Τεχνολογια - Επιστημη

Κυβερνοασφάλεια για όλους

Η ανάπτυξη και η υιοθέτηση συστημάτων λογισμικού κυβερνοασφάλειας απαιτεί ένα σύγχρονο θεσμικό πλαίσιο

Σέργιος Θεοδωρίδης
5’ ΔΙΑΒΑΣΜΑ

Κυβερνοασφάλεια, απειλές και προστασία: Η δημοκρατική λειτουργία ενός κράτους, η εξέλιξη των κυβερνοεπιθέσεων, η ανάγκη ενός σύγχρονου θεσμικού πλαισίου.

Το άρθρο γράφτηκε με αφορμή την εκδήλωση του ΔΙΚΤΥΟΥ για τη Μεταρρύθμιση στην Ελλάδα και την Ευρώπη, «Κυβερνοασφάλεια - Απειλές και προστασία: Εθνική ασφάλεια, Ασφάλεια Οργανισμών και Επιχειρήσεων, Ασφάλεια της ιδιωτικότητας και των υπολογιστών μας – κινητών», που θα πραγματοποιηθεί τη Δευτέρα 5 Δεκεμβρίου.

Ο όρος κυβερνοασφάλεια αναφέρεται στο σύνολο των τεχνολογιών, διαδικασιών και πρακτικών με στόχο την προστασία των τηλεπικοινωνιακών δικτύων, των ψηφιακών συσκευών, των λογισμικών προγραμμάτων (software) και των αποθηκευμένων δεδομένων από επιθέσεις με στόχο την καταστροφή ή παράνομη άντληση πληροφορίας. Με άλλα λόγια, πρόκειται για την ασφάλεια που αφορά τις τεχνολογίες πληροφορίας.

Η κυβερνοασφάλεια είναι θεμελιώδους σημασίας για τη δημοκρατική λειτουργία ενός κράτους δεδομένου ότι οι κυβερνήσεις, ο στρατός, οι επιχειρήσεις, οι τράπεζες, οι δομές υγείας και όλοι οι οργανισμοί κοινής ωφελείας, καθημερινά συλλέγουν, αποθηκεύουν και επεξεργάζονται τεράστιες ποσότητες δεδομένων με ιδιαίτερα ευαίσθητη πληροφοριακή αξία. Πληροφορίες που αφορούν προσωπικά δεδομένα, δεδομένα πνευματικής ιδιοκτησίας, δεδομένα σχετικά με την εθνική κυριαρχία και άμυνα, δεδομένα χρηματοοικονομικής φύσεως και διάφορους άλλους τύπους δεδομένων, των οποίων η παράνομη και μη εξουσιοδοτημένη χρήση μπορεί να έχει ιδιαίτερα αρνητικές επιπτώσεις στους πολίτες ως άτομα, στην κοινωνία αλλά και στο ίδιο το κράτος. Ήδη από το 2013, οι αξιωματούχοι των μυστικών υπηρεσιών έχουν συμπεριλάβει τις λεγόμενες κυβερνοεπιθέσεις και την ψηφιακή κατασκοπεία σε κύρια προτεραιότητα του τομέα της εθνικής ασφάλειας.

Μία άλλη διάσταση της κυβερνοασφάλειας αφορά στην ασφάλεια των κοινωνικών δικτύων, που σχετίζεται με τα λεγόμενα κυβερνοεγκλήματα (cybercrimes), όπως, για παράδειγμα, τις απειλές, τον εκφοβισμό, τη σεξουαλική εκμετάλλευση ανηλίκων, την παράνομη διακίνηση ναρκωτικών και όπλων, τη σωματεμπορία, τους εκβιασμούς για λύτρα, κ.λπ.

Ιστορικά, πολλές από τις τεχνικές που χρησιμοποιούνται σήμερα στο πλαίσιο των κυβερνοαπειλών / κυβερνοεγκλημάτων είναι «απόγονοι» των τηλεφωνικών παρακολουθήσεων των εποχών του 1950-1980. Οι τότε τεχνικές μοιάζουν πολύ απλοϊκές για σήμερα, αλλά κάποιες από τις πρακτικές που είχαν χρησιμοποιηθεί τότε παρουσιάζουν αρκετές ομοιότητες με αυτές του σήμερα.

Ίσως, αν κάποιος έπρεπε να δώσει μια ημερομηνία για την «έναρξη» της εποχής των κυβερνοεπιθέσεων θα ήταν το 1971. Τότε, ο Bob Thomas, ερευνητής στον οργανισμό Advanced Research Projects Agency (ARPA), ανέπτυξε ένα πρόγραμμα με την επωνυμία Creeper. Αν και το λογισμικό αυτό δεν ήταν πράγματι κακόβουλο, είχε την δυνατότητα να αυτοαναπαράγεται στο τότε δίκτυο ARPANET, πρόγονο του INTERNET, και να αφήνει το μήνυμα “I’M THE CREEPER; CATCH ME IF YOU CAN.” Λίγο αργότερα, το 1972, ο Ray Tomlinson, επίσης ερευνητής στην ARPA, ανέπτυξε ένα λογισμικό με την επωνυμία Reaper, του οποίου στόχος ήταν να εξαφανίζει τα ίχνη που άφηνε το Creeper στο ARPANET. Τα δύο αυτά λογισμικά είναι τα πρώτα παραδείγματα ενός υπολογιστικού «σκουληκιού» (worm) και ενός λογισμικού προστασίας από ιούς (antivirus), αντίστοιχα.

Αν και η επιλογή συγκεκριμένων χρονολογιών δεν είναι πάντα εύκολη και ίσως ενέχει και κάποια υποκειμενική χροιά, μία άλλη χρονιά που αποτελεί ορόσημό στην ιστορία της κυβερνοασφάλειας είναι το 1987. Τη χρονιά εκείνη κυκλοφόρησαν ευρέως δύο κακόβουλα λογισμικά, τα λεγόμενα Vienna and Cascade viruses. Επίσης, τη χρονιά εκείνη κυκλοφόρησαν τα πρώτα εμπορικά λογισμικά προστασίας από ιούς, όπως το Virus Killer (UVK) για υπολογιστές Atari ST και το McAfee Virus Scan. Ήταν η εποχή όπου η έμφαση ήταν στην ασφάλεια των υπολογιστών (computer security).

Στη συνέχεια, με την επικράτηση του internet, οι κυβερνοαπειλές και η κυβερνοασφάλεια πήραν τελείως νέα μορφή. Τα νέα κακόβουλα λογισμικά (π.χ., ιοί, σκουλήκια, δούρειοι ίπποι) είναι τεχνολογικά αναβαθμισμένα, και οι επιθέσεις στοχοποιούν όχι μόνο υπολογιστές αλλά και το ίδιο το δίκτυο (5G, υπολογιστικό σύννεφο, διαδίκτυο πραγμάτων ( ΙοΤ)). Επίσης, ο αριθμός των επιθέσεων αυτών πολλαπλασιάζεται με ταχύτατους ρυθμούς.

Ένα από τα πιο γνωστά παραδείγματα κυβερνοεπίθεσης των τελευταίων χρόνων είναι αυτό της ψηφιακής «συμμορίας» Conti. Στις 14 Μαΐου 2021, έγινε κυβερνοεπίθεση στο σύστημα Υγείας της Ιρλανδίας με αποτέλεσμα να δημιουργηθούν τεράστια προβλήματα στις παρεχόμενες υπηρεσίες. Η κυβέρνηση έφθασε στο σημείο να κινητοποιήσει ακόμη και το στρατό. Για την πλήρη αποκατάσταση της λειτουργίας του συστήματος χρειάστηκαν περισσότεροι από 6 μήνες. Το κακόβουλο λογισμικό, που χρησιμοποιήθηκε, ανήκει στη λεγόμενη κατηγορία ransomware, και στόχος είναι η πληρωμή λύτρων (ransom) για την αποκατάσταση της λειτουργίας. Ο τρόπος που λειτουργούν τα κακόβουλα αυτά λογισμικά είναι να κρυπτογραφούν τα αρχεία έτσι ώστε αυτά να μη μπορούν να χρησιμοποιηθούν. Η απαίτηση της πληρωμής συνίσταται στην αποκρυπτογράφηση των αρχείων που έχουν κρυπτογραφηθεί. Η πληρωμή γίνεται με κρυπτονομίσματα έτσι ώστε να είναι δύσκολος ο εντοπισμός των δραστών.

Ο όρος κυβερνοπόλεμος (cyber warfare) χρησιμοποιείται για να χαρακτηρίσει κακόβουλα λογισμικά των οποίων ο στόχος είναι να προκαλέσουν καταστροφές στη λειτουργία κυβερνητικών και κοινωνικών υποδομών, που είναι κεφαλαιώδους σημασίας για τη λειτουργία ενός κράτους, όπως για παράδειγμα το δίκτυο διανομής ενέργειας, οι ψηφιακές υποδομές του συστήματος υγείας, οι υπολογιστικές υποδομές που υποστηρίζουν τη λειτουργία των οργανισμών που σχετίζονται με την οικονομία, π.χ., τράπεζες, χρηματιστήριο, κ.λπ. Συνήθως, ο όρος αυτός χρησιμοποιείται όταν οι επιθέσεις γίνονται από ένα κράτος σε άλλο, ή από τρομοκρατικές  οργανώσεις, κ.λπ. Κατηγορίες κυβερνοπολέμου είναι η κατασκοπεία, το σαμποτάζ, η παραπληροφόρηση και η προπαγάνδα, οι επιθέσεις σε βασικές υποδομές. Ο τομέας της κυβερνοάμυνας θεωρείται πλέον ο πέμπτος πυλώνας άμυνας ενός κράτους, μαζί με τις στρατιωτικές επιχειρήσεις σε ξηρά, θάλασσα, αέρα και το διάστημα.

Ο τομέας της κυβερνοασφάλειας είναι ζωτικής σημασίας τόσο για την εθνική ασφάλεια ενός κράτους όσο και για τη δημοκρατική λειτουργία των θεσμών που θα εγγυώνται το σεβασμό των βασικών αρχών ενός κράτους δικαίου και των ατομικών δικαιωμάτων. Ταυτόχρονα, ο τομέας της κυβερνοασφάλειας είναι και ο πυλώνας που θα θωρακίζει και θα προστατεύει τους πολίτες απέναντι σε εγκληματικές ενέργειες στον κυβερνοχώρο. Αυτός είναι ένας τομέας όπου για την αντιμετώπισή του απαιτείται διεθνής συνεργασία σε παγκόσμιο επίπεδο.

Η ανάπτυξη και η υιοθέτηση συστημάτων λογισμικού κυβερνοασφάλειας απαιτεί ένα σύγχρονο θεσμικό πλαίσιο, που αφ’ ενός θα προστατεύει και θα παρέχει ασφάλεια στους πολίτες αλλά, ταυτόχρονα, δεν θα καταπατά θεμελιώδη δημοκρατικά δικαιώματα.

Σε επίπεδο ΕΕ, στο πρόγραμμα Horizon 2020 έχουν δεσμευτεί 49 εκ. Ευρώ για την ενίσχυση της καινοτομίας στον τομέα συστημάτων κυβερνοασφάλειας και προστασίας της ιδιωτικότητας. Στο πλαίσιο του προγράμματος Digital Europe, η ΕΕ έχει δεσμεύσει να επενδύσει, για την περίοδο 2021-2027, 1.6 δις Ευρώ σε τομείς σχετικούς με την κυβερνοασφάλεια. Oι ΗΠΑ προβλέπεται να επενδύσουν σε τομείς που σχετίζονται με την κυβερνοασφάλεια 10 δις δολάρια για το 2023. Σύμφωνα με τις προβλέψεις της Cybersecurity Ventures, την πενταετία 2021-2025, οι συνολικές επενδύσεις σε τομείς της κυβερνοασφάλειας, παγκόσμια, υπολογίζονται σε 1.75 τρις δολάρια. Ο τομέας είναι ένας από τους ταχύτερα αναπτυσσόμενους κλάδους στο χώρο των τεχνολογιών πληροφορίας.

Σε θεσμικό επίπεδο, η ΕΕ έχει πάρει μία σειρά πρωτοβουλιών κι έχει θεσπίσει ήδη κανόνες για την ελαχιστοποίηση των κινδύνων στο πλαίσιο της κυβερνοασφάλειας, αν και οι διαφοροποιήσεις στις υποδομές και στις πολιτικές/κοινωνικές ιδιαιτερότητες κάθε κράτους μέλους δυσχεραίνουν τέτοιου είδους αποφάσεις. Τέσσερις είναι οι κύριες δράσεις της ΕΕ για ένα ρυθμιστικό πλαίσιο λειτουργίας ψηφιακών εφαρμογών στον κυβερνοχώρο του διαδικτύου. Ο οργανισμός European Union Agency for Cybersecurity (ENISA), η οδηγία Directive on Security of Network and Information Systems (the NIS Directive), το κανονιστικό πλαίσιο General Data Protection Regulation (GDPR), και η ομάδα Computer Emergency Response Team (CERT-EU). Στόχος των δράσεων αυτών είναι ο συντονισμός και η συνεργασία των κρατών μελών στο πλαίσιο κάποιων κοινών ρυθμιστικών αρχών και κανόνων, που θα παρέχουν εμπιστοσύνη σε μια διασυνδεμένη οικονομία, θα θωρακίσουν τις ψηφιακές υποδομές ενισχύοντας την ανθεκτικότητά τους σε κυβερνοεπιθέσεις, και θα παρέχουν ένα αίσθημα ασφάλειας στους πολίτες της ΕΕ σχετικά με τη χρήση προσωπικών δεδομένων και το σεβασμό των ατομικών τους δικαιωμάτων.

Στην Ελλάδα, την ευθύνη για την κυβερνοασφάλεια έχει η Γενική Διεύθυνση Κυβερνοασφάλειας (ΓΔΚ), που υπάγεται στη Γενική Γραμματεία Τηλεπικοινωνιών & Ταχυδρομείων του υπουργείου Ψηφιακής Διακυβέρνησης. Το Δεκέμβριο του 2020 ολοκληρώθηκε η εθνική στρατηγική κυβερνοασφάλειας για την περίοδο 2020-2025, όπου τέθηκαν οι στρατηγικοί και οι ειδικοί στόχοι σύμφωνα με τις προτάσεις της ENISA. Είναι σημαντικό, όμως, η υλοποίηση των στρατηγικών και ειδικών στόχων και οι αναγκαίες επιμέρους ρυθμίσεις και νομοθετήσεις να γίνονται στο πλαίσιο διευρυμένων πολιτικών και κοινωνικών συγκλίσεων. Ταυτόχρονα, θα πρέπει να υπάρξει επαρκής χρηματοδότηση για τo σχεδιασμό, ανάπτυξη και υλοποίηση των δράσεων με παροχή κινήτρων τόσο για επενδύσεις όσο και για συνεργασία μεταξύ ιδιωτικών φορέων, του δημοσίου και των εκπαιδευτικών/ερευνητικών ιδρυμάτων.