Δήμος Θεσσαλονίκης: ένα αναμενόμενο χακάρισμα
Ποια είναι τα αίτια και ποιες οι ευθύνες;
Λέξεις: Χάρης Κωτίδης
Από προχθές το μεσημέρι ο Δήμος Θεσσαλονίκης έχει κυριολεκτικά παραλύσει εξαιτίας του χακαρίσματος που δέχτηκε server του. Όλες οι υπηρεσίες είναι αποκομμένες από τα συστήματα που αποθηκεύουν και διαχειρίζονται αρχεία ενώ οι υπάλληλοι αδυνατούν να μπουν στα υπηρεσιακά email τους.
Ως αποτέλεσμα, οποιαδήποτε υπηρεσία προς πολίτες δεν μπορεί να διεκπεραιωθεί ενώ οι υπάλληλοι γραφείου μένουν άπραγοι καθώς οι υπολογιστές τους είναι ουσιαστικά διακοσμητικοί. Πως όμως έφτασε σε αυτό το σημείο ένας τεράστιος οργανισμός σαν το Δήμο Θεσσαλονίκης; Ποια είναι τα αίτια και ποιες οι ευθύνες;
Ας πάρουμε τα πράγματα από την αρχή. Για πάνω από ένα χρόνο οι δημοτικοί υπάλληλοι δέχονταν emails ηλεκτρονικού ψαρέματος (phishing) στους υπηρεσιακούς λογαριασμούς τους. Το phishing είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο “θύτης” υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία του συστήματος του “χρήστη-θύματος” καθώς και την άγνοια του, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί. Άλλες φορές, όπως στην περίπτωση του δήμου, ο στόχος του χάκερ είναι η εισβολή σε βάσεις δεδομένων με τη χρήση κακόβουλου λογισμικού το οποίο στέλνεται σε μορφή αρχείου ή link μέσω email. To μόνο που χρειάζεται είναι ένα λάθος κλικ και από εκεί και πέρα το λογισμικό αναπτύσσεται μόνο του και μπορεί να αποδειχτεί καταστροφικό για το σύστημα αν δεν εντοπιστεί εγκαίρως. Αυτό που συνέβη στον δήμο Θεσσαλονίκης είναι ότι το κακόβουλο λογισμικό κρυπτογράφησε τα αρχεία του server με αποτέλεσμα να καθίσταται αδύνατη η αποκρυπτογράφηση τους χωρίς το απαιτούμενο κλειδί, το οποίο παρέχει ο χάκερ έναντι αμοιβής.
Ελλιπής εκπαίδευση προσωπικού: Ο καλύτερος τρόπος για την αποφυγή ενός τέτοιου δυσάρεστου συμβάντος είναι η εκπαίδευση του προσωπικού ώστε να αναγνωρίζει τέτοια emails, κάτι το οποίο δεν συνέβη ποτέ στο δήμο Θεσσαλονίκης. Είναι χαρακτηριστικό ότι όταν ένας υπάλληλος αντιλαμβανόταν ότι είχε ανοίξει ένα κακόβουλο link ή αρχείο, τηλεφωνούσε στην αρμόδια διεύθυνση ώστε να “καθαρίσουν” το λογαριασμό από κακόβουλα emails. Κατά καιρούς, οι υπάλληλοι λάμβαναν ηλεκτρονική αλληλογραφία που τους ενημέρωνε να μην ανοίγουν συγκεκριμένα κακόβουλα emails. Όμως αυτή η τακτική αποδείχτηκε ανεπαρκής διότι άλλο πράγμα είναι να μάθεις το χρήστη να “ψαρεύει” και άλλο να του δώσεις ένα ψάρι για να φάει.
Ανεπαρκή συστήματα ασφαλείας: Εδώ μπορούμε να κάνουμε μόνο εικασίες για το τι πήγε στραβά όμως το αποτέλεσμα μιλάει από μόνο του. Τα συστήματα ασφαλείας των servers του δήμου αδυνατούσαν να αποκλείσουν κακόβουλα emails για πάνω από ένα χρόνο, παρά το γεγονός ότι είχαν επαναλαμβανόμενο μοτίβο και αποστέλλονταν κατά χιλιάδες. Παρόλο που δεν υπάρχει λογισμικό που να παρέχει πλήρη προστασία, η ανεπάρκεια του συγκεκριμένου καταδεικνύεται από το γεγονός ότι οι υπάλληλοι λάμβαναν κακόβουλα emails σχεδόν καθημερινά.
Διάτρητη ασφάλεια προσωπικών δεδομένων: Το μοναδικό ευτυχές στην όλη υπόθεση είναι το γεγονός ότι ο χάκερ ενδιαφέρεται αποκλειστικά για την είσπραξη των λύτρων και δεν έχει πρόθεση να ανοίξει τα αρχεία που, όπως γίνεται αντιληπτό, περιέχουν τα προσωπικά δεδομένα χιλιάδων πολιτών. Τι θα συνέβαινε όμως αν ο στόχος δεν ήταν τα λύτρα αλλά το κατέβασμα και η χρησιμοποίηση των αρχείων από τον χάκερ; Όπως αντιλαμβάνεστε, η ασφάλεια των προσωπικών δεδομένων που παρέχει ο δήμος Θεσσαλονίκης είναι μηδαμινή και έκθετη απέναντι στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που τέθηκε σε εφαρμογή στην ΕΕ το 2018.
Ευθύνες της διοίκησης: Δεν είναι η πρώτη φορά που παρουσιάζεται πρόβλημα στο δήμο εξαιτίας κακόβουλου λογισμικού, είναι όμως η πρώτη φορά που κάτι τέτοιο παραλύει τον οργανισμό και θέτει εκτός εργασίας την πλειοψηφία των υπαλλήλων. Η διοίκηση του δήμου όφειλε να έχει διδαχτεί από τις προηγούμενες επιθέσεις ώστε να λάβει τα κατάλληλα μέτρα που θα απέτρεπαν τη σημερινή καταστροφή. Όμως, η ικανότητα αποτροπής είναι μια αρετή που διαθέτουν άτομα με τις απαραίτητες γνώσεις επί του αντικειμένου. Δεν θα σταθώ στις ευθύνες που μπορεί να έχουν οι υπηρεσιακοί παράγοντες, διότι δεν είμαι σε θέση να γνωρίζω αν προειδοποίησαν τη διοίκηση για το κακό που ερχόταν. Εξάλλου, μόλις ανέβαλε καθήκοντα η νέα διοίκηση το 2019, αντικατέστησε σχεδόν όλα τα υπηρεσιακά στελέχη που κατείχαν θέσεις ευθύνης στη συγκεκριμένη διεύθυνση, χωρίς ποτέ να εξηγήσει το λόγο για τον οποίο το έκανε. Θα σταθώ πρωτίστως στην πασιφανή έλλειψη στοιχειωδών γνώσεων μεταξύ των διοικούντων – στο γεγονός ότι ο αρμόδιος αντιδήμαρχος, παρά τις καλές προθέσεις που μπορεί να διαθέτει, δεν έχει επαφή με το αντικείμενο, καθότι είναι λογιστής στο επάγγελμα. Όμως, ακόμη κι αν δεχτούμε την αδυναμία εύρεσης του κατάλληλου προσώπου από μια δεξαμενή 49 δημοτικών συμβούλων, σε καμία περίπτωση δεν μπορούμε να δεχτούμε την ανεπάρκεια των ειδικών συμβούλων του δημάρχου κ. Ζέρβα, καθώς όλοι είναι προσωπικές επιλογές του. Είναι χαρακτηριστικό το γεγονός ότι οι μισοί ήταν μέλη του προεκλογικού γραφείου του, ενώ τώρα είναι επιφορτισμένοι με τη σύνταξη των ομιλιών του δημάρχου, τη στελέχωση του πολιτικού γραφείου του και την ενημέρωση των λογαριασμών που διατηρεί ο κ. Ζέρβας στα μέσα κοινωνικής δικτύωσης. Κι όμως ο δήμαρχος θεώρησε πως είναι περιττή η πρόσληψη ενός ειδικού συμβούλου με γνώσεις στην πληροφορική, τη στιγμή μάλιστα που οραματίζεται να μετατρέψει τη Θεσσαλονίκη σε έξυπνη πόλη. Δεν χρειάζεται ένας δεύτερος Πιερρακάκης για να γίνει η δουλειά σωστά, αλλά κάποιος που να αντιλαμβάνεται τις εξελίξεις και τι συμβαίνει γύρω του.
Η επόμενη μέρα: Είναι δεδομένο ότι ο δήμος δεν θα πληρώσει τα λύτρα. Διαθέτει backup αρχεία και ήδη γίνεται προσπάθεια αποκατάστασης του συστήματος από τη δίωξη ηλεκτρονικού εγκλήματος και την εταιρεία που υποστηρίζει πληροφοριακά το δήμο. Όμως αυτό μπορεί να διαρκέσει αρκετές ημέρες καθώς πρέπει να καθαριστεί ο server από οποιοδήποτε κακόβουλο λογισμικό και το σημαντικότερο, να βρεθεί ο υπολογιστής από τον οποίο εισήλθε στο σύστημα ώστε να αποτραπεί αντίστοιχο συμβάν το προσεχές διάστημα. Ας ελπίσουμε ότι το πάθημα θα γίνει μάθημα και η διοίκηση θα προβεί στις κατάλληλες ενέργειες από εδώ και πέρα ώστε να διασφαλιστεί η ομαλή λειτουργία του οργανισμού και η προστασία των προσωπικών δεδομένων των δημοτών.
*ο Χάρης Κωτίδης είναι πρώην κοινοτικός σύμβουλος του δήμου Θεσσαλονίκης