Η απειλή ήταν γνωστή, αλλά δεν αντιμετωπίστηκε. Τον Απρίλιο του 2021 μια έρευνα στα υπολογιστικά συστήματα των ΕΛΤΑ είχε προειδοποιήσει για τον υψηλό κίνδυνο υποκλοπής δεδομένων. Διαπίστωνε σημαντικά κενά ασφαλείας, χρήση απαρχαιωμένων εφαρμογών, ελλείψεις στην εκπαίδευση προσωπικού και έκρινε ότι υπήρχε μεγάλο ρίσκο επίθεσης τύπου ransomware, με την οποία οι χάκερ θέτουν σε ψηφιακή ομηρία αρχεία και ζητούν λύτρα για την αποδέσμευσή τους. Το χτύπημα ήταν ζήτημα χρόνου.
Τον Μάρτιο του 2022 το χειρότερο σενάριο επαληθεύτηκε. Η συμμορία κυβερνοεκβιαστών «Vice Society» έπληξε τον ελληνικό οργανισμό, παρέλυσε μέρος του δίκτυου του για ημέρες και διέρρευσε στοιχεία εκατομμυρίων πολιτών στο Σκοτεινό Διαδίκτυο, με αποτέλεσμα να επιβληθεί πρόσφατα από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πρόστιμο ύψους 2,9 εκατ. ευρώ στα ΕΛΤΑ. Η «Κ» αποκαλύπτει το παρασκήνιο της κυβερνοεπίθεσης.
Στις 4 Μαΐου, λίγες εβδομάδες μετά την επίθεσή τους στα ΕΛΤΑ, οι χάκερ της ομάδας «Vice Society» ανάρτησαν στο Σκοτεινό Διαδίκτυο τα αρχεία που είχαν υποκλέψει. Σε αυτά περιλαμβάνονταν μεταξύ άλλων οικονομικά στοιχεία εταιρειών και εργαζομένων, πρακτικά διοικητικού συμβουλίου, φωτογραφίες προσωπικού αρχείου και πελατών, κατάλογος συνταξιούχων του ΟΓΑ, υπεύθυνες δηλώσεις και εξουσιοδοτήσεις, στοιχεία πελατών και προμηθευτών. Σε δειγματοληπτικό έλεγχο στα αρχεία που διέρρευσαν, η «Κ» είχε εντοπίσει και φωτογραφίες διπλώματος οδήγησης που προφανώς είχαν αποθηκευτεί σε κάποιον υπολογιστή. Σύμφωνα με εκτιμήσεις της Αρχής Προστασίας Δεδομένων, οι επηρεαζόμενοι πολίτες φτάνουν τα 4 με 5 εκατομμύρια.
Στα δεδομένα που είχαν διαρρεύσει στο Σκοτεινό Διαδίκτυο η «Κ» εντόπισε και μια έρευνα 27 σελίδων για τις ευπάθειες των ηλεκτρονικών συστημάτων των ΕΛΤΑ, με ημερομηνία 20 Απριλίου 2021. Οπως αναφέρετα: «σε ποσοστό μεγαλύτερο του 80% τρέχουν απαρχαιωμένες, μη υποστηριζόμενες και ευάλωτες εκδόσεις εφαρμογών και λειτουργικών συστημάτων, με μικρές εξαιρέσεις». Αυτή η συνθήκη δημιουργούσε τον «κίνδυνο υποκλοπής δεδομένων, παραμόρφωσης δεδομένων ή και ανεπάρκειας δεδομένων».
Τον περασμένο Φεβρουάριο η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 2,9 εκατ. ευρώ στον οργανισμό.
Η κρυπτογράφηση
Από τον εσωτερικό έλεγχο που είχε γίνει τότε, είχε επισημανθεί η «ελλιπής καταγραφή του χάρτη των δεδομένων, πού εδρεύουν αυτά και αποθηκεύονται, πώς κινούνται στο δίκτυο, καθώς και τι ευαισθησία έχουν». Ακόμη οι ερευνητές είχαν διαπιστώσει ότι η κρυπτογράφηση των δεδομένων ήταν ανομοιογενής, παρά την ευαισθησία τους. Αυτό το κενό κρίθηκε ότι αύξανε το ρίσκο υποκλοπής «από εσωτερικούς ή εξωτερικούς συνεργάτες», ενώ αύξανε και το ρίσκο «μη ανίχνευσης για μεγάλο χρονικό διάστημα μιας ενδεχόμενης υποκλοπής». Είναι ενδεικτικό ότι η Αρχή Προστασίας Δεδομένων πληροφορήθηκε αρχικά από τα ΕΛΤΑ την κυβερνοεπίθεση στις 22 Μαρτίου 2023, ενώ για τη διαρροή ενημερώθηκε στις 27 Ιουλίου του ίδιου έτους.
Σχετικά με τους κωδικούς πρόσβασης που χρησιμοποιούνταν στα ΕΛΤΑ οι ερευνητές είχαν διαπιστώσει ότι υπήρχαν κοινά passwords σε μεγάλους αριθμούς χρηστών, ή σε κάποιες περιπτώσεις χρησιμοποιούνταν απλοϊκοί κωδικοί. Για τους κωδικούς των διαχειριστών σημειώνουν ότι υπήρχαν μερικά κοινά admin accounts, όπου το password ήταν γνωστό σε περισσότερα από ένα άτομα.
Ακόμη, σύμφωνα με την έρευνα, είχαν εντοπιστεί ελλείψεις στην εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας, αναγνώρισης και αποφυγής επιθέσεων. Ενδεικτικά αναφέρεται ότι είχε γίνει εκτίμηση phishing click rate (δηλαδή πόσο συχνά μπορεί κάποιος να παρασυρθεί από ένα παραπλανητικό μήνυμα) «με υψηλό ποσοστό αποτυχίας που υποδείκνυε το χαμηλό επίπεδο γνώσεων σε θέματα αποφυγής επιθέσεων στο προσωπικό».
Οι ερευνητές κατέγραψαν ότι είχαν γίνει δύο penetration tests τον Ιανουάριο και τον Νοέμβριο του 2020 (πρόκειται για διαδικασία ελέγχου πιθανών ευπαθειών) και ότι είχαν διορθωθεί σε μεγάλο βαθμό τα σχετικά ευρήματα όπου ήταν εφικτό. Ωστόσο επισημαίνουν στις παρατηρήσεις τους ότι δεν γινόταν σε τακτική βάση έλεγχος των ευάλωτων εφαρμογών και διαχείριση των αδυναμιών που προέκυπταν.
Ανενόχλητοι για ώρες
Τα μέλη της συμμορίας «Vice Society» κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα των ΕΛΤΑ μέσω δύο λογαριασμών χρηστών. Τα πρώτα ίχνη εισόδου των χάκερ ανιχνεύθηκαν στις 00.57 της 20ής Μαρτίου 2022. Αφού εισήλθαν στο δίκτυο του οργανισμού εκτιμάται ότι εξαπέλυσαν ανενόχλητοι την επίθεσή τους από τη 1.30 τα ξημερώματα έως τις 6.30 το πρωί, όταν η δράση τους έγινε αντιληπτή. Το σύστημα τέθηκε εκτός λειτουργίας και οκτώ ώρες αργότερα μια ιδιωτική εταιρεία κυβερνοασφάλειας έλαβε από τα ΕΛΤΑ εντολή διερεύνησης των ύποπτων ενδείξεων.
Οι διευθύνσεις IP που χρησιμοποίησαν οι δράστες παρέπεμπαν σε Ιράν, Ελβετία και Ολλανδία. Εκτιμάται ότι επιλέχθηκαν για να παραπλανήσουν όσους επιχειρούσαν να αναζητήσουν τα πραγματικά ίχνη τους.
Σε ανακοίνωσή τους τα ΕΛΤΑ είχαν εκτιμήσει ότι η διαρροή δεδομένων στο Σκοτεινό Διαδίκτυο, εξαιτίας και του «βαθμού δυσκολίας στην προσβασιμότητα των εν λόγω πληροφοριών», είχε «περιορισμένο αντίκτυπο συνεπειών για τα εμπλεκόμενα μέρη». Ωστόσο, με αυτό το επιχείρημα ο οργανισμός παραβλέπει τον τρόπο λειτουργίας των κυβερνοεγκληματιών. Είναι συνηθισμένη πρακτική των χάκερ η αλίευση πληροφοριών και δεδομένων που έχουν διαρρεύσει στο Σκοτεινό Διαδίκτυο, τα οποία έπειτα μπορούν να αξιοποιηθούν για άλλες παράνομες ενέργειες.
Εκπρόσωποι των ΕΛΤΑ κλήθηκαν σε ακρόαση από την Αρχή Προστασίας Δεδομένων και επικαλέστηκαν την οικονομική δυσχέρεια του οργανισμού. Υποστήριξαν ότι κατά την εκδήλωση της κυβερνοεπίθεσης τα ΕΛΤΑ αντιμετώπιζαν σοβαρές οικονομικές δυσκολίες. Ανέφεραν ότι ξεκίνησαν προγράμματα εκπαίδευσης του προσωπικού και ότι διατέθηκαν μετά το περιστατικό «σημαντικοί πόροι για τη θωράκιση της ασφάλειας του συστήματος». Ακόμη σε υπόμνημά τους υποστήριξαν ότι η πλειονότητα των συστημάτων ανακτήθηκε από αντίγραφα ασφαλείας τα οποία δεν είχαν κρυπτογραφηθεί.
Με απόφασή της στις 28 Φεβρουαρίου 2024 η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 2.995.140 ευρώ στα ΕΛΤΑ. Στο σκεπτικό της αναφέρει ότι ο οργανισμός δεν τηρούσε επαρκή τεχνικά μέτρα ασφαλείας στο σύστημα. Για τον υπολογισμό του ύψους του προστίμου η Αρχή έλαβε υπόψη της το μεγάλο εύρος των επηρεαζόμενων προσώπων στους οποίους περιλαμβάνονται υπάλληλοι και στελέχη των ΕΛΤΑ, πελάτες και εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές, καθώς και την εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά και οικονομικά στοιχεία.
Η δράση της συμμορίας κυβερνοεκβιαστών «Vice Society» καταγράφηκε για πρώτη φορά το καλοκαίρι του 2021, ενώ οι ίδιοι στη σελίδα τους στο Σκοτεινό Διαδίκτυο υποστηρίζουν ότι είναι ενεργοί από τον Ιανουάριο του ίδιου έτους. Δεν έχει εξακριβωθεί η ταυτότητά τους, σύμφωνα όμως με ορισμένους ειδικούς ασφαλείας η ομάδα είναι «ρωσόφωνη».