Συνεχείς κυβερνοεπιθέσεις στο Ελληνικό Ανοιχτό Πανεπιστήμιο – Άφαντα τα δεδομένα
Η σοβαρή κυβερνοεπίθεση που δέχτηκε το Ελληνικό Ανοικτό Πανεπιστήμιο (ΕΑΠ) στις 25 Οκτωβρίου 2024 παραμένει, μήνες μετά, ένα μυστήριο που οι αρχές και οι τεχνικές ομάδες ακόμα προσπαθούν να διαλευκάνουν πλήρως. Οι χάκερς κατάφεραν να παραβιάσουν τα πληροφοριακά συστήματα του ιδρύματος και να αποσπάσουν τεράστιο όγκο δεδομένων, που αγγίζει συνολικά τα 813 GB. Μέρος αυτών, ένα αρχείο 65 GB, είχε εντοπιστεί να κυκλοφορεί στο dark web, με το περιεχόμενο να περιλαμβάνει – σύμφωνα με πληροφορίες – ευαίσθητα προσωπικά δεδομένα φοιτητών, αποφοίτων και διδακτικού προσωπικού. Το υπόλοιπο υλικό όμως, δηλαδή τα περισσότερα από 700 GB, παραμένει άφαντο, με τις αρμόδιες υπηρεσίες να αδυνατούν να εντοπίσουν αν έχει διαρρεύσει αλλού ή αν έχει διαγραφεί οριστικά από τους δράστες.
Η δήλωση του πρύτανη Μανώλη Κουτούζη αντικατοπτρίζει την αβεβαιότητα γύρω από την έκταση της διαρροής: δεν υπάρχει ενεργός σύνδεσμος ή σελίδα στο σκοτεινό διαδίκτυο που να εμφανίζει τα αρχεία. Αυτό έχει οδηγήσει τις τεχνικές ομάδες στην εκτίμηση ότι είτε οι χάκερ απέσυραν το υλικό για δικούς τους λόγους – ενδεχομένως για μεταπώληση ή εκβιασμό σε άλλο στάδιο – είτε το κατέστρεψαν. Παρ’ όλα αυτά, η υπόθεση για το ΕΑΠ παραμένει ανοικτή και δεν θεωρείται λήξασα, καθώς δεν είναι σαφές τι ακριβώς έχει διαρρεύσει, σε ποιον και με ποιες πιθανές συνέπειες.
Από την ημέρα της επίθεσης, το πανεπιστήμιο βρίσκεται υπό συνεχή πολιορκία. Οι κυβερνοεπιθέσεις επαναλαμβάνονται σχεδόν καθημερινά, γεγονός που ενισχύει τις υποψίες ότι το ΕΑΠ βρίσκεται στο στόχαστρο είτε οργανωμένων ομάδων είτε αυτοματοποιημένων bots που εκτελούν επιθέσεις ευρείας κλίμακας. Ο πρύτανης αναφέρει ότι το «τείχος» προστασίας έχει ενισχυθεί σημαντικά, υπονοώντας αναβάθμιση σε επίπεδο λογισμικού ασφαλείας, firewall, πρωτοκόλλων εντοπισμού εισβολής και πιθανόν συνεργασία με εξωτερικούς παρόχους κυβερνοασφάλειας. Όπως λέει, η εμπειρία αυτή «μάς έκανε πιο δυνατούς», ωστόσο η διαρκής πίεση δείχνει πως η απειλή δεν έχει εξαλειφθεί.
Η περίπτωση του ΕΑΠ δεν αποτελεί μεμονωμένο περιστατικό. Τους τελευταίους μήνες καταγράφεται παγκόσμια αύξηση των επιθέσεων σε εκπαιδευτικά ιδρύματα, τα οποία συχνά διαχειρίζονται τεράστιες βάσεις προσωπικών δεδομένων, αλλά παραμένουν λιγότερο θωρακισμένα από μεγάλους κρατικούς ή ιδιωτικούς φορείς. Οι επιθέσεις έχουν στόχο είτε την κλοπή και εμπορία δεδομένων, είτε την πρόκληση βλάβης, είτε – σε ορισμένες περιπτώσεις – την απόσπαση λύτρων με την απειλή δημοσιοποίησης των στοιχείων. Η κατάσταση έχει προκαλέσει κινητοποίηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Ελλάδα, αλλά και προβληματισμό σχετικά με το κατά πόσο τα πανεπιστήμια είναι πραγματικά προετοιμασμένα να διαχειριστούν παρόμοιες κρίσεις.
