Γράφει η Κατερίνα Τσάλιου, Νομικός – Information Security Analyst
Την εποχή της επεξεργασίας μεγάλου όγκου δεδομένων, οι οργανισμοί και εταιρίες καλούνται να δείξουν μέγιστη προσοχή στην ασφάλεια των δεδομένων.
Η μεγαλύτερη πρόκληση που καλούνται να αντιμετωπίσουν είναι η προστασία των δεδομένων από πιθανές απώλειες και διαρροές δεδομένων.
Στο άρθρο αυτό θα γίνει αναφορά στον ορισμό της διαρροής προσωπικών δεδομένων, στην προσπάθεια των εταιριών ώστε να αποφύγουν οποιαδήποτε πιθανή απώλεια των δεδομένων όπως και η απόφαση του Δικαστηρίου του Ρότερνταμ περί διαρροής δεδομένων και πως έπρεπε αυτή να αποτραπεί.
Ως διαρροή προσωπικών δεδομένων νοείται οποιαδήποτε παράνομη καταστροφή, απώλεια, τροποποίηση, επεξεργασία, μη εξουσιοδοτημένη διαβίβαση δεδομένων όπως και πρόσβασης σε προσωπικά δεδομένα. Μπορεί να πάρει διάφορες μορφές όπως αυτή της απώλειας δεδομένων, κλοπή υπολογιστή ή και ακόμη και αυτής της ανάρτησης δεδομένων προσωπικού χαρακτήρα. Για την καλύτερη κατανόηση της έννοιας αυτής κρίνεται σκόπιμο να αναφερθεί ότι η «διαρροή» αποτελεί έναν γενικότερο όρο ο οποίος περιλαμβάνει πράξεις παραβίασης δεδομένων.
Συγκεκριμένα, ο Γενικός Κανονισμός προστασίας Δεδομένων (στο εξής ΓΚΠΔ) προβλέπει ότι η διαρροή των δεδομένων συνεπάγεται κινδύνους για τα προσωπικά δεδομένα όπως και για τα ίδια τα δικαιώματα και τις ελευθερίες των υποκειμένων.
Οι Υπεύθυνοι επεξεργασίας πρέπει να συμμορφώνονται με τις θεμελιώδεις αρχές του ΓΚΠΔ και ιδιαίτερα με αυτές της αρχής της λογοδοσίας (άρθρο 5 παράγραφος 2 ΓΚΠΔ). Ακόμη, σημαντική είναι η καταγραφή των σχετικών πληροφορίων (άρθρο 33 παράγραφος 5 ΓΚΠΔ) από τον Υπεύθυνο επεξεργασίας ώστε να είναι σε θέση να αποδείξει στην αρμόδια Αρχή ή δικαστήριο πότε και πώς έγινε αντιληπτή η παραβίαση των προσωπικών δεδομένων. Σε κάποιες περιπτώσεις ο Υπεύθυνος Επεξεργασίας πρέπει να ενημερώσει το υποκείμενο των δεδομένων για ενδεχόμενη παραβίαση (άρθρο 34 ΓΚΠΔ).
Ιδανικά, καμία εταιρία και οργανισμός δεν πρέπει να φτάσει στο σημείο ενημέρωσης της εποπτικής Αρχής είτε του υποκειμένου δεδομένων. Για αυτό το λόγο οι περισσότερες εταιρίες, λειτουργούν με τον μηχανισμό της «αποτροπής απώλειας δεδομένων» (Data Loss Prevention, στο εξής DLP).
Τι περιέχει ο μηχανισμός του DLP;
Ουσιαστικά είναι μία λύση κυβερνοασφάλειας που περιέχει πολιτικές, διαδικασίες, μέτρα και τεχνολογίες οι οποίες αποτρέπουν την διαρροή των πληροφοριών όπως και των δεδομένων. Η λύση αυτή δίνει τη δυνατότητα στις επιχειρήσεις να ανιχνεύουν οποιαδήποτε απώλεια και μεταφορά δεδομένων εκτός του οργανισμού όπως και την ανεπιθύμητη καταστροφή προσωπικών αναγνωρίσιμων δεδομένων (Personal Identifiable Information-PII ).
Οι οργανισμοί την χρησιμοποιούν για εσωτερική ασφάλεια και συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Παρακάτω θα αναφερθεί η απόφαση του ολλανδικού δικαστηρίου στην υπόθεση ενός πρακτορείου έρευνας αγοράς, το Blauw Research B.V., που δρούσε ως Υπεύθυνος Επεξεργασίας Δεδομένων μετά από σύναψη σύμβασης, με εταιρία- πάροχο λογισμικού την NEBU B.V. η οποία δρούσε ως εκτελούσα την επεξεργασία .
Στις 10 Μαρτίου 2023, η εταιρία λογισμικού υπέστη κυβερνοεπίθεση κατά την οποία τρίτοι απέκτησαν μη εξουσιοδοτημένη πρόσβαση στους διακομιστές της με αποτέλεσμα να εξαχθούν προσωπικά δεδομένα των πελατών. Η εταιρία ως εκτελούσα την επεξεργασία ενημέρωση το πρακτορείο, Υπεύθυνο Επεξεργασίας δεδομένων, δύο μέρες μετά την πραγματοποίηση της επίθεσης. Κατά την κυβερνοεπίθεση, η εκτελούσα ενημέρωσε την υπεύθυνη για την κλοπή κωδικών πρόσβασης και προσωπικών δεδομένων αποθηκευμένων σε βάσεις δεδομένων cloud. Το Υπεύθυνο όμως πρακτορείο δεν έλαβε πλήρη ενημέρωση περί της κυβερνοεπίθεσης όπως η εταιρία-πάροχος ήταν υποχρεωμένη βάση της σύμβασης να παρέχει, με αποτέλεσμα το πρώτο να προσφύγει στο Δικαστήριο του Ρότερνταμ. Το πρακτορείο ισχυρίστηκε ότι η εκτελούσα έπρεπε, σύμφωνα με τις πολιτικές DLP που εφάρμοζε στο εσωτερικό της, να παράσχει λεπτομέρειες σχετικές με την κυβερνοεπίθεση, τις μεθόδους με τις οποίες ανακτήθηκε το σύστημα μετά την κυβερνοεπίθεση, τα προσωπικά δεδομένα πελατών που διέρρευσαν, τους δράστες της επίθεσης και κυρίως τα προληπτικά και αντιδραστικά τεχνικά όπως και οργανωτικά μέτρα τα οποία ελήφθησαν από την εταιρία-πάροχο. Το δικαστήριο έκρινε από τη μεριά του πως η εκτελούσα την επεξεργασία πρέπει να παρέχει όλες τις ζητούμενες πληροφορίες προκειμένου ο Υπεύθυνος Επεξεργασίας να διερευνήσει το περιστατικό αυτό με τον κατάλληλο τρόπο. Ακόμη το δικαστήριο δήλωσε ότι σε περίπτωση νέας κυβερνοεπίθεσης, το Υπεύθυνο πρέπει να ενημερωθεί εντός τεσσάρων ωρών από την στιγμή της κυβερνοεπίθεσης από την εκτελούσα και όρισε ως πρόστιμο το ποσό των 25.000 ευρώ ανά ημέρα (σε συνολική αποζημίωση των 500.000 ευρώ προς το Υπεύθυνο Επεξεργασίας).
Μέσα από αυτή την υπόθεση, φαίνεται πόσο σημαντική είναι η ύπαρξη της λύσης του DLP σε εταιρίες οι οποίες επεξεργάζονται μεγάλο όγκο δεδομένων.
Η λύση αυτή δεν προστατεύει μόνο από πιθανές διαρροές προσωπικών δεδομένων την εταιρία και από υψηλά πρόστιμα αλλά και από απώλεια της φήμης της στην αγορά. Καθώς οι κυβερνοεπιθέσεις πληθαίνουν και γίνονται όλο και πιο στοχευμένες, τέτοιες λύσεις μπορούν παρά μόνο να προστατέψουν τις εταιρίες, τους οργανισμούς όπως και τα υποκείμενα των δεδομένων.
Η μεγαλύτερη πρόκληση που καλούνται να αντιμετωπίσουν είναι η προστασία των δεδομένων από πιθανές απώλειες και διαρροές δεδομένων.
Στο άρθρο αυτό θα γίνει αναφορά στον ορισμό της διαρροής προσωπικών δεδομένων, στην προσπάθεια των εταιριών ώστε να αποφύγουν οποιαδήποτε πιθανή απώλεια των δεδομένων όπως και η απόφαση του Δικαστηρίου του Ρότερνταμ περί διαρροής δεδομένων και πως έπρεπε αυτή να αποτραπεί.
Ως διαρροή προσωπικών δεδομένων νοείται οποιαδήποτε παράνομη καταστροφή, απώλεια, τροποποίηση, επεξεργασία, μη εξουσιοδοτημένη διαβίβαση δεδομένων όπως και πρόσβασης σε προσωπικά δεδομένα. Μπορεί να πάρει διάφορες μορφές όπως αυτή της απώλειας δεδομένων, κλοπή υπολογιστή ή και ακόμη και αυτής της ανάρτησης δεδομένων προσωπικού χαρακτήρα. Για την καλύτερη κατανόηση της έννοιας αυτής κρίνεται σκόπιμο να αναφερθεί ότι η «διαρροή» αποτελεί έναν γενικότερο όρο ο οποίος περιλαμβάνει πράξεις παραβίασης δεδομένων.
Συγκεκριμένα, ο Γενικός Κανονισμός προστασίας Δεδομένων (στο εξής ΓΚΠΔ) προβλέπει ότι η διαρροή των δεδομένων συνεπάγεται κινδύνους για τα προσωπικά δεδομένα όπως και για τα ίδια τα δικαιώματα και τις ελευθερίες των υποκειμένων.
Οι Υπεύθυνοι επεξεργασίας πρέπει να συμμορφώνονται με τις θεμελιώδεις αρχές του ΓΚΠΔ και ιδιαίτερα με αυτές της αρχής της λογοδοσίας (άρθρο 5 παράγραφος 2 ΓΚΠΔ). Ακόμη, σημαντική είναι η καταγραφή των σχετικών πληροφορίων (άρθρο 33 παράγραφος 5 ΓΚΠΔ) από τον Υπεύθυνο επεξεργασίας ώστε να είναι σε θέση να αποδείξει στην αρμόδια Αρχή ή δικαστήριο πότε και πώς έγινε αντιληπτή η παραβίαση των προσωπικών δεδομένων. Σε κάποιες περιπτώσεις ο Υπεύθυνος Επεξεργασίας πρέπει να ενημερώσει το υποκείμενο των δεδομένων για ενδεχόμενη παραβίαση (άρθρο 34 ΓΚΠΔ).
Ιδανικά, καμία εταιρία και οργανισμός δεν πρέπει να φτάσει στο σημείο ενημέρωσης της εποπτικής Αρχής είτε του υποκειμένου δεδομένων. Για αυτό το λόγο οι περισσότερες εταιρίες, λειτουργούν με τον μηχανισμό της «αποτροπής απώλειας δεδομένων» (Data Loss Prevention, στο εξής DLP).
Τι περιέχει ο μηχανισμός του DLP;
Ουσιαστικά είναι μία λύση κυβερνοασφάλειας που περιέχει πολιτικές, διαδικασίες, μέτρα και τεχνολογίες οι οποίες αποτρέπουν την διαρροή των πληροφοριών όπως και των δεδομένων. Η λύση αυτή δίνει τη δυνατότητα στις επιχειρήσεις να ανιχνεύουν οποιαδήποτε απώλεια και μεταφορά δεδομένων εκτός του οργανισμού όπως και την ανεπιθύμητη καταστροφή προσωπικών αναγνωρίσιμων δεδομένων (Personal Identifiable Information-PII ).
Οι οργανισμοί την χρησιμοποιούν για εσωτερική ασφάλεια και συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Παρακάτω θα αναφερθεί η απόφαση του ολλανδικού δικαστηρίου στην υπόθεση ενός πρακτορείου έρευνας αγοράς, το Blauw Research B.V., που δρούσε ως Υπεύθυνος Επεξεργασίας Δεδομένων μετά από σύναψη σύμβασης, με εταιρία- πάροχο λογισμικού την NEBU B.V. η οποία δρούσε ως εκτελούσα την επεξεργασία .
Στις 10 Μαρτίου 2023, η εταιρία λογισμικού υπέστη κυβερνοεπίθεση κατά την οποία τρίτοι απέκτησαν μη εξουσιοδοτημένη πρόσβαση στους διακομιστές της με αποτέλεσμα να εξαχθούν προσωπικά δεδομένα των πελατών. Η εταιρία ως εκτελούσα την επεξεργασία ενημέρωση το πρακτορείο, Υπεύθυνο Επεξεργασίας δεδομένων, δύο μέρες μετά την πραγματοποίηση της επίθεσης. Κατά την κυβερνοεπίθεση, η εκτελούσα ενημέρωσε την υπεύθυνη για την κλοπή κωδικών πρόσβασης και προσωπικών δεδομένων αποθηκευμένων σε βάσεις δεδομένων cloud. Το Υπεύθυνο όμως πρακτορείο δεν έλαβε πλήρη ενημέρωση περί της κυβερνοεπίθεσης όπως η εταιρία-πάροχος ήταν υποχρεωμένη βάση της σύμβασης να παρέχει, με αποτέλεσμα το πρώτο να προσφύγει στο Δικαστήριο του Ρότερνταμ. Το πρακτορείο ισχυρίστηκε ότι η εκτελούσα έπρεπε, σύμφωνα με τις πολιτικές DLP που εφάρμοζε στο εσωτερικό της, να παράσχει λεπτομέρειες σχετικές με την κυβερνοεπίθεση, τις μεθόδους με τις οποίες ανακτήθηκε το σύστημα μετά την κυβερνοεπίθεση, τα προσωπικά δεδομένα πελατών που διέρρευσαν, τους δράστες της επίθεσης και κυρίως τα προληπτικά και αντιδραστικά τεχνικά όπως και οργανωτικά μέτρα τα οποία ελήφθησαν από την εταιρία-πάροχο. Το δικαστήριο έκρινε από τη μεριά του πως η εκτελούσα την επεξεργασία πρέπει να παρέχει όλες τις ζητούμενες πληροφορίες προκειμένου ο Υπεύθυνος Επεξεργασίας να διερευνήσει το περιστατικό αυτό με τον κατάλληλο τρόπο. Ακόμη το δικαστήριο δήλωσε ότι σε περίπτωση νέας κυβερνοεπίθεσης, το Υπεύθυνο πρέπει να ενημερωθεί εντός τεσσάρων ωρών από την στιγμή της κυβερνοεπίθεσης από την εκτελούσα και όρισε ως πρόστιμο το ποσό των 25.000 ευρώ ανά ημέρα (σε συνολική αποζημίωση των 500.000 ευρώ προς το Υπεύθυνο Επεξεργασίας).
Μέσα από αυτή την υπόθεση, φαίνεται πόσο σημαντική είναι η ύπαρξη της λύσης του DLP σε εταιρίες οι οποίες επεξεργάζονται μεγάλο όγκο δεδομένων.
Η λύση αυτή δεν προστατεύει μόνο από πιθανές διαρροές προσωπικών δεδομένων την εταιρία και από υψηλά πρόστιμα αλλά και από απώλεια της φήμης της στην αγορά. Καθώς οι κυβερνοεπιθέσεις πληθαίνουν και γίνονται όλο και πιο στοχευμένες, τέτοιες λύσεις μπορούν παρά μόνο να προστατέψουν τις εταιρίες, τους οργανισμούς όπως και τα υποκείμενα των δεδομένων.
Σχόλια
[1] Ο υπεύθυνος επεξεργασίας ορίζει τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα μέσα με τα οποία αυτή πραγματοποιείται. Επομένως, εάν η εταιρεία ή ο οργανισμός σας αποφασίζει «γιατί» και «πώς» τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, θεωρείται ο υπεύθυνος επεξεργασίας.
[2] Ως προσωπικά αναγνωρίσιμες πληροφορίες ορίζονται αυτές οι οποίες συνδέονται με ένα συγκεκριμένο άτομο οι οποίες μπορούν να χρησιμοποιηθούν για να αποκαλύψουν την ταυτότητα του ατόμου. Τέτοια παραδείγματα είναι ο ΑΜΚΑ, το όνομα και το επώνυμο, ο αριθμός τηλεφώνου, η διεύθυνση ηλεκτρονικού ταχυδρομείου. Στο Γενικό Κανονισμό Προστασίας Δεδομένων. Αναφέρονται ως προσωπικά δεδομένα (personal data). Χρησιμοποιείται έτσι ένας πιο ευρύς χαρακτηρισμός από τον κανονισμό.
[3] Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία είναι συνήθως τρίτος εκτός εταιρείας. Τα καθήκοντα του εκτελούντος την επεξεργασία προς τον υπεύθυνο επεξεργασίας πρέπει να καθορίζονται σε σύμβαση ή άλλη νομική πράξη.
www.bankingnews.gr
Σχόλια αναγνωστών