Περισσότερες από 2.000 οντότητες του δημοσίου, αλλά και του ιδιωτικού τομέα αφορά το νέο νομοσχέδιο για την κυβερνοασφάλεια, το οποίο έρχεται να ενσωματώσει την ευρωπαϊκή οδηγία NIS2 στο εθνικό μας δίκαιο. Το νέο νομοσχέδιο, που αυτήν την περίοδο, βρίσκεται σε δημόσια διαβούλευση, αναμένεται να ψηφιστεί μέχρι το τέλος της χρονιάς και από τις αρχές του 2025 οι υπόχρεοι φορείς του δημοσίου και οι ιδιωτικές επιχειρήσεις καλούνται να έχουν λάβει τα απαραίτητα μέτρα για την προστασία τους.

Διευρύνεται το πεδίο εφαρμογής

Στόχος της νέας οδηγίας NIS2 είναι η ενίσχυση του νομοθετικού πλαισίου και της κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση για την καθιέρωση ενός υψηλού κοινού επιπέδου ασφάλειας για συστήματα δικτύων και πληροφοριών σε κρίσιμους τομείς. Σε σχέση με την αρχική οδηγία NIS (2016) διευρύνει το πεδίο εφαρμογής της και ενισχύει τις απαιτήσεις για την καλύτερη αντιμετώπιση των εξελισσόμενων απειλών στον κυβερνοχώρο. Ενδεικτικά και ως προς το πεδίο εφαρμογής, ενώ στην αρχική οδηγία, υπόχρεοι στην Ελλάδα ήταν περίπου 40 δημόσιοι και ιδιωτικοί φορείς, τώρα με τη νέα οδηγία οι υπόχρεες οντότητες εκτιμώνται σε περισσότεροι από 2.000, αφού η NIS2 αφορά όλες τις μεσαίες και μεγάλες επιχειρήσεις που δραστηριοποιούνται σε κρίσιμους τομείς.

Πρακτικά, “με τη NIS2 εντάσσονται κάτω από το ίδιο καθεστώς για τα μέτρα που πρέπει να λάβουν, όλες οι οντότητες που η διακοπή λειτουργίας τους δημιουργεί πρόβλημα στο κοινωνικό σύνολο” σημείωσε σε δηλώσεις του ο Μιχάλης Μπλέτσας, διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ).

Σύμφωνα με στελέχη της Εθνικής Αρχής η λίστα των υπόχρεων επιχειρήσεων περιλαμβάνει όλες όσες απασχολούν τουλάχιστον 50 άτομα. Στην ίδια λίστα θα ενταχθούν και μικρότερες επιχειρήσεις, με τζίρο άνω των 10 εκατομμυρίων ευρώ, οι οποίες δραστηριοποιούνται σε τομείς υψηλής κρισιμότητας. Αξίζει μάλιστα να σημειωθεί ότι δεν έγκειται στην ευθύνη της ΕΑΚ να ενημερώσει τις επιχειρήσεις αν περιλαμβάνονται στη λίστα των υπόχρεων, αλλά οι ίδιες οι επιχειρήσεις με σχετική δραστηριότητα θα πρέπει να προχωρήσουν στο σχετικό έλεγχο, απευθυνόμενες στην ΕΑΚ.

Ανάμεσα στα μέτρα που καλούνται να λάβουν όλοι οι υπόχρεοι οργανισμοί περιλαμβάνονται:

• Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια  των πληροφοριακών συστημάτων

• Διαχείριση περιστατικών

• Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο

• Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της

• Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών

• Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας

Τα μέτρα αναμένεται να εξειδικευτούν το προσεχές χρονικό διάστημα και σίγουρα πριν την πραγματοποίηση των ελέγχων που θα πραγματοποιεί τακτικά η ΕΑΚ για την εφαρμογή τους.

Υποχρέωση αναφοράς περιστατικών

Εκτός της λήψης μέτρων κυβερνοασφάλειας, η νέα οδηγία NIS2 εισάγει και την υποχρέωση αναφοράς περιστατικών κυβερνοεπίθεσης στην Ελληνική Αρχή Κυβερνοασφάλειας, διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών. Όπως έχει αποδείξει η εμπειρία η πλειονότητα των οργανισμών που έχει δεχθεί κάποια κυβερνοεπίθεση αποφεύγει να δημοσιοποιήσει το περιστατικό, κυρίως για λόγους κύρους. Όμως με τη NIS2 έρχεται να αλλάξει αυτό το καθεστώς και πλέον υποχρεώνονται να απευθύνονται εντός 24 ωρών στην ΕΑΚ από τη στιγμή που εντοπίζεται η επίθεση.

«Σήμερα έχουμε θολή εικόνα του τοπίου γιατί δεν μας αναφέρονται τα περιστατικά. Και όταν κάτι δεν μπορείς να το μετρήσεις δεν μπορείς και να το αλλάξεις» σημείωσε χαρακτηριστικά ο κ. Μπλέτσας. Πρόσθεσε μάλιστα ότι τα περιστατικά θα δημοσιοποιούνται, ενώ η υποχρέωση αναφοράς δεν έχει τιμωρητικό χαρακτήρα, αλλά στοχεύει και στην έγκαιρη αντιμετώπιση μιας κυβερνοεπίθεσης, όπως και στην προστασία άλλων οντοτήτων από αντίστοιχες κακόβουλες επιθέσεις στον κυβερνοχώρο.

«Η κυβερνοασφάλεια είναι ομαδικό σπορ» ανέφερε χαρακτηριστικά ο διοικητής της ΕΑΚ, για την ανάγκη συνεργασίας όλων των εμπλεκομένων φορέων, έτσι ώστε να αντιμετωπιστούν με επιτυχία οι προκλήσεις στο εξελισσόμενο τοπίο των κυβερνοαπειλών.

Κυρώσεις και πρόστιμα έως 10 εκατομμύρια ευρώ

Το νέο νομοσχέδιο φέρνει και αυστηρές κυρώσεις και πρόστιμα για εκείνους τους υπόχρεους που δεν θα εφαρμόσουν τα σχετικά μέτρα. Ως προς το ύψος του προστίμου, αυτό μπορεί να φθάσει έως και το 2% του παγκόσμιου τζίρου μιας επιχείρησης (εφόσον δραστηριοποιείται και σε άλλες αγορές) με μέγιστο ταβάνι τα 10 εκατομμύρια ευρώ. Παράλληλα, προβλέπεται η προσωρινή αναστολή πιστοποίησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών, όπως επίσης και η προσωρινή απαγόρευση σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων.

Αξίζει να σημειώσουμε ότι σε σχέση με την προηγούμενη οδηγία του 2016, η NIS2 δεν περιορίζει την ευθύνη για την ψηφιακή ασφάλεια ενός οργανισμού στον υπεύθυνο ασφάλειας των πληροφοριακών συστημάτων, αλλά τη μεταφέρει στο σύνολο της διοίκησης/διοικητικού συμβουλίου. Μια πρόβλεψη που έχει ως στόχο να καλλιεργηθεί μια κουλτούρα κυβερνοασφάλειας (ή κυβερνοϋγιεινής, όπως είναι ο νέος όρος) στο σύνολο των υπόχρεων φορέων και επιχειρήσεων.

“Η κυβερνοασφάλεια ήταν ένα παραμελημένος τομέας μέχρι σήμερα, όμως από τη στιγμή που θα τη χρειαστείς τότε θα καταλάβεις το μέγεθος της αμέλειας” ανέφερε χαρακτηριστικά ο κ. Μπλέτσας. Σε ένα περιβάλλον που η ένταση των επιθέσεων κλιμακώνεται και οι κυβερνοεγκληματίες χρησιμοποιούν όλο και πιο εκλεπτυσμένες απειλές, οι οργανισμοί καλούνται να είναι σε εγρήγορση για την προστασία τους. Σ’ αυτό το περιβάλλον καμία αμέλεια δεν συγχωρείται.

The post Οι επιχειρήσεις που αφορά ο νέος νόμος για την κυβερνοασφάλεια και οι κυρώσεις για μη συμμόρφωση appeared first on 2045.gr.

Από το «123456» ή την ημερομηνία γέννησης έως τα δύο βήματα επιβεβαίωσης και τα σύγχρονα password managers, η καθημερινότητα στο online περιβάλλον προϋποθέτει τη χρήση κωδικών. Laptops, smartphones, Social Media, online banking, streaming πλατφόρμες, συνδρομητικές υπηρεσίες, η χρήση όλων των παραπάνω έχει ως πρώτο βήμα την πληκτρολόγηση ενός ισχυρού και φαινομενικά ασφαλούς κωδικού. Σύμφωνα με μια πρόσφατη έρευνα της NordPass κάθε χρήστης χρησιμοποιεί σήμερα κατά μέσο όρο 100(!) κωδικούς, όχι απαραίτητα διαφορετικούς μεταξύ τους.

Η δημιουργία αυτών των μακρoσκελών, περίπλοκων κωδικών πρόσβασης που αποτρέπουν καλύτερα τους διαδικτυακούς κλέφτες είναι σίγουρα κουραστική, ειδικά αν πρόκειται για δεκάδες διαφορετικούς διαδικτυακούς λογαριασμούς. Αλλά είναι μια απαραίτητη διαδικασία, λαμβάνοντας υπόψη τους αριθμούς ρεκόρ στις παραβιάσεις τα τελευταία χρόνια.

Έξι δεκαετίες με κωδικούς

Ο πρώτος κωδικός πρόσβασης, όπως τους ξέρουμε σήμερα, εμφανίζεται το 1961, για τον κοινής χρήσης υπολογιστή που είχε το γνωστό πανεπιστημιακό ίδρυμα MIT. Το συγκεκριμένο σύστημα ήταν εξοπλισμένο με κωδικό πρόσβασης έτσι ώστε να εξασφαλίζεται η ασφαλής σύνδεση των ακαδημαϊκών. Ο αστικός μύθος θέλει το συγκεκριμένο σύστημα να είναι και το πρώτο που έπεσε θύμα παραβίασης δεδομένων.

Έξι δεκαετίες μετά οι κωδικοί πρόσβασης δεν αφορούν μόνο τους ακαδημαϊκούς, αλλά αποτελούν την πιο συνήθη μορφή ελέγχου ταυτότητας για όλους τους χρήστες.

Αυτό βέβαια δεν έχει αποτρέψει τις παραβιάσεις. Είτε γιατί αρκετοί από εμάς καταφεύγουμε στην εύκολη λύση ενός αδύναμου password για να τον θυμόμαστε εύκολα είτε γιατί οι κυβερνοεγκληματίες μπορούν να εκμεταλλευτούν κάθε ευάλωτο (ή όχι) στοιχείο των μέτρων προστασίας που λαμβάνουμε. Είναι χαρακτηριστικό ότι ακόμα και σήμερα εκατοντάδες εκατομμύρια άνθρωποι χρησιμοποιούν ως κωδικό το «123456» σε έναν ή και περισσότερους λογαριασμούς που χρησιμοποιούν (έρευνα NordPass 2021). Από την ίδια λίστα βλέπουμε ότι για τους δέκα πιο συνηθισμένους κωδικούς οι hackers χρειάζονται κάτω από ένα δευτερόλεπτο για να τον σπάσουν.

Προκειμένου λοιπόν να είμαστε καλύτερα προετοιμασμένοι για κάποια προσπάθεια παραβίασης λογαριασμών μας είναι καλό να θυμόμαστε πάντα ότι χρειαζόμαστε κάποιο password για οποιαδήποτε υπηρεσία χρησιμοποιούμε και η οποία μπορεί να περιέχει κάποιο ευαίσθητο προσωπικό δεδομένο.

Μερικές βασικές αλήθειας στα μέτρα αυτοπροστασίας είναι:

• Δεν χρησιμοποιούμε τον ίδιο κωδικό σε δύο ή και περισσότερους λογαριασμούς.
• Ανανεώνουμε τακτικά τους κωδικούς πρόσβασης, ανεξάρτητα από το αν απαιτείται ή όχι από την υπηρεσία.
• Δεν καταφεύγουμε στη χρήση παλαιότερων κωδικών.
• Δεν χρησιμοποιούμε κάποιο κωδικό πρόσβασης που να συνδέεται νοηματικά με κάποιο δημόσιο δεδομένο μας (π.χ. η ημερομηνία γέννησης)
• Ένα ισχυρό password περιλαμβάνει τουλάχιστον οκτώ ψηφία, με πεζά και κεφαλαία γράμματα, αριθμούς, αλλά και σύμβολα.
• Χρησιμοποιούμε τα εργαλεία διπλής επιβεβαίωσης, όπου είναι διαθέσιμα.
• Διατηρούμε back up αρχείο με τους κωδικούς (όχι σε κάποια ηλεκτρονική συσκευή, αλλά) στο χαρτί.

Ας δούμε και μερικά ακόμα στοιχεία που έχουν ενδιαφέρον (Goodfirms 2021):

• 30% των παραβιάσεων ασφαλείας προκαλούνται από αδύναμους κωδικούς πρόσβασης
• 62.9% των χρηστών ανανεώνουν τον κωδικό τους μόνο αν είναι υποχρεωτικό
• 45.7% των χρηστών χρησιμοποιούν ένα κοινό κωδικό για πολλαπλά sites και εφαρμογές
• 52.9% των χρηστών μοιράζονται τους κωδικούς τους με συναδέλφους, φίλους και μέλη της οικογένειάς τους

Οι κωδικοί λοιπόν μπορεί να έχουν μια μεγάλη ιστορία πίσω τους, αλλά η ίδια η ιστορία έχει δείξει ότι δεν έχουν εξαλείψει τον κίνδυνο της παραβίασης λογαριασμών και προσωπικών δεδομένων. Αυτός είναι και ο λόγος που σχεδιάζεται η εγκατάλειψή τους στο μέλλον. «Όσοι οι κωδικοί πρόσβασης είναι κομμάτι της εξίσωσης, τόσο τα συστήματά μας θα παραμένουν ευπαθή», σημείωσε πρόσφατα η Joy Chik, υψηλόβαθμο στέλεχος της Microsoft και υπεύθυνη των λύσεων ασφάλειας της εταιρείας.

Το επόμενο βήμα

Τα τελευταία χρόνια οι μέθοδοι ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης κερδίζουν σταδιακά δημοτικότητα. Όχι μόνο επειδή οι κωδικοί πρόσβασης έχουν ευπάθειες σε κάποιες επιθέσεις, αλλά και επειδή οι κωδικοί πρόσβασης δημιουργούν τριβές και δυσκολεύουν τα πράγματα για τους ανθρώπους. Για πολλούς χρήστες η «εφεύρεση» ενός κωδικού που συνδυάζει γράμματα, αριθμούς και σύμβολα, έτσι ώστε να είναι δύσκολο να σπάσει, είναι και μια σημαντική ταλαιπωρία. Επιπρόσθετα, δεν είναι εύκολο να τον θυμούνται όταν είναι απαραίτητο. Μάλιστα, αυτός είναι ο λόγος που η πλειοψηφία αυτών των περίπλοκων κωδικών χρησιμοποιούνται σε περισσότερες από μία εφαρμογές (66% των χρηστών στις ΗΠΑ αυτό παραδέχονται).

Η ταλαιπωρία δεν περιορίζεται μόνο στους ιδιώτες. Αντίστοιχο φαινόμενο παρατηρείται και στο επιχειρηματικό περιβάλλον, αφού οι κωδικοί πρόσβασης δημιουργούν διοικητικά έξοδα και στις εταιρείες. Σύμφωνα με έρευνα της Forrester Research οι μεγάλοι οργανισμοί ξοδεύουν έως και 1 εκατομμύριο δολάρια ετησίως σε παρεμβάσεις που περιλαμβάνουν την επαναφορά κωδικού πρόσβασης.

O έλεγχος ταυτότητας χωρίς password περιλαμβάνει κάθε μέθοδο ελέγχου ταυτότητας που βασίζεται σε άλλες μεθόδους, όπως ένας παράγοντας κατοχής (π.χ. μια εφαρμογή ελέγχου ταυτότητας για κινητά) ή ένα βιομετρικό χαρακτηριστικό, όπως ένα δακτυλικό αποτύπωμα ή σάρωση προσώπου. Τέτοιες λύσεις αρκετοί από εμάς έχουμε ήδη ξεκινήσει να χρησιμοποιούμε στα laptops και smartphones που έχουμε ήδη στην κατοχή μας.

Όμως, το όραμα ενός μέλλοντος χωρίς κωδικούς ίσως να έρθει πολύ πιο γρήγορα από όσο φανταζόμαστε. Μάλιστα, μερικά από τα μεγαλύτερα ονόματα στον κλάδο της τεχνολογίας, όπως η Apple, η Google και η Microsoft εκτιμούν ότι είμαστε πιο κοντά από ποτέ στην υλοποίησή του.

Η συμμαχία FIDO

Πιθανότατα τον όρο FIDO δεν τον έχετε ξανακούσει, αλλά πρόκειται για μια συμμαχία που έχει σχεδόν μια δεκαετία ζωής. Στα μέλη της συναντάμε όχι μόνο τις τρεις μεγάλες «κυρίες» της τεχνολογίας που αναφέραμε προηγουμένως, αλλά και άλλα γνωστά ονόματα, όπως η Samsung, η Amazon, η Lenovo, η Intel, η Meta Platforms, η Qualcomm, αλλά και η Visa, η Mastercard, η American Express και αρκετοί ακόμη. Εκπρόσωποι δηλαδή από διάφορα πεδία, από λύσεις αλλά και hardware που έχουμε όλοι στις συσκευές που χρησιμοποιούμε.

Βασική αρχή της FIDO Alliance είναι ότι «η μη χρήση κωδικού πρόσβασης πρέπει να είναι πιο εύκολη από τη χρήση του». Σύμφωνα με τη συμμαχία η πηγή του προβλήματος έγκειται στην αλλαγή ή την προσθήκη μιας συσκευής, αφού δεν υπάρχει μια απλή μέθοδος με την οποία θα συνδέσουμε όλες τις εφαρμογές και τους λογαριασμούς που χρησιμοποιούμε, κατά τη διαδικασία «σεταρίσματος» της συσκευής. Το πρότυπο που έχει δημιουργήσει η συμμαχία δεν αποθηκεύει τους ίδιους τους κωδικούς πρόσβασης, αλλά κρυπτογραφικά κλειδιά, που μπορούν να συγχρονιστούν μεταξύ των συσκευών που χρησιμοποιούμε και προστατεύονται από το βιομετρικό κλείδωμα ή τον κωδικό πρόσβασης της συσκευής. Σύμφωνα με τη Google, από το 2023 και έπειτα οι χρήστες των Android συσκευών δεν θα χρησιμοποιούν πλέον τους κωδικούς, αλλά αποκλειστικά ένα Google Passkey. To δακτυλικό αποτύπωμα, το πρόσωπό μας, ένας κωδικός PIN θα ξεκλειδώνει όλους τους λογαριασμούς μας στον Chrome. Παρόμοια είναι και η λύση της Apple, που υπόσχεται σύνδεση χωρίς password σε όλη τη γκάμα των συσκευών της (iPhone, iPad, Mac, Apple TV) που θα χρησιμοποιούν τα νέα της λειτουργικά (iOS 16 και macOS Ventura), με την εταιρεία να σημειώνει ότι το passkey των χρηστών δεν θα μπορεί να το «διαβάσει» ούτε και η ίδια. Θα αποθηκεύεται τοπικά στη συσκευή και όχι σε κάποιον server της Apple.

Για να βαδίσουμε προς το μέλλον που υπόσχεται η FIDO alliance είναι απαραίτητη η διαλειτουργικότητα της λύσης που θα προσφέρει. Οι κάτοχοι iPhone δεν έχουν απαραίτητα Mac ή iPad για PC ή tablet, οι κάτοχοι Android δεν έχουν απαραίτητα ως default browser τον Chrome στο laptop που χρησιμοποιούν. Οι προσδοκίες είναι σίγουρα μεγάλες, αλλά χρειάζονται αρκετά βήματα ακόμα για να υλοποιηθεί η υπόσχεση της FIDO.

The post Ένα μέλλον χωρίς passwords appeared first on 2045.gr.

Κρατικές λειτουργίες, επιχειρηματικές δραστηριότητες σε διάφορους κλάδους, υπογραφές, ταυτότητες, shopping, διασκέδαση, κοινωνικοποίηση είναι μόνο μερικά κι ενδεικτικά στοιχεία της καθημερινότητας μας που, ελέω πανδημίας, έχουν προσθέσει τον επιθετικό προσδιορισμό «ψηφιακά» στην ύπαρξη τους. Πέρα από τα διεθνώς αναγνωρισμένα οφέλη της βέβαια, η όλο και πιο ψηφιακή ύπαρξή μας εγκυμονεί και πολλαπλούς κινδύνους. Ένας εξ αυτών και οι κυβερνοεπιθέσεις, οι οποίες δείχνουν να αυξάνονται με μεγαλύτερους ρυθμούς από την ίδια την ψηφιοποίηση.

Για να κατανοήσει κανείς την όξυνση της έντασης στον κυβερνοχώρο αρκεί να ανατρέξει σε τρανταχτά παραδείγματα κυβερνοεπιθέσεων του τελευταίου έτους. Μια αναδρομή, η οποία εκτός από την αριθμητική αύξηση που αναδεικνύει, επισφραγίζει και κάτι ακόμα, ίσως πιο σημαντικό: την εξέλιξη τόσο των των επιτιθέμενων στόχων όσο και την δομή λειτουργίας των ίδιων των κυβερνοεγκληματιών.

Στο στόχαστρο των κυβερνοεγκληματιών οι κρίσιμες υποδομές

Ένα από τα βασικά συμπεράσματα της τρέχουσας χρονιάς είναι ότι οι κυβερνοεγκληματίες βάζουν πλέον στο στόχαστρο πολύ συχνότερα «κρίσιμες υποδομές» – υποδομές δηλαδή που είναι απαραίτητες για την υγεία, την ασφάλεια, την προστασία ή την οικονομική ευημερία του κοινού και την αποτελεσματική λειτουργία της όποιας κυβέρνησης.

Για του λόγου το αληθές, στα τέλη Μαρτίου 2021, η CNA Financial Corp., μία από τις μεγαλύτερες ασφαλιστικές εταιρείες στις Ηνωμένες Πολιτείες, έπεσε θύμα επίθεσης ransomware. Ως αποτέλεσμα, η εταιρεία αντιμετώπισε προσωρινές διαταραχές στα συστήματα και τα δίκτυά της, την οποία για να επιλύσει – και να ανακτήσει τον έλεγχο των δεδομένων της – χρειάστηκε να πληρώσει 40 εκατ. δολάρια.

Δύο μήνες αργότερα, μια αντίστοιχη επίθεση ransomware πραγματοποιήθηκε στην Colonial Pipeline και χαρακτηρίστηκε ως μιας από τις σημαντικότερες επιθέσεις εναντίον κρίσιμων υποδομών στην ιστορία. Η κυβερνοεπίθεση κατάφερε να κόψει τη ροή καυσίμου σε αγωγούς της Colonial Pipeline, μιας εταιρείας που μεταφέρει περίπου το ήμισυ των προμηθειών καυσίμου της Ανατολικής Ακτής των ΗΠΑ. Η λειτουργία αποκαταστάθηκε σε έξι περίπου ημέρες, ήταν όμως αρκετές για οδηγήσουν, έστω και παροδικά, σε κρίση καυσίμων και σε αύξηση των σχετικών τιμών στις ανατολικές ΗΠΑ.

Τον ίδιο μήνα κυβερνοεγκληματίες απειλούσαν να διαρρεύσουν 250GB δεδομένων των αστυνομικών αρχών της Ουάσιγκτον αν η αρχή δεν πλήρωνε ως λύτρα 4 εκατ. δολάρια, γεννώντας αμφιβολίες για το πόσο διασφαλισμένη είναι δυνητικά η πρόσβαση στις αστυνομικές αρχές.

Λίγες μόλις εβδομάδες αργότερα, τον Ιούνιο του 2021, μια επίθεση ransomware έπληξε την JBS USA Holdings, Inc, έναν από τους μεγαλύτερους παραγωγούς κρέατος στον κόσμο. Η επίθεση αυτή προκάλεσε μεγάλες αναταραχές στην αλυσίδα εφοδιασμού όχι μόνο στις ΗΠΑ, αλλά και στον Καναδά και την Αυστραλία.

Τον ίδιο μήνα, η Steamship Authority, η μεγαλύτερη υπηρεσία πορθμείων της Μασαχουσέτης, έπεσε θύμα επίθεσης ransomware με αποτέλεσμα να παρουσιαστούν προβλήματα στην διαδικασία έκδοσης εισιτηρίων και κρατήσεων. Παρότι η εταιρεία επεσήμανε ότι «δεν υπάρχει κανένας αντίκτυπος στην ασφάλεια των πλοίων, καθώς το ζήτημα δεν επηρεάζει τη λειτουργία ραντάρ ή GPS και τα προγραμματισμένα ταξίδια συνεχίζουν απρόσκοπτα» κανείς δεν μπορεί να το αποκλείσει για την συνέχεια.

Μετά από τις κυβερνοεπιθέσεις σε ασφαλιστικές υπηρεσίες, στο φυσικό αέριο, στα τρόφιμα και στις μεταφορές, ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ εξέδωσε προειδοποίηση AA21-287 . Εκεί έκανε λόγο για «συνεχιζόμενη κακόβουλη κυβερνοδραστηριότητα» η οποία, αυτή τη φορά, είχε ως στόχο εγκαταστάσεις ύδρευσης και αποχέτευσης. Σύμφωνα με την προειδοποίηση, αυτές οι κυβερνοαπειλές θα μπορούσαν δυνητικά να επηρεάσουν την ικανότητα των εγκαταστάσεων ύδρευσης και αποχέτευσης να «παρέχουν καθαρό, πόσιμο νερό στις κοινότητές τους και να διαχειρίζονται αποτελεσματικά τα λύματα».

Τα παραδείγματα φυσικά δεν εξαντλούνται στην άλλη πλευρά του Ατλαντικού. Αντίστοιχες επιθέσεις έχουν πραγματοποιηθεί τόσο σε εθνικά όσο και σε ευρωπαϊκά θεσμικά όργανα της Γηραιάς Ηπείρου.

Σύμφωνα με τον οργανισμό κυβερνοασφάλειας της ΕΕ, ENISA, ο οποίος κατοικοεδρεύει και στην χώρα μας, από τον Ιανουάριο του 2019 έως και το Απρίλιο του 2020 εντοπίζονται 230.000 νέες μολύνσεις από κακόβουλο λογισμικό την ημέρα.

Βάσει της αρμόδιας υπηρεσίας της Europol, και της έκθεσης για το σοβαρό και οργανωμένο έγκλημα Threat Assessment η οποία επικαιροποιήθηκε πρόσφατα, διαπιστώνεται μια «αξιοσημείωτη» αύξηση του αριθμού των επιθέσεων ransomware σε δημόσια ιδρύματα και μεγάλες εταιρείες. Το συμπέρασμα επιβεβαιώνουν μεμονωμένα παραδείγματα, όπως οι επιθέσεις που πραγματοποιήθηκαν στον Ευρωπαϊκό Οργανισμό Φαρμάκων και την Ευρωπαϊκή Αρχή Τραπεζών.

Και η λίστα δεν σταματά εδώ. Σε επίπεδο κρατών μελών, τον Μάιο του 2021 η υγειονομική υπηρεσία της Ιρλανδίας έπεσε θύμα «ανάλγητης» επίθεσης ransomware, όπως την χαρακτήρισε ο επικεφαλής της. Εξαιτίας αυτής χάθηκε περίπου το 80% των ραντεβού των ασφαλιζόμενων με αποτέλεσμα πολλοί υπάλληλοι να αναγκαστούν να επιστρέψουν στο χαρτί για να εξυπηρετήσουν τους πολίτες μέχρι να αποκατασταθεί η ομαλή λειτουργία του συστήματος. Την περσινή χρονιά μια αντίστοιχη επίθεση σε νοσοκομείο της Γερμανίας, είχε ως αποτέλεσμα ένας ασθενής να χάσει την ζωή του κατά την διακομιδή του σε κοντινό νοσοκομειακό ίδρυμα.

Τον ίδιο μήνα στο Βέλγιο σημειώθηκαν δύο μεγάλης κλίμακας κυβερνοεπιθέσεις κατά δημόσιων Οργανισμών. Η πρώτη αφορούσε το Belnet, το Εθνικό σύστημα έρευνας και εκπαίδευσης του Βελγίου  και η άλλη υπουργείο Εσωτερικών. Στην περίπτωση της δεύτερης μάλιστα, η κλίμακα της κυβερνοεπίθεσης ήταν τέτοια που οδήγησε τους αρμόδιους να κάνουν λόγο για «κατασκοπεία».

Η ψηφιοποίηση της ζωής μας είναι σίγουρα ο ένας λόγος για την αύξηση των κυβερνοεπιθέσεων. Η στοχοποίηση όμως κυβερνήσεων, υπουργείων, οργανισμών δημοσίου συμφέροντος, υγειονομικών κι εκπαιδευτικών ιδρυμάτων, μεγάλων επιχειρήσεων στον τομέα των τροφίμων, της ενέργειας, των μεταφορών και άλλων αποδίδεται από τους ειδικούς στο «εύκολο χρήμα». Τέτοιου τύπου οργανισμοί επιτρέπουν στους δράστες να αυξήσουν αισθητά τα απαιτούμενα λύτρα.

Την ίδια στιγμή βέβαια, υπάρχουν βέβαια κι εκείνοι που εκτιμούν ως πρόσθετο λόγο την εξέλιξη των κυβερνοεγκληματιών μέσα στο χρόνια. Οι άλλοτε μεμονωμένοι χάκερς έχουν πλέον συνασπιστεί σε ομάδες ή συμμορίες, έχουν επιχειρηματική δομή και σε πολλές περιπτώσεις κοινά χαρακτηριστικά με το οργανωμένο έγκλημα.

Οι μεγάλες κυβερνο-εγκληματικές οργανώσεις

Ένα τέτοιο παράδειγμα προκύπτει από την επίθεση στην εταιρεία εταιρεία παροχής λογισμικού σε μικρομεσαίες επιχειρήσεις Kaseya. Η Kaseya με έδρα την Φλόριντα, δέχτηκε μια από τις σφοδρότερες κυβερνοεπιθέσεις που καταγράφηκαν ποτέ, η οποία θα μπορούσε να επηρεάσει από 800 έως και 1500 ΜμΕ που ήταν πελάτες της.

Πίσω από την επίθεση, οι δράστες της οποίας ζητούσαν 50 εκατ. δολάρια, φέρεται να κρυβόταν η ρωσικής προελεύσεως εγκληματική οργάνωση στον κυβερνοχώρο REvil.

Παρότι η φήμη της REvil είναι μεγάλη, μέχρι και σήμερα κανείς δεν γνωρίζει πραγματικά ποια είναι, τι είναι ικανή να κάνει ή γιατί κάνει αυτό που κάνει – εκτός από το άμεσο όφελος των υπέρογκων χρηματικών ποσών. Οι επιθέσεις ransomware που πραγματοποιεί άλλωστε επεκτείνονται συχνά σε τόσο ευρεία δίκτυα, που θα μπορούσαν να υλοποιούνται ακόμα κι από άτομα που δεν γνωρίζονται μεταξύ τους.

Η REvil είναι βέβαια ένα μόνο από τα παραδείγματα κυβερνοεγκληματικών οργανώσεων. Πίσω από την επίθεση της Colonial Pipeline  που προαναφέρθηκε, βρίσκεται η DarkSide, μια ομάδα που εμφανίστηκε για πρώτη φορά τον περασμένο Αύγουστο. Η DarkSide βάζει στο στόχαστρο της είναι κατά κύριο λόγο μεγάλες εταιρείες που θα υποφέρουν από οποιαδήποτε διακοπή των υπηρεσιών τους και που καλύπτονται από σχετικά ασφαλιστήρια συμβόλαια, ώστε να είναι πιο πιθανό να πληρώσουν τα λύτρα.

«Δεν είμαστε πολιτικοποιημένοι, δεν συμμετέχουμε σε γεωπολιτικά παιχνίδια, δεν χρειάζεται να μας συνδέσετε με μια συγκεκριμένη κυβέρνηση, ή να αναζητήσετε άλλου είδους κίνητρα πέρα από το κέρδος» ανέφεραν τα μέλη της στο DarkSide Leaks blog. «Στόχος μας είναι το χρήμα κι όχι να δημιουργούμε προβλήματα στην κοινωνία. Από σήμερα θα ελέγχουμε κάθε εταιρεία που οι συνεργάτες μας θέλουν να χτυπήσουν ώστε να αποφύγουμε κοινωνικά προβλήματα».

Βάσει των όσων έχουν αναφερθεί μέχρι σήμερα, η DarkSide  ακολουθεί συγκεκριμένο επιχειρησιακό μοντέλο, πραγματοποιώντας κυβερνοεπιθέσεις ransomware-as-a-service, δηλαδή ο δράστης-εκτελεστής διαφέρει από τον εντολέα της επίθεσης και οι δύο αυτοί μοιράζονται στο τέλος της κάθε κυβερνοεπίθεσης τα κέρδη.

Στο ίδιο πνεύμα κινείται και το ransomware Clop, το οποίο πρωτοεμφανίστηκε το 2019 από μια «συμμορία» κυβερνοεγκληματιών ,τα έσοδα της οποίας από τις κυβερνοεπιθέσεις εκτιμώνται για την ώρα σε περισσότερα από μισό δισ. δολάρια. Έξι άτομα τα οποία θεωρούνται ύποπτα για συμμετοχή στην εν λόγω οργάνωση έχουν ήδη συλληφθεί στην Ουκρανία και κατηγορούνται ότι έχουν πραγματοποιήσει επιθέσεις μεταξύ άλλων στα Stanford University Medical School, University of California, University of Maryland.

“Η ειδικότητα της ομάδας Clop είναι ο «διπλός εκβιασμός». Αρχικά στοχοποιεί κάποιον οργανισμό και τον αναγκάζει να πληρώσει λύτρα για να ανακτήσει τον έλεγχο των δεδομένων του και στη συνέχεια εκτοξεύει απειλές για την δημοσιοποίηση των δεδομένων αυτών, ζητώντας πρόσθετα ποσά.”

Ως καλοστημένη επιχείρηση που μετρά μέχρι σήμερα «μεγάλες επιτυχίες» λειτουργεί και η ομάδα FIN7, οι επιθέσεις της οποίας ξεκίνησαν το μακρινό 2012. Η παραβίαση των δεδομένων εξυπηρετεί και στην περίπτωση της FIN7 πολλαπλούς σκοπούς. Αφού εισπράξει τα απαιτούμενα λύτρα, φημολογείται ότι μεταπωλεί τα δεδομένα σε τρίτους που ενδιαφέρονται. Ένα τέτοιο παράδειγμα αποτελεί και η επίθεση του 2017 σε εταιρείες συνεργαζόμενες με την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC). H επίθεση χρησιμοποιήθηκε για την απόκτηση λύτρων, οι εμπιστευτικές πληροφορίες που αποκτήθηκαν όμως αξιοποιήθηκαν στη συνέχεια για να επενδυθούν στο χρηματιστήριο, αποφέροντας πρόσθετο κέρδος στους εγκληματίες κι ανεβάζοντας την ζημιά σε εκατομμύρια δολάρια.

Η εμπλοκή των χρηματοαγορών στο εν λόγω περιστατικό μάλιστα φέρνει στο νου την περίφημη επίθεση του Syrian Electronic Army στον επίσημο λογαριασμό του Twitter του Associated Press το 2013. Τότε η «ομάδα νεαρών» από την Συρία η οποία είχε αρχικά ακτιβιστικό προφίλ, είχε τουιτάρει στον λογαριασμό του Associated Press ότι «δύο βόμβες είχαν εκραγεί στο Λευκό Οίκο τραυματίζοντας τον πρόεδρο Ομπάμα».

Η είδηση μέσα σε λίγα λεπτά κατάφερε να κοκκινίσει το ταμπλό της Wall Street σβήνοντας πολλά μηδενικά από αυτό.

Το «οικοσύστημα» των κυβερνοεγκληματιών

Η προσφορά των κυβερνοεπιθέσεων ransomware-as-a-service (RaaS) είναι ενδεικτική της εξέλιξης των κυβερνοεγκληματιών. Σύμφωνα με τους ειδικούς μάλιστα αυτές οι ομάδες συνηθίζουν να προωθούν τις «λύσεις» τους μέσα από διαδικτυακά φόρουμ, αλλά και να υποστηρίζουν άλλους που θέλουν να βελτιώσουν τις «δεξιότητές» τους στο κυβερνοέγκλημα. Προσφέρουν μέχρι και μαθήματα για το πώς κάποιος μπορεί να συνδυάσει τις επιθέσεις DDoS με επιθέσεις ransomware για να ασκήσει επιπλέον πίεση στις διαπραγματεύσεις (σ.σ το ransomware για παράδειγμα θα εμπόδιζε μια επιχείρηση να εργαστεί σε προηγούμενες και τρέχουσες παραγγελίες, ενώ μια επίθεση DDoS θα μπλόκαρε τυχόν νέες παραγγελίες).

Το Ransomware δε, συνεχίζει να γίνεται όλο και πιο εξελιγμένο και κερδοφόρο, σε σημείο που οι «φορείς εκμετάλλευσης» του φέρεται να έχουν δημιουργήσει για την υποστήριξή του ένα οικοσύστημα VC, που έχει τα χαρακτηριστικά της Silicon Valley.

Σύμφωνα με την εταιρεία κυβερνοασφάλειας  LIFARS, ο υπόγειος κόσμος του ransomware αναπτύσσει ουσιαστικά το δικό του οικοσύστημα επιχειρηματικών κεφαλαίων, με τους επιτιθέμενους να συγκεντρώνουν τα κεφάλαιά τους για να υποστηρίξουν νέες εγκληματικές επιχειρήσεις με αντάλλαγμα ένα μερίδιο από τα μελλοντικά κέρδη.

«Εκτός από το ransomware, δεν νομίζω ότι έχει συμβεί ποτέ κάτι τέτοιο, να υπάρχει ένα οικοσύστημα VC σε ένα εγκληματικό κυβερνοχώρο» είχε αναφέρει στο FastCompany ο συνιδρυτής και διευθύνων σύμβουλος της LIFARS, Ondrej Krehel. «Αυτό είναι πολύ μοναδικό».

Όπως και στην περίπτωση της Silicon Valley μάλιστα, «οι προσκλήσεις για “επενδυτές” συχνά συνοδεύονται από περιγραφές των ιδρυτών και των προηγούμενων επιτευγμάτων τους -στην προκειμένη περίπτωση, αξιοσημείωτες προηγούμενες παραβιάσεις», εξηγούσε ο Krehel. Οι προσκλήσεις για επενδύσεις τις οποίες γνωρίζει η LIFARS πραγματοποιούνται μέσω ασφαλών εφαρμογών συνομιλίας και για να ενταχθεί κάποιος στην ομάδα θα πρέπει να έχει αποδείξει την προϋπηρεσία του στο ψηφιακό έγκλημα, συνήθως στέλνοντας ένα συμβολικό ποσό κρυπτονομίσματος, που μπορεί να ανιχνευθεί σε περιστατικό ransomware.

To κυβερνοέγκλημα ως η τρίτη μεγαλύτερη οικονομία στον κόσμο

Η αυξανόμενη θρασύτητα των οργανωμένων σκόπιμων επιθέσεων σε όλο και πιο σημαντικούς στόχους ωθεί τους ειδικούς να μιλούν για μια ψηφιακή πανδημία κυβερνοεπιθέσεων η οποία τρέχει παράλληλα με την υγειονομική κρίση. Σύμφωνα με την Cybersecurity Ventures, το κόστος του ηλεκτρονικού εγκλήματος θα αυξάνεται κατά 15% ετησίως και θα φτάσει τα 10,5 τρισεκατομμύρια δολάρια ΗΠΑ έως το 2025, θα μετατραπεί δηλαδή στην τρίτη μεγαλύτερη «οικονομία» στον κόσμο, μετά τις ΗΠΑ (20,9 τρισ δολάρια το 2020) και την Κίνα (14,87 τρισ. δολάρια το 2020).

Ένα μεγάλο μέρος αυτού, είναι οι επιθέσεις ransomware, αυτές δηλαδή που αιχμαλωτίζουν τα δεδομένα από τα συστήματα ενός οργανισμού και ζητούν λύτρα για να τα επαναφέρουν. Από την έναρξη της πανδημίας, οι επιθέσεις ransomware έχουν αυξηθεί κατά σχεδόν 500%, ενώ ανοδικά κινείται και η μέση πληρωμή λύτρων – μόνο το τελευταίο τρίμηνο του 2020 καταγράφηκε αύξηση της τάξης του 43%, με τον μέσο όρο των λύτρων που ζητούνται σε τέτοιου τύπου επιθέσεις να κυμαίνεται κοντά στα 200.000 δολάρια. Κι αυτό, αν το ποσό δεν αυξηθεί με παράπλευρους εκβιασμούς ή άλλες κερδοσκοπικές πρακτικές – το πρώτο τρίμηνο του 2021, πάνω από τα τρία τέταρτα των επιθέσεων ransomware συνδέονταν με μια τέτοια παράπλευρη απειλή.

Έρχεται το παλιό-νέο διαδίκτυο;

Αυτός είναι και ο λόγος που οι «φωνές» για αλλαγή του διαδικτύου εξαιτίας της αύξησης των κυβερνοεπιθέσεων αυξάνουν.

Οι Michael Parent, καθηγητής Πληροφορικής στο Simon Fraser University και David R. Beatty, Ακαδημαϊκός Διευθυντής του David and Sharon Johnston Centre for Corporate Governance Innovation, χαρακτηρίζουν τις πρόσφατες ενέργειες των κυβερνήσεων για την αντιμετώπιση των ψηφιακών απειλών ως ένα καλό πρώτο βήμα, το οποίο όμως δεν θα είναι αρκετό.

Προβλέπουν δε, ότι στο μέλλον θα αναδυθεί ένα νέο διαδίκτυο που θα έχει συνδυασμένα τα χαρακτηριστικά του τωρινού (WWW) και του προκατόχου του Advanced Research Projects Agency Network (ARPANET). «Από τη μία πλευρά, θα υπάρχει το εντελώς αφιλτράριστο, ελάχιστα ρυθμιζόμενο, Άγριας Δύσης διαδίκτυο, στο οποίο ο καθένας θα μπορεί να έχει πρόσβαση. Κι από την άλλη θα δούμε την εξέλιξη αυτού που θα μπορούσε να ονομαστεί “World Wide Intranet”, δηλαδή την δημιουργία ευρέως προσβάσιμων αλλά αλλά αυστηρά ελεγχόμενων ιστοσελίδων για την αποτροπή εγκληματικών δραστηριοτήτων, όπως τα κλειστά εταιρικά intranets που ήταν δημοφιλή πριν από δεκαετίες.

Να θυμίσουμε ότι το ARPANET αναπτύχθηκε την δεκαετία του 60 από τον προβληματισμό ότι υπήρχε μόνο ένας περιορισμένος αριθμός μεγάλων, ισχυρών ερευνητικών υπολογιστών στη χώρα, και ότι πολλοί ερευνητές ήταν γεωγραφικά απομακρυσμένοι από αυτούς. Ως δίκτυο μεταφοράς ψηφιακών δεδομένων σε πακέτα ήταν κλειστό, αυστηρά ελεγχόμενο, που απευθυνόταν μόνο σε προσκεκλημένους. Παράλληλα βέβαια ήταν κι εξαιρετικά ασφαλές υποσχόμενο σταθερότητα και δυνατότητα επιβίωσης, ακόμα κι αν αντιμετώπιζε μεγάλες απώλειες τμημάτων του.

Εν αντιθέσει το World Wide Web του Tim Berners-Lee που ακολούθησε την δεκαετία του 90, ως ένα ανοιχτό σύστημα διασυνδεδεμένων πληροφοριών και πολυμεσικού περιεχομένου εισήγαγε ένα ανοιχτό, περιεκτικό, καθολικό και χωρίς περιορισμούς τρόπο επικοινωνίας μεταξύ των δικτύων, την αρχή δηλαδή του ελεύθερου, καθοδηγούμενου από τον χρήστη και πλούσιου σε περιεχόμενο διαδικτύου.

Οι κ.κ Parent και Beatty σημειώνουν ότι ως κοινωνία δεχόμαστε τους ελέγχους όταν το κόστος της απουσίας τους γίνεται μεγαλύτερο από τους περιορισμούς που επιβάλλουν, θεωρώντας αναπόφευκτο ότι οι αυξανόμενες απειλές δεν αφήνουν άλλη επιλογή από το να ενισχυθούν οι έλεγχοι ταυτότητας και πρόσβασης. Θα γίνει πραγματικότητα η πρόβλεψή τους; Την απάντηση θα τη γνωρίζουμε σε λίγα χρόνια.

The post Από τους κυβερνοεγκληματίες στο οργανωμένο κυβερνοέγκλημα appeared first on 2045.gr.

Η αξιοποίηση των ψηφιακών τεχνολογιών αποτελούν πλέον βασικό κομμάτι των υποδομών οποιασδήποτε επιχείρησης σε ολόκληρο τον κόσμο. Με την πανδημία του κορονοϊού, ο ψηφιακός μετασχηματισμός είναι μία φράση που βρίσκεται στα χείλη όλων των στελεχών επιχειρήσεων και οργανισμών. Οι προκλήσεις που φέρνει ο ψηφιακός μετασχηματισμός είναι ουκ ολίγες και μία εξ αυτών είναι και το κομμάτι της κυβερνοπροστασίας.

Oι εξελίξεις στον συγκεκριμένο τομέα είναι απίστευτα γρήγορες. Πολύ απλά, γιατί το κυβερνοέγκλημα έχει εξελιχθεί σε έναν κλάδο με τεράστια κέρδη. Μάλιστα, δεν είναι τυχαίο ότι υπάρχουν εκτιμήσεις, σύμφωνα με τις οποίες, τα έσοδα που έχουν οι κυβερνοεγκληματίες ξεπερνούν εκείνα των εμπόρων ναρκωτικών. Κάτι που ακούγεται ως υπερβολή μεν, αλλά αν αναλογιστεί κανείς πόσες περιπτώσεις ransomware έχουμε ακούσει τον τελευταίο καιρό, όπου τα «θύματα» δέχθηκαν να πληρώσουν τα κυβερνο-λύτρα, είναι μία ένδειξη ότι η συγκεκριμένη εκτίμηση είναι πολύ πιθανό να έχει αρκετή βάση.

Ποιες είναι, όμως, οι βασικές κυβερνοαπειλές που θα δούμε τα επόμενα χρόνια; Προβλέψεις στο συγκεκριμένο τομέα, όπως σημείωσαν οι περισσότεροι από τους ειδικούς με τους οποίους μιλήσαμε είναι εξαιρετικά δύσκολο να γίνουν, πολύ απλά γιατί οι εξελίξεις «τρέχουν» με απίστευτα γρήγορους ρυθμούς. Όμως, μία πρώτη εκτίμηση θέλει το IoT και τα smartphones να εξελίσσονται στους αδύναμους κρίκους της ψηφιακής εποχής με το ransomware και τις επιθέσεις τύπου DDoS (denial of service) να παραμένουν πολύ ψηλά στην ατζέντα των κυβερνοεγκληματιών.

Οι απειλές

Ένα πολύ ενδιαφέρον σημείο, όσον αφορά στις κυβερνοαπειλές, είναι πως η λίστα συνεχώς διευρύνεται και δεν μειώνεται σε αριθμό. «Το ransomware θα συνεχίζει να μας απασχολεί άμεσα και μεσοπρόθεσμα» σημειώνει, για παράδειγμα, ο Δημήτρης Χατζηδημήτρης, cyber security penetration tester στην eu-LISA, ο οποίος θεωρεί ότι η δυνατότητα που δίνουν τα Windows 11 για να «τρέχει» κάποιος Android εφαρμογές μπορεί επίσης να αποτελέσει ένα σημαντικό ζήτημα τα επόμενα χρόνια.

Πέραν του ransomware και οι επιθέσεις DDoS θα συνεχίσουν να μας απασχολούν. «Το DDoS είναι μία απειλή που υφίσταται αυτή τη στιγμή και θα συνεχίσει να αποτελεί ένα σημαντικό ζήτημα τα επόμενα χρόνια για όλες τις επιχειρήσεις» τονίζει από την πλευρά της η Φωτεινή Παπαγιαννάκη, επικεφαλής του τμήματος κυβερνοασφάλειας στην ADAPTIT, η οποία προσθέτει πως «η ασφάλεια των δικτυακών υποδομών ίσως να είναι πιο σημαντική από ποτέ, δεδομένης της ευρείας συνδεσιμότητας που υπάρχει στην καθημερινότητα μας».

Το τελευταίο σκέλος είναι ιδιαίτερα σημαντικό, όπως υποστηρίζουν όλοι οι ειδικοί. «Η εκτεταμένη χρήση των ψηφιακών συσκευών αλλάζει τα δεδομένα και δίνει τεράστιο χώρο στους κυβερνοεγκληματίες για να δράσουν» σημειώνει ο Μιχάλης Μπόζος, διευθυντής πωλήσεων στην Check Point Software. Και μάλλον δεν είναι τυχαίο ότι σύμφωνα με τον Righard Zwienenberg, senior research fellow της ESET, «το μεγαλύτερο πρόβλημα αυτή τη στιγμή είναι τα smartphones, με τις IoT συσκευές ήδη να αποτελούν ένα ακόμα σημαντικό ζήτημα».

Η πρόκληση με τις IoT συσκευές, ιδίως εκείνες που χρησιμοποιούνται από βιομηχανίες για το αποκαλούμενο IIoT (Industrial IoT) και OT (Operational Technologies) είναι κάτι που απασχολεί τον κλάδο της κυβερνοασφάλειας, όπως αναφέρει με τη σειρά του και ο Λεωνίδας Τουγιαννίδης, General Manager της Fortinet. «Οι αυτοματισμοί των εργοστασίων ήταν μέχρι τώρα «απομονωμένοι» από το δίκτυο. Αυτό πλέον δεν ισχύει, δημιουργώντας με τη σειρά του μία επιπλέον απειλή» σημειώνει ο κ. Τουγιαννίδης. Μια νέα, που προστίθεται στις ακόμα περισσότερες, οι οποίες είναι αποτέλεσμα των τάσεων της απομακρυσμένης εργασίας και του ψηφιακού μετασχηματισμού. Όταν όλες οι λειτουργίες των εταιρειών ψηφιοποιούνται γίνονται οι ίδιες ένα νέο «attack surface», δηλαδή ένα πεδίο που δημιουργεί ευκαιρίες επιθέσεων.

Πάντως, ο κ. Τουγιαννίδης, τοποθετεί στην κορυφή της λίστα των απειλών το cloud. «Είναι το νέο πεδίο που πρέπει να προστατεύσεις, με πολλές διεργασίες, πολλά δεδομένα και πολλές εφαρμογές» τονίζει το στέλεχος της Fortinet.

Στην ίδια λίστα, αρκετοί από τους ειδικούς, όπως ο κ. Μπόζος, περιλαμβάνουν και τον διαρκώς αυξανόμενο αριθμό επιθέσεων μέσω χρήσης πλαστών στοιχείων «ταυτότητας» (impersonate), ενώ και το 5G είναι από τα πεδία που έχουν αρχίσει να απασχολούν την κοινότητα της κυβερνοασφάλειας. «Το πρόβλημα με το 5G δεν είναι η ίδια η τεχνολογία, αλλά το γεγονός ότι υποστηρίζει -όπως είναι λογικό- και το 4G» σημειώνει ο κ. Χατζηδημήτρης.

Κλειδί ο γρήγορος εντοπισμός

Όμως το “δάσος και όχι το δέντρο” των κυβερνοαπειλών έγκειται σε ένα ακόμα μεγαλύτερο πρόβλημα. Αυτό της δυσκολίας (έως αδυναμίας) της κυβερνοπροστασίας να κινηθεί στον ίδιο ρυθμό με το κυβερνοέγκλημα και να βρίσκεται ένα βήμα πιο μπροστά από το αντίπαλο «στρατόπεδο». Ο λόγος;

«Είναι εξαιρετικά δύσκολο για τις εταιρείες κυβερνοπροστασίας να προλάβουν τις εξελίξεις στο κυβερνοέγκλημα, ειδικά όταν τα χρήματα που κερδίζουν οι κυβερνοεγκληματίες είναι τόσο πολλά, προσφέροντάς τους τη δυνατότητα να επενδύουν διαρκώς σημαντικούς πόρους» επισημαίνει ο Χάρης Ηλιόπουλος, εκ των πιο γνωστών στελεχών στην παγκόσμια αγορά της κυβερνοασφάλειας.

Επιπλέον, δεν είναι τυχαίο, όπως σημειώνει ο κ. Τουγιανίδης ότι πλέον οι περισσότερες κυβερνοεπιθέσεις είναι περιπτώσεις zero-day, δηλαδή χρησιμοποιούνται εργαλεία και μέθοδοι που δεν έχουν ξαναχρησιμοποιηθεί με αποτέλεσμα να είναι πιο δύσκολη η πρόληψή τους.

Τα παραπάνω επιβεβαιώνουν και οι έρευνες. Σύμφωνα με την πρόσφατη παγκόσμια μελέτη State of Cybersecurity Resilience 2021 της Accenture, περισσότερες από τις μισές μεγάλες εταιρείες (55%) αδυνατούν να ανταποκριθούν αποτελεσματικά στις κυβερνοεπιθέσεις, καθώς δεν εντοπίζουν και δεν αντιμετωπίζουν γρήγορα τις παραβιάσεις ή δεν περιορίζουν τον αντίκτυπό τους.

Συγκεκριμένα, 81% των ερωτηθέντων δηλώνει ότι «το να βρίσκεσαι ένα βήμα μπροστά από τους εγκληματίες του κυβερνοχώρου αποτελεί μια διαρκή μάχη και το κόστος είναι μη βιώσιμο». Στην περυσινή μελέτη το αντίστοιχο ποσοστό έφθανε το 69%, ένα ενδεικτικό στατιστικό στοιχείο της αύξησης της ανησυχίας. Ταυτόχρονα, ενώ το 82% των ερωτηθέντων αύξησε τις δαπάνες στην κυβερνοασφάλεια τον περασμένο χρόνο, ο αριθμός των παραβιάσεων -που περιλαμβάνουν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, εφαρμογές, υπηρεσίες, δίκτυα ή συσκευές- αυξήθηκε κατά 31% σε σύγκριση με το προηγούμενο έτος και ανήλθε κατά μέσο όρο σε 270 ανά εταιρεία.

«Το θέμα δεν είναι να αποφύγεις να δεχθείς μία πετυχημένη κυβερνοεπίθεση. Το ζητούμενο είναι να την εντοπίσεις όσο το δυνατόν πιο γρήγορα και να την αντιμετωπίσεις» σημειώνει ο κ. Ηλιόπουλος.

AI vs AI

Πρακτικά, αυτό που έχει ενδιαφέρον είναι πως οι κυβερνοεγκληματίες έχουν αρχίσει να χρησιμοποιούν προηγμένες τεχνολογίες. «Καμία κρυπτογράφηση δεν είναι πλέον ασφαλής από τη στιγμή που έχει κάνει την εμφάνιση της η κβαντική κρυπτογράφηση (quantum crytography) επισημαίνει ο Ανδρέας Ενωτιάδης, Global Mobility Sales CTO της Cisco και μέλος του ΔΣ της Siscale, ενός startup που έχει αναπτύξει την πλατφόρμα Arcanna, που ενισχύει την αυτοματοποίηση των διαδικασιών εντοπισμού των κυβερνοαπειλών. «Στο μέλλον θα δούμε κβαντικούς συν-επεξεργαστές που θα ασχολούνται μόνο με τον τομέα της κυβερνοασφάλειας» σπεύδει να προσθέσει ο κ. Ενωτιάδης.

Αυτό που αρχίζει να κάνει σταδιακά την εμφάνιση του είναι η χρήση της τεχνητής νοημοσύνης από την πλευρά των κυβερνοεγκληματιών. Κάτι που σημαίνει ότι πρέπει να υπάρξει και η αντίστοιχη απάντηση και επένδυση από την πλευρά όσων ασχολούνται με την κυβερνοπροστασία. «Στο dark web μπορείς να βρεις με ελάχιστα χρήματα ΑΙ εργαλεία για κυβερνοεπιθέσεις διάρκειας μερικών ωρών» επισημαίνει ο κ. Τουγιαννίδης. Κάτι που σημαίνει ότι πρέπει να έρθει και η ανάλογη απάντηση. «Χρειάζεσαι το ΑΙ για να αντιμετωπίσεις το ΑΙ» τονίζει ο κ. Ενωτιάδης με την άποψη του να συμφωνεί και ο κ. Μπόζος. «Το ΑΙ και το machine learning είναι το μέλλον ώστε τα ίδια τα συστήματα να μπορούν να αντιλαμβάνονται τις απειλές και να προστατεύονται» επισημαίνει το στέλεχος της Checkpoint.

Αυτοματοποίηση και η ασφάλεια ως υπηρεσία

Με τον όγκο των κυβερνοεπιθέσεων να έχει αυξηθεί σημαντικά, οι επιχειρήσεις έχουν ένα εξαιρετικά δύσκολο έργο. «Για να λυθεί το πρόβλημα του μειωμένου προσωπικού πληροφορικής και κυβερνοασφάλειας, των πολλών απειλών και πολλαπλών προϊόντων, οι οργανισμοί πρέπει να υιοθετήσουν την αυτοματοποίηση ασφαλείας» τονίζει η κα Παπαγιαννάκη. «Χρησιμοποιώντας τόσο machine learning λύσεις όσο και αυτοματοποιημένες λύσεις, οι επιχειρήσεις αποκτούν περισσότερες δυνατότητες για την πρόληψη και ανίχνευση των επιθέσεων. Κατ’ επέκταση, είναι σε θέση να ανταποκριθούν στις απειλές με αντίστοιχα πλήρως αυτοματοποιημένες λύσεις» σπεύδει να προσθέσει το στέλεχος της ADAPTIT.

Σύμφωνα με την κα Παπαγιαννάκη, το επόμενο βήμα δεν είναι άλλο από την «μετατροπή» της κυβερνοασφάλειας σε ένα είδος υπηρεσίας. Το αποκαλούμενο security as a service αποτελεί μία βασική τάση σε όλο τον κλάδο της κυβερνοπροστασίας, όπως τονίζουν όλα τα στελέχη με τα οποία μιλήσαμε. Μία πρακτική που ακολουθούν όλο και περισσότερες επιχειρήσεις σε ολόκληρο τον κόσμο, αλλά και στην Ελλάδα.

Επιπλέον, αυτό που θα δούμε, όπως σημειώνει ο κ. Ηλιόπουλος είναι επιχειρήσεις να χρησιμοποιούν κατά παραγγελία (on demand) λύσεις κυβερνοασφάλειας. «Με αυτό θα μπορείς να αλλάζεις τα εργαλεία που χρησιμοποιείς όποτε κρίνεται απαραίτητο. Και αυτά τα εργαλεία θα είναι διαθέσιμα μέσω του cloud» τονίζει το γνωστό στέλεχος του χώρου της κυβερνοασφάλειας.

Η σημασία της εκπαίδευσης

Παράλληλα, όμως, υπάρχει και ένα άλλο θέμα που χρήζει προσοχής. Και αυτό δεν είναι άλλο από την εκπαίδευση των εργαζομένων μίας επιχείρησης σε θέματα κυβερνοασφάλειας. «Είναι απαραίτητο να υπάρχει εκπαίδευση και ενημέρωση όχι μόνο των εργαζομένων αλλά και όλων των πολιτών για το θέμα της κυβερνοασφάλειας» τονίζει ο κ. Zwienenberg. Άλλωστε, έχει αποδειχθεί ότι οι εργαζόμενοι σε μία επιχείρηση αποτελούν πολλές φορές τον «αδύναμο κρίκο» των συστημάτων προστασίας. Δεν είναι τυχαίο, άλλωστε, ότι σταδιακά πολλές επιχειρήσεις προσπαθούν είτε να καταργήσουν τη χρήση κωδικών είτε να χρησιμοποιούν λύσεις όπου η πιστοποίηση γίνεται με πολλαπλούς τρόπους (Multi Factor Authentication – MFA). «Υπάρχει μεγάλη άνοδο στη χρήση των εφαρμογών διαχείρισης κωδικών, αλλά αυτό που προωθείται πλέον περισσότερο είναι αυτή της χρήσης hardware λύσεων για την κρυπτογράφηση συσκευών και δεδομένων» επισημαίνει ο κ. Χατζηδημήτρης.

Το μέλλον είναι δύσκολο να το προβλέψεις

Στο χώρο των ψηφιακών τεχνολογιών είναι δύσκολο να κάνεις προβλέψεις. Στην κυβερνοασφάλεια δείχνει ακόμη πιο δύσκολο καθώς οι κυβερνοεγκληματίες έχουν αποδειχθεί ιδιαίτερα εφευρετικοί τα τελευταία χρόνια. Οι εταιρείες κυβερνοπροστασίας προσπαθούν να ανταποκριθούν και η «μάχη» αναμένεται να είναι μεγάλη τα επόμενα χρόνια όπου θα δούμε όλο και πιο προηγμένες τεχνολογίες να κάνουν την εμφάνιση τους. Δεν είναι τυχαίο ότι στην κοινότητα της κυβερνοασφάλειας συζητούνται όλο και περισσότερο τεχνολογίες όπως είναι το ΑΙ ή το machine learning. Ακόμη και το blockchain έκανε την εμφάνιση του σε αρκετά fora προκειμένου να χρησιμοποιηθεί στον τομέα της κρυπτογράφησης. Όμως, τελικώς αυτό που πρέπει να λαμβάνεται υπόψη είναι, όπως επισημαίνει ο κ. Ενωτιάδης, ότι «η ασφάλεια μετριέται από τον κόπο που χρειάζεται σε σχέση με την αξία αυτού που θέλει να πάρει».

The post Το μέλλον της κυβερνοασφάλειας είναι στο ΑΙ appeared first on 2045.gr.

Το θέμα της κυβερνοασφάλειας απασχολεί ήδη πολύ (δείτε και σχετικό κείμενο εδώ, στο 2045.gr), και θα συνεχίσει να απασχολεί και στο μέλλον, καθώς η ζωή μας μετακομίζει σιγά-σιγά από τον πραγματικό στον ψηφιακό κόσμο. Παρότι όμως η σημασία του αυξάνεται καθημερινά, δεν είναι βέβαιο ότι ταυτόχρονα αυξάνεται και η κατανόηση των επιμέρους θεμάτων του. Ή ότι η προσέγγιση σε αυτό από τις οργανωμένες κοινωνίες εξελίσσεται ακολουθώντας τον ίδιο ρυθμό.

Νομική, τεχνική και ανθρώπινη προσέγγιση της κυβερνοασφάλειας

Πριν όμως συζητήσουμε για την ανάγκη εισαγωγής ενός, νέου, δικαιώματος στην κυβερνοασφάλεια, χρήσιμες είναι ορισμένες επισημάνσεις. Η πρώτη και σημαντικότερη αφορά το γεγονός της διάστασης μεταξύ των προσδοκιών του κοινού και της τεχνικής, και νομικής προσέγγισης στο θέμα. Το κοινό, καθένας δηλαδή από εμάς, παίρνει τον όρο κυβερνοασφάλεια κυριολεκτικά – και πολύ καλά κάνει: Η κυβερνοασφάλεια εξασφαλίζει ασφάλεια για όλους μας στο διαδίκτυο. Αντιθέτως όμως, η νομική προσέγγιση μέχρι σήμερα δεν επιδιώκει ακριβώς το ίδιο: Με τον όρο «κυβερνοασφάλεια» ο νόμος σήμερα εννοεί την ηλεκτρονική ασφάλεια ορισμένων κρίσιμων υποδομών (ενέργεια, μεταφορές, νοσοκομεία κα.). Το ίδιο και οι τεχνικοί, οι ειδικοί της κυβερνοασφάλειας: Επιδιώκουν να προστατεύσουν συστήματα υπολογιστών. Το άτομο, ο άνθρωπος, ο χρήστης δεν μπαίνει πουθενά στη νομική και τεχνική συλλογιστική – ή, στην καλύτερη, μπαίνει μόνο έμμεσα.

Η δεύτερη επισήμανση αφορά την τεχνική προσέγγιση στο θέμα. Εδώ μπορεί να ειπωθούν πολλά, αφού η τεχνική πλευρά της κυβερνοασφάλειας είναι μακράν πιο εξελιγμένη από τη νομική ή το ρυθμιστικό πλαίσιο. Το μόνο όμως που ενδιαφέρει αυτό εδώ το κείμενο είναι ότι όλα αυτά τα εργαλεία, όλα αυτά τα δισεκατομμύρια που έχουν δαπανηθεί και δαπανώνται, στοχεύουν να προστατεύσουν υποδομές. Για τους τεχνικούς δεν έχει σημασία ο άνθρωπος, ούτε καν το περιεχόμενο της πληροφορίας: Το μόνο που έχει σημασία είναι να μην «περάσουν» οι επιθέσεις, και να μην δοθεί πρόσβαση στην πληροφορία. Φυλούν τα τείχη, χωρίς να τους νοιάζει τι υπάρχει πίσω από αυτά.

Η τρίτη επισήμανση αφορά το γεγονός ότι η Ελλάδα στον τομέα αυτόν δεν νομοθετεί μόνη. Παρότι το θέμα ανήκει έμμεσα μόνο στην αρμοδιότητα της ΕΕ, στην Ελλάδα εφαρμόζουμε Κοινοτικούς κανόνες και έχουμε ιδρύσει αρχές (ιδίως, την Εθνική Αρχή Κυβερνοασφάλειας, που λειτουργεί ως Διεύθυνση του Υπουργείου Ψηφιακής Διακυβέρνησης και δεν φαίνεται μέχρι σήμερα να διαθέτει ιστότοπο…) σύμφωνα με Κοινοτικές απαιτήσεις. Αυτό βέβαια δεν αποκλείει τη δυνατότητα στο μέλλον να πάρουμε νομοθετική πρωτοβουλία και να πρωτοτυπήσουμε, όμως για την ώρα απλά ακολουθούμε τους υπόλοιπους Ευρωπαίους.

Τέλος, δεν μπορεί παρά να επισημανθεί ότι και ο ίδιος ο όρος «κυβερνοασφάλεια» (παρότι κατά το ήμισυ ελληνικός: «κυβερνο» / cybersecurity) έχει φιλολογικές καταβολές (από το cyberspace του Gibson),  και τελικά μπερδεύει: Εννοεί το ίντερνετ; Κάτι παραπάνω; Κάτι λιγότερο; Όμως, ομολογουμένως αυτή η επισήμανση τελικά περιττεύει, ο όρος από τη λογοτεχνία μπήκε σε νόμους σε όλη την υφήλιο, τελικά δηλαδή ήρθε για να μείνει.

Έχοντας πει τα παραπάνω, μπορούμε άραγε να μιλήσουμε για ένα δικαίωμα καθενός από εμάς στην κυβερνοασφάλεια;

Κατά τη γνώμη μου, ναι. Αλλά, το θέμα χρειάζεται επεξηγήσεις.

Αρχικά πρέπει να σημειωθεί ότι η εποχή μας είναι η εποχή της σωρηδόν πρότασης νέων δικαιωμάτων: Από το δικαίωμα στο ίντερνετ μέχρι το δικαίωμα στο καθαρό νερό,  σε μια ταχυδρομική διεύθυνση, σε έναν τραπεζικό λογαριασμό, στο δικαίωμα της ώριμης ηλικίας, στην κυριολεξία έχει προταθεί να «δικαιωματοποιηθεί» οτιδήποτε βρίσκεται κάτω από τον ήλιο, κάθε πτυχή της καθημερινής μας ζωής. Αυτό φυσικά δεν έχει καμία σχέση με τους «δικαιωματιστές» (μακριά από εμάς!). Είναι απλά η, ίσως σπασμωδική, προσπάθεια της ανθρωπότητας πρώτα να κατανοήσει και μετά να κατοχυρώσει την νέα πραγματικότητα γύρω της, αυτή την μεταβατική περίοδο που ζούμε.

Επομένως, η συζήτηση για ένα νέο δικαίωμα στην κυβερνοασφάλεια δεν μπορεί να ξεφύγει από το γενικό πλαίσιο της «δικαιωματοποίησης», που, αν μη τι άλλο, της αφαιρεί αξιοπιστία.

Το άλλο πλαίσιο από το οποίο δεν μπορεί να ξεφύγει, είναι αυτό του γενικού δικαιώματος στην ασφάλεια.

“Το δικαίωμα στην ασφάλεια είναι, για εμένα τουλάχιστον, ο μόνος λόγος που δημιουργήθηκαν ανθρώπινες κοινωνίες και εξακολουθούμε να ζούμε όλοι μαζί.”

Το ξέρω ότι θυμίζει Λεβιάθαν, όμως για μένα είναι η μόνη πειστική εξήγηση – και για όλους τους υπόλοιπους έστω μια από τις βασικές αιτίες δημιουργίας ανθρώπινων κοινωνιών (οι άλλες που την ανταγωνίζονται είναι η δικαιοσύνη ή η εγγενής κοινωνικότητα του ανθρώπου – καθένας μπορεί να διαλέξει…). Σε κάθε περίπτωση το βασικό δικαίωμα στην ασφάλεια λέει ακριβώς αυτό, ότι καθένας μας δικαιούται να είναι ασφαλής. Ας μην μπούμε στη συζήτηση τι ακριβώς περιλαμβάνει αυτή η «ασφάλεια», δεν χωρά το ίντερνετ όλο για να απαντηθεί. Αντί γι αυτό, ας σκεφτούμε μόνο μήπως η κυβερνοασφάλεια είναι τελικά αυτονόητο μέρος της ασφάλειας.

Για να απαντηθεί αυτό, αν δηλαδή το γενικό μας δικαίωμα στην ασφάλεια καλύπτει και την κυβερνοασφάλεια, θα πρέπει να αρχίσουμε να αναλύουμε τι ακριβώς θα κάλυπτε ένα δικαίωμα στην κυβερνοασφάλεια (αν φυσικά υποθέσουμε ότι συμφωνούμε τι καλύπτει το δικαίωμα στην ασφάλεια, κάτι που είμαι βέβαιος ότι δεν συμβαίνει στην πραγματικότητα, όμως ας κάνουμε μια υπόθεση εργασίας…).

Κυβερνοασφάλεια για τον άνθρωπο και όχι για τα αντικείμενα

Ένα δικαίωμα στην κυβερνοασφάλεια, νομίζω, ότι θα κάλυπτε άτομα και όχι αντικείμενα (assets). Αυτό δεν είναι καθόλου αυτονόητο σήμερα. Όλοι οι νόμοι που παγκοσμίως έχουν εκδοθεί για την κυβερνοασφάλεια καλύπτουν αντικείμενα πληροφορικής (IT assets) και όχι τους ανθρώπους. Το ίδιο και όλες οι προσπάθειες των πληροφορικών: Προσπαθούν να «σώσουν» συστήματα και δίκτυα ή, το πολύ, τις πληροφορίες που τηρούνται σε αυτά, όχι όμως τους ανθρώπους που όλα αυτά αφορούν.

“Επίσης, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε το δικαίωμα στα άτομα να αντιδράσουν, κάθε φορά που θα δέχονταν επίθεση. Ούτε αυτό συμβαίνει σήμερα.”

Όλοι οι νόμοι είναι στραμμένοι στις υποδομές και με μόνο συμμετέχοντα το Κράτος: Αν κάποια υποδομή (νοσοκομείο, ενέργεια κλπ) αποτύχει να πάρει μέτρα και συμβεί ζημιά, το πολύ να φάει πρόστιμο. Το πρόστιμο επιβάλλεται από κρατική αρχή και πάει στο κρατικό ταμείο. Τα άτομα, που τελικά θίχτηκαν, δεν συμμετέχουν πουθενά. Ένα δικαίωμα στην κυβερνοασφάλεια θα το άλλαζε αυτό.

Τέλος, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε στους τρίτους, τους κυβερνο-επιτιθέμενους, μια σαφή εικόνα παραβίασης. Τώρα δεν συμβαίνει αυτό. Οι κυβερνο-εγκληματίες (που συχνά είναι τα ίδια τα Κράτη, αλλά και αυτό δεν χωρά να αναλυθεί εδώ) δεν είναι σαφές τι ακριβώς έγκλημα κάνουν – ή, μάλλον, είναι σαφές ότι το έγκλημά τους δεν στρέφεται κατά ατόμων αλλά κατά οργανισμών (ή και κρατών). Είναι σαν να ληστεύουν τράπεζα ή να διαπράττουν ασφαλιστική απάτη: Παρανομούν, αλλά δεν βλάπτουν άμεσα ιδιώτες. Αυτό έχει (ή δεν έχει) την ηθική αξία του. Αντιθέτως, ένα δικαίωμα στην κυβερνοασφάλεια (όπως, για παράδειγμα, ισχύει στα προσωπικά δεδομένα) θα έφερνε αντιμέτωπο απευθείας τον παραβάτη με το θύμα του. Ο πρώτος θα γνωρίζει ότι βλάπτει, ο δεύτερος θα έχει δικαίωμα (ή και υποχρέωση) να αμυνθεί.

Κάπου εκεί νομίζω ότι βρίσκεται η διαφορά με το γενικό δικαίωμα στην ασφάλεια: Η κυβερνοασφάλεια είναι, ή έστω μπορεί να γίνει, πολύ πιο συγκεκριμένη. Ενώ μπορούμε να συζητάμε για αιώνες τι ακριβώς περιλαμβάνει η «ασφάλεια» για τον άνθρωπο (όπως ήδη κάνουμε, άλλωστε…), η κυβερνοασφάλεια είναι κάτι απτό που συμβαίνει τώρα και χρειάζεται αντιμετώπιση. Ομολογουμένως μετά από δεκαετίες, για παράδειγμα το 2045, θα πρέπει να αλλάξει όνομα(!), καθώς η ψηφιακή ζωή μας πιθανότατα θα έχει γίνει αξεχώριστη με την πραγματική. Άρα μάλλον η γενική ασφάλεια θα περιλαμβάνει και την κυβερνοασφάλεια. Θα θεωρεί δηλαδή καθένας αυτονόητο ότι το περιπολικό της Αστυνομίας μπορεί να κληθεί για να προστατεύσει το σπίτι μας και από κυβερνοεπιθέσεις. Μέχρι να συμβεί αυτό όμως, ή, νομίζω σωστότερα, για να συμβεί αυτό όμως, πρέπει να γίνει ξεκάθαρο σε καθέναν ότι έχουμε δικαίωμα στην κυβερνοασφάλεια – εμείς, οι πολίτες, όχι τα λιμάνια και οι σταθμοί της χώρας.

The post Το δικαίωμα στην κυβερνοασφάλεια appeared first on 2045.gr.

Σε μια πρόσφατη έρευνα της ΙΒΜ για τις παραβιάσεις που ταλαιπώρησαν χιλιάδες πελάτες της σε 130 χώρες τα αποτελέσματα ήταν αποκαλυπτικά: 19 στις 20 παραβιάσεις ή αλλιώς ποσοστό 95% του συνόλου δεν θα είχαν προκληθεί αν δεν είχε μεσολαβήσει κάποιο ανθρώπινο λάθος. Την ώρα που όλο και περισσότερες επιχειρήσεις επενδύουν συνεχώς μεγαλύτερα ποσά στην κυβερνοασφάλεια και στην ανθεκτικότητα των συστημάτων τους ο ανθρώπινος παράγοντας εμφανίζεται να αποτελεί τον αδύναμο κρίκο της αλυσίδας.

Γατί λοιπόν το ανθρώπινο λάθος προκαλεί τόσες πολλές παραβιάσεις και γιατί οι υπάρχουσες λύσεις απέτυχαν να αντιμετωπίσουν το πρόβλημα;

Τι σημαίνει ανθρώπινο λάθος στην κυβερνοασφάλεια

Προφανώς τα παραπάνω στοιχεία δεν αναιρούν πιθανές ευπάθειες σε τεχνολογικές λύσεις και πλατφόρμες, που αφήνουν το παράθυρο σε επιτήδειους και το οργανωμένο ηλεκτρονικό έγκλημα να τις εκμεταλλευτούν. Όμως δείχνουν ότι το ανθρώπινο λάθος αποτελεί τον πιο αποτελεσματικό παράγοντα στον οποίο μπορούν να ποντάρουν οι χάκερς του Διαδικτύου.

Στο πεδίο της κυβερνοασφάλειας ως ανθρώπινο σφάλμα νοούνται ακούσιες ενέργειες ή έλλειψη δράσης από υπαλλήλους και χρήστες που προκαλούν, διαδίδουν ή επιτρέπουν μια παραβίαση. Αυτό περιλαμβάνει ένα ευρύ φάσμα ενεργειών (ή αδράνειας), από τη λήψη ενός συνημμένου που έχει μολυνθεί από κακόβουλο λογισμικό έως την αποτυχία χρήσης ενός ισχυρού κωδικού πρόσβασης. Αν και ο αριθμός αυτών των ενεργειών που μπορούν να οδηγήσουν σε μια παραβίαση είναι πραγματικά πολύ μεγάλος, έχουμε δύο μεγάλες κατηγορίες στις οποίες μπορούμε να τις χωρίσουμε: στα σφάλματα λόγω έλλειψης δεξιοτήτων και σε εκείνα των λάθος αποφάσεων.

Ειδικοί και αναλυτές έχουν αποδώσει επανειλημμένα (εν μέρει τουλάχιστον) τους λόγους.  Με τα ολοένα πιο προηγμένα και περίπλοκα περιβάλλοντα εργασίας, οι υπάλληλοι/χρήστες χρησιμοποιούν έναν συνεχώς αυξανόμενο αριθμό εργαλείων και υπηρεσιών, οι οποίοι συνοδεύονται από user names και passwords και άλλα στοιχεία που πρέπει να θυμούνται για καθένα από αυτά. Ένας εύκολος κωδικός πρόσβασης, ένας μαζικός κωδικός για όλα τα εργαλεία και τις πλατφόρμες είναι δύο μόνο από τις διάφορες συντομεύσεις στις οποίες καταφεύγουν οι εργαζόμενοι (ελλείψει εναλλακτικών ασφαλών λύσεων) για να κάνουν πιο εύκολη την εργασία και την καθημερινότητά τους.

Ένας νέος παράγοντας που ενέτεινε το πρόβλημα ήταν η πανδημία. Σύμφωνα με την περυσινή έκθεση της ESET, The Human Element of Cybersecurity, το κυβερνοέγκλημα κατά τους πρώτους μήνες εφαρμογής του lockdown (και κατά συνέπεια της μαζικής εφαρμογής της απομακρυσμένης εργασίας) εμφάνισε αύξηση 63%, με τους επικεφαλής των τομέα ασφάλειας των επιχειρήσεων κατά 80% να θεωρούν ότι το ανθρώπινο σφάλμα αποτελεί τη μεγαλύτερη πρόκληση που έχουν να αντιμετωπίσουν. Από την πλευρά τους, οι μισοί σχεδόν καταναλωτές που ερωτήθηκαν ανέφεραν ότι στο ίδιο διάστημα ότι ανησυχούσαν για τη δυνατότητά τους να διαχειριστούν το αυξημένο στρες, γεγονός που αυξάνει την πιθανότητα του ανθρώπινου σφάλματος κατά την ώρα εργασίας.

Από το ψάρεμα στο ransomware

Την άποψη ότι ο άνθρωπος και όχι η μηχανή είναι ο αδύναμος κρίκος σε ένα σύστημα ασφαλείας έχει εκφράσει προ covid -και επιβεβαιώσει με τις πράξεις του- ο Κέβιν Μίτνικ, ο πιο διάσημος χάκερ της δεκαετίας του ‘90. Ο ίδιος ευθύνεται που η «κοινωνική μηχανική» (social engineering) αποτελεί σήμερα έναν από τους σημαντικότερους παράγοντες που λαμβάνουν υπόψιν τους οι σχεδιαστές συστημάτων ασφαλείας.

Το να αποκτήσεις έναν κωδικό προσπαθώντας να τον μαντέψεις είναι, όπως έχει δείξει η καριέρα του Μίτνικ, πολύ πιο χρονοβόρο από το να αποσπάσει κανείς την εμπιστοσύνη του στόχου. Στο βιβλίο του για την Τέχνη της Παραπλάνησης ο Μίτνικ αναφέρεται αρκετές φορές στους τρόπους που αποσπούσε κωδικούς πρόσβασης και κανείς από αυτούς δεν αφορούσε πολύωρη πληκτρολόγηση σε ένα σκοτεινό δωμάτιο με το μόνο φως να προέρχεται από την οθόνη.

Αυτά όσον αφορά ανθρώπους όπως ο Μίτνικ. Υπάρχουν και πιο αδέξιες προσπάθειες κοινωνικής μηχανής όπως αυτή του «ψαρέματος» με δόλωμα συνήθως μηνύματα email που υπόσχονται αμύθητα ποσά έναντι μιας μικρής διευκόλυνσης. Οι φερόμενοι ως Νιγηριανοί πρίγκιπες, αξιωματούχοι άλλων χωρών της υποσαχάριας Αφρικής και της Μέσης Ανατολής ή ως μεγαλοστελέχη επιχειρήσεων, μπορεί να μην έχουν τα χαρίσματα του Μίτνικ αλλά δεν παύουν να έχουν αποτελεσματικότητα. Μια οργανωμένη επιχείρηση «ψαρέματος» με στόχο τη βελγική τράπεζα Crelan είχε ως αποτέλεσμα να κάνουν φτερά περίπου 70 εκατ. ευρώ.

“Στην περίπτωση της αυστριακής αεροναυπηγικής εταιρείας FACC, άγνωστος δράσης υποδύθηκε τον διευθύνοντα σύμβουλο και έπεισε έναν υπάλληλο του λογιστηρίου να μεταφέρει σε τραπεζικούς λογαριασμούς γύρω στα 55 εκατ. ευρώ.” 

Όπως συνηθίζεται στον χώρο της κυβερνοασφάλειας, ο αριθμός των περιστατικών που ανακοινώνονται είναι πολύ πιο μικρός σε σχέση με τον πραγματικό αριθμό συμβάντων. Κάποιες φορές η δημοσιοποίηση είναι αναγκαία καθώς το επεισόδιο έχει γίνει αντιληπτό από πολύ κόσμο. Άλλες φορές γίνεται από κάποιο θύμα κυβερνοεπίθεσης, όπως συνέβη με τη Γενική Γραμματεία Αθλητισμού που τον Οκτώβριο του 2019 ανακοίνωσε πως είχε πέσει θύμα του κακόβουλου λογισμικού ransomware Sodinokibi.

Πολύ πρόσφατα , δύο ακόμα περιστατικά κυβερνοασφάλειας -στον Δήμο Θεσσαλονίκης και το υπουργείο Περιβάλλοντος- μέσω ransomware που ενεργοποιήθηκε όταν κάποιοι υπάλληλοι πάτησαν το link-παγίδα σε κάποια μηνύματα ηλεκτρονικού ταχυδρομείου απασχόλησαν την ελληνική επικαιρότητα.

Ενδεχομένως αυτά τα περιστατικά, όπως και η επιχείρηση «Θαλάσσια Χελώνα» να έχουν κάνει και τους πιο δύσπιστούς στην ελληνική δημόσια διοίκηση να αντιληφθούν την αξία της προστασίας των ψηφιακών υποδομών. Η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) στο υπουργείο Ψηφιακής Διακυβέρνησης και η ενσωμάτωση της οδηγίας της Ε.Ε. για τις κρίσιμης σημασίας υποδομές είναι ορισμένες από τις ενέργειες που έχουν γίνει έως σήμερα. Βεβαίως υπηρεσίες όπως η ΕΑΚ δεν φημίζονται για τη διάθεση που έχουν να δημοσιοποιούν τις δραστηριότητές τους με εξαίρεση, φυσικά, κείμενα πολιτικής όπως η Εθνική Στρατηγική Κυβερνοασφάλειας για την περίοδο 2020-2025.

Τα περιστατικά επιθέσεων σε κυβερνητικά websites για τις οποίες την ευθύνη ανέλαβαν Τούρκοι χάκερ (και τα αντίστοιχες επιθέσεις Ελλήνων χάκερ προς τουρκικά websites) μπορεί κατά καιρούς να είναι θεαματικά αλλά περισσότερο ενδιαφέρον για τις αρμόδιες υπηρεσίες έχουν οι πιο οργανωμένες επιχειρήσεις εναντίον κρίσιμων ψηφιακών υποδομών. Κάποιοι μιλούν για ακήρυκτο πόλεμο που διεξάγεται μέσω οθονών και μακριά από τα μάτια των ΜΜΕ και των πολιτών. Κάποιοι συνδέουν αυτές τις επιχειρήσεις με αναφορές για περιστατικά κυβερνοασφάλειας σε ελληνικές βιομηχανικές μονάδες, ωστόσο τίποτα δεν μπορεί να επιβεβαιωθεί (ενώ, αντίθετα, πολλά μπορούν να διαψευστούν).

Από τον ψηφιακό, στον συμβατικό πόλεμο

Εχουμε δει περιπτώσεις όπου οι κυβερνοεπιθέσεις συνοδεύουν μια συμβατική στρατιωτική επιχείρηση, με πιο χαρακτηριστικές τις περιπτώσεις των ρωσικών επιχειρήσεων κατά της Γεωργίας και της Ουκρανίας το 2008 και το 2014 αντίστοιχα. Αξιωματούχοι του ΝΑΤΟ έχουν κατά καιρούς σχολιάσει πως η Συμμαχία μπορεί να αντιδράσει σε μια επιχείρηση κυβερνοπολέμου με τη χρήση συμβατικών στρατιωτικών μέσων. «Επιβεβαιώνουμε ότι η απόφαση ως το αν μια κυβερνοεπίθεση θα οδηγούσε σε ενεργοποίηση του Άρθρου 5 θα λαμβάνεται από το Συμβούλιο κατά περίπτωση» αναφέρεται στο ανακοινωθέν της Συνόδου Κορυφής του ΝΑΤΟ που πραγματοποιήθηκε τον Ιούνιο 2021.

Φαίνεται πως κάτι τέτοιο ενδεχομένως να έχει γίνει τουλάχιστον μία φορά -όχι όμως από κράτος-μέλος του ΝΑΤΟ αλλά από εταίρο της Συμμαχίας- όταν δυνάμεις της ισραηλινής πολεμικής αεροπορίας (φέρονται να) έπληξαν θέσεις της Χαμάς στη Λωρίδα της Γάζας που αποτελούσαν βάση χάκερ της οργάνωσης.

Το ζήτημα, δηλαδή η διασύνδεση του κυβερνοπολέμου με τις συμβατικές στρατιωτικές επιχειρήσεις αποτελεί θέμα και στον ακαδημαϊκό διάλογο.

Στιγμές από την Ιστορία της κυβερνοασφάλειας και του κυβερνοπολέμου

1989: Το πρώτο ransomware

Η πρώτη κατεγεγραμμένη περίπτωση λογισμικού που ζητούσε λύτρα για να ξεκλειδώσει τον μολυσμένο υπολογιστή καταγράφηκε το 1989 όταν ο ερευνητής σε ένα εργαστήριο που μελετούσε το AIDS, Joseph Popp, διένειμε 20.000 μολυσμένες δισκέτες σε συνεργάτες του σε 90 χώρες. Μετά την 90η εκκίνηση του μολυσμένου υπολογιστή το λογισμικό ενεργοποιείτο και τον κλείδωνε ζητώντας λύτρα συνολικού ύψους 600 δολαρίων περίπου. 

2000: Υπόθεση MafiaBoy

Ο 15χρονος, τότε, Michael Calce, γνωστός και με το ψευδώνυμο MafiaBoy, εξαπέλυσε μία επίθεση DDoS εναντίον μεγάλων websites το 2000. Amazon, CNN και eBay ήταν μερικά από τα sites που τέθηκαν εκτός λειτουργίας. Ο Καναδός Calce συνελήφθη αλλά δεν καταδικάστηκε σε φυλάκιση καθώς ήταν ανήλικος. Υπολογίζεται πως η ενέργειά του προκάλεσε ζημιές 1,2 δισ. δολαρίων. 

2002: Επίθεση στην «καρδιά» του διαδικτύου

Άγνωστοι ήταν οι δράστες της επίθεσης εναντίον των 13 κεντρικών servers του συστήματος DNS στις ΗΠΑ που απείλησε με πλήρη αποσυντονισμό τη λειτουργία του διαδικτύου. Η επίθεση διήρκεσε περίπου μία ώρα και οι ομοσπονδιακές αρχές των ΗΠΑ την είχαν χαρακτηρίσει ως τη σημαντικότερη κυβερνοεπίθεση που είχε καταγραφεί μέχρι τότε.

2007: Η Εσθονία στο στόχαστρο

Η απόφαση της εσθονικής κυβέρνησης το 2007 να επανατοποθετήσει ένα μνημείο της σοβιετικής περιόδου για την απελευθέρωση της χώρας από του ναζί προκάλεσε την οργή της ρωσικής μειονότητας. Οι αντιδράσεις δεν περιορίστηκαν σε διαδηλώσεις αλλά επεκτάθηκαν και στον κυβερνοχώρο όπου οι ψηφιακές υποδομές της Εσθονίας υπέστησαν μία άνευ προηγουμένου επίθεση που εντάθηκε τον Μάιο του 2007. Η κυβέρνηση της χώαρς κατηγόρησε τη Ρωσία για την επίθεση, ωστόσο η ανάλυση που ακολούθησε από την Ευρωπαϊκή Επιτροπή και το ΝΑΤΟ δεν επιβεβαίωσε αυτό τον ισχυρισμό.

2009: Google εναντίον Κίνας

Πρόκειται για την πρώτη γνωστή περίπτωση κυβερνοκατασκοπείας, σύμφωνα τουλάχιστον με τα λεγόμενα της Google που το 2009 ανακάλυψε πως Κινέζοι χάκερ είχαν αποκτήσει πρόσβαση σε servers της στην Κίνα. Τον Μάρτιο του 2010 η εταιρεία αποχώρησε ουσιαστικά από τη κινεζική αγορά μεταφέροντας τις δραστηριότητές της στο Χονγκ-Κονγκ.

2010: Υπόθεση Stuxnet

Το κακόβουλο λογισμικό Stuxnet ήταν σχεδιασμένο να προσβάλει βιομηχανικά συστήματα και -αν και δεν υπάρχει επίσημη επιβεβαίωση- θεωρείται πως είναι αποτέλεσμα της συνεργασίας αμερικανικών και ισραηλινών υπηρεσιών. Το λογισμικό είχε εγκατασταθεί στη μονάδα εμπλουτισμού ουρανίου που λειτουργούσε η ιρανική κυβέρνηση στην περιοχή Νατάνζ του Ιράν. Σε αντίποινα, το Ιράν εξαπέλυσε μία μεγάλη κυβερνοεπίθεση το 2012 με στόχο αμερικανικές τράπεζες, ενώ κακόβουλο λογισμικό ιρανικής παραγωγής προκάλεσε δυσλειτουργίες στις υποδομές της πετρελαϊκής εταιρείας Aramco στη Σαουδική Αραβία.

2019: «Θαλάσσια Χελώνα» στην Αθήνα

Ο ληξίαρχος του ελληνικού διαδικτύου και κυβερνητικά websites ήταν ανάμεσα στους στόχους της ομάδας Sea Turtle («Θαλάσσια Χελώνα») που επιχείρησε να αποκτήσει κωδικούς πρόσβασης και άλλο υλικό. Η ταυτότητα των δραστών δεν είναι σαφής, ωστόσο πολλοί «έδειξαν» προς την Τουρκία. 

2020: Υπόθεση SolarWinds

Ρώσοι χάκερς κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα περισσότερων από 200 οργανισμών σε όλο τον κόσμο, συμπεριλαμβανομένων κρατικών υπηρεσιών των ΗΠΑ, εκμεταλλευόμενοι ένα κενό ασφαλείας σε λογισμικό της εταιρείας SolarWinds.

The post Ο άνθρωπος ως ο αδύναμος κρίκος στην κυβερνοασφάλεια appeared first on 2045.gr.