Κυβερνοεπίθεση στην ΕΕΤΑΑ: Διέρρευσαν ευαίσθητα προσωπικά δεδομένα 2,5 εκατομμυρίων πολιτών – Σοβαρά ερωτήματα για την κυβερνοασφάλεια του Δημοσίου

 

Σε ένα από τα σοβαρότερα περιστατικά παραβίασης προσωπικών δεδομένων στην Ελλάδα, η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ) δέχθηκε κυβερνοεπίθεση με αποτέλεσμα τη διαρροή ευαίσθητων πληροφοριών περίπου 2,5 εκατομμυρίων πολιτών, μεταξύ των οποίων γονείς, παιδιά, βρέφη και άτομα με αναπηρία (ΑΜΕΑ).

Η επίθεση ξεκίνησε τα ξημερώματα του Σαββάτου 1 Μαρτίου, διαπιστώθηκε μόλις τη Δευτέρα 3/3/25 και συνεχίστηκε μέχρι και την Τετάρτη 5/3/25, επηρεάζοντας τα πληροφοριακά συστήματα της ΕΕΤΑΑ, που διαχειρίζονται κρίσιμα κοινωνικά προγράμματα, όπως η ένταξη παιδιών στην εκπαίδευση και οι «Νταντάδες της Γειτονιάς».

Σύμφωνα με την επίσημη ανακοίνωση της ΕΕΤΑΑ, σημειώθηκε παραβίαση της εμπιστευτικότητας και της διαθεσιμότητας των δεδομένων – όχι όμως της ακεραιότητας, όπως ισχυρίζονται. Παρ' όλα αυτά, η έκταση της διαρροής προκαλεί σοβαρά ερωτήματα για την ετοιμότητα, την πρόληψη και την αντίδραση του κρατικού μηχανισμού απέναντι στις αυξανόμενες κυβερνοαπειλές.

Τι διέρρευσε – Ποιοι επηρεάζονται

Η διαρροή περιλαμβάνει πληθώρα εξαιρετικά ευαίσθητων δεδομένων, όπως:

• Ονοματεπώνυμα, ημερομηνίες γέννησης, φύλο, ιθαγένεια

• ΑΦΜ, ΑΜΚΑ, IBAN, ΔΟΥ

• Στοιχεία εισοδήματος και εργασιακής κατάστασης

• Οικογενειακή κατάσταση, ένδειξη αν το πρόσωπο είναι ΑΜΕΑ

• Στοιχεία φορολογικής και ασφαλιστικής ενημερότητας

• Διευθύνσεις κατοικίας

Η βάση δεδομένων της ΕΕΤΑΑ καλύπτει στοιχεία μιας δεκαετίας, με αποτέλεσμα ο συνολικός αριθμός των επηρεαζόμενων να ξεπερνά τα 2.500.000 πρόσωπα. Η διαρροή αφορά τόσο αιτούντες συμμετοχής στα προγράμματα όσο και οικογενειακά τους μέλη, αλλά και προσωπικό φορέων που συνεργάζονται με την ΕΕΤΑΑ.

Πού είναι η πρόληψη; Πού η διαφάνεια;

Το γεγονός ότι η κυβερνοεπίθεση διήρκησε σχεδόν πέντε ημέρες χωρίς να εντοπιστεί εγκαίρως, θέτει σοβαρά ερωτήματα για την ικανότητα των κρατικών φορέων να προστατεύσουν κρίσιμα συστήματα και τα προσωπικά δεδομένα των πολιτών.

Προκαλεί επίσης ανησυχία η ελλιπής και καθυστερημένη ενημέρωση του κοινού, με την επίσημη ανακοίνωση να εκδίδεται μέρες μετά την παραβίαση, ενώ δεν διευκρινίζεται ποια μέτρα προστασίας ελήφθησαν ή αν ειδοποιήθηκαν οι επηρεαζόμενοι πολίτες – όπως ορίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR).

Την ίδια ώρα, το περιστατικό δείχνει την ανεπάρκεια του Δημοσίου να λειτουργεί με όρους σύγχρονης ψηφιακής ασφάλειας, παρά την ψηφιοποίηση πλήθους υπηρεσιών. Οι επενδύσεις σε συστήματα προστασίας, η εκπαίδευση προσωπικού και η υιοθέτηση πρωτοκόλλων κυβερνοασφάλειας φαίνεται να υστερούν δραματικά.

Αναμένονται απαντήσεις και κυρώσεις

Η υπόθεση δεν είναι απλώς ένα "τεχνικό πρόβλημα". Πρόκειται για ένα συστημικό ρήγμα εμπιστοσύνης. Οι πολίτες έχουν δικαίωμα να γνωρίζουν:

• Ποια δεδομένα διέρρευσαν για τον καθένα τους

• Αν έχουν ληφθεί αντίμετρα για μελλοντικές επιθέσεις

• Αν υπάρχει υπεύθυνος και θα υπάρξουν συνέπειες

Η Δικαιοσύνη και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα οφείλουν να παρέμβουν άμεσα.

Η κυβερνοασφάλεια δεν είναι προαιρετική. Είναι υποχρέωση του κράτους απέναντι στους πολίτες.