Početkom svibnja 2024. Europski parlament obavijestio je svoje osoblje o velikoj povredi podataka na platformi za zapošljavanje koju je koristio. Kompromitirana aplikacija koja je sada ugašena zove se 'PEOPLE' i prikupljala je osjetljive informacije vezane uz oko 8000 ispitanika (pripravnici, konzultanti, ugovorni djelatnici ili pomoćnici) te je pružala pojedinosti o procesu zapošljavanja. Povreda je uključivala osobne iskaznice i putovnice, izvatke iz kaznene evidencije, dokumente o prebivalištu, pa čak i osjetljive podatke poput vjenčanih listova koji otkrivaju seksualnu orijentaciju osobe. Svi aktivni ili prošli korisnici potencijalno pogođeni povredom podataka bili su propisno obaviješteni. Obavijesti su poslane i Europskom nadzorniku za zaštitu podataka (EDPS) te vlastima u Luksemburgu, gdje je sjedište PEOPLE-a.
Parlament je saznao za kršenje tek nekoliko mjeseci nakon što se dogodilo, a čini se da još uvijek ne zna uzrok.
noyb je podnio dvije pritužbe Europskom nadzorniku za zaštitu podataka u ime četiri zaposlenika.
Podaci svih prijavljenih na jednom mjestu- koliki je to rizik?
Prije nego što se možete prijaviti za posao u Europskom parlamentu, morate se registrirati na njegovoj platformi za zapošljavanje PEOPLE. Tamo podnositelji zahtjeva instituciji daju gomilu osobnih podataka. To uključuje osobne iskaznice i putovnice, dokumente o prebivalištu i obrazovanju, kao i osjetljive podatke poput izvoda iz kaznene evidencije i vjenčanih listova.
Reakcija EU Parlamenta- ispravna?
Dana 26. travnja 2024. Europski parlament obavijestio je Europskog nadzornika za zaštitu podataka (EDPS) o velikoj povredi podataka u PEOPLE-u, koja je utjecala na više od 8000 sadašnjih i bivših zaposlenika. EDPS je potvrdio da su obaviješteni o kršenju u manje od 72 sata od trenutka kada je Parlament za to saznao. Obaviješteno je i nadležno nacionalno tijelo u Luksemburgu.
Europski parlament poslao je u ponedjeljak (6. svibnja) internu obavijest svom osoblju o povredi podataka u aplikaciji PEOPLE. Obavijest je poslao Kristian Knudsen, generalni direktor Uprave za osoblje Europskog parlamenta. Primatelji su obaviješteni o mogućnosti da je povreda mogla izložiti osobne podatke neovlaštenom pristupu vanjskih strana.
Prema Knudsenovom e-mailu, incident se dogodio početkom 2024.
Bivši zaposlenici Parlamenta također su putem e-pošte obaviješteni da su neki od njihovih osobnih podataka pogođeni. U nekim slučajevima to uključuje podatke koji više nisu bili ažurni. Međutim, oni koji više nisu u postupku zapošljavanja nemaju pristup svom računu.
Zahvaćeni dokumenti također se odnose na građanski status, boravište i prebivalište, obrazovanje ili iskustvo, vojne obveze, izjave o časti, dokumente za utvrđivanje individualnih prava i ugovore.
I što je posljedica... Promptna i ispravna reakcija od iznimne je važnosti!
Aplikacija je deaktivirana nakon povrede podataka. Parlament je 31. svibnja savjetovao pogođene ispitanike da zamijene svoje osobne iskaznice i putovnice kao mjeru predostrožnosti i ponudio im nadoknadu troškova. U trenutku podnošenja prijave još uvijek nije bilo jasno koliko su dugo napadači imali pristup osobnim podacima podnositelja zahtjeva. Osoblju je savjetovano da poništi lozinke i bude oprezan sa sumnjivim porukama.
Preporuke su uključivale i prijedloge za poništavanje lozinki za sve aplikacije Parlamenta i privatnu e-poštu korištenu tijekom zapošljavanja te opreznost kada prime poruke s nepoznatih ili lažnih računa Parlamenta, posebno u vezi s osobnim podacima.
Osoblju je također savjetovano da obavijesti svoje rođake i bliske prijatelje o povredi podataka kako bi spriječili moguće prijevare ili zahtjeve za osobnim podacima ili novcem.
Dvije pritužbe EDPS-u
noyb je 21. kolovoza priopćio da je podnio dvije tužbe Europskom nadzorniku za zaštitu podataka (EDPS) protiv institucije Europske unije zbog kršenja Opće uredbe o zaštiti podataka (GDPR) u ime četvero zaposlenika parlamenta.
Obje pritužbe navode tvrdnju da je institucija prekršila GDPR s obzirom na to da je kršenje ugrozilo povjerljivost osobnih podataka. Ono čime potkrepljuju tvrdnje je, između ostaloga, prakse pohrane jer su tako institucije omogućile kršenje- "nedostajale su odgovarajuće sigurnosne mjere" unatoč poznatim ranjivostima kibernetičke sigurnosti.
Čini se da je EU parlament prekršio Članke 4(1)(c) i (f) i 33(1) GDPR-a. Osim toga, u slučaju jednog podnositelja pritužbe, Parlament je odbio zahtjev za brisanjem podnesen nakon povrede, pozivajući se na 10-godišnje razdoblje čuvanja, unatoč zabrinutosti podnositelja pritužbe s obzirom na povredu i činjenicu da tamo nisu radili nekoliko godina. noyb traži od Europskog nadzornika za zaštitu podataka (EDPS) da upotrijebi svoje korektivne ovlasti kako bi naredio Parlamentu da svoju obradu uskladi s propisima. Osim toga, noyb predlaže da EDPS izrekne odgovarajuću administrativnu kaznu kako bi se spriječila slična kršenja u budućnosti.
Puno više podataka nego što je potrebno
Povreda podataka također otkriva da Parlament nije uskladio obrade podataka sa zahtjevima GDPR-a, osobito onim za minimiziranjem i čuvanjem podataka u skladu sa utvrđenim rokovima i svrhama obrade. Članak 4. stavak 1. točka (c) GDPR-a EU-a zahtijeva od institucija EU-a da obrađuju samo podatke koji su „adekvatni, relevantni i ograničeni na ono što je potrebno u odnosu na svrhe za koje se obrađuju”. Unatoč tome, razdoblje čuvanja datoteka o zapošljavanju u Europskom parlamentu je 10 godina. Navedena praksa je zabrinjavajuća ako se uzme u obzir da te datoteke također sadrže posebno zaštićene osjetljive podatke prema članku 9. regulative, a putem kojih se mogu otkriti etnička pripadnost, politička mišljenja, vjerska uvjerenja ili seksualna orijentacija ispitanika. U ovom slučaju, jedna od tužiteljica je na platformu postavila kopiju svog vjenčanog lista što je omogućilo utvrđivanje njezine seksualne orijentacije.
Poznate ranjivosti kibernetičke sigurnosti
Ovaj je incident posebno zabrinjavajuć jer je Parlament bio upoznat sa ranjivošću kibernetičke sigurnosti: u studenom 2023. IT odjel proveo je reviziju kibernetičke sigurnosti i zaključio da kibernetička sigurnost institucije „još nije zadovoljila standarde” te da postojeće mjere „nisu u potpunosti u skladu s razinom prijetnje”. I ne samo to, već se proboj u PEOPLE dogodio s nizom drugih kibernetičkih napada na institucije EU-a. Ruske hakerske skupine napale su web stranicu Parlamenta u studenom 2022. i brojnih europskih vlada u jesen 2023. U veljači 2024. Parlament je pretrpio drugačiju povredu u svom pododboru za sigurnost i obranu, kada su dva zastupnika i član osoblja pronašli izraelski špijunski softver na svojim uređajima.
Ostaje za vidjeti kako će odlučiti nadležno tijelo i vrijedi li zaista u praksi regulativa za sve jednako.