Κυβερνοασφάλεια: Η ανάγκη μιας εθνικής στρατηγικής
Του
ΔΗΜΗΤΡΗ ΣΕΡΠΑΝΟΥ
Καθηγητή Πανεπιστημίου Πατρών,
Διευθυντή Ινστιτούτου
Βιομηχανικών Συστημάτων / «ΑΘΗΝΑ»
Οι πρόσφατες κυβερνοεπιθέσεις σε κυβερνητικούς ιστότοπους, οι οποίες ήρθαν στο φως της δημοσιότητας, έφεραν στην προσοχή του κοινού το πρόβλημα της κυβερνοασφάλειας για μία ακόμη φορά. Το χαρακτηριστικό αυτών των κυβερνοεπιθέσεων, που προκάλεσε ιδιαίτερο προβληματισμό και οδήγησε στη μεγαλύτερη ανάδειξή τους απ’ ό,τι στο παρελθόν είναι η εκτίμηση (ή βεβαιότητα για ορισμένους) ότι οι επιθέσεις προήλθαν από οργανωμένη προσπάθεια ομάδων (ή οργανισμών) ξένου κράτους.
Με αυτόν τον τρόπο αναδείχθηκε ότι και η χώρα μας δεν αντιμετωπίζει προβλήματα κυβερνοασφάλειας κακόβουλων ενεργειών μόνο σε επίπεδο πολιτών και αυτόνομων οργανισμών αλλά και σε συλλογικό, κρατικό επίπεδο.
Η διάδοση και υιοθέτηση ψηφιακών υπηρεσιών αποτελεί σημαντικό βήμα στην ανάπτυξη ενός κράτους, διευκολύνοντας την καθημερινότητα των πολιτών, την κρατική λειτουργία και την οικονομία με την αποτελεσματική μείωση της γραφειοκρατίας. Όμως είναι απαιτούμενη η παροχή ασφαλών ψηφιακών υπηρεσιών, καθώς χρησιμοποιούνται προσωπικά δεδομένα και αυτοματοποιούνται έλεγχοι και διαδικασίες.
Η έλλειψη κατάλληλων μηχανισμών κυβερνοασφάλειας μπορεί να οδηγήσει σε πολλαπλά προβλήματα, συμπεριλαμβανομένων της διαρροής προσωπικών δεδομένων, της τροποποίησης ορθών διαδικασιών και της αποφυγής αποτελεσματικών ελέγχων. Επιπλέον, οι ασφαλείς ψηφιακές υπηρεσίες οφείλουν να έχουν υψηλή διαθεσιμότητα, δηλαδή να παρέχονται συνεχώς, χωρίς διακοπές, ώστε να μπορούν να παρέχουν τις προδιαγεγραμμένες υπηρεσίες και να επιτυγχάνουν τους στόχους τους.
Επιθέσεις σε ψηφιακές υπηρεσίες –υπολογιστικά συστήματα, τηλεπικοινωνιακά δίκτυα και ψηφιακές εφαρμογές– είναι γνωστές για δεκαετίες. Οι περιπτώσεις στη χώρα μας είναι πολλές και περιλαμβάνουν υποκλοπές κωδικών για ψηφιακές υπηρεσίες, υποκλοπές ηλεκτρονικού ταχυδρομείου, διαρροή φορολογικών στοιχείων πολιτών και αλλαγή ιστοσελίδων οργανισμών.
Οι πρόσφατες κυβερνοεπιθέσεις ανέδειξαν και τα προβλήματα διαθεσιμότητας, λόγω της διακοπής λειτουργίας κυβερνητικών ιστότοπων. Είναι σαφές ότι στόχος κυβερνοεπιθέσεων μπορούν να είναι άτομα, οργανισμοί και κράτη. Επίσης, οι επιτιθέμενοι μπορεί να είναι άτομα ή οργανισμοί με διάφορα προφίλ και στόχους.
Κυβερνοεγκληματίες, για παράδειγμα, στοχεύουν στον πλουτισμό τους μέσω συγκεκριμένων ενεργειών, όπως η υποκλοπή προσωπικών στοιχείων για πρόσβαση σε τραπεζικούς λογαριασμούς ή ο εκβιασμός θυμάτων με αποκοπή της πρόσβασής τους σε δεδομένα και υπηρεσίες. Επιτιθέμενα κράτη στοχεύουν στη διακοπή κυβερνητικών υπηρεσιών, στη διακοπή λειτουργίας κρίσιμων υποδομών –όπως η ενέργεια, οι μεταφορές, η υγεία κ.λπ.– με απώτερο σκοπό την αδυναμία κρατικής λειτουργίας –πολιτικά ή / και στρατιωτικά–, τη δημιουργία ανασφάλειας στον πληθυσμό, τον αποπροσανατολισμό του ή ακόμη και τη χειραγώγησή του.
Κυβερνοεπιθέσεις που αποδίδονται σε κράτη είναι γνωστές για περισσότερο από μία δεκαετία. Οι κυβερνοεπιθέσεις στην Εσθονία το 2007, που διέκοψαν την ομαλή λειτουργία πολλών οργανισμών, συμπεριλαμβανομένων κρατικών, τραπεζικών και Μέσων Ενημέρωσης, αντίστοιχες κυβερνοεπιθέσεις στη Γεωργία τον Οκτώβριο του 2019, η κυβερνοεπίθεση με κωδικό Stuxnet στο Ιράν, με αποτέλεσμα την καταστροφή εξοπλισμού πυρηνικού εργοστασίου και την καθυστέρηση του ιρανικού πυρηνικού προγράμματος, και πολλές άλλες επιθέσεις επιδεικνύουν τον αυξανόμενο κίνδυνο κυβερνοπολέμου και εμπλοκής αυξανόμενου αριθμού κρατών.
Η αντιμετώπιση των κυβερνοεπιθέσεων σε όλα τα επίπεδα, από ατομικό έως κρατικό, απαιτεί συστηματική προσέγγιση. Η επίτευξη και παροχή κυβερνοασφάλειας είναι μια δυναμική διαδικασία, η οποία συνδυάζει απαιτήσεις πολιτικής, νομικής, διοίκησης, τεχνολογίας, έρευνας και ανάπτυξης, εκπαίδευσης και δίωξης. Η πολιτική ορίζει τους στόχους που πρέπει να επιτευχθούν, όπως, για παράδειγμα, την προστασία των κρίσιμων υποδομών, την ανάπτυξη εγχώριας τεχνολογίας, την ανάπτυξη εξειδικευμένων οργανισμών ή υπηρεσιών για αντιμετώπιση επιθέσεων και την ασφάλεια της εφοδιαστικής αλυσίδας επιλεγμένων ψηφιακών συστημάτων και υπηρεσιών.
Είναι απαραίτητο να υπάρχει κατάλληλο και αποτελεσματικό νομικό πλαίσιο, το οποίο να καθορίζει κανονισμούς προστασίας δεδομένων, συστημάτων και υπηρεσιών, ώστε να υλοποιούνται οι κατάλληλες διαδικασίες που αποφεύγουν διαρροή δεδομένων και αυθαίρετες ή παράνομες παρεμβάσεις τρίτων σε συστήματα και υπηρεσίες. Επίσης, το νομικό πλαίσιο πρέπει να καθορίζει τις απαιτήσεις ασφάλειας για ψηφιακές υπηρεσίες, ώστε να επιτυγχάνονται οι απαραίτητοι στόχοι ασφάλειας.
Εξειδικευμένες διοικητικές διαδικασίες είναι απαραίτητες στους οργανισμούς, ιδιωτικούς και δημόσιους, για να αποφεύγονται γνωστοί κίνδυνοι. Η εξειδικευμένη τεχνολογία είναι αναμφισβήτητα ένα σημαντικό μέρος της δυναμικής διαδικασίας της κυβερνοασφάλειας, προσφέροντας συνεχώς βελτιωμένα τεχνολογικά εργαλεία και λύσεις που θωρακίζουν τα συστήματα και τις υπηρεσίες.
Για τη συστηματική διαχείριση της κυβερνοασφάλειας είναι απαραίτητη η οργάνωση μιας εθνικής δομής, όπως υποδεικνύει και η εμπειρία των προηγμένων κρατών που έχουν δώσει προτεραιότητα στην κυβερνοασφάλεια για δεκαετίες.
Μια τέτοια δομή οφείλει να καλύπτει δύο κατευθύνσεις:
(α) Τον καθορισμό νομοθεσίας, στρατηγικής, τακτικής (μέσω προσδιορισμού κρίσιμων υποδομών, απαιτήσεων κυβερνοασφάλειας στους οργανισμούς, οδηγιών κ.λπ.), εποπτείας και ελέγχου. (β) Την αντιμετώπιση συμβάντων (επιθέσεων). Η ένταξη των δραστηριοτήτων των δύο κατευθύνσεων σε έναν ή δύο οργανισμούς είναι μια πολιτική απόφαση, καθώς υπάρχουν επιτυχημένα παραδείγματα και των δύο λύσεων. Μικρές όμως χώρες, όπως η χώρα μας, συνήθως συγκεντρώνουν όλες τις δραστηριότητες σε έναν φορέα, όπως στην περίπτωση του Ισραήλ.
Στην Ελλάδα έχουν γίνει τα πρώτα απαραίτητα βήματα, έχοντας καθορίσει Εθνική Αρχή Κυβερνοασφάλειας καθώς και ομάδα απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT). Επίσης, έχουν γίνει τα πρώτα βήματα καθορισμού κρίσιμων υποδομών. Όμως χρειάζεται άμεσα αρκετή πρόσθετη προσπάθεια και ενέργειες σε πολλά επίπεδα, από την ανανέωση του παλαιωμένου εξοπλισμού πολλών οργανισμών μέχρι την εκπαίδευση στελεχών και τη συνεχή ενημέρωση των πολιτών αλλά και των μελών της διοίκησης ιδιωτικών και δημόσιων οργανισμών.
Το σημαντικότερο πρόβλημα που καλούμαστε όλοι να αντιμετωπίσουμε όμως είναι το πρόβλημα της στελέχωσης. Δεδομένης της έλλειψης εξειδικευμένου προσωπικού για κυβερνοασφάλεια παγκοσμίως, η οικονομική κρίση στην Ελλάδα έχει οδηγήσει σε σημαντική απώλεια εξειδικευμένου προσωπικού αλλά και νέων επιστημόνων που θα μπορούσαν να μετεκπαιδευθούν σε θέματα κυβερνοασφάλειας. Η έλλειψη προσωπικού ζημιώνει διπλά: Έχουμε έλλειψη ικανού προσωπικού και ταυτόχρονα αυξάνουμε τις εξαρτήσεις μας από τρίτους παρόχους, τους οποίους αναγκαστικά εμπιστευόμαστε… Οι εγχώριες επενδύσεις στην κυβερνοασφάλεια δείχνουν να είναι μια σημαντική λύση. Σε αυτήν την κατεύθυνση γίνεται φανερή και πάλι η σημασία της πολιτικής και της οικονομικής ανάπτυξης.