Οι δυσκολίες του κυβερνοχώρου και η ανάγκη για νέες πολιτικές ασφαλείας

Οι δυσκολίες του κυβερνοχώρου και η ανάγκη για νέες πολιτικές ασφαλείας
gorodenkoff via Getty Images

Η αναφορά στα Μέσα Μαζικής Ενημέρωσης σχετικά με κυβερνοεπιθέσεις δεν ήταν ποτέ μεγαλύτερη απ’ ότι είναι σήμερα, καθώς οι τεχνικές του κυβερνοχώρου είναι ένας νέος χώρος άσκησης εθνικής εξουσίας. Εάν το ίντερνετ είχε προβλεφθεί σε έναν κατά πολύ λιγότερο επικίνδυνο κόσμο – ή και ένα παράλληλο σύμπαν -, όπου όλα τα έθνη θα διακρίνονταν για τη δημοκρατική τους διακυβέρνηση, Ρωσία, Κίνα και ΗΠΑ θα μπορούσαν να είναι συνέταιροι και φίλοι. Κάτι τέτοιο όμως δεν ισχύει με τις παρούσες συνθήκες και παρά τις προσπάθειες βελτίωσης που γίνονται για την κυβερνοασφάλεια, η παγκόσμια διαδικτυακή διαμάχη εντείνεται. Ο κυβερνοχώρος είναι το νέο γήπεδο διαμάχης και δεν έχει ακόμα χαρτογραφηθεί επαρκώς.

Ο κυβερνοχώρος, πέρα από την ασφάλεια, κατοπτρίζει τόσο τις αδυναμίες όσο και τις ατελείς τεχνολογίες, από τις οποίες προκύπτουν δύο ερωτήματα. Πρώτον, το κατά πόσο απέχουμε από ένα Pearl Harbor στον κυβερνοχώρο ή αντίστοιχα μια νέα 11η Σεπτεμβρίου, παρά τις συνεχείς προειδοποιήσεις. Δεύτερον, γιατί παρά τις συνεχώς αυξανόμενες συστάσεις έχουν γίνει ελάχιστες βελτιώσεις. Θα έλεγε κανείς πως η απάντηση βρίσκεται στην έννοια της ασφάλειας του κυβερνοχώρου, η οποία ουσιαστικά κατασκευάστηκε βάσει των προσδοκιών για τη διακυβέρνηση και τη διεθνή ασφάλεια.

Ο όρος «κυβερνοχώρος» διαδέχτηκε τον όρο του «ίντερνετ» που μεσουρανούσε τη δεκαετία του 1990, προκειμένου να περιγράψει με μεγαλύτερη ακρίβεια το ευρύ φάσμα των παγκόσμιων οικονομικών, πολιτικών και στρατιωτικών δραστηριοτήτων που μεταβάλλονται από την επανάσταση της ψηφιακής τεχνολογίας. Συνεπώς, εάν η φύση της κυβερνοασφάλειας πάσχει, το ίδιο συμβαίνει και με την άμυνα. Η πολιτική και οι αντιλήψεις περί ασφάλειας του κυβερνοχώρου καθορίζονται από εξωγενείς παράγοντες αυτού. Για παράδειγμα, οι πολιτικές τάσεις επηρεάζουν τις σχέσεις μεταξύ των κρατών υπό τη σκέψη του ρόλου της εκάστοτε κυβέρνησης και από τη πολιτική στάση απέναντι στην απειλή.

Η διασαφήνιση και ο ορισμός της επίθεσης είναι αυτά που θα μας οδηγήσουν στη σωστή προσέγγιση του προβλήματος της ασφάλειας του κυβερνοχώρου. Θα μπορούσαμε λοιπόν, σε πρώτο επίπεδο, να ορίσουμε ως απειλή τις πράξεις που χρησιμοποιούν τις τεχνικές ή τα εργαλεία του κυβερνοχώρου μέσω βίας ή εξαναγκασμού για την επίτευξη πολιτικών αποτελεσμάτων. Σε δεύτερο επίπεδο θα μπορούσαμε να πούμε πως οι επιθέσεις δεν είναι ούτε τυχαίες αλλά ούτε και μη προβλέψιμες, καθώς αντανακλούν εθνικές πολιτικές.

Χιλιάδες είναι τα περιστατικά κυβερνοεγκλήματος και κυβερνοκατασκοπείας, αλλά ελάχιστες πραγματικές επιθέσεις, όπου η πρόθεση δεν ήταν η απόσπαση και απόκτηση πληροφοριών ή χρημάτων αλλά η διατάραξη και η καταστροφή. Από αυτά τα περιστατικά είναι που μας δίνεται μια περισσότερο ακριβής εικόνα του κινδύνου.

Δεδομένης της μη ύπαρξης συνόρων του κυβερνοχώρου διακρίνονται τρία σημαντικά σημεία. Πρώτον, κρατικοί ή μη δρώντες έχουν ίσες δυνατότητες επίθεσης, αν και τα κράτη είναι οι μοναδικοί δρώντες που δύνανται να φέρουν εις πέρας καταστροφικές κυβερνοεπιθέσεις. Δεύτερον, ο μεγαλύτερος κίνδυνος που υπάρχει είναι η επίθεση σε κρίσιμες υποδομές από τρομοκράτες ή εχθρικά κράτη. Τρίτον, η ιδιοτέλεια είναι αυτή που θα οδηγήσει σε ενίσχυση και βελτίωση της κυβερνοασφάλειας.

Μερικά από τα πιο γνωστά περιστατικά κυβερνοεπίθεσης είναι τα ακόλουθα:

  1. Κυβερνοεπίθεση ενάντια στον πυρηνικό σταθμό του Ιράν (Stuxnet).

  2. Οι πράξεις του Ιράν ενάντια στην Aramco και σε ισχυρές αμερικάνικες τράπεζες.

  3. Η κυβερνοεπίθεση της Βορείου Κορέας στη Sony και σε τράπεζες και τηλεοπτικά δίκτυα της Νοτίου Κορέας.

  4. Οι επιθέσεις της Ρωσίας σε Εσθονία, στο γαλλικό τηλεοπτικό δίκτυο Canal 5 και στις Προεδρικές Εκλογές των ΗΠΑ το 2016.

Αυτές οι επιθέσεις δεν ήταν τυχαίες, καθώς αποτελούν μέρος μιας ευρύτερης γεωπολιτικής σύγκρουσης που αφορούσαν το Ιράν, την Ουκρανία, την Κορέα ή τον ανταγωνισμό της Ρωσίας με τις ΗΠΑ και το ΝΑΤΟ.

Στον απόηχο αυτών, αλλά και άλλων περιστατικών, η απογοήτευση για τον αργό ρυθμό προσπαθειών βελτίωσης της κυβερνοασφάλειας είναι αυξανόμενη και συγχρόνως εντείνεται η ανησυχία πως ένα πραγματικά επιβλαβές περιστατικό είναι αναπόφευκτο εάν δεν αλλάξει το υφιστάμενο status quo.

Πρέπει να επικεντρωθούμε σε πολιτικές και τεχνολογίες που μπορούν να έχουν προβάδισμα σε σχέση με τον όποιο θέλει να πραγματοποιήσει μια επίθεση μέσω της εξέτασης πολιτικών, όπως είναι ένα νομικό πλαίσιο το οποίο θα προάγει και θα δίνει τις κατευθυντήριες γραμμές για μια ενεργή πολιτική κυβερνοασφάλειας.

Οι ΗΠΑ έχουν από καιρό θεσπίσει ένα τέτοιο νομικό πλαίσιο. Η Ευρώπη βλέποντας πως πλέον αποτελεί επιτακτική ανάγκη η θέσπιση ενός τέτοιου πλαισίου προέβη στη δημιουργία του ενιαίου Κανονισμού Προστασίας Προσωπικών Δεδομένων, με ημερομηνία έναρξης ισχύος την 25η Μαΐου 2018.

Η Ελλάδα μέσω του Υπουργείου Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης προέβη στην δημιουργία Εθνικής Ψηφιακής Στρατηγικής 2016-2021, διακρίνοντας την ανάγκη για προστασία των χρηστών ψηφιακών υπηρεσιών, μιας και η αυξανόμενη εξάρτηση της κοινωνίας στα συστήματα επικοινωνιών και πληροφορικής συνιστά μείζον θέμα ασφάλειά της.

Η θεσμική θωράκιση του εθνικού πλαισίου κυβερνοασφάλειας αποτελεί βασικό άξονα στήριξης της εθνικής οικονομίας. Οι φορείς που θα συμμετέχουν ενισχύουν την ετοιμότητα και την ικανότητα αντιμετώπισης περιστατικών ασφάλειας. Επίσης, η συμμετοχή του ιδιωτικού τομέα, όπου καλείται να ανταλλάσει πληροφορίες που αφορούν στα συστήματα επικοινωνιών και πληροφορικής, λειτουργεί επικουρικά για την μέγιστη δυνατή πρόβλεψη και ανάλυση των απειλών που σχετίζονται με την κυβερνοασφάλεια της χώρας. Τα πλεονεκτήματα που θα προκύψουν από τη συνεργασία ιδιωτικού και δημόσιου τομέα θα είναι πολλαπλασιαστικά για το κράτος, τους πολίτες αλλά και τις ίδιες τις επιχειρήσεις.

Για την αποφυγή και διαχείριση του κινδύνου κλιμάκωσης των περιστατικών αυτών, είναι καλό να δημιουργηθούν κοινές προσεγγίσεις όχι μόνο με τις επιχειρήσεις που δραστηριοποιούνται εντός του κράτους αλλά και με συμμαχικά κράτη, αξιοποιώντας την εμπειρία κρατών στην αντιμετώπιση της διάδοσης κακόβουλων λογισμικών τόσο στη μαύρη αγορά του εγκλήματος του κυβερνοχώρου όσο και στο dark web. Η αντικειμενική εκτίμηση του κινδύνου και η πρόθεση αντιμετώπισής του είναι τα πρώτα και βασικά βήματα δημιουργίας καλύτερης ασφάλειας.

Δημοφιλή