ΙΩΑΝΝΑ ΗΛΙΑΔΗ

Κινδύνους που ξεκινούν από ηλεκτρονικές απάτες και υποκλοπή ταυτότητας και φτάνουν έως τη διαρροή στοιχείων υγείας, τραπεζικών λογαριασμών και προσωπικής αλληλογραφίας αντιμετωπίζουν χιλιάδες φοιτητές και απόφοιτοι του Ελληνικού Ανοικτού Πανεπιστημίου, μετά την κυβερνοεπίθεση που σημειώθηκε στις 25 Οκτωβρίου 2024.

Παρότι το περιστατικό είχε γίνει γνωστό από τις πρώτες ημέρες, το ΕΑΠ δεν είχε προχωρήσει σε ουσιαστική ενημέρωση των φοιτητών, παρά τις εκκλήσεις τους – όπως αυτές που εκφράστηκαν με επίσημες επιστολές φοιτητικών ομάδων και μεμονωμένων υποκειμένων των δεδομένων, που ζητούσαν διαφάνεια, ενημέρωση και σαφείς οδηγίες προστασίας.

Πέντε μήνες μετά, και ενώ ήδη έχουν διαρρεύσει 813 GB προσωπικών δεδομένων στο σκοτεινό διαδίκτυο (dark web), το Ίδρυμα έρχεται – με καθυστέρηση και χωρίς απολογητικό τόνο – να παραδεχτεί το μέγεθος και τη σοβαρότητα της διαρροής.

Στοιχεία-σοκ σε αρχεία που κυκλοφορούν στο dark web

Η επίθεση έγινε με κακόβουλο λογισμικό τύπου ransomware και προκάλεσε όχι μόνο τη δυσλειτουργία του συστήματος αλλά και την κρυπτογράφηση μεγάλου μέρους της υποδομής. Παρά τους αρχικούς καθησυχασμούς, η ίδια η ανακοίνωση του ΕΑΠ επιβεβαιώνει ότι τα αρχεία που εκλάπησαν περιείχαν ένα ευρύ φάσμα προσωπικών δεδομένων, μεταξύ των οποίων:

• ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές, φωτογραφίες
• Προσωπικά στοιχεία επικοινωνίας (διευθύνσεις, τηλέφωνα, email)
• Τραπεζικοί λογαριασμοί και στοιχεία πληρωμών
• Ιατρικά δεδομένα
• Βαθμολογίες, τίτλοι σπουδών, εκπαιδευτικά έγγραφα
• Συμβάσεις, αποφάσεις συλλογικών οργάνων και αλληλογραφία

Όλα τα παραπάνω, σύμφωνα με το ίδιο το Ίδρυμα, έχουν εντοπιστεί στο dark web, με τουλάχιστον 65 GB να έχουν ήδη ανακτηθεί από τρίτους. Κανείς δεν μπορεί να γνωρίζει ποιοι τα έχουν στην κατοχή τους και με τι σκοπούς.

Το ΕΑΠ καθυστέρησε, παρά τις εκκλήσεις

Φοιτητές και απόφοιτοι είχαν εκφράσει, ήδη από τον Νοέμβριο του 2024, την ανησυχία τους για την έκταση της επίθεσης και την αδικαιολόγητη καθυστέρηση στην ενημέρωση. Σε επιστολές τους προς τη διοίκηση ζητούσαν ξεκάθαρες απαντήσεις: ποια δεδομένα είχαν διαρρεύσει, ποιοι είχαν πρόσβαση, και κυρίως, τι ενέργειες έπρεπε να κάνουν για να προστατευθούν.

Πιο συγκεκριμένα, εκατοντάδες φοιτητές από το Δίκτυο Memoria είχαν ζητήσει με την επιστολή τους:

• Ενημέρωση για τα Μέτρα Ασφαλείας Προσωπικών Δεδομένων: Τι ενέργειες γίνονται για την προστασία των προσωπικών τους δεδομένων. Παράλληλα ζητούσαν πληροφορίες για το ποια στοιχεία έχουν επηρεαστεί, ποια είναι τα επόμενα βήματα, και ποια επιπλέον μέτρα λαμβάνονται για την προστασία από μελλοντικές επιθέσεις.
• Τακτική και Διαφανή Ενημέρωση: Η έλλειψη διαφάνειας και συνεχούς ενημέρωσης προκαλεί μεγάλη αναστάτωση και αβεβαιότητα, τόνιζαν οι φοιτητές και ζητούσαν τακτική και πλήρη επικοινωνία από τη διοίκηση του ΕΑΠ για την πορεία αποκατάστασης των συστημάτων και τις ενέργειες που λαμβάνονται.

Το ΕΑΠ, ωστόσο, περιοριζόταν για μήνες σε γενικόλογες διαβεβαιώσεις περί «ελέγχων ασφαλείας» και «αποκατάστασης των συστημάτων», χωρίς ποτέ να ενημερώσει επισήμως τα υποκείμενα των δεδομένων για την πιθανή έκθεσή τους. Ακόμη και τώρα, η ανακοίνωση κινείται σε θολό πλαίσιο, μιλώντας για «θεωρητικά» εκτεθειμένα δεδομένα και «περιορισμένο» αριθμό θυμάτων, χωρίς καμία δέσμευση ή εγγύηση.

Ευθύνες χωρίς υπεύθυνους

Παρότι το Ίδρυμα ισχυρίζεται ότι κινητοποιήθηκε άμεσα, ενημέρωσε τις αρμόδιες Αρχές και προχώρησε σε μέτρα ενίσχυσης της ασφάλειας, δεν γίνεται καμία αναφορά σε ευθύνες για την ελλιπή προστασία των δεδομένων ή για την καθυστερημένη αντίδραση. Ούτε υπάρχει κάποια πρόβλεψη για αποζημίωση ή στήριξη των θιγόμενων φοιτητών και εργαζομένων που μπορεί να αντιμετωπίσουν συνέπειες από την έκθεση των στοιχείων τους.

Ο κίνδυνος είναι εδώ – Τι προτείνει τώρα το ΕΑΠ στους φοιτητές

Μετά από πέντε μήνες, το ΕΑΠ καλεί όσους ενδέχεται να επηρεάζονται να αλλάξουν τους κωδικούς τους, να προσέχουν για απόπειρες phishing, να μην ανοίγουν ύποπτα email και να παρακολουθούν τους τραπεζικούς τους λογαριασμούς. Όλα αυτά, την ώρα που η ταυτότητά τους μπορεί να έχει ήδη υποκλαπεί ή τα δεδομένα τους να έχουν πωληθεί σε εγκληματικά δίκτυα.

Η σκιά της συγκάλυψης

Το περιστατικό του ΕΑΠ αποτελεί ένα ακόμα επεισόδιο σε μια διαρκώς διογκούμενη κρίση κυβερνοασφάλειας στο Δημόσιο. Μόνο που αυτή τη φορά, τα θύματα είναι άνθρωποι που εμπιστεύθηκαν σε ένα δημόσιο πανεπιστήμιο τα πιο ευαίσθητα στοιχεία τους – και έλαβαν ως αντάλλαγμα καθυστέρηση, αδιαφάνεια και αποποίηση ευθυνών.

Η διοίκηση του ΕΑΠ καλείται να λογοδοτήσει – όχι μόνο στις Αρχές αλλά και στους ίδιους τους φοιτητές της.

Αναλυτικά η επίσημη ανακοίνωση του ΕΑΠ

Αξιότιμοι/ες κύριοι/ες,

Στο πλαίσιο της υπεύθυνης και διαφανούς ενημέρωσής σας, αναφορικά με την κακόβουλη επίθεση που είχε δεχτεί το Ίδρυμα, από ομάδα κυβερνοεγκληματιών, στις 25/10/2024, θα θέλαμε, αρχικώς, να σας ενημερώσουμε ότι η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη αλλά με βάση τα έως τώρα ευρήματα είμαστε σε θέση να παρέχουμε νέα ενημέρωση πάνω σε αυτό το θέμα.

Το περιστατικό Στις 25/10/2024 εντοπίσαμε ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση. Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων.

Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου. Η έκταση της διαρροής Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων. Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας.

Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή είναι περιορισμένης κλίμακας. Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή.

Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις. Επιπρόσθετα, σύμφωνα με τις έως τώρα αναλύσεις, το συγκεκριμένο αρχείο που διέρρευσε δεν είναι εφικτό, στην παρούσα φάση, να ληφθεί ολόκληρο.

Αυτό που μπορεί να καταστεί διαθέσιμο για λήψη, είναι αρκετά μικρότερο από το αρχικό σύνολο των δεδομένων που υποκλάπηκαν (περίπου 65 GB έχουν ανακτηθεί). Κατηγορίες προσωπικών δεδομένων που ενδεχομένως να διέρρευσαν Το Ίδρυμα προβαίνει σε ενημέρωση σχετικά με τις πιθανές κατηγορίες δεδομένων που ενδέχεται να έχουν επηρεαστεί.

Η αναφορά μας περιλαμβάνει δεδομένα/κατηγορίες δεδομένων που θα μπορούσαν θεωρητικά να έχουν εκτεθεί. Ονοματεπώνυμο, Πατρώνυμο / Μητρώνυμο, Ιδιότητα, Στοιχεία Συγγενών, Υπηκοότητα, Φύλο, Ημερομηνία Γέννησης, ΑΦΜ, ΑΜΚΑ, ΑΜ, ΑΔΤ, Υπογραφή (φυσική), Φωτογραφίες, όνομα χρήστη Δεδομένα Επικοινωνίας (Ταχυδρομική Διεύθυνση, Αριθμός τηλεφώνου (σταθερό & κινητό), Διεύθυνση ηλεκτρονικού ταχυδρομείου (προσωπική & ιδρύματος), ηλεκτρονική αλληλογραφία) Ακαδημαϊκά και Εκπαιδευτικά Δεδομένα & Τίτλοι Σπουδών (Βαθμολογίες και επιδόσεις, Τίτλοι σπουδών, Βεβαιώσεις σπουδών) Δεδομένα Υγείας Οικονομικά Δεδομένα (IBAN, στοιχεία τιμολόγησης, στοιχεία πληρωμής δαπάνης) Δεδομένα Επαγγελματικής & Ερευνητικής Δραστηριότητας (Βιογραφικό σημείωμα, ερευνητικό / επαγγελματικό / διδακτικό / συγγραφικό έργο) Δεδομένα Αποφάσεων Συλλογικών Οργάνων, αποφάσεις επιτροπών Δεδομένα Συμβάσεων, Αναδόχων & Προσφορών

Ωστόσο, βάσει των μέχρι τώρα διαθέσιμων ενδείξεων και της συνεχιζόμενης έρευνας, η πραγματική διαρροή φαίνεται να περιορίζεται σε σαφώς μικρότερο εύρος δεδομένων.

Το Ε.Α.Π. εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Πιο συγκεκριμένα: Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής.

Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα. Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού. Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται). Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων.

Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις. Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό. Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση.

Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας. Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν.

Μία διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως: Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing). Απόπειρες απάτης, μέσω email ή τηλεφώνου. Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες. Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων.

Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering). Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική). Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam). Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς. Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες.

Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται. Παρ’ όλα αυτά, συνιστούμε σε όλους τους ενδιαφερόμενους να λαμβάνουν τα κατάλληλα μέτρα προστασίας, διασφαλίζοντας τα δικαιώματά τους ως υποκείμενα δεδομένων. Με αυτόν τον τρόπο, όχι μόνο συμμορφώνονται με τις απαιτήσεις προστασίας αλλά και ενισχύουν, ενεργά, την ιδιωτικότητά τους. Μέτρα προστασίας για τα υποκείμενα των δεδομένων

Για την προστασία σας, σας συνιστούμε να ακολουθήσετε τις εξής οδηγίες: Αλλάξτε, άμεσα, τους κωδικούς πρόσβασης στους λογαριασμούς σας (ηλεκτρονικού ταχυδρομείου και υπηρεσιών μητρώου). Συνιστάται η χρήση ενός μοναδικού και ισχυρού κωδικού, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων. Επιπλέον, προτείνεται η τακτική αλλαγή του κωδικού, ιδανικά κάθε έξι μήνες. Αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες. Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες. Μην ανοίγετε συνδέσμους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.

Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας. Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο. Περιορίστε τη δημοσίευση προσωπικών πληροφοριών σε δημόσιες πλατφόρμες και κοινωνικά δίκτυα. Ρυθμίστε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας. Ενημερώστε, άμεσα, τον πάροχο υπηρεσιών σας εάν παρατηρήσετε ύποπτη δραστηριότητα σε προσωπικούς ή επαγγελματικούς σας λογαριασμούς.

Σε περίπτωση που αρχίσετε να λαμβάνετε ανεπιθύμητες, εμπορικές κλήσεις, εξετάστε την πιθανότητα εγγραφής σας, μέσω των σχετικών, νόμιμων διαδικασιών στο μητρώο της παρ. 2, άρθρου 11, Ν. 3471/2006. Σε περίπτωση που λαμβάνετε ενοχλητικά, διαφημιστικά email, μηνύματα ή μηνύματα τα οποία δε σχετίζονται με την εκπαιδευτική διαδικασία στις ηλεκτρονικές διευθύνσεις που σας έχουν δοθεί από το Ε.Α.Π., παρακαλούμε να τα γνωστοποιείτε στο Γραφείο Δικτυακών και Πληροφοριακών Υπηρεσιών, προωθώντας τα εν λόγω μηνύματα στην email διεύθυνση Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε., έτσι ώστε να λαμβάνονται όλα τα απαραίτητα μέτρα.

Η ανάκτηση, η ταξινόμηση και η ανάλυση των σχετικών αρχείων αποτελούν διαδικασίες που απαιτούν εξειδικευμένες γνώσεις και τεχνικά προηγμένες μεθόδους. Λόγω της τεχνικής φύσης και την πολυπλοκότητας αυτών των διαδικασιών και της ανάγκης συμμόρφωσης με το νομικό πλαίσιο περί προστασίας προσωπικών δεδομένων, η πλήρης διερεύνηση μπορεί να είναι ιδιαίτερα χρονοβόρα.

Θα θέλαμε να τονίσουμε ότι το Ε.Α.Π. συνεργάζεται, πλήρως, με τις αρμόδιες, εποπτικές αρχές, παρέχοντας κάθε απαιτούμενη πληροφόρηση και διευκόλυνση, στο πλαίσιο της διερεύνησης του περιστατικού, σε πλήρη συμμόρφωση με το ισχύον, νομικό και κανονιστικό πλαίσιο. Δεδομένου ότι το ψηφιακό περιβάλλον είναι δυναμικό και συνεχώς εξελισσόμενο, με νέες προκλήσεις και τεχνολογικές μεταβολές που επηρεάζουν, άμεσα, τις απαιτήσεις κυβερνοασφάλειας, το Ε.Α.Π. δεσμεύεται να διατηρεί ένα διαρκώς, επικαιροποιημένο και προσαρμοσμένο στις συνθήκες πλαίσιο προστασίας, με στόχο τη μέγιστη, δυνατή διασφάλιση της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας των δεδομένων των χρηστών μας.

Με εκτίμηση, Σεραφείμ Καραϊσκάκης Υπεύθυνος Προστασίας Δεδομένων (DPO)

Πηγή: documentonews.gr

Λόγω του διεθνοποιημένου χαρακτήρα του κυβερνοεγκλήματος η δραστική αντιμετώπισή του προϋποθέτει την ύπαρξη ενός ειδικού πλαισίου και κοινής αντεγκληματικής πολιτικής, όπως μεταξύ άλλων αναφέρει μιλώντας στο ΑΠΕ-ΜΠΕ ο επικεφαλής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ), Βασίλης Παπακώστας. Ο ίδιος κρίνει επίσης σημαντική τη θέσπιση ενιαίας ευρωπαϊκής εισαγγελικής Αρχής κυβερνοεγκλήματος και τον ορισμό εξειδικευμένων εισαγγελέων Ηλεκτρονικού Εγκλήματος στο εσωτερικό κάθε χώρας, προς όφελος της αμεσότερης και ταχύτερης διερεύνησης και απονομής της Δικαιοσύνης. Ως επίσης και τη θέσπιση νομοθετικών διατάξεων για κυβερνοεγκλήματα, «επικεντρωμένες στον τρόπο δράσης των εγκληματιών και όχι στις μορφές και τις διαρκώς εξελισσόμενες και νεοεμφανιζόμενες τεχνολογίες».

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος του Αρχηγείου της Ελληνικής Αστυνομίας, μέσω του Τμήματος Διαδικτυακής Προστασίας Ανηλίκων και Ψηφιακής Διερεύνησης, συμμετέχει σε διεθνείς εκπαιδεύσεις για τεχνολογίες αιχμής, κλειστά forum αποκλειστικά για αρχές επιβολής νόμου και διεθνείς επιχειρήσεις αναφορικά με σεξουαλική εκμετάλλευση και πορνογραφία ανηλίκων μέσω διαδικτύου. Παράλληλα, διαθέτει ψηφιακά εργαλεία άμεσου εντοπισμού αντίστοιχου υλικού και συνεργάζεται με εισαγγελικές και διωκτικές Αρχές σε όλο τον κόσμο, ανταλλάσσει πληροφορίες μέσω διεθνών καναλιών αναφορικά με το κυβερνοέγκλημα, ενώ ενημερώνεται άμεσα για οποιαδήποτε νέα τάση και πρόκληση.

Στη Γαλλία, η οποία με περίπου 11.000 ηλεκτρονικές διευθύνσεις παιδοπορνογραφικού χαρακτήρα έρχεται τρίτη παγκοσμίως, η αστυνομία ανησυχεί για την αύξηση το τελευταίο διάστημα της επί παραγγελία παιδικής πορνογραφίας ή ακόμη χειρότερα των επί παραγγελία βιασμών ανηλίκων. Έχουν εντοπιστεί ηλεκτρονικές σελίδες οι οποίες αναμεταδίδουν απ' ευθείας βιασμούς ανηλίκων κοριτσιών και αγοριών. Σημαντικό ρόλο στην πάταξη της «ηλεκτρονικής παιδεραστίας» διαδραματίζει η ιστοσελίδα Pharos του υπουργείου Εσωτερικών, μέσω της οποίας οι πολίτες μπορούν να ενημερώνουν τις αρμόδιες δικαστικές και αστυνομικές αρχές όταν εντοπίζουν στο διαδίκτυο ύποπτο ή παράνομο περιεχόμενο. Μια από τις μεθόδους που χρησιμοποιούν οι αστυνομικές αρχές για την πάταξη της ηλεκτρονικής παιδεραστίας ή παιδοφιλίας (pédophilie είναι ο όρος που χρησιμοποιούν οι Γάλλοι), είναι η δημιουργία ψεύτικων προφίλ ανηλίκων κοριτσιών στο Facebook, μέσω των οποίων συχνά παγιδεύουν τους εγκληματίες. Τα τελευταία χρόνια ωστόσο έχει εκτιναχτεί και ο αριθμός των ιδιωτών-"κυνηγοί κεφαλών" που καταφεύγουν σε αυτού του είδους τις παγιδεύσεις.

Στη Βρετανία το Ίδρυμα Παρακολούθησης Διαδικτύου (IWF) διαδραματίζει πρωταγωνιστικό ρόλο στον έλεγχο και στην εξάλειψη της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο. Είναι χαρακτηριστικό πως από την ίδρυσή του το 1996 μέχρι και σήμερα, οι συνεργάτες του έχουν εξετάσει μια προς μια σχεδόν 2 εκατ. αναφορές. Από αυτές οι μισές τουλάχιστον ήταν εικόνες σεξουαλικής κακοποίησης παιδιών. Όπως όμως σημειώνει το Ινστιτούτο στην ετήσια έκθεση, το «2021 διερεύνησε περισσότερες αναφορές ύποπτης σεξουαλικής κακοποίησης παιδιών από ό,τι τα πρώτα 15χρόνια της ύπαρξής του». Από την άλλη, η Εθνική Υπηρεσία για την καταπολέμηση του Εγκλήματος (NCA) σε έκθεσή της υπογραμμίζει συμπερασματικά ότι «παρά τις σημαντικές επιχειρησιακές και πολιτικές πρωτοβουλίες, η απειλή της σεξουαλικής κακοποίησης παιδιών συνεχίζει να αυξάνεται, γεγονός που οφείλεται και στην αυξανόμενη διαδικτυακή δραστηριότητα». Εδώ και καιρό στη Βρετανία έχει ξεκινήσει μια έντονη συζήτηση για την αλλαγή του νομοθετικού πλαισίου. Έτσι, ήδη, συζητείται στο Βρετανικό κοινοβούλιο ένα νέο νομοσχέδιο που αφορά την ασφάλεια του διαδικτύου. Αν τελικά γίνει νόμος του κράτους εκτός των άλλων θα απαιτηθεί από τις εταιρείες τεχνολογίας να προστατεύουν τους χρήστες τους από παράνομο περιεχόμενο όπως είναι οι φωτογραφίες κακοποίησης ανηλίκων.

Ελλάδα: Τι λέει στο ΑΠΕ-ΜΠΕ ο διευθυντής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ), Βασίλης Παπακώστας

Η εφιαλτική υπόθεση βιασμού και εκπόρνευσης της 12χρονης, στα Σεπόλια, με περισσότερους από 200 παιδεραστές παράλληλα να εκδηλώνουν ενδιαφέρον μέσω διαδικτύου, σύμφωνα με την ΕΛΑΣ, για να συνευρεθούν με το κορίτσι, σε συνδυασμό με τα αλλεπάλληλα περιστατικά σεξουαλικής κακοποίησης παιδιών, δείχνουν τις ανησυχητικές διαστάσεις που έχουν λάβει η παιδεραστία, αλλά και το σεξ τράφικινγκ ανηλίκων.

«Οι δράστες εκμεταλλεύονται τα τρωτά σημεία για να έρθουν σε επαφή και να κερδίσουν την εμπιστοσύνη των ανηλίκων στο διαδίκτυο, προτού προχωρήσουν στην κακοποίηση», τονίζει στο Αθηναϊκό - Μακεδονικό Πρακτορείο Ειδήσεων ο διευθυντής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ), Βασίλης Παπακώστας.

«Με πλαστές ταυτότητες συχνά αποκτούν υλικό που δημιουργείται από τους ίδιους, μέσω χειραγώγησης ή εκβιασμού», σημειώνει και προσθέτει: «Τα δίκτυα κοινής χρήσης αρχείων peer-to-peer (P2P) παραμένουν ένα σημαντικό κανάλι για την κοινή χρήση υλικού στο οποίο εικονίζονται ανήλικοι από χρήστη σε χρήστη ή μέσα σε μικρές ομάδες. Οι κακόβουλοι χρήστες εκμεταλλεύονται τεχνολογίες κρυπτογράφησης συνομιλιών και αρχείων, όπως και απόκρυψης των ψηφιακών ιχνών τους και των στοιχείων τους».

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος του Αρχηγείου της Ελληνικής Αστυνομίας, μέσω του Τμήματος Διαδικτυακής Προστασίας Ανηλίκων και Ψηφιακής Διερεύνησης, συμμετέχει σε διεθνείς εκπαιδεύσεις για τεχνολογίες αιχμής, κλειστά forum αποκλειστικά για αρχές επιβολής νόμου και διεθνείς επιχειρήσεις αναφορικά με σεξουαλική εκμετάλλευση και πορνογραφία ανηλίκων μέσω διαδικτύου. Παράλληλα, διαθέτει ψηφιακά εργαλεία άμεσου εντοπισμού αντίστοιχου υλικού και συνεργάζεται με εισαγγελικές και διωκτικές Αρχές σε όλο τον κόσμο, ανταλλάσσει πληροφορίες μέσω διεθνών καναλιών αναφορικά με το κυβερνοέγκλημα, ενώ ενημερώνεται άμεσα για οποιαδήποτε νέα τάση και πρόκληση.

Σημαντικό εργαλείο», επισημαίνει ο κ.Παπακώστας, «αποτελεί και η δυνατότητα απενεργοποίησης (takedown) ιστοσελίδων στην Ελλάδα που προβλέπεται περιοριστικά σε πέντε περιπτώσεις και στη φραγή ιστοσελίδων με υλικό πορνογραφίας ανηλίκων, κατόπιν διάταξης του αρμόδιου εισαγγελέα σε συνεργασία με τις εταιρείες παροχής υπηρεσιών διαδικτύου (ISPs), κατ' εφαρμογή των διατάξεων του άρθρου 18 του Ν. 4267/2014 "Καταπολέμηση της σεξουαλικής κακοποίησης και εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας". Για την ολιστική αντιμετώπιση αυτών των περιστατικών η Υπηρεσία μας στελεχώνεται από αξιωματικούς γενικών και ειδικών καθηκόντων με εξειδίκευση στην επιστήμη της πληροφορικής, της νομικής, των οικονομικών αλλά και εξειδικευμένο ψυχολόγο, οι οποίοι είναι διαθέσιμοι καθημερινά, όλο το 24ωρο, για την άμεση υποστήριξη των εμπλεκομένων σε κάθε υπόθεση».

Πάντως, όπως διευκρινίζει ο διευθυντής της ΔΔΗΕ, παρά τις επιτυχημένες ενέργειες Αρχών επιβολής του νόμου για την κατάργηση πλατφορμών που επικεντρώνονται στη σεξουαλική κακοποίηση παιδιών, οι ομάδες που διευκολύνουν την ανταλλαγή υλικού στο Dark Web συνεχίζουν να πολλαπλασιάζονται και αποτελούν επίμονη απειλή. Οι παραβάτες συχνά μοιράζονται παράνομο περιεχόμενο σε αυτές τις ομάδες μέσω απευθείας συνδέσμων με κεντρικούς υπολογιστές εικόνας στο Clearnet και στο Dark Web. Τα φόρουμ είναι καλά δομημένα και οι χρήστες οργανώνονται ιεραρχικά ανάλογα με τους ρόλους τους.

Τι μπορεί, όμως, να γίνει για τη δραστική αντιμετώπιση της παιδεραστίας και του σεξ τράφικινγκ ανηλίκων μέσω διαδικτύου;

 

«Η αντιμετώπιση των κυβερνοεγκλημάτων από τις διωκτικές Αρχές και τα νομικά ζητήματα που σχετίζονται με εγκλήματα του κυβερνοχώρου, προϋποθέτουν την ύπαρξη ειδικού νομικού πλαισίου και κοινής αντεγκληματικής πολιτικής, λόγω του διεθνοποιημένου χαρακτήρα του κυβερνοεγκλήματος», υπογραμμίζει ο κ.Παπακώστας. «Απαραίτητη είναι η θέσπιση νέων αντικειμενικών υποστάσεων εγκλημάτων, που να θέτουν κανόνες και όρια στη συμπεριφορά των παρόχων διαδικτυακών υπηρεσιών και φιλοξενίας ιστοχώρων, αλλά και των χρηστών, λαμβάνοντας σε κάθε περίπτωση υπόψη τις ισχύουσες συνταγματικές Αρχές και παράλληλα διαφυλάσσοντας και προστατεύοντας την ελευθερία του λόγου και τα προσωπικά δεδομένα. Σημαντική κρίνεται η θέσπιση ενιαίας ευρωπαϊκής εισαγγελικής Αρχής κυβερνοεγκλήματος και να οριστούν εξειδικευμένοι εισαγγελείς Ηλεκτρονικού Εγκλήματος στο εσωτερικό κάθε χώρας, προς όφελος της αμεσότερης και ταχύτερης διερεύνησης και απονομής της Δικαιοσύνης. Η εναρμόνιση των νόμων είναι απαραίτητη σε ένα παγκοσμιοποιημένο ψηφιακό περιβάλλον. Τα κράτη καλούνται να ενισχύσουν τις ουσιαστικές και αποδοτικές διόδους επικοινωνίας και αναφοράς του σοβαρού και οργανωμένου διαδικτυακού εγκλήματος».

Επιπλέον, όπως σημειώνει ο επικεφαλής της ΔΔΗΕ, «σημαντική κρίνεται η θέσπιση νομοθετικών διατάξεων για κυβερνοεγκλήματα, επικεντρωμένες στον τρόπο δράσης των εγκληματιών και όχι στις μορφές και τις διαρκώς εξελισσόμενες και νεοεμφανιζόμενες τεχνολογίες, όπως για παράδειγμα κρυπτονομίσματα, αποθήκευση cloud και άλλα. Παράλληλα, σημαντικά είναι είναι και τα στοχευμένα και εξειδικευμένα εκπαιδευτικά προγράμματα κατάρτισης των συμμετεχόντων στις διαδικασίες ποινικής διερεύνησης κυβερνοεγκλημάτων - εισαγγελικές, δικαστικές και αστυνομικές Αρχές - στη διαρκώς μεταβαλλόμενη τεχνολογία που χρησιμοποιούν οι δράστες, καθώς και η τυποποίηση περαιτέρω διαδικασιών συνεργασίας».

Καίριος είναι και ο ρόλος του διεθνούς δικαίου, αλλά και του εσωτερικού κάθε χώρας, σύμφωνα με τον κ.Παπακώστα. «Φυσικά, η εξέλιξη του διαδικτύου και η παγκοσμιοποιημένη μορφή του», αναφέρει, «δεν μπορούν να αφήσουν ανεπηρέαστο το διεθνές αλλά και το εσωτερικό δίκαιο κάθε χώρας. Οι συντάκτες του πρέπει να αντιμετωπίζουν κάθε νέα πρόκληση της τεχνολογίας ισορροπώντας αφενός μεταξύ των κανόνων δικαίου και της οριοθέτησης της συμπεριφοράς των διαδικτυακών χρηστών και αφετέρου με την προστασία των ατομικών ελευθεριών και δικαιωμάτων τους, όπως η ελεύθερη έκφραση και διακίνηση των ιδεών».

Γαλλία: Ο σημαντικός ρόλος της ιστοσελίδας Pharos του υπουργείου Εσωτερικών

Η Γαλλία "φιλοξενεί" περί τις 11.000 ηλεκτρονικές διευθύνσεις παιδοπορνογραφικού χαρακτήρα και από την άποψη αυτή έρχεται τρίτη παγκοσμίως, μετά την Ολλανδία και τις ΗΠΑ που καταλαμβάνουν τις δυο πρώτες θέσεις. Στη γαλλική αστυνομία υπάρχουν υπηρεσίες, όχι πολλές κατά τον γαλλικό Τύπο, που ασχολούνται με την πάταξη της "ηλεκτρονικής παιδεραστίας", ένα έργο κατά κοινή ομολογία κάθε άλλο παρά απλό στο χάος του διαδικτύου. Σημαντικό ρόλο διαδραματίζει η ιστοσελίδα Pharos του υπουργείου Εσωτερικών, μέσω της οποίας ο κάθε πολίτης μπορεί να ενημερώνει τις αρμόδιες δικαστικές και αστυνομικές αρχές όταν εντοπίζει στο διαδίκτυο ιστοσελίδες, βίντεο κ.α με ύποπτο ή παράνομο περιεχόμενο.

Μια από τις μεθόδους που χρησιμοποιούν οι αστυνομικές αρχές για την πάταξη της ηλεκτρονικής παιδεραστίας ή παιδοφιλίας (pédophilie είναι ο όρος που χρησιμοποιούν οι Γάλλοι), είναι η δημιουργία ψεύτικων προφίλ ανηλίκων κοριτσιών στο Facebook, μέσω των οποίων συχνά παγιδεύουν τους εγκληματίες. Τα τελευταία χρόνια ωστόσο έχει εκτιναχτεί ο αριθμός των ιδιωτών που καταφεύγουν σε αυτού του είδους τις παγιδεύσεις, κάτι που ενίοτε όχι μόνο δεν διευκολύνει, αλλά δυσκολεύει το έργο των διωκτικών αρχών. Και αυτό διότι πολλοί από τους ιδιώτες "κυνηγούς κεφαλών" έχει παρατηρηθεί πως ενδιαφέρονται περισσότερο για τη διαπόμπευση των εγκληματιών και λιγότερο για τη συγκέντρωση αποδεικτικών στοιχείων που θα επέτρεπε την παραπομπή τους στη δικαιοσύνη.

Συν τοις άλλοις έχουν υπάρξει περιπτώσεις παγίδευσης μελών εγκληματικών οργανώσεων, οι οποίες στη συνέχεια εκδικούνται με διάφορους τρόπους τους ιδιώτες διώκτες τους και τις οικογένειές τους. Αυτό που ωστόσο ανησυχεί τον τελευταίο καιρό τη γαλλική αστυνομία είναι η αύξηση της επί παραγγελία παιδοπορνογραφίας, ή ακόμη χειρότερα των επί παραγγελία βιασμών ανηλίκων. Συγκεκριμένα, έχουν εντοπιστεί ηλεκτρονικές σελίδες, οι οποίες έναντι 50 ή 70 ευρώ αναμεταδίδουν απ' ευθείας, σε live streaming, βιασμούς ανηλίκων κοριτσιών και αγοριών. Οι βιασμοί πραγματοποιούνται σε χώρες, όπως οι Φιλιππίνες, η Ρουμανία, η Ν. Αφρική κλπ, όπου ο εντοπισμός των θυμάτων είναι σχεδόν αδύνατος.

Βρετανία: Ο νέος νόμος για την ασφάλεια του Διαδικτύου και το Ίδρυμα Παρακολούθησης Διαδικτύου

Στη Βρετανία το Ίδρυμα Παρακολούθησης Διαδικτύου (IWF) διαδραματίζει πρωταγωνιστικό ρόλο στον έλεγχο και στην εξάλειψη της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο. Είναι χαρακτηριστικό πως από την ίδρυσή του το 1996 μέχρι και σήμερα, οι συνεργάτες του έχουν εξετάσει μια προς μια σχεδόν 2 εκατ. αναφορές. Από αυτές οι μισές τουλάχιστον ήταν εικόνες σεξουαλικής κακοποίησης παιδιών. Πέρυσι πάνω από το 99% του παράνομου περιεχομένου που εντοπίστηκε στο διαδίκτυο είχε βάση άλλη χώρα και όχι το Ηνωμένο Βασίλειο. Και αυτό είναι εξαιρετικά σημαντικό αν αναλογιστεί κανείς πως πριν από 26χρόνια το 18% των παγκοσμίως γνωστών εικόνων σεξουαλικής κακοποίησης παιδιών βρίσκονταν σε βρετανικές ιστοσελίδες. Αν και, όπως σημειώνει το Ινστιτούτο στην ετήσια έκθεση, το «2021 διερεύνησε περισσότερες αναφορές ύποπτης σεξουαλικής κακοποίησης παιδιών από ό,τι τα πρώτα 15χρόνια της ύπαρξής του».

Δεν πρόκειται για ένα τυχαίο γεγονός καθώς όπως εκτιμά η Εθνική Υπηρεσία για την καταπολέμηση του Εγκλήματος (NCA) μόνο στη Βρετανία υπάρχουν ακόμη πάνω από 800.000 άνδρες που είναι πιθανόν να διαπράξουν σεξουαλικά εγκλήματα κατά παιδιών. Όπως, δε, τονίζει μεταξύ άλλων στην ετήσια έκθεση της «οι εγκληματίες συνεχίζουν να χρησιμοποιούν την τεχνολογία για να εκμεταλλεύονται παιδιά και μάλιστα σε ευρεία κλίμακα. Η διαδικτυακή εκμετάλλευση έχει αποδειχθεί ότι επιτρέπει την τέλεση αξιόποινων πράξεων στον πραγματικό κόσμο, καθώς τελικά οδηγεί στην σωματική κακοποίηση και τον εκβιασμό παιδιών». Καταλήγοντας μάλιστα υπογραμμίζει συμπερασματικά ότι «παρά τις σημαντικές επιχειρησιακές και πολιτικές πρωτοβουλίες, η απειλή της σεξουαλικής κακοποίησης παιδιών συνεχίζει να αυξάνεται, γεγονός που οφείλεται και στην αυξανόμενη διαδικτυακή δραστηριότητα».

Με αυτά και με τα άλλα εδώ και καιρό έχει ξεκινήσει στον δημόσιο διάλογο της Βρετανίας μια έντονη συζήτηση για την αλλαγή του νομοθετικού πλαισίου. Έτσι ήδη συζητιέται στο Βρετανικό κοινοβούλιο ένα νέο νομοσχέδιο που αφορά την ασφάλεια του διαδικτύου. Αν τελικά γίνει νόμος του κράτους εκτός των άλλων θα απαιτηθεί από τις εταιρείες τεχνολογίας να προστατεύουν τους χρήστες τους από παράνομο περιεχόμενο όπως είναι οι φωτογραφίες κακοποίησης ανηλίκων. Το νομοσχέδιο παρέχει επιπλέον εξουσίες στην αρμόδια ρυθμιστική αρχή για τις τηλεπικοινωνίας Ofcom, η οποία θα προχωρήσει άμεσα στην κατάρτιση ενός πρακτικού οδηγού, ενός κώδικα δεοντολογίας, με τον οποίο θα πρέπει να συμμορφωθούν οι εταιρείες του διαδικτύου και κυρίως όσες διαθέτουν επιχειρήσεις μέσων κοινωνικής δικτύωσης. Μετά την προσαρμογή των εν λόγω εταιρειών στο νέο νόμο η Ofcom θα έχει τη δυνατότητα να καταγράφει την δραστηριότητα τους, οι πολίτες θα μπορούν να καταγγέλλουν τυχόν παραβάσεις σε αυτήν και τελικά η Ofcom θα μπορεί να επιβάλει ακόμη και πρόστιμα. Σύμφωνα με δημοσιογραφικές πληροφορίες τα πρόστιμα αυτά μπορεί να φτάνουν μέχρι και τα 18 εκατ. στερλίνες.

Πηγή: ΑΠΕ/ΜΠΕ

Έρευνα ξεκίνησε την Τρίτη η πορτογαλική δικαιοσύνη σχετικά με την υπόθεση των απόρρητων εγγράφων που είχε στείλει το ΝΑΤΟ στην Πορτογαλία και τα οποία εντοπίστηκαν προς πώληση στο διαδίκτυο, έπειτα από μια κυβερνοεπίθεση που είχε στόχο το γενικό επιτελείο των ενόπλων δυνάμεων της χώρας.

«Επιβεβαιώνουμε την έναρξη έρευνας που θα καθοδηγείται από την εισαγγελία του Κεντρικού Τμήματος Έρευνας και Ποινικής Δράσης (DCIAP)», δήλωσε συγκεκριμένα εκπρόσωπος της εισαγγελίας στο Γαλλικό Πρακτορείο Ειδήσεων.

Η αντίδραση της πορτογαλικής δικαιοσύνης ήρθε μετά τις πληροφορίες που δημοσιεύθηκαν την Πέμπτη από την εφημερίδα Diario de Noticias, σύμφωνα με την οποία, εκατοντάδες απόρρητα έγγραφα που είχε στείλει το ΝΑΤΟ στην Πορτογαλία εντοπίστηκαν προς πώληση στο dark web.

Πάντα σύμφωνα με την Diario de Noticias, το περιστατικό έγινε αντιληπτό από τις αμερικανικές υπηρεσίες Πληροφοριών, οι οποίες ενημέρωσαν σχετικά τις πορτογαλικές αρχές τον Αύγουστο μέσω της αμερικανικής πρεσβείας στη Λισαβόνα.