Με πρωτόγονα «όπλα» η κυβερνοασφάλεια της χώρας

190

Tις ιστοσελίδες, μεταξύ άλλων, της ΕΥΠ και του υπουργείου Εξωτερικών «έριξαν» Τούρκοι χάκερ.

Επικοινωνιακές και κυρίως ψυχολογικές χαρακτηρίζονται οι επιπτώσεις από τον τελευταίο ελληνοτουρκικό «πόλεμο των χάκερ». Δεν είναι μικρό χτύπημα στο γόητρο της χώρας, σε μια κρίσιμη περίοδο για τις αμυντικές της επιδόσεις, να «πέφτουν» οι ιστοσελίδες της ΕΥΠ, του υπουργείου Εξωτερικών ακόμη και του πρωθυπουργού.

Οπως έγραψε η «Κ» την περασμένη Τετάρτη («Ο άγνωστος “πόλεμος” των χάκερ»), η επίθεση που δέχθηκαν οι ελληνικές ιστοσελίδες ήταν η πιο συνήθης ψηφιακή «παρενόχληση». Στόχο είχε να επιβάλει την άρνηση παροχής υπηρεσίας (Denial of Service) από το σύστημα που ελέγχει την ιστοσελίδα και η οποία είχε κατανεμημένα χαρακτηριστικά (Distributed DoS). Δεν ήταν ένας υπολογιστής που πραγματοποιούσε την επίθεση, αλλά παρά πολλοί που ήταν ελεγχόμενοι («ζόμπι») από τους ίδιους χάκερ. Οι «ζόμπι» υπολογιστές «υπερφόρτωσαν» τα συστήματα των ιστοσελίδων με πληθώρα αιτημάτων πρόσβασης, με αποτέλεσμα να μην μπορούν να εξυπηρετήσουν τα αιτήματα, είτε αυτά ήταν κακόβουλα, είτε όχι.

Κυβερνητικές πηγές αναφέρουν ότι η επίθεση εξελισσόταν για ημέρες και ο στόχος της για κάποιες –τουλάχιστον– ώρες επιτεύχθηκε, αφού οι κυβερνητικές ιστοσελίδες «έπεσαν», τόσο το Σάββατο 18 Ιανουαρίου όσο και την περασμένη Πέμπτη 23 Ιανουαρίου. Τη δεύτερη φορά, μάλιστα, έπεσε και η πρωθυπουργική ιστοσελίδα primeminister.gr. Η επίθεση έδειξε το έλλειμμα στην πολιτική κυβερνοασφάλειας της χώρας μας, αλλά και τον πρωτογονισμό των συστημάτων. Κυβερνητικοί παράγοντες έκαναν λόγο για συστήματα προστασίας σε κρίσιμους κυβερνητικούς τομείς που χρονολογούνται από το… 2004.

Η επίθεση αυτή, ωστόσο, κυρίως εκθέτει τον ΣΥΡΙΖΑ. Παρά τις αντιπολιτευτικές του κορώνες μετά την επίθεση (Μ. Κάτσης: Οι κυβερνοεπιθέσεις εκθέτουν το «Επιτελικό κράτος» της Δεξιάς, 18.01.2020), η κυβέρνηση του ΣΥΡΙΖΑ στον τομέα της κυβερνοασφάλειας είχε πραγματοποιήσει μέχρι και τον περασμένο Ιούλιο, πολύ λίγα πράγματα. Ενδεικτικό είναι ότι παρά την ύπαρξη σχετικής ευρωπαϊκής οδηγίας (Ε.Ε. 2016/1148) από τον Ιούλιο του 2016, μέχρι και τον περασμένο Οκτώβριο του 2019, δεν είχαν ορισθεί ακόμη οι κρίσιμες υποδομές της χώρας, ώστε να χρήζουν ιδιαίτερης κυβερνοπροστασίας. Πρόκειται για τον ορισμό των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) που στο εξής, βάσει της κοινοτικής οδηγίας, χρήζουν υψηλότερης κυβερνοπροστασίας.

Το πλαίσιο προστασίας αυτό αφορά φορείς διαχείρισης υποδομών που είναι κρίσιμες στη λειτουργία και στην παροχή υπηρεσιών ενός κράτους. Πρόκειται για φορείς που σχετίζονται με την υγεία, την ενέργεια, την ύδρευση, τον χρηματοπιστωτικό τομέα κ.ά. Οι υποδομές που σχετίζονται με την εθνική ασφάλεια εξαιρούνται του πεδίου εφαρμογής της οδηγίας και του σχετικού νόμου, καθώς αυτή παραμένει στην απόλυτη δικαιοδοσία του κράτους-μέλους.

Επομένως, για την ασφάλεια των πληροφοριακών συστημάτων, συμπεριλαμβανομένου εκείνων που διαχειρίζονται τις ιστοσελίδες, είναι οι ίδιοι οι φορείς εθνικής ασφάλειας, οι οποίοι έχουν την απόλυτη ευθύνη. Γι’ αυτό άλλωστε, κατά τη ψήφιση της διάταξης δημιουργίας του Εθνικού Μητρώου Υποδομών (ν. 4635/2019), οι υποδομές εθνικής ασφάλειας του ΥΠΕΘΑ, της ΕΥΠ κ.λπ., εξαιρέθηκαν από την ένταξή τους στο μητρώο αυτό.

Δυστυχώς, όπως έδειξε η εμπειρία, οργανισμοί κρίσιμοι για την εθνική ασφάλεια, υστερούν τόσο σε πολιτικές κυβερνοασφάλειας όσο και σε πολιτικές ακεραιότητας των πληροφοριακών τους συστημάτων. Επομένως, απαιτείται μια συνολική πολιτική ενίσχυσης των υποδομών της χώρας, ειδικά στον τομέα της πληροφορικής και των επικοινωνιών.

Δημιουργία Εθνικής Αρχής

Προς την κατεύθυνση αυτή κινείται τόσο η πρόσφατη υπουργική απόφαση που εξειδικεύει θέματα του ν. 4577/2018 με τον ορισμό των ΦΕΒΥ και τη δημιουργία Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ), όσο και η δημιουργία στο υπουργείο Ψηφιακής Διακυβέρνησης, Γενικής Διεύθυνσης Κυβερνοασφάλειας υπό τον γ.γ. Τηλεπικοινωνιών και Ταχυδρομείων, Αντώνη Τζωρτζακάκη. Η Γ.Δ. Κυβερνοασφάλειας θα υποστηρίζει την ΕΑΚ στο έργο της που εν πολλοίς θα είναι να ελέγχει και να παρακολουθεί αν τηρείται στη χώρα μας η ευρωπαϊκή οδηγία. Επίσης, προς την κατεύθυνση αυτή θα συμβάλει και η επέκταση της ομπρέλας του G-Cloud (Government Cloud ή «κυβερνητικό νέφος») που αφορά τη φιλοξενία των πληροφοριακών συστημάτων φορέων του δημοσίου τομέα στα μηχανογραφικά συστήματα της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (ΓΓΠΣΔΔ). Η επέκταση της «ομπρέλας» αυτής, όχι μόνον θα εξοικονομήσει πόρους, αλλά θα επιφέρει μεγαλύτερη ασφάλεια, καθώς γύρω από αυτή τώρα δημιουργείται ένα ισχυρό τείχος κυβερνοπροστασίας. Η ΓΓΠΣΔΔ, όχι μόνον εντάσσεται στους ΦΕΒΥ, αλλά αποκτά και αυτοτελές γραφείο ασφάλειας των πληροφοριών, καθώς προορίζεται να αποτελέσει την ατμομηχανή για τη δημιουργία των (μη αμυντικού χαρακτήρα) δεδομένων και υπηρεσιών του κράτους.

Τα μέτρα δεν εξαντλούνται εδώ. Οπως αναφέρουν κυβερνητικοί παράγοντες, η χώρα πρέπει να αποκτήσει και «password policy» ειδικά στον δημόσιο τομέα, καθώς είναι τραγελαφικό, υπουργοί να χρησιμοποιούν κωδικούς πρόσβασης στους υπολογιστές τους, του τύπου «123456». 

Πηγή: kathimerini.gr