Τρύπια ασπίδα ασφάλειας και τα «ζόμπι» του κυβερνοχώρου

Η ΕΕ ανησυχεί για την αποτελεσματικότητα της ασφάλειας του συστήματος της Κυπριακής Δημοκρατίας στον κυβερνοχώρο. Οι ανησυχίες αυτές, που έχουν διαβιβαστεί στη Λευκωσία με τη μορφή μιας κίτρινης κάρτας ενόψει της κυπριακής Προεδρίας, εντοπίζονται σε πρακτικά προβλήματα λειτουργίας στον δημόσιο, αλλά και στον ιδιωτικό τομέα. Βασικό γεγονός αποτελεί ότι, το τελευταίο δίμηνο, η Κυπριακή Δημοκρατία και δη το Δημόσιο βρίσκονται κάτω από κυβερνοεπιθέσεις, προερχόμενες από «τρίτη χώρα». Απειλές εκτοξεύονται και από άλλες ομάδες χάκερ.

Υπουργεία Εξωτερικών και Άμυνας

Οι επιθέσεις αυτές απειλούν να πλήξουν ή πλήττουν υπουργεία με τελευταίο, προ ολίγων ημερών, θύμα το Υπουργείο Εξωτερικών. Συστάσεις για κυκλοφορία κακόφημων λογισμικών έχουν δοθεί στη Βουλή και σε άλλες Υπηρεσίες. Δεν είναι η πρώτη φορά που δέχεται επίθεση το Υπουργείο Εξωτερικών. Ούτε θα είναι προφανώς η τελευταία. Σημειώνουμε ότι, μετά την απώλεια της εξουσίας από τον μ. Δημήτρη Χριστόφια και έλεγχο, που είχε γίνει από την ΚΥΠ με την ανάληψη των καθηκόντων του Ν. Αναστασιάδη, διαπιστώθηκε ότι, το εν λόγω Υπουργείο, όπως και άλλα, ήταν διάτρητα και εκτεθειμένα ακόμη και στους Τούρκους. Εκτός από το Υπουργείο Εξωτερικών, το 2022 είχε διενεργηθεί κυβερνοεπίθεση σε βάρος του Υπουργείου Άμυνας, με σκοπό την υποκλοπή πληροφοριών. Προβλήματα ασφάλειας αντιμετώπιζαν και αντιμετωπίζουν και άλλες υπηρεσίες και υποδομές τους κράτους, ακόμη και αυτή η Αστυνομία.

Το ευάλωτο Δημόσιο

Το πρόβλημα είναι διαχρονικό και σοβαρό. Υπό αυτές τις συνθήκες εγείρεται ζήτημα αξιοπιστίας του συστήματος ασφάλειας των πληροφοριών, που αφορούν τόσο τους αρμόδιους θεσμούς, όπως το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Διακυβέρνησης, όσο και τον Επίτροπο Ρυθμίσεων Ηλεκτρονικών Επικοινωνιών. Στον δημόσιο τομέα υπάρχει μια αλυσίδα ελλειμματικής πολιτικής και δράσης, στην οποία, εκτός των άλλων, εμπίπτει και η διαδικασία προσφορών με τρόπον ώστε να εξυπηρετούνται συμφέροντα.

Το σκάνδαλο στο Βασιλικό και οι αξιωματούχοι

Προβλήματα διαπιστώνονται, για παράδειγμα, στο Υπουργείο Υγείας, αλλά και στη CYTA (ΑΤΗΚ), όπου, με βάση τη νομοθεσία και το πρόσχημα του απορρήτου και του δημόσιου συμφέροντος, τίθεται υπό αμφισβήτηση η διαφάνεια. Προκαλούνται σκιές. Δημιουργήθηκαν νομοθετικές και άλλες συνθήκες, ακόμη και για την απευθείας ανάθεση «έργων». Υπό αυτές τις συνθήκες εγείρονται ζητήματα διαφάνειας και αθέμιτου ανταγωνισμού. Πρόσθετα, υπάρχουν και αυτοί που χρησιμοποιούν τις επαφές τους με εταιρείες, για να οικοδομήσουν το μέλλον τους, όταν δηλαδή θα εγκαταλείψουν τις θέσεις τους. Η λογική είναι η εξής: Εάν μείνουν στις θέσεις τους κάνουν κουμάντο και δη με τις προσφορές και τις εταιρείες. Εάν φύγουν, ενεργούν εκ μέρους των εταιρειών με διάφορους τρόπους. Υπάρχουν παραδείγματα επί τούτου και δη στα θέματα της άμυνας. Ερώτημα: Δεν θα έπρεπε επί τούτων να διεξαχθεί έρευνα με την εμπλοκή της Επιτροπής Ελέγχου της Βουλής και του Προέδρου της Δημοκρατίας; Τονίζουμε ότι στο σκάνδαλο του Βασιλικού υπήρξε ελλιπής οικοδόμηση του συστήματος ασφάλειας. Ρωτήθηκε ή όχι η Εθνική Φρουρά και η Αστυνομία για ένα θέμα που τους αφορά; Ποιοι εμπλέκονται στην υπόθεση; Γνωρίζουν οι αρμόδιοι και δη ο Πρόεδρος τι συνέβη;

Ημερολόγιο επιθέσεων

Οι κυβερνοεπιθέσεις είναι συνεχείς. Υπάρχει μάλιστα κατάλογος από το 2023, ο οποίος επικεντρώνεται σε κάποιες από αυτές, που θεωρούνται σημαντικές και μάλιστα εντός μηνός Μαρτίου:

• 2/3/2023: Κυβερνοεπίθεση στα Πανεπιστήμια και στα Κολέγια. Ζητήθηκαν χρήματα και προέκυψε απώλεια στοιχείων και αρχειακού υλικού.
• 9/3/2023: Επίθεση στο Τμήμα Κτηματολογίου. Εδώ σημειώθηκαν τα εξής: Ζητήθηκαν χρήματα, διότι εκλάπησαν χάρτες που αφορούσαν στην ανάπτυξη περιοχών και είναι, εκτός των άλλων, σημαντικοί με το Real Estate. Τι συνέβη λοιπόν; Οι χάκερ ζητούσαν χρήματα από την Κυβέρνηση για να μη χαθούν τα στοιχεία, αλλά ήταν έτοιμοι να πωλήσουν και σε Real Estate. Κάποια στελέχη τέτοιων εταιρειών, αντί να στραφούν προς τους χάκερ, στράφηκαν προς εταιρείες ή άλλους χάκερ για να υποκλέψουν τα σημαντικά «φιλέτα» από τους αρχικούς «διαρρήκτες του διαδικτύου».
• 27/3/2023: Επίθεση στο Ανοικτό Πανεπιστήμιο Κύπρου, που προκάλεσε διακοπή των διαδικτυακών προγραμμάτων για βδομάδες.

Τον Οκτώβριο του 2024 υπήρξαν μαζικές επιθέσεις. Πιο συγκεκριμένα, από τις 17 έως τις 22 Οκτωβρίου διενεργήθηκαν κατ’ ελάχιστον 6 συντονισμένες επιθέσεις - κυρίως με τη μέθοδο DDoS - σε βάρος της Hermes Airports, της Τράπεζας Κύπρου, της ΑΗΚ, της ΑΤΗΚ (Cyta), της EKO κ.λπ. Το 2024 το 49% των πολιτών υπέστησαν κατά μέσο όρο 28.5 επιθέσεις, και το 47% των επιχειρήσεων ήταν θύματα κυβερνοεπιθέσεων. Το 2024 είχαν γίνει κυβερνοεπιθέσεις σε ιδιωτικές εταιρείες και Κολέγια, με αποτέλεσμα να σημειωθεί απώλεια αρχείων και άλλου υλικού, αφού οι ιδιοκτήτες δεν υπέκυψαν στους χρηματικούς εκβιασμούς των χάκερ.

Στρατοί των Χάκερ

Οι επιθέσεις αυτές διενεργήθηκαν, κυρίως, από τη LulzSec Black, «Moroccan Soldiers». Παρακλάδι της Ομάδας αυτής είναι η Ομάδα LulzSec χακτιβιστών/DDoS, η οποία έχει πλούσια δράση και θεωρείται υπεύθυνη για τις επιθέσεις σε FBI, Sony, CIA. Η LulzSec Black είχε διακόψει από το 2011 τη δράση και δραστηριοποιήθηκε εκ νέου το 2023–2024 με επιθέσεις σε βάρος της Ελλάδας, της Κύπρου, και του Ισραήλ, εκφράζοντας φιλοπαλαιστινιακές θέσεις. Για επεξηγηματικούς σκοπούς αναφέρουμε ότι: Α) Η DDoS (Distributed Denial of Service - Κατανεμημένη Επίθεση Άρνησης Παροχής Υπηρεσιών) είναι ένας τύπος επίθεσης κατά την οποία πολλοί υπολογιστές (συχνά «ζόμπι» σε botnets) στέλνουν μαζικά αιτήματα σε έναν server, με σκοπό να τον υπερφορτώσουν και με τον τρόπο αυτό να μπλοκάρουν την πρόσβαση των πραγματικών χρηστών ρίχνοντας σελίδες ή δίκτυα. Ακόμη και αν δεν έχουν ως στόχο τη διαρροή δεδομένων, παραλύουν υποδομές, όπως είναι κυβερνητικές πύλες, αεροδρόμια ή τραπεζικά συστήματα. Το «ζόμπι botnet» (ρομπότ του διαδικτύου) είναι η περίπτωση κατά την οποία μια συσκευή έχει μολυνθεί από κακόβουλο λογισμικό και ελέγχεται από τον εισβολέα (botmaster το αφεντικό του ρομπότ), ο οποίος μπορεί να συντονίζει μαζικές επιθέσεις μέσω τρίτου. Εκ των πραγμάτων, το «ζόμπι» λαμβάνει μέρος σε DDoS επιθέσεις, στέλνει spam emails από το όνομα του πραγματικού χρήστη, καταγράφει πληκτρολογήσεις, χρησιμοποιείται για μετάδοση μηνυμάτων σε άλλους από τον χρήστη χωρίς αυτός να το γνωρίζει και διενεργεί «κρυπτονομισματική εξόρυξη» (cryptomining). Από την άλλη, οι Hacktivists (Hacker συν Activism) διενεργούν κυβερνοεπιθέσεις για ιδεολογικούς, πολιτικούς και κοινωνικούς λόγους, πλήττοντας κρατικές υποδομές, εταιρείες και ΜΜΕ.

Νομοθεσία της ΕΕ και Υπηρεσίες

Το 2025, εκτός των συνεχών κυβερνοεπιθέσεων που υπέστη το Δημόσιο το τελευταίο δίμηνο, κατά τον μήνα Μάιο διαπιστώθηκαν απειλές για επιθέσεις DDoS από οργανώσεις όπως η “Tunisian Maskers Cyber Force”. Οι απειλές αυτές καθώς και άλλες στοχεύουν τις δημόσιες υποδομές. Το ερώτημα είναι κατά πόσον μπορεί να βελτιωθεί ή όχι η υφιστάμενη κατάσταση και σε ποιο βαθμό ενόψει και της Προεδρίας της Κύπρου στην ΕΕ, το 2026. Ήδη, κατά το τρέχον έτος η Κυπριακή Δημοκρατία εναρμονίστηκε με την “Οδηγία (της ΕΕ) 2022/2555 on measures for a high common level of cybersecurity across the Union”. Επί τη βάσει της εν λόγω Οδηγίας θα έπρεπε να είχε τεθεί σε ισχύ από τον Οκτώβριο του 2024 σχετική νομοθεσία. Λόγω μάλιστα της καθυστέρησης αυτής, η Κυπριακή Δημοκρατία είχε δεχθεί παρατηρήσεις και συστάσεις ως οιονεί κίτρινης κάρτας. Ο νέος νόμος περί Ασφάλειας Δικτύων και Πληροφοριών:

1. Ενισχύει τον ρόλο της εθνικής ομάδας αντιμετώπισης περιστατικών.
2. Καθορίζει τους “ουσιώδεις” και “σημαντικούς φορείς” που υποχρεούνται να συμμορφώνονται με τη νομοθεσία. Ως ουσιώδεις φορείς αναφέρονται, αυτοί της ενέργειας (ΑΗΚ), των τηλεπικοινωνιών (CYTA), των τραπεζών και των ασφαλιστικών, της υγείας, δηλαδή των νοσοκομειακών μονάδων, καθώς και των δημόσιων υπηρεσιών, όπως τα Υπουργεία και οι Δήμοι. Ως σημαντικοί φορείς χαρακτηρίζονται τα Πανεπιστήμια, οι εταιρείες πληροφορικής και οι διαχειριστές δεδομένων.
3. Θεσμοθετεί τις υποχρεώσεις Οργανισμών για τον τρόπο διαχείρισης κρίσεων ώστε να υπάρχει ετοιμότητα αντιμετώπισης απειλών.
4. Προνοεί πρόστιμα έως 10 εκ. ευρώ ή 2% επί του κύκλου εργασιών, εφόσον δεν υπάρχει συμμόρφωση.

Βελτίωση και φιλικές υπηρεσίες

Όπως συνήθως συμβαίνει, οι νομοθεσίες για να έχουν νόημα θα πρέπει να συνοδεύονται από πρακτικές δράσεις και μακράν της διαφθοράς. Και αυτό σημαίνει αξιοπιστία σε θεσμούς και στα πρόσωπα, που τους κατέχουν, για να γίνεται ορθή επιλογή μέσων και προσώπων για να είναι δυνατή η αύξηση των δεικτών αξιοπιστίας στον τομέα της κυβερνοασφάλειας. Το σημαντικό, δε, είναι να γίνουν τα βήματα βελτίωσης το ταχύτερο για να μη βρεθούμε ενώπιον εκπλήξεων, με άλλα λόγια αιφνιδιασμών, κατά την διάρκεια της Προεδρίας της Κύπρου στην ΕΕ. Εκτός και αν κατά τρόπο αθέατο, αυτήν την ασφάλεια αναλάβουν άλλες «φιλικές ομάδες υπηρεσιών», που σημαίνει πρόσβαση παντού…