Alfavita Newsroom Ως υπόθεση μείζονος σημασίας επανέρχεται στο προσκήνιο η σοκαριστική διαρροή προσωπικών δεδομένων φοιτητών του Ελληνικού Ανοικτού Πανεπιστημίου (ΕΑΠ), καθώς σε επίσημη απάντηση στη Βουλή προχώρησε η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) για τις διαδικασίες ελέγχου που ακολούθησε.
Υπενθυμίζεται ότι η επίθεση σημειώθηκε τον Οκτώβριο του 2024, ωστόσο η πλήρης διάστασή της αποκαλύφθηκε μήνες αργότερα, προκαλώντας έντονες αντιδράσεις για την καθυστέρηση της ενημέρωσης.
Η επίθεση, τύπου ransomware, οδήγησε στην υποκλοπή και κρυπτογράφηση 813GB δεδομένων, τα οποία περιλαμβάνουν ονοματεπώνυμα, ΑΜΚΑ, ΑΦΜ, τραπεζικά στοιχεία και ευαίσθητες ιατρικές πληροφορίες. Μέρος αυτών εντοπίστηκε στο dark web, εγείροντας σοβαρές ανησυχίες για την ασφάλεια χιλιάδων φοιτητών και εργαζομένων του πανεπιστημίου.
Η υπόθεση έφτασε στη Βουλή μέσω αναφοράς του βουλευτή Στυλιανού Φωτόπουλου, ζητώντας διαλεύκανση του περιστατικού και λογοδοσία για τις καθυστερημένες ενέργειες.
Σύμφωνα με την απάντηση της ΕΑΚ, «παρότι το ΕΑΠ δεν εμπίπτει άμεσα στο ρυθμιστικό πεδίο της Αρχής, η τελευταία ανταποκρίθηκε άμεσα κατόπιν εθελούσιας κοινοποίησης του συμβάντος από το ίδιο το πανεπιστήμιο».
Η ΕΑΚ, μέσω της CSIRT (Ομάδας Απόκρισης Συμβάντων), μετέβη άμεσα στην Πάτρα για επιτόπια διερεύνηση, συγκρότησε ομάδα διαχείρισης με εξωτερικούς συνεργάτες και παρείχε τεχνική και επιχειρησιακή υποστήριξη.
Κυβερνοεπίθεση στο ΕΑΠ - Οι ενέργειες στις οποίες προέβη η ειδική ομάδα της ΕΑΚ:
- Επιτόπια Παρέμβαση: Η Ομάδα Απόκρισης Συμβάντων στον Κυβερνοχώρο (CSIRT) της ΕΑΚ μετέβη στην έδρα του ΕΑΠ στην Πάτρα, την επόμενη κιόλας ημέρα από την κοινοποίηση του περιστατικού, για επιτόπια έρευνα και συλλογή στοιχείων.
- Συγκρότηση Ομάδας Διαχείρισης: Συστάθηκε Ομάδα Διαχείρισης Περιστατικού, αποτελούμενη από προσωπικό του ΕΑΠ, την CSIRT της ΕΑΚ, και την ομάδα αντιμετώπισης περιστατικών κυβερνοασφάλειας (Incident Response Team) εξωτερικού συνεργάτη του ΕΑΠ.
- Κατευθύνσεις και Αναφορές: Δόθηκαν οδηγίες στις Πρυτανικές Αρχές για τις υποχρεώσεις αναφοράς του περιστατικού στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κατά τα οριζόμενα στον Γενικό Κανονισμό Προσωπικών Δεδομένων, καθώς και τη Δίωξη Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ..
- Συμβουλές και Σχέδιο Αποκατάστασης: Προτάθηκαν μέτρα και πολιτικές απόκρισης, ενώ παραδόθηκε σχετικό report από την Incident Response Team με συγκεκριμένες ενέργειες. Η CSIRT της ΕΑΚ παρείχε οδηγίες για την κατάρτιση πλάνου αποκατάστασης.
- Μελλοντική Πρόληψη: Προτάθηκαν μέτρα για την αποφυγή παρόμοιων περιστατικών.
- Συνεχής Συντονισμός: Πραγματοποιήθηκε τηλεδιάσκεψη για περαιτέρω συντονισμό, ενώ συνεχίστηκε η συνεργασία με την Ομάδα Διαχείρισης και τους εξωτερικούς συνεργάτες του ΕΑΠ.
- Επικοινωνιακή Διαχείριση: Σε συνεργασία με την ΕΑΚ, οργανώθηκε η ενημέρωση του κοινού για το περιστατικό.
- Συνεχής Υποστήριξη: Η ΕΑΚ διατηρεί στενή επικοινωνία με το ΕΑΠ προκειμένου να παραμένει ενήμερη και να παρέχει καθοδήγηση και υποστήριξη, εφόσον απαιτείται, για την αντιμετώπιση των επιπτώσεων του συγκεκριμένου περιστατικού.
Όπως αναφέρει η Αρχή, παρασχέθηκαν τεχνικές κατευθύνσεις και σχέδιο αποκατάστασης, καθώς και προτάσεις για μελλοντικά προληπτικά μέτρα.
«Η επικοινωνιακή διαχείριση του περιστατικού πραγματοποιήθηκε σε συνεργασία με την ΕΑΚ, η οποία παραμένει σε συνεχή επαφή με το ΕΑΠ για περαιτέρω υποστήριξη», σημειώνει στην απάντησή της.
Δείτε ΕΔΩ ολόκληρη την απάντηση της ΕΑΚ
Όλες οι σημαντικές και έκτακτες ειδήσεις σήμερα
Διευθυντές καλούνται να δηλώσουν ποιοι εκπαιδευτικοί δεν έκαναν τηλεκπαίδευση και για ποιο λόγο
