FutureLab

Κυβερνο-ασφάλεια και ανθρώπινος παράγοντας

Άρθρο του Δρ. Άγγελου Αμδίτη

Καθώς βρισκόμαστε στην εποχή της ψηφιακής μετάβασης, στη 4η βιομηχανική επανάσταση όπως την αποκαλούμε, η συζήτηση περί ασφάλειας γίνεται ολοένα και πιο επίκαιρη στην προσπάθεια διασφάλισης της ψηφιακής οικονομίας.

Η νέα ψηφιακή εποχή περιλαμβάνει τεχνολογίες που συνιστούν στην καλύτερη αξιοποίηση των δεδομένων που παράγονται, την καλύτερη και ταχύτερη διασύνδεση των συστημάτων και επεξεργασία αυτών των δεδομένων, την ανάπτυξη νέων εφαρμογών και ενισχυμένων ψηφιακών υπηρεσιών. Η διασύνδεση και ο έλεγχος των συστημάτων γίνεται με αυτοματοποιημένο τρόπο, με δυνατότητα άντλησης δεδομένων από μία πληθώρα πηγών, δυνατότητα απομακρυσμένης σύνδεσης και διαχείρισης συστημάτων, δημιουργίας αυτόματων ειδοποιήσεων, προβλέψεων, εκτιμήσεων κατάστασης, πρόληψης, αλληλεπίδρασης με φυσικά αντικείμενα και γενικότερα ενισχυμένης αντίληψης του περιβάλλοντος ή της εγκατάστασης που ελέγχεται, και μάλιστα σε πραγματικό χρόνο.

θα πρέπει η πρόνοια των εταιρειών για τη διασφάλιση της κυβερνοασφάλειας, αλλά και την ιδιωτικότητα των δεδομένων, να είναι υψηλής προτεραιότητας

Η κυβερνοασφάλεια στην ψηφιακή εποχή

Το τρωτό σημείο αυτής της ψηφιοποιημένης εποχής έγκειται στην ασφάλεια των δεδομένων που διακινούνται αλλά και των διαδικασιών που επιτελούνται. Ο τομέας της κυβερνοασφάλειας, που μελετά την προάσπιση της ασφάλειας σε αυτή τη διάσταση,  στοχεύει στην αντιμετώπιση απειλών σε κρίσιμους τομείς εφαρμογής τεχνολογιών και προηγμένων συστημάτων, όπου η αλλοίωση δεδομένων μπορεί να οδηγήσει στην διακοπή σωστής λειτουργίας μιας συσκευής ή και ενός ολόκληρου συστήματος μέχρι και να προκαλέσει κάποιο ατύχημα. Οι προκλήσεις δεν είναι λίγες – οι ίδιες και η  βέλτιστη αντιμετώπιση τους είναι πεδίο μελέτης από διάφορους οργανισμούς - και αφορούν σε θέματα που άπτονται της ασφάλειας των δεδομένων και κυρίως των προσωπικών δεδομένων, της απρόσκοπτης πρόσβασης στα δεδομένα και της διαλειτουργικότητας των διαφόρων συστημάτων, του όγκου των δεδομένων που διακινούνται και τον καλύτερο τρόπο αξιοποίησης και διαχείρισης αυτών, των νέων επιχειρηματικών μοντέλων που προκύπτουν με την ανάπτυξη νέων εφαρμογών.

Κάθε φορά που μια νέα συσκευή ή σύστημα συνδέεται στο διαδίκτυο ή συνδέεται με άλλα συστήματα, οι πιθανότητες κυβερνοεπίθεσεων αυξάνονται. Υπάρχει μια ποικιλία τέτοιων τύπων επιθέσεων, αυτές μπορεί να είναι ένα κακόβουλο λογισμικό (Malware) που έχει σχεδιαστεί για να βλάπτει συσκευές ή δίκτυα. Μπορεί να περιλαμβάνει ιούς, όπως αναφορικά trojan, ransomware, worms, adware και spyware. Το Ransomware κρυπτογραφεί δεδομένα, εμποδίζοντας τους χρήστες να έχουν πρόσβαση στα αρχεία τους έως ότου καταβληθούν λύτρα, συνήθως σε  κρυπτονόμισμα ή γίνει κάποια ενέργεια. Υπάρχουν επίσης οι λεγόμενες κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS) Distributed Denial of Service, οι οποίες καθιστούν μη διαθέσιμες, υπηρεσίες ή πόρους, πλημμυρίζοντας τις υπηρεσίες με περισσότερα αιτήματα από όσα μπορούν να χειριστούν.

Αντίστοιχα, οι ίδιοι οι χρήστες μπορούν να χειραγωγηθούν, ώστε να εκτελέσουν ακούσια μια ενέργεια ή να αποκαλύψουν εμπιστευτικές πληροφορίες. Αυτό μπορεί να χρησιμοποιηθεί για κλοπή δεδομένων ή cyberespionage, και είναι γνωστό ως social engineering. Υπάρχουν διάφοροι τρόποι για να επιτευχθεί αυτό, αλλά μια κοινή μέθοδος είναι το ηλεκτρονικό ψάρεμα. Υπάρχουν επίσης και εξελιγμένες μορφές στοχευμένων επιθέσεων, όπως οι προηγμένες μόνιμες απειλές (APT) Advanced persistent threats,  που ασχολούνται με τη μακροπρόθεσμη παρακολούθηση και κλοπή δεδομένων και αυτοί που τις αναλαμβάνουν στοχεύουν στο να παραμείνουν κάτω από το ραντάρ χωρίς ανίχνευση για όσο το δυνατόν περισσότερο.

Εύκολα οι απειλές αυτές κατευθύνονται προς διαφορετικούς τομείς, επηρεάζοντας πολλαπλούς χρήστες και μάλιστα σε έκταση πάνω από μία χώρες. Τομείς όπως η οικονομία, το τραπεζικό σύστημα, η ενέργεια, το νερό, οι μεταφορές, οι τηλεπικοινωνίες, η υγεία, οι εμπορευματικές μεταφορές και η εφοδιαστική αλυσίδα, οι εμπορικές εγκαταστάσεις, η ναυτιλία, σε συνδυασμό με τις υπηρεσίες που έχουν αναλάβει τη διαχείριση τους, καθώς και οι κρίσιμες υποδομές, φυσικές και ψηφιακές, όλων αυτών χρειάζονται σωστό σχεδιασμό μιας στρατηγικής κυβερνοασφάλειας, όσο και αποτελεσματική υλοποίηση της, ήδη από το πρώτο στάδιο εισόδου τους στη ψηφιακή εκδοχή τους.

 

Δύο χαρακτηριστικά παραδείγματα κυβερνοεπιθέσεων

Χαρακτηριστικά παραδείγματα του μεγέθους των επιπτώσεων, οικονομικών αλλά και κοινωνικών, τέτοιων κυβερνο-επιθέσεων, σε μεγάλες βιομηχανίες, όπως στη ναυτιλία, σε δύο από τις πιο γνωστές περιπτώσεις ήταν αυτές των Maersk Case, και του λιμανιού της Αμβέρσας.

Τον Ιούνιο του 2017, ο γίγαντας της ναυτιλίας A.P. Moller-Maersk, ο οποίος κινεί περίπου το ένα πέμπτο των παγκόσμιων εμπορευματικών μεταφορών χτυπήθηκε από κακόβουλο λογισμικό (NotPetya). Οι επιχειρήσεις στα τερματικά του Maersk σε τέσσερις διαφορετικές χώρες επηρεάστηκαν, προκαλώντας καθυστερήσεις και διακοπές που κράτησαν εβδομάδες. Σύμφωνα με δήλωση που εκδόθηκε από την εταιρεία, το συνολικό κόστος για την αντιμετώπιση της κρίσης που ξέσπασε έφτασε κάπου στο εύρος των 200 έως 300 εκατομμυρίων δολαρίων. Στην περίπτωση του λιμανιού της Αμβέρσας, οι χάκερς που συνεργάζονταν με συμμορία λαθρεμπορίου ναρκωτικών διείσδυσαν στο μηχανογραφημένο σύστημα παρακολούθησης φορτίου του λιμανιού, για να εντοπίσουν τα εμπορευματοκιβώτια στα οποία είχαν κρυφτεί αποστολές ναρκωτικών. Η συμμορία οδήγησε έπειτα τα εμπορευματοκιβώτια εκτός λιμανιού, πήρε τα ναρκωτικά και κάλυψε τα ίχνη τους. Η εγκληματική δραστηριότητα συνεχίστηκε για περίοδο δύο χρόνια από τον Ιούνιο του 2011, έως ότου σταμάτησε με κοινή δράση της αστυνομίας του Βελγίου και της Ολλανδίας.

Κανένας οργανισμός/εταιρεία δεν είναι απολύτως απρόσβλητος σε περιστατικά.

Αναγκαία η επένδυση στην Ασφάλεια

Ενώ λοιπόν, μεγάλοι οργανισμοί και εταιρείες του ευρύτερου ιδιωτικού και δημοσίου τομέα, προχωρούν στη ψηφιοποίηση των διαδικασιών και των υπηρεσιών τους, με τις προκλήσεις ασφαλείας που αντιμετωπίζουν να αυξάνονται, θα πρέπει και η πρόνοια των εταιρειών για τη διασφάλιση της κυβερνοασφάλειας, αλλά και της προετοιμασίας και της ετοιμότητας, και για θέματα που έχουν να κάνουν και με την ιδιωτικότητα των δεδομένων, να είναι υψηλής προτεραιότητας ώστε να προστατεύεται η περιουσία και η αδιάληπτη λειτουργία τους.

Είναι αξιοσημείωτο ότι μεταξύ των εταιρειών στην ΕΕ, το 69% δεν έχει καθόλου, ή έχει μόνο μια βασική κατανόηση, της έκθεσής τους σε απειλές στον κυβερνοχώρο. Το 60% δεν έχει εκτιμήσει ποτέ τις πιθανές οικονομικές απώλειες από μία τέτοια επίθεση, ενώ ο οικονομικός αντίκτυπος του εγκλήματος στον κυβερνοχώρο αυξήθηκε κατά πέντε φορές μεταξύ 2013 και 2017.

Όσο τεράστια επένδυση κι αν γίνεται, τόσο στην έρευνα όσο και στη χρήση συστημάτων και τεχνολογιών ασφάλειας από τις εταιρείες για την αποτελεσματική προστασία τους από κυβερνοεπιθέσεις, ένα καλό σύστημα δεν αρκεί. Η τεχνολογία υπάρχει - και εξελίσσεται - αλλά το τέλειο σύστημα όχι. Κανένας οργανισμός/εταιρεία δεν είναι απολύτως απρόσβλητος σε περιστατικά. Είναι σημαντικό λοιπόν με αυτήν τη παραδοχή, οι επιχειρήσεις και υπηρεσίες να χτίσουν μια στρατηγική ενημέρωσης και ανθεκτικότητας απέναντι σε κυβερνοεπιθέσεις, και να λάβουν όλα τα απαραίτητα βήματα για να είναι προστατευμένοι. Βήματα που όμως δεν έχουν να κάνουν μόνο με τη τεχνολογία αλλά βασίζονται στο τρίπτυχο: τεχνολογία, διαδικασίες, άνθρωπος.

 

Ο Ανθρώπινος παράγοντας

Ο ανθρώπινος παράγοντας στο πλαίσιο της ασφάλειας των πληροφοριών έχει αρχίσει να έρχεται στο επίκεντρο, ιδιαίτερα όταν η χρήση τεχνολογιών ασφαλείας απέτυχε να προστατεύσει τις εταιρείες από κυβερνοεπιθέσεις, είτε η χρήση τέτοιων τεχνολογιών αναιρείται σε περιπτώσεις όπου οι εργαζόμενοι δεν ακολουθούν τα πρωτόκολλα ασφάλειας για τον κυβερνοχώρο ή συμμετέχουν σε δραστηριότητες που θέτουν τον εαυτό τους και την εταιρεία τους σε κίνδυνο.  Έχει διαπιστωθεί ότι πολλές φορές οι υπάλληλοι, αλλά και κυρίως αυτοί που ανήκουν σε υψηλότερες θέσεις ιεραρχικά, υποτιμούν τις διαδικασίες με συνέπεια την πιθανότητα να πέσουν θύματα παραβίασης της κυβερνοασφάλειας και να δημιουργήσουν οι ίδιοι τρύπα στο σύστημα. Τώρα μπορεί να υπάρχει η εντύπωση ότι οι χάκερς απλά αναζητούν ένα αδύναμο σημείο εισόδου που υπάρχει φυσικά σε ένα σύστημα. Ωστόσο, τις περισσότερες φορές, βρίσκουν έναν αδύναμο δεσμό που προκλήθηκε από ανθρώπινο χέρι.

Είναι απαραίτητο να υπάρχουν κατανοητές και άμεσα προσβάσιμες πρακτικές ασφάλειας, που να εξηγούν με απλό τρόπο τους κανόνες που διέπουν την στρατηγική κυβερνοασφάλειας της εταιρείας/οργανισμού. Αυτό το εγχειρίδιο θα παρέχει μια ολιστική αντιμετώπιση με ακριβείς και σωστές πληροφορίες προς τους χρήστες, αλλά και με βήματα δράσης σε περίπτωση απειλής. Καλύτερα προετοιμασμένοι επαγγελματίες, καλύτερη εκπαίδευση τους μέσα σε ένα αίσθημα εμπιστοσύνης, κάνει τους τελικούς χρήστες προϊόντων και υπηρεσιών κυβερνοασφάλειας, να εμπλέκονται περισσότερο στην έκφραση πραγματικών αναγκών σε προγραμματιστές και να ακολουθούν σωστές πρακτικές, ενώ βελτιωμένα μοντέλα ανάλυσης κινδύνων για την ασφάλεια στον κυβερνοχώρο βοηθούν στη λήψη σωστών διοικητικών αποφάσεων και καλύτερης συνεργασίας και ενισχύουν τη γνώση σχετικά με το πώς οι οργανισμοί μπορούν να κάνουν σωστή επένδυση κατά των επιθέσεων στον κυβερνοχώρο.

Καταλήγοντας, η προάσπιση των στόχων της ασφάλειας στο κυβερνοχώρο, μαζί με τη προστασία των δεδομένων, στη νέα εποχή των ψηφιακών υπηρεσιών και διαδικασιών είναι μεγίστης σημασίας για όλους χωρίς εξαιρέσεις και μπορεί με έγκαιρη αναγνώριση, αποτελεσματική προστασία και ανίχνευση, προετοιμασμένη και σχεδιασμένη απάντηση, και μηχανισμούς αποκατάστασης με βελτίωση διαδικασιών να επιτευχθεί.

 

Ο Δρ. Άγγελος Αμδίτης γεννήθηκε το 1968. Είναι απόφοιτος του τμήματος Ηλεκτρολόγων Μηχανικών και Μηχανικών Ηλεκτρονικών Υπολογιστών του Εθνικού Μετσόβιου Πολυτεχνείου (1992), κάτοχος Διδακτορικού από το ίδιο τμήμα (1997) και ΜΒΑ από το Πανεπιστήμιο Πειραιά και ΕΜΠ (Τεχνοοικονομικά Συστήματα – 2016). Έχει διδάξει στο Τμήμα Ηλεκτρολόγων Μηχανικών του ΕΜΠ και στη Σχολή Ναυτικών Δοκίμων. Τον Ιανουάριο του 2002 ίδρυσε την Ερευνητική Ομάδα Ι-SENSE στο ΕΠΙΣΕΥ με ερευνητικό και αναπτυξιακό έργο σε θέματα Ευφυών Συστημάτων Μεταφοράς, τηλεπικοινωνιών, Τεχνητής Νοημοσύνης και αυτοματοποίησης, αντιμετώπισης κρίσεων και καταστροφών, έξυπνων ολοκληρωμένων συστημάτων όπως αισθητήρες, επικοινωνίες και πλατφόρμες για οχήματα, έξυπνες πόλεις, περιβαλλοντολογικές και βιομηχανικές εφαρμογές. Σήμερα είναι Αναπληρωτής Πρόεδρος Δ.Σ. Ο.Α.Σ.Α., Μέλος Δ.Σ. ΕΥΔΑΠ, Αντιπρόεδρος και ιδρυτικό μέλος του Ελληνικού Οργανισμού Ευφυών Συστημάτων Μεταφορών, ITS Hellas, του οργανισμού EuroVR και Διευθυντής Ερευνών (Ερευνητής Α’) στο Ερευνητικό Πανεπιστημιακό Ινστιτούτο Συστημάτων Επικοινωνιών και Υπολογιστών (ΕΠΙΣΕΥ) του ΕΜΠ ενώ συμμετέχει παράλληλα στο Διοικητικό του Συμβούλιο. Έχει υπάρξει επιστημονικός υπεύθυνος ή κύριος ερευνητής σε πάνω από 150 ευρωπαϊκά και εθνικά ερευνητικά έργα. Είναι συγγραφέας πολλών άρθρων σε επιστημονικά περιοδικά, κεφαλαίων βιβλίων και πάνω από 220 άρθρων συνεδρίων. Εκπροσωπεί το Ερευνητικό Πανεπιστημιακό Ινστιτούτο Συστημάτων Επικοινωνιών και Υπολογιστών (ΕΠΙΣΕΥ) στην ERΤΙCO - ITS Europe, όπου είναι εκλεγμένος Πρόεδρος του Διοικητικού της Συμβουλίου. Είναι Εθνικός Εκπρόσωπος της Ελλάδας στην ΕΕ σε θέματα Συνεργατικών και Αυτόματων Μεταφορών (C-ITS και CCAM).