Κυβερνοεπιθέσεις στα ηλεκτρονικά συστήματα σημαντικών κρατικών τμημάτων και ακαδημαϊκών ιδρυμάτων. Πλημμύρα στο υπόγειο του Υπουργείου Οικονομικών όπου φυλάσσονται οι κυβερνητικοί servers.
Ταυτόχρονα περιστατικά μέσα σύντομο διάστημα που έθεσαν εν αμφιβόλω την ασφάλεια κρίσιμων ηλεκτρονικών υποδομών του κράτους και ανάγκασαν τους αρμοδίους να λάβουν αποφάσεις και μέτρα, που ενδεχομένως θα έπρεπε ήδη να εφαρμόζονται.
Ο μεταδιδακτορικός ερευνητής στο University College του Λονδίνου στους τομείς Cybersecurity και Privacy on the Web και CEO της Trinomial Technologies Ltd Δρ. Κωνσταντίνος Παπαδάμου απαντά σε ερωτήσεις του AlphaNews.Live για τα θέματα κυβερνοασφάλειας και ασφάλειας συστημάτων και επιχειρεί να «φωτίσει» πιθανές ελλείψεις του κρατικού μηχανισμού...
1. Πως κρίνετε τα μέτρα που αποφασίστηκαν για το προσωπικό της Αρχής Ψηφιακής Ασφάλειας, προκειμένου να αναχαιτιστούν νέες κυβερνοεπιθέσεις σε κρατικά συστήματα (24ωρες βάρδιες επτά φορές τη βδομάδα, αισθητήρες στα συστήματα των κρίσιμων υποδομών)
Κάλλιο αργά παρα ποτέ θα έλεγα! Όλα τα μέτρα που έχουν αποφασιστεί για το προσωπικό της Αρχής Ψηφιακής Ασφάλειας καθώς και η εγκατάσταση "αισθητήρων" και μηχανισμών παρακολούθησης της ασφάλειας των κρατικών συστημάτων είναι απολύτος ορθά και αναγκαία. Παρόλα αυτά δεν είναι επαρκή για να αναχαιτιστούν πλήρως νέες κυβερνοεπιθέσεις σε κρατικά συστήματα και κρίσιμες υποδομές πληροφοριών του κράτους. Το θέμα που προκύπτει εδώ είναι ότι τα μέτρα που λήφθηκαν δεν αποτελούν κάποιο καινοτόμο τρόπο προστασίας πληροφοριακών συστημάτων. Είναι μέτρα που θα έπρεπε να έχουν ληφθεί εδώ και καιρό και είναι μέτρα που ήδη ήταν σε εφαρμογή σε άλλα κέντρα δεδομένων και συστήματα ιδιωτικών και ημικρατικών οργανισμών. Γενικά η ασφάλεια πληροφοριακών συστημάτων δεν είναι μόνο θέμα τεχνογνωσίας, αλλά και νοοτροπίας. Το δημόσιο και όλες οι αρχές που είναι υπεύθυνες για την προστασία των κρίσιμων συστημάτων και πληροφοριών του κράτους πρέπει πάντα να λαμβάνουν τα απαραίτητα μέτρα ασφάλειας σκεπτόμενοι ότι κανένα σύστημα δεν μπορεί να είναι ποτέ 100% ασφαλές.
2. Με τα όσα αποφασίστηκαν, πιστεύετε ότι η Κύπρος θα θωρακιστεί έναντι ανάλογων επιθέσεων που έγιναν στο πρόσφατο παρελθόν σε Ανοιχτό Πανεπιστήμιο και Κτηματολόγιο;
Με τα μέτρα που έχουν ληφθεί ασφαλώς και θα αυξηθεί το επίπεδο ασφάλειας των κρίσιμων πληροφοριακών συστήματων της κυπριακής δημοκρατίας καθώς και η ανθεκτικότητα των συστημάτων αυτών έναντι παρόμοιων κυβερνοεπιθέσεων. Παρόλ' αυτά ο αγώνας για προστασία όλων των κρίσιμων συστημάτων της κυβέρνησης έναντι τέτοιων επιθέσεων και κακόβουλων χρηστών (χάκερ) πρέπει να είναι συνεχής. Η θωράκιση όλων των κρίσιμων συστημάτων και δικτύων και η αναβάθμιση τους εγκαθιστώντας Virtual Private Networks (VPNs), συστήματα ελέγχου πρόσβασης (Access Control Systems) και τείχους προστασίας (Firewalls) είναι κάποια από τα μέτρα που θα πρέπει επίσης να παρθούν όπου χρειάζεται. Παράλληλα ο συχνός έλεγχος και αξιολόγηση της ασφάλειας όλων των κρίσιμων συστημάτων και δικτύων είναι κάτι που πρέπει να γίνεται ανά τακτά χρονικά διαστήματα και τα αποτελέσματα αυτών των ελέγχων να αξιολογούνται ενδελεχώς και να παίρνονται τα κατάλληλα μέτρα.
3. Πόσο εκτεθειμένοι είναι οι Κύπριοι πολίτες σε ενδεχόμενη διαρροή των προσωπικών τους δεδομένων στο διαδίκτυο;
Καταρχάς μια κυβερνοεπίθεση όπως αυτήν στο σύστημα του Kτηματολογίου δεν σημαίνει απαραίτητα και την διαρροή προσωπικών δεδομένων καθώς υπάρχουν διαφόρων ειδών επιθέσεις. Όμως με την υπάρχουσα κατάσταση δεν μπορούμε να πούμε με ακρίβεια πόσο εκτεθειμένοι είναι οι Κύπριοι πολίτες. Μπορούμε να πούμε όμως ότι οι Κύπριοι πολίτες είναι αρκετά προστατευμένοι αλλά όχι στον μέγιστο βαθμό που θα μπορούσαν να είναι αν ακολουθηθούν όλες οι σωστές πρακτικές για ασφάλεια των κυβερνητικών πληροφοριακών συστημάτων. Πάντα υπάρχει ο κίνδυνος διαρροής προσωπικών δεδομένων και ο κίνδυνος αυτός θα αυξάνεται όσο εξελίσσεται η ψηφιακή πολιτική της κυβέρνησης για ψηφιοποίηση όλων των κυβερνητικών υπηρεσιών καθώς και η τεχνολογία γενικά.
Οι Κύπριοι πολίτες δεν πρέπει απλά να μην είναι εκτεθειμένοι σε ενδεχόμενη απειλή αλλά και να νιώθουν ασφαλείς. Αυτό μπορεί να επιτυχευθεί με την ορθή ενημέρωση του απλού πολίτη για βασικές αρχές ασφάλειας στο διαδύκτιο και τα μέτρα που πρέπει να ακολουθούν για την προστασία τους από απειλές. Η ενημέρωση αυτή καλό θα ήταν να ενταχθεί και στην πολιτική της κυβέρνησης για εκσυγχρονισμό της παιδείας.
4. Τι πρέπει να αλλάξει στον τρόπο που η εκάστοτε κυβέρνηση αντιμετωπίζει τέτοια κρίσιμα ζητήματα;
Αρχικά η εκάστοτε κυβέρνηση θα πρέπει να αναπτύξει τις ανάλογες διαδικασίες για άμεση διαχείριση τέτοιων κρίσιμων ζητημάτων ούτως ώστε να ελαχιστοποιηθεί ο χρόνος διακοπής λειτουργίας του συστήματος που μπορεί να δεχτεί μια κυβερνοεπίθεση. Αυτό μπορεί να επιτευχθεί έχοντας τα κατάλληλα αντίγραφα ασφαλείας και εφεδρικά συστήματα έτοιμα για άμεση χρήση. Κάτι τέτοιο είναι πάρα πολύ σημαντικό ειδικά σε μια επίθεση σε ένα σύστημα υγείας ή άλλης παρόμοιας σημασίας συστήματος. Παράλληλα με τα ποιο πάνω, η κυβέρνηση θα πρέπει να λάβει τα ανάλογα μέτρα για διασφάλιση της διαφάνειας σε τέτοια κρίσιμα ζητήματα και για την άμεση ενημέρωση του κοινού για το μέγεθος της ζημιάς που προκλήθηκε από μια κυβερνοεπίθεση.
5. Σε ότι αφορά στην πλημμύρα των servers και την μεταφορά τους σε εγκαταστάσεις της CYTA, ποια κριτήρια πρέπει να πληροί το κτίριο για να αποτραπεί επανάληψη της καταστροφής;
Γενικά ένα κτίριο στο οποίο στεγάζεται ένα κέντρο δεδομένων πρέπει να πληροί διάφορα κριτήρια για αποφυγή όλων των φύσεων και μη κίνδυνων. Αρχικά πρέπει να είναι κατασκευασμένο με ανθεκτικά υλικά που να μπορούν να αντέξουν σεισμούς, καταιγίδες και άλλα φυσικά φαινόμενα. Ταυτόχρονα το κτίριο πρέπει να διαθέτει σύστημα αυτόματης πυρόσβεσης και πυρανίχνευσης καθώς και αντιπυρικές πόρτες και τοίχους. Ο συνεχής έλεγχος της σωστής θερμοκρασίας και υγρασίας τους δωματίου που φιλοξενείται το κέντρο δεδομένων είναι επίσης σημαντικός. Πιο συγκεκριμένα, το κτίριο πρέπει να διατηρεί σταθερή θερμοκρασία και υγρασία για να προστατεύονται οι ευαίσθητες συσκευές (π.χ. διακομιστές) που βρίσκονται μέσα στο κτίριο. Τέλος, το κτίριο πρέπει να είναι εξοπλισμένο με σύστημα ελέγχου πρόσβασης το οποίο ελέγχει και να καταγράφει 24/7 ποιοι έχουν πρόσβαση στις εγκαταστάσεις του κέντρου δεδομένων για καλύτερο έλεγχο.
6. Υπάρχουν πρακτικές για να είναι ασφαλή αυτά τα συστήματα;
Γενικά η ασφάλεια πληροφοριακών συστημάτων είναι ένας συνεχής αγώνας δρόμου μεταξύ αυτών που θέλουν να προστατευθούν και των κακόβουλων χρηστών που θέλουν να εκμεταλλευτούν τις αδυναμίες του συστήματος. Η συνεχής εξέλιξη της τεχνολογίας και των διαθέσιμων εργαλείων μπορούν να καταστήσουν οποιαδήποτε μέτρα ανεπαρκή ανά πάσα στιγμή. Για να μπορέσουμε να έχουμε αποτελεσματικές διαδικασίες ασφάλειας των συστημάτων μας είναι αναγκαίο να υπάρχει συνεχής ανάλυση και κατανόηση των κινδύνων που υπάρχουν. Ένας τρόπος για να γίνει αυτό θα μπορούσαν να αξιοποιηθούν εργαλεία, όπως τα εικονικά περιβάλλοντα Cyber Ranges τα οποία παρέχουν όλα τα απαραίτητα για τον έλεγχο και αξιολόγηση της ασφάλειας πληροφοριακών συστημάτων και για την προσομοίωση διαφόρων επιθέσεων. Ταυτόχρονα, πρέπει όλα τα πληροφοριακά συστήματα των κρατικών υπηρεσιών μας να εφαρμόζουν και να επιβάλλουν όλα τα βασικά μέτρα ασφάλειας. Ένα βασικό μέτρο περιλαμβάνει την περιοδική ανανέωση των κωδικών πρόσβασης των χρηστών ακολουθώντας βέλτιστες πρακτικές για ασφαλείς κωδικούς πρόσβασης. Τέλος θα πρέπει να αναπτυχθούν τα ανάλογα Σύστηματα Διαχείρισης Ασφάλειας Πληροφοριών (Information Security Management System - ISMS). To ISMS είναι μια συστηματική προσέγγιση για τη διαχείριση ευαίσθητων πληροφοριών ώστε να παραμένουν ασφαλείς. Ένα ISMS συνήθως περιλαμβάνει αξιολόγηση κινδύνων, ανάπτυξη πολιτικών, εκπαίδευση και συνεχή παρακολούθηση για να διασφαλίσει ότι οι πληροφορίες του οργανισμού προστατεύονται επαρκώς από πιθανούς κινδύνους.
