Eίναι περασμένα μεσάνυχτα, όταν το πλήρωμα του κατάφορτου τάνκερ, που διασχίζει το Στενό της Σιγκαπούρης, συνειδητοποιεί πως κάτι δεν πηγαίνει καλά με το GPS στο σύστημα πλοήγησης του πλοίου. Παρότι οι δικλείδες ασφαλείας είναι πολλές και το πλήρωμα άρτια εκπαιδευμένο ακόμα και για την ανάγκη χειροκίνητης πλοήγησης, στο κατάστρωμα σημαίνει συναγερμός: πρόκειται για μια από τις πιο πολυσύχναστες θαλάσσιες περιοχές του κόσμου, οπότε η παρέκκλιση από την προκαθορισμένη πορεία, ακόμα και κατά ένα μίλι, μπορεί να οδηγήσει σε σύγκρουση με άλλο διερχόμενο καράβι. Τι έχει συμβεί; Το τάνκερ έχει δεχτεί κυβερνοεπίθεση μεσοπέλαγα. Παρότι το παραπάνω σενάριο είναι υποθετικό και κάτι τέτοιο δεν είναι σύνηθες, «πρόκειται για ολοένα αυξανόμενο φαινόμενο, που τα τελευταία χρόνια καταγράφεται ακόμα και στη Μεσόγειο, με τους επιτιθέμενους να προέρχονται κυρίως από τη Ρωσία, αλλά και την Τουρκία. Πάνω από 50-60 επιθέσεις σε πλοία εν πλω ή offshore πλατφόρμες πετρελαίου έχουν καταγραφεί τα τελευταία επτά χρόνια» όπως επισημαίνει, σε συνέντευξή του στο ΑΠΕ-ΜΠΕ, ο Σωκράτης Κάτσικας, διευθυντής του Νορβηγικού Κέντρου για την Κυβερνοασφάλεια σε Κρίσιμους Τομείς.
Η επιφάνεια για τις κυβερνοεπιθέσεις διαρκώς αυξάνεται και στον παγκόσμιο αυτό «πόλεμο» δεν υπάρχουν κανόνες, ούτε διεθνείς συνθήκες που να δεσμεύουν τ’ αντίπαλα μέρη. «Πρακτικά μιλάμε για σύγκρουση στην Άγρια Δύση» παρατηρεί ο κ. Κάτσικας, περιγράφοντας την αυξημένη πολυπλοκότητα ενός κόσμου, όπου οι κυβερνοεπιθέσεις αυξάνονται διαρκώς, αλλά δεν υπάρχει μέριμνα των αντιμαχόμενων «στρατών» για τους …αμάχους, ούτε κοινά συμφωνημένοι κανόνες εμπλοκής. Στον κόσμο αυτό, οι επιτιθέμενοι δεν είναι πια μόνο οι κλασικοί χάκερ του παρελθόντος, αλλά και ολόκληρα κράτη. Την ίδια στιγμή, υπάρχουν ακόμα και σήμερα χώρες ανά τον πλανήτη, στις οποίες το κυβερνοέγκλημα δεν θεωρείται καν έγκλημα.
Γιατί είμαστε τυχεροί στην Ελλάδα
Ειδικά για την Ελλάδα, ο κ. Κάτσικας σημειώνει ότι «είμαστε τυχεροί, γιατί ο βαθμός ψηφιοποίησης είναι ακόμα χαμηλός, οπότε δεν αποτελούμε ιδιαίτερα ελκυστικό στόχο για το κυβερνοέγκλημα», κάτι που όμως σταδιακά αλλάζει. Συμπληρώνει πως το επίπεδο του ανθρώπινου ταλέντου στον τομέα της κυβερνοασφάλειας στη χώρα είναι εξαιρετικό και η ανεργία στον κλάδο μηδενική, αφού όλοι οι απόφοιτοι των πανεπιστημίων απορροφώνται αμέσως. Ωστόσο, ο αριθμός των επαγγελματιών του είδους και στη χώρα μας είναι περιορισμένος, σε μια περίοδο που συνολικά στην Ευρώπη «λείπουν» περίπου 300.000 ειδικοί (κυβερνο)ασφάλειας.
Στο ερώτημα αν η Ελλάδα έχει κάνει τα σωστά βήματα, για να αυξήσει το επίπεδο κυβερνοασφάλειας, απαντά καταφατικά: «’Εχουμε το απαραίτητο θεσμικό και νομικό πλαίσιο και έχουμε πλέον δημιουργήσει τις δομές (σ.σ. την Εθνική Αρχή Κυβερνοσφάλειας για παράδειγμα), για να έχουμε πολύ καλή προστασία, σύμφωνη με τα ευρωπαϊκά επίπεδα. Το πρόβλημά μας είναι ότι οι δομές αυτές δεν έχουν ακόμα στελεχωθεί επαρκώς. Πού να βρεις τόσους εξειδικευμένους ανθρώπους τόσο σύντομα; Κι εδώ έχουμε κι ένα δομικό θέμα. Οι υπηρεσίες που ζητούν τους ανθρώπους αυτούς είναι όλες δημόσιες. Γιατί να πάει όμως κάποιος να γίνει δημόσιος υπάλληλος, όταν μπορεί να έχει τριπλάσιες και τετραπλάσιες αποδοχές, δουλεύοντας αλλού; Και ένα άλλο πρόβλημα είναι ότι δεν έχουμε ανεπτυγμένη κουλτούρα συνεργασίας ανάμεσα στους δημόσιους φορείς και ανάμεσα στον δημόσιο και τον ιδιωτικό τομέα. Αυτό θέλει μια ωριμότητα, που πρέπει να την κερδίσουμε» τονίζει, στον απόηχο του «Emerging Tech Forum IV», όπου ήταν ομιλητής.
Η συζήτηση με τον Έλληνα επιστήμονα, ο οποίος έφυγε από την Ελλάδα για τη Νορβηγία το 2015, «πατάει» τόσο στο παρόν, όσο και στο παρελθόν και το μέλλον. Για παράδειγμα, έδωσε απαντήσεις σχετικά με το τι μάθαμε μέχρι στιγμής από τη σύρραξη στην Ουκρανία για τις κυβερνοεπιθέσεις κατά τη διάρκεια πολέμου, αλλά και πόσο πιθανό είναι αλγόριθμοι Μηχανικής Μάθησης να χρησιμοποιηθούν στο μέλλον για να επιτεθούν σε συστήματα Τεχνητής Νοημοσύνης, «τρελαίνοντας» δημοφιλή μοντέλα ΑΙ και προκαλώντας χάος. Επίσης, πόσο εφικτό θα ήταν να υποστεί κυβερνοεπίθεση ένας κολοσσός όπως η «Google» ή να χτυπηθεί το cloud (υπολογιστικό νέφος);
Το μοναδικό 100% ασφαλές σύστημα στον κόσμο
Ξεκινώντας από τα βασικά, κανένα σύστημα στον κόσμο δεν είναι 100% ασφαλές έναντι των κυβερνοεπιθέσεων. Θεωρητικά, παρατηρεί ο κ. Κάτσικας, αυτό θα μπορούσε να ισχύει και για τα συστήματα τεχνολογικών γιγάντων όπως η Google. «Το μόνο 100% ασφαλές σύστημα είναι ένας υπολογιστής εκτός δικτύου και εκτός πρίζας, μέσα σε ένα κλειστό υπόγειο δωμάτιο χωρίς πόρτες και παράθυρα» λέει. Στο δε 90% των περιπτώσεων, το πρώτο βήμα της επίθεσης σε μια κρίσιμη υποδομή εκδηλώνεται απέναντι σε άνθρωπο. Αυτό επιβεβαιώθηκε το 2015 και το 2016, κατά τη διάρκεια δύο κυβερνοεπιθέσεων στην Ουκρανία, εναντίον του συστήματος διανομής ηλεκτρικής ενέργειας. Τότε, πάνω από 250.000 νοικοκυριά, επιχειρήσεις και νοσοκομεία έμειναν χωρίς ρεύμα για αρκετές ώρες. Όλα άρχισαν όταν ένας άνθρωπος έπεσε θύμα phishing*. «Σε τέτοιες περιπτώσεις μιλάμε για το λεγόμενο “spear phishing”, δηλαδή για περιεχόμενο που δεν απευθύνεται στον γενικό πληθυσμό, αλλά είναι ειδικά φτιαγμένο για να είναι ελκυστικό σε στοχευμένα άτομα ή ομάδες, όπως οι μηχανικοί που εργάζονται σε ένα σύστημα διανομής ενέργειας» εξηγεί ο κ. Κάτσικας στην Αλεξάνδρα Γούτα. Όταν αυτή η κερκόπορτα ανοίξει, συχνά εξασφαλίζει πρόσβαση στα συστήματα της εταιρείας, αξιοποιώντας και τις συνδέσεις VPN (Virtual Private Network).
Και ποιο είναι το μέσο κόστος μιας επιτυχημένης κυβερνοεπίθεσης; «Γενικά είναι δύσκολο να υπολογίσεις το κόστος μιας κυβερνοεπίθεσης και ένας λόγος είναι πως δεν έχουμε μεθοδολογίες μέτρησής του, στις οποίες να συμφωνούμε όλοι. Αυτό το κόστος προφανώς είναι άθροισμα δύο διαφορετικών ποσοτήτων. Η μια είναι το απευθείας κόστος, πόσο κόστισε δηλαδή για να επανέλθει σε λειτουργία ένα σύστημα. Η δεύτερη -και ίσως το μεγαλύτερο κομμάτι- μπορεί να είναι το έμμεσο κόστος. Στην περίπτωση των κυβερνοεπιθέσεων στην Ουκρανία για παράδειγμα, αν χάθηκαν ζωές, τι έπαθαν οι εταιρείες που έμειναν χωρίς ρεύμα, τι απαιτήσεις από ασφαλίσεις θα εγερθούν, αλλά και πώς επηρεάστηκε η αξιοπιστία των εταιρειών, που δέχτηκαν την επίθεση» σημειώνει.
Παραθέτει ωστόσο ένα υποθετικό αλλά ρεαλιστικό σενάριο που επεξεργάστηκε ο Lloyds, για μια κυβερνοεπίθεση σε 50 γεννήτριες στο σύστημα διανομής ηλεκτρικού ρεύματος σε Νέα Υόρκη και Ουάσινγκτον, από την οποία επηρεάζονται 93 εκατ. άνθρωποι. «Υπολογίστηκε ότι το συνολικό κόστος θα μπορούσε να είναι της τάξης των 30- 70 δισεκατομμυρίων δολαρίων, με μέγιστο αρνητικό σενάριο το 1 τρισεκατομμύριο. Είναι σίγουρα τεράστια τα ποσά, αλλά δεν έχουμε πραγματικά μοντέλα για ακριβείς μετρήσεις. Ένα άλλο νούμερο είναι μια εκτίμηση της Κομισιόν για το κόστος των κυβερνοεπιθέσεων παγκοσμίως, το 2021. Η εκτίμησή της ήταν για κόστος 6,07 τρισ. ευρώ, ίσο με το 7,1% του παγκόσμιου ΑΕΠ» υπογραμμίζει.
Επιτιθέμενοι με δαιδαλώδη διαδρομή, αμυνόμενοι στο σκοτάδι
Η ακριβής χαρτογράφηση των κυβερνοεπιθέσεων σε παγκόσμιο επίπεδο είναι σχεδόν τόσο δύσκολη, όσο ο αξιόπιστος υπολογισμός του κόστους μιας τέτοιας επίθεσης. Kι αυτό διότι οι έρευνες που εξετάζουν το ζήτημα σε παγκόσμιο επίπεδο είναι κυρίως ιδιωτικών εταιρειών και βασίζονται σε δείγμα περιστατικών αναφερόμενων από πελάτες τους, ενώ εκείνες που προέρχονται από κυβερνητικούς οργανισμούς συνήθως περιορίζονται γεωγραφικά σε συγκεκριμένη χώρα ή περιοχή. Επιπλέον, πολλές απ’ τις επιθέσεις δεν αναφέρονται καν στις Αρχές. «Σε κάποιους τομείς, όπως οι τηλεπικοινωνίες και η ενέργεια, η αναφορά των περιστατικών είναι υποχρεωτική. Σε άλλους όμως, όπως η ναυτιλία, δεν υφίσταται τέτοια υποχρέωση και επειδή οι εταιρείες που έγιναν στόχος είναι συνήθως ασφαλισμένες και παίρνουν πίσω όσα έχασαν, δεν έχουν κανέναν λόγο να υποστούν reputation damage» σημειώνει. Βάσει πάντως στοιχείων έρευνας της Forescout, οι κυβερνοεπιθέσεις που σημειώθηκαν το 2023 προήλθαν από παράγοντες που δρουν σε 212 χώρες, ενώ επιλέχθηκαν ως στόχοι 163 κράτη. Οι χώρες ΗΠΑ, Ηνωμένο Βασίλειο, Γερμανία, Ινδία και Ιαπωνία βρέθηκαν, βάσει της έρευνας, περισσότερο στο στόχαστρο, ενώ οι περισσότερες απειλές προήλθαν κατά σειρά από Κίνα, Ρωσία και Ιράν.
Και πάλι όμως, το τοπίο είναι θολό: «ποτέ δεν μπορούμε να είμαστε βέβαιοι από πού ξεκινούν πραγματικά οι επιθέσεις. Οι επιτιθέμενοι δεν πραγματοποιούν απαραιτήτως κατευθείαν επιθέσεις από το έδαφος της χώρας στην οποία βρίσκονται. Δηλαδή, η διαδρομή των IP που θα ακολουθήσουμε είναι έτσι σχεδιασμένη, ώστε να κάνει τον εντοπισμό των κυβερνοεγκληματιών δύσκολο. Είναι πάρα πολύ πιθανό να έχουμε επιθέσεις από την Κίνα ή τη Ρωσία, οι οποίες φαίνεται να έχουν εκδηλωθεί μέσα από διευθύνσεις IP στη Δυτική Ευρώπη, σε κάποια χώρα στην Αφρική ή αλλού, κατά προτίμηση όπου δεν υπάρχει συμφωνία συνεργασίας στη δικαστική και στην αστυνομική έρευνα με άλλες χώρες ή ακόμα καλύτερα όπου το κυβερνοέγκλημα δεν θεωρείται έγκλημα. Σε αυτές τις περιπτώσεις, όλα τελειώνουν εκεί -δεν υπάρχουν κυρώσεις» παρατηρεί.
Πάντως, στην ΕΕ τουλάχιστον, υπάρχουν διαδικασίες, οδηγίες και μηχανισμοί για την αντιμετώπιση των κυβερνοεπιθέσεων σε ευρωπαϊκό επίπεδο, δυνατότητες που ενισχύθηκαν με την κοινοτική οδηγία NIS2, η οποία πρόσφατα ενσωματώθηκε στο ελληνικό Δίκαιο. Θα ήταν άραγε αποδοτικοί αυτοί οι μηχανισμοί, σε περίπτωση επίθεσης μείζονος κλίμακας; «Ευτυχώς δεν είχαμε μέχρι στιγμής κάποιο τόσο μεγάλο επεισόδιο, ώστε να χρειαστεί να φανεί η αποδοτικότητα των μηχανισμών μας. Ωστόσο, όλοι αυτοί οι μηχανισμοί αποτελούν αντικείμενο διαρκούς ελέγχου. Κάνουμε ασκήσεις με σενάρια, όπως κάνουν οι στρατοί – τέτοιες ασκήσεις γίνονται σε εθνικό, διευρωπαϊκό και διεθνές επίπεδο (…) Ο έλεγχος αυτών των μηχανισμών, ειδικά όταν αφορούν κρίσιμες υποδομές, μπορεί να γίνει μόνο με σενάρια, προσομοιώσεις και ψηφιακά δίδυμα. Προφανώς δεν προσπαθείς να ρίξεις το δίκτυο ηλεκτρισμού μιας χώρας για να δεις αν και πώς θα δουλέψει ο μηχανισμός» λέει χαρακτηριστικά.
Τι μάθαμε από την Ουκρανία για τις κυβερνοεπιθέσεις εν καιρώ πολέμου;
«Φυσικά μάθαμε ότι έχουν γίνει πάρα πολλές επιθέσεις εναντίον ουκρανικών στόχων από τη Ρωσία, αλλά δεν είναι μόνο αυτό, αυτό ήταν απολύτως αναμενόμενο. Αυτό το οποίο επιπλέον μάθαμε είναι ότι, με αφορμή τον πόλεμο στην Ουκρανία, έχουν γίνει απόπειρες επίθεσης και κατά άλλων χωρών, ειδικά όσων συμμετέχουν στην παροχή βοήθειας προς την Ουκρανία. Δεν έχω στοιχεία για πετυχημένες τέτοιες επιθέσεις, αλλά το βέβαιο είναι ότι το επίπεδο ετοιμότητας (για την αντιμετώπιση κυβερνοεπιθέσεων) σε πολλές χώρες, κυρίως κράτη- μέλη του ΝΑΤΟ, είναι αυξημένο υπερβολικά, από τότε που ξεκίνησε ο πόλεμος στην Ουκρανία» επισημαίνει και λέει πως κάτι άλλο που έγινε εμφανές επί του πρακτέου είναι ότι σε παγκόσμιο επίπεδο δεν υπάρχουν διεθνείς συνθήκες για το πώς διεξάγεται ο κυβερνοπόλεμος μεταξύ χωρών, τι επιτρέπεται και τι όχι. «Για τους κανόνες εμπλοκής στον κυβερνοπόλεμο υπάρχει το λεγόμενο “Εγχειρίδιο του Ταλίν” και ένα κείμενο του Πανεπιστημίου Χάρβαρντ, γνωστό ως “ο λόγος του Koh”, που έχει δημοσιευτεί στο Harvard International Law Journal. Ωστόσο, αυτοί οι κανόνες δεν είναι Συνθήκες. Είναι απλώς κατευθυντήριες γραμμές, τις οποίες όποιος θέλει ακολουθεί κι όποιος δεν θέλει όχι» εξηγεί.
Ο δούρειος ίππος στα τσιπάκια και η «τρύπα» στο hardware
Μπορούν τα τσιπάκια στις διάφορες ηλεκτρονικές συσκευές και τους σέρβερ να λειτουργήσουν σαν δούρειος ίππος για κυβερνοεπιθέσεις; «Φυσικά. Κι είναι τεράστιο το θέμα. Δεν είναι μόνο τα τσιπάκια, αλλά συνολικότερα το hardware στις κρίσιμες υποδομές και στα βιομηχανικά συστήματα ελέγχου. Το κακό είναι ότι δεν έχουμε επαρκείς λύσεις και το πρόβλημα εντοπίζεται σε μια πραγματικά μακριά εφοδιαστική αλυσίδα. ‘Οταν παίρνεις ένα προϊόν από τη Siemens ή τη Schneider, αυτό μπορεί να έχει παραχθεί από αυτές, αλλά υπάρχουν από πίσω δεκάδες υπεργολάβοι, που έχουν φτιάξει διάφορα κομμάτια του. ‘Οταν ρωτήσεις τον τελικό προμηθευτή “πώς ξέρετε ότι αυτό που μου δίνετε είναι απολύτως εντάξει”, η απάντηση συνήθως είναι “εμπιστεύομαι τον προμηθευτή μου”. Αυτό σε έναν βαθμό είναι εχέγγυο, αλλά μόνο σε έναν βαθμό» σημειώνει.
Η Τεχνητή Νοημοσύνη (ΤΝ) δε, είναι ένας «Ιανός», αφού χρησιμοποιείται δημιουργικά τόσο για τις κυβερνοεπιθέσεις, όσο και για την άμυνα εναντίον τους. Ωστόσο, καθώς η ΤΝ εξελίσσεται, αναδύεται ένας νέος κίνδυνος: «Τα ίδια τα συστήματα ΤΝ μπορούν να αποτελέσουν στόχο επίθεσης και όταν συμβεί κάτι τέτοιο, τα αποτελέσματα μπορεί να είναι πάρα πολύ άσχημα. Μπορούμε να επιτεθούμε σε ένα σύστημα και να το εκπαιδεύουμε με ένα ψεύτικο μοντέλο. Εχουν γίνει αρκετές επιδείξεις τέτοιων σεναρίων και αυτό είναι σοβαρό, γιατί η χρήση ΤΝ αυξάνεται κι αυτό δεν πρόκειται να αναστραφεί. Αν δεν θέσουμε ασφαλιστικές δικλείδες, για να προστατέψουμε τα ίδια τα συστήματα ΤΝ, θα βρεθούμε σε μια κατάσταση με πολύ περισσότερες αδυναμίες» προειδοποιεί.
Ο Σωκράτης Κάτσικας έφυγε από την Ελλάδα το 2015, αλλά δεν θεωρεί πως η φυγή του εντάσσεται στο κύμα του brain drain. «Έφυγα γιατί θεώρησα ότι υπάρχουν αξιακά προβλήματα στα ελληνικά πανεπιστήμια, τα οποία θα ενταθούν. Η βασική ιδεολογική διαφωνία με όσα συνέβαιναν τότε στα ΑΕΙ, ήταν ότι για εμένα ο κυρίαρχος ρόλος των πανεπιστημίων είναι πολύ διαφορετικός από την απλή ελεύθερη ανταλλαγή και σύγκρουση ιδεών, είναι η ανάπτυξη της χώρας και της κοινωνίας. Επιπλέον, αισθανόμουν πως στην Ελλάδα μου τελείωσαν οι προκλήσεις» καταλήγει.
*Στο phishing ο επιτιθέμενος μιμείται μια αξιόπιστη οντότητα, ζητώντας από το θύμα να αποκαλύψει ευαίσθητες πληροφορίες, όπως password ή pin.