舉報人馬克斯·施雷姆斯 (Max Schrems) 的奧地利非政府組織 Noyb 已對歐洲議會提出兩項投訴。後者表示,該機構必須採取措施進一步保護其員工免受網路攻擊。這項法律行動是在「大規模」個人資料外洩事件發生幾個月後發生的,影響了該機構近 8,000 名員工或前員工。
如果出現以下情況網路攻擊,我們正在努力加強資訊系統並防止個人成為資料外洩的受害者。但公司或政府部門(本身就是駭客攻擊的受害者)的責任通常不會受到質疑,特別是因為沒有採取「足夠」措施來確保安全個人資料。本週四,8月22日,協會諾亞(«關你屁事),由奧地利檢舉人創立馬克斯·施雷姆斯,決定踏出這一步。該非政府組織剛剛對歐洲議會提出兩起投訴,原因是歐盟聯合立法者的僱員的數據「大量」洩露。
去年五月,奧地利非政府組織在報告中報道公報8 月 22 日星期四,歐洲議會向員工發送了一條訊息,通知他們該機構的招聘平台(稱為「PEOPLE」)發生大規模資料外洩。在申請向歐洲議會提供的臨時職位時,您必須提供大量個人數據,例如身分證件、地址證明、犯罪記錄摘錄,甚至結婚證書。
這些是招聘平台上存在的文件,可能會被電腦駭客恢復。據歐洲議會告知,近 8,000 名僱員或前僱員將受到影響歐洲資料保護監管機構 (EDPS)。這個獨立的歐盟機構是負責監督歐洲機構保護這些的方式數據。
該非政府組織表示,歐洲議會“意識到其網路安全系統的漏洞”
一個月後,即 5 月 31 日,議會建議 8,000 名相關人士重新辦理身分證件,以防萬一。但諾伊布解釋說,如果沒有這些訊息,歐盟聯合立法者仍然不知道違規行為何時以及如何發生。聯絡方式01網,在本文發表時,該機構尚未回應我們的請求。
更令人擔憂的是:歐洲議會在幾個月後才發現了洩漏事件,該非政府組織再次表示:足以讓後者擔心,但該組織指出,“議會很早就意識到其網路安全系統的漏洞」。該歐盟機構必須“採取適當的安全措施來保護這些資料免遭第三方訪問»,協會懇求道。
特別是因為這次資料外洩遠非第一次。 2023年底,歐洲議會IT團隊經過檢查估計該機構的網路安全“尚未達到業界標準»;現有措施並非“沒有完全適應威脅程度」。 2024 年 2 月,該機構還遭受了電腦攻擊,特別是其安全和防禦小組委員會內部的攻擊。幾位歐洲議會議員的智慧型手機上偵測到了間諜軟體。
另請閱讀:歐洲議會議員的智慧型手機上發現間諜軟體
國會議員沒有得到充分保護?
歐洲議會成為攻擊目標這一事實應該令人擔憂,Noyb 聯合創始人、數位巨頭的討厭鬼馬克斯·施雷姆斯 (Max Schrems) 解釋道:“這類訊息的傳播不僅讓受影響的人感到恐懼,還可以用來影響民主決策“,他感嘆道。該非政府組織提出的另一個問題是:該機構不尊重 GDPR(歐洲關於個人資料的法規)。由於 GDPR 第 4(1)(c) 條,歐洲議會確實應該刪除某些數據,該條建議歐盟機構僅處理數據“充分、相關且限於處理目的所需的內容」。然而,數據會保存 10 年,根據該協會的說法,這個時間太長了。
因此,NOYB 代表四名議會僱員向 EDPS 提出了兩份投訴。第一個事件涉及一名員工,其性取向被揭露,原因是其發佈在 PEOPLE 應用平台上的結婚證書被洩露。在第二起投訴中,諾伊布對歐洲議會拒絕刪除受洩密影響的投訴人的個人資料表示遺憾,即使後者自 2018 年以來已不再在該機構工作。
這並不是第一次有人就歐洲立法者缺乏 IT 保護發出警告。一個Proton 幾個月前發表的研究顯示,包括法國政客在內的許多歐洲政客的個人資料在暗網上多次被揭露。
在法國,七名法國議員在去年5月發表的聯合聲明中對參議員和眾議員資源匱乏,面對網路攻擊束手無策表示遺憾。有必要 ”迅速加強對議員在網路安全方面的援助“,他們在聲明中寫道。
