Του Ξένιου Μεσαρίτη
Ανάμεσα σε διάφορους προβληματισμούς και ζητήματα που φέρνει (ξανά) στο προσκήνιο το Cyprus Confidential -και που οφείλουν να διερευνηθούν- πλανώνται επίσης, στον αέρα τα ερωτήματα για τις κυβερνοεπιθέσεις σε 6 κυπριακές εταιρείες, το ενδεχόμενο περαιτέρω διαρροών, τα κίνητρα των χάκερς αλλά και οι πιθανές παραβιάσεις της νομοθεσίας Προστασίας Προσωπικών Δεδομένων.
Πιθανόν να έχουν διαρρεύσει κι άλλα
Τα 3,6 εκατομμύρια αρχεία που έχουν υποκλαπεί από 6 κυπριακές εταιρείες που δραστηριοποιούνται στον τομέα των χρηματοοικονομικών υπηρεσιών και ξεδιπλώνονται στο πρότζεκτ του ICIJ, με τίτλο Cyprus Confidential, ενδεχομένως να μην είναι τα μόνα που έχουν διαρρεύσει.
Σύμφωνα με πηγές του Economy Today που εξειδικεύονται στον τομέα των κυβερνοεπιθέσεων, δεν μπορεί να αποκλειστεί το ενδεχόμενο να έχουν υποκλαπεί και από άλλες εταιρείες του κλάδου δεδομένα που αφορούν χρηματοοικονομικές συναλλαγές.
Όλα δείχνουν ότι οι ομάδες των χάκερ είχαν ως στόχο να κλέψουν βάσεις δεδομένων από συγκεκριμένες εταιρείες του τομέα των υπηρεσιών στην Κύπρο, αναφέρουν.
Σε ό,τι αφορά τα αρχεία που διέρρευσαν, μας σημειώθηκε ότι «σε αντίθεση με τις επιθέσεις που πραγματοποιήθηκαν στην Κύπρο κατά τις αρχές του χρόνου, με στόχο συγκεκριμένο ακαδημαϊκό ίδρυμα, δεν έγινε επίθεση με ransomware που κλειδώνει τα δεδομένα και ζητούνται λύτρα, ώστε να απελευθερωθούν τα δεδομένα και να επιστρέψουν στην αρχική τους κατάσταση, αλλά είχαν ως ξεκάθαρο στόχο να υποκλαπούν πληροφορίες».
Σε σχέση με τα κίνητρα των χάκερ, πηγή που σχετίζεται με ζητήματα υποκλοπών και που θέλησε να παραμείνει ανώνυμη, μάς ανέφερε ότι συνήθως εμπλέκονται μυστικές υπηρεσίες κρατών ή άλλοι ενδιαφερόμενοι που χρηματοδοτούν τους χάκερ για να προβούν στις υποκλοπές.
Τονίστηκε, ωστόσο, ότι δεν μπορούμε να ξέρουμε ποιοι ήταν οι χάκερς και ποια ήταν τα κίνητρα πίσω από την κυβερνοεπίθεση.
Το ιστορικό των κυβερνοεπιθέσεων – Δημοσιοποιήθηκε ένα χρόνο πριν
Μέχρι τώρα, έγιναν γνωστές 6 εταιρείες από τις οποίες έχουν κλαπεί 3,6 εκατομμύρια αρχεία και δεν μπορεί να αποκλειστεί το ενδεχόμενο να ακολουθήσουν κι άλλες ανακοινώσεις από άλλες ομάδες πέραν του ICIJ που έχουν αποκτήσει αυτά τα δεδομένα ή ακόμα και περισσότερα.
Η πρώτη κυβερνοεπίθεση που έγινε γνωστή ήταν στις 2 εταιρείες, MeritServus και MeritKapital, και πάει πίσω στις 6 Ιανουαρίου του 2023.
Δηλαδή, τρεισήμισι μήνες πριν τις βρετανικές κυρώσεις του Απρίλη του 2023 που αφορούσαν, μεταξύ άλλων, την MeritServus του Δημήτρη Ιωαννίδη, η Guardian είχε αποκαλύψει πώς ο Ρόμαν Αμπράμοβιτς σχετιζόταν με καταπιστεύματα που μεταφέρθηκαν πριν τις κυρώσεις μέσω κυπριακών εταιρειών, «βάσει αρχείων που διέρρευσαν από την MeritServus», αναγγέλλοντας ουσιαστικά για πρώτη φορά το γεγονός της κυβερνοεπίθεσης και της υποκλοπής των δεδομένων της εταιρείας του Ιωαννίδη.
Βάσει των όσων ειπώθηκαν τον Απρίλη του 2023, το βρετανικό Υπουργείο Εξωτερικών κατείχε στοιχεία, τα οποία έδειχναν την εταιρεία του Ιωαννίδη να συσχετίζεται με τον Αμπράμοβιτς μετά τη ρωσική εισβολή της Ρωσίας στην Ουκρανία, κάτι που είχε ως συνέπεια την ένταξη του λογιστή στη βρετανική λίστα κυρώσεων κατά της Ρωσίας.
Σύμφωνα με πηγές του Economy Today, οι διαρροές δεδομένων από την CypcoDirect, η οποία συσχετίζεται με την PWC, έγιναν αντιληπτές τον Ιούνιο του 2022.
Όπως αναφέρεται στα Cyprus Confidential, η CypcoDirect είχε ως πελάτη της τον Alexey Mordashov ενώ η πρώτη αναφορά για το συσχετισμό κυπριακής εταιρείας με τον Ρώσο ολιγάρχη ήταν σε δημοσίευμα του ICIJ το οποίο δημοσιεύτηκε τον Απρίλη του 2022.
Με βάση τα πιο πάνω χρονολογικά δεδομένα, δεν μπορεί να εξαχθεί κανένα ασφαλές συμπέρασμα για τις κυβερνοεπιθέσεις, δηλαδή πότε και πώς μπορεί να συνδέονται, αλλά θεωρούμε ότι περαιτέρω διερεύνηση από τις αρχές του κράτους μπορεί να οδηγήσει, τουλάχιστον, σε κάποια λογική ερμηνεία.
Το Economy Today προσπάθησε να επικοινωνήσει με τις 6 εταιρείες, αλλά δεν κατέστη δυνατή η επικοινωνία, ώστε να γίνει μια περαιτέρω απεικόνιση του χρονικού παζλ των υποκλοπών.
Σημειώνουμε ότι οι εταιρείες από τις οποίες έχουν υποκλαπεί δεδομένα είναι οι MeritServus και MeritKapital (426.677 και 21.238 αρχεία αντιστοίχως), ConnectedSky (274.696 αρχεία), CypcoDirect (766.494 αρχεία), DJC Accountants (995.453 αρχεία) και Kallias & Associates (859.259 αρχεία).
ICIJ: Δεν σχολιάζουμε τις πηγές μας και δεν πληρώσαμε για τα δεδομένα
Όπως αναφέρει σε δημοσίευμά του το ICIJ, τα αρχεία που διέρρευσαν από τις Cypcodirect, ConnectedSky, i-Cyprus και Kallias & Associates αποκτήθηκαν από την Paper Trail Media. Το Distributed Denial of Secrets έλαβε έγγραφα από την Kallias & Associates, τα οποία στη συνέχεια κοινοποιήθηκαν με την Paper Trail Media και την ICIJ. Τα αρχεία των λογιστών της DJC ελήφθησαν από το Distributed Denial of Secrets και κοινοποιήθηκαν από το Σχέδιο Αναφοράς Οργανωμένου Εγκλήματος και Διαφθοράς.
Το ICIJ συμπληρώνει στο δημοσίευμά του σχετικά με τα 3,6 εκατομμύρια δεδομένα του Cyprus Confidential ότι «δεν σχολιάζει τις πηγές του». Το ICIJ συμπληρώνει ότι «δεν πλήρωσε για τα δεδομένα και δεν επιβλήθηκαν όροι για την κοινοποίησή τους» αλλά και ότι «διενεργεί αυστηρή επαλήθευση και διασταύρωση των δεδομένων για να διασφαλίσει την αυθεντικότητά τους και επαληθεύει κάθε γεγονός που δημοσιεύει».
Υπάρχουν καταγγελίες για τις υποκλοπές
Πληροφορίες αναφέρουν ότι ήδη άτομα τα οποία αναφέρονται στα Cyprus Confidential έχουν προβεί σε παράπονα για διαρροή των προσωπικών τους δεδομένων, ενώ κάποιες από τις εταιρείες έχουν ήδη προβεί σε γνωστοποίηση διαρροής δεδομένων στις αρμόδιες αρχές.
Το Economy Today επικοινώνησε με την Επίτροπο Προστασίας Προσωπικών Δεδομένων, ώστε να διερευνηθεί η εγκυρότητα των πληροφοριών.
Η Ειρήνη Λοϊζίδου ανέφερε ότι δεν μπορεί να προβεί σε δηλώσεις μέχρι να περάσει η διορία των 72 ωρών, κατά τη διάρκεια των οποίων οι εταιρείες – ο υπεύθυνος επεξεργασίας των δεδομένων–οφείλουν να υποβάλουν τυχόν διαρροή προσωπικών δεδομένων από την στιγμή που το αντιλαμβάνονται.
Η Ειρήνη Λοϊζίδου ανέφερε ότι το ζήτημα θα διερευνηθεί και αναμένονται οι όποιες εξελίξεις τις επόμενες μέρες.
Όπως μας αναφέρθηκε, ένα ζήτημα είναι το αν οι διαρροές αφορούν προσωπικά δεδομένα ή απλά στοιχεία εταιρειών. «Αν πρόκειται για προσωπικά δεδομένα, τότε θα γίνει έρευνα από την ομάδα μας» ανέφερε η κ. Λοϊζίδου.
Ρωτώντας το Γραφείο Επιτρόπου Ρυθμίσεων Ηλεκτρονικών Επικοινωνιών και τον κ. Γιώργο Μιχαηλίδη, μάς αναφέρθηκε ότι οι συγκεκριμένες εταιρείες δεν αφορούν κρίσιμες υποδομές, κι ως εκ τούτου, δεν εμπίπτει στο δικό μας πλαίσιο ελέγχου.
Λόγω του ότι πρόκειται για ιδιωτικές εταιρείες, δεν είναι δική μας αρμοδιότητα να διερευνήσουμε την ενδεχόμενη διαρροή δεδομένων ή τις ενδεχόμενες κυβερνοεπιθέσεις που έγιναν.