Αυξάνονται συνεχώς οι κυβερνοεπιθέσεις στους δήμους

Δραματικά ανεβαίνει ο αριθμός κρουσμάτων χάκινγκ σε όλο τον κόσμο με πρώτη αιτία του κακού πια την πώληση αποπροσωποιημένων αλλά και προσωπικών δεδομένων. Από το State Department μέχρι τους δήμους, καθημερινά οι κακόβουλοι γνώστες της ψηφιακής τεχνολογίας μπαίνουν και ψαρεύουν δεδομένα με διάφορους τρόπους και μορφές.

Οι κυβερνοεπιθέσεις στην Ευρώπη αυξήθηκαν από 432 το 2019 σε 756 το 2020.

Το τελευταίο «μεγάλο χακάρισμα» είναι η περίπτωση του Δήμου Θεσσαλονίκης όπου ζητήθηκαν και λύτρα, αλλά σε οποιαδήποτε εκτέθηκαν όλοι οι σκληροί δίσκοι του δήμου και 1.500 ηλεκτρονικοί υπολογιστές χρειάζονται αντικατάσταση, με ζημιά περί τα 2 εκατομμύρια ευρώ. Ολο το ψηφιακό σύστημα το Δήμου σχεδόν τρεις μήνες μετά, βρίσκεται υπό επισκευή και αποκαθίσταται σταδιακά.

Και φυσικά υπάρχει το μεγάλο ζήτημα, στο οποίο αυτή τη στιγμή δεν μπορεί να γίνει κανένας υπολογισμός, καθώς άπτεται των προσωπικών δεδομένων υπαλλήλων και πολιτών που έχουν πιθανότατα υποκλαπεί.

Αλλά δεν είναι το μόνο περιστατικό. Ο Δήμος Χαλανδρίου, ο δήμος Ζωγράφου όπου χακάρανε προεκλογικά τις ηλεκτρονικές πινακίδες του δρόμου, του Αγρίνιο, Λήμνου, στο Δήμο Χανίων και σε δεκάδες ακόμη δήμους.

Υπάρχουν και περιστατικά βέβαια όπως οι “Anonymous Hamster Team” που χακάρουν τους δήμους για να δείξουν ότι το σύστημα δεν είναι ασφαλές και το κάνουν με μεγάλη ευκολία.

Πολύ μεγάλο κίνδυνο αντιμετωπίζουν τα προσωπικά δεδομένα καθώς είναι πολύ εύκολο οι χάκερς να παρουσιαστούν «ως ο ίδιος ο δήμος» στους δημότες και να τους ζητήσουν τα στοιχεία τους. Όταν αυτοί πολίτες πραγματοποιούν και συναλλαγές με τον δήμο τότε μπορούν πολύ εύκολα οι χάκερς να αποκτήσουν πρόσβαση και στις πιστωτικές τους κάρτες. 

Η απόκτηση των προσωπικών δεδομένων γίνεται και μέσω των Social Media, είτε χακάρωντας τους λογαριασμούς των δήμων, είτε δημιουργώντας νέες πανομοιότυπες σελίδες. Με μαζικά messengers μπορούν πολύ εύκολα να αποκτήσουν χιλιάδες κωδικούς.

Τους κωδικούς τους αποκτούν και με ένα απλό email που στέλνουν σε έναν απρόσεκτο τον χειριστή υπάλληλο καθώς παρουσιάζονται ως διαχειριστές του συστήματος. Το ζήτημα είναι ότι πολλές φορές όλα αυτά δεν γίνονται αντιληπτά από τους υπεύθυνους και έτσι οι χάκερς συνεχίζουν ανενόχλητοι.

Άλλα περιστατικά που καταγράφτηκαν σε δήμους είναι που μπήκαν στη βάση δεδομένων του δήμου και έσβησε όλες τις κλήσεις στάθμευσης. Άλλη μια περίπτωση πολύ πρόσφατη είναι η επίθεση «χάκερς» που δέχθηκαν οι υπολογιστές στα αρχεία του εμβολιαστικού κέντρου κατά του κορονοϊού. Αποτέλεσμα είναι να δυσκολεύονται σήμερα οι διαδικασίες εμβολιασμού των πολιτών, αλλά και να έχουν περιέλθει στα χέρια των χάκερς χιλιάδες προσωπικά στοιχεία κατοίκων.

Πριν κάποια χρόνια είχαμε και την ταυτόχρονη επιθεση σε 47 δήμους μέσω του κεντρικού συστήματος.

Σήμερα υπάρχουν τρία βασικά είδη κυβερνοεπίθεσης: επιθέσεις κατά της εμπιστευτικότητας, της διαθεσιμότητας και της ακεραιότητας ενός δικτύου. Οι επιθέσεις που εκθέτουν σε κίνδυνο την εμπιστευτικότητα αποσκοπούν στην κλοπή ή δημοσιοποίηση ασφαλών πληροφοριών, όπως οι αριθμοί πιστωτικών καρτών ή κοινωνικής ασφάλισης, από ένα δεδομένο σύστημα, το οποίο γίνεται αντικείμενο πειρατείας, με απρόβλεπτες συνέπειες. Τόσο οικονομικές όσο και κοινωνικές.

Το δεύτερο είδος κυβερνοεπίθεσης πλήττει τη διαθεσιμότητα ενός δικτύου – πρόκειται για τις επιθέσεις που συνήθως είναι γνωστές ως επιθέσεις άρνησης παροχής υπηρεσιών (denial-of-service, DoS) ή κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (distributed denial-of-service, DDoS). Σκοπός των επιθέσεων άρνησης παροχής υπηρεσιών είναι να προκαλέσουν την κατάρρευση ενός δικτύου, πλημμυρίζοντάς το με τεράστιο αριθμό αιτημάτων που καθιστούν μη λειτουργικό τον ιστότοπο. Οι κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών είναι ακριβώς το ίδιο, με μόνη διαφορά ότι ο εισβολέας έχει κινητοποιήσει διάφορα συστήματα.

Τέλος, οι κυβερνοεπιθέσεις μπορούν επίσης να επηρεάσουν την ακεραιότητα ενός δικτύου. Αυτές οι επιθέσεις έχουν πιο υλικό χαρακτήρα. Αλλοιώνουν ή καταστρέφουν τον κώδικα ηλεκτρονικού υπολογιστή, ενώ στόχος τους είναι συνήθως να προκαλέσουν βλάβη στο υλισμικό (hardware), στις υποδομές ή σε συστήματα του πραγματικού κόσμου.

Από τη στιγμή που ένα μηχάνημα έχει προσβληθεί από επίθεση κατά της ακεραιότητάς του, καθίσταται άχρηστο. 

Οι περισσότερες δημοτικές αρχές δεν έχουν δώσει μεγάλη σημασία στον Γενικό Κανονισμό Προστασίας Δεδομένων 679/2016/ΕΕ και τη νομοθεσία e-privacy (ν.3471/2006) και δεν επικαιροποιούν τα δεδομένα τους και την ασφάλειας τους.

Η απουσία αναφοράς της ύπαρξης DPO, η απουσία αναφοράς δικαιωμάτων των υποκειμένων και η μη αναφορά των σκοπών επεξεργασίας στην Πολιτική Απορρήτου, συνιστούν σημαντικές ελλείψεις.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων εισάγει αναλυτικές διατάξεις για τον ρόλο, τις παρεχόμενες εγγυήσεις και τα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) (Data ProtectionOfficer – DPO) (άρθρα 37-40 ΓΚΠΔ), ο οποίος βρίσκεται πλέον στο επίκεντρο του νέου νομικού πλαισίου. Τα άρθρα 6-8 του ν. 4624/2019 αφορούν τον ορισμό, τη θέση και τα καθήκοντα του ΥΠΔ σε δημόσιους φορείς. Προβλέπονται συγκεκριμένα καθήκοντα του ΥΠΔ και αντίστοιχες υποχρεώσεις των δημοτικών αρχών. Παράβαση των σχετικών με τον ΥΠΔ διατάξεων επιφέρει κυρώσεις (βλ. άρθρα 37-38 και 83 σε συνδυασμό με την αιτιολογική σκέψη 97 ΓΚΠΔ).

Ο DPO είναι υποχρεωμένος και υπεύθυνος να ελέγχει καθημερνά την ασφάλεια των ψηφιακών συστημάτων του δήμου και βέβαια πρέπει να έχει γνώσεις που να επικαιροποιούνται σε πυκνά και τακτά χρονικά διαστήματα και για τα μέτρα ασφαλείας και για τις μεθόδους που χρησιμοποιούν οι χάκερς. Και βέβαια οι δημοτικές αρχές δεν πρέπει σε καμία περίπτωση να εμπιστεύονται εταιρείες χωρίς τα απαραίτητα πιστοποιητικά και τα μέσα.

Σε περίπτωση που κάποιος πολίτης πέσει θύμα κλοπής των δεδομένων του και ζητήσει ευθύνες ή τρόπους αποθήκευσης και διαχείρισης προσωπικών δεδομένων από το Δήμο, οι ευθύνες, οι ποινές και οι αποζημιώσεις είναι πολύ μεγάλες, ανεξάρτητα αν η υποκλοπή έχει όντως προέλθει από το Δήμο, αν δεν μπορεί να αποδείξει ότι πληροί όλους τους κανόνες ασφαλείας.