26 Οκτωβρίου, 2017

Δεδομένα πολιτών και οργανισμών ευάλωτα σε κυβερνο-επιθέσεις

Ερώτηση προς τους Υπουργούς: Δικαιοσύνης, Εσωτερικών, Διοικητικής Ανασυγκρότησης, Ψηφιακής Πολιτικής και Υγείας

Τον κίνδυνο διαρροής δεδομένων πολιτών και οργανισμών από κυβερνο-επιθέσεις θίγει με ερώτησή του στη Βουλή ο Γραμματέας Κοινοβουλευτικού Έργου και βουλευτής Αττικής με το Ποτάμι, Γιώργος Μαυρωτάς, προς τους Υπουργούς Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων, Εσωτερικών, Διοικητικής Ανασυγκρότησης, Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης και Υγείας.

Στη χώρα μας δραστηριοποιούνται κατά καιρούς διάφορες ομάδες “χακτιβιστών”, όπως αυτοχαρακτηρίζονται, οι οποίες πραγματοποιούν στοχευμένες δράσεις εναντίον κυρίως κρατικών ιστοτόπων, καθώς και κυβερνητικών ή τραπεζικών διαδικτυακών υπηρεσιών, προκαλώντας προβλήματα στη λειτουργία τους. Πρόσφατη ανάρτηση της ομάδας “Anonymous Greece” κάνει λόγο μάλιστα για υποκλοπή δεδομένων από τον ΕΟΠΥΥ, την Τράπεζα της Ελλάδος και την Τράπεζα Πειραιώς, ισχυρισμός που αν αποδειχθεί αληθινός, αποτελεί πλήγμα για την ιδιωτικότητα των πολιτών, ενώ ο κίνδυνος διαρροής αυτών των στοιχείων και ίσως μετατροπής τους σε προϊόν παράνομης εμπορικής συναλλαγής στο μέλλον είναι μεγάλος.

Σε συνέχεια των παραπάνω ο κ. Μαυρωτάς απευθύνει ερωτήματα προς τους αρμόδιους Υπουργούς, για το αν αληθεύουν οι ισχυρισμοί της ομάδας “Anonymous Greece”, για την έκταση της υποκλοπής, αλλά και τις ενέργειες των αρμόδιων Ανεξάρτητων Αρχών (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Αρχή Διασφάλισης Απορρήτου Επικοινωνιών) και της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας για το θέμα.

Ακολουθεί το πλήρες κείμενο της ερώτησης:

Προς τον Υπουργό: α) Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων
β) Εσωτερικών
γ) Διοικητικής Ανασυγκρότησης
δ) Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης
ε) Υγείας

Θέμα: «Κίνδυνος διαρροής δεδομένων πολιτών και οργανισμών από κυβερνο-επιθέσεις»

Θεμελιώδες δικαίωμα των πολίτων είναι η προστασία της ιδιωτικής τους ζωής, μέρος της οποίας αποτελούν και τα προσωπικά δεδομένα. Το δικαίωμα αυτό κατοχυρώνεται με το άρθρο 9Α «Προστασία Προσωπικών Δεδομένων» του Συντάγματος, σύμφωνα με το οποίο «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων…». Το νομικό πλαίσιο που διέπει την προστασία προσωπικών δεδομένων αποτελεί ο ν.2472/1997, όπου θεσμοθετήθηκε η ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ο ν.2774/1999 που εξειδίκευσε ζητήματα σχετικά με την προστασία δεδομένων στις τηλεπικοινωνίες, καθώς και ο ν.3115/2003 με τη σύσταση της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών. Προς αυτήν την κατεύθυνση ιδρύθηκε η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΠΔ 178/2014), ως αυτοτελής κεντρική υπηρεσία άμεσα υπαγόμενη στον Αρχηγό της Ελληνικής Αστυνομίας, καθώς η τεχνολογική πρόοδος και η αλματώδης ανάπτυξη του διαδικτύου τα τελευταία χρόνια, επέφεραν δραστικές αλλαγές στη ζωή των πολιτών, παρέχοντας τη δυνατότητα διακίνησης πληροφοριών σε ελάχιστο χρόνο σε εκατομμύρια αποδέκτες παγκοσμίως.

Η ελληνική πραγματικότητα δεν θα μπορούσε να αποτελεί εξαίρεση από το παγκόσμιο φαινόμενο των κυβερνοεπιθέσεων οι οποίες τα τελευταία χρόνια λαμβάνουν ανησυχητικές διαστάσεις. Στη χώρα μας έχουν εμφανιστεί κατά καιρούς διάφορες ομάδες “χακτιβιστών”, όπως αυτοχαρακτηρίζονται, οι οποίες πραγματοποίησαν στοχευμένες δράσεις εναντίον κυρίως κρατικών ιστοτόπων, καθώς και κυβερνητικών ή τραπεζικών διαδικτυακών υπηρεσιών. Ως επί το πλείστον, οι παρεμβάσεις αυτές αφορούσαν στις λεγόμενες επιθέσεις άρνησης υπηρεσίας (DoS, Denial of Service) και κατανεμημένης άρνησης υπηρεσίας (DDoS, Distributed Denial of Service). Οι επιθέσεις αυτές προκαλούν τεχνητή υπερφόρτωση του πληροφοριακού συστήματος – στόχου, καθιστώντας ουσιαστικά ανενεργή την υπηρεσία που εξυπηρετεί το βαλλόμενο σύστημα. Χαρακτηριστικό γνώρισμα των επιθέσεων είναι ότι παρά το γεγονός ότι προκαλούνται προβλήματα στη λειτουργία των υπηρεσιών, δεν παρέχεται πρόσβαση στις πληροφορίες που είναι αποθηκευμένες στο πληροφοριακό σύστημα - στόχο. Χαρακτηριστικό παράδειγμα είναι η επίθεση της ομάδας “Anonymous Greece” στη διαδικτυακή σελίδα ηλεκτρονικών πλειστηριασμών που πραγματοποιήθηκε την 23η Σεπτεμβρίου 2017.

Η ίδια ομάδα μια μέρα μετά, πραγματοποίησε νέα επίθεση ίδιου χαρακτήρα στην Τράπεζα της Ελλάδος, με αποτέλεσμα την παύση λειτουργίας της ιστοσελίδας της για αρκετές ώρες. Στη συνέχεια οι χάκερς επανήλθαν με δηλώσεις, μέσω ηλεκτρονικών αναρτήσεων, ισχυριζόμενοι ότι κατάφεραν να υποκλέψουν δεδομένα από την Τράπεζα της Ελλάδος, τον ΕΟΠΥΥ και την Τράπεζα Πειραιώς. Μάλιστα, προς επίρρωση των ισχυρισμών τους, την 26η Σεπτεμβρίου ξεκίνησαν τη διαρροή δεδομένων της Τράπεζας της Ελλάδος, με την επισήμανση ότι αυτά αποτελούν απλά ένα μικρό μέρος των στοιχείων που έχουν περιέλθει στην κατοχή τους. Με ανακοίνωση της, η Τράπεζα της Ελλάδος υποστήριξε ότι τα αρχεία που διέρρευσαν περιέχουν στοιχεία που είναι ανακοινώσιμα και διαθέσιμα στο κοινό μέσα από τον διαδικτυακό της τόπο. Από την πλευρά του ΕΟΠΥΥ και της Τράπεζας Πειραιώς δεν υπήρξε οποιοδήποτε σχόλιο σχετικά με πιθανή υποκλοπή.

Το γεγονός ότι τα στοιχεία που διέρρευσαν αποτελούν δημόσια δεδομένα, δεν μπορεί σε καμία περίπτωση να αποτελεί καθησυχαστικό παράγοντα για την κοινωνία, δεδομένου ότι η διεθνής εμπειρία έχει δείξει ότι στοιχεία που αποκτώνται παράνομα και δεν δημοσιοποιούνται, ενδεχομένως να αποτελέσουν στο μέλλον προϊόν εμπορικής συναλλαγής στο παρασκήνιο. Δεν είναι λίγες οι φορές που αποκαλύφθηκε ότι στοιχεία που είχαν υποκλαπεί κατέληξαν σε χέρια ιδιωτών με στόχο την επιχειρηματική εκμετάλλευσή τους. Χαρακτηριστικό παράδειγμα αποτελεί το περιστατικό διαρροής στοιχείων από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων που αποκαλύφθηκε το 2012, όπου διαπιστώθηκε ότι προσωπικά δεδομένα των φορολογούμενων είχαν καταλήξει σε εταιρεία εμπορίας προσωπικών δεδομένων.

Επειδή το Ποτάμι είναι ιδιαίτερα ευαισθητοποιημένο σε θέματα προστασίας της ιδιωτικότητας του ατόμου, των προσωπικών ελευθεριών και του απορρήτου των επικοινωνιών.

Και επειδή υποστηρίζουμε την ανάπτυξη και αξιοποίηση των νέων τεχνολογιών και της χρήσης τους στην υπηρεσία του πολίτη, αναγνωρίζοντας παράλληλα τις μεγάλες προκλήσεις που προκύπτουν σχετικά με την προστασία των προσωπικών δεδομένων.

Ερωτώνται οι κ.κ. Υπουργοί:

1. Σας γνωστοποιήθηκε από τους παραπάνω Οργανισμούς (Τράπεζα της Ελλάδος, ΕΟΠΥΥ, Τράπεζα Πειραιώς) επίσημη ενημέρωση για την εν λόγω κυβερνοεπίθεση όπως ισχυρίζεται ότι έπραξε η ομάδα “Anonymous Greece”; Αν ναι ποιο το είδος της κυβερνο-επίθεσης; Υπήρξε παραβίαση των συστημάτων και πρόσβαση σε αποθηκευμένα αρχεία και ποιο το μέγεθος και το είδος των δεδομένων;

2. Σε ποιες ενέργειες προέβησαν η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας και οι αρμόδιες Ανεξάρτητες Αρχές (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Αρχή Διασφάλισης Απορρήτου Επικοινωνιών), προκειμένου να ελέγξουν τους ισχυρισμούς της εν λόγω ομάδας σχετικά με την απόκτηση δεδομένων;

3. Ποιες οι ενέργειές σας προκειμένου να διασφαλιστεί ότι δεδομένα που ενδεχομένως αποκτήθηκαν παρανόμως και δεν έχουν ακόμη δημοσιοποιηθεί, δεν θα αποτελέσουν στο μέλλον αντικείμενο εκμετάλλευσης των πολιτών;

Ο Ερωτών Βουλευτής
Γιώργος Μαυρωτάς – Αττικής