Του Παύλου Νεοφύτου
Ενώ το κράτος και οι εμπλεκόμενοι καταγίνονται με το συμμάζεμα των ζημιών, ώστε η επόμενη μέρα των τριών κυβερνοεπιθέσεων στον δημόσιο και ευρύτερο δημόσιο τομέα να τους βρει Προμηθείς και όχι Επιμηθείς -όπως φάνηκε από τα ίδια τα αποτελέσματα των προηγούμενων ημερών, από το νέκρωμα της Πύλης Κτηματολογίου μέχρι την υποκλοπή προσωπικών δεδομένων από το Ανοικτό Πανεπιστήμιο Κύπρου- , προέκυψαν κάποια ζητήματα που συνεχίζουν να απασχολούν την κοινή γνώμη, δημιουργώντας ερωτηματικά και προβληματισμούς. Αυτά σχετίζονται με το τοπίο σύγχυσης για τα λύτρα, την τύχη των προσωπικών δεδομένων πολιτών και την άρνηση του Ανοικτού Πανεπιστημίου να εμπλακούν οι κρατικές υπηρεσίες στο θέμα της κυβερνοεπίθεσης.
Το θολό τοπίο για τα λύτρα
Οι πρόσφατες κυβερνοεπιθέσεις που δέχτηκε ο δημόσιος και ευρύτερος δημόσιος τομέας συνδέθηκαν με μία εικόνα σύγχυσης, ως προς το αν οι χάκερ ζήτησαν λύτρα ή όχι. Χαρακτηριστικό το παράδειγμα του Ανοικτού Πανεπιστημίου Κύπρου, με τον πρύτανη Πέτρο Πασιαρδή να δηλώνει στις 7 Απριλίου στην «Κ», δηλαδή 10 ημέρες μετά τη διαπίστωση της κυβερνοεπίθεσης, ότι σε καμία περίπτωση δεν τους ζητήθηκαν λύτρα 100,000 δολαρίων από την ομάδα «Medusa», ενώ διέψευσε σχετικό δημοσίευμα από ξένη ιστοσελίδα που ειδικεύεται σε αυτά τα θέματα. Όμως στις 10 Απριλίου η Δίωξη Ηλεκτρονικού Εγκλήματος της Αστυνομίας αναφέρθηκε σε αίτημα για λύτρα, με το ίδιο το Πανεπιστήμιο να κατονομάζει την «Medusa» σε ανακοίνωση της 12ης Απριλίου. Εδώ πρέπει να σημειωθεί ότι η «Κ» προσπάθησε επανειλημμένα να έρθει σε επικοινωνία με την Πρυτανεία για εξηγήσεις, όμως αυτό δεν κατέστη δυνατό. Επίσης η ίδια θολή εικόνα δόθηκε προς τα έξω και από το Τμήμα Κτηματολογίου. Στις 13 Μαρτίου ο διευθυντής του Τμήματος Ελίκκος Ηλία ερωτηθείς σχετικά από τον «Αλφα», έκανε λόγο για υπόνοιες ότι οι χάκερ ζήτησαν λύτρα μετά την επίθεση. Όμως στις 11 Απριλίου επιβεβαίωσε στον «ΠΟΛΙΤΗ» πως είχαν λάβει ένα ηλεκτρονικό μήνυμα το οποίο παρέπεμπε σε ηλεκτρονική διεύθυνση και καλούσαν τους υπευθύνους να εισέλθουν για διαπραγματεύσεις, ώστε να τους δοθεί το ποσό που ζητούσαν και να ξεμπλοκάρουν τα συστήματα.
Η τύχη των προσωπικών δεδομένων
Ένα δεύτερο ζήτημα είναι η τροπή που μπορεί να πάρει η δημοσίευση των προσωπικών δεδομένων, τα οποία, σύμφωνα με πληροφόρηση της «Κ» από την Υποδιεύθυνση Ηλεκτρονικού Εγκλήματος, συνεχίζουν να παραμένουν κρυπτογραφημένα στο σκοτεινό διαδίκτυο (dark web) από τους χακερ και η Αστυνομία δεν μπορεί να γνωρίζει ακριβώς τι είδους δεδομένα είναι διαθέσιμα, διότι για να τα δει κανείς πρέπει να σου το επιτρέψει ο διαχειριστής, δηλαδή ο χάκερ.
Την ίδια ώρα, η αρμόδια Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Ειρήνη Λοϊζίδου Νικολαΐδου, βρίσκεται σε αναμονή για την τελική έκθεση γνωστοποίησης συμβάντων από το Ανοικτό Πανεπιστήμιο Κύπρου, αλλά και για την όποια καταγγελία από πολίτες που επηρεάστηκαν από τη διαρροή των προσωπικών τους δεδομένων. Σε δηλώσεις της στην «Κ» διευκρίνισε ότι στο σκοτεινό διαδίκτυο τα δεδομένα δεν είναι δημοσιευμένα, αλλά διαθέσιμα για όποιον κάνει εγγραφή, όμως εάν στο τέλος φανεί ότι οι χάκερ προχώρησαν σε μαζική δημοσιοποίηση δεδομένων από τους φακέλους, που να είναι ορατή με κάποιον τρόπο από περισσότερους πολίτες, τότε αυτό μπορεί να οδηγήσει σε αυξημένες καταγγελίες κατά του θύματος της επίθεσης.
Αν και δεν υπάρχει χρονοδιάγραμμα για το πότε θα έχει στα χέρια της η κα Λοϊζίδου την έκθεση του Ανοικτού Πανεπιστημίου, που θα περιλαμβάνει τα στοιχεία του Πανεπιστημίου για τον αριθμό των προσωπικών δεδομένων που έχουν στην κατοχή τους οι χάκερ, η ίδια θα προχωρά σε αξιολογήσεις με όσα στοιχεία έχει ενώπιόν της. Τα στοιχεία που θα συλλέξει θα είναι και αυτά που θα έχουν καθοριστικό ρόλο για το εάν προκύπτουν αδικήματα κατά του Ανοικτού Πανεπιστημίου. Απαντώντας σε σχετική ερώτηση, η Επίτροπος εξήγησε ότι η νομοθεσία δεν επιβάλλει χρονοδιάγραμμα για να έχει στη διάθεσή της την τελική έκθεση, ενώ τόνισε ότι κάθε περίπτωση είναι ξεχωριστή. «Υπήρξε περίπτωση επιτιθέμενου που μέσα σε μία εβδομάδα ξεκαθαρίστηκε ότι δέχθηκε κυβερνοεπίθεση, αλλά αποδείχτηκε ότι δεν υπήρξε διαρροή προσωπικών δεδομένων. Υπήρξαν άλλες γνωστοποιήσεις που χρειάστηκαν και κάποιους μήνες», ανάφερε.
Σύμφωνα με την κα Λοϊζίδου Νικολαΐδου, «εάν υπάρξει απόδειξη ότι σε εκείνα τα δεδομένα που υπέκλεψαν οι χάκερ από το Ανοικτό Πανεπιστήμιο είναι και τα προσωπικά στοιχεία οποιουδήποτε πολίτη, μπορεί είτε να έρθει σε εμένα και να το καταγγείλει, είτε να πάει απευθείας στο Δικαστήριο, είτε να περιμένει την τελική μου απόφαση και να καταφύγει στο Δικαστήριο».
Το «όχι» του ΑΠΚ
Αυτές τις μέρες ξένισε η γνωστοποίηση της άρνησης από πλευράς Ανοικτού Πανεπιστημίου Κύπρου στο αίτημα της Αρχής Ψηφιακής Ασφάλειας (ΑΨΑ) για τη διαχείριση της κυβερνοεπίθεσης και την προσπάθεια αποκατάστασης του προβλήματος. Σύμφωνα με πηγή πληροφόρησης που είναι άριστος γνώστης του θέματος, το Ανοικτό Πανεπιστήμιο Κύπρου ανάθεσε το συγκεκριμένο έργο σε ιδιωτική εταιρεία, με την αιτιολόγηση προς την ΑΨΑ ότι είναι αυτή που εγκατέστησε και χειρίζεται τα συστήματά του. Σε επισήμανσή μας, η ίδια πηγή ανάφερε ότι στην περίπτωση του Πανεπιστημίου Κύπρου η Αρχή Ψηφιακής Ασφάλειας επενέβη, διότι εκεί υπάρχει μία κρίσιμη υποδομή, που είναι τα Διαδικτυακά Ονόματα (Domains).
Από την πρώτη στιγμή η «Κ» ασχολήθηκε εις βάθος με το θέμα των κυβερνοεπιθέσεων, εντοπίζοντας τα μεγάλα κενά στα μέτρα θωράκισης του κράτους, αλλά και το βαρύ κόστος τέτοιων ζημιών, όπως το πλήγμα στον τομέα των ακινήτων, με το «περίμενε» για πράξεις 150 εκατομμυρίων ευρώ στο Κτηματολόγιο.
