Toukokuun alussa 2024 Euroopan parlamentti ilmoitti henkilöstölleen laajasta tietomurrosta toimielimen rekrytointialustassa (nimeltään "PEOPLE"). Tietomurto koski yli 8 000 työntekijän henkilötietoja. Siihen sisältyi henkilökortteja ja passeja, rikosrekisteriotteita, oleskelulupia ja jopa arkaluonteisia tietoja, kuten avioliittotodistuksia, joista käy ilmi henkilön seksuaalinen suuntautuminen. Parlamentti sai tietää tietomurrosta vasta kuukausia sen tapahtumisen jälkeen, eikä se näytä vieläkään tietävän syytä. Tämä on erityisen huolestuttavaa, sillä parlamentti on jo pitkään ollut tietoinen kyberturvallisuusjärjestelmänsä haavoittuvuuksista. EU:n toimielimet ovat luonnollisesti korkealla hakkerien ja ulkomaisten vastustajien listalla. noyb on nyt tehnyt kaksi valitusta Euroopan tietosuojavaltuutetulle neljän parlamentin työntekijän puolesta.
Kaikkien hakijoiden tiedot yhdessä paikassa. Ennen kuin voit hakea työpaikkaa Euroopan parlamentista, sinun on rekisteröidyttävä sen rekrytointialustalle PEOPLE. Siellä hakijat antavat toimielimelle kasoittain henkilötietoja. Näihin kuuluvat henkilökortit ja passit, oleskelu- ja koulutusasiakirjat sekä arkaluonteiset tiedot, kuten rikosrekisteriotteet ja avioliittotodistukset, jotka voivat paljastaa seksuaalisen suuntautumisen. Tämän vuoksi on entistäkin tärkeämpää, että EU:n parlamentti toteuttaa asianmukaiset turvatoimet suojatakseen nämä tiedot siltä, etteivät kolmannet osapuolet pääse niihin käsiksi.
Tietomurto koskettaa tuhansia. EU:n parlamentti ilmoitti 26. huhtikuuta 2024 Euroopan tietosuojavaltuutetulle PEOPLE-tietomurrosta, joka koski yli 8 000 nykyistä ja entistä työntekijää. Vielä on epäselvää, milloin ja miten tietomurto todella tapahtui, mutta asianomaisille on kerrottu, että jokainen asiakirja jonka he ovat ladanneet PEOPLEen, on vaarantunut. Parlamentti kehotti 31. toukokuuta asianomaisia henkilöitä vaihtamaan varotoimenpiteenä henkilöllisyystodistuksensa ja passinsa ja tarjoutui korvaamaan kustannukset. Tämän valituksen tekohetkellä on vielä epäselvää, kuinka kauan hyökkääjät pääsivät käsiksi hakijoiden henkilötietoihin.
Lorea Mendiguren, tietosuojalakimies osoitteessa noyb: "Tämä tietoturvaloukkaus on tapahtunut EU:n toimielimissä viime vuoden aikana tapahtuneiden toistuvien tietoverkkoturvaloukkausten jälkeen. Parlamentilla on velvollisuus varmistaa asianmukaiset turvatoimet, koska sen työntekijät ovat todennäköisesti pahantekijöiden kohteita."
Tunnetut kyberturvallisuuden haavoittuvuudet. Tämä tapaus on erityisen huolestuttava, koska parlamentti on jo pitkään ollut tietoinen kyberturvallisuuden haavoittuvuuksista: Marraskuussa 2023 parlamentin tietotekniikkaosasto suoritti kyberturvallisuuden tarkastelun - ja totesi, että toimielimen kyberturvallisuuden "ei ole vielä vastannut alan standardeja" ja että nykyiset toimenpiteet olivat "eivät täysin vastaa uhkatasoa" jota valtion tukemat hakkerit aiheuttavat. Lisäksi PEOPLEn tietomurto tapahtui useiden muiden EU:n toimielimiin kohdistuneiden verkkohyökkäysten ohella. Venäläiset hakkeriryhmät hyökkäsivät parlamentin verkkosivustolle marraskuussa 2022 ja lukuisiin Euroopan hallituksiin syksyllä 2023. Helmikuussa 2024 parlamentti kärsi erilaisesta tietoturvaloukkauksesta turvallisuus- ja puolustuspolitiikan alivaliokunnassaan, kun kaksi Euroopan parlamentin jäsentä ja yksi henkilökunnan jäsen löysivät israelilaisia vakoiluohjelmia laitteistaan.
Max Schrems, puheenjohtaja noyb: "EU:n kansalaisena on huolestuttavaa, että EU:n toimielimet ovat edelleen niin alttiita hyökkäyksille. Tällaisten tietojen leviäminen on pelottavaa paitsi asianomaisille henkilöille, myös demokraattisiin päätöksiin vaikuttamiseen."
Paljon enemmän tietoja kuin on tarpeen. Tietomurto paljastaa myös, että parlamentti ei noudata GDPR:n tietojen minimointi- ja säilyttämisvaatimuksia. 4 artiklan 1 kohdan c alakohta EU:N YLEINEN TIETOSUOJA-ASETUS edellyttää, että EU:n toimielimet käsittelevät vain sellaisia tietoja, jotka "riittävät, merkitykselliset ja rajoitetut siihen, mikä on tarpeen niiden tarkoitusten kannalta, joita varten niitä käsitellään". EU:n parlamentin rekrytointitiedostojen säilytysaika on kuitenkin 10 vuotta. Tämä on vielä huolestuttavampaa, kun otetaan huomioon, että nämä tiedostot sisältävät myös 9 artiklan nojalla erityisesti suojattuja arkaluonteisia tietoja, jotka voivat paljastaa ihmisten etnisen alkuperän, poliittiset mielipiteet, uskonnollisen vakaumuksen tai seksuaalisen suuntautumisen. Tässä tapauksessa kantelija latasi portaaliin kopion avioliittotodistuksestaan. Näin voitiin määrittää hänen seksuaalinen suuntautumisensa.
Max Schrems, puheenjohtaja noyb: "Tietomurto osoittaa myös, että pelkkä henkilötiedoista ajoissa eroon pääseminen olisi todennäköisesti voinut rajoittaa tietomurron vaikutuksia."
Kaksi valitusta Euroopan tietosuojavaltuutetulle. noyb on nyt tehnyt kaksi kantelua Euroopan tietosuojavaltuutetulle työntekijöiden puolesta. Euroopan tietosuojavaltuutettu on viranomainen, joka vastaa EU:n toimielinten tekemistä tietosuojarikkomuksista. EU:n parlamentti näyttää rikkoneen EU:n tietosuoja-asetuksen 4 artiklan 1 kohdan c ja f alakohtaa ja 33 artiklan 1 kohtaa. Lisäksi erään kantelijan tapauksessa parlamentti kieltäytyi poistopyynnöstä, joka oli tehty rikkomisen jälkeen, vedoten 10 vuoden säilytysaikaan, vaikka kantelija oli huolissaan rikkomuksesta ja siitä, että hän ei ollut työskennellyt siellä useaan vuoteen. noyb pyytää Euroopan tietosuojavaltuutettua käyttämään korjaavia valtuuksiaan ja määräämään parlamentin saattamaan käsittelynsä vaatimusten mukaiseksi. Lisäksi, noyb ehdottaa, että Euroopan tietosuojavaltuutettu määrää asianmukaisen hallinnollisen sakon vastaavien rikkomusten estämiseksi tulevaisuudessa.
