Αποκάλυψη: Το παρασκήνιο της κυβερνοεπίθεσης στη Euroxx - Ανακοινώθηκε μία ημέρα μετά, οι hackers ζήτησαν λύτρα

Με μια λακωνική ανακοίνωση η Euroxx Χρηματιστηριακή ενημέρωσε χθες 27/1 το πρωί ότι αντιμετώπισε περιστατικό κυβερνοεπίθεσης, το οποίο διαχειρίστηκε άμεσα χωρίς αυτό να προκύπτει δεδομένης της υποχρέωσης της εφαρμογής του Κανονισμού της Ευρωπαϊκής Ένωσης DORA για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα, που έχει τεθεί σε ισχύ από τις 17 Ιανουαρίου του 2025.

Με καθυστέρηση

H Χρηματιστηριακή προχώρησε σε ανακοίνωση με μια ημέρα καθυστέρηση, καθώς σύμφωνα με τις πληροφορίες του ΒΝ, η κυβερνοεπίθεση εκδηλώθηκε από τη Δευτέρα 26/1 όπου τα συστήματα κατέρρευσαν και η χρηματιστηριακή εκτελούσε εντολές μόνο μέσω τηλεφώνου με το ερώτημα να πλανάται πως αυτό ήταν εφικτό.
Η Euroxx ανακοίνωσε ότι: «Για λόγους ασφαλείας, πραγματοποιήθηκε προσωρινή προληπτική διακοπή λειτουργίας ορισμένων συστημάτων. Η αποκατάσταση γίνεται με σταδιακή επαναφορά όλων των συστημάτων με γνώμονα πάντοτε την απόλυτη προστασία της αγοράς και του επενδυτικού κοινού. Μέχρι στιγμής δεν υπάρχει ένδειξη ζημιάς ή διαρροής δεδομένων και η διερεύνηση συνεχίζεται».

Η αποκατάσταση αργεί

Ωστόσο, μέχρι στιγμής ούτε καν η ιστοσελίδα της εταιρίας δεν λειτουργεί και οι πληροφορίες αναφέρουν ότι για να αποκατασταθεί το πρόβλημα θα περάσουν ημέρες με θετικό σενάριο την ερχόμενη Παρασκευή 30/1.
Επίσης, δεν είναι σαφές αν έχουν υποκλαπεί στοιχεία επενδυτών και χρηματικών καρτελών γεγονός που εγείρει σοβαρά ζητήματα και κινδύνους, ενώ ανεπιβεβαίωτες πληροφορίες αναφέρουν ότι από τους hackers που έκαναν την επίθεση ζητήθηκαν λύτρα.
Οι χρόνοι αποκατάστασης δεν φαίνεται να εναρμονίζονται με τις απαιτήσεις του Κανονισμού DORA, για την εφαρμογή του οποίου από τις Χρηματιστηριακές εταιρίες φέρει ευθύνη και η Επιτροπή Κεφαλαιαγοράς η οποία είναι αμφίβολο αν έχει προβεί στις προβλεπόμενες εποπτικές ενέργειες.
Βέβαια, εκ των υστέρων έτσι κι αλλιώς οφείλει να ελέγξει αν τηρείται ο Κανονισμός.

Οι προβλέψεις του Κανονισμού

Ο κανονισμός αυτός προβλέπει ενιαίους κανόνες για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των χρηματοπιστωτικών οντοτήτων, όπως οι τράπεζες, οι ασφαλιστικές εταιρείες και οι επιχειρήσεις επενδύσεων και εν προκειμένω οι χρηματιστηριακές.
Ο Κανονισμός απαιτεί από τις επενδυτικές εταιρίες «να ανταπεξέρχονται, να ανταποκρίνονται και να ανακάμπτουν από κάθε διαταραχή ή απειλή που αφορά τεχνολογίες πληροφοριών και επικοινωνιών¨
Και στην προκειμένη περίπτωση αυτό δεν προκύπτει ότι συνέβη καθώς οι εταιρίες οφείλουν μεταξύ άλλων:

• Να διαθέτουν ισχυρό, ολοκληρωμένο και άρτια τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων με τις απαραίτητες στρατηγικές, πολιτικές, διαδικασίες, πρωτόκολλα και εργαλεία για να ανταποκρίνονται γρήγορα και αποτελεσματικά.
• Να χρησιμοποιούν και να διατηρούν επικαιροποιημένα συστήματα, πρωτόκολλα και εργαλεία , τα οποία είναι ανάλογα, αξιόπιστα, τεχνολογικά ανθεκτικά και διαθέτουν επαρκή χωρητικότητα.
• Να εντοπίζουν αμέσως ασυνήθιστες δραστηριότητες και να αναγνωρίζουν πιθανά σημεία αποτυχία.
• Να θέτουν σε εφαρμογή μια ολοκληρωμένη πολιτική επιχειρησιακής συνέχειας των ΤΠΕ με κατάλληλα σχέδια, διαδικασίες και μηχανισμού.
• Να αναπτύσσουν και να τεκμηριώνουν πολιτικές δημιουργίας εφεδρικών συστημάτων και διαδικασίες αποκατάστασης και ανάκτησης.

Σημειώνεται ότι η μη εφαρμογή του Κανονισμού Dora επισύρει την επιβολή κυρώσεων και συγκεκριμένα διοικητικά χρηματικά πρόστιμα ύψους έως το δέκα τοις εκατό (10%) του συνολικού καθαρού κύκλου εργασιών, συμπεριλαμβανομένου του ακαθάριστου εισοδήματος της επιχείρησης κατά την προηγούμενη χρήση.

Νίκος Καρούτζος
nkaroutzos@gmail.com
www.bankingnews.gr