ΑΠΔΠΧ: Πρόστιμο 6 εκατ. ευρώ στην Cosmote για διαρροή δεδομένων από κυβερνοεπίθεση
Πρόστιμο επιβλήθηκε και στον ΟΤΕ για τον ίδιο λόγο, ύψους 3,25 ευρώ.
Σύμφωνα με τον τηλεπικοινωνιακό όμιλο, η διαρροή δεδομένων κλήσεων συνδρομητών και όχι προσωπικών δεδομένων, ήταν αποτέλεσμα κακόβουλης επίθεσης χάκερς στα συστήματα του. Το ποσό των 6 εκατ. ευρώ επέβαλλε ως πρόστιμο στην εταιρεία Cosmote για παραβίαση προσωπικών δεδομένων και συγκεκριμένα για διαρροή δεδομένων κλήσεων χιλιάδων συνδρομητών της κατά το χρονικό διάστημα από 1-5/9/2020 με απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Επίσης, με την ίδια απόφαση της ανεξάρτητης Αρχής επιβλήθηκε πρόστιμο ύψους 3,25 εκατ. ευρώ και στον ΟΤΕ.
Όπως αναφέρεται σε σχετική ανακοίνωσή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κατά τη διερεύνηση των συνθηκών κάτω από τις οποίες έλαβε χώρα το περιστατικό, «προέκυψε παράβαση της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων – ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία».
Η ανακοίνωση του Ομίλου ΟΤΕ
Η σχετική ανακοίνωση του Ομίλου ΟΤΕ για την σημερινή απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αναφέρει συγκεκριμένα: «Σε συνέχεια της ανακοίνωσης της ΑΠΔΠΧ για την απόφασή της για το περιστατικό κυβερνοεπίθεσης με θύμα την COSMOTE που έλαβε χώρα τον Σεπτέμβριο του 2020, η εταιρεία σημειώνει ότι εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της. Η ίδια ανίχνευσε την κυβερνοεπίθεση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Όπως αναγνωρίζει και η Αρχή, η εταιρεία συνεργάστηκε πλήρως με την ΑΠΔΠΧ και έλαβε μέτρα για την αντιμετώπιση του περιστατικού. Από την πλευρά των πελατών, δεν χρειάστηκε και δεν χρειάζεται να γίνει καμία ενέργεια. Σε κάθε περίπτωση, η εταιρεία επιφυλάσσεται κάθε νόμιμου δικαιώματός της. Το φαινόμενο των κυβερνοεπιθέσεων αποτελεί καθημερινότητα παγκοσμίως για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών και θεσμών. Ο Όμιλος ΟΤΕ αποκρούει κάθε μήνα πάνω από 500.000 κακόβουλες επιθέσεις τρίτων σε συστήματα. »
Τι είχε συμβεί το 2020
Η συγκεκριμένη υπόθεση έγινε γνωρίσει μεγάλη δημοσιότητα το 2020 εξαιτίας της σοβαρότητας της κυβερνοεπίθεσης στα συστήματα του Ομίλου ΟΤΕ τον Σεπτέμβριο (1-5/9). Έτσι, στις 14 Οκτωβρίου του 2020 η διοίκηση του τηλεπικοινωνιακού ομίλου είχε προχωρήσει στην έκδοση μιας αναλυτικής ανακοίνωσης για την ενημέρωση του κοινού και των αρμοδίων αρχών: «Η COSMOTE ΚΙΝΗΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ Α.Ε. ενημερώνει ότι κατά τη διάρκεια ελέγχου των συστημάτων της, ανιχνεύτηκε μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας, ως αποτέλεσμα κυβερνοεπίθεσης. Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI1, ηλικία, φύλο, ARPU2, συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Τα στοιχεία αυτά χρησιμοποιούνται από την εταιρεία για τη βελτιστοποίηση του δικτύου και των παρεχόμενων υπηρεσιών.
Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών. Δεν απαιτείται καμία ενέργεια από την πλευρά των πελατών. Η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη και μέχρι στιγμής, δεν υπάρχει καμία ένδειξη περί δημοσιοποίησης ή άλλης χρήσης του παρανόμως αποκτηθέντος αρχείου. Το φαινόμενο των κυβερνοεπιθέσεων (cyberattacks) παγκοσμίως, αποτελεί καθημερινότητα για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών και θεσμών. Τα συστήματα κυβερνοασφάλειας της εταιρείας αποκρούουν κάθε μήνα πάνω από 500 χιλιάδες κακόβουλες επιθέσεις τρίτων και επιθέσεις άρνησης υπηρεσιών (DDoS)».
