ΑΠΟΦΑΣΗ
Κατάλογος με κωδικούς συνδρομητών στο Διαδίκτυο
1.1 Τον Φεβρουάριο του 2005 εντοπίστηκε σελίδα στο Διαδίκτυο η οποία περιείχε κατάλογο με κωδικούς πρόσβασης της ευρυζωνικής υπηρεσίας της Cytanet i-choice.
Σχετικά με το περιστατικό αυτό, για το οποίο είχε υποβληθεί και παράπονο στο Γραφείο μας, ζητήσαμε από την Α.ΤΗ.Κ. να μας αναφέρει πότε ανακάλυψαν την «κλοπή» των κωδικών, σε τι ενέργειες είχαν προβεί για να ενημερώσουν τους συνδρομητές τους, τι μέτρα έχουν λάβει για αποφυγή επανάληψης τέτοιων περιστατικών και κατά πόσο έγιναν έρευνες είτε από την Α.ΤΗ.Κ είτε από την Αστυνομία και ποιο ήταν το αποτέλεσμα τους.
1.2 Η Α.ΤΗ.Κ μας ανάφερε ότι μετά από λεπτομερή έλεγχο που έγινε στον εν λόγω κατάλογο, διαφάνηκε ότι οι κωδικοί αυτοί ήταν κωδικοί πρόσβασης οι οποίοι χρησιμοποιούνταν από πελάτες πριν από δυόμισι χρόνια. Κατά την περίοδο εκείνη κάποιοι κατάφεραν να διεισδύσουν στο δίκτυο i-choice και να έχουν πρόσβαση σε κάποιους κωδικούς. Δεν είχε γίνει τότε οποιαδήποτε δημοσίευση καταλόγου με τους κωδικούς. Ανάφερε επίσης ότι οι πελάτες στους οποίους ανήκαν οι κωδικοί δεν μπορούσαν να συγκεκριμενοποιηθούν και έτσι δεν ενημερώθηκαν τότε όλοι οι πελάτες για να αποφευχθεί πανικός.
1.3 Μετά τη δημοσίευση καταλόγου με τους κωδικούς στο Διαδίκτυο τον Φεβρουάριο του 2005, η Α.ΤΗ.Κ. επικοινώνησε με τους επηρεαζόμενους πελάτες με ταχυδρομείο και τους προέτρεψε να αλλάξουν τους κωδικούς τους. Σε όσους δεν είχα ανταποκριθεί σ’ αυτήν την επικοινωνία, η Α.ΤΗ.Κ. σκόπευε να στείλει νέα υπενθύμιση μέσω ηλεκτρονικού ταχυδρομείου και συστημένης επιστολής.
Η Α.ΤΗ.Κ. στην απάντησή της αναφέρθηκε λεπτομερώς στα μέτρα που είχε λάβει / προτίθεται να λάβει για την ασφάλεια και προστασία των συστημάτων του Οργανισμού και των προσωπικών δεδομένων των πελατών της
1.4 Αναφέρθηκε επίσης στην εν λόγω επιστολή ότι η υπόθεση έχει καταγγελθεί και διερευνάται από την Αστυνομία
2. Η A.TH.K. καθώς και όλες οι εταιρείες / αρχές / οργανισμοί που χειρίζονται προσωπικά δεδομένα θα πρέπει να λαμβάνουν όλα τα απαραίτητα μέτρα ώστε να μην είναι εφικτή από μη εξουσιοδοτημένα πρόσωπα / hackers (crackers) η πρόσβαση στα συστήματα τους και στα προσωπικά δεδομένα των πελατών τους.
Επίσης πρέπει να είναι σε θέση να εντοπίζουν άμεσα περιστατικά τέτοιας μη εξουσιοδοτημένης πρόσβασης. Τα περιστατικά αυτά δεν θα πρέπει να αποσιωπούνται αλλά να ανακοινώνονται αμέσως μετά τον εντοπισμό τους με συμβουλές ως προς την αντιμετώπιση τους, ώστε οι επηρεαζόμενοι πελάτες να προβούν σε όλες τις απαραίτητες ενέργειες για προστασία των προσωπικών τους δεδομένων, έστω και αν τέτοια ανακοίνωση πιθανό να δημιουργήσει πανικό και να επηρεάσει την φήμη και την αξιοπιστία τους.3. Από την άλλη πλευρά, λόγω της συνεχούς εξέλιξης της τεχνολογίας, όλοι οι χρήστες του Διαδικτύου πρέπει να έχουν υπόψη τους ότι κανένα σύστημα στο Διαδίκτυο δεν είναι απόλυτα ασφαλισμένο λόγω του ότι καθημερινά ανακαλύπτονται νέες αδυναμίες στα λειτουργικά συστήματα των υπολογιστών και στα προγράμματα επικοινωνίας που χρησιμοποιούνται στο Διαδίκτυο, οι οποίες μπορούν να χρησιμοποιηθούν για απόκτηση μη εξουσιοδοτημένης πρόσβασης σε τέτοια συστήματα.
4. Η Α.ΤΗ.Κ. διαβεβαιώνει ότι σύμφωνα με ελέγχους από εξωτερικούς οίκους διαθέτει σήμερα υψηλό επίπεδο προστασίας, το οποίο συνεχίζει να ενημερώνει με ελέγχους ασφαλείας και προτίθεται να λάβει επιπρόσθετα μέτρα.
Με βάση τα πιο πάνω κατάληξα ότι υπό τις περιστάσεις, δεν θεωρώ ότι θα πρέπει να επιβληθεί οποιαδήποτε χρηματική ή άλλη ποινή στην Α.ΤΗ.Κ για την υπόθεση αυτή.
Τυχόν επανάληψη όμως παρόμοιου περιστατικού στο μέλλον δεν θα έχει βεβαίως την ίδια αντιμετώπιση.
Γούλλα Φράγκου
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα
21 Νοεμβρίου 2005