Δημοσιεύουμε την πιο κάτω ανοικτή επιστολή από τον δικηγόρο Αντρέα Σιάλαρο που αφορά το πρόσφατο περιστατικό κυβερνοεπίθεσης στις εγκαταστάσεις του Πανεπιστημίου Κύπρου, όπου μεταξύ άλλων φιλοξενούνται και συστήματα των eHealth Lab και Biobank που ενδεχομένως να περιέχουν Απόρρητα Ιατρικά Δεδομένα (ΑΙΔ) Κύπριων πολιτών. Δεσμευόμαστε στην δημοσίεση των όποιονδήποτε απαντήσεων λάβουμε από τους σχετικούς υπεύθυνους σχετικά με το θέμα αυτό.
Σημείωση: Η ιστοσελίδα της Biobank.cy δεν ήταν προσβάσιμη μέχρι και τις 3 Απρ. 2023 στις 12:00 GMT+3.
######
Στις 03/03/2023, δημοσιοποιήθηκε άρθρο στην εφημερίδα “Πολίτης” με τίτλο «Επίθεση από χάκερς δέχεται το Πανεπιστήμιο Κύπρου – εκτός λειτουργίας το σύστημα, ίσως ζητηθούν λύτρα».
Ενάμιση χρόνο πριν, και ενόσω βρισκόταν σε ευρεία χρήση από το κυπριακό κοινό η εφαρμογή CovScan (η οποία επαλήθευε την γνησιότητα των “Safepass” και η οποία συνέλεγε εκατοντάδες χιλιάδες προσωπικά δεδομένα των πολιτών της Κυπριακής Δημοκρατίας) η ομάδα εμπειρογνωμόνων AlarmCall (AlarmCall.org) ανέλυσε με δική της πρωτοβουλία την εν λόγω εφαρμογή σε συνεργασία με εμπειρογνώμονες ασφαλείας πληροφοριών και διαπίστωσε ότι κατ’ισχυρισμόν ή/και τουλάχιστον προσωρινά, τα δεδομένα αυτά αποθηκεύονταν σε υπολογιστές του Πανεπιστημίου Κύπρου, αφού η εφαρμογή Covscan Cyprus αναπτύχθηκε από το “eHealth Lab” του Πανεπιστημίου Κύπρου.
Ως εκ τούτου, η εν λόγω ομάδα εμπειρογνωμόνων απέστειλε επιστολή με τα ευρήματα της μέσω του υπογράφοντος, δικηγόρου Αντρέα Σιάλαρου στην Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την οποία επεξηγούνταν η ανάλυση που διενεργήθηκε από τους εν λόγω ειδικούς, συμπεριλαμβανομένου του σημαντικού αριθμού προβλημάτων ασφάλειας και παραβίασης προσωπικών δεδομένων που εντοπίστηκαν.
Στις 09/11/2022 λειτουργός του γραφείου της Επιτρόπου ανταποκρίθηκε με επιστολή, στην οποία απέφευγε να απαντήσει στην ουσία των ζητημάτων που παρατέθηκαν.
Σε απάντηση των ισχυρισμών που καταγράφηκαν στην εν λόγω επιστολή του γραφείου της Επιτρόπου, η ομάδα AlarmCall απέστειλε απαντητική ανοικτή επιστολή μέσω του δικηγόρου τους, στην οποία ανέφερε μεταξύ άλλων:
“Παρά το ότι μας αναφέρετε στην επιστολή σας ημερομηνίας 09/11/2022 ότι τα δεδομένα αποθηκεύονται σε βάση δεδομένων της Ευρωπαϊκής Ένωσης, έχουμε συμπεράνει ότι τα συγκεκριμένα δεδομένα αποθηκεύονται, έστω και προσωρινά στο Πανεπιστήμιο Κύπρου (eHealthLab) καθώς η ομάδα ανάπτυξης της εφαρμογής ήταν στην Κύπρο. Κατά τη δεύτερη προκαταρκτική ανάλυση, έχει εξαχθεί το συμπέρασμα ότι τα δεδομένα των Κύπριων πολιτών αποθηκεύονται σε σχετικά παλαιούς servers στο Πανεπιστήμιο Κύπρου, με υπηρεσίες “Microsoft Azure”. Είναι δε γεγονός πως τα τελευταία χρόνια υπήρξε πληθώρα παραβιάσεων σε servers πολύ πιο νέους από τους servers που χρησιμοποιεί το Πανεπιστήμιο Κύπρου, και ιδιαίτερα στους servers με υπηρεσίες Microsoft Azure, με την πιο πρόσφατη να έχει γίνει τον Αύγουστο του 2021.
Αρκεί μόνο μια μικρή έρευνα στο διαδίκτυο για να αντιληφθεί κανείς ποσό εύκολα μια κυβερνοεπίθεση (φαινόμενο το οποίο βρίσκεται σε έξαρση τελευταία) μπορεί να εκθέσει τα δεδομένα χιλιάδων πολιτών όπως τα ιατρικά και προσωπικά δεδομένα, αριθμό δελτίου ταυτότητας, φύλο, ημερομηνία γέννησης, ονοματεπώνυμο, τηλέφωνο, και ηλεκτρονικά ταχυδρομεία, ποσό μάλλον, εάν αυτά αποθηκεύονται σε μη ασφαλή συστήματα.”
Θέλοντας λοιπόν να προλαμβάνουμε τα γεγονότα και όχι να τα διορθώνουμε, αφού γίνει η ζημιά, θέτουμε δημόσια και επιτακτικά τα ερωτήματα:
• Τα υπό αναφορά προσωπικά δεδομένα των πολιτών που συλλέγονταν κατά τη διαδικασία ελέγχου των rapid tests ή/και στο αρχείο το νοσήσαντων CoViD-19, διαγράφηκαν από τους servers του Πανεπιστημίου Κύπρου;
• Αν όντως τα δεδομένα διαγράφηκαν, ποιός τα διέγραψε και πότε;
• Αν δεν επιβεβαιώνεται ότι διαγράφηκαν τα στοιχεία αυτά, μπορούμε να έχουμε επίσημη διαβεβαίωση ότι δεν περιήλθαν στην κατοχή των κακόβουλων εκτελεστών κυβερνοεπίθεσης;
• Ποιος ευθύνεται για την ασφάλεια των δεδομένων αυτών και ενδεχομένως για την διαρροή τους βάσει της νομοθεσίας GDPR (General Data Protection Regulation) της ΕΕ; Μπορεί ο εν λόγω υπέυθυνος να μας διαβεβαιώσει για την συνεχιζόμενη ασφάλεια των σχετικών προσωπικών ή/και απόρρητων ιατρικών δεδομένων;
• Η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διερεύνησε το πως επηρεάστηκαν προσωπικά ή/και απόρρητα ιατρικά δεδομένα από την πρόσφατη ή και άλλη κυβερονοεπίθεση στις εγκαταστάσεις του Πανεπιστημίου Κύπρου; Αν ναι, μπορεί να μας διαβεβαιώσει ότι δεν διέρρευσαν προσωπικά ή/και απόρρητα ιατρικά δεδομένα σαν αποτέλεσμα αυτού ή και άλλου τέτοιου περιστατικού;
Ευχόμαστε ο κ. Τάσος Χριστοφίδης (Πρύτανης του Πανεπιστημίου Κύπρου), κ. Ανδρέας Κ. Χριστοφίδης (πρόεδρος του Συμβουλίου του Πανεπιστημίου Κύπρου), ο δρ. Κωνσταντίνος Παττίχης (υπεύθυνος του eHealth Lab), ο δρ. Χάρης Στεφάνου (υπεύθυνος έρευνας και ανάπτυξης του Βiobank.cy), η κα Ειρήνη Λοϊζίδου – Νικολαϊδου (Επίτροπος Πληροφοριών), δρ. Πόπη Κανάρη (νυν Υπουργός Υγείας), καθώς και ο κος Κωνσταντίνος Ιωάννου (τότε αρμόδιος Υπουργός Υγείας και νυν Υπουργός Εσωτερικών) να δώσουν υπεύθυνα πειστικές, με αποδείξεις για τους ισχυρισμούς τους, απαντήσεις, ώστε αν όντως διέρρευσαν ιατρικά και προσωπικά δεδομένα των πολιτών, οι επηρεαζόμενοι να λάβουν γνώση και να διερευνηθεί επισταμένως και υπεύθυνα το περιστατικό ώστε κάτι τέτοιο να μην επαναληφθεί.
######