Παραβίαση γενετικών δεδομένων από εργαστήριο της Εσθονίας
Η μεγαλύτερη διαρροή δεδομένων στην ιστορία της χώρας
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
33 GB με γενετικά δεδομένα, 100.000 αρχεία των τελευταίων 14 ετών με τα αποτελέσματα των γενετικών αναλύσεων 10.000 ατόμων στα χέρια αγνώστων δραστών κυβερνοεπίθεσης. Ο απόλυτος εφιάλτης της κυβερνοασφάλειας έγινε πραγματικότητα στην Εσθονία.
Στις 14 Δεκεμβρίου 2023, η Γενική Εισαγγελία της Εσθονίας διοργάνωσε συνέντευξη τύπου, παρουσία της Προέδρου της Αρχής Προστασίας Δεδομένων της χώρας, προκειμένου να ανακοινώσει τη διαρροή γενετικών δεδομένων από ιδιωτική εταιρεία - εργαστήριο γενετικών αναλύσεων μετά από κυβερνοεπίθεση στα πληροφοριακά της συστήματα.
Η παραβίαση γνωστοποιήθηκε στην αστυνομία, την εθνική αρχή ασφάλειας πληροφοριακών συστημάτων (Riigi Infosüsteemi Amet) και την εποπτική αρχή του ΓΚΠΔ στα μέσα Νοεμβρίου και αφορούσε την παράνομη πρόσβαση και το κατέβασμα χιλιάδων αρχείων από τη βάση δεδομένων της εταιρείας Asper Biogene OÜ.
Τα αρχεία που βρέθηκαν στα χέρια των αγνώστων δραστών περιελάμβαναν τις γενετικές αναλύσεις αγνώστου αριθμού πολιτών, με τον αριθμό των θυμάτων να εκτιμάται πως φτάνει μέχρι τις 10.000. Στα αρχεία αυτά περιλαμβάνονται πλήρεις γενετικές αναλύσεις και τα αποτελέσματά τους για πάσης φύσεως αίτια, μεταξύ των οποίων για την ανίχνευση κληρονομικών παθήσεων, ενώ πληροφορίες που δόθηκαν στη δημοσιότητα και στη συνέχεια διαψεύστηκαν από την εταιρεία έκαναν λόγο και για εξετάσεις γονιμότητας. Τα δεδομένα που παραβιάστηκαν είχαν συλλεγεί από το έτος 2009 μέχρι και τη στιγμή της κυβερνοεπίθεσης.
Ακόμη χειρότερα, οι αναλύσεις αυτές δεν είχαν ζητηθεί μόνο από τους ίδιους τους πολίτες, αλλά είχαν διενεργηθεί και τηρούνταν και για λογαριασμό 42 φορέων, μεταξύ των οποίων πάροχοι υπηρεσιών υγείας και μεγάλα νοσοκομεία της χώρας.
Αυτό σήμαινε πως η Asper Biogene OÜ δεν ενεργούσε μόνο ως υπεύθυνος επεξεργασίας για τα δεδομένα που τηρούσε, αλλά και ως εκτελών την επεξεργασία για τα δεδομένα που επεξεργαζόταν για λογαριασμό των φορέων που της το είχαν αναθέσει. Συνέπεια αυτού ήταν η είδηση να προκαλέσει πανικό σε μεγάλο μέρος του συστήματος υγείας της χώρας, με τα νοσοκομεία να προχωρούν ήδη από την ημέρα της ανακοίνωσης σε ενημερώσεις των πολιτών προκειμένου να επικοινωνήσουν μαζί τους και να πληροφορηθούν ως προς το αν συγκαταλέγονται μεταξύ των θυμάτων της κυβερνοεπίθεσης.
Παράλληλα, συνέπεια αυτού ήταν πως η εθνική εποπτική αρχή για τα προσωπικά δεδομένα Andmekaitse Inspektsioon (AKI) δεν καλείται να διερευνήσει μόνο τα μέτρα ασφάλειας που είχε λάβει η εταιρεία που δέχθηκε την κυβερνοεπίθεση, αλλά και τους όρους υπό τους οποίους οι 42 φορείς της είχαν αναθέσει την επεξεργασία δεδομένων των πελατών-ασθενών-μελών τους.
Οι πρώτες πληροφορίες κάνουν λόγο για ανεπαρκή μέτρα ασφάλειας, με την Πρόεδρο της εποπτικής αρχής να δηλώνει ήδη από την ημέρα ανακοίνωσης του συμβάντος πως «οι συνέπειες της διαρροής δεδομένων θα μπορούσαν να είναι περιορισμένες, εάν τα δεδομένα τηρούνταν από την εταιρεία κρυπτογραφημένα ή ψευδωνυμοποιημένα. Δυστυχώς, αυτό που συνέβη δείχνει πως οι απειλές για την κυβερνοασφάλεια δεν λαμβάνονται σοβαρά».
Αντίστοιχοι προβληματισμοί εκφράζονται και για τους όρους ανάθεσης στην επεξεργασία και διατήρηση των δεδομένων για λογαριασμό των 42 υπευθύνων επεξεργασίας, με τις πρώτες πληροφορίες να κάνουν λόγο για πλήρη απουσία συμφωνητικών επεξεργασίας δεδομένων.
Πρόκειται για τη μεγαλύτερη κυβερνοεπίθεση και τη μαζικότερη διαρροή δεδομένων στην ιστορία της Εσθονίας, μιας χώρας που διατηρεί υψηλά επίπεδα ψηφιοποίησης των υπηρεσιών της, ως εκ τούτου μοιάζει συγκλονισμένη από την ευκολία με την οποία συνέβη το περιστατικό, με την Επίτροπο Δικαιοσύνης να δηλώνει εμβρόντητη ως προς το πώς επιτρεπόταν η διατήρηση γενετικών δεδομένων από μια ιδιωτική εταιρεία, κατ’ ουσίαν εργαστήριο, και όχι από τους παρόχους υπηρεσιών υγείας.
Η υπόθεση φέρνει στο νου την περίπτωση της παραβίασης δεδομένων στην ψυχιατρική κλινική Vastaamo στη γειτονική Φινλανδία, στην οποία οι δράστες αφού απέτυχαν να εισπράξουν λύτρα από την εταιρεία, προχώρησαν στην αποστολή απειλητικών μηνυμάτων στα θύματα της κυβερνοεπίθεσης, ενδεχόμενο που επιχειρούν ήδη να αντιμετωπίσουν οι αρχές της Εσθονίας, καλώντας τους πολίτες να είναι ιδιαίτερα προσεκτικοί στα μηνύματα που τυχόν θα λάβουν. Στην υπόθεση της Vastaamo, ο δράστης της επίθεσης ταυτοποιήθηκε στο πρόσωπο ενός 25χρονου Φινλανδού, ο οποίος συνελήφθη στη Γαλλία και εκδόθηκε στη Φινλανδία για να δικαστεί. Παράλληλα, ο CEO της εταιρείας καταδικάστηκε σε φυλάκιση τριών μηνών με αναστολή για την παραβίαση των διατάξεων του ΓΚΠΔ, ενώ η εταιρεία υπέβαλε αίτηση πτώχευσης.
Υπενθυμίζεται πως η Εσθονία είναι η μια από τις δύο χώρες της Ευρωπαϊκής Ένωσης, στις οποίες δεν προβλέπεται η επιβολή διοικητικών προστίμων από το εθνικό δίκαιο, αλλά η επιβολή προστίμων στο πλαίσιο διαδικασίας για πλημμελήματα, όπως μνημονεύεται ρητώς στην αιτιολογική σκέψη 151 Γενικού Κανονισμού Προστασίας Δεδομένων. Η ειδική αυτή διαδικασία έχει οδηγήσει στην απουσία προστίμων κατά τα πρώτα έτη εφαρμογής του ΓΚΠΔ, αλλά και στην ακύρωση του πρώτου μεγάλου προστίμου που επέβαλε η ΑΚΙ σε νοσοκομείο για τη διατήρηση έγχαρτων αρχείων σε κοντέινερ.
