Θέμα Bank Crash: Σύνδεσμος Πληροφορικής αμφισβητεί την επίθεση χάκερ και την έλλειψη μέτρων ασφαλείας

Περιεχόμενα

1. Ούτε χάκερ, ούτε εξωγήινοι: Ο Σύνδεσμος Πληροφορικής μιλάει για τη συντριβή της Subject Bank
2. Οι ανησυχίες της Ελληνικής Ένωσης Πληροφορικής

Ο Σύνδεσμος Πληροφορικής εκφράζει ανησυχίες για το θέμα της συντριβής της τράπεζας: Δεν εμπλέκονται χάκερς, ούτε εξωγήινοι Η προσοχή του κλάδου της πληροφορικής έχει στραφεί στο πρόσφατο κραχ της Subject Bank και η Ένωση Πληροφορικών Ελλάδος ρίχνει φως στην κατάσταση. Σε αντίθεση με τις επίσημες ανακοινώσεις, η Ένωση τονίζει ότι δεν υπήρξε σημαντική αύξηση της στοχευμένης κίνησης προς την πλατφόρμα του ΙΕΠ, όπως ισχυρίζεται.

Η κίνηση δεδομένων στις 29 Μαΐου, για παράδειγμα, δεν ήταν υψηλότερη από τις προηγούμενες ημέρες. Η κατάρρευση της Τράπεζας Θεμάτων στην πλατφόρμα του ΙΕΠ, που επηρέασε χιλιάδες φοιτητές που προετοιμάζονταν για σημαντικές εξετάσεις, αποδόθηκε σε μια πρωτοφανή επίθεση κατανεμημένης άρνησης παροχής υπηρεσιών (DDoS) από άγνωστους χάκερ.

Η Ένωση Πληροφορικών Ελλάδος αμφισβητεί την αποτελεσματικότητα των μέτρων ασφαλείας, την απουσία εφεδρικού σχεδίου και την έλλειψη διαφάνειας στη δημοσιοποίηση τεχνικών λεπτομερειών. Τα περιστατικά αυτά αναδεικνύουν την ανάγκη για καλύτερες υποδομές και επαγγελματισμό στον τομέα των Τεχνολογιών Πληροφορικής και Επικοινωνιών στην Ελλάδα.

Ούτε χάκερ, ούτε εξωγήινοι: Ο Σύνδεσμος Πληροφορικής μιλάει για τη συντριβή της Subject Bank

Η ένωση πληροφορικής τονίζει ότι ο κλάδος της πληροφορικής αντιμετωπίζει κάτι περισσότερο από την επίθεση χάκερ στην Subject Bank.

Σύμφωνα με την «Ένωση Πληροφορικής Ελλάδας», δεν υπάρχουν ενδείξεις για σημαντικά αυξημένη κίνηση με στόχο την πλατφόρμα του ΙΕΠ, όπως περιγράφεται από επίσημες δηλώσεις. Τονίζουν ότι η κίνηση δεδομένων στις 29/5, για παράδειγμα, δεν ήταν υψηλότερη από τις προηγούμενες ημέρες.

Η κατάρρευση της Τράπεζας Θεμάτων στην πλατφόρμα του ΙΕΠ για δύο ημέρες προκάλεσε αγωνία σε χιλιάδες μαθητές Γενικών Λυκείων και ΕΠΑΛ.

Πολλοί από αυτούς προετοιμάζονταν για τις επερχόμενες Πανελλαδικές Εξετάσεις της Γ’ Γενικού Λυκείου και του ΕΠΑΛ.

Στην επίσημη εξήγηση του Υπουργείου Παιδείας και Ψηφιακής Διακυβέρνησης αναφέρεται ότι οι διακομιστές φιλοξενίας δέχθηκαν μια άνευ προηγουμένου μαζική επίθεση κατανεμημένης άρνησης παροχής υπηρεσιών (DDoS) από άγνωστους χάκερς από το εξωτερικό, με αποτέλεσμα η πλατφόρμα να καταρρεύσει για συνεχόμενες ημέρες.

Οι ανησυχίες της Ελληνικής Ένωσης Πληροφορικής

Η Ελληνική Ένωση Πληροφορικής παρακολουθεί στενά τα θέματα που σχετίζονται με την ασφάλεια, τη διαθεσιμότητα και την αξιοπιστία της βασικής υποδομής των πληροφοριακών συστημάτων, ιδίως στον δημόσιο τομέα.

Συχνά έχουν αναγκαστεί να παρεμβαίνουν δημόσια λόγω της συχνής εμφάνισης μη ασφαλών, πολύ κακών ή εντελώς δυσλειτουργικών λειτουργιών.

Στο πρόσφατο παρελθόν υπήρξαν αξιοσημείωτα περιστατικά, όπως μαζικές διαρροές προσωπικών δεδομένων από κεντρικούς οργανισμούς και συστήματα όπως το TAXISnet και τα ΕΛΤΑ, χωρίς να δοθούν επαρκείς εξηγήσεις σχετικά με τα ακριβή αίτια.

Τα περιστατικά αυτά δεν αποτέλεσαν μαθήματα για το μέλλον.

• Λήφθηκαν τα απαραίτητα μέτρα κατά τον σχεδιασμό του έργου για την προστασία του από κακόβουλες ενέργειες;
• Ποια ήταν αυτά τα μέτρα και πραγματοποιήθηκαν δοκιμές αντοχής για να διασφαλιστεί το απαιτούμενο επίπεδο αξιοπιστίας και διαθεσιμότητας πριν από την εφαρμογή τους;
• Στο δεύτερο έτος λειτουργίας της Τράπεζας Δυσκολιών (Τ.Δ.Δ.Δ.) από το Υπουργείο Παιδείας, ο ιστότοπος δεν υποστήριζε καν ασφαλείς συνδέσεις (HTTPS/SSL) μέχρι τις 29/5, όπως αποδεικνύεται από σχετικές εικόνες. Μήπως η απουσία δυσλειτουργιών πέρυσι οφειλόταν καθαρά στην τύχη;
• Γιατί δεν υπήρχε σχέδιο έκτακτης ανάγκης ή «Σχέδιο Β» για να αντιμετωπιστούν συντριβές της πλατφόρμας ή απαράδεκτες διακοπές λειτουργίας;
• Θα μπορούσε να επιτραπεί στους εκπαιδευτικούς να χρησιμοποιούν θέματα από τη σχετική υπηρεσία ΙΕΠ για το κοινό σε τέτοιες περιπτώσεις;

Μετά την υποτιθέμενη «επίθεση» στις 29/5, ελήφθησαν κάποια βιαστικά μέτρα για να αποφευχθεί μια επανάληψη.

Από την επόμενη ημέρα, η βασική υποδομή της πλατφόρμας υποστηρίζεται από μια ειδική διαδικτυακή υπηρεσία (Akamai cloudbase) με αυξημένη εξειδίκευση και ανθεκτικότητα έναντι τέτοιων περιστατικών. Ωστόσο, το ίδιο πρόβλημα επανεμφανίστηκε, ενδεχομένως λόγω κακής διαμόρφωσης ή ελλιπούς ενεργοποίησης πρόσθετων υπηρεσιών έναντι επιθέσεων DDoS.

Η Ελληνική Ένωση Πληροφορικής διερωτάται γιατί τα αντίμετρα δεν ήταν ενεργά πριν από τις 29/5, καθώς οι επιθέσεις DDoS μπορούν να αντιμετωπιστούν με πολλαπλές τεχνικές που δεν είναι εξεζητημένες ή δαπανηρές.

Παραδείγματα περιλαμβάνουν το φιλτράρισμα γεωγραφικού εντοπισμού IP, τα τείχη προστασίας νέας γενιάς (NGFW) και τη δυναμική ανάθεση διακομιστών IP.

Η Ένωση αμφισβητεί περαιτέρω τα τεκμηριωμένα αποδεικτικά στοιχεία μιας τέτοιας μαζικής και «πρωτοφανούς» επίθεσης DDoS κατά της πλατφόρμας IEP.

Τα δημόσια διαθέσιμα δεδομένα, οι εκθέσεις ασφαλείας και οι διεθνείς χάρτες συμβάντων με καθημερινά περιστατικά δεν δείχνουν μια σημαντικά αυξημένη κίνηση με στόχο την πλατφόρμα IEP, όπως περιγράφεται από τους αξιωματούχους.

Λαμβάνοντας υπόψη όλους τους προαναφερθέντες παράγοντες, συμπεριλαμβανομένης της πλατφόρμας IEP, καθίσταται προφανές ότι η αμέλεια,.