Απροετοίμαστοι για την κυβερνοεποχή
Απαραίτητη η εγκαθίδρυση από την Κυβέρνηση μιας Αρχής, η οποία θα χαράξει το πλαίσιο μιας εθνικής πολιτικής στον τομέα της ασφάλειας πληροφοριών, τονίζει σε συνέντευξή του στη «Σ» ο Ισραηλινός ειδικός Ζόρι Κορ
Σάββατο 04 Φεβ 2017
Για το θέμα αυτό αλλά και για μια σειρά άλλα ζητήματα που σχετίζονται με κυβερνοεπιθέσεις, την τρομοκρατία, τους χάκερ και τους ακτιβιστές διαδικτύου, η «Σημερινή» είχε την ευκαιρία να συνομιλήσει με τον κ. Ζόρι Κορ, ο οποίες υπηρέτησε για 25 χρόνια την Ισραηλινή Υπηρεσία Ασφαλείας (ISA), υπήρξε παράλληλα πρώην επικεφαλής του Τμήματος Τεχνολογίας στην Εθνική Αρχή Ασφαλείας Πληροφοριών στο Ισραήλ και τώρα εργάζεται ως στρατηγικός σύμβουλος στην εταιρία ASERO.
Ο κ. Ζορ βρέθηκε την Πέμπτη στο νησί μας, προκειμένου να παραστεί σε εκδήλωση που διοργάνωσε το ΚΕΒΕ σε συνεργασία με το Ινστιτούτο Νευροεπιστήμης και Τεχνολογίας Κύπρου, με θέμα την ασφάλεια πληροφοριών σε επιχειρήσεις.
Κύριε Ζορ, προέρχεστε από μια χώρα η οποία έχει μια διαχρονική κουλτούρα ασφάλειας. Με τις μέχρι τώρα επισκέψεις σας στην Κύπρο, διαβλέπετε κάτι ανάλογο;
Πιστεύω πως στην Κύπρο είστε πολύ χαλαροί. Ο κόσμος εδώ πιστεύει ότι απλά ζει σε ένα νησί και κανείς δεν θέλει να του επιτεθεί. Όταν όμως μιλάμε σήμερα για τα θέματα ασφάλειας, κάτι τέτοιο δεν ισχύει. Πιστεύω πως η Κύπρος θα πρέπει να κάνει περισσότερα, ούτως ώστε να είναι καλύτερα προετοιμασμένη στις προκλήσεις της νέας εποχής.
Βλέπουμε σε άλλες χώρες να γίνονται τρομακτικά πράγματα από τρομοκρατικές οργανώσεις, όπως το «Ισλαμικό Κράτος» και η Αλ Κάιντα. Αυτά τα πράγματα μπορούν να λάβουν χώρα και στην Κύπρο. Βλέπουμε συνεχώς όλο και περισσότερες τρομοκρατικές επιθέσεις, βλέπουμε όλο και περισσότερες κυβερνοεπιθέσεις, επομένως και η Κύπρος μπορεί να μετατραπεί σε στόχο αυτών των τρομοκρατικών ενεργειών.
Κύπρος και Ισραήλ έχουν τα τελευταία χρόνια εμβαθύνει τις σχέσεις τους σε τομείς όπως το εμπόριο, ο τουρισμός και ασφαλώς η ενέργεια. Η αναβάθμιση των σχέσεων αυτών και σε στρατηγικό επίπεδο έχει ως προαπαιτούμενο και την απαραίτητη καλλιέργεια κουλτούρα ασφάλειας εδώ;
Η κοινή αντίληψη περί απειλής είναι σημαντική, προκειμένου να προχωρήσουμε. Κατά την αντίληψή μου, οι σχέσεις Κύπρου-Ισραήλ είναι αρκετά καλές και δυνατές, και υπάρχουν ήδη συζητήσεις για τα θέματα ασφάλειας μεταξύ των δυο χωρών. Αυτό θα βοηθήσει πολύ την Κύπρο για να είναι καλύτερα προετοιμασμένη στον τομέα του ΙΤ (Information technology) και των κυβερνoενεργειών που υπάρχουν σήμερα.
Εσείς, ποιος πιστεύετε, δηλαδή, πως πρέπει να είναι ο ρόλος της Κυβέρνησης αναφορικά με τον κυβερνοχώρο;
Σε πρώτο επίπεδο, η Κυβέρνηση θα πρέπει να εγκαθιδρύσει μια Αρχή η οποία θα καταγράψει και θα χαράξει την εθνική πολιτική στον τομέα της ασφάλειας πληροφοριών. Σε αυτή συμπεριλαμβάνονται φυσικά οι ψηφιακές πληροφορίες που όλοι σήμερα χρησιμοποιούμε. Έχω την εντύπωση πως γίνονται κινήσεις προς αυτή την κατεύθυνση και εδώ, δεν γνωρίζω όμως κατά πόσο υπάρχει ειδική υπηρεσία, που ασχολείται με τον κυβερνοπόλεμο.
Θα συνιστούσα την ίδρυση ενός τέτοιου φορέα, ο οποίος θα λειτουργεί ως βραχίονας της Κυβέρνησης και θα είναι αφοσιωμένος σε θέματα κυβερνοασφάλειας. Όλοι οι επιμέρους φορείς (ενέργειας, ύδρευσης, τηλεπικοινωνιών, υγείας, τραπεζικός) θα πρέπει να είναι ευθυγραμμισμένοι με αυτόν, ούτως ώστε να υπάρχει ένα κοινό εθνικό μέτωπο.
Δεδομένου ότι σήμερα ο κόσμος δείχνει διατεθειμένος να μοιραστεί περισσότερο όγκο πληροφοριών, μέσω κυρίως των κοινωνικών δικτύων (Facebook, Instagram, Twitter), πώς μπορεί να επιτευχθεί ένα επίπεδο ισορροπίας μεταξύ προστασίας των προσωπικών δεδομένων και της ασφάλειας;
Αρχικά θα πρέπει να κατανοήσουμε πως ο κάθε άνθρωπος σήμερα είναι υπεύθυνος για τα προσωπικά του δεδομένα. Αν κάποιος δεν ενδιαφέρεται για την ιδιωτική του ζωή και μοιράζεται όλα όσα κάνει ή έχει προγραμματίσει να κάνει, όσα του αρέσουν ή δεν του αρέσουν στα μέσα κοινωνικής δικτύωσης, δεν μπορεί να περιμένει από την Κυβέρνηση να προστατέψει αυτή τα προσωπικά του δεδομένα.
Συνεπώς, η ασφάλεια προσωπικών δεδομένων είναι κάτι που ο καθένας θα πρέπει να φροντίσει να διαχειρίζεται από μόνος του. Δεν πρέπει να ξεχνούμε ότι σήμερα υπάρχει μια διαμάχη, από τη μια της Κυβέρνησης που θέλει να μας προστατέψει και, από την άλλη, των κακών τύπων, των χάκερ, που θέλουν να σε υποκλέψουν. Για τους δεύτερους δεν υπάρχουν ούτε νόμοι ούτε περιορισμοί. Μπορούν να κάνουν ό,τι θέλουν, όποτε θέλουν, αφού είναι πολύ ευέλικτοι και γρήγοροι.
Αν εμείς απωθούμε την Κυβέρνηση και λέμε ότι δεν θα της επιτρέψουμε την πρόσβαση στα δεδομένα μας και καθυστερούμε την ψήφιση νόμων σε αυτόν τον τομέα, σημαίνει πως οι κακοί (the bad guys) θα είναι ένα βήμα μπροστά μας.
Επομένως, αν θέλουμε να είμαστε καλύτερα θωρακισμένοι στον κυβερνοχώρο, προτείνω όπως τα προσωπικά δεδομένα να περιοριστούν όσο το δυνατό στο ελάχιστο. Προσωπικά πιστεύω πως, δυστυχώς, η εποχή των προσωπικών δεδομένων έχει τελειώσει.
Τι γίνεται όμως στην περίπτωση που η ίδια η Κυβέρνηση μετατρέπεται στους «κακούς τύπους». Έχουμε δυστυχώς παραδείγματα από την ιστορία, κατά τα οποία ηγέτες που έχουν εκλεγεί δημοκρατικά να μετατρέπονται στη συνέχεια σε δικτάτορες. Όταν λοιπόν μια τέτοια δικτατορική κυβέρνηση έχει στην κατοχή της τόσα προσωπικά δεδομένα, θα μπορεί να κάνει μια επικίνδυνη χρήση, έτσι δεν είναι;
Όντως αυτό είναι μια πρόκληση. Δεν έχουμε λύσεις για τα πάντα. Αλλά θα ήθελα να δω αυτούς που ανεμίζουν τη σημαία των προσωπικών δεδομένων να το εφαρμόζουν αυτό και τα κοινωνικά δίκτυα. Η δική μου εντύπωση είναι πως οι άνθρωποι είναι διατεθειμένοι να μοιραστούν τα πάντα στο διαδίκτυο, αλλά την ίδια ώρα ζητούν από την Κυβέρνηση να μην ανακατεύεται στα προσωπικά τους δεδομένα. Αυτά τα δυο δεν συμβαδίζουν.
Είναι πλέον ορατός ο κίνδυνος «στρατιωτικοποίησης» του διαδικτύου;
Θα πω κάτι απλό αλλά βαθύ. Στα τριάντα χρόνια εμπειρίας μας στην τεχνολογία διαδικτύου, αν και έχουμε εξελίξει τα μέτρα ασφαλείας, εντούτοις κατά βάση έχουμε ακόμη αρκετές κυβερνοεπιθέσεις. Σχεδόν σε κάθε σύρραξη σήμερα ανά τον κόσμο, στρατιωτική, πολιτική ή οικονομική, βλέπουμε πως το διαδίκτυο είναι ένας τομέας τον οποίο ο κόσμος χρησιμοποιεί και συνεχίζουμε να βλέπουμε αυξανόμενες τάσεις στις κυβερνοεπιθέσεις. Επομένως, αυτό που χρειαζόμαστε είναι να πάμε σε ένα εντελώς διαφορετικό παράδειγμα. Πρέπει να αντιμετωπίσουμε όχι μόνο τα ζητήματα ασφάλειας, αλλά και της διαχείρισης και ανάκαμψης. Θα πρέπει να βρούμε λύσεις για να αντεπεξέλθουμε σε διαφορετικούς κινδύνους, αλλά να δρούμε ταυτόχρονα σε διαφορετικά μέτωπα. Επιπλέον, είναι σημαντικό να βρούμε λύσεις που να είναι μη παρεμβατικές, εύκολα εφαρμόσιμες και λειτουργικές.
Υπάρχει δηλαδή τρόπος να προβλέψουμε, αντί απλά να διαχειριζόμαστε τις συνέπειες των τρομοκρατικών επιθέσεων; Είναι διαθέσιμα πλέον τα εργαλεία αυτά που μας επιτρέπουν να αναλύουμε με ακρίβεια ανοιχτές πληροφορίες και να προβλέπουμε τυχόν επόμενες κακόβουλες ενέργειες;
Πιστεύω πως η πρόβλεψη είναι πλέον εφικτή. Σίγουρα είναι δυνατό να εντοπίσουμε ύποπτα σημάδια πριν από την εκτέλεση μιας επίθεσης. Για να το πετύχουμε, πρέπει να εξοικειωθούμε με την τάση των κινήσεων στο διαδίκτυο. Όσο πιο γρήγορα καταφέρουμε να εντοπίσουμε μια παράξενη κίνηση τόσο πιο γρήγορα θα καταφέρουμε να ανταποκριθούμε. Αν δεν συμβεί αυτό και οι κακοί τύποι εισβάλουν, τότε αρχίζεις από μειονεκτικότερη θέση.
Ποια η άποψή σας για τους ακτιβιστές διαδικτύου (hacktivists);
Αυτό είναι ένα περίπλοκο ζήτημα και ένα εξαιρετικό παράδειγμα είναι οι Anonymous. Από τη μια είναι όντως ενοχλητικό να ξέρεις ότι κάποιος θα εξαπολύσει μια διαδικτυακή επιχείρηση εναντίον της ιστοσελίδας σου, αλλά θα πρέπει να έχουμε υπ' όψιν μας ότι συνήθως οι ακτιβιστές διαδικτύου δεν επιτίθενται σε ζωτικής σημασίας υποδομές. Χτυπούν ιστοσελίδες υπηρεσιών, χωρίς τις οποίες μπορούμε να ζήσουμε και για μια μέρα. Είναι ένα φαινόμενο που βλέπουμε και θα συνεχίσουμε να βλέπουμε. Επαναλαμβάνω, είναι ενοχλητικό, αλλά δεν είναι και το τέλος του κόσμου.
Πώς θα μπορούσαμε θα προστατέψουμε τις υποδομές ζωτικής σημασίας από τις κυβερνοεπιθέσεις;
Αρχικά θα πρότεινα όπως η Κυβέρνηση βρει τα κριτήρια και τις παραμέτρους, οι οποίες καθιστούν μια υποδομή όντως ζωτικής σημασίας. Δεν είναι όλα σημαντικά. Αν π.χ σε ένα κράτος έχεις δυο ή τρεις παροχείς υπηρεσιών τηλεπικοινωνίας, θα πρέπει να κοιτάξουμε και να καθορίσουμε ποια από αυτές είναι όντως ζωτικής σημασίας. Δεν έχουν όλες το ίδιο μερίδιο στην αγορά, τον ίδιο αριθμό χρηστών και δεν χρησιμοποιούνται όλες από τις υπηρεσίες ασφαλείας. Σε δεύτερο επίπεδο, θα πρέπει σε κάθε υποδομή ζωτικής σημασίας να καθορίσουμε και ποια συγκεκριμένα είναι τα επιμέρους ζωτικά του συστατικά, πχ το λειτουργικό του κομμάτι, και να το προστατέψουμε. Έτσι εξοικονομούμε χρήμα και χρόνο σε πραγματικά κρίσιμα σημεία.
Πρέπει το νομικό σύστημα και οι νομοθεσίες να προσαρμοστούν στις νέες ανάγκες της τεχνολογίες και τη ραγδαία εξέλιξη του διαδικτύου;
Τεράστια πρόκληση, αλλά αυτή είναι η πραγματικότητα και εκεί μας οδηγεί η ζωή. Ακόμη και αυτή τη στιγμή που μιλούμε με ηχογραφείς, δεν γράφεις και αργότερα θα το ακούσεις στο γραφείο σου, προφανώς μέσω του υπολογιστή. Επομένως, η πραγματικότητα μας οδηγεί στην ψηφιοποίηση και στο διαδίκτυο. Πρέπει να προσαρμοστούμε, όπως γίνεται και με τη φύση.
Τον Νοέμβριο, όταν βρέθηκα στο Ισραήλ για το 4ο Διεθνές Συνέδριο Κυβερνοασφάλειας και Εσωτερικής Ασφάλειας (Homeland Security), ακούστηκε η ιδέα δημιουργίας μιας παγκόσμιας δύναμης-αστυνομίας- διαδικτύου. Ποια η άποψή σας;
Υπάρχει η ανάγκη, αλλά αυτό δεν θα συμβεί εξαιτίας πολιτών, ανησυχιών και διλημμάτων. Όταν φτάνουμε στο σημείο συνεργασίας σε επίπεδο διαδικτύου, τα κράτη είναι συγκρατημένα. Μπορεί π.χ. Κύπρος και Ισραήλ να έχουν καλές σχέσεις, αλλά αυτό δεν συμβαίνει μεταξύ όλων των κρατών.
Πέστε μου καταληκτικά λίγα λόγια για τη σημασία της εκπαίδευσης στον τομέα της ασφάλειας διαδικτύου.
Αν έχεις οποιονδήποτε οργανισμό ή επιχείρηση και θέλεις να τον πάρεις ένα βήμα μπροστά, προς μια πιο ασφαλή και προστατευμένη θέση, ο πιο αποτελεσματικός τρόπος είναι μέσω της εκπαίδευσης και της εξάσκησης. Η εκπαίδευση είναι ένας σχετικά φτηνός τρόπος, αφού το μόνο που χρειάζεται είναι να βάλεις το προσωπικό σε ένα δωμάτιο, να του μιλήσεις και να του εξηγήσεις ποιοι είναι οι κίνδυνοι του τομέα.
Με αυτόν τον τρόπο αυξάνεις το επίπεδο ασφάλειας της εταιρείας ή υπηρεσίας γρήγορα και φτηνά. Αυτοί επίσης που κατέχουν ανώτερες θέσεις στον κάθε φορέα, πρέπει να περάσουν μέσω μιας διαδικασίας εξάσκησης και εκπαίδευσης, έτσι ώστε όταν έρθει η κρίσιμη μέρα, να ξέρουν πώς να αντιδράσουν άμεσα.
