Την προηγούμενη μέρα της γενικής του εφημερίας, που ήταν προγραμματισμένη για την Τρίτη 5 Νοέμβρη, το Πανεπιστημιακό Νοσοκομείο Θεσσαλονίκης «ΑΧΕΠΑ» έγινε στόχος κυβερνοεπίθεσης, με αποτέλεσμα να καταρρεύσουν όλα τα ηλεκτρονικά συστήματα του νοσοκομείου και οι γιατροί να μην έχουν τη δυνατότητα να γράψουν ούτε καν παραπεμπτικά για εργαστηριακές εξετάσεις. Την ίδια μέρα η διοίκηση του Ανοικτού Πανεπιστημίου Ελλάδας παραδέχτηκε ότι το «σοβαρό τεχνικό πρόβλημα στο ηλεκτρονικό σύστημα του Πανεπιστημίου» που σημειώθηκε πριν μερικές βδομάδες οφείλεται σε κυβερνοεπίθεση, με σοβαρό το ενδεχόμενο προσωπικά δεδομένα χιλιάδων φοιτητών, μεταξύ τους και πολλών στρατιωτικών, να έχουν εκτεθεί.
Τα παραπάνω περιστατικά προστίθενται σε σωρεία κυβερνοεπιθέσεων που έχουν πλήξει φορείς του Δημοσίου, αλλά και μεγάλους επιχειρηματικούς ομίλους σε κρίσιμους τομείς. Ενδεικτικά, κυβερνοεπιθέσεις είχαν δεχτεί τα ΕΛΤΑ και οι υπηρεσίες του Gov.gr και του Taxisnet το 2022, η ΕΤΑΔ και η Τράπεζα Θεμάτων του υπουργείου Παιδείας το 2023 και, πιο πρόσφατα, το Ελληνικό Κτηματολόγιο. Δεδομένα και πληροφορίες είχαν επίσης αποσπαστεί μέσω κυβερνοεπιθέσεων από τον ΟΤΕ τον Σεπτέμβρη του 2020, και από τον ΔΕΣΦΑ τον Αύγουστο του 2022.
Η ΕΕ και οι ΗΠΑ προωθούν σειρά μέτρων και Οδηγιών τα τελευταία χρόνια για τη «θωράκιση» απέναντι στις κυβερνοεπιθέσεις, καθώς αναγνωρίζουν ότι η όξυνση των ιμπεριαλιστικών ανταγωνισμών και η κλιμάκωση των πολέμων αυξάνουν τους κινδύνους και στον κυβερνοχώρο. Οι συνέπειες των επιθέσεων αυτών αφορούν όχι μόνο τη λειτουργία και την ασφάλεια επιχειρηματικών ομίλων και κρατικών δομών, αλλά και τους λαούς. Το ευρωατλαντικό μπλοκ αναγνωρίζει από τη μία τον κυβερνοχώρο ως «πεδίο στρατηγικού ανταγωνισμού», ενώ από την άλλη επιχειρεί να παραπλανήσει καλλιεργώντας την εικόνα κάποιων – γενικά και αόριστα – «σκιωδών» ομάδων από χάκερς, που άλλοτε από ατόφιο οικονομικό κίνητρο και άλλοτε ως όργανα αντίπαλων κυβερνήσεων (Ρωσίας, Κίνας, Ιράν, Βόρειας Κορέας) εξαπολύουν επιθέσεις σε επιχειρήσεις και οργανισμούς του ευρωατλαντικού μπλοκ, το οποίο απλά αναζητεί τρόπους να αμυνθεί.
Κι αυτό την ώρα που και σ’ αυτό το πεδίο «το ξύλο έχει δυο μεριές»: Οι Ευρωατλαντικοί και οι σύμμαχοί τους οργανώνουν και οι ίδιοι αντίστοιχες επιχειρήσεις, ενώ με πρόσχημα και την κυβερνοασφάλεια θωρακίζουν παραπέρα όλο το αντιδραστικό πλαίσιο του ηλεκτρονικού φακελώματος, της παρακολούθησης και της καταστολής με τελικό αποδέκτη τον «εχθρό λαό».
Νέο θεσμικό πλαίσιο στην Ελλάδα
Σε αυτό το πλαίσιο, το υπουργείο Ψηφιακής Διακυβέρνησης ετοιμάζει την κατάθεση νομοσχεδίου για την εφαρμογή της Κοινοτικής Οδηγίας NIS2 για την κυβερνοασφάλεια, καθώς η σχετική ανοιχτή διαβούλευση ολοκληρώθηκε στις 2 Νοέμβρη. Στο νομοσχέδιο προβλέπεται σειρά μέτρων για την προστασία κρίσιμων υποδομών για περίπου 3.000 οργανισμούς του Δημοσίου αλλά και επιχειρήσεις.
Πρόκειται για μια Οδηγία που υποχρεώνει όλες τις επιχειρήσεις να «θωρακιστούν» κατά των κυβερνοεπιθέσεων, στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανομής τροφίμων, παραγωγής χημικών προϊόντων, φαρμακευτικών προϊόντων, διαχείρισης λυμάτων και αποβλήτων, εταιρειών ταχυμεταφορών. Μάλιστα η Οδηγία αφορά, ανεξάρτητα από το μέγεθός τους, τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανώτατου επιπέδου.
Με τις προτεινόμενες διατάξεις του νομοσχεδίου που προωθεί το υπουργείο Ψηφιακής Διακυβέρνησης ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρμόδια αρχή και ως αρμόδια ομάδα απόκρισης, ενισχύεται ο εθνικός στρατηγικός σχεδιασμός κυβερνοασφάλειας και καθορίζεται πλαίσιο για τη συντονισμένη γνωστοποίηση ευπαθειών. Μάλιστα, σε περιπτώσεις που τα μέτρα κυβερνοασφάλειας κρίνονται ελλιπή στους οργανισμούς αυτούς προβλέπονται πρόστιμα που φτάνουν έως 10 εκατ. ευρώ ή 2% του παγκόσμιου τζίρου των επιχειρήσεων.
Πορεία διαρκούς αύξησης των κυβερνοεπιθέσεων
Το νέο πλαίσιο έρχεται με φόντο τη διαρκή αύξηση των κυβερνοεπιθέσεων: Τον περασμένο Ιούλη η Ευρωπαϊκή Κεντρική Τράπεζα σήμανε συναγερμό στα χρηματοπιστωτικά ιδρύματα, καθώς τα stress tests ανέδειξαν κενά ασφαλείας, και κάλεσε τις τράπεζες να βελτιώσουν την ικανότητά τους να ανταποκρίνονται και να ανακάμπτουν από μια μεγάλη κυβερνοεπίθεση. Αντίστοιχους προβληματισμούς εξέφρασε και η Τράπεζα της Ελλάδας τον Οκτώβρη στην έκθεση χρηματοπιστωτικής σταθερότητας, σημειώνοντας ότι οι κυβερνοεπιθέσεις έχουν αυξηθεί σημαντικά μετά την πανδημία.
Οπως έχει σημειώσει ο γενικός διευθυντής Επιτελικού Σχεδιασμού της ΕΑΚ, το 2023 το κόστος από τις κυβερνοεπιθέσεις σε παγκόσμιο επίπεδο ανερχόταν σε 10 τρισ. δολάρια και οι εκτιμήσεις είναι ότι μέχρι το 2025 θα έχει διπλασιαστεί, αγγίζοντας τα 20 τρισ. δολάρια.
Το πρώτο τρίμηνο του 2024 παρατηρήθηκε αύξηση 28% των κυβερνοεπιθέσεων παγκοσμίως σε σύγκριση με το τελευταίο τρίμηνο του 2023. Το 2023 παρατηρήθηκαν 60% περισσότερες κυβερνοεπιθέσεις phishing (ηλεκτρονικού «ψαρέματος») σε σχέση με το 2022, ενώ το 43% των δεδομένων που εκλάπησαν δεν κατέστη δυνατό να ανακτηθούν.
Στην Ελλάδα έχουν παρατηρηθεί 1.104 κυβερνοεπιθέσεις το α’ τρίμηνο του 2024. Συγκριτικά με την περσινή χρονιά υπάρχει μια αύξηση 43% στον αριθμό των επιθέσεων.
Οπως σημειώνεται στο «policy paper» «Κυβερνοασφάλεια: Πώς θωρακίζουμε το ψηφιακό μέλλον της χώρας», του «Center for Cyber Resilience» του Οικονομικού Φόρουμ των Δελφών: «Με όρους εκτίμησης επικινδυνότητας, οι σημαντικότερες απειλές στον κυβερνοχώρο για την Ελλάδα σχετίζονται με τις οικονομικές απάτες, τη σεξουαλική εκμετάλλευση ανηλίκων, τα εξαρτώμενα από το διαδίκτυο εγκλήματα, τη διακίνηση ψευδών ειδήσεων και τις κυβερνοεπιθέσεις με τη χρήση κακόβουλου λογισμικού κατά κρίσιμων υποδομών, στρατηγικών δικτύων και κυβερνητικών υπηρεσιών». Παράλληλα τονίζεται ότι «ο ανθρώπινος παράγοντας παραμένει μια κρίσιμη τρωτότητα τόσο για τις επιχειρήσεις όσο και για τα άτομα (…) Το 82% των παραβιάσεων κατά των επιχειρήσεων αφορούσαν τον ανθρώπινο παράγοντα».