Η ΕΛΛΗΝΙΚΗ ΕΤΑΙΡΕΙΑ ΤΟΠΙΚΗΣ ΑΝΑΠΤΥΞΗΣ ΚΑΙ ΑΥΤΟΔΙΟΙΚΗΣΗΣ Α.Ε. (ΕΕΤΑΑ ΑΕ) δέχτηκε κυβερνοεπίθεση στο διάστημα από 01/3/2025 έως 05/3/2025, οπότε και διαπιστώθηκε από τα αρμόδια στελέχη της Δ/νσης Πληροφορικής της Εταιρείας.
Στο πλαίσιο αυτό, εξετάζεται το ενδεχόμενο να έχουν παραβιαστεί και προσωπικά δεδομένα ωφελούμενων των προγραμμάτων και των δράσεων που διαχειρίζεται η ΕΕΤΑΑ ΑΕ.
Για τους λόγους αυτούς, το ως άνω περιστατικό αντιμετωπίστηκε από τη ΕΕΤΑΑ ως ένα περιστατικό παραβίασης της ασφάλειας των προσωπικών δεδομένων και προς τούτο, σύμφωνα με το ισχύον θεσμικό πλαίσιο, η Εταιρεία προχώρησε στις ακόλουθες ενέργειες:
α) Απέστειλε, εντός 48 ωρών, στους Υπεύθυνους Επεξεργασίας των ανωτέρω προγραμμάτων και δράσεων (Υπουργεία Κοινωνικής Συνοχής & Οικογένειας και Εθνικής Οικονομίας & Οικονομικών) αναλυτική αναφορά του περιστατικού, η οποία προωθήθηκε αρμοδίως στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και κοινοποιήθηκε στο Υπουργείο Εσωτερικών.
β) Απέστειλε, εντός 72 ωρών, στην ΑΠΔΠΧ αναλυτική αναφορά του περιστατικού ασφαλείας.
γ) Υπέβαλε άμεσα αντίστοιχη αναφορά του περιστατικού ασφαλείας στην Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) και τέλος,
δ) Αποφάσισε την υποβολή μηνυτήριας αναφοράς κατ’ αγνώστου, προκειμένου του περιστατικού να επιληφθεί αρμοδίως η Αρχή Δίωξης Ηλεκτρονικού Εγκλήματος και τελεί εν αναμονή των αποφάσεων των ως άνω Υπεύθυνων Επεξεργασίας και της ΑΠΔΠΧ, για την άμεση εφαρμογή των παρ’ αυτών υποδεικνυόμενων μέτρων διαχείρισης του περιστατικού ασφαλείας.
Στην παρούσα φάση, η ΕΕΤΑΑ καταβάλει εργώδη προσπάθεια για την όσο το δυνατόν ταχύτερη αποκατάσταση της ομαλής λειτουργίας των πληροφοριακών της συστημάτων, προκειμένου να μπορεί να ανταποκριθεί με επάρκεια στις υποχρεώσεις της για την υλοποίηση των συγχρηματοδοτούμενων έργων και ιδίως για τις πληρωμές του προγράμματος «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης», το αργότερο έως 31 Μαρτίου 2025.
Σε συνέχεια της από 12 Μαρτίου 2025 ανακοίνωσης που εξέδωσε η ΕΕΤΑΑ κατ’ εφαρμογή του άρθρου 34 του Γενικού Κανονισμού για την Προστασία Δεδομένων (Κανονισμός 2016/679), σχετικά με την κυβερνοεπίθεση (ransomware attack) που δέχθηκε στο διάστημα από 1ης έως και 5ης Μαρτίου 2025 και στο πλαίσιο της πολιτικής πλήρους διαφάνειας και υπεύθυνης ενημέρωσης της Εταιρείας σχετικά με την πορεία διερεύνησης και τις συνέπειες του ως άνω περιστατικού, δια της παρούσας θα θέλαμε να σας ενημερώσουμε συμπληρωματικά για τα εξής:
Όπως είχε ήδη αναφερθεί και στην αρχική ανακοίνωση, αμέσως μετά τη διαπίστωση της κυβερνοεπίθεσης, η ΕΕΤΑΑ προχώρησε άμεσα στην υποβολή σχετικής αναφοράς στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) καθώς μήνυσης κατ’ αγνώστων. Κατόπιν τούτων, κλιμάκιο ελέγχου της ΕΑΚ διενήργησε ενδελεχή έλεγχο των συστημάτων και ιχνηλάτηση της παραβίασης, με το πόρισμα να αναμένεται εντός του τρέχοντος μηνός. Επίσης, σε συνέχεια της μηνυτήριας αναφοράς, κλιμάκιο της Αρχής Δίωξης Ηλεκτρονικού Εγκλήματος επισκέφτηκε την ΕΕΤΑΑ, πραγματοποίησε έλεγχο και πήρε καταθέσεις από τα αρμόδια στελέχη της Εταιρείας. Τέλος, σύμφωνα με ενημέρωση των ανωτέρω Αρχών, από ελέγχους που διενεργούνται σε τακτική βάση σε σχετικές περιοχές του σκοτεινού ιστού (dark web), δεν έχει εντοπιστεί κάποια ανάρτηση που να σχετίζεται με την κυβερνοεπίθεση στην ΕΕΤΑΑ.
Παρά το γεγονός ότι η πιθανότητα διαρροής και αξιοποίησης των εν λόγω δεδομένων για μη σύννομους σκοπούς είναι περιορισμένη, θεωρούμε χρέος μας να ενημερώσουμε τους συνεργάτες και προμηθευτές μας (ελεύθερους επαγγελματίες ή ατομικές επιχειρήσεις), οι οποίοι συνήψαν συμβάσεις με την ΕΕΤΑΑ κατά την τελευταία δεκαετία, ότι προσωπικά τους δεδομένα όπως ιδίως ονοματεπώνυμο, ΑΦΜ, στοιχεία διεύθυνσης και επικοινωνίας καθώς και στοιχεία τραπεζικού λογαριασμού (BIC, IBAN), περιλαμβάνονται στα δεδομένα που κρυπτογραφήθηκαν και ενδέχεται να έχουν υποκλαπεί στο πλαίσιο της κυβερνοεπίθεσης.
Προς τούτο, κρίνουμε σκόπιμο να ευαισθητοποιήσουμε τους ανωτέρω συνεργάτες μας αλλά και όλους όσοι λαμβάνουν γνώση του παρόντος, σχετικά με τους κινδύνους που συνδέονται με την παράνομη χρήση των προσωπικών τους δεδομένων καθώς και την αναγκαιότητα λήψης κατάλληλων μέτρων προστασίας έναντι του ηλεκτρονικού εγκλήματος.
Ενδεχόμενες συνέπειες της κακόβουλης χρήσης των προσωπικών δεδομένων περιλαμβάνουν ιδίως:
Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία.
Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
Απόπειρες απάτης, μέσω email ή τηλεφώνου.
Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).
Προς τούτο, σας συνιστούμε να ακολουθείτε τις εξής καλές πρακτικές:
Αλλάξτε (και αλλάζετε τακτικά) τους κωδικούς πρόσβασης στους λογαριασμούς σας, αποφεύγοντας τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες.
Χρησιμοποιείτε ισχυρούς κωδικούς, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων.
Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες.
Μην ανοίγετε συνδέσμους σε άγνωστους ιστότοπους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.
Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας.
Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο.
Ρυθμίστε τις υπηρεσίες που χρησιμοποιείτε ώστε να λαμβάνετε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας και ενημερώστε άμεσα τον οικείο πάροχο εφόσον διαπιστώσετε τέτοιο περιστατικό.
Είναι γεγονός ότι οι κυβερνοεπιθέσεις αλλά και οι εν γένει απειλές που συνδέονται με το ψηφιακό έγκλημα, αποτελούν μία δυσάρεστη αλλά αναπόδραστη πραγματικότητα, άρρηκτα συνδεδεμένη με τον σύγχρονο τρόπο ζωής. Η ΕΕΤΑΑ κατανοεί πλήρως τις ανησυχίες όλων και ειδικότερα όσων ενδέχεται να έχουν επηρεαστεί από το πρόσφατο περιστατικό ασφαλείας και τους διαβεβαιώνει ότι αυτό αντιμετωπίζεται από την Εταιρεία με τη δέουσα σοβαρότητα και αποφασιστικότητα. Σε αυτό το πλαίσιο και προκειμένου να διασφαλιστεί στον μέγιστο δυνατό βαθμό, αφενός η άμβλυνση των συνεπειών του παρόντος και αφετέρου η αποφυγή της επανάληψης αντίστοιχων περιστατικών στο μέλλον, η ΕΕΤΑΑ προχωρά άμεσα στην υλοποίηση ενός ολοκληρωμένου σχεδίου δραστικής ενίσχυσης της ασφάλειας των συστημάτων της και στην καθολική εφαρμογή αυστηρότερων πρωτοκόλλων ασφαλείας σε όλους τους τομείς της λειτουργίας της.
