29/03/2024

Ελλάδα: Ουραγός στη ψηφιακή ασφάλεια

Η Ελλάδα είναι από τις ελάχιστες χώρες της ΕΕ που δεν διαθέτει CSIRT υποδομή για θέματα κυβερνοασφάλειας

Την ίδια στιγμή που οι περισσότερες χώρες του δυτικού κόσμου ξεκινούν να σχεδιάζουν πολιτικές και στρατηγικές για την ενσωμάτωση της επερχόμενης τεχνητής νοημοσύνης και της νέας κβαντικής τεχνολογίας (υπολογίζεται πώς ως το 2050 θα έχουν αρχίσει την εφαρμογή τους σε διάφορους τομείς), έχει σημασία να δούμε κάποια θέματα για την χώρα μας που πλέον αφορούν και τους πολίτες της χώρας μας στην καθημερινότητα τους.

Όπως θα έχουν διαπιστώσει όλο και περισσότεροι πολίτες, η κατεύθυνση των υπηρεσιών στην χώρα μας, ειδικά σε σχέση με τον οικονομικό τομέα, προχωράει προς την ηλεκτρονική διακυβέρνηση. Είναι ένα σωστό βήμα τηρουμένων αναλογιών και απαιτήσεων του 21ου αιώνα. Όμως, είναι επίσης εύκολο να διαπιστωθεί πώς πολύ απλά δεν υπάρχει επένδυση σε υποδομές, τεχνογνωσία ενώ και το κράτος έχει ΜΗΔΕΝΙΚΗ ΣΤΡΑΤΗΓΙΚΗ , αν κάποιος κοιτάξει στον τομέα στρατηγικής στο υπουργείο ψηφιακής πολιτικής.

Η στρατηγική του υπουργείου ψηφιακής πολιτικής δεν διαθέτει χρονοδιαγράμματα, μεθόδους, προγράμματα υλοποίησης παρά μόνο προθέσεις και αόριστες παραθέσεις σχεδιασμών

Ο σημερινός πολίτης πρέπει για παράδειγμα να κανει χρήση πλαστικών καρτών τραπέζης, να παραλαμβάνει ψηφιακά αντίτυπα πιστοποιητικών, σύντομα να διαθέτει ηλεκτρονική ταυτότητα με chip και φυσικά όλα αυτά να ελέγχονται κεντρικά από οντότητες κάθε οργανισμού. Οντότητες που βάσει στρατηγικής και σχεδιασμού θα έπρεπε ήδη να υπάρχουν αλλά όπως πάντα έχουν αναλάβει άλλες υπηρεσίες τους ελέγχους αυτούς έστω και χωρίς ικανή τεχνογνωσία και υποδομές. (βλ. διαβατήρια/ταυτότητες και δυσκολίες διασταύρωσης και έκδοσης)

Η θλιβερή διαπίστωση είναι πώς η χώρα μας διαθέτει τα “πρωτεία από το τέλος” σε πολλά παρόμοια θέματα που αφορούν την πληροφορική, την τεχνολογία και την ασφάλεια αυτής. Σημειώνω ενδεικτικά τα εξής σύμφωνα με στατιστικά που έχουν δεί κατά καιρούς το φώς της δημοσιότητας.

– Μόνο 2 στις 10 επιχειρήσεις και οργανισμούς, σε ιδιωτικό και δημόσιο τομέα, διαθέτουν τμήμα κυβερνοασφάλειας με ανεξάρτητη δομή (δεν υπάγεται εντός άλλου τμήματος) που θα επιβλέπει τις δομές και τις υπηρεσίες και θα δίνει αναφορά στο Δ.Σ. και μόνο σε αυτό. Οι περισσότεροι οργανισμοί διαθέτουν ένα τμήμα πληροφορικής με περιορισμένα μέσα και 1-3 ανθρώπους που λειτουργούν, δυστυχώς, με λογική “super market” (σ.σ. τα κάνει όλα και συμφέρει). Φυσικά αυτό δεν αποδίδει και οι υποδομές είναι ευάλωττες αφού δεν διαθέτουν απολύτως καμία νομική συμμόρφωση για περιπτώσεις κρίσεων και παραβιάσεων ασφαλείας.

– Μόνο 1 στις 20 επιχειρήσεις και υπηρεσίες λαμβάνουν σοβαρά το security by design (ασφάλεια από αρχικό σχεδιασμό). Αποτέλεσμα είναι κάθε πράξη τους, εξορισμού, να μην συμμορφώνεται με πρότυπα και νομοθεσία περί ασφάλειας δεδομένων. Όταν έρθει η ώρα να συμμορφωθούν, λόγω ελέγχου ή περιστατικού, θα πληρώσουν διπλάσιο ή και τριπλάσιο ποσό σε σύγκριση με μια ενέργεια που θα είχε μπεί από τον σχεδιασμό.

– Η κρατική οντότητα της χώρας, δεν διαθέτει CSIRT (Certified Security Incident Response Team) σε εθνικό επίπεδο. Αυτό σημαίνει πώς σε μια περίπτωση μαζικής κυβερνοεπίθεσης με κακόβουλα λογισμικά (π.χ. ransomware επίθεση που έγινε στο σύστημα υγείας σε Βρετανία) που θα μπλοκάρουν υπηρεσίες και παροχές προς τους πολίτες, θα χρειαστεί υπερπολλαπλάσιος χρόνος αντίδρασης και επιδιόρθωσης ζημιάς με αντίστοιχη επιβάρρυνση προς το φορολογικό κόστος που θα πληρώσουν φυσικά μετά οι πολίτες.

– Έλλειψη υποδομών. Ιδιωτικός και δημόσιος τομέας “τσιγγουνεύονται” να επενδύσουν στον τομέα της πληροφορικής και την ασφάλειας της με αποτέλεσμα να παθαίνουν σοβαρές ζημιές λόγω δυσκολίας ανταπόκρισης σε μεταγενέστερο επίπεδο. Παράδειγμα η πρόσφατη πτώση δικτύου ΔΙΑΣ για κάρτες τραπεζών, σε εορταστική περίοδο, καθώς το σύνολο του πληθυσμού έκανε χρήση πλαστικών καρτών για συναλλαγές. Αυτό επέφερε πολλαπλάσιο φόρτο στα δίκτυα και στα συστήματα επεξεργασίας των τραπεζών, προκαλώντας ένα τεχνικό DDoS από ορθή χρήση (Distributed Denial of Service) με αποτέλεσμα να “πέσει το σύστημα” και φυσικά να μην γίνεται καμία συναλλαγή. Πολίτες αδυνατούσαν να εξυπηρετηθούν εκφράζοντας δημόσια την οργή τους και δημιουργώντας αντίκτυπο στην φήμη των τραπεζικών ιδρυμάτων καθώς και μια μεγάλη ζημιά της τάξης των εκατομμυρίων ευρώ από τις χαμένες συναλλαγές σε τράπεζες και καταστήματα.

– Κυβερνοεγκλήματα. Αν και γενικά στην χώρα μας, ο βαθμός των εγκλημάτων αυτών είναι ακόμα χαμηλός, εντούτοις όσο προσεγγίζουμε τον τομέα της τεχνολογίας καρκινοβατώντας (και ως συνήθως αγνοώντας την ασφάλεια από φάση σχεδιασμού) τόσο αυτό θα αυξάνεται. Φαινόμενα όπως το ATM/Card skimming (ηλεκτρονικές κλοπές από ΑΤΜ/Κάρτες), id theft (κλοπή και πλαστογράφηση ταυτότητας για οικονομικά και άλλα εγκλήματα), mobile hijacking/breaching (κακόβουλες πράξεις κατά κινητών τηλεφώνων) και άλλα παρόμοια σε είδος εγκλήματα, θα πολλαπλασιαστούν με γεωμετρικό ρυθμό.

Ενώ τώρα στην Ελλάδα υπάρχει η Δ.Η.Ε (Δίωξη Ηλεκτρονικού Εγκλήματος) η δυσκολία βρίσκεται στο οτι το συγκεκριμένο τμήμα θεωρείται ήδη παρωχημένο, όχι λόγω ικανοτήτων, αλλά λόγω ανυπαρξίας στρατηγικής για το επόμενο στάδιο που θα αφορά και τον έλεγχο ασφαλείας σε νέες τεχνολογίες και οχι μόνο σε εγκλήματα στο διαδίκτυο.

– Εθνική Ασφάλεια. Πέρα από την ανυπαρξία ενός κεντρικού οργάνου CSIRT που θα ανταποκριθεί στην κλιμάκωση και αντίδραση σε μια κρίση ασφαλείας σε εθνικό επίπεδο για ηλεκτρονικές υπηρεσίες (βλ. cyberwarfare, cyberterrorism), πρέπει να διαμορφωθεί μια ικανή στρατηγική που θα εντάξει τις επερχόμενες τεχνολογίες πριν μείνουμε πάλι πίσω στον τομέα. Μόνο που αυτή την φορά η διαφορά θα είναι τεράστια, αφού θα μιλάμε για χάσμα που θα μοιάζει σαν μια σύγκριση μεταξύ εκείνου που έχει ένα αυτοκίνητο τελευταίας τεχνολογίας, με εκείνον που οδηγεί ένα αυτοκίνητο του 1960. Η τεχνολογία που έρχεται διαμορφώνει κυριολεκτικά τα πάντα σε ένα νέο πρόσωπο υπηρεσιών και λειτουργιών, που θα διαπεράσει την καθημερινότητα, όλα τα επαγγέλματα και τομείς .. μέχρι και την εθνική ασφάλεια σε ευρύτερο επίπεδο. Ήδη διαπιστώνουμε δείγματα σε περιπτώσεις εξωτερικού όπως την διασπορά fake news, την προπαγάνδα των τζιχαντιστών από το διαδίκτυο και την απειλή κατά κρίσιμων υποδομών, την επέλαση της ρομποτικής και του αυτοματισμού, τις χρήσεις ηλεκτρονικών σε Ι.Χ. κτλ.

Τελευταίο αφήνω το κομμάτι της νέα νομοθεσίας που ήρθε σε πανευρωπαϊκό επίπεδο. Εδώ χρησιμοποιώντας μια λαϊκή έκφραση θα πώ ότι έπιασε την χώρα μας με τα παντελόνια κάτω. Το GDPR (General Data Protection Regulation) είναι νομοθεσία που θα ισχύει εντός χώρας μας όπως και σε όλη την Ε.Ε.

Αυτό σημαίνει πώς ναι μεν μπορει να γίνει έλεγχος και καταγγελία από Έλληνες για Ελληνικές υπηρεσίες και εταιρίες/οργανισμούς, όμως εξίσου μπορεί να γίνει και από Ευρωπαίο πολίτη αν διαπιστωθεί διαρροή και κακή διαχείριση προσωπικών δεδομένων του. Μάλιστα ο προπομπός τιμωριών στην Ε.Ε. ήδη έχει εμφανιστεί με πρόστιμα της τάξης των εκατομμυρίων ευρώ (πρόσφατα σε τηλεπικοιωνιακό πάροχο εξωτερικού).

Πρόστιμα που θα επιβληθούν για παραβάσεις προσωπικών δεδομένων σύμφωνα με την νέα νομοθεσία.

Η Ελλάδα λοιπόν με τις ανύπαρκτες υποδομές και τμήματα ασφαλείας τεχνολογίας, θα βρεθεί εξορισμού με την πλάτη στον τοίχο, καθώς θα κληθούν ΟΛΕΣ ΟΙ ΕΤΑΙΡΙΕΣ ΙΔΙΩΤΙΚΟΥ ΚΑΙ ΔΗΜΟΣΙΟΥ ΤΟΜΕΑ να επενδύσουν σε συστήματα ασφαλείας, καταγραφής, προστασίας ιδιωτικότητας και τεχνογνωσία προσωπικού. Μια επένδυση που στην εσπερία έγινε σε διάστημα 20-30 ετών, στην Ελλάδα θα κληθούν να την κάνουν μέσα σε ελάχιστους μήνες πλέον. Μάλιστα θα είναι εκ των πραγμάτων υποχρεωτικό λόγω εξοντωτικών προστίμων (μέγιστο 4% επί παγκόσμιου τζίρου ή 20.000.000€ ανά παράβαση αναλόγως ποιό είναι μεγαλύτερο). Δεν θα συμφέρει κοινώς να πληρωθεί το πρόστιμο αφήνοντας την υποδομή πίσω ως οικονομικά συμφέρουσα λύση. Ούτε φυσικά θα γίνεται να παρακαμφθεί με το γνωστό λάδωμα καθώς οι ελέγχοι και οι παραβάσεις θα καταγράφονται σε βάση δεδομένων στις Βρυξέλες δημιουργωντας έτσι ιστορικό προς επαλήθευση.

Όλα αυτά, λοιπόν, είναι ένα κόμματι που στην Ελλάδα θα δημιουργήσει, με το σφυρί και το ρόπαλο όπως λένε, μια υποχρέωση προς δημόσιο και ιδιωτικό τομέα που θα ξαφνιάσει. Και θα είναι μόνο η αρχή , αφού τα σχέδια και η στρατηγική της Ε.Ε. είναι η αυτοματοποίηση πολλών πραγμάτων. Η τάση αυτή θα δυσκολέψει και την στάση του “ανένταχτου Γαλατικού χωριού” της Ελλάδος που είτε λόγω τσιγγουνιάς, είτε λόγω τεχνολογικού αναλφαβητισμού δεν προσαρμόζεται εξαρχής σε αυτό που αποκαλείται ως ασφάλεια και νέες τεχνολογίες.

 

Αλέξανδρος Νίκλαν
Σύμβουλος Θεμάτων Ασφαλείας

Facebooktwitterredditpinterestlinkedinmail
Geopolitics & Daily News Copyrights Reserved 2024