Μέτρα για τη διασφάλιση των προσωπικών δεδομένων
Πρωτοφανείς διαστάσεις για τα ελληνικά δεδομένα παίρνει η πρόσφατη κυβερνοεπίθεση που δέχτηκε η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης, καθώς υπολογίζεται ότι εκλάπησαν ευαίσθητα προσωπικά δεδομένα έως 2,5 εκατομμυρίων γονέων και βρεφών.
Σύμφωνα με επίσημη απάντηση της διοίκησης της ΕΕΤΑΑ, ύστερα από σχετική ερώτηση της κοινοβουλευτικής ομάδας του ΣΥΡΙΖΑ – Προοδευτική Συμμαχία, εκλάπησαν προσωπικά δεδομένα έως και 2,5 εκατομμυρίων γονέων και βρεφών, αλλά και φορέων τα οποία αφορούν από ΑΦΜ, ΑΜΚΑ, έως IBAN.
Συγκεκριμένα, σύμφωνα πάντα με την ΕΕΤΑΑ, η κυβερνοεπίθεση εκδηλώθηκε σε δύο φάσεις και εκτιμάται ότι διήρκεσε από τις πρώτες πρωινές ώρες του Σαββάτου 1/3/2025 μέχρι και τις 14:00 της Τετάρτης 5/3/2025.
«Ως αποτέλεσμα της ως άνω επίθεσης, κρυπτογραφήθηκαν και ενδεχομένως μεταφορτώθηκαν/ υπεκλάπησαν (σύμφωνα με σχετικό σημείωμα που άφησαν οι επιτεθέντες) οι Βάσεις Δεδομένων των Πληροφοριακών Συστημάτων που υποστηρίζουν την υλοποίηση:
α) της Δράσης «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης» των περιόδων 2014-2015 έως και 2024-2025 και
β) της πιλοτικής εφαρμογής της Δράσης «Νταντάδεςτης Γειτονιάς», γεγονός που προκάλεσε παραβίαση της εμπιστευτικότητας και διαθεσιμότητας των προσωπικών δεδομένωντων υποκειμένων των εν λόγω Δράσεων».
Ποιοι επηρεάζονται
Όσον αφορά στη Δράση «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης», η παραβίαση αφορά ιδίως στα προσωπικά δεδομένα των αιτούντων για συμμετοχή στο Πρόγραμμα, των ετέρων μελών (συζύγους/συντρόφους) καθώς και των ανηλίκων τέκνων αυτών. Πιο συγκεκριμένα, τα στοιχεία αφορούν:
α) Στο ωφελούμενο πρόσωπο (βρέφος, νήπιο και παιδί προσχολικής εκπαίδευσης καθώς και το παιδί σχολικής ηλικίας, ο έφηβος και το άτομο με αναπηρία, που εμπίπτει στις κατηγορίες και πληρούν τις προϋποθέσεις της εκάστοτε ΚΥΑ προκειμένου να λάβουν «αξία τοποθέτησης » (voucher )).
β) Στον νόμιμο εκπρόσωπο αιτούντα (γονέας ή πρόσωπο που έχει τη γονική μέριμνα ή την επιμέλεια, ο ανάδοχος γονέας, ο επίτροπος ή ο συμπαραστάτης του ωφελούμενου ).
γ) Στον νόμιμο εκπρόσωπο Φορέα/Δομής (νόμιμος εκπρόσωπος του Φορέα που παρέχει θέσεις προσχολικής αγωγής και φροντίδας και δημιουργικής απασχόλησης παιδιών ή και ατόμων με αναπηρία, στο πλαίσιο της Δράσης ).
δ) Στο στέλεχος Φορέα/Δομής (εργαζόμενος σε Φορέα της παρ. γ) ανωτέρω) .
Δεδομένου του εύρους που καλύπτει η περίοδος τήρησης των δεδομένων που παραβιάστηκαν (συνολικά 10 έτη), αδρομερώς υπολογίζεται ότι το πλήθος των αιτήσεων μπορεί να ανέρχεται σε 700.000 και αφορά σε 2.500.000 υποκείμενα περίπου.
Όσον αφορά στην πιλοτική εφαρμογή της Δράσης « Νταντάδες της Γειτονιάς», η παραβίαση αφορά στα προσωπικά δεδομένα του ωφελούμενου προσώπου (άτομο που έχει την επιμέλεια βρέφους ή νηπίου ). Λόγω της πιλοτικής φύσης του έργου , ο συνολικός αριθμός των ως άνω υποκειμένων ανέρχεται στα 700 άτομα περίπου.
Τα στοιχεία που διέρρευσαν
Τα προσωπικά δεδομένα που έκλεψαν οι χάκερ περιλαμβάνουν ονοματεπώνυμα, μητρώνυμα, πατρώνυμα, ημερομηνίες γέννησης, φύλο, ιθαγένεια, ένδειξη αν το πρόσωπο είναι ΑΜΕΑ, ΙΒΑΝ τραπεζικού λογαριασμού, ΑΦΜ, ΑΜΚΑ, ΔΟΥ, στοιχεία εισοδήματος, εργασιακή κατάσταση, διεύθυνση κατοικίας, οικογενειακή κατάσταση, ένδειξη φορολογικής και ασφαλιστικής ενημερότητας.
Η επόμενη μέρα
Η ΕΕΤΑΑ έχει δηλώσει πως ενισχύει τα υπάρχοντα συστήματα ασφαλείας της, ενώ είναι σε εξέλιξη ένα ολοκληρωμένο σχέδιο ψηφιακού μετασχηματισμού, το οποίο υλοποιείται τμηματικά κατά την τελευταία διετία και έχει ορίζοντα ολοκλήρωσης το 2027. Είναι δε χαρακτηριστικό ότι, λόγω των υψηλών προδιαγραφών ασφαλείας που εισάγει, κανένα από τα νέα συστήματα δεν επλήγη κατά την πρόσφατη κυβερνοεπίθεση.
Στην παρούσα φάση η ΕΕΤΑΑ βρίσκεται σε συνεργασία με τις αρμόδιες Αρχές για την πλήρη διερεύνηση του περιστατικού. Παράλληλα, εστιάζει τις δράσεις της στην ασφαλή ανάκαμψη των πληροφοριακών συστημάτων, όσο το δυνατόν ταχύτερα και τον εκσυγχρονισμό του συνόλου της πληροφοριακής της υποδομής.