Σύμβαση με απευθείας ανάθεση χωρίς παραδοτέα, «εκπαίδευση» στο παρά πέντε
Ο ΠΑΝ.Σ.ΥΠ.Ο καταγγέλλει τον τρόπο με τον οποίο η Διοίκηση της Δ.ΥΠ.Α διαχειρίστηκε τη σύμβαση «antiphishing», διότι αποδεικνύεται ότι δεν επεδίωξε ουσιαστική προστασία του Οργανισμού από κακόβουλα emails, αλλά περιορίστηκε σε μια τυπική, εκπρόθεσμη και επικοινωνιακή ενέργεια που μεταφέρει την ευθύνη αποκλειστικά στους εργαζόμενους.
Η σύμβαση με απευθείας ανάθεση ύψους 27.900,00€ υπογράφηκε τον Φεβρουάριο του 2025 και ίσχυε έως τις 31 Δεκεμβρίου 2025. Παρ’ όλα αυτά, δεν περιλαμβάνει σαφή χρονικά ορόσημα, ούτε συγκεκριμένα παραδοτέα δεσμευτικά ως προς τον χρόνο. Για σχεδόν έντεκα μήνες δεν υπήρξε καμία εμφανής, τεκμηριωμένη και μετρήσιμη δράση ενίσχυσης της προστασίας της Δ.ΥΠ.Α από phishing επιθέσεις.
Και τελικά, η «δράση» εμφανίστηκε στις 30 Δεκεμβρίου 2025, μία ημέρα πριν από τη λήξη της σύμβασης. Παραμονές εορτών, με υπηρεσίες υποστελεχωμένες λόγω αδειών, χωρίς περιθώριο αξιολόγησης, χωρίς δυνατότητα βελτίωσης, χωρίς συνέχεια. Αυτό δεν είναι κυβερνοασφάλεια. Είναι στην ουσία μια τυπική ολοκλήρωση σύμβασης στο παρά πέντε.
Ακόμη χειρότερα, η περιβόητη «εκπαίδευση» υλοποιήθηκε με email που ζητούσε από τους εργαζόμενους να κάνουν κλικ σε σύνδεσμο και να αλλάξουν προσωρινούς κωδικούς σε εξωτερική πλατφόρμα. Δηλαδή, στο όνομα της προστασίας από το phishing, ζητήθηκε από τους υπαλλήλους να εφαρμόσουν στην πράξη ό,τι ακριβώς μας λένε καθημερινά να αποφεύγουμε.
Αν η Δ.ΥΠ.Α ήθελε πραγματικά να προστατευτεί από phishing mails, θα όφειλε πρωτίστως να επενδύσει σε θεσμικά και τεχνικά μέτρα πρόληψης, όχι να περιοριστεί σε οδηγίες και σεμινάρια συμπεριφοράς. Θα έπρεπε να ενισχύσει τα φίλτρα εισερχόμενης αλληλογραφίας, να εφαρμόσει πολιτικές αυθεντικοποίησης αποστολέων, να θωρακίσει τα συστήματα email σε κεντρικό επίπεδο, να οργανώσει εσωτερικούς μηχανισμούς αναφοράς ύποπτων μηνυμάτων και να προχωρήσει σε συνεχή, ελεγχόμενη παρακολούθηση και αξιολόγηση πραγματικών περιστατικών. Αντί γι’ αυτά, επέλεξε να στείλει ένα email που ζητούσε από τους εργαζόμενους να κάνουν κλικ σε σύνδεσμο και να αλλάξουν κωδικούς σε εξωτερική πλατφόρμα.
Με τον τρόπο αυτό, η κυβερνοασφάλεια παρουσιάζεται ως ατομική υποχρέωση και όχι ως διοικητική ευθύνη. Αν αύριο υπάρξει σοβαρό περιστατικό, το αφήγημα είναι έτοιμο: «οι υπάλληλοι είχαν εκπαιδευτεί». Αυτή η λογική δεν προστατεύει τον Οργανισμό αλλά προετοιμάζει τη μετακύλιση ευθυνών.
Η εικόνα αυτή επιτείνεται από το γεγονός ότι η σύμβαση δεν συνδέει την αμοιβή με συγκεκριμένα, χρονικά προσδιορισμένα παραδοτέα, ενώ προβλέπει δυνατότητα εκχώρησης της πληρωμής σε τραπεζικό ίδρυμα. Η πληρωμή εξασφαλισμένη, η προστασία ασαφής. Τα ερωτήματα γίνονται ακόμη πιο σοβαρά αν ληφθεί υπόψη ότι η ίδια εταιρεία έχει αναλάβει διαχρονικά έργα κυβερνοασφάλειας και ψηφιακών υποδομών σε πολλούς δημόσιους φορείς, με καθαρά τεχνικό αντικείμενο. Παρ’ όλα αυτά, στη Δ.ΥΠ.Α περιορίστηκε σε μια ασαφή «εκπαίδευση», χωρίς σαφή σχέδια, χωρίς τεχνικές παρεμβάσεις, χωρίς μετρήσιμο αποτέλεσμα.
Τέλος, δεν μπορεί να παραβλεφθεί ότι, σύμφωνα με τα επίσημα στοιχεία του Γενικού Εμπορικού Μητρώου, για την ανάδοχο εταιρεία καταγράφεται αναστολή καταχώρησης από 12/12/2025, λόγω μη εμπρόθεσμης δημοσίευσης των οικονομικών καταστάσεων του έτους 2024, εφόσον αυτή προβλέπεται. Η αναφορά αυτή αποτυπώνει ένα επίσημα καταγεγραμμένο διοικητικό δεδομένο, το οποίο καθιστά ακόμη πιο επιτακτική την ανάγκη αυξημένου θεσμικού ελέγχου, διαφάνειας και ουσιαστικής παρακολούθησης των συμβατικών σχέσεων, και όχι πρακτικές χαλαρής ή τυπικής διαχείρισης.
Η πραγματική προστασία από phishing δεν είναι ζήτημα «ευαισθητοποίησης» ούτε ατομικής προσοχής των εργαζομένων, αλλά υποχρέωση της Διοίκησης να θωρακίσει τεχνικά τα συστήματα του Οργανισμού. Αν η Δ.ΥΠ.Α ήθελε πράγματι να προστατευτεί, όφειλε να έχει ενισχύσει ουσιαστικά τα φίλτρα εισερχόμενης αλληλογραφίας, να έχει εφαρμόσει αυστηρές πολιτικές αυθεντικοποίησης αποστολέων (SPF, DKIM, DMARC), να διαθέτει λειτουργικό μηχανισμό αναφοράς ύποπτων emails, να καταγράφει και να αναλύει συστηματικά πραγματικά περιστατικά και να έχει λάβει μέτρα περιορισμού της ζημιάς, όπως πολυπαραγοντική αυθεντικοποίηση και σαφή περιορισμό δικαιωμάτων πρόσβασης.
Η εκπαίδευση προσωπικού μπορεί να λειτουργήσει μόνο συμπληρωματικά και ποτέ ως άλλοθι. Όταν όλα τα παραπάνω απουσιάζουν και η «δράση» εξαντλείται σε email τελευταίας στιγμής που ζητούν κλικ σε συνδέσμους και αλλαγές κωδικών σε εξωτερικές πλατφόρμες, τότε δεν μιλάμε για κυβερνοασφάλεια, αλλά για μετακύλιση της ευθύνης στους εργαζόμενους και για συνειδητή υποβάθμιση της προστασίας του Οργανισμού.
Κατόπιν των ανωτέρω η Δ.ΥΠ.Α. πρέπει να απαντήσει :
-
Ποιες συγκεκριμένες τεχνικές παρεμβάσεις υλοποιήθηκαν στα συστήματα email της Δ.ΥΠ.Α από τον Φεβρουάριο 2025 έως τον Δεκέμβριο 2025 για την πρόληψη phishing επιθέσεων;
-
Ενισχύθηκαν ή αναβαθμίστηκαν τα κεντρικά φίλτρα εισερχόμενης αλληλογραφίας και με ποια αποτελέσματα (π.χ. μείωση κακόβουλων emails);
-
Εφαρμόστηκαν ή ελέγχθηκαν πολιτικές αυθεντικοποίησης αποστολέων (π.χ. SPF, DKIM, DMARC) σε όλα τα domains της ΔΥΠΑ; Αν όχι, γιατί;
-
Υπήρξε καταγραφή και ανάλυση πραγματικών περιστατικών phishing κατά τη διάρκεια της σύμβασης και ποια ήταν τα συμπεράσματα;
-
Ποιος μηχανισμός δημιουργήθηκε ώστε οι εργαζόμενοι να αναφέρουν εύκολα και με ασφάλεια ύποπτα emails;
-
Γιατί η σύμβαση δεν περιλαμβάνει χρονικά δεσμευτικά παραδοτέα για τα παραπάνω μέτρα, αλλά περιορίζεται σε γενικές διατυπώσεις;
-
Για ποιο λόγο επιλέχθηκε ως βασική «δράση» η αποστολή email που ζητούσε κλικ σε σύνδεσμο και αλλαγή κωδικού σε εξωτερική πλατφόρμα, πρακτική που συνιστά κλασικό μοτίβο phishing;
-
Ποια ευθύνη αναλαμβάνει η Διοίκηση σε περίπτωση επιτυχούς phishing επίθεσης, όταν η σύμβαση δεν προέβλεπε υποχρεωτικά τεχνικά μέτρα πρόληψης;
-
Ελέγχθηκε και πότε η κατάσταση τήρησης υποχρεώσεων δημοσιότητας του αναδόχου στο Γ.Ε.ΜΗ., ιδίως μετά την αναστολή καταχώρησης από 12/12/2025;
-
Με βάση ποια κριτήρια θεωρεί η Διοίκηση ότι η συγκεκριμένη σύμβαση ενίσχυσε ουσιαστικά την ασφάλεια της Δ.ΥΠ.Α και όχι απλώς τη δυνατότητα επίρριψης ευθυνών στους εργαζόμενους;
