Κυριακή 1 Αυγούστου 2010

Ένας πόλεμος στον κυβερνοχώρo


Τον Ιούνιο πραγματοποιήθηκε στην Ελλάδα η πρώτη Εθνική Άσκηση Κυβερνοάμυνας, υπό τον συντονισμό της Διεύθυνσης Κυβερνοάμυνας και το ΓΕΕΘΑ, για να αξιολογηθεί το επίπεδο ετοιμότητας και η ικανότητα της χώρας στην απόκρουση κυβερνοεπιθέσεων. Ο Δημήτρης Γρίτζαλης, καθηγητής Aσφάλειας στην Πληροφορική και τις Επικοινωνίες στο Οικονομικό Πανεπιστήμιο Αθηνών, εξηγεί σε συνέντευξή του στην Αυγή τη σημασία μιας αποτελεσματικής κυβερνοάμυνας και παρουσιάζει τα συμπεράσματα της άσκησης.


Ποια ήταν τα κίνητρα για τη διοργάνωση μιας τέτοιας άσκησης και σε ποιον ανήκει η πρωτοβουλία;

Ο κυβερνοπόλεμος είναι η πιο σύγχρονη μορφή πολέμου. Είναι πόλεμος που διεξάγεται στον κυβερνοχώρο, όπου η παρουσία ειδικών επιστημόνων είναι κυρίαρχη. Ο κυβερνοπόλεμος ουσιαστικά είναι πόλεμος που μπορεί να επηρεάσει πολύ πλατιά τμήματα του πληθυσμού, αλλά διεξάγεται κυρίως για επιστήμονες – πολίτες, αλλά και ένστολους. Είναι ένας πόλεμος όπου η δημοκρατική συνείδηση και η υπευθυνότητα των ειδικών επιστημόνων είναι όρος και προϋπόθεση της συμμετοχής τους.

Η 1η Εθνική Άσκηση Κυβερνοάμυνας ονομάστηκε “Πανόπτης-2010″ και οργανώθηκε με την πρωτοβουλία και το συντονισμό της Διεύθυνσης Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Άμυνας (ΔΙΚΥΒ/ΓΕΕΘΑ). Στην άσκηση συμμετείχαν εκπρόσωποι του Γραφείου του Πρωθυπουργού (Ομάδα Οpengov), εκπρόσωποι σειράς Υπουργείων, του Τεχνικού Επιμελητηρίου Ελλάδας, καθώς και περίπου 100 ειδικοί επιστήμονες από Ερευνητικά Ιδρύματα (Δημόκριτος, ΕΑΙΤΥ, ΙΤΕ), από το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας, από Ανεξάρτητες Αρχές (Αρχή Προστασίας Προσωπικών Δεδομένων, Αρχή Διασφάλισης Απορρήτου Επικοινωνιών) και από 14 Πανεπιστήμια και 4 ΤΕΙ.

Ο σκοπός της άσκησης ήταν διττός. Πρώτον, επιδιώχθηκε να πραγματοποιηθεί και να θεμελιωθεί η συνεργασία -και προπάντων η συνέργεια- των εμπλεκομένων στην άσκηση φορέων και ειδικών επιστημόνων. Δεύτερον, επιδιώχθηκε η συστηματική καταγραφή και μελέτη του επιπέδου αντίληψης, ευαισθητοποίησης, γνώσης και αντίδρασης της χώρας μας σε θέματα κυβερνοεπιθέσεων.

Ποιο ήταν το αποτέλεσμα και πόσο καλά οργανωμένες και σύγχρονες ήταν οι επιθέσεις; Αν στέφθηκε με επιτυχία η απόκρουση των επιθέσεων, εγείρονται κάποια ερωτήματα: Υπάρχει πρόσφορο έδαφος για την αξιοποίηση αυτού του ικανότατου δυναμικού επιστημόνων στην κυβερνοάμυνα;

Οι επιθέσεις που σχεδιάστηκαν ήταν οργανωμένες και συντονισμένες. Προσομοιώθηκε ένα εκτενές φάσμα πιθανών σεναρίων, με στόχο να μελετηθεί ένα ευρύ πλήθος δημοφιλών τεχνολογιών που χρησιμοποιούνται σήμερα στον δημόσιο και τον ιδιωτικό τομέα. Παράλληλα, λήφθηκε μέριμνα ώστε τόσο το είδος των επιθέσεων όσο και η έντασή τους να προσεγγίζει ένα ρεαλιστικό σενάριο κυβερνοπολέμου.

Οι περισσότερες από τις επιθέσεις που σχεδιάστηκαν αντιμετωπίστηκαν με επιτυχία. Αυτό είναι θετικό, δεδομένου ότι πρόκειται για την πρώτη τέτοιου επιπέδου άσκηση στην Ελλάδα. Για ορισμένες επιθέσεις που αντιμετωπίστηκαν με σχετικά περιορισμένη αποτελεσματικότητα, αποκομίστηκαν χρήσιμα συμπεράσματα, που καθοδηγούν τη λήψη των αναγκαίων μέτρων στο άμεσο μέλλον.

Η άσκηση επιβεβαίωσε ότι υπάρχει εξαιρετικά αξιόλογο επιστημονικό δυναμικό και στον ακαδημαϊκό χώρο και στους δημόσιους φορείς και στις Ένοπλες Δυνάμεις. Mε την κατάλληλη περαιτέρω οργάνωση και με συστηματική συνεργασία είναι ευχερές να δημιουργηθεί μια επιστημονικά κορυφαία πολυ-επιστημονική ομάδα, η οποία θα είναι σε θέση να αντιμετωπίσει με επιτυχία κυβερνοαπειλές, αλλά και ενδεχόμενες κυβερνοεπιθέσεις ευρείας κλίμακας εναντίον της χώρας μας.


Πώς αξιολογείτε, με όρους αποτελεσματικότητας, την κυβερνοάμυνα της χώρας;

Με βάση κυρίως τα δεδομένα που προέκυψαν από την “Πανόπτης-2010″, είναι φανερό ότι η κυβερνοάμυνα της χώρας μας είναι σε ικανά, υπεύθυνα και έμπειρα χέρια. Υπάρχει τεχνογνωσία, υπάρχει εμπειρία, υπάρχει εξοπλισμός, υπάρχει ευαισθητοποίηση. Ωστόσο, υπάρχει ορατό περιθώριο περαιτέρω βελτίωσης, ειδικά σε ό,τι αφορά την επίτευξη των αναγκαίων συνεργειών και του συντονισμού των εμπλεκόμενων φορέων. Η βελτίωση αυτή είναι εφικτή, εφόσον διατεθούν επαρκείς πόροι, που θα εστιαστούν σε συγκεκριμένες και στοχευμένες δράσεις.

Μια πετυχημένη στρατηγική σε θέματα κυβερνοάμυνας αποσκοπεί, μεταξύ άλλων, αλλά με υψηλή προτεραιότητα, στη μεθοδική και συστηματική συνεργασία μεταξύ πλήθους ετερογενών εμπλεκόμενων φορέων. Οι φορείς αυτοί περιλαμβάνουν από κυβερνητικούς οργανισμούς μέχρι τον απλό χρήστη του Διαδικτύου. Η άσκηση αυτή δεν είναι διόλου εύκολη -στην ελληνική δημόσια διοίκηση μπορεί να εξελιχθεί ακόμη και σε εφιάλτη-, αλλά η λύση της είναι αναγκαία.

Γιατί είναι απαραίτητη μια ισχυρή κυβερνοάμυνα;

Ο κυβερνοπόλεμος αποτελεί, σήμερα, μια νέα διάσταση πολεμικών συγκρούσεων, που μπορεί να έχουν μείζονα κοινωνικό, πολιτικό και οικονομικό αντίκτυπο. Υπάρχουν πρόσφατα πειστικά παραδείγματα κυβερνοεπιθέσων, όπως αυτές που εκδηλώθηκαν κατά της Εσθονίας και της Γεωργίας, τα οποία αναδεικνύουν τη σοβαρότητα του κυβερνοπολέμου και αποδεικνύουν πόσο σημαντικές μπορεί να είναι οι επιπτώσεις τέτοιων ενεργειών στην εθνική οικονομία, στην κοινωνική ευημερία, στη δημοκρατική σταθερότητα και στην εθνική άμυνα μιας χώρας.

Συνεπώς, η χώρα μας πρέπει να είναι κατάλληλα προετοιμασμένη για να αντιδράσει, έγκαιρα και αποτελεσματικά, στην περίπτωση που καταστεί στόχος τέτοιας επίθεσης. Η χώρα μας οφείλει να είναι σε θέση να προστατεύσει και να διασφαλίσει αποτελεσματικά τις κρίσιμες υποδομές της.

Τι ισχύει σήμερα ως προς την υποστήριξη τέτοιων ερευνητικών ομάδων στην ανώτατη εκπαίδευση; Υπάρχουν ελλείψεις;

Το επιστημονικό δυναμικό, οι συμπατριώτες μας που εργάζονται στη χώρα μας και στο εξωτερικό και εξειδικεύονται σε θέματα Ασφάλειας στην Πληροφορική και τις Επικοινωνίες, είναι διεθνώς διακεκριμένο, έχοντας αποκομίσει κορυφαίες διακρίσεις και έχοντας διασφαλίσει ηγετική παρουσία. Ως αποτέλεσμα αυτού, σε πολλά ελληνικά πανεπιστήμια έχουν αναπτυχθεί ισχυρές ερευνητικές ομάδες, με διεθνή παρουσία, που εξειδικεύονται αποκλειστικά σε σχετικά θέματα.

Για παράδειγμα, αναφέρω εντελώς ενδεικτικά ότι οι ερευνητικές ομάδες του Οικονομικού Πανεπιστημίου Αθηνών, του Πανεπιστημίου Πατρών, του Πανεπιστημίου Πειραιώς και του Πανεπιστημίου Κρήτης, είναι από τις πιο πολυπρόσωπες και δυναμικές, χωρίς να απουσιάζουν δυναμικές παρουσίες και σε πολλά άλλα ΑΕΙ. Επίσης, σχεδόν όλα τα ελληνικά Πανεπιστήμια έχουν εκλέξει μέλη ΔΕΠ των οποίων το γνωστικό αντικείμενο αφορά Ασφάλεια στις ΤΠΕ.
Αυτό που απουσιάζει ακόμη είναι μια θεσμοθετημένα συστηματικότερη συνεργασία μεταξύ των πανεπιστημιακών ερευνητικών ομάδων σε εθνικό επίπεδο, μέσω -για παράδειγμα- ενός Εθνικού Κέντρου Αριστείας στην Ασφάλεια στις ΤΠΕ. Αυτό θα επιφέρει άμεσα, ορατά και ουσιαστικά αποτελέσματα και θα βοηθήσει στην αποτελεσματική συμβολή των ζητημάτων κυβερνοάμυνας και σε εθνικό επίπεδο.

Η πανεπιστημιακή κοινότητα συμμετείχε μαζικά και με ενθουσιασμό στην άσκηση “Πανόπτης-2010″. Αυτό επιτεύχθηκε γιατί καλύφθηκαν οι βασικές προϋποθέσεις που αποτελούν θεμελιώδη όρο για τη συμμετοχή της. Συγκεκριμένα, η ακαδημαϊκή κοινότητα λειτούργησε κατά την άσκηση σε καθεστώς πλήρους ανεξαρτησίας. Συμμετείχε σε όλα τα κέντρα λήψης αποφάσεων. Συμμετείχε σε όλες τις φάσης προετοιμασίας και υλοποίησης της άσκησης. Δεν υπήρξαν ούτε αποκλεισμοί ούτε επιλεκτικές πολιτικές ούτε έγιναν διακρίσεις. Τέλος, η μεταφορά τεχνογνωσίας, όπου και σε όποιο βαθμό επιδιώχθηκε, υπήρξε ελεύθερη και ανεμπόδιστη.

Πόσο σημαντική θα μπορούσε να είναι η προσφορά μιας πανεπιστημιακής ερευνητικής ομάδας, όπως η ομάδα που διευθύνετε εσείς, στην προστασία κρίσιμων υποδομών;

Η διαπανεπιστημιακή-διεπιστημονική ερευνητική ομάδα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών (CIS/ΟΠΑ) είναι μια συγκροτημένη εδώ και 10 χρόνια ομάδα, με πλήθος έμπειρων ερευνητών. Συγκεντρώνει στις τάξεις της μέλη ΔΕΠ και ερευνητές από 4 ελληνικά ΑΕΙ (Οικονομικό Πανεπιστήμιο Αθηνών, Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης, Πανεπιστήμιο Πειραιώς και Πανεπιστήμιο Αιγαίου). Ουσιαστικά, η CIS αποτελεί ένα de facto πρόπλασμα Κέντρου Αριστείας σε θέματα Ασφάλειας στις ΤΠΕ.

Η CIS/ΟΠΑ συμμετείχε στην “Πανόπτης-2010″ σε κάθε επίπεδο. Συμμετείχε στην Επιτελική Ομάδα διεύθυνσης της άσκησης, μέσω του Διευθυντή της. Συμμετείχε στην Ομάδα που σχεδίασε τα σενάρια των επιθέσεων (Red Team). Συμμετείχε στις Ομάδες που αντιμετώπισαν τις επιθέσεις (Blue Teams). Συμμετείχε στην Ομάδα που ενημερώνει και προβάλλει τα αποτελέσματα της άσκησης, στη χώρα μας, αλλά και διεθνώς. Τέλος, ο διευθυντής της Ομάδας συντόνισε τους 100 περίπου ειδικούς επιστήμονες από τα 14 ΑΕΙ, τα 4 ΑΕΙ, τα 3 Ερευνητικά Κέντρα και τις 2 Ανεξάρτητες Αρχές που συμμετείχαν στην άσκηση.

Θεωρείτε πως ερευνητές που εξειδικεύονται στον τομέα της Ασφάλειας στις ΤΠΕ γοητεύονται από το ενδεχόμενο εργασιακής απορρόφησής τους στον τομέα της κυβερνοάμυνας;

Σε ό,τι αφορά ζητήματα αγοράς εργασίας, ο τομέας της κυβερνοάμυνας γνωρίζει σταθερή αύξηση διεθνώς. Τα τελευταία χρόνια, η αναζήτηση ειδικευμένου προσωπικού σε θέματα κυβερνοάμυνας έχει προσλάβει σημαντικές διαστάσεις, ειδικά σε χώρες που είτε είναι ιδιαίτερα ευαισθητοποιημένες είτε πάσχουν από τρομοϋστερία. Οι συγκεκριμένες τάσεις θεμελιώνουν διεθνώς ελκυστικά κίνητρα.

Ωστόσο, η ζήτηση ειδικών σε κυβερνοάμυνα από την ελληνική αγορά είναι ακόμη πολύ περιορισμένη. Αντίθετα, η ζήτηση στη χώρα μας είναι πολύ αξιόλογη – ακόμη και υπό τις τρέχουσες δυσχερείς οικονομικές συνθήκες – σε ειδικούς σε Ασφάλεια Υπολογιστών και Δικτύων, σε Ασφάλεια Τραπεζικών Πληροφοριακών Συστημάτων, σε Ελεγκτική Πληροφοριακών Συστημάτων, σε εφαρμογές της Κρυπτογραφίας και -πρόσφατα- σε Δικανική Πληροφορική (Forensics).

Πρόκειται να πραγματοποιηθούν τέτοιες ασκήσεις ξανά και σε υπερεθνικό επίπεδο; Ποιοι οι λόγοι που ωθούν στη διεξαγωγή τέτοιας άσκησης;

Είναι ευρέως αποδεκτή η πεποίθηση ότι η άσκηση κυβερνοάμυνας “Πανόπτης” είναι σκόπιμο να διεξάγεται σε ετήσια βάση και σε εθνικό επίπεδο. Σε κάθε περίπτωση, η ΔΙΚΥΒ/ΓΕΕΘΑ συμμετέχει και σε αντίστοιχες ευρωπαϊκές και διεθνείς σχετικές πρωτοβουλίες, συχνά πλαισιούμενη από ειδικούς από τη Δημόσια Διοίκηση και την ακαδημαϊκή κοινότητα.

Το ελληνικό Δημόσιο έχει συνάψει συμφωνία χρήσης λογισμικού της Microsoft. Η χρήση λειτουργικών συστημάτων ανοιχτού κώδικα, όπως το Linux, θα ήταν πιο πρόσφορη σε επίπεδο λειτουργικότητας και ασφάλειας;

Κάθε λειτουργικό σύστημα έχει τα δικά του χαρακτηριστικά και -ειδικά και κυρίως- τρωτά του σημεία. Δεν υπάρχουν απόλυτες λύσεις, (ευτυχώς) ούτε αναγκαστικές επιλογές. Η χρήση ενός λειτουργικού συστήματος ανοιχτού κώδικα, όπως το Linux, ενδεχομένως να μείωνε, μπορεί σε σημαντικό βαθμό, το εύρος των επιθέσεων, αφού η πλειονότητά τους θεωρείται ότι έχει στόχο προϊόντα της Microsoft.

Το σημείο, όμως, όπου πρέπει να δοθεί ιδιαίτερη προσοχή είναι η ανάγκη ενημέρωσης και εκπαίδευσης και ευαισθητοποίησης των χρηστών. Ανεξάρτητα από τις δυνατότητες και τις ευπάθειες κάθε εφαρμογής, ο τελικός χρήστης είναι αυτός που βρίσκεται κατά κανόνα στο στόχαστρο των επιτιθέμενων. Οι λανθασμένες ενέργειές του συχνά οδηγούν σε προβλήματα ασφάλειας του συστήματος. Είναι πιο ουσιαστικό να εκπαιδεύσουμε τους χρήστες και να δημιουργήσουμε μια ανοιχτή και δημοκρατική κουλτούρα ασφάλειας από το να εστιάζουμε μόνο στα αμιγώς τεχνικά μέτρα προστασίας των πληροφοριακών συστημάτων.

Αν πράγματι ορισμένες κρατικές υπηρεσίες διαθέτουν την τεχνογνωσία παραβίασης της ιδιωτικότητας των πολιτών, πώς προστατεύεται ο μέσος χρήστης του Διαδικτύου από ένα τέτοιο ενδεχόμενο;

Είναι γνωστό ότι υπάρχουν φορείς, στην Ελλάδα και διεθνώς, που διαθέτουν πολύ αυξημένη σχετική τεχνογνωσία. Η τεχνογνωσία αυτή εκτιμάται βάσιμα ότι μπορεί να παρακάμψει τα μέτρα προστασίας της ιδιωτικότητας τα οποία λαμβάνει ακόμη και ο πολίτης που είναι εξειδικευμένος σε θέματα ασφάλειας στο Διαδίκτυο. Για τον λόγο αυτόν, σε μια δημοκρατική κοινωνία πρέπει να υπάρχουν πολλαπλές και επάλληλες ασφαλιστικές δικλείδες, οι οποίες να καθιστούν την παραβίαση της ιδιωτικότητας των πολιτών από εξαιρετικά δυσχερή έως ουσιαστικά ανέφικτη. Για παράδειγμα, η ύπαρξη ανεξάρτητων αρχών, όπως η Αρχή Προστασίας των Προσωπικών Δεδομένων και η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών, αποτελούν τέτοιες θεσμικές δικλείδες, με αυξημένες δυνατότητες προστασίας των δικαιωμάτων του πολίτη. Η ισχυρότερη δικλείδα παραμένει διαχρονικά η έγκυρη ενημέρωση και η συνετή εγρήγορση του πολίτη -και των συλλογικοτήτων που τον εκφράζουν γνήσια και ανόθευτα- στα σχετικά ζητήματα.

 strategyreport