της ανωτέρω κυβερνοεπίθεσης.
Στο ίδιο έγγραφο η Αρχή επισήμανε ότι ένας τέτοιος έλεγχος αποτελεί υποχρέωση της Ελληνικής Αστυνομίας, δεδομένου ότι αφενός τα προαναφερθέντα κακόβουλα μηνύματα εμπεριείχαν αυτούσιο κείμενο το οποίο είχε ήδη τύχει επεξεργασίας από εφαρμογές ηλεκτρονικού ταχυδρομείου της Αστυνομίας, και αφετέρου ότι η ως άνω κυβερνοεπίθεση βασίζεται, για την εξάπλωσή της, σε κακόβουλο λογισμικό το οποίο εγκαθίσταται σε προγράμματα ηλεκτρονικού ταχυδρομείου.
Κυβερνοεπίθεση: Οι διαπιστώσεις της Αρχής
Στην απόφασή της, η Αρχή σημειώνει καταρχάς πως «δεν υπήρξε γνωστοποίηση του εν λόγω περιστατικού στην Αρχή όπως επιτάσσει το άρθρο 33 του ΓΚΠΔ. Σημειώνεται ότι σαφώς υπάρχουν κίνδυνοι – και μάλιστα υψηλοί – για τα επηρεαζόμενα πρόσωπα και, άρα, το εν λόγω περιστατικό δεν εμπίπτει στην εξαίρεση από την υποχρέωση γνωστοποίησής του, ακριβώς λόγω του γεγονότος ότι μηνύματα ηλεκτρονικού ταχυδρομείου «υποδύονται» ότι έχουν ως αποστολέα την Ελληνική Αστυνομία (και άρα, ένας καλόπιστος παραλήπτης τους χωρίς εμπειρία σε θέματα ασφάλειας, θα μπορούσε να τα «ανοίξει»), ενώ εξάλλου το περιεχόμενο των μηνυμάτων εμπεριέχει πληροφορίες – συμπεριλαμβανομένων προσωπικών δεδομένων – που υπήρχαν σε προηγούμενα νόμιμα ηλεκτρονικά μηνύματα, οπότε και γεννάται ζήτημα μη εξουσιοδοτημένης πρόσβασης και διάδοσης σε δεδομένα τα οποία πολίτες υπέβαλαν στην Ελληνική Αστυνομία. Μάλιστα, στη συγκεκριμένη περίπτωση ενδέχεται να γεννάται και ζήτημα παραβίασης του απορρήτου της επικοινωνίας».
Παράλληλα, πέραν της μη γνωστοποίησης του περιστατικού στην Αρχή, δεν υπήρξε επίσης ενημέρωση των θιγόμενων προσώπων, καθώς «λόγω των υψηλών κινδύνων που απορρέουν από το εν λόγω περιστατικό, προκύπτει ότι μία τέτοια ενημέρωση ήταν υποχρεωτική».
Μάλιστα, η Αρχή επισημαίνει πως ακόμη και «εάν η ενημέρωση των θιγόμενων προσώπων δεν μπορεί να πραγματοποιηθεί διότι προϋποθέτει δυσανάλογες προσπάθειες (κάτι το οποίο πιθανότατα θα μπορούσε να τεκμηριωθεί για την εν λόγω περίπτωση, λόγω της ιδιάζουσας φύσης του περιστατικού), τότε γίνεται αντ’ αυτής δημόσια ανακοίνωση ή λαμβάνεται παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο». Όπως, όμως, αναφέρει «δεν προκύπτει στη συγκεκριμένη περίπτωση ότι έλαβε χώρα μία τέτοια γενικού χαρακτήρα ενημέρωση».
Παρά το γεγονός πως αφού η επίθεση ΕΜΟΤΕ έγινε ευρέως γνωστή, χρειαζόταν χρόνος για να διερευνηθεί και αποσαφηνιστεί εάν πράγματι πρόκειται για περιστατικό παραβίασης προσωπικών δεδομένων για το φορέα, η Αρχή τονίζει ότι «το περιεχόμενο της σχετικής αναφοράς του καταγγέλλοντα καταδεικνύει υψηλή πιθανότητα για μία τέτοια περίπτωση και άρα, η Ελληνική Αστυνομία ως υπεύθυνος επεξεργασίας όφειλε να διερευνήσει αμέσως το περιστατικό».
Εξάλλου, σημειώνει η Αρχή «όπως αποδείχτηκε, υπήρξαν πράγματι «μολυσμένοι» σταθμοί εργασίας εντός του υπευθύνου επεξεργασίας, η ύπαρξη των οποίων συνετέλεσε στην επιτυχή επίθεση (διότι διαφορετικά, αν δεν είχε πληγεί κανένα υποσύστημα της Ελληνικής Αστυνομίας, το εν λόγω περιστατικό δεν θα αφορούσε την Ελληνική Αστυνομία ως υπεύθυνο επεξεργασίας)».
Όπως επίσης αναφέρεται, στο τελευταίο της έγγραφο προς την Αρχή, η Ελληνική Αστυνομία περιγράφει σύνολο ενεργειών στις οποίες προέβη για τη διερεύνηση του περιστατικού. Ωστόσο, η Αρχή υπογραμμίζει πως «καίτοι οι ενέργειες αυτές φαίνεται να είναι καταρχήν στη σωστή κατεύθυνση, εν τούτοις δεν προκύπτει ότι διερευνήθηκαν ενδελεχώς οι τυχόν συνέπειες του περιστατικού (π.χ. δεν διερευνήθηκε για πόσα πρόσωπα υπήρξε διαρροή δεδομένων, καθώς επίσης και τι είδους ήταν τα δεδομένα αυτά), με αποτέλεσμα να μην έχει γίνει η σχετική αξιολόγηση των συνεπειών – η οποία ήταν υποχρεωτική».
Και προσθέτει: «Από τις ενέργειες αυτές προκύπτει ότι υπήρχαν περιπτώσεις όπου δεν είχαν επικαιροποιηθεί λειτουργικά συστήματα ή αντιβιοτικά λογισμικά, η παράλειψη δε αυτή καταδεικνύει μία εν γένει σημαντική έλλειψη διαδικασιών για επικαιροποίηση και επανεξέταση μέτρων ασφάλειας (τούτο ισχύει ανεξαρτήτως αν η εν λόγω μη επικαιροποίηση συνετέλεσε στο εν λόγω συμβάν παραβίασης δεδομένων ή όχι)».
