Κτηματολόγιο: Oι απανωτές κυβερνοεπιθέσεις κατέδειξαν τα σοβαρά κενά ασφαλείας στη βάση δεδομένων του συνόλου της ακίνητης περιουσίας

Με σημαντικά κενά ασφαλείας αποδεικνύεται ότι λειτουργούν τα ψηφιακά συστήματα ακόμα και κρίσιμων υποδομών της χώρας, όπως το Κτηματολόγιο, στη βάση δεδομένων του οποίου διατηρούνται όλα τα στοιχεία για το σύνολο της ακίνητης περιουσίας στην Ελλάδα και τα δεδομένα των ιδιοκτητών της.

Αποτέλεσμα ήταν τα συστήματα του Κτηματολογίου να αλωθούν από κυβερνοεπιθέσεις που διήρκησαν ημέρες με συνέπεια κανείς να μην μπορεί να αποφανθεί με βεβαιότητα για το μέγεθος των προβλημάτων από την επίθεση και για το εάν τελικώς εκλάπησαν σημαντικά δεδομένα και πού μπορεί να έχουν διοχετευθεί.

Να σημειωθεί ότι το «Ελληνικό Κτηματολόγιο» είναι φορέας εποπτευόμενος από το υπουργείο Ψηφιακής Διακυβέρνησης, το καθ΄ύλην αρμόδιο υπουργείο για ζητήματα ψηφιακής θωράκισης κρίσιμων υπηρεσιών. Αυτή μάλιστα δεν είναι η πρώτη φορά που φορέας που υπάγεται στην αρμοδιότητά του, πέφτει στα νύχια χάκερς, καθώς είχε προηγηθεί η ιδιαίτερα εκτεταμένη παραβίαση στα ΕΛΤΑ, εξαιτίας της οποίας είχαν κλαπεί και αναρτηθεί στο σκοτεινό διαδίκτυο προσωπικά δεδομένα 4 – 5 εκατομμυρίων προσώπων, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες και εγγυητές. Για το λόγο αυτό μάλιστα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είχε επιβάλει στα Ελληνικά ταχυδρομεία πρόστιμο – μαμούθ ύψους 2,9 εκατομμυρίων ευρώ.

Τα δύο αυτά περιστατικά καταδεικνύουν ότι βάσεις σημαντικών δεδομένων λειτουργούν με σοβαρές «τρύπες ασφαλείας» ακόμα και σήμερα, με την πρόσφατη επίθεση στο Κτηματολόγιο μάλιστα από την οποία κινδυνεύουν προσωπικά δεδομένα χιλιάδων πολιτών, να εξελίσσεται ταυτόχρονα με την επίσκεψη του Πρωθυπουργού, Κυριάκου Μητσοτάκη στο εν λόγω υπουργείο και να βγαίνει στο φως ελάχιστα 24ωρα μετά.

Αυτού του είδους οι κίνδυνοι φαίνεται ωστόσο πως δεν ήταν άγνωστοι στην ηγεσία του υπουργείου, η οποία λίγες ημέρες πριν είχε βγάλει μέσω της Κοινωνίας της Πληροφορίας στον αέρα διαγωνισμό για τη θωράκιση κρίσιμων υποδομών από κυβερνοεπιθέσεις.

Μεταξύ των υπηρεσιών, οι οποίες είχε αποφασιστεί να προστατευτούν κατά προτεραιότητα συγκαταλέγονται:

• Η Εθνική Κυβερνητική Πύλη gov.gr για την εξυπηρέτηση πολιτών και επιχειρήσεων.

• Κρίσιμα πληροφοριακά συστήματα στο χώρο της υγείας και της Κοινωνικής Ασφάλισης (Μητρώο ΑΜΚΑ, Ηλεκτρονική Συνταγογράφηση, ΠΣ Προνοιακών επιδομάτων, Σύστημα ασφαλιστικής ιστορίας ΑΤΛΑΣ, ΠΣ ασφαλιστικών εισφορών μη μισθωτών, κα).

• Κρίσιμα Πληροφοριακά Συστήματα στο χώρο της φορολογίας και της Δημοσιονομικής Πολιτικής (Taxis, IcisNet, mydata, ΠΣ Δημοσιονομικής Πολιτικής κα).

• Κρίσιμα Πληροφοριακά Συστήματα στο χώρο της χωροταξίας και της κτηματογράφησης (ΠΣ Κτηματολογίου, Ψηφιακός Χάρτης, κλπ).

Αυτό, το οποίο προκαλεί ιδιατέρως αλγεινή εντύπωση, πάντως, είναι το γεγονός ότι ο φορέας του Κτηματολογίου συνέχιζε να λειτουργεί χωρίς επαυξημένα πρωτόκολλα ασφαλείας, καθώς, όπως αναφέρει το ίδιο το υπουργείο, σε ανακοίνωσή του μετά την επίθεση, τώρα «ζητήθηκε από το σύνολο των υπαλλήλων του Κτηματολογίου να αλλάξουν κωδικούς πρόσβασης και να εφαρμόσουν (όσοι δεν το είχαν κάνει ήδη) πρωτόκολλο 2FA (2 factor authentication)». 

Η επίθεση στο Κτηματολόγιο

Η επίθεση ανακοινώθηκε από το υπουργείο Ψηφιακής Διακυβέρνησης με μία εξαιρετικά λιτή ανακοίνωση το βράδυ της Πέμπτης. Εως και εκείνη την ώρα μάλιστα συνεχίζονταν οι επιθέσεις με την τελευταία προσπάθεια παραβίασης να καταγράφεται στις 5 τα ξημερώματα της Παρασκευής.

Η σοβαρότητα της επίθεσης γίνεται πρόδηλη και από το γεγονός ότι μεταξύ των αρμόδιων κρατικών φορέων που τη διαχειρίζονται συγκαταλέγεται και η Διεύθυνση Κυβερνοασφάλειας του ΓΕΕΘΑ.

Το υπουργείο υποστηρίζει ότι επιχειρήθηκε αλλά απέτυχε η εισβολή κακόβουλου χρήστη στην βάση δεδομένων (Database). Παραδέχεται ωστόσο ότι οι επιθέσεις συνεχίζονται επί ημέρες και για την ακρίβεια από τις ενέργειες αποκοπής πρόσβασης και τους διαγνωστικούς ελέγχους που έχουν διενεργηθεί, κατεγράφησαν πάνω από 400 επιθέσεις στα πληροφοριακά συστήματα του Κτηματολογίου την εβδομάδα που διανύουμε. 

Επιπλέον επιβεβαιώνει ότι παραβιάστηκε ένα από τα αντίγραφα ασφαλείας (backup) της βάσης δεδομένων, αλλά απέτυχε η απόπειρα για εξαγωγή δεδομένων (data exfiltration) προς server του εξωτερικού. Σημειώνεται ότι το Κτηματολόγιο παράγει καθημερινά αντίγραφα της βάσης δεδομένων.

Αυτό δε σημαίνει, πάντως, ότι έως τώρα δεν έχει εντοπιστεί καμία εξαγωγή δεδομένων: «Παραβιάστηκαν τερματικά υπαλλήλων του Φορέα, από τα οποία εξήχθησαν μέχρι στιγμής δεδομένα συνολικού όγκου 1,2 GB από το συνολικό όγκο 200 TB που διαθέτει το Κτηματολόγιο, δηλαδή 0,00059%». Ιδιαίτερα προσεκτική είναι αναφορά που γίνεται στα χαρακτηριστικά αυτών των δεδομένων, με το υπουργείο να αναφέρει ότι «το είδος των αρχείων που υπεκλάπησαν μέχρι στιγμής δεν αφορά προσωπικά στοιχεία πολιτών, αλλά τυπικά διαχειριστικά έγγραφα υπηρεσιών που δεν επηρεάζουν την εύρυθμη λειτουργία του Κτηματολογίου».

Από τους έως τώρα ελέγχους, δεν έχει διαπιστωθεί μέχρι στιγμής λογισμικό ransomware, δηλαδή λογισμικό ψηφιακής ομηρείας βάσει του οποίου θα μπορούσαν στη συνέχεια να ζητηθούν λύτρα, ενώ – σύμφωνα με το υπουργείο - οι ενέργειες που πραγματοποιήθηκαν μειώνουν δραστικά αυτόν τον κίνδυνο.

Εως και το απόγευμα της Παρασκευής, πάντως, είχε διακοπεί κάθε πρόσβαση μέσω VPN ώστε να αποκλειστούν κακόβουλοι χρήστες. Κατά συνέπεια είχε σταματήσει η τηλεεργασία των υπαλλήλων του φορέα, ενώ δεν υπήρχε σύνδεση στο διαδίκτυο, ηλεκτρονικό ταχυδρομείο και ψηφιακές υπογραφές.

Παράλληλα, όπως αναφέρθηκε, ζητήθηκε από τους υπαλλήλους να αλλάξουν κωδικούς πρόσβασης και να εφαρμόσουν (όσοι δεν το είχαν κάνει ήδη) πρωτόκολλο 2FA (2 factor authentication), κινήσεις οι οποίες προφανώς δεν είχαν καταστεί υποχρεωτικές έως τώρα παρά την κρισιμότητα των δεδομένων που διακινούνται.

Σύμφωνα με το υπουργείο, ωστόσο «οι ψηφιακές υπηρεσίες λειτούργησαν και λειτουργούν αδιάκοπα ώστε να μην επηρεαστούν οι συναλλαγές».

Γεγονός είναι, πάντως, ότι έως τώρα δεν υπάρχει καμία βεβαιότητα ούτε για το πώς ξεκίνησε η επίθεση ούτε για το μέγεθός της ή τα ακριβή δεδομένα που αυτή τη στιγμή μπορεί να διακινούνται σε «σκοτεινούς ψηφιακούς διαδρόμους», καθώς όλα αυτά τελούν υπό διερεύνηση, η οποία πιθανότατα θα απαιτήσει μεγάλο χρονικό διάστημα.

Εικάζεται ότι οι χάκερς ενδέχεται να υπέκλεψαν κωδικούς υπαλλήλων των κεντρικών γραφείων του Ελληνικού Κτηματολογίου, αποκτώντας πρόσβαση στους υπολογιστές τους. Ωστόσο πηγές μεταξύ των εργαζομένων δεν αποκλείουν η πρόσβαση να επετράπη και μέσω εργαζομένων εταιριών, οι οποίες δουλεύουν πάνω σε εφαρμογές του φορέα και επίσης διαθέτουν πρόσβαση στα συστήματα.

ΣΥΡΙΖΑ: «Σουρωτήρι» το Κτηματολόγιο με ευθύνη Κυρανάκη και των γαλάζιων παιδιών του

Για «χρονικό ενός προαναγγελθέντος φιάσκου» κάνει λόγο σε ανακοίνωσή του ο τομεάρχης Ψηφιακής Πολιτικής του ΣΥΡΙΖΑ, Γιώργος Καραμέρος προσθέτοντας πως το Κτηματολόγιο έχει γίνει «σουρωτήρι με ευθύνη Κυρανάκη και των γαλάζιων παιδιών του που παίρνουν κάτω από τη βάση στη κυβερνοασφάλεια».

Ο κ. Καραμέρος επισημαίνει πως ο σχετικός διαγωνισμός ύψους 47,3 εκ. ευρώ για την ενίσχυση της ασφάλειας τεσσάρων Οργανισμών προκηρύχθηκε με καθυστέρηση πέντε ετών, γεγονός που σημαίνει ότι τα δεδομένα των πολιτών θα παραμείνουν απροστάτευτα για αρκετούς μήνες ακόμα μέχρι να συμβασιοποιηθεί και να ολοκληρωθεί το έργο.

«Πρόκειται για το χρονικό ενός προαναγγελθέντος φιάσκου. Οι ευθύνες της πολιτικής ηγεσίας του Υπουργείου Ψηφιακής Διακυβέρνησης είναι τεράστιες καθώς αντί να θωρακίσει τα συστήματα ασφαλείας, 5 χρόνια ξόδευε χρήματα για την επικοινωνία και διόριζε σε κρίσιμες θέσεις όπως αυτή του προέδρου γαλάζια παιδιά με μόνο προσόν τα παράσημα στο αντι-ΣΥΡΙΖΑ μέτωπο.  Οι πολίτες σήμερα πληρώνουν τις «γαλάζιες» επιλογές, όπως του νυν προέδρου του Κτηματολογίου και πρώην διευθυντή του γραφείου του Υφυπουργού κ. Κυρανάκη, και εκδότη της εφημερίδας «Νεοδημοκράτης» κ. Σακαρέτσιου. Αν είχαν ξοδέψει για την κυβερνοασφάλεια έστω το 10% από όσα σπατάλησαν για διαφημίσεις στα φιλικά τους μέσα ενημέρωσης σήμερα δεν θα είχαμε ένα κτηματολόγιο σουρωτήρι για τους χάκερ.

Δυστυχώς, όταν η διοίκηση κρίσιμων φορέων με εκατομμύρια προσωπικά δεδομένα πολιτών βρίσκονται σε “κομματικους φίλους” ερχόμαστε αντιμέτωποι με κινδύνους που θα αργήσουν να εκτιμηθούν στην πραγματική τους διάσταση», καταλήγει ο τομεάρχης του ΣΥΡΙΖΑ.