Θύελλα με την κυβερνοεπίθεση στο ΕΑΠ- Εκτός λειτουργίας ηλεκτρονικά συστήματα, ενδείξεις παραβίασης προσωπικών δεδομένων 

Σοβαρά ερωτηματικά για την ασφάλεια των προσωπικών δεδομένων των φοιτητών και των διδασκόντων του ΕΑΠ και της εν γένει ηλεκτρονικής λειτουργίας του Πανεπιστημίου εγείρονται τις τελευταίες ημέρες μετά την ηλεκτρονική επίθεση που φαίνεται ότι δέχθηκε το ίδρυμα. Γράφουμε φαίνεται γιατί μέχρι στιγμής δεν υπάρχει επίσημη διαβεβαίωση για κάτι τέτοιο παρά μόνο ενδείξεις για τις οποίες πληροφόρησε τους φοιτητές και τους καθηγητές ο πρύτανης του ΕΑΠ Μανώλης Κουτούζης μόλις την περασμένη Δευτέρα.

Το πρόβλημα έγινε αντιληπτό στις 25 Οκτωβρίου. Φοιτητές που επιθυμούσαν να χρησιμοποιήσουν την ηλεκτρονική πλατφόρμα του Πανεπιστημίου διαπίστωσαν ότι δεν μπορούσαν να έχουν πρόσβαση. Μετά από ώρες αναμονής και χωρίς η κατάσταση να βελτιώνεται, τα τηλέφωνα του ιδρύματος άρχισαν να χτυπούν ασταμάτητα. Απάντηση όμως, πέρα από το ότι η τεχνική υπηρεσία έχει αναλάβει την επιδιόρθωση του προβλήματος, δεν υπήρχε.

Το ΕΑΠ έκανε την πρώτη επίσημη τοποθέτησή του για το ζήτημα μόλις στις 27 Οκτωβρίου και αφού οι διαμαρτυρίες πλέον έδιναν και έπαιρναν, εξέλιξη μάλλον φυσιολογική καθώς άλλοι φοιτητές έχαναν προθεσμία παράδοσης εργασίας και άλλοι δεν είχαν την παραμικρή πρόσβαση σε εκπαιδευτικό υλικό (πέραν των βιβλίων τους). Είναι χρήσιμο να τονίσουμε εδώ ότι σ’ ένα Πανεπιστήμιο με το χαρακτήρα του ΕΑΠ τα πάντα γίνονται εξ’ αποστάσεως γι’ αυτό και το ηλεκτρονικό σύστημα δεν είναι απλώς χρήσιμο αλλά υπεραπαραίτητο εργαλείο στην προσπάθεια των φοιτητών.

Η δήλωση του πρύτανη στις 27 Οκτωβρίου έλεγε τα εξής: “Αγαπητοί/ες φοιτητές/ριες, διδάσκοντες/ουσες, συνεργάτες/ιδες. Από τις 25/10/2024 έχει προκύψει ένα σοβαρό τεχνικό πρόβλημα στο ηλεκτρονικό σύστημα του Πανεπιστημίου μας. Η διοίκηση και οι υπηρεσίες σε συνεργασία με ειδικούς εργάζονται εντατικά για την πλήρη επαναλειτουργία του συστήματος το ταχύτερο δυνατό.Ζητάμε από όλους/ες σας την κατανόησή σας και σας ευχαριστούμε”.

• Οπως γίνεται αντιληπτό, ο πρύτανης δεν έδωσε καμία ιδιαίτερη πληροφορία. Και όμως, όπως προβλέπει ο κανονισμός περί προσωπικών δεδομένων και σύμφωνα με την διεθνή πρακτική, τα φυσικά πρόσωπα τα οποία επηρεάζονται από μία τέτοια κατάσταση θα πρέπει να ενημερώνονται λεπτομερώς και όσο το δυνατόν πιο έγκαιρα για το τι έγινε και παραβιάστηκε η εμπιστευτικότητα και η ακεραιότητα της πλατφόρμας.

Ο πρύτανης παρέλειψε επίσης να ενημερώσει αν έχουν ειδοποιηθεί οι αρχές. Είναι ξεκάθαρο ότι θα μπορούσε να ενημερωθεί η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (έτσι ώστε να διεξάγει έρευνα για το θέμα) και φυσικά η δίωξη ηλεκτρονικού εγκλήματος εφόσον υπήρχε η υποψία για κακόβουλη επίθεση. Σε μία τέτοια περίπτωση ακόμα και τα φυσικά πρόσωπα που θίγονται θα μπορούσαν να κάνουν σχετικές αναφορές (και δεν αποκλείεται να έχουν γίνει).

Οργή των φοιτητών, επίμαχο tweet και νέα δήλωση

Τις επόμενες ημέρες η πλατφόρμα παρέμεινε “πεσμένη” και η οργή περίσσευε. Την ίδια ώρα η φημολογία για παραβίαση των προσωπικών δεδομένων των φοιτητών φούντωνε. Οι πιο υποψιασμένοι είδαν να ανεβαίνει και ένα σχετικό tweet της FalcοnFeeds.iο στο X με το οποίο γινόταν γνωστό “το Ελληνικό Ανοικτό Πανεπιστήμιο (ΕΑΠ) υπήρξε θύμα επίθεσης από την ομάδα RansοmΗub ransοmware, η οποία ισχυρίζεται ότι απέκτησε 813 GB δεδομένων του Ελληνικού Ανοικτού Πανεπιστημίου και προτίθεται να τα δημοσιεύσει εντός 9-10 ημερών”. Υπήρξε και σχετική, αναλυτική αναφορά στον ιστότοπο foititkanea.gr στις 3 Νοεμβρίου.

Ο πρύτανης την επομένη (4 Νοεμβρίου) αναγκάστηκε να προχωρήσει σε νέα δήλωση. Σύμφωνα μ’ αυτήν “συνεχίζονται με εντατικούς ρυθμούς και σε συνεργασία με τις αρμόδιες αρχές και ειδικούς για την κυβερνοασφάλεια, τόσο οι εργασίες για πλήρη αποκατάσταση όσων συστημάτων προσβλήθηκαν, όσο και η σε βάθος διερεύνηση του περιστατικού. Έχουν ήδη αποκατασταθεί αρκετές λειτουργίες των πλατφορμών μάθησης. Μέχρι στιγμής όλες οι ενδείξεις παραπέμπουν σε κακόβουλη επίθεση,με μόνο στόχο την λειτουργικότητα των συστημάτων του Ελληνικού Ανοικτού Πανεπιστημίου. Όποτε προκύψουν νέα στοιχεία θα υπάρξει νέα ενημέρωση της ακαδημαϊκής κοινότητας του ΕΑΠ.Σας ευχαριστούμε για την κατανόηση”.

• Για πρώτη φορά, μετά από 10 ημέρες αβεβαιότητας και φημών, γίνεται λόγος για “κακόβουλη επίθεση”. Ωστόσο, ούτε στη συγκεκριμένη δήλωση ο Πρύτανης δίνει συγκεκριμένες πληροφορίες. Ποιες αρχές και “ειδικοί για την κυβερνοασφάλεια” ενημερώθηκαν; Πότε ακριβώς έλαβε χώρα η ενημέρωσή τους; Γιατί κάτι τέτοιο δεν έγινε σε προγενέστερο χρόνο;

Πηγή με άριστη γνώση της νομοθεσίας περί προσωπικών δεδομένων έλεγε στο Libre ότι η ανακοίνωση της 4ης Νοεμβρίου “δεν μπορεί να λογιστεί ως σοβαρή. Σε παρόμοιες περιπτώσεις εκπαιδευτικά ιδρύματα του εξωτερικού ενημερώνουν λεπτομερώς όλα τα φυσικά πρόσωπα που θίγονται και τουλάχιστον ξεκαθαρίζουν τη φύση του περιστατικού. Εδώ κάτι τέτοιο δεν γίνεται. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα από την πλευρά τους σίγουρα μπορεί να επέμβει και αυτεπάγγελτα”.

Τούτων δοθέντων, φοιτητές και διδάσκοντες περιμένουν να μάθουν, με υπεύθυνο και επίσημο τρόπο, αν και με ποιο τρόπο παραβιάστηκαν τα προσωπικά τους δεδομένα. Σε μία τέτοια πλατφόρμα, η οποία μάλιστα λειτουργεί επί σειρά ετών, καταλαβαίνει κανείς ότι έχουν ανέβει χιλιάδες εργασίες, χιλιάδες σελίδες εκπαιδευτικού υλικού, σημειώσεις κτλ. Από ένα κρατικό ίδρυμα, το οποίο μάλιστα επιβαρύνει τους φοιτητές με δίδακτρα (το μόνο δημόσιο Πανεπιστήμιο που το κάνει) περιμένει κανείς αφενός το μέγιστο επίπεδο ηλεκτρονικής ασφαλείας και αφετέρου αναλυτική και υπεύθυνη ενημέρωση όταν υπάρχει ακόμα και η παραμικρή υποψία παραβίασης δεδομένων. Εν προκειμένω όμως δεν έγινε τίποτα από τα παραπάνω.