Ο κίνδυνος στον κυβερνοχώρο που είναι συνυφασμένος με την κακόβουλη χρήση της τεχνολογίας, αφορά στην απώλεια της διαθεσιμότητας και αξιοπιστίας της τεχνολογικής υποδομής, της παραβίασης του απορρήτου των πληροφοριών και τη διαστρέβλωση ακεραιότητας των εν λόγω πληροφοριών.
Κατά τις δύο τελευταίες δεκαετίες το Internet και γενικότερα ο κυβερνοχώρος έχουν τεράστια επίδραση σε όλα τα τμήματα της κοινωνίας. Η καθημερινότητά μας, οι κοινωνικές μας συναναστροφές αλλά και μεγάλο ποσοστό της παγκόσμιας οικονομίας, εξαρτώνται από την τεχνολογία της πληροφορικής και των επικοινωνιών, καθώς και το συγκερασμό αυτών.
Οι συγκεκριμένες τεχνολογίες αποτελούν τη ραχοκοκαλιά της οικονομικής ανάπτυξης και είναι ένας κρίσιμος πόρος στον οποίο στηρίζονται πολλοί τομείς του οικονομικού οικοσυστήματος. Βασικοί τομείς όπως οι Χρηματοπιστωτικοί Οργανισμοί, υγεία, ενέργεια και μεταφορές, στηρίζουν τη λειτουργία τους στην τεχνολογία της πληροφορικής και των επικοινωνιών. Παράλληλα, πολλά από τα νέα επιχειρηματικά μοντέλα βασίζουν την επιτυχία τους στην αδιάλειπτη διαθεσιμότητα του Διαδικτύου και την ομαλή λειτουργία των συστημάτων πληροφορικής και επικοινωνιών.
Ο ορισμός της ασφάλειας του κυβερνοχώρου (cybersecurity) δεν διαφέρει από αυτόν της ασφάλειας των πληροφοριών. Ασφάλεια στον κυβερνοχώρο σημαίνει τη διασφάλιση της απρόσκοπτης λειτουργίας των υποδομών πληροφορικής & επικοινωνιών και την προστασία της εν λόγω λειτουργίας από αστοχία της τεχνολογίας ή κακόβουλη χρήση της. Αυτό που αποκαλείται ασφάλεια στον κυβερνοχώρο αποτελεί το 95% της ασφάλειας των πληροφοριών. Η μόνη διαφορά μεταξύ τους είναι ότι η ασφάλεια πληροφοριών περιλαμβάνει και την ασφάλεια των πληροφοριών σε μη ψηφιακή μορφή, ενώ η ασφάλεια στον κυβερνοχώρο εστιάζει μόνο σε πληροφορίες που υπάρχουν σε ψηφιακή μορφή. Σήμερα το ποσοστό των πληροφοριών που δεν είναι σε ψηφιοποιημένη μορφή είναι μικρότερο από το 5% των πληροφοριών ενός Οργανισμού. Σε πολλές περιπτώσεις οι έννοιες της ασφάλειας πληροφοριών και της ασφάλειας στον κυβερνοχώρο χρησιμοποιούνται τόσο εναλλακτικά η μία της άλλης, όσο και σαν συνώνυμες. Η έννοια του Κυβερνοχώρου αποτελεί προτιμώμενο όρο στους κυβερνητικούς Οργανισμούς και στις κρίσιμες υποδομές, ενώ η ασφάλεια των πληροφοριών χρησιμοποιείται γενικά σε τράπεζες, Οργανισμούς υγείας και τηλεπικοινωνίες. Η ασφάλεια στον κυβερνοχώρο έχει μια μεγάλη περιοχή επικάλυψης με την επιχειρησιακή συνέχεια, διότι ένα από τα βασικά χαρακτηριστικά της ασφάλειας του κυβερνοχώρου είναι οι αυξημένες απαιτήσεις διαθεσιμότητας υπηρεσιών και πληροφοριών.
Ο απώτερος σκοπός της ασφάλειας στον κυβερνοχώρο, της ασφάλειας των πληροφοριών και της επιχειρηματικής συνέχειας, είναι για να μειώσει τους κινδύνους της επιχειρηματικής δραστηριότητας και να διαχειριστεί το σχετικό κίνδυνο. Αποτελεί μέρος της διαχείρισης του λειτουργικού κινδύνου, διότι οποιοσδήποτε τρόπος προστασίας των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση και αποκάλυψη, στην πραγματικότητα μειώνει τους λειτουργικούς κινδύνους μιας επιχείρησής.
Οι τεχνολογίες προστασίας των πληροφοριών αποτελούν ένα μικρό μέρος της ασφάλειας του κυβερνοχώρου. H χρήση της σχετικής τεχνολογίας δεν αποτελεί λύση για όλους τους κινδύνους. Υπολογίζεται ότι μόνο η χρήση τεχνολογίας μπορεί να συνεισφέρει κατά 50% σε ό,τι αφορά στην ασφάλεια του κυβερνοχώρου.
Ασφάλεια στον κυβερνοχώρο, κυβερνο-τρομοκρατία και έγκλημα στον κυβερνοχώρο
Ως τρομοκρατία στον κυβερνοχώρο (cyberterrorism) χαρακτηρίζουμε τις πολιτικά υποκινούμενες κακόβουλες ενέργειες που έχουν ως στόχο την πρόκληση σοβαρής απώλειας, μη εξουσιοδοτημένης κατοχής και έκθεσης κρίσιμων πληροφοριών, με στόχο την πρόκληση σοβαρής βλάβης και ζημίας σε κρίσιμες υποδομές και στις πληροφορίες που διαθέτουν. Στόχος της κυβερνο-τρομοκρατίας είναι ο εκφοβισμός ή ο κοινωνικός διασυρμός ή ο εξαναγκασμός μιας κυβέρνησης ή συγκεκριμένων πολιτών να ενδώσουν σε ανταλλάγματα.
Έγκλημα στον κυβερνοχώρο (cyber-crime) χαρακτηρίζονται οι κακόβουλες ενέργειες οι οποίες είτε γίνονται με τη χρήση τεχνολογιών πληροφορικής είτε έχουν ως στόχο υποδομές πληροφορικής. Στις συγκεκριμένες περιπτώσεις η τεχνολογία χρησιμοποιείται προκειμένου να διαπραχθούν εγκληματικού τύπου ενέργειες, όπως κλοπή της πνευματικής ιδιοκτησίας, παραβίαση διπλωμάτων ευρεσιτεχνίας, κλοπή εμπορικών πλάνων, παραβίαση των νόμων περί πνευματικών δικαιωμάτων κ.λπ. Η εγκληματικότητα στον κυβερνοχώρο περιλαμβάνει και τις επιθέσεις εναντίον υποδομών πληροφορικής με σκοπό την εσκεμμένη διακοπή της λειτουργίας τους, καθώς και την εσκεμμένη κλοπή ή διαστρέβλωση κρίσιμων πληροφοριών.
Συνοψίζοντας, το έγκλημα στον κυβερνοχώρο χαρακτηρίζεται από τα ακόλουθα:
- Διάπραξη παραδοσιακών μορφών εγκληματικότητας, όπως απάτη ή πλαστογραφία, μέσω της χρήσης δικτύων επικοινωνίας και συστημάτων πληροφορικής.
- Δημοσίευση παράνομου περιεχομένου με χρήση ηλεκτρονικών μέσων (π.χ. υλικό σεξουαλικής κακοποίησης παιδιών ή προτροπή σε φυλετικές διακρίσεις).
- Εγκλήματα που αφορούν αποκλειστικά στα δίκτυα επικοινωνιών, π.χ. οι επιθέσεις κατά των υποδομών πληροφορικής, μη εξουσιοδοτημένη παρείσδυση σε εταιρικά δίκτυα κ.λπ.
Όσον αφορά στο κόστος που συνεπάγεται για την εγκληματικότητα στον κυβερνοχώρο, προκύπτουν τα ακόλουθα:
- Δαπάνες για την προστασία έναντι της εγκληματικότητας στον κυβερνοχώρο, όπως το λογισμικό προστασίας από ιούς, ασφάλιση κτλ.
- Δαπάνες που προκύπτουν ως συνέπεια του εγκλήματος στον κυβερνοχώρο, π.χ. οι άμεσες ζημίες και οι έμμεσες δαπάνες, όπως αποδυνάμωση της ανταγωνιστικότητας ως αποτέλεσμα της καταπάτησης των δικαιωμάτων πνευματικής ιδιοκτησίας.
- Δαπάνες για την αντιμετώπιση του εγκλήματος στον κυβερνοχώρο, όπως πληρωμές αποζημίωσης ή η καταβολή προστίμων προς τους ρυθμιστικούς φορείς.
- Έμμεσες δαπάνες, όπως βλάβη στη φήμη και την αξιοπιστία, μείωση της αξιοπιστίας των υπηρεσιών που προσφέρονται μέσω του διαδικτύου, συναλλαγές στον κυβερνοχώρο από ιδιώτες και επιχειρήσεις.
Το περιβάλλον λειτουργίας του κυβερνοχώρου
Στη διάρκεια των τελευταίων 20 ετών υπήρξε τεράστια αύξηση του αριθμού των διαδικτυακών υπηρεσιών που επιτρέπουν τη διενέργεια συναλλαγών με εταιρείες και Οργανισμούς κάθε είδους και βεληνεκούς σε μια παγκόσμια αγορά. Το παραπάνω οικοσύστημα αποτελεί συστατικό αυτού που ονομάζεται κυβερνοχώρος ή απλά διαδίκτυο.
Η ικανότητα να εξελίσσεται μια ψηφιακή κοινωνία και να μπορεί να εκμεταλλευθεί τα πολλά οφέλη του ψηφιακού γίγνεσθαι, εξαρτάται σε μεγάλο βαθμό από την αποδοχή και το βαθμό εμπιστοσύνης αναφορικά με τη λειτουργία του κυβερνοχώρου.
Η ασφάλεια στον κυβερνοχώρο χρήζει ανάγκης μιας Εθνικής Στρατηγικής με συγκεκριμένο σχέδιο και με στόχο τη διαμόρφωση καλύτερου επίπεδου αξιοπιστίας, αλλά και να επιφέρει μια θεμελιώδη αλλαγή στον τομέα της ασφάλειας του ψηφιακού περιβάλλοντος. Τα τελευταία 20 χρόνια η κοινότητα της Πληροφορικής δεν έχει καταφέρει να διαμορφώσει το απαιτούμενο επίπεδο ασφάλειας στον κυβερνοχώρο. Ως εκ τούτου, πολλές φορές η αξιοπιστία του κυβερνοχώρου αμφισβητείται.
Οι προσπάθειες για την επίτευξη καλύτερου επίπεδου ασφάλειας στον κυβερνοχώρο, δεν είναι ευθυγραμμισμένες. Πολλές φορές δεν κατανοείται ότι ο ανθρώπινος παράγοντας αποτελεί βασική συνιστώσα σε μια επιτυχημένη στρατηγική προστασίας του κυβερνοχώρου. Χρειάζεται περισσότερη ανάλυση και κατανόηση της ανθρώπινης συμπεριφοράς και όχι ακόμα περισσότερες τεχνολογικές λύσεις.
Οι κακόβουλοι χρήστες του κυβερνοχώρου μπορούν να αποκομίσουν σημαντικά οικονομικά οφέλη με λίγη αλλά μεθοδική προσπάθεια, ενώ ταυτόχρονα ξοδεύονται τεράστια ποσά για την προστασία του κυβερνοχώρου. Ως εκ τούτου, οι εγκληματίες του κυβερνοχώρου διαθέτουν εξαιρετικά κίνητρα και δυναμική, ενώ οι υπερασπιστές του συχνά απογοητεύονται ή παραιτούνται από την υιοθέτηση βέλτιστων πρακτικών, μιας και πιστεύουν ότι το παιχνίδι είναι άνισο και ότι η υιοθέτηση των προτεινόμενων μέτρων δεν βοηθά αποτελεσματικά.
Η αντιστροφή της παραπάνω κατάστασης απαιτεί και την αλλαγή στη σχέση κόστους-οφέλους για τις δύο πλευρές, αυξάνοντας το κόστος για τους επιτιθέμενους και τα οφέλη για τους υπόλοιπους. Η πρόοδος όσον αφορά στις τεχνικές λύσεις, στο νομικό πλαίσιο και τις διεθνείς σχέσεις, μπορεί να βοηθήσει στην αλλαγή της παραπάνω σχέσης κόστους-οφέλους και να ανα-προσδιορίσει τα κίνητρα της κάθε πλευράς.
Οι τρέχουσες τάσεις σε τεχνολογία και επιχειρηματικά μοντέλα ευνοούν τον κακόβουλο χρήστη. Νέες τεχνολογίες υιοθετούνται προκειμένου να καλύψουν τη ζήτηση της αγοράς, χωρίς να διαθέτουν ένα βασικό επίπεδο ασφάλειας, ενώ η σχεδίαση των προϊόντων φέρει σημαντικές εγγενείς αδυναμίες. Τα παραπάνω τα εκμεταλλεύονται με χαρακτηριστική ευκολία οι εκάστοτε επιτιθέμενοι.
Ταυτόχρονα, η τεχνολογία μπορεί να βοηθήσει στην επίλυση πολλών γνωστών προβλημάτων στο χώρο της ασφάλειας πληροφοριών. Το λογισμικό χρειάζεται και μπορεί να γίνει πιο ασφαλές, αν οι εταιρείες, οι πελάτες και οι κυβερνήσεις πιέσουν προς την κατεύθυνση αυτή. Η καινοτομία στο χώρο των τεχνολογικών λύσεων ασφάλειας πληροφοριών είναι αναγκαία. Χρειαζόμαστε τεχνολογία που να μπορεί να λύσει συγκεκριμένες ανάγκες και όχι μέρος των αναγκών.
Τι έχει αλλάξει;
Τι έχει αλλάξει στο Διαδίκτυο; Η απάντηση φυσικά είναι τα πάντα! Οι επιχειρηματικές δραστηριότητες, η τεχνολογία της πληροφορικής και του internet, το όλο λειτουργικό περιβάλλον, καθώς και οι απειλές σε σχέση με την ασφάλεια πληροφοριών. Σήμερα οι πάροχοι λύσεων τεχνολογίας και οι κακόβουλοι χρήστες έχουν ένα δικό τους αγώνα, με χαμένους τους τελικούς χρήστες. Οι περιπτώσεις παρείσδυσης μέσω του internet σε Κυβερνητικές & Επιχειρηματικές υποδομές είναι σχεδόν κανόνας και όχι εξαίρεση. Προσωπικοί υπολογιστές, ασύρματοι κόμβοι και φορητές συσκευές βρίσκονται υπό απειλή. Ακόμα και το ίδιο το διαδίκτυο γίνεται μήλο της έριδας μεταξύ κρατών που θέλουν να το ελέγξουν.
Τα τελευταία πέντε χρόνια υπήρξε μια σειρά από θεμελιώδεις αλλαγές στην τεχνολογία και τη χρήση της, που απαιτούν εξίσου θεμελιώδεις αλλαγές σε ό,τι αφορά στην ασφάλεια πληροφοριών. Η τεχνολογία της πληροφορικής έχει εξελιχθεί από ένα μέσο αυτοματοποίησης διεργασιών, σε ένα ουσιαστικό κομμάτι της κοινωνίας. Το ίδιο επίπεδο ποιότητας παροχής υπηρεσιών, αξιοπιστίας και διαθεσιμότητας που είχε παραδοσιακά συνδεθεί με τις κρίσιμες υποδομές (παροχή νερού, ηλεκτρισμού, υπηρεσιών κοινής ωφέλειας) είναι πλέον απαραίτητο και για την τεχνολογία που χρησιμοποιείται από Κυβερνητικούς Οργανισμούς και επιχειρήσεις, προκειμένου να παρέχουν τις υπηρεσίες τους από το διαδίκτυο.
Τα πρότυπα ασφάλειας που χρησιμοποιούνται σήμερα, αναπτύχθηκαν σε έναν κόσμο στον οποίο οι υπολογιστές ήταν αντικείμενο απάτης από το εσωτερικό του Οργανισμού – και σε μικρότερο ποσοστό από το εξωτερικό του Οργανισμού. Ωστόσο αυτό έχει αλλάξει τα τελευταία πέντε χρόνια, με τη ραγδαία αύξηση του οργανωμένου εγκλήματος και τη χρήση δικτύων τύπου botnets, τα οποία επιτρέπουν τη διενέργεια μεγάλης κλίμακας οργανωμένων επιθέσεων οι οποίες διεξάγονται πέρα από φυσικά σύνορα και περιορισμούς. Πλέον παρακολουθούμε οργανωμένες – στοχευμένες επιθέσεις σε επιχειρήσεις και κρατικούς Οργανισμούς. Βρισκόμαστε στην εποχή όπου το διαδίκτυο αποτελεί μέρος της κρίσιμης υποδομής ενός κράτους και η διακοπή παροχής του έχει τεράστιες συνέπειες σε κοινωνικό και επιχειρηματικό επίπεδο.
Το κυβερνο-έγκλημα απαιτεί συντονισμένες προσπάθειες και συνεργασία μεταξύ των κρατών. Η έγκριση του Συμβουλίου της Ευρώπης σε συγκεκριμένο πλάνο δράσεων για το έγκλημα στον κυβερνοχώρο, αποτελεί θετική εξέλιξη. Το σχέδιο δράσης της Ε.Ε. διαρθρώνεται σε πέντε στρατηγικές προτεραιότητες, οι οποίες έχουν σαν στόχο την αντιμετώπιση των προκλήσεων στο διαδίκτυο – κυβερνοχώρο, όπως σκιαγραφήθηκαν παραπάνω:
- Επίτευξη μεγαλύτερου επίπεδου ανθεκτικότητα σε επιθέσεις.
- Δραστική μείωση της εγκληματικότητας στον κυβερνοχώρο.
- Ανάπτυξη πολιτικής κυβερνο άμυνας.
- Ανάπτυξη των βιομηχανικών και τεχνολογικών πόρων για την ασφάλεια στον κυβερνοχώρο.
- Να δημιουργηθεί μια συνεκτική διεθνής πολιτική για τον κυβερνοχώρο για την Ευρωπαϊκή Ένωση, με γνώμονα την προώθηση των βασικών αξιών της Ε.Ε.
Ωστόσο, πολύ περισσότερα πρέπει να γίνουν για να αναπτυχθεί η έννοια της παγκόσμιας δικαιοδοσίας του διαδικτύου, πριν από τον προσδιορισμό μέτρων και δράσεων για το κυβερνο-έγκλημα σε παγκόσμιο επίπεδο.
Επιπρόσθετα να σημειώσουμε ότι πολλές Κυβερνητικές υποδομές βρίσκονται υπό ασφυκτική πολιορκία από άλλες χώρες, που επιδιώκουν να αποκτήσουν πρόσβαση σε εθνικού και βιομηχανικού τύπου πληροφορίες. Κάποια κράτη δεν περιορίζονται στη συλλογή μυστικών πληροφοριών, αλλά επεκτείνουν τη δράση διενεργώντας στοχευμένες επιθέσεις σε κρίσιμες Στρατιωτικές & άλλες υποδομές. Δεν είναι τυχαίο που χώρες όπως οι ΗΠΑ έχουν δημιουργήσει ειδικές μονάδες με στόχο την εκδήλωση κυβερνο-επιθέσεων στα πλαίσιο μιας εκστρατείας.
Τι χρειάζεται να αλλάξει
Πολλές από τις ελλείψεις στον τομέα της τεχνολογίας και της διαχείρισης των κινδύνων που αποτυπώθηκαν προηγουμένως και έχουν αναγνωριστεί εδώ και αρκετά χρόνια.
Παρόλα αυτά, κρίσιμες υποδομές με ευαίσθητα συστήματα πληροφορικής εξακολουθούν να λειτουργούν με αυτές τις ελλείψεις. Η πρόοδος της τεχνολογίας έδωσε τη δυνατότητα στους οργανωμένους κακόβουλους χρήστες να δρουν γρηγορότερα και αποτελεσματικότερα.
Ένα από τα σημεία που χρειάζεται σοβαρή ενασχόληση είναι οι αδυναμίες ασφάλειας του λογισμικού. Δεδομένου του αριθμού των τρωτών σημείων που υπάρχουν σε νέες εφαρμογές (όπως αποδεικνύεται από τις πολυάριθμες εκδόσεις αναβάθμισης που εκδίδονται από μεγάλους προμηθευτές λογισμικού), την πληθώρα των διαθέσιμων εργαλείων για την αυτοματοποιημένη εκμετάλλευση των αδυναμιών ασφάλειας και την αυξανόμενη τεχνογνωσία και ικανότητα των επίδοξων κακόβουλων χρηστών, κρατικοί Οργανισμοί και μεγάλες επιχειρήσεις αποφεύγουν τα χειρότερα – τις περισσότερες φορές από τύχη.
Μέχρι πότε όμως κυβερνήσεις και επιχειρήσεις θα συνεχίζουν να ανέχονται αυτές τις απειλές στο επιχειρηματικό τους μοντέλο, γνωρίζοντας ότι οι κατασκευαστές λογισμικού δημιουργούν τα προϊόντα τους χωρίς να υιοθετούν τις βασικές αρχές ασφάλειας πληροφοριών; Δεν πρέπει να είναι πλέον αποδεκτό για τους παρόχους τεχνολογίας και λογισμικού να διαθέτουν προϊόντα με εγγενείς αδυναμίες ασφάλειας και στη συνέχεια τα προϊόντα αυτά να χρησιμοποιούνται σε κρίσιμες κυβερνητικές υποδομές και επιχειρηματικές δραστηριότητες. Κάποιες χώρες προχωρούν στην απόδοση ευθυνών, αλλά το θεσμικό πλαίσιο σε παγκόσμιο επίπεδο δεν βοηθά και είναι ελλιπές ή ανύπαρκτο.
Αποφεύγοντας τις αδυναμίες ασφάλειας δεν είναι η λύση, είναι μέρος της λύσης. Η υιοθέτηση μιας στρατηγικής για την ασφάλεια πληροφοριών, την αξιολόγηση των κινδύνων και την αποτελεσματική υλοποίηση των βασικών αρχών της ασφάλειας πληροφοριών, είναι η μόνη σωστή αντιμετώπιση. Ταυτόχρονα χρειάζεται να υπάρχει η κατάλληλη πληροφόρηση και εκπαίδευση σχετικά με τις νέες τεχνολογικές τάσεις και τις αδυναμίες ασφάλειας αυτών, έτσι ώστε να υπάρχει η επαρκής προετοιμασία για την αντιμετώπιση των σχετικών κινδύνων.
Με λόγια απλά, ανεξάρτητα εάν το ονομάσουμε cyber-security, ασφάλεια πληροφοριών, προστασία κρίσιμων πληροφοριών ή όπως αλλιώς μας επιβάλλεται κάθε φορά από αυτούς που θέλουν να παρουσιάσουν το υφιστάμενο σαν καινούριο και τις βασικές αρχές σαν νεωτερισμό, η αποτελεσματική υλοποίηση των βασικών αρχών της ασφάλειας πληροφοριών είναι η μόνη λύση. Σε κάθε λειτουργικό περιβάλλον χρειάζεται να γνωρίζουμε απόλυτα τον επιχειρησιακό τρόπο λειτουργίας του, τις συγκεκριμένες ανάγκες και κινδύνους και στη συνέχεια να αντιμετωπίσουμε τους κινδύνους συνολικά και όχι επιφανειακά. Το ίδιο ισχύει και στην περίπτωση του κυβερνο-χώρου, του διαδικτύου δηλαδή, που πλέον αποτελεί μέρος της κοινωνικής και επιχειρηματικής καθημερινότητάς μας.
Αναφορές
. 9 Steps to Cybersecurity The Manager’s Information Security Strategy Manual – By Dejan Kosutic
. The Changing Face of Cybersecurity, Stewart Hayes, Malcolm Shore, Miles Jakeman
. Measuring the Cost of Cybercrime, Ross Anderson, Chris Barton, Rainer Bohme, Richard Clayton, Michel J.G. van Eeten, Michael Levi, Tyler Moore, Stefan Savage
. JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS
. Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com