Το κενό που εκμεταλλεύονται οι χάκερ-Η ανάγκη για έλεγχο, παρακολούθηση και επαλήθευση

Οι πρόσφατες, συνεχόμενες κυβερνοεπιθέσεις στο Κτηματολόγιο, το Πανεπιστήμιο Κύπρου και στο Ανοικτό Πανεπιστήμιο Κύπρου, καταδεικνύουν ότι υπάρχει πρόβλημα με τις υποδομές ασφάλειας σε συστήματα που ανήκουν στο κράτος. Όχι επειδή δεν γίνονται ενέργειες προστασίας τους, αλλά επειδή φαίνεται ότι προκύπτει ζήτημα εποπτείας τους, με αποτέλεσμα να καθίσταται ευάλωτο το κράτος σε αυτού του είδους επιθέσεις και να μην είναι συνεχώς θωρακισμένο απέναντι στα cyber attacks.

Και οι τρεις αυτές επιθέσεις ανήκουν στην κατηγορία των ransomware, εξού και ζητήθηκαν λύτρα. Δηλαδή οι ομάδες χάκερ που βρίσκονται πίσω από αυτές τις επιθέσεις, έχουν ως κίνητρο τα οικονομικά οφέλη, απειλώντας είτε με κλείδωμα του συστήματος, είτε με εξαγωγή αρχείων με σκοπό τη διαρροή δεδομένων.

Όπως εξήγησε στον REPORTER ο ειδικός σε θέματα ασφάλειας Ντίνος Παστός, το κράτος δεν φταίει επειδή είναι το θύμα επιθέσεων αλλά θα φταίει εάν δεν αλλάξει κάτι, μετά που υπήρξε θύμα τρεις φορές σε ένα μήνα.

Χρειάζεται, όπως τόνισε, να υπάρχουν ευθύνες, να αναλαμβάνονται και να αποδίδονται, ώστε να διασφαλίζεται ότι οι διαδικασίες γίνονται σωστά και υπάρχει συνεχής έλεγχος. Η κυβερνοασφάλεια, εξήγησε, δεν είναι ένα προϊόν ή μια υπηρεσία που αγοράζεται μία φορά, αλλά μια συνεχής διαδικασία. Πρέπει να βρίσκεσαι συνεχώς σε επαφή με την εταιρεία, να παρακολουθείς τις αναβαθμίσεις, να προβαίνεις σε συνεχούς ελέγχους και να κάνεις όλες τις απαραίτητες διαδικασίες, ώστε να μπορεί ένα σύστημα να είναι ασφαλές. «Κάθε μέρα που περνά γεννιέται ένα νέο κενό ασφαλείας», εξήγησε.

Σύμφωνα με τον κ. Παστό, δεν μπορεί κάποιος να εγκαθιστά τα προγράμματα και να τελειώνει εκεί η ευθύνη και, όπως διασφαλίζεται ο συνεχής έλεγχος σε άλλα ζητήματα, έτσι πρέπει να συμβαίνει και σε αυτό. Για παράδειγμα είμαστε αναγκασμένοι να κάνουμε ΜΟΤ στα αυτοκίνητά μας, να ελέγχονται οι πυροσβεστήρες στα κτίρια κτλ, ακριβώς γιατί είναι αντιληπτό πως στην πορεία κάτι μπορεί να σταματήσει να λειτουργεί όπως σχεδιάστηκε ή να είναι ασφαλές. Το ίδιο αντιληπτό πρέπει να είναι πως μπορεί να σταματήσουν να είναι ασφαλή και τα συστήματα. Ως εκ τούτου, χρειάζεται έλεγχος, παρακολούθηση και επαλήθευση σε μόνιμη βάση.

Παρομοίως, θα πρέπει να ελέγχονται και τα backups και κατά πόσον δουλεύουν. Δεν αρκεί να υπάρχουν backups στα χαρτιά ή backups που δεν αρκούν για να επιστρέψει το σύστημα στην κανονική του λειτουργία. Είναι ένα πράγμα να υπάρχουν συμφωνίες και προγράμματα κι άλλο η εφαρμογή τους, σημείωσε ο κ. Παστός.

Ως εκ τούτου, ανέφερε, χρειάζεται πλέον απόφαση σε πολιτικό επίπεδο, ότι κάποιος θα έχει την ευθύνη αυτών των διαδικασιών. Άτομα, δηλαδή, που να έχουν την αρμοδιότητα και τη δυνατότητα να κάνουν ελέγχους και που είναι επιφορτισμένα με την συνέχιση της υπηρεσίας. Μία επιλογή, είπε ο κ. Παστός, είναι να δημιουργηθεί ένας φορέας που να έχει την εποπτεία όλων των κρατικών υπηρεσιών, καθώς, αυτή τη στιγμή, όλα είναι στον ιδιωτικό τομέα.

Σημειώνεται ότι, εν μέσω αυτών των επιθέσεων χάκερ, αποδείχθηκε ότι δεν είναι ασφαλείς ούτε οι φυσικές υποδομές που σχετίζονται με τα κυβερνητικά συστήματα, καθώς έπεσαν όλες οι κυβερνητικές σελίδες, εξαιτίας διαρροής νερού, αφού οι σέρβερ ήταν τοποθετημένοι δίπλα από τα ντεπόζιτα του Υπουργείου Οικονομικών. Ενώ ο κίνδυνος ήταν γνωστός στην προηγούμενη Κυβέρνηση και είχε αποφασιστεί από τον Νοέμβριο να μετακινηθούν οι σέρβερ σε άλλο χώρο, κανείς δεν υλοποίησε την απόφαση. Κι αυτό ίσως είναι ενδεικτικό της σημασίας που δίνεται στα θέματα ασφάλειας.