Πρόστιμο 3.000 ευρώ σε Τράπεζα για μη εξουσιοδοτημένη πρόσβαση από υπάλληλο (ΑΠΔΠΧ 7/2025)
Ο υπάλληλος είχε μετακινηθεί σε άλλη θέση, αλλά διατήρησε τα δικαιώματα του διαχειριστή στο πληροφοριακό σύστημα
Διοικητικό πρόστιμο ύψους 3.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην ALPHA BANK για την παραβίαση της εμπιστευτικότητας των δεδομένων, κατά παράβαση των άρθρων 5 παρ.1στ’ και 32 ΓΚΠΔ.
Η παραβίαση τέθηκε σε γνώση της Αρχής από την ίδια την Τράπεζα, κατ’ εφαρμογή της πρόβλεψης του άρθρου 33 ΓΚΠΔ για γνωστοποίηση των παραβιάσεων στην εποπτική αρχή. Σύμφωνα με τη γνωστοποίηση που υποβλήθηκε, υπήρξε περιστατικό μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα από υπάλληλο της εταιρείας, ο οποίος είχε μετατεθεί εσωτερικά σε άλλη υπηρεσία, αλλά διατήρησε εκ παραδρομής τον ρόλο του διαχειριστή συστήματος (admin).
Η μετάθεση, ως εκ τούτου και η λήξη της δυνατότητας διατήρησης των δικαιωμάτων διαχειριστή, έλαβε χώρα τον Ιανουάριο του 2015, ωστόσο η μη εξουσιοδοτημένη πρόσβαση διατηρήθηκε μέχρι και τον Οκτώβριο του 2022, όταν και διακόπηκαν όλα τα δικαιώματα πρόσβασης του υπαλλήλου και αυτός τέθηκε σε υποχρεωτική αργία.
Η Τράπεζα, λόγω του πλήρους των μη εξουσιοδοτημένων καταγεγραμμένων κινήσεων (logs) του εν λόγω υπαλλήλου καθώς και του περιεχομένου των emails που θα έπρεπε να διερευνηθούν, αποφάσισε να ζητήσει τη συνδρομή εξειδικευμένης εταιρείας, αναθέτοντας τη διενέργεια της σχετικής έρευνας σε εταιρεία του Ηνωμένου Βασιλείου.
Διαβάστε επίσης: Πρόστιμο 930.000 ευρώ για τη μη ανακοίνωση της παραβίασης δεδομένων στα υποκείμενα
Στο πλαίσιο της έρευνας που πραγματοποιήθηκε, εντοπίστηκε ηλεκτρονικό μήνυμα που περιελάμβανε τα μισθολογικά στοιχεία του συνόλου του προσωπικού της Τράπεζας (6.167 άτομα), καθώς και αξιολογήσεις, στοιχεία οικογενειακής κατάστασης, στοιχεία προϋπηρεσίας και προϋποθέσεις συνταξιοδότησης, το οποίο ο υπάλληλος είχε ανασύρει από το σύστημα αρχειοθέτησης του ηλεκτρονικού ταχυδρομείου (Enterprise Vault).
Από τον Μάρτιο του 2019, έως και τη διακοπή της πρόσβασης το 2022, διαπιστώθηκε πως ο υπάλληλος πραγματοποίησε 24.625 μη εξουσιοδοτημένες κινήσεις (logged actions), στο Enterprise Vault είτε για να δει μόνο το περιεχόμενο του ηλεκτρονικού ταχυδρομείου, είτε για να λάβει το αντίστοιχο αρχείο. Όπως μάλιστα σημείωσε η Τράπεζα, μολονότι τον Δεκέμβριο του 2021 έγινε αλλαγή των κωδικών πρόσβασης, με αποτέλεσμα την απώλεια της δυνατότητας του υπαλλήλου να έχει πρόσβαση στο σύστημα, αυτός επανήλθε τον Φεβρουάριο του 2022. έχοντας προφανώς λάβει γνώση των νέων κωδικών πρόσβασης στο σύστημα Enterprise Vault, «με τη συνεργασία άλλου υπαλλήλου της Τράπεζας».
Περαιτέρω και σύμφωνα με την έρευνα που διενεργήθηκε, ο υπάλληλος απέστειλε 116 μηνύματα με πληροφορίες που είχαν περιέλθει στην κατοχή του κατά τα ως άνω σε άλλους 8 υπαλλήλους της Τράπεζας. Τα μηνύματα αυτά περιελάμβαναν από προσωπικά δεδομένα υπαλλήλων της Τράπεζας, έως βιογραφικά υποψηφίων για εργασία και κείμενα που αφορούσαν οργανωτικές αλλαγές της Τράπεζας.
Με βάση τα συμπεράσματα αυτά, η Τράπεζα κάλεσε σε εξηγήσεις τους εννέα εμπλεκόμενους υπαλλήλους-λειτουργούς της (τον υπάλληλο και τους 8 αποδέκτες), οι οποίοι «στη συνέχεια συμφώνησαν να αποχωρήσουν οικειοθελώς από την Τράπεζα, αναλαμβάνοντας εγγράφως υποχρέωση πλήρους συνεργασίας με την Τράπεζα, στο πλαίσιο της οποίας ανέλαβαν, μεταξύ άλλων, να επιστρέψουν τα αρχεία με προσωπικά δεδομένα που περιήλθαν στην κατοχή τους στη διάρκεια απασχόλησής τους στην Τράπεζα, να επιστρέψουν τα τερματικά (PC), laptops, κλειδιά, κωδικούς κρυπτογραφήσεως δεδομένων, κωδικούς πρόσβασης ή άλλα μέσα πρόσβασης σε χώρους ή συστήματα της Τράπεζας, που χρησιμοποιούσαν στη διάρκεια της απασχόλησής τους κτλ. Κυρίως όμως, αποχώρησαν από την Τράπεζα, αφού ανέλαβαν εγγράφως υποχρέωση πλήρους εχεμύθειας για το περιστατικό, για τον έλεγχο τήρησης της οποίας αποδέχθηκαν τη σταδιακή σε βάθος δωδεκαμήνου καταβολή σε αυτούς της νόμιμης αποζημίωσης αποχώρησης».
Η απόφαση της Αρχής
Κατόπιν εξέτασης των στοιχείων του φακέλου, όπως αυτός συμπληρώθηκε με τα υπομνήματα της Τράπεζας και την πλήρη γνωστοποίηση του περιστατικού παραβίασης, η Αρχή διαπίστωσε ότι:
«3. Στην εξεταζόμενη περίπτωση, από τα στοιχεία του φακέλου προκύπτει ότι εξαιτίας της μη εφαρμογής της πολιτικής ασφάλειας της εταιρίας, δεν έλαβε χώρα προσαρμογή του ρόλου του υπαλλήλου στο σύστημα, κατά τη μετακίνηση του σε άλλη οργανική θέση, κατά παράβαση του άρθρου 32 του ΓΚΠΔ. Επιπλέον, εξαιτίας των υψηλών δικαιωμάτων που απαιτούσε η προηγούμενη ιδιότητά του υπαλλήλου (διαχειριστής συστήματος), ο εν λόγω χρήστης διατηρούσε αυξημένη μη εξουσιοδοτημένη δικαιοδοσία σε πόρους του συστήματος για μεγάλο χρονικό διάστημα. Το συγκεκριμένο κενό ασφαλείας οδήγησε σε παραβίαση τύπου ελέγχου πρόσβασης, η οποία παρά την περιορισμένη έκταση της (ένας χρήστης) και το γεγονός ότι εντάσσεται στην κατηγορία των εσωτερικών απειλών (insider thread), θεωρείται κίνδυνος υψηλού ρίσκου που εκθέτει ένα σύστημα σε μεγάλο βαθμό. Η εν λόγω αστοχία στην προσαρμογή των ρόλων δεν έγινε αντιληπτή για πολύ μεγάλο χρονικό διάστημα (2015-2022) και είχε ως αποτέλεσμα να επηρεαστούν από το περιστατικό 6.167 φυσικά πρόσωπα, οι δε πληροφορίες, στις οποίες αποκτήθηκε μη εξουσιοδοτημένη πρόσβαση, αφορούν και δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών (υγείας-ποσοστού αναπηρίας)».
Διαβάστε επίσης: Η αποστολή κρυπτογραφημένου email με δεδομένα υγείας δεν είναι επαρκές μέτρο, χωρίς την κρυπτογράφηση και των ίδιων των πληροφοριών
Η παραβίαση της ασφάλειας εξειδικεύτηκε από την Αρχή, στη μη εφαρμογή των εξής μέτρων αντιμετώπισης εσωτερικών απειλών:
α. Επαρκής παρακολούθηση συστήματος,
β. Εφαρμογή πολιτικών ασφαλείας,
γ. Επιπρόσθετη παρακολούθηση συστήματος σε επίπεδο δραστηριότητας διαχειριστών,
δ. Ύπαρξη τεχνικών μέτρων τα οποία θα μπορούσαν, εξ ορισμού, να αποτρέπουν τα οργανωτικά σφάλματα αυτής της μορφής, όπως αυτοματοποιημένη μεταβολή σε επίπεδο λογισμικού ή με database triggers που προσαρμόζουν τους συστημικούς ρόλους στις τροποποιήσεις πεδίων που αφορούν μεταβολές οργανικών θέσεων.
Με βάση τα ανωτέρω, η Αρχή διαπίστωσε την παραβίαση της εμπιστευτικότητας των δεδομένων, κατά παράβαση του άρθρου 5 παρ. 1 στοιχ. στ’ σε συνδυασμό με το άρθρο 32 του ΓΚΠΔ, για την οποία επέβαλε πρόστιμο ύψους 3.000 ευρώ.
Για τον υπολογισμό του προστίμου αυτού, η Αρχή έλαβε υπόψιν της επιβαρυντικώς το μεγάλο χρονικό διάστημα της μη εξουσιοδοτημένης πρόσβασης και τις κατηγορίες των προσωπικών δεδομένων που επηρεάστηκαν, μεταξύ των οποίων και δεδομένα του άρθρου 9 ΓΚΠΔ.
Αντίθετα, ελαφρυντικώς εκτιμήθηκαν τα μέτρα ενίσχυσης της ασφάλειας μετά το περιστατικό, η πραγματοποίηση έρευνας με από εξειδικευμένη εταιρεία, η μικρή έκταση της διαρροής των δεδομένων σε συνδυασμό με τις περιορισμένες συνέπειες του περιστατικού, καθώς και τα μέτρα που επιβλήθηκαν «κατά των υπαλλήλων της εταιρίας που ενεπλάκησαν στην διαρροή προσωπικών δεδομένων».
Το πλήρες κείμενο της απόφασης ΑΠΔΠΧ 7/2025 είναι διαθέσιμο στον ιστότοπο της Αρχής.
