Πρόσβαση χρηστών στα πληροφοριακά συστήματα του Δήμου

Με πρόστιμο ύψους 50.000 ευρώ βρίσκεται αντιμέτωπος ο Δήμος του Lyngby-Taarbæk, μετά από τη διαπίστωση πολλαπλών και σημαντικών παραβάσεων σε απαιτήσεις ασφάλειας των πληροφοριακών του συστημάτων.

Οι παραβάσεις διαπιστώθηκαν από τη δανική αρχή προστασίας δεδομένων Datatilsynet, η οποία δεν έχει την αρμοδιότητα επιβολής προστίμων για παραβάσεις του ΓΚΠΔ, αλλά διαβιβάζει τις υποθέσεις στην αστυνομική αρχή, μαζί με την εισήγησή της ως προς τις τυχόν κυρώσεις, προκειμένου αυτές να κριθούν από τη δικαιοσύνη.

Η έρευνα της Datatilsynet ξεκίνησε μετά από αναφορές παραβίασης δεδομένων που υπέβαλε ο ίδιος ο Δήμος, οι οποίες και αποκάλυψαν εκτεταμένα προβλήματα στη διαχείριση των συστημάτων πληροφορικής και των δικαιωμάτων πρόσβασης των χρηστών.

Ένα από τα σημαντικότερα ευρήματα αφορά το σύστημα KMD Nexus, το οποίο χρησιμοποιείται στον τομέα της κοινωνικής πρόνοιας και περιέχει ευαίσθητα προσωπικά δεδομένα χιλιάδων πολιτών. Διαπιστώθηκε ότι τουλάχιστον 1.000 πρώην υπάλληλοι του Δήμου διατηρούσαν πρόσβαση στο σύστημα μετά τη λήξη της εργασιακής τους σχέσης. Το σύστημα περιείχε δεδομένα περίπου 30.000 πολιτών, ενώ σε μία τουλάχιστον περίπτωση, πρώην υπάλληλος κατάφερε να αποκτήσει πρόσβαση στα δεδομένα 1.022 πολιτών.

Η έρευνα αποκάλυψε επίσης σοβαρά κενά ασφαλείας στις υπηρεσίες Microsoft Office του Δήμου. Συγκεκριμένα, μη εξουσιοδοτημένο άτομο κατάφερε να αποκτήσει πρόσβαση στις υπηρεσίες Outlook, OneNote και SharePoint ενός υπαλλήλου, αποκτώντας έτσι πρόσβαση σε δεδομένα περίπου 5.000 πολιτών, εργαζομένων και συνεργατών του Δήμου.

Ιδιαίτερη ανησυχία προκαλεί το γεγονός ότι τόσο το KMD Nexus όσο και οι υπηρεσίες Microsoft ήταν προσβάσιμες απευθείας μέσω διαδικτύου, χωρίς την εφαρμογή Multi-Factor authentication ή άλλων προηγμένων μέτρων ασφαλείας. Οι υπάλληλοι μπορούσαν να συνδεθούν χρησιμοποιώντας μόνο όνομα χρήστη και κωδικό πρόσβασης, γεγονός που αύξανε σημαντικά τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης.

Η δανική αρχή επεσήμανε ότι η απομακρυσμένη πρόσβαση σε συστήματα που περιέχουν προσωπικά δεδομένα ενέχει αυξημένους κινδύνους και απαιτεί πρόσθετα μέτρα ασφαλείας. Η εφαρμογή πολυπαραγοντικής αυθεντικοποίησης αποτελεί βασική απαίτηση για την προστασία ευαίσθητων δεδομένων, ιδιαίτερα όταν η πρόσβαση παρέχεται μέσω διαδικτύου.

Παράλληλα, η Datatilsynet ανέδειξε τη σημασία του τακτικού ελέγχου και της παρακολούθησης των διαδικασιών διαχείρισης πρόσβασης. Παρότι μπορεί να συμβούν σφάλματα στις διαδικασίες αυτές, είναι απαραίτητη η διενέργεια τακτικών ελέγχων για να διασφαλιστεί ότι τα δικαιώματα πρόσβασης έχουν καταργηθεί σωστά και έγκαιρα όταν οι εργαζόμενοι αλλάζουν καθήκοντα ή αποχωρούν από έναν φορέα.

Για τον υπολογισμό του προτεινόμενου προστίμου, η δανική αρχή στάθηκε ιδιαίτερα στο γεγονός ότι ο Δήμος Lyngby-Taarbæk παρέλειψε επανειλημμένα και για μεγάλο χρονικό διάστημα να εφαρμόσει βασικά μέτρα ασφαλείας, παρά τις προειδοποιήσεις που είχαν γίνει για ελλείψεις στον τομέα της διαχείρισης χρηστών.