«Δυστυχώς είχαμε υποτιμήσει τον κίνδυνο!». Τα λόγια του προέδρου του ομίλου Fourlis Βασίλη Φουρλή στον απόηχο μιας από τις μεγαλύτερες κυβερνοεπιθέσεις που συντελέστηκαν εις βάρος ελληνικής επιχείρησης, κοστίζοντας κάπου 20 εκατ. ευρώ, κατά δήλωσή της, αρχίζουν να επαναλαμβάνονται κι από άλλους επιχειρηματίες ή στελέχη επιχειρήσεων. Την τελευταία τριετία καταγράφεται μια έξαρση κυβερνοεπιθέσεων στη χώρα μας, με επιχειρήσεις, δημόσιους οργανισμούς και κρίσιμες υποδομές να βρίσκονται στο στόχαστρο χάκερ, τόσο εγχώριων όσο και διεθνών. Η κλιμάκωση των επιθέσεων αντικατοπτρίζει όχι μόνο την αυξανόμενη ψηφιοποίηση της κοινωνίας και της οικονομίας, αλλά και τα υφιστάμενα κενά στην κυβερνοασφάλεια. Από κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS) μέχρι στοχευμένες επιθέσεις ransomware, το ελληνικό ψηφιακό οικοσύστημα δέχεται αλλεπάλληλα πλήγματα, με σημαντικές οικονομικές, επιχειρησιακές και κοινωνικές επιπτώσεις.
Στην ετήσια έκθεσή της η γνωστή εταιρεία κυβερνοασφάλειας Kaspersky εντόπισε πάνω από 15,2 εκατομμύρια ψηφιακές απειλές στην Ελλάδα μόνο το 2024, με τις επιθέσεις ransomware να αυξάνονται κατά 10 φορές και τις επιθέσεις σε τραπεζικά δεδομένα κατά 25 φορές! Κι όμως, παρά την αυξανόμενη απειλή και τα περιστατικά η Ελλάδα παραμένει ουραγός στην κυβερνοασφάλεια εντός της Ε.Ε. Σύμφωνα με τη Eurostat, μόλις το 52% των ελληνικών επιχειρήσεων εφαρμόζει τουλάχιστον τρία βασικά μέτρα προστασίας, κατατάσσοντας τη χώρα στην τελευταία θέση μεταξύ των ασφαλέστερων χωρών!
Και αυτό δημιουργεί πεδίον δόξης λαμπρόν για τους χάκερ που συνήθως θα επιδιώξουν με ρεσάλτο να καταλάβουν τα ψηφιακά συστήματα επιχειρήσεων και υποδομών είτε απλά για να κάνουν ζημιά είτε -και αυτό αφορά τη συντριπτική πλειοψηφία των περιστατικών- να κρατήσουν σε ομηρία τις επιχειρήσεις έως ότου τελικά λάβουν «λύτρα» για να ξεμπλοκάρουν τα συστήματά τους και να μη διαρρεύσουν αρχεία στο dark web. Και η αλήθεια είναι ότι μπροστά στη γιγάντια ζημιά που μπορεί μια εταιρεία να πάθει, οι περισσότερες φροντίζουν να τα καταβάλουν χωρίς ωστόσο να το δηλώνουν δημόσια ή στις Αρχές. Ει δυνατόν, «κλείνουν γρήγορα» το ζήτημα, το οποίο κάνει κακό στην υστεροφημία τους και, αν πρόκειται για εταιρεία με καταναλωτικά προϊόντα, κλονίζει την καταναλωτική πίστη, μια και συνήθως τα στοιχεία των πελατών είναι η πρώτη λεία των χάκερ. Και επειδή αστυνόμευση στο «κυβερνοχάος» επί της ουσίας δεν μπορεί να υπάρξει… όταν χτυπήσουν οι χάκερ είναι ήδη αργά!
Η τάση βέβαια είναι παγκόσμια. Σύμφωνα με εκτιμήσεις, φέτος το κόστος των κυβερνοεπιθέσεων σε παγκόσμιο επίπεδο αναμένεται να ξεπεράσει τα 10,5 τρισ. δολάρια, καθώς πάνω από το 50% των επιχειρήσεων δεν έχουν γνώση των τρωτών σημείων τους, ενώ πάνω από το 40% των επιθέσεων στοχεύει σε μικρές επιχειρήσεις.
Οι επιθέσεις αυτές, αν και συχνά μη αναγνωρίσιμες ή μη αναφερόμενες, υπογραμμίζουν την έλλειψη κυβερνοετοιμότητας και την ανάγκη για άμεση ενίσχυση των συστημάτων προστασίας. Οπως σημείωνε πρόσφατα ο δρ Μιχάλης Μπλέτσας, επικεφαλής της νεοσύστατης Εθνικής Αρχής Κυβερνοασφάλειας, «υπάρχουν δύο είδη επιχειρήσεων: αυτές που έχουν πέσει θύματα κυβερνοεπίθεσης και αυτές που δεν το ξέρουν ακόμη».
Οι επιθέσεις
Ο όμιλος Fourlis, πάντως, το κατάλαβε με τον χειρότερο τρόπο όταν ξαφνικά παραμονή της σημαντικότερης εμπορικής περιόδου για τον ίδιο, της Black Friday, χακαρίστηκαν οι ψηφιακές υποδομές χτυπώντας κατά βάση τη διαδικτυακή πλατφόρμα αγορών -κυρίως- της ΙΚΕΑ και στις τέσσερις αγορές του ομίλου (Ελλάδα, Κύπρος, Βουλγαρία, Ρουμανία). Η άμεση οικονομική ζημιά υπολογίζεται στα 20 εκατ. ευρώ, εκ των οποίων τα 15 εκατ. ευρώ αφορούσαν τη χρήση του 2024, ενώ άλλα 5 εκατ. ευρώ καταγράφηκαν το πρώτο τρίμηνο της επόμενης χρονιάς, καθώς η πλήρης αποκατάσταση των συστημάτων ήρθε μόλις τον Φεβρουάριο. «Δυστυχώς στην Ελλάδα συμβαίνουν αναλογικά πολύ περισσότερες κυβερνοεπιθέσεις σε σχέση με άλλες ευρωπαϊκές χώρες και ένας απ’ τους λόγους είναι ότι πολλές ελληνικές εταιρείες, όπως κι εμείς, είχαμε υποτιμήσει τον κίνδυνο», σημείωσε ο πρόεδρος του ομίλου Βασίλης Φουρλής διευκρινίζοντας ότι δεν δόθηκαν λύτρα στους χάκερ, καθώς «κάτι τέτοιο θα ήταν παράνομο». Εκτοτε ο όμιλος ενισχύει περισσότερο τις ψηφιακές άμυνές του. «Δημιουργήθηκαν νέες δομές, όπως το Digital Committee στο Δ.Σ., δημιουργήθηκε εσωτερικά θέση Chief Information Security Officer και όλα τα δίκτυα παρακολουθούνται σε 24ωρη βάση, κινήσεις που απέτρεψαν και άλλες επιθέσεις που εκδηλώθηκαν αργότερα», σημείωνε ο διευθύνων σύμβουλος του ομίλου Δημήτρης Βαλαχής.
Από τις πιο σοβαρές υποθέσεις χάκινγκ την τελευταία τριετία ήταν αυτές στις εταιρείες Byte Computers και Papaki.gr. Στην πρώτη περίπτωση, η εταιρεία πληροφορικής είχε πέσει θύμα επίθεσης από την ομάδα ransomware LockBit το 2023, επίθεση που είχε ως αποτέλεσμα την κρυπτογράφηση κρίσιμων δεδομένων και την απαίτηση λύτρων. Λίγο καιρό μετά και η Papaki.gr, γνωστή ελληνική εταιρεία καταχώρησης domain names, ανακοίνωσε μη εξουσιοδοτημένη πρόσβαση στα συστήματά της. Αν και οι λεπτομέρειες της επίθεσης δεν αποκαλύφθηκαν, η εταιρεία ενημέρωσε ότι πιθανόν επηρεάστηκαν δεδομένα δύο πελατών.
Ο Διαχειριστής Εθνικού Συστήματος Φυσικού Αερίου (ΔΕΣΦΑ) δέχθηκε κυβερνοεπίθεση από την ομάδα Ragnar Locker που επηρέασε την επικοινωνία μέσω email και το σύστημα τιμολόγησης. Η επίθεση ήταν πρωτόγνωρη για τα δεδομένα του Διαχειριστή, ενώ προκάλεσε έκπληξη γιατί τα πληροφοριακά συστήματά του ήταν καλά θωρακισμένα και δύσκολα προσβάσιμα.
Επίσης, η Εταιρεία Ακινήτων του Δημοσίου υπήρξε στόχος ransomware, που περιορίστηκε όμως χωρίς να υπάρξει σημαντική διαρροή, λόγω της ταχείας αντίδρασης του τεχνικού της προσωπικού. Το περιστατικό, που συνέβη το 2023, αποτέλεσε προειδοποίηση για την ανάγκη αναθεώρησης πρωτοκόλλων ασφαλείας στον δημόσιο τομέα.
Η πιο γνωστή περίπτωση χακαρίσματος, και ίσως η πιο σοβαρή που έπληξε εταιρεία στην Ελλάδα ήταν αυτή που έγινε το καλοκαίρι του 2020 στην Cosmote. Η εταιρεία τηλεπικοινωνιών είχε πέσει θύμα κυβερνοεπίθεσης από μια ομάδα που φερόταν να προέρχεται από τη Λιθουανία. Η ομάδα κατάφερε να αποσπάσει έναν μεγάλο όγκο δεδομένων σε τρεις διαδοχικές επιθέσεις που πραγματοποίησε μεταξύ Ιουλίου και Σεπτεμβρίου 2020, αποκτώντας πρόσβαση, μεταξύ άλλων, στα προσωπικά δεδομένα άνω των 12 εκατομυρίων χρηστών! Η έρευνα είχε δείξει τότε ότι οι χάκερ κατάφεραν να σπάσουν το απόρρητο της εταιρείας «χρησιμοποιώντας τα στοιχεία πρόσβασης ενός διαχειριστή, ο κωδικός πρόσβασης του οποίου βρισκόταν σε λίστες που συντηρούν hackers με κωδικούς πρόσβασης που έχουν διαρρεύσει (leaked passwords databases) από μέσα κοινωνικής δικτύωσης (LinkedIn, Facebook, κλπ.) και άλλες υπηρεσίες». Δηλαδή, όπως αναφέρουν στην έκθεσή τους οι ελεγκτές της ΑΔΑΕ, «σε βάση δεδομένων, την οποία συντηρούσαν hackers, είχαν περιληφθεί στοιχεία προσδιοριστικά της εταιρείας και του λογαριασμού πρόσβασης (όνομα χρήστη και κωδικός πρόσβασης) εργαζομένου της εταιρείας COSMOTE, ο οποίος μάλιστα είχε δικαιώματα διαχειριστή σε Πληροφοριακά και Επικοινωνιακά Συστήματα (ΠΕΣ) της εταιρείας». Σημειωτέον ότι για την υπόθεση η εταιρεία δέχθηκε πρόστιμο ύψους 9,25 εκατ. ευρώ.
Πέρα από τα καταγεγραμμένα περιστατικά, δεκάδες άλλες επιθέσεις είτε δεν αναφέρθηκαν επίσημα είτε αποσιωπήθηκαν, ιδιαίτερα στον τραπεζικό και ασφαλιστικό τομέα. Η έλλειψη υποχρέωσης δημοσιοποίησης επιθέσεων από τον ιδιωτικό τομέα συμβάλλει στη δημιουργία ενός τοπίου αδιαφάνειας.
Πέραν όμως των επιχειρήσεων, χάκερ στοχεύουν επίσης δημόσιους φορείς και κρίσιμες υποδομές. Μάλιστα το 2024 καταγράφηκαν περιστατικά επιθέσεων-ρεκόρ!
Η φιλορωσική ομάδα NoName057(16) εξαπέλυσε από τις αρχές του 2024 μια σειρά καλά οργανωμένων επιθέσεων DDoS με στόχο ελληνικές κρατικές και ιδιωτικές ψηφιακές υποδομές. Η αιτιολογία τους σχετιζόταν με τη στήριξη της Ελλάδας προς την Ουκρανία. Η επίθεση είχε επηρεάσει, μεταξύ άλλων, το υπουργείο Υποδομών και Μεταφορών, τη Γενική Γραμματεία Πληροφοριακών Συστημάτων, το Διεθνές Αεροδρόμιο Αθηνών, την Ελληνικό Μετρό Α.Ε., την Υπηρεσία Πολιτικής Αεροπορίας, τον Οργανισμό Λιμένος Θεσσαλονίκης, το Κέντρο Ευρωπαϊκού Συνταγματικού Δικαίου, το Μητρώο Ναυτιλιακών Εταιρειών Ελλάδος, τη Minoan Lines, το υπεραστικό ΚΤΕΛ Χαλκιδικής, το ΚΤΕΛ Χανίων Ρεθύμνου κ.ά.
Επίσης, τον Ιούλιο του 2024 χάκερ κατάφεραν να αποκτήσουν πρόσβαση σε 1,2 GB δεδομένων από ηλεκτρονικό υπολογιστή υπαλλήλου του Εθνικού Κτηματολογίου. Αν και δεν παραβιάστηκε η βασική βάση δεδομένων, το περιστατικό χαρακτηρίστηκε από ειδικούς ως μία από τις πλέον σοβαρές επιθέσεις κατά δημόσιου οργανισμού, εγείροντας ανησυχίες για τη διαχείριση κρίσιμων πληροφοριών ιδιοκτησίας.
Το είδος των αρχείων που υπεκλάπησαν μέχρι στιγμής δεν αφορά προσωπικά στοιχεία πολιτών, αλλά τυπικά διαχειριστικά έγγραφα υπηρεσιών που δεν επηρεάζουν την εύρυθμη λειτουργία του Κτηματολογίου, όπως είχε αναφέρει το υπουργείο Ψηφιακής Διακυβέρνησης.
Τον περασμένο Οκτώβριο υπήρξε, επίσης, επίθεση των ψηφιακών υποδομών του Ελληνικού Ανοικτού Πανεπιστημίου απ’ την ομάδα RansomHub. Ως αποτέλεσμα, πάγωσαν όλες οι ψηφιακές του λειτουργίες. Οι χάκερ απέσπασαν 813 GB δεδομένων, τα οποία δημοσίευσαν αργότερα στο dark web. Στα αρχεία περιλαμβάνονταν προσωπικά δεδομένα περίπου 40.000 φοιτητών, ανάμεσά τους και στελέχη των Ενόπλων Δυνάμεων, γεγονός που σήμανε συναγερμό σε κρατικές υπηρεσίες. Επίσης, τον περασμένο Γενάρη η πλατφόρμα gov.gr και συνολικά το δίκτυο του Ελληνικού Δημοσίου ΣΥΖΕΥΞΙΣ δέχθηκαν εκτεταμένη DoS (Denial of Service) επίθεση. Η κυβερνοεπίθεση ήταν οργανωμένη με μαζική εκδήλωση από εκατοντάδες servers του εξωτερικού.
Συγκεκριμένα, η επίθεση επηρέασε τη λειτουργία της πλατφόρμας «Αλλάζω Σύστημα Θέρμανσης και Θερμοσίφωνα», δυσκολεύοντας την πρόσβαση χιλιάδων πολιτών που διεκδικούσαν επιδοτήσεις. Παράλληλα, προβλήματα παρουσιάστηκαν και σε άλλες υπηρεσίες του Δημοσίου που απαιτούν αυθεντικοποίηση μέσω κωδικών Taxis ή διαλειτουργικότητα μεταξύ φορέων.
Η διακοπή σύνδεσης κρίσιμων υπηρεσιών ήταν απαραίτητη για να αποτραπεί περαιτέρω διείσδυση στα συστήματα. Παρότι τα δεδομένα δεν παραβιάστηκαν, η επίθεση ανέδειξε τα επιχειρησιακά κενά στην κυβερνοάμυνα της χώρας και την ανάγκη για αναβάθμιση των υποδομών.
Παρόμοια με την πρόσφατη επίθεση στο ΣΥΖΕΥΞΙΣ, αλλά πιο εξελιγμένη, ήταν εκείνη που είχε πραγματοποιηθεί τον Μάιο του 2023 στην Τράπεζα Θεμάτων των Πανελλαδικών Εξετάσεων. Η κυβερνοεπίθεση αυτή ήταν από τις πλέον ισχυρότερες των τελευταίων ετών καθώς ήταν DDoS (δηλαδή άρνηση πρόσβασης με δημιουργία υπερβολικού φόρτου), όπου εκτός της μεγάλης κίνησης που προκαλούσε, έθετε παράλληλα και ερωτήματα στη σελίδα, κάνοντας εξαιρετικά δύσκολη την αντιμετώπισή της.
Το Πανεπιστήμιο Αιγαίου είχε δεχθεί επίθεση επίσης το 2023 από τη Lockbit με αρχεία του να δημοσιεύονται στο dark web. Ωστόσο σύμφωνα με πληροφορίες αξιωματούχων, τα αρχεία αυτά δεν είχαν απολύτως καμία αξία. Στις αρχές του 2022, η Διεύθυνση Πληροφορικής της Βουλής είχε ενημερώσει πως υπήρξε προσπάθεια κυβερνοεγκληματιών να υποκλέψουν στοιχεία ηλεκτρονικής αλληλογραφίας από 60 λογαριασμούς βουλευτών, κοινοβουλευτικών συντακτών και εργαζομένων στη Βουλή των Ελλήνων. Την ίδια περίοδο είχε πραγματοποιηθεί και κυβερνοεπίθεση σε τρία μεγάλα νοσοκομεία της Αττικής («Σωτηρία», Ασκληπιείο και ΝΙΜΤΣ).
Η πλέον πρόσφατη περίπτωση κυβερνοεπίθεσης σε φορέα που έγινε γνωστή είναι αυτή κατά της Ελληνικής Εταιρείας Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ). Η ΕΕΤΑΑ δέχθηκε κυβερνοεπίθεση διάρκειας πέντε ημερών, από 1η έως 5 Μαρτίου 2025, με αποτέλεσμα τα πληροφοριακά της συστήματα να τεθούν εκτός λειτουργίας.
Σύμφωνα με την ετήσια έκθεση προτεραιοτήτων της ΕΥΠ (2023-2024), η Υπηρεσία επιλήφθηκε 31 σοβαρών επιθέσεων DDoS σε υπουργεία, εταιρείες ενέργειας, αερομεταφορές και άλλους φορείς, καθώς και 13 επιθέσεων παραποίησης ιστοσελίδων, 9 παραβιάσεων με διαρροή δεδομένων, 7 περιστατικών ransomware και 4 εκστρατειών phishing.
Ενισχύεται το θεσμικό πλαίσιο
Η κυβέρνηση, από την πλευρά της, κινήθηκε τους τελευταίους μήνες προς την ενίσχυση του θεσμικού πλαισίου με την εφαρμογή της ευρωπαϊκής Οδηγίας NIS2, την αναβάθμιση της Εθνικής Αρχής Κυβερνοασφάλειας και τη δημιουργία υποχρεωτικού μηχανισμού αναφοράς περιστατικών για κρίσιμους οργανισμούς.
Στο πλαίσιο αυτό, ιδρύθηκε το Κέντρο Επιχειρήσεων Κυβερνοασφάλειας (SOC), το οποίο προσφέρει ενιαία επιτήρηση και άμεση αντίδραση σε κυβερνοπεριστατικά, με ενσωμάτωση των συστημάτων των υπουργείων.
Επίσης με τον νόμο 5160/2024 καθίστανται πλέον υπεύθυνες εταιρείες και φορείς σε κρίσιμους τομείς όπως ενέργεια, μεταφορές, τράπεζες, υγεία και ψηφιακές υποδομές. Οι οργανισμοί αυτοί πλέον υποχρεούνται να υιοθετήσουν πολιτικές ασφάλειας, να διαχειρίζονται κινδύνους, να εκπαιδεύουν το προσωπικό και να διασφαλίζουν τη συνέχεια των λειτουργιών τους σε περίπτωση κυβερνοεπίθεσης.
Επιπλέον, ορίζουν υπεύθυνο κυβερνοασφάλειας, εγγράφονται στο μητρώο της Εθνικής Αρχής Κυβερνοασφάλειας και οφείλουν να αναφέρουν σημαντικά περιστατικά εντός προθεσμιών. Ιδιαίτερη ευθύνη φέρουν τα μέλη της διοίκησης, τα οποία οφείλουν να εγκρίνουν και να επιβλέπουν τα μέτρα συμμόρφωσης. Οι κυρώσεις για μη συμμόρφωση περιλαμβάνουν πρόστιμα έως και 10 εκατ. ευρώ, καθώς και προσωρινή απαγόρευση άσκησης καθηκόντων.
