Disqus Shortname

ΤΕΛΕΥΤΑΙΑ ΝΕΑ

Πιθανά θύματα κυβερνοεπιθέσεων όλοι οι Έλληνες Πολίτες

Μαΐου 30, 2025 ,

https://ntoros.gr/wp-content/uploads/2025/05/insta-kivernoepithesis-psifiaki-taftotita.jpg

Γράφει ο Άρης Μέττος

Στην εποχή μας, η ασφάλεια στον κυβερνοχώρο δεν είναι πολυτέλεια, αλλά ζήτημα εθνικής επιβίωσης. Οι κυβερνοεπιθέσεις δεν απειλούν μόνο τα προσωπικά δεδομένα ή τις επιχειρήσεις. Μπορούν να παραλύσουν κρατικές υποδομές, να διακόψουν νοσηλείες, να σαμποτάρουν δημόσιες υπηρεσίες και να εκθέσουν εκατομμύρια πολίτες.

Η Ελλάδα, παρά τα πρώτα βήματα που έχει κάνει, παραμένει πίσω σε αυτό το κρίσιμο πεδίο. Οι αριθμοί μιλούν από μόνοι τους, μέσα στο 2024 καταγράφηκαν πάνω από 15,2 εκατομμύρια κακόβουλες ενέργειες στον κυβερνοχώρο της χώρας μας. Αυτό σημαίνει περίπου 41.000 επιθέσεις κάθε μέρα!

Πολλές από αυτές τις επιθέσεις στοχεύουν άμεσα υπηρεσίες του κράτους, δήμους, νοσοκομεία, πανεπιστήμια, ακόμα και πλατφόρμες όπως το gov.gr, το taxisnet και την ηλεκτρονική συνταγογράφηση. Μια επίθεση που έγινε το 2023, «κατέβασε» αυτές τις βασικές υπηρεσίες για ώρες.

Η κυβέρνηση μίλησε για μία από τις μεγαλύτερες επιθέσεις που έχει δεχτεί ποτέ η χώρα. Χρησιμοποιήθηκε τεράστιος όγκος δεδομένων από χιλιάδες IP διευθύνσεις σε δεκάδες χώρες. Και όμως, παρά τη σοβαρότητα της κατάστασης, δεν υπήρξε επίσημο πόρισμα ούτε απόδοση ευθυνών.

Οι επιθέσεις που δέχεται η χώρα, δεν είναι όλες ίδιες. Κάποιες, όπως το γνωστό ransomware, ‘’κλειδώνουν’’ τα δεδομένα ενός οργανισμού και απαιτούν λύτρα για να τα απελευθερώσουν. Τέτοια επίθεση έγινε στο Εθνικό Κτηματολόγιο.

Άλλες, περιλαμβάνουν κλοπή δεδομένων, όπως στην περίπτωση της ΑΑΔΕ όπου εκλάπησαν στοιχεία όπως ΑΦΜ, IBAN και emails. Σε πολλές περιπτώσεις, δε φταίει απαραίτητα ένας χάκερ, φταίει η κακή διαχείριση των δικαιωμάτων πρόσβασης ή ένα απλό ανθρώπινο λάθος, όπως φαίνεται να συνέβη στην περίπτωση του Ελληνικού Ανοικτού Πανεπιστημίου τον Οκτώβριο του 2024.

Αυτό δείχνει πως η κυβερνοασφάλεια δεν είναι μόνο θέμα τεχνολογίας. Είναι και θέμα εκπαίδευσης, διαδικασιών και ευθύνης. Παρά τα συνεχή περιστατικά, πολλές δημόσιες υπηρεσίες εξακολουθούν να μην εφαρμόζουν βασικά πρότυπα ασφαλείας. Λείπει ο τακτικός έλεγχος ασφαλείας (penetration testing) και η ενημέρωση του προσωπικού. Αποτέλεσμα; Η Ελλάδα χαρακτηρίζεται πλέον από ειδικούς ως “soft target” – δηλαδή εύκολος στόχος.

Μπορεί η χώρα να έχει ιδρύσει το Εθνικό CSIRT, το Κέντρο Αντίδρασης σε Περιστατικά Κυβερνοασφάλειας, αλλά αυτό από μόνο του δεν αρκεί. Χρειάζονται πιο αυστηρά πρότυπα, περισσότερη εκπαίδευση και κυρίως λογοδοσία.

Μέσα σε ένα περιβάλλον που χαρακτηρίζεται από αυξανόμενες κυβερνοαπειλές, επαναλαμβανόμενα περιστατικά παραβιάσεων και σοβαρά ελλείμματα στη θεσμική διαχείριση της ψηφιακής ασφάλειας, η κυβέρνηση προχωρά με ταχύτητα στην εφαρμογή του έργου των νέων ψηφιακών ταυτοτήτων (που είναι ένα φλέγον ζήτημα με το οποίο θα ασχοληθούμε σε επόμενο άρθρο μας). Οι ταυτότητες αυτές, ενσωματώνουν RFID chip, βιομετρικά δεδομένα (όπως φωτογραφία και δακτυλικά αποτυπώματα) και ψηφιακές υπογραφές, υποσχόμενες έναν νέο τρόπο αλληλεπίδρασης των πολιτών με το κράτος, με μεγαλύτερη ταχύτητα, ασφάλεια κι ευκολία.

Ωστόσο, πίσω από αυτή την τεχνολογική υπόσχεση, αναδεικνύονται βαθιά θεσμικά προβλήματα που δεν μπορούν να αγνοηθούν. Το κρίσιμο ερώτημα, δεν είναι αν χρειαζόμαστε έναν εκσυγχρονισμό της ταυτοποίησης, αυτό είναι σχεδόν αυτονόητο. Το πραγματικό ζήτημα, είναι πώς γίνεται αυτός ο εκσυγχρονισμός, με ποιους όρους και ποια θεσμικά αντίβαρα υπάρχουν για την αποτροπή καταχρήσεων, λαθών ή αυθαιρεσιών!

Παρότι το έργο έχει ήδη ξεκινήσει, δεν έχει παρουσιαστεί καμία δημόσια ανάλυση κινδύνων που να αξιολογεί τις τεχνικές, νομικές και κοινωνικές επιπτώσεις από τη χρήση των συγκεκριμένων τεχνολογιών. Δεν υπάρχουν δημοσιευμένες τεχνικές προδιαγραφές του λογισμικού ή του υλικού που χρησιμοποιείται, ενώ δεν έχουν γίνει γνωστά ούτε τα πρωτόκολλα ασφαλείας, ούτε το πού και πώς θα αποθηκεύονται ή θα επεξεργάζονται τα προσωπικά και βιομετρικά δεδομένα των πολιτών.

Η απουσία αυτών των βασικών εγγυήσεων, γεννά εύλογη καχυποψία, το κράτος ζητά από τον πολίτη να παραδώσει το πιο ευαίσθητο μέρος της ταυτότητάς του, όχι μόνο τα προσωπικά του στοιχεία αλλά και μοναδικά βιομετρικά χαρακτηριστικά, χωρίς να προσφέρει επαρκείς πληροφορίες για το πώς θα τα προστατέψει, ποιος θα έχει πρόσβαση, για πόσο διάστημα θα διατηρούνται και με ποια δυνατότητα ανάκλησης. Σε μια χώρα όπου οι κυβερνητικοί φορείς συχνά αναθέτουν τέτοια έργα σε ιδιώτες εργολάβους, χωρίς διαφάνεια ή δημόσια εποπτεία, η έλλειψη αυτών των στοιχειωδών διασφαλίσεων, δεν είναι απλώς αμέλεια. Είναι πολιτική επιλογή.

Η χρήση του RFID chip, αν και τεχνικά μπορεί να διευκολύνει την ταυτοποίηση, ενέχει γνωστούς κινδύνους, όπως παρακολούθηση τοποθεσίας, κλοπή ταυτότητας, μη εξουσιοδοτημένη ανάγνωση και πλαστοπροσωπία. Σε πολλές χώρες έχουν υπάρξει περιστατικά όπου τέτοιες τεχνολογίες αξιοποιήθηκαν όχι για την εξυπηρέτηση του πολίτη, αλλά για την παρακολούθηση, κατηγοριοποίηση ή και στοχοποίηση πληθυσμιακών ομάδων.

Η ψηφιακή ταυτότητα δεν είναι απλώς ένα έγγραφο. Είναι το κλειδί για την πρόσβαση σε υπηρεσίες, δικαιώματα και δυνατότητες μέσα στον ψηφιακό κόσμο. Αν το κλειδί αυτό ελέγχεται από μηχανισμούς που λειτουργούν αδιαφανώς, χωρίς λογοδοσία και χωρίς ανεξάρτητο έλεγχο, τότε η ίδια η έννοια του πολίτη μετατρέπεται σε ψηφιακά ευάλωτο υποκείμενο.

Η εμπιστοσύνη δε χτίζεται με τεχνολογικά «θαύματα» ή κυβερνητικά δελτία τύπου. Χτίζεται με διαφάνεια, δημόσια διαβούλευση, θεσμικές εγγυήσεις και δικλείδες ασφαλείας. Όταν λείπουν όλα αυτά, όταν ο διάλογος γίνεται ερήμην των πολιτών και των ανεξάρτητων αρχών, τότε κάθε τεχνολογικό μέσο, όσο καινοτόμο κι αν είναι, μετατρέπεται σε εργαλείο ανασφάλειας και πιθανής καταστρατήγησης δικαιωμάτων.

Η Ελλάδα δεν μπορεί να συνεχίσει να πορεύεται με ένα μοντέλο ψηφιακής διακυβέρνησης που βασίζεται στην εμπιστοσύνη χωρίς διαφάνεια. Η πρόοδος στον ψηφιακό τομέα οφείλει να στηρίζεται στη διαφάνεια και στον δημόσιο διάλογο, όχι στη συγκάλυψη και τη σιωπή. Αντίθετα, πρέπει να θεμελιώνεται στην ενημέρωση, στον δημόσιο έλεγχο και στη θεσμική λογοδοσία, αλλιώς κινδυνεύει να μετατραπεί σε μηχανισμό ελέγχου.

Η τεχνολογία από μόνη της δεν είναι ούτε καλή, ούτε κακή. Το πώς θα τη χρησιμοποιήσουμε εξαρτάται από το θεσμικό πλαίσιο, τους ελέγχους και τις αξίες που την πλαισιώνουν. Αν θέλουμε μια ασφαλή ψηφιακή Ελλάδα, χρειάζονται ουσιαστικά βήματα

Η μετάβαση σε ψηφιακές υπηρεσίες πρέπει να συνοδεύεται από ένα Εθνικό Σχέδιο Κυβερνοασφάλειας, με υποχρεωτικά πρότυπα (όπως ISO 27001 και 27701) για όλους τους δημόσιους φορείς, υποχρεωτική αναφορά περιστατικών στον CSIRT και συνεχή εκπαίδευση προσωπικού.

Ιδιαίτερη σημασία έχει η περίπτωση των ψηφιακών ταυτοτήτων. Παρότι υπόσχονται ευκολία, συνοδεύονται από σοβαρούς κινδύνους για τα προσωπικά δεδομένα. Μέχρι σήμερα, δεν έχουν δημοσιευτεί τεχνικές προδιαγραφές, ούτε αξιολόγηση των επιπτώσεων στην ιδιωτικότητα. Ένα τόσο κρίσιμο έργο δεν μπορεί να προχωρά χωρίς διαφάνεια και έλεγχο από ανεξάρτητες αρχές, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα – ΑΠΔΠΧ.

Παράλληλα, χρειάζεται θεσμική προστασία των πολιτών. Σε κάθε παραβίαση, οι πολίτες πρέπει να ειδοποιούνται άμεσα και να αποζημιώνονται. Η πρόταση για ένα Ταμείο Ψηφιακής Επανόρθωσης, μπορεί να διασφαλίσει τα δικαιώματα των θυμάτων και πρέπει να γίνει.

Η προστασία των προσωπικών δεδομένων έχει αναγνωριστεί νομικά ως θεμελιώδες δικαίωμα και η κρατική αμέλεια σε θέματα ψηφιακής ασφάλειας, πρέπει να θεωρείται πράξη που ενισχύει τον κοινωνικό αποκλεισμό και θέτει τους πολίτες σε κίνδυνο.

Αν το κράτος θέλει τους πολίτες συμμάχους στην ψηφιακή εποχή, πρέπει πρώτα να αποδείξει ότι αξίζει την εμπιστοσύνη τους. Χρειάζεται διαφάνεια, προστασία, και πάνω από όλα σεβασμός.

Η τεχνολογία πρέπει να υπηρετεί τη δημοκρατία, όχι να την υποκαθιστά.

Δεν υπάρχουν σχόλια

Εγγραφή σε: Σχόλια ανάρτησης ( Atom )