Η κυβερνοεπίθεση στο ΕΑΠ το Ελληνικό Ανοιχτό Πανεπιστήμιο τον Οκτώμβριο του 2024 δεν επηρέασε μόνο τον οργανισμό που αποτέλεσε τον άμεσο στόχο, αλλά και όλους εμάς.
Στο παρελθόν οι επαγγελματίες της πληροφορικής έχουν αντιμετωπίσει παρόμοια περιστατικά, όπου η πρόσβαση σε αρχεία Word και Excel καθίστατο αδύνατη, με τους επιτιθέμενους να απαιτούν λύτρα για την αποκατάσταση των δεδομένων. Ωστόσο, τέτοιες επιθέσεις στόχευαν συνήθως επιχειρήσεις και όχι εκπαιδευτικά ιδρύματα. Για την περίπτωση της Κυβερνοεπίθεση στο ΕΑΠ, το πλήγμα δεν αφορούσε μόνο έναν υπολογιστή ή έναν server, αλλά πιθανώς ολόκληρο το δίκτυο του ιδρύματος.
Η σκέψη και μόνο ότι κακόβουλοι εισβολείς μπορούν να “κλειδώσουν” αρχεία υπολογιστών και servers είναι τρομακτική.
Αθάνατο Ελληνικό Δημόσιο
Το πιο θλιβερό στοιχείο αυτής της υπόθεσης είναι η απόλυτη έκθεση του υπεύθυνου φορέα. Όλοι αναγνωρίζουμε ότι ακόμη και ένα πανεπιστήμιο που διδάσκει πληροφορική μπορεί να έχει κενά ασφαλείας. Το ζήτημα όμως δεν είναι η ύπαρξη ενός κενού, αλλά ο τρόπος που διαχειρίστηκε την κρίση η διοίκηση του ιδρύματος. Η στάση της ήταν απόλυτα εναρμονισμένη με την κλασική, αναποτελεσματική προσέγγιση του ελληνικού δημοσίου στον τομέα της πληροφορικής: καθυστέρηση, έλλειψη διαφάνειας και ανεπαρκής αντίδραση.
Αρχικά, επικράτησε σιωπή, ενώ όταν ήρθε η ώρα της επίσημης ενημέρωσης, αυτή ήταν ελλιπής και ασαφής. Ακόλουθα η αρχική ανακοίνωσης της 27ης Οκτωβρίου, στην οποία έκανε λόγο για «σοβαρό τεχνικό πρόβλημα στο ηλεκτρονικό σύστημα» του ΕΑΠ, αναφέροντας ότι:
Αγαπητοί/ες φοιτητές/ριες, διδάσκοντες/ουσες, συνεργάτες/ιδες,
Από τις 25/10/2024 έχει προκύψει ένα σοβαρό τεχνικό πρόβλημα στο ηλεκτρονικό σύστημα του Πανεπιστημίου μας.
Η διοίκηση και οι υπηρεσίες σε συνεργασία με ειδικούς εργάζονται εντατικά για την πλήρη επαναλειτουργία του συστήματος το ταχύτερο δυνατό.
Ζητάμε από όλους/ες σας την κατανόησή σας και σας ευχαριστούμε.
Ο Πρύτανης του ΕΑΠ».
Αυτό είναι απαράδεκτο. Πέρα από το απαρχαιωμένο εκπαιδευτικό υλικό, τις γραπτές εξετάσεις κώδικα σε χαρτί και τους μαθηματικό-φυσικούς καθηγητές που διδάσκουν δίκτυα χωρίς να έχουν πραγματική εμπειρία, αποδεικνύεται για άλλη μια φορά ότι:
η τεχνολογική εξέλιξη στη χώρα μας παραμένει στάσιμη.
Δημοσιοποίηση γεγονότος σε ΜΜΕ
Μετά το αρχικό σοκ, το εύλογο ερώτημα είναι: ποιες ενέργειες έγιναν ή πρόκειται να γίνουν ώστε να αποτραπεί μια επόμενη επίθεση; Υπάρχει ακόμα κενό ασφαλείας που θα μπορούσε να εκμεταλλευτεί μια άλλη ομάδα ransomware; Για αρχειακούς λόγους, καταγράφω τις αναφορές που δημοσιεύτηκαν σχετικά με την επίθεση:
- Ransomware | Latest Threats | Microsoft Security Blog
- Κυβερνοεπίθεση στο Ελληνικό Ανοικτό Πανεπιστήμιο | Νομικά Νέα | Lawspot
- Στόχος κυβερνοεπίθεσης έπεσε το Ελληνικό Ανοιχτό Πανεπιστήμιο – securityreport.gr
- Hellenic Open University Data Breach in 2024
Αξιοσημείωτη είναι η σχεδόν πλήρης αποσιώπηση του γεγονότος από τα Ελληνικά μέσα ενημέρωσης που ασχολούνται με την πληροφορική. Ενδεικτικά αναφέρω το γεγονός ότι κανείς μας δεν έμαθε ότι στις 9/1/2025 το Υπουργείο Ανάπτυξης αντιμετώπισε παρόμοιο περιστατικό; (πηγή: Ransomware.live – Victims from Greece) Το ερώτημα παραμένει: ήταν αυτή η ενδεδειγμένη διαχείριση μιας τόσο σοβαρής κυβερνοεπίθεσης; ήταν αυτή η ενδεδειγμένη διαχείριση μιας τόσο σοβαρής κυβερνοεπίθεσης;
Αντί για αδράνεια και ασαφείς δηλώσεις, το πανεπιστήμιο όφειλε να αναλάβει την ευθύνη, να ενημερώσει έγκαιρα και ουσιαστικά τους φοιτητές και το προσωπικό του .
Γιατί το πραγματικό ζήτημα δεν είναι απλώς η επίθεση, αλλά η ετοιμότητα και η ανταπόκριση. Και σε αυτήν την περίπτωση, η αποτυχία ήταν εκκωφαντική. Μέχρι και σήμερα 22/2/2025, δεν έχει γίνει επίσημη αναφορά τουλάχιστον προς τους φοιτητές που έχουν δώσει τα στοιχεία τους και έχουν έννομο συμφέρον να γνωρίζουν τι ακριβως συνέβη.
Επόμενη ημέρα
Αν ήμουν στη θέση της διοίκησης του Ελληνικού Ανοικτού Πανεπιστημίου (ΕΑΠ), θα πρότεινα μια ολοκληρωμένη στρατηγική για την επόμενη μέρα της κυβερνοεπίθεσης. Οι ενέργειες αυτές θα εστίαζαν τόσο:
- στην άμεση αποκατάσταση της ασφάλειας
- στη βελτίωση της εκπαίδευσης των φοιτητών του τμήματος Πληροφορικής, ώστε να μπορούν να αναγνωρίζουν και να αντιμετωπίζουν μελλοντικές απειλές.
Σύντομα θα επανέλθω με συγκεκριμένες προτάσεις για τoυς ανωτέρω πυλώνες
Το περιστατικό αυτό μπορεί να αποτελέσει ένα ισχυρό κίνητρο για το ΕΑΠ να αναβαθμίσει τόσο την ασφάλεια του όσο και την ποιότητα της εκπαίδευσής του. Αντί να θεωρηθεί απλά μια “ατυχής στιγμή”, μπορεί να μετατραπεί σε ευκαιρία για τη δημιουργία μιας πανεπιστημιακής κοινότητας πιο ανθεκτικής στις κυβερνοαπειλές και πιο ικανής να προετοιμάσει την επόμενη γενιά επαγγελματιών στον τομέα της πληροφορικής.
Αν το πανεπιστήμιο επιλέξει να αγνοήσει το πρόβλημα ή να μείνει στην αδράνεια, τότε απλώς επιβεβαιώνει ότι δεν είναι σε θέση να προετοιμάσει τους φοιτητές του για τον πραγματικό κόσμο της πληροφορικής.
