Του Παύλου Νεοφύτου
Αυτές τις μέρες το Τμήμα Κτηματολογίου και Χωρομετρίας της Κυπριακής Δημοκρατίας προσπαθεί να επουλώσει τις πληγές του, να μαζέψει τις δυνάμεις του και να ξανασηκωθεί. Η κυβερνοεπίθεση που δέχθηκε η «Πύλη» του την περασμένη Τετάρτη, ώστε να βρεθεί αυτή και ο κύριος όγκος εργασιών του Τμήματος σε αδράνεια, το έχει καταστήσει ακόμα ένα θύμα -από τα πολλά διεθνώς, ακόμη και σε χώρες προηγμένες τεχνολογικά- των σύγχρονων πολέμων. Μόνο τα παραδείγματα από τον υβριδικό πόλεμο στην Ουκρανία αρκούν, για να συλλάβουμε τις μεγάλες διαστάσεις που έχουν λάβει οι κυβερνοεπιθέσεις στη δεύτερη δεκαετία του 21ου αιώνα. Ειδικοί σε θέματα κυβερνοασφάλειας μιλούν στην «Κ» και μας βοηθούν στο να ξεκαθαρίσει το τοπίο γύρω από το συγκεκριμένο περιστατικό, να δοθεί μία απάντηση στο ερώτημα «πόσο έτοιμη είναι η Κύπρος για κυβερνοεπιθέσεις» και να κατανοήσουμε ότι η συνεχής εγρήγορση σε έναν σύγχρονο κόσμο, που γίνεται όλο και πιο ψηφιακός, είναι εκ των ων ουκ άνευ.
Ποιος θέτει τις δικλείδες ασφαλείας στα κρατικά Τμήματα;
«Στα κυβερνητικά Τμήματα η προστασία συστημάτων, όπως στη συγκεκριμένη περίπτωση «η Πύλη Κτηματολογίου», είναι αρμοδιότητα του κάθε Τμήματος και του Τμήματος Υπηρεσιών Πληροφορικής (ΤΥΠ), που υπάγεται στο Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής», δήλωσε στην «Κ» ο Βοηθός Επίτροπος Επικοινωνιών Πέτρος Γαλίδης. Σημείωσε ότι την ίδια ώρα η ΕΕ έχει τις δικές τις νομοθεσίες και οδηγίες για τέτοια θέματα, τις οποίες τα κράτη – μέλη πρέπει να μεταφέρουν στις δικές τους νομοθεσίες. «Σαν αποτέλεσμα της Ευρωπαϊκής Νομοθεσίας και των ευρωπαϊκών μας υποχρεώσεων, έχει δημιουργηθεί η Αρχή Ψηφιακής Ασφάλειας, μία ανεξάρτητη κρατική αρχή, που υπάγεται στο Γραφείο μας, αυτό του Επιτρόπου Επικοινωνιών. Τόσο η ΕΕ όσο και εμείς ως Αρχή, δεν επιβάλλουμε, αλλά εισηγούμαστε τις ασφαλιστικές δικλείδες που πρέπει να έχει κάθε κρατικό Τμήμα. Εμείς καθορίζουμε και τεχνικά και οργανωτικά τι πρέπει να κάνουν, αλλά από εκεί και πέρα είναι δική τους ευθύνη», εξήγησε ο κ. Γαλίδης.
Επιστρατεύουν κακόβουλα λογισμικά «Ransomware», που σκοπός τους είναι η κρυπτογράφηση των αρχείων, για να ζητήσουν μετά λύτρα για να τα αποκρυπτογραφήσουν
Το ρίσκο του «ανοίγματος» και η λύση
«Την περασμένη Παρασκευή ο διευθυντής του Τμήματος Κτηματολογίου δήλωσε πως ‘‘έχουμε ανοιχτεί πολύ’’. Και φυσικά ανοίχτηκαν πολύ, όπως και πολλά άλλα Τμήματα του Κράτους, αλλά και ιδιωτικοί οργανισμοί, που θέλουν να εκμοντερνιστούν και να προχωρούν προσφέροντας καινούργιες υπηρεσίες πιο άμεσα», δήλωσε στην «Κ» o διευθυντής Επαγγελματικών Υπηρεσιών της «Odyssey CyberSecurity» και ειδικός σε θέματα κυβερνοασφάλειας, Ανδρέας Κωνσταντινίδης, για να αναφέρει ότι σήμερα γίνεται αρκετή δουλειά σε σχέση με την ψηφιακή τους μετάβαση, προσφέροντας υπηρεσίες μέσω ιστοσελίδων ή εφαρμογών σε κινητά, για άμεση πρόσβαση των πολιτών ή των πελατών.
Αυξάνοντας όμως τις διαδικτυακές μας υπηρεσίες αυξάνεται και η έκθεση μας στις κυβερνοεπιθέσεις, με τον κ. Κωνσταντινίδη να τονίζει ότι «η λύση δεν είναι να μη δίνουμε υπηρεσίες και να μην ανοιγόμαστε αλλά να προστατευόμαστε. Να φροντίζουμε να έχουμε μία στρατηγική για την κυβερνοασφάλεια και συνεχώς να αξιολογούμε τα καινούργια ρίσκα και την ωριμότητα μας, για να παίρνουμε τα μέτρα μας, για να είμαστε συνεχώς ανθεκτικοί. Άρα θα πρέπει να μεταβούμε από τη στάση κυβερνοάμυνας (Cyber defense), δηλαδή της άμυνας που λέγαμε εδώ και κάποια χρόνια -και κάποιοι είναι συνεχώς σε στάση άμυνας-, σε θέση ανθεκτικότητας (Cyber resilient), για να είμαστε σε θέση να προβλέπουμε, να αντέχουμε, να προσαρμοζόμαστε σε αυτές της απειλητικές συνθήκες, και στο τέλος, αν έχουμε επίθεση που μας επηρεάσε, να μπορέσουμε να αναρρώσουμε και να ανακάμψουμε γρήγορα, με τις λιγότερες απώλειες».
Στα κυβερνητικά Τμήματα η προστασία συστημάτων, όπως στη συγκεκριμένη περίπτωση «η Πύλη Κτηματολογίου», είναι αρμοδιότητα του κάθε Τμήματος και του Τμήματος Υπηρεσιών Πληροφορικής (ΤΥΠ), που υπάγεται στο Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής.
Πόσο έτοιμη είναι η Κύπρος για κυβερνοεπιθέσεις;
«Έχουμε κάνει πάρα πολλή πρόοδο τα τελευταία τρία περίπου χρόνια στα θέματα βελτίωσης και διατήρησης υψηλών επιπέδων κυβερνοασφάλειας», είπε από την πλευρά του ο κ. Γαλίδης, εξηγώντας ότι από τότε που ιδρύθηκε η Αρχή Ψηφιακής Ασφάλειας, έδωσε τις κατευθυντήριες γραμμές, σε αρχικό στάδιο καθοδηγώντας τις κρίσιμες υποδομές της χώρας (ανήκουν στους τομείς ενέργειας, νερού, μεταφορών, υγείας, τραπεζών, υποδομών χρηματοπιστωτικών αγορών και ψηφιακών υποδομών), που είναι περίπου 70 στον αριθμό, ενώ σιγά – σιγά η προσοχή θα περάσει και πιο κάτω στην ταξινόμηση των υποδομών, όπως στις μικρομεσαίες επιχειρήσεις. Συγχρόνως επεσήμανε τα μέτρα κυβερνοασφάλειας δεν εγγυόνται ποτέ τη θωράκιση στον μέγιστο βαθμό, σημειώνοντας ότι ακόμα και προηγμένες τεχνολογικά χώρες, όπως οι ΗΠΑ και το Ισραήλ, δέχονται συχνά χτυπήματα.
Το κεφάλαιο κυβερνοασφάλεια, η Ουκρανία και το ανθρώπινο δυναμικό
Με τα πιο πάνω συμφωνεί και ο τέως υφυπουργός Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής, Κυριάκος Κόκκινος. «Κανένας δεν μπορεί να είναι απόλυτα έτοιμος για την κυβερνοασφάλεια, οι κυβερνοεπιθέσεις είναι μέρος της καθημερινότητας, τόσο σε επίπεδο δημόσιων υποδομών όσο και ιδιωτικών υποδομών», δήλωσε στην «Κ». «Η κυβερνοεπίθεση από μόνη της δεν μου λέει τίποτα, κυβερνοεπιθέσεις θα γίνονται καθημερινά. Σημασία έχει να έχεις τις διαδικασίες, τις τεχνολογίες, τις υποδομές και τη γνώση, να αναχαιτίσεις την επίθεση (διότι δεν μπορεί να την κάνει ο οποιοσδήποτε), με τρόπο που να μη σου επιφέρει οποιαδήποτε βλάβη. Προς αυτήν την κατεύθυνση, ειδικά τα τελευταία χρόνια, λόγω των γεγονότων και στην Ουκρανία με τις κυβερνοεπιθέσεις να είναι μέρος του κυβερνοπολέμου, το κεφάλαιο κυβερνοασφάλεια απέκτησε μία ιδιαίτερη σημασία», συμπλήρωσε.
Την ίδια ώρα ο κ. Κόκκινος παρατηρεί ότι «και διεθνώς και στην Κύπρο υπάρχει τεράστια έλλειψη ανθρώπινου δυναμικού, που να ανήκει και να υπηρετεί τον χώρο της κυβερνοασφάλειας, χωρίς να σημαίνει ότι αυτό είναι κάτι το οποίο μας δημιουργεί αυτή τη στιγμή σοβαρό πρόβλημα στην Κύπρο - όχι μόνο στην κυβέρνηση, αλλά και αλλού. Απλώς εκείνο που θέλω να πω είναι ότι πρέπει να ενισχυθεί το ανθρώπινο δυναμικό, το ταλέντο γύρω από αυτόν τον χώρο».
Από την πλευρά του ο κ. Κωνσταντινίδης επισημαίνει ότι «τον τελευταίο χρόνο υπήρξε μεγάλη αύξηση σε περιστατικά κυβερνοεπιθέσεων και στο ιδιωτικό τομέα, εξαιτίας τις ψηφιακής μεταρρύθμισης, της μετάβασης στο «cloud» και της υβριδικής εργασίας. Καλούμαστε πολύ συχνά να συμβουλεύσουμε και να διαχειριστούμε περιστατικά μειώνοντας όσο το δυνατόν τις συνέπειες. Αυτό όμως που συμβουλεύουμε τους πελάτες μας είναι είτε να δημιουργήσουν είτε να επαναξιολογήσουν τη στρατηγική κυβερνοασφάλειας τους οργανισμού τους, με στόχο τη κυβερνοανθεκτικότητα».
«Κάποτε λέγαμε ότι οι κυβερνοεπιθέσεις γίνονται για τη φήμη, πλέον γίνονται για το κέρδος, όπως στην περίπτωση του Τμήματος Κτηματολογίου και Χωρομετρίας», λέει στην «Κ» ο ειδικός σε θέματα κυβερνοασφάλειας Ανδρέας Κωνσταντινίδης.
Τα κίνητρα και οι τρόποι κυβερνοεπίθεσης
Σε σχέση με τους λόγους και τους τρόπους, με τους οποίος γίνονται σήμερα οι κυβερνοεπιθέσεις, ο κ. Κωνσταντινίδης ανάφερε, αντλώντας από την επαγγελματική του εμπειρία, τα εξής:
«Κάποτε λέγαμε ότι γίνονται για τη φήμη, πλέον γίνονται για το κέρδος, όπως στην περίπτωση του Τμήματος Κτηματολογίου και Χωρομετρίας. Τότε επιστρατεύονται τα κακόβουλα λογισμικά «Ransomware», που σκοπός τους είναι η κρυπτογράφηση των αρχείων, για να ζητήσουν μετά λύτρα για να τα αποκρυπτογραφήσουν. Σε άλλες περιπτώσεις γίνονται «ddos επιθέσεις», που σκοπός τους είναι να βγάλουν εκτός λειτουργίας ένα σύστημα για αρκετή ώρα, χρησιμοποιώντας μαζική επίθεση από χιλιάδες συστήματα. Είδαμε περιπτώσεις στο παρελθόν που έγινε δοκιμαστική επίθεση 10-15 λεπτών και όταν πέτυχε ζήτησαν λύτρα για να μην το επαναλάβουν για περισσότερη ώρα».
Όσον αφορά τους τρόπους με τους οποίος γίνονται οι κυβερνοεπιθέσεις, ο κ. Κωνσταντινίδης μάς έδωσε κάποια στατιστικά από μία διεθνή έρευνα για το 2022:
• 19% των επιχειρήσεων που είχαν να αντιμετωπίσουν κάποιο συμβάν, αυτό είχε γίνει μέσω κάποιου διασυνδεδεμένου συνεργάτη.
• 79% των κρίσιμων υποδομών δεν έχουν υλοποιήσει μία «Αρχιτεκτονική μηδενικής εμπιστοσύνης» (Ζero trust architecture), που απαιτεί να μην εμπιστευόμαστε κανέναν και να εργαζόμαστε με αυτήν την αρχή. Επαναξιολογούμε συνεχώς τα πάντα και «ανοιγόμαστε», αφού φυσικά βάλουμε όλες τις δικλείδες ασφαλείας, και υπάρχει συνεχόμενη παρακολούθηση.
Επίσης οι πιο σοβαρές απειλές για το 2022 ήταν:
1. Κακόβουλο λογισμικό «Ransomware».
2. Η χειραγώγηση ατόμων με σκοπό την απόσπαση πληροφοριών (Social Engineering).
3. «Malicious Insider Activity», δηλαδή όταν κάποιος χρήστης εσωτερικά στον οργανισμό, ο οποίος είτε σκόπιμα είτε χωρίς τη γνώση του, προσπαθεί να υποκλέψει πληροφορίες ή να κάνει ζημιά.
4. «Destruction of Service», η καταστροφή ή η δημιουργία μίας συνθήκης που δεν επιτρέπει στον οργανισμό να προσφέρει τη διαδικτυακή υπηρεσία του.
5. Κλοπή προσωπικών δεδομένων με στόχο να χρησιμοποιηθούν είτε για κέρδος είτε για άλλες επιθέσεις.
Το ψηφιακό μέλλον
Το μέλλον της δημόσιας και ιδιωτικής ζωής θα είναι ψηφιακό, άρα με περισσότερα ρίσκα κυβερνοεπίθεσης, σύμφωνα με τον Κυριάκο Κόκκινο. «Ο ψηφιακός μετασχηματισμός, όχι μόνο του κράτους, αλλά της κοινωνίας, της οικονομίας, της πολιτείας, είναι ένας δρόμος μονόδρομος, και πιστεύω ότι είμαστε σε αυτόν τον δρόμο, με βάση και τις οδηγίες της ΕΕ. Όμως η μεγαλύτερη μας, αν θέλετε πρόκληση, είναι το ανθρώπινο δυναμικό και πάλι. Εκείνο που θέλω να πω είναι ότι η ψηφιοποίηση δεν είναι ένα τεχνολογικό εγχείρημα, η τεχνολογία είναι το εργαλείο. Έχει να κάνει με διαδικασίες, με νομοθεσίες, με νοοτροπίες, με δομές λειτουργίας μίας επιχείρησης, ενός δημόσιου οργανισμού. Άρα είναι επιχειρηματική πρόκληση και όχι ψηφιακή – τεχνολογική».
