Πρόστιμο – μαμούθ 300.000 ευρώ σε δύο εταιρείες κινητής τηλεφωνίας – Καταγγελίες για περιστατικά μη εξουσιοδοτημένης πρόσβασης σε στοιχεία συνδρομητών

Καταπέλτης είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε βάρος δύο εταιρειών κινητής τηλεφωνίας μετά από πλήθος καταγγελιών και άλλων γνωστοποιήσεων, που έλαβε από πολίτες σχετικά με περιστατικά μη εξουσιοδοτημένης πρόσβασης κακόβουλων τρίτων σε στοιχεία συνδρομητών κινητής τηλεφωνίας.

Η πρόσβαση λάμβανε χώρα μετά από αιτήματα αλλαγής της κάρτας SIM των συνδρομητών και οφειλόταν σε προβλήματα που είχε η διαδικασία ταυτοποίησης των συνδρομητών κατά την υποβολή τέτοιων αιτημάτων, είτε ως αποτέλεσμα ελλιπών μέτρων ασφαλείας είτε μετά από ελαττωματική εφαρμογή των υπαρχόντων μέτρων.

Όπως αναφέρεται, υποβλήθηκε στην Αρχή ένα σύνολο καταγγελιών και γνωστοποιήσεων περιστατικών παραβίασης προσωπικών δεδομένων που σχετίζονται με περιστατικά μη εξουσιοδοτημένης αντικατάστασης κάρτας sim συνδρομητή (sim swap) αλλά και άλλων διαδικασιών (π.χ. εκτροπής κλήσεων, έκδοσης νέων αριθμών τηλεφώνων) από τρίτους, μη κατόχους των εν λόγω συνδέσεων.

FREEPIK

Οι ισχυρισμοί των εταιρειών

Από την πλευρά των εταιρειών αναφέρθηκε μεταξύ άλλων στη μία περίπτωση πως «οι κακόβουλοι δρούσαν συστηματικά, προμελετημένα και οργανωμένα, με την προσκόμιση και χρήση πλαστών εγγράφων στις περισσότερες των περιπτώσεων, με αποτέλεσμα να υπερβαίνουν τα οργανωτικά μέτρα ασφαλείας και τις λογικές υποψίες των υπαλλήλων της εταιρίας».

Επιπλέον, αναφέρεται ότι η πρόκληση υποψιών δεν είναι αναμενόμενη όσον αφορά στον μέσο υπάλληλο παροχής υπηρεσιών κινητής τηλεφωνίας, καθόσον, παρά τη σχετική του εκπαίδευση, είναι αντικειμενικά λιγότερο εξοικειωμένος με απατηλές παραστάσεις ως προς την ταυτότητα προσώπων εμφανιζόμενων ως αντισυμβαλλομένων. Πολύ περισσότερο κρίνεται ως μη αναμενόμενη η πρόκληση αντίστοιχων υποψιών στους υπαλλήλους της εταιρίας, όταν οι εμφανιζόμενοι: α) είχαν πλήρη γνώση των προσωπικών δεδομένων/προσωπικών στοιχείων του συνδρομητή, τα οποία ανέφεραν σε υπαλλήλους της Εταιρείας, β) προσκόμιζαν πλαστά έγγραφα ταυτοπροσωπίας.

Στην άλλη περίπτωση, η εταιρεία διατείνεται ότι παρόμοια περιστατικά δεν είχαν εκδηλωθεί προγενέστερα και αυτό αποδεικνύει την επάρκεια των υφιστάμενων μέτρων, μέχρι τότε. Εντούτοις, υποστηρίζεται ότι το μέτρο των φραγών είχε προαποφασιστεί, αλλά εξαιτίας σύνθετης τεχνικής υλοποίησης καθυστέρησε να υλοποιηθεί.

Η εταιρεία υποστηρίζει, εξάλλου, ότι καθώς μεγάλο μέρος των απατών διενεργείται με την προσκόμιση πλαστών δικαιολογητικών, οι υπάλληλοί της δεν έχουν την αρμοδιότητα να κρίνουν περί της πλαστότητας, η οποία ανήκει στις δικαστικές αρχές.

Freepik

Οι «κόκκινες κάρτες» της Αρχής

Αναφορικά με τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα που έχουν καταγραφεί προκύπτουν οι ακόλουθες τρείς κατηγορίες περιστατικών, εν σχέση με τις πολιτικές που βρίσκονταν σε εφαρμογή:

1. Δεν εφαρμόστηκε η τρέχουσα πολιτική και τα μέτρα που σχετίζονται με την διαδικασία αντικατάστασης της κάρτας SIM.
2. Τα μέτρα που εφαρμόζονταν σχετικά με τον έλεγχο ταυτοποίησης των πελατών κατά την διαδικασία αντικατάστασης της κάρτας SIM δεν ήταν επαρκή ώστε να εμποδίσουν την εκμετάλλευση αδυναμιών στην υπάρχουσα πολιτική και την παραβίαση προσωπικών δεδομένων.
3. Τα μέτρα που εφαρμόζονταν σχετικά με τον έλεγχο ταυτοποίησης των πελατών κατά την διαδικασία εξυπηρέτησης άλλων αιτήσεων υπηρεσιών (πχ. εκτροπή κλήσεων, έκδοση νέων αριθμών τηλεφώνων συνδρομητή) δεν ήταν αποτελεσματικά ώστε να εμποδίσουν την εκμετάλλευση αδυναμιών στην υπάρχουσα πολιτική και την παραβίαση προσωπικών δεδομένων.

Οι παραβιάσεις

Από τις διαπιστώσεις αυτές, σύμφωνα με τις αποφάσεις της Αρχής προκύπτουν δύο κατηγορίες παραβιάσεων και συγκεκριμένα:

* Προκύπτει ότι η εταιρία εφάρμοζε σε διάφορες χρονικές περιόδους πολιτικές οι οποίες ήταν ελλιπείς

* Προκύπτει ότι υπήρχαν περιπτώσεις που οι ισχύουσες πολιτικές δεν εφαρμόζονταν.

Επίσης, παρατηρήθηκαν περιπτώσεις όπου τα περιστατικά δεν γνωστοποιήθηκαν αμελλητί στην Αρχή (σημειώθηκαν αποκλίσεις μεταξύ του χρόνου κατά τον οποίο έγινε γνωστό το περιστατικό στον υπεύθυνο επεξεργασίας και του χρόνου υποβολής της γνωστοποίησής του στην Αρχή).

Για τους λόγους αυτούς και εκτιμώντας το πλήθος των περιστατικών, καθώς και τις ενέργειες του υπευθύνου επεξεργασίας προκειμένου να τα αντιμετωπίσει, η Αρχή επέβαλε πρόστιμο ύψους 150.000 ευρώ για τις ανωτέρω παραβιάσεις σε κάθε μία από τις εταιρείες.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr