Σε ποινή μεγάλου προστίμου που φτάνει τα 3.000.000 ευρώ προχώρησε σε βάρος των ΕΛΤΑ η αρμόδια Αρχή Δεδομένων Προσωπικού Χαρακτήρα.
«Το μεγάλο εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000 – 5.000.000 πολίτες, μεταξύ των οποίων, υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές», οδήγησε σε αυτό…
Μάλιστα, όπως περιγράφει η εφημερίδα “Καθημερινή”, η απειλή ήταν γνωστή, αλλά δεν αντιμετωπίστηκε.
Τον Απρίλιο του 2021 μια έρευνα στα υπολογιστικά συστήματα των ΕΛΤΑ είχε προειδοποιήσει για τον υψηλό κίνδυνο υποκλοπής δεδομένων. Διαπίστωνε σημαντικά κενά ασφαλείας, χρήση απαρχαιωμένων εφαρμογών, ελλείψεις στην εκπαίδευση προσωπικού και έκρινε ότι υπήρχε μεγάλο ρίσκο επίθεσης τύπου ransomware, με την οποία οι χάκερ θέτουν σε ψηφιακή ομηρία αρχεία και ζητούν λύτρα για την αποδέσμευσή τους. Το χτύπημα ήταν ζήτημα χρόνου.
Τον Μάρτιο του 2022 το χειρότερο σενάριο επαληθεύτηκε. Η συμμορία κυβερνοεκβιαστών «Vice Society» έπληξε τον ελληνικό οργανισμό, παρέλυσε μέρος του δίκτυου του για ημέρες και διέρρευσε στοιχεία εκατομμυρίων πολιτών στο Σκοτεινό Διαδίκτυο. Η «Κ» αποκαλύπτει το παρασκήνιο της κυβερνοεπίθεσης.
Στις 4 Μαΐου, λίγες εβδομάδες μετά την επίθεσή τους στα ΕΛΤΑ, οι χάκερ της ομάδας «Vice Society» ανάρτησαν στο Σκοτεινό Διαδίκτυο τα αρχεία που είχαν υποκλέψει. Σε αυτά περιλαμβάνονταν μεταξύ άλλων, οικονομικά στοιχεία εταιρειών και εργαζομένων, πρακτικά διοικητικού συμβουλίου, φωτογραφίες προσωπικού αρχείου και πελατών, κατάλογος συνταξιούχων του ΟΓΑ, υπεύθυνες δηλώσεις και εξουσιοδοτήσεις, στοιχεία πελατών και προμηθευτών. Σε δειγματοληπτικό έλεγχο στα αρχεία που διέρρευσαν, η «Κ» είχε εντοπίσει και φωτογραφίες διπλώματος οδήγησης που προφανώς είχαν αποθηκευτεί σε κάποιον υπολογιστή. Σύμφωνα με εκτιμήσεις της Αρχής Προστασίας Δεδομένων, οι επηρεαζόμενοι πολίτες φτάνουν τα 4 με 5 εκατομμύρια.
Στα δεδομένα που είχαν διαρρεύσει στο Σκοτεινό Διαδίκτυο η «Κ» εντόπισε και μια έρευνα 27 σελίδων για τις ευπάθειες των ηλεκτρονικών συστημάτων των ΕΛΤΑ, με ημερομηνία 20 Απριλίου 2021. Οπως αναφέρετα: «σε ποσοστό μεγαλύτερο του 80% τρέχουν απαρχαιωμένες, μη υποστηριζόμενες και ευάλωτες εκδόσεις εφαρμογών και λειτουργικών συστημάτων, με μικρές εξαιρέσεις». Αυτή η συνθήκη δημιουργούσε τον «κίνδυνο υποκλοπής δεδομένων, παραμόρφωσης δεδομένων ή και ανεπάρκειας δεδομένων».
Από τον εσωτερικό έλεγχο που είχε γίνει τότε, είχε επισημανθεί η «ελλιπής καταγραφή του χάρτη των δεδομένων, πού εδρεύουν αυτά και αποθηκεύονται, πώς κινούνται στο δίκτυο, καθώς και τι ευαισθησία έχουν». Ακόμη οι ερευνητές είχαν διαπιστώσει ότι η κρυπτογράφηση των δεδομένων ήταν ανομοιογενής, παρά την ευαισθησία τους. Αυτό το κενό κρίθηκε ότι αύξανε το ρίσκο υποκλοπής «από εσωτερικούς ή εξωτερικούς συνεργάτες», ενώ αύξανε και το ρίσκο «μη ανίχνευσης για μεγάλο χρονικό διάστημα μιας ενδεχόμενης υποκλοπής». Είναι ενδεικτικό ότι η Αρχή Προστασίας Δεδομένων πληροφορήθηκε αρχικά από τα ΕΛΤΑ την κυβερνοεπίθεση στις 22 Μαρτίου 2023, ενώ για τη διαρροή ενημερώθηκε στις 27 Ιουλίου του ίδιου έτους. Σχετικά με τους κωδικούς πρόσβασης που χρησιμοποιούνταν στα ΕΛΤΑ οι ερευνητές είχαν διαπιστώσει ότι υπήρχαν κοινά passwords σε μεγάλους αριθμούς χρηστών, ή σε κάποιες περιπτώσεις χρησιμοποιούνταν απλοϊκοί κωδικοί. Για τους κωδικούς των διαχειριστών σημειώνουν ότι υπήρχαν μερικά κοινά admin accounts, όπου το password ήταν γνωστό σε περισσότερα από ένα άτομα.
Ακόμη, σύμφωνα με την έρευνα, είχαν εντοπιστεί ελλείψεις στην εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας, αναγνώρισης και αποφυγής επιθέσεων. Ενδεικτικά αναφέρεται ότι είχε γίνει εκτίμηση phishing click rate (δηλαδή πόσο συχνά μπορεί κάποιος να παρασυρθεί από ένα παραπλανητικό μήνυμα) «με υψηλό ποσοστό αποτυχίας που υποδείκνυε το χαμηλό επίπεδο γνώσεων σε θέματα αποφυγής επιθέσεων στο προσωπικό».
