Φοιτητές και απόφοιτοι του Ελληνικού Ανοιχτού Πανεπιστημίου (ΕΑΠ) βρέθηκαν σε κίνδυνο λόγω κυβερνοεπίθεσης που σημειώθηκε στις 25 Οκτωβρίου 2024, με αποτέλεσμα τη διαρροή προσωπικών τους δεδομένων στο dark web. Το ΕΑΠ επιβεβαίωσε την παραβίαση των πληροφοριακών του συστημάτων πέντε μήνες μετά το περιστατικό, αναφέροντας ότι περίπου 813GB δεδομένων διέρρευσαν, αν και αυτό αντιπροσωπεύει μικρό ποσοστό του συνολικού όγκου δεδομένων του ιδρύματος. Η επίθεση, που περιλάμβανε ransomware, προκάλεσε σοβαρές ανησυχίες για την ασφάλεια των προσωπικών πληροφοριών των φοιτητών, όπως ονόματα, αριθμούς ταυτότητας και τραπεζικούς λογαριασμούς. Παρά τις ενέργειες που έγιναν για την αποκατάσταση της ασφάλειας, πολιτικά κόμματα, όπως ο ΣΥΡΙΖΑ, καταγγέλλουν την κυβέρνηση για αδυναμία προστασίας των προσωπικών δεδομένων και ζητούν άμεσες δράσεις και διαφάνεια. Πιο αναλυτικά:
Η ανακοίνωση του ΕΑΠ
«Στις 25/10/2024 εντοπίσαμε ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση. Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων. Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου. Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων. Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας. Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή είναι περιορισμένης κλίμακας. Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή. Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις». Ενέργειες που έγιναν προς αντιμετώπιση του περιστατικού «Το Ε.Α.Π. εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Πιο συγκεκριμένα: Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής. Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα. Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού. Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται). Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων. Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις. Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό. Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση. Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας. Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν. Ενδεχόμενες συνέπειες της διαρροής για τα υποκείμενα των δεδομένων Μία διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως: Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing). Απόπειρες απάτης, μέσω email ή τηλεφώνου. Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες. Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων. Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering). Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική). Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam). Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς. Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες. Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται». Κοινή ανακοίνωση της τομεάρχη Ψηφιακής Πολιτικής και Παιδείας της ΚΟ του ΣΥΡΙΖΑ-ΠΣ Πόπης Τσαπανίδου και του τμήματος Ψηφιακής Πολιτικής του κόμματος, σχετικά με την κυβερνοεπίθεση στο ΕΑΠ και την παραδοχή ότι προσωπικά δεδομένα πολιτών διακινούνται στο dark web Η Κυβέρνηση Αδυνατεί να Προστατέψει τα Προσωπικά Δεδομένα των Πολιτών Η κυβερνοεπίθεση στην πλατφόρμα του Ελληνικού Ανοικτού Πανεπιστημίου στις 25 Οκτωβρίου 2024 αποτέλεσε ένα ακόμη ηχηρό χτύπημα στην κυβερνοασφάλεια της χώρας και οδήγησε στη διαρροή τεράστιου όγκου προσωπικών δεδομένων φοιτητών, μεταξύ των οποίων ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές, φωτογραφίες, προσωπικά στοιχεία επικοινωνίας και τραπεζικοί λογαριασμοί. Η παραδοχή του ΕΑΠ, πέντε μήνες μετά, ότι έχουν εντοπιστεί στο dark web τουλάχιστον 65 GB αυτών των προσωπικών δεδομένων, που έχουν ήδη ανακτηθεί από τρίτους, επιβεβαιώνει την ανεπάρκεια της κυβέρνησης να αντιμετωπίσει αποτελεσματικά τις κυβερνοεπιθέσεις και να περιορίσει τις απώλειες όταν αυτές συμβούν. Ο ΣΥΡΙΖΑ-ΠΣ είχε προειδοποιήσει, ήδη από τις 26 Νοεμβρίου 2024, στη συζήτηση του νομοσχεδίου για την κυβερνοασφάλεια, για την ανάγκη θωράκισης των κρατικών υποδομών έναντι των ψηφιακών απειλών και την άμεση διερεύνηση της συγκεκριμένης επίθεσης, αφού μεταξύ των σπουδαστών υπάρχουν και στρατιωτικοί, με ό,τι αυτό σημαίνει για τον κίνδυνο εντοπισμού τους από επιβουλευόμενα συμφέροντα. Παρά τις επανειλημμένες προειδοποιήσεις για την αυξανόμενη απειλή των κυβερνοεπιθέσεων, η κυβέρνηση εξακολουθεί να επιδεικνύει αδιαφορία και ολιγωρία στη λήψη ουσιαστικών μέτρων προστασίας. Οι πολίτες βλέπουν τα προσωπικά τους δεδομένα να διαρρέουν στο dark web, ενώ οι αρμόδιοι περιορίζονται σε δηλώσεις και υποσχέσεις, χωρίς καμία ουσιαστική πρόοδο. Ο ΣΥΡΙΖΑ-ΠΣ απαιτεί την άμεση ενημέρωση των θιγόμενων πολιτών για το μέγεθος της διαρροής και τα απαραίτητα μέτρα προστασίας, καθώς η πρόσβαση σε τέτοιες πληροφορίες αποτελεί θεμελιώδες δικαίωμα τους. Ζητά την ανάληψη πολιτικών και διοικητικών ευθυνών για την καθυστερημένη αντίδραση και την έλλειψη διαφάνειας. Επισημαίνει την ανάγκη εφαρμογής αυστηρών πρωτοκόλλων κυβερνοασφάλειας σε όλα τα δημόσια ιδρύματα, με σαφείς διαδικασίες προστασίας και αποτροπής παρόμοιων περιστατικών στο μέλλον. Τέλος, απαιτεί την άμεση διερεύνηση του περιστατικού από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και την απόδοση ευθυνών όπου απαιτείται. Η προστασία των προσωπικών δεδομένων και της ψηφιακής ασφάλειας των πολιτών αποτελεί αδιαπραγμάτευτη προτεραιότητα για τον ΣΥΡΙΖΑ ΠΣ.
