News SciTech Technology «Η κουλτούρα κυβερνοασφάλειας εξίσου σημαντική με τεχνικά μέτρα»

«Η κουλτούρα κυβερνοασφάλειας εξίσου σημαντική με τεχνικά μέτρα»

Ο ανθρώπινος παράγοντας και η κουλτούρα κυβερνοασφάλειας είναι ίσως πιο σημαντικά από τα τεχνικά αντίμετρα που λαμβάνονται για ενίσχυσή της και η καλύτερη ασπίδα προστασίας παραμένουν οι ενημερωμένοι πολίτες και εργαζόμενοι, δηλώνει στο ΚΥΠΕ ο Εκτελεστικός Διευθυντής του CyCSO, του Κυπριακού Οργανισμού Κυβερνοασφάλειας, Κωνσταντίνος Τσιούρτος, ο οποίος τονίζει την ανάγκη πιο επαρκούς ενημέρωσης των πολιτών από τους αρμόδιους θεσμούς.
 

Ο κ. Τσιούρτος μίλησε στο ΚΥΠΕ με αφορμή την έγκριση πρόσφατα από το Ευρωπαϊκό Κοινοβούλιο της νέας οδηγίας για την κυβερνοασφάλεια ( European Cybersecurity Act) με στόχο την μεγαλύτερη ενίσχυση των επιπέδων ασφάλειας στον κυβερνοχώρο στην ευρωπαϊκή επικράτεια. 

Ζητήσαμε από τον κ. Τσιούρτο να σχολιάσει την ολοένα και εντονότερη συζήτηση που αναπτύσσεται για την ανάγκη συνεχούς ενημέρωσης αλλά και εκπαίδευσης των πολιτών και των νομικών προσώπων για το θέμα, ως ενισχυτική της νέας νομοθεσίας και του νέου ρόλου του ΕΝΙSA, του Οργανισμού της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια.

«Θεωρώ πως είναι η αχίλλειος πτέρνα μας. Ο ανθρώπινος παράγοντας και η κουλτούρα κυβερνοασφάλειας είναι εξίσου και ίσως πιο σημαντικά από τα τεχνικά αντίμετρα. Η καλύτερη ασπίδα προστασίας μας είναι οι ενημερωμένοι πολίτες και εργαζόμενοι. Προσωπικά εκφράζω την απογοήτευσή μου από την ελλιπή και ανεπαρκή ενημέρωση των πολιτών από τους αρμόδιους θεσμούς. Υπάρχει ένα πλάνο στο πλαίσιο της Εθνικής Στρατηγικής κυβερνοασφάλειας που σχεδιάστηκε πριν χρόνια και το οποίο θα μπορούσε να είναι αποτελεσματικό αν είχε εφαρμοστεί. Δυστυχώς, αυτό ποτέ δεν έγινε και, αν έγινε, ήταν αποσπασματικά. Στο σημείο που είμαστε τώρα, χρειάζεται αναθεώρηση αυτής της στρατηγικής συνολικά και ειδικά οι δράσεις που προβλέπονται για την ενημέρωση του κοινού», τονίζει.

Αναφέρει επίσης πως τα στοιχεία στην Κύπρο για το Κυβερνοέγκλημα, δεικνύουν ότι πολλά θύματα θα μπορούσαν να γλιτώσουν αν είχαν μια επαρκή ενημέρωση για το πώς να αποφεύγουν κινδύνους του διαδικτύου. «Αρκεί να πω πως το πρόσφατο τραγικό έγκλημα που συγκλονίζει την χώρα, έγινε δυνατό με την χρήση του διαδικτύου», σημειώνει.

Στο σημείο αυτό σχολιάζει και τα πρόσφατα περιστατικά επιθέσεων στα συστήματα κυβερνητικών οργανισμών δεκάδων χωρών, μεταξύ αυτών και η Κύπρος.

«Δεν γνωρίζουμε πολλά για αυτό το περιστατικό και το μέγεθος της παραβίασης. Αυτό που γνωρίζουμε, όμως, είναι πως δεν έχει διαψευστεί. Αν πράγματι έχει παραβιαστεί το δίκτυο της κρατικής μηχανής και ευαίσθητες υπηρεσίες, όπως και ισχυρίζεται ιδιωτική εταιρία του εξωτερικού, θα πρέπει να μας προβληματίσει αναφορικά με το πραγματικό επίπεδο ασφαλείας που διαθέτει το κράτος», αναφέρει.

Ο κ. Τσιούρτος υπενθυμίζει ότι το περιστατικό αυτό έρχεται να προστεθεί σε ένα δεύτερο πριν από λίγο καιρό που αφορούσε την παραβίαση ενός καναλιού διπλωματικής επικοινωνίας μεταξύ των Κρατών μελών της Ευρωπαϊκής Ένωσης.

«Φαίνεται οι παραβάτες να είχαν πετύχει είσοδο στο σύστημα από το Κυπριακό σύστημα. Όλα αυτά πρέπει να λειτουργήσουν ως κώδωνας κινδύνου. Αν δεν έχει γίνει πραγματική ζημιά, οι αρμόδιες αρχές πρέπει να επενδύσουν στην Κυβερνοασφάλεια της κρατικής μηχανής, ώστε να αποφύγουμε ή να μετριάσουμε τον κίνδυνο να συμβεί κάτι τέτοιο στο μέλλον», τονίζει.


Οι πρόνοιες της νέας οδηγίας

Η νέα οδηγία για την Κυβερνοασφάλεια προνοεί, μεταξύ άλλων, και την αλλαγή της εντολής και των αρμοδιοτήτων του ENISA, ο οποίος ιδρύθηκε, όπως υπενθυμίζει ο κ. Τσιούρτος, με σκοπό να συμβάλει στην ενίσχυση της ασφάλειας στον επιγραμμικό χώρο, έτσι που να υποβοηθηθεί η φιλοδοξία της Ευρώπης να δημιουργήσει μια ψηφιακή οικονομία και κοινωνία που πολίτες και επιχειρήσεις θα μπορούν να εμπιστεύονται.

Ο κ. Τσιούρτος τονίζει πως οι κυβερνοεπιθέσεις παρουσιάζουν αύξηση και μια συνδεδεμένη οικονομία και κοινωνία που είναι πιο ευάλωτη σε κυβερνοαπειλές και κυβερνοεπιθέσεις, χρειάζεται ισχυρότερη άμυνα.

«Υπό αυτές τις συνθήκες και σε συνάρτηση με τη θετική εξέλιξη του ρόλου του ENISA που αποτελεί σημείο αναφοράς για συμβουλές και εμπειρογνωμοσύνη και διευκολύνει τη συνεργασία και την δημιουργία ικανοτήτων, είναι απαραίτητο να ενισχυθεί η εντολή του, να καθοριστεί ο ρόλος του στο μεταβαλλόμενο οικοσύστημα της κυβερνοασφάλειας και να διασφαλιστεί η αποτελεσματική συμβολή του στην αντιμετώπιση των προκλήσεων που απορρέουν από τη δραματική μεταβολή της φύσης, μεγέθους και συχνότητας των κυβερνοαπειλών. Οι οποίες, δεν αντιμετωπίζονται επαρκώς από την παρούσα εντολή και εργαλεία που ο οργανισμός έχει στη διάθεση του», αναφέρει.

Σύμφωνα με τον κ. Τσιούρτο, οι νέες εντολές που δίνονται τώρα στον ENISA αποτελούν μια ιδιαίτερη πρόκληση για τον οργανισμό, αφού ο ρόλος του αυξάνεται και ενισχύεται δραματικά ως ο κεντρικός κόμβος παραγωγής πολιτικής και συντονισμού των Κρατών μελών, αλλά και των θεσμών της Ένωσης σε μια σειρά από ζητήματα που άπτονται της κυβερνοασφάλειας.

Στη νέα οδηγία ενσωματώθηκε και η ανάγκη διασφάλισης μιας κοινής προσέγγισης σε θέματα πιστοποίησης προϊόντων και υπηρεσιών με την καθιέρωση κοινού πλαισίου.

Όπως εξηγεί ο κ. Τσιούρτος, μια κοινή αγορά, στον φυσικό ή τον ψηφιακό χώρο, απαιτεί κοινές προσεγγίσεις και κοινά πρότυπα και με τον ίδιο τρόπο που η Ευρωπαϊκή Ένωση έχει καθορίσει πρότυπα ασφάλειας για μια σειρά προϊόντων στον φυσικό χώρο (τρόφιμα, παιχνίδια, αυτοκίνητα κτλ) καθορίζει πρότυπα και για τον ψηφιακό. Για παράδειγμα, προϊόντα όπως οι ηλεκτρονικοί υπολογιστές μας, τα κινητά τηλέφωνα μας και οι έξυπνες τηλεοράσεις μας θα έχουν πιστοποίηση ότι ο κατασκευαστής φροντίζει προτού τα δώσει στην αγορά, να έχουν ήδη ενσωματωμένη τεχνολογία Κυβερνοασφάλειας.

«Πέραν της ανάγκης πλήρωσης ενός κενού και αποτελεσματικής  αντιμετώπισης της έλλειψης εμπιστοσύνης καταναλωτών και επιχειρήσεων αναφορικά με την ασφάλεια προϊόντων και υπηρεσιών που είναι συνδεδεμένα με τον κυβερνοχώρο, είναι και θέμα προστασίας των ιδίων των πολιτών από τους κινδύνους του κυβερνοεγκλήματος. Προϊόντα ή υπηρεσίες με ελλιπή ασφάλεια κάνουν ευκολότερο το έργο του κυβερνοεγκληματία και δυσχεραίνουν τόσο την πρόληψη και καταπολέμηση του εγκλήματος στον κυβερνοχώρο όσο και την εξιχνίαση του», τονίζει.

Όπως προσθέτει ο Εκτελεστικός Διευθυντής του CyCSO , δεδομένου ότι τα συχνά συμβάντα υπονομεύουν την εμπιστοσύνη στους παρόχους ψηφιακών υπηρεσιών και στην ίδια την ψηφιακή ενιαία αγορά, ιδίως μεταξύ των καταναλωτών, η εμπιστοσύνη θα πρέπει να ενισχυθεί περαιτέρω με την παροχή πληροφοριών με διαφάνεια σχετικά με το επίπεδο ασφάλειας των προϊόντων, υπηρεσιών και διαδικασιών τεχνολογίας – και ειδικά των συνδεδεμένων στο Διαδίκτυο των Πραγμάτων -  που υπογραμμίζουν ότι ακόμη και ένα υψηλό επίπεδο πιστοποίησης κυβερνοασφάλειας δεν μπορεί να εγγυηθεί απολύτως την ασφάλεια τους.

Στην αύξηση της εμπιστοσύνης μπορεί να συμβάλει η πιστοποίηση σε επίπεδο Ένωσης, με την παροχή κοινών απαιτήσεων κυβερνοασφάλειας και κριτηρίων αξιολόγησης για όλες τις εθνικές αγορές και τους τομείς.

«Σε συνεργασία με τις αρμόδιες αρχές, ο ENISA θα μπορεί να διαδίδει πληροφορίες όσον αφορά το επίπεδο κυβερνοασφάλειας των προϊόντων τεχνολογίας των πληροφοριών (ΤΠΕ), των υπηρεσιών και των διαδικασιών αυτών των προϊόντων που διατίθενται στην εσωτερική αγορά και να εκδίδει προειδοποιήσεις που στοχεύουν τους κατασκευαστές ή τους παρόχους τέτοιων προϊόντων, υπηρεσιών και διαδικασιών και να απαιτούν από αυτούς να βελτιώνουν την ασφάλεια των οικείων προϊόντων, υπηρεσιών και διαδικασιών ΤΠΕ, συμπεριλαμβανομένης της κυβερνοασφάλειας», αναφέρει.

Ο κ. Τσιούρτος εξηγεί ότι η Ευρωπαϊκή πιστοποίηση θα συμβάλλει στην αποφυγή συγκρουόμενων ή αλληλεπικαλυπτόμενων συστημάτων εθνικής πιστοποίησης της κυβερνοασφάλειας και, ως εκ τούτου, θα περιορίζει το κόστος για τις επιχειρήσεις που δραστηριοποιούνται στην ψηφιακή ενιαία αγορά.

«Η Ευρωπαϊκή Στρατηγική κυβερνοασφάλειας έχει ως στόχο να γίνει η Ένωση παγκόσμιο πρότυπο πολιτικής, θεσμικής και τεχνικής ικανότητας αλλά και η αγορά της να ηγηθεί του τομέα σε παγκόσμιο επίπεδο. Η Ένωση δεν θέλει να εξαρτάται από άλλες δυνάμεις για την κυβερνοασφάλεια της. Πέραν τούτου, θα μπορέσει να μπολιάσει την Ευρωπαϊκή ψηφιακή οικονομία με την προστασία και εμπιστοσύνη που χρειάζεται για να αναπτυχθεί και να ανταγωνιστεί άλλες παγκόσμιες οικονομικές δυνάμεις», εξηγεί.

Ζητήσαμε διευκρινίσεις για το τι πρέπει να αλλάξει σε εθνικό επίπεδο και όπως μας εξήγησε ο κ. Τσιούρτος σε πρώτο στάδιο, οι αρμόδιες εθνικές αρχές θα πρέπει να συμμετάσχουν στα σώματα που προβλέπονται από το Ευρωπαϊκό σύστημα πιστοποίησης. Παράλληλα αρχίζει μια περίοδος προετοιμασίας των αρχών που θα είναι επιφορτισμένες με την εφαρμογή του συστήματος . Οι λεπτομέρειες θα γίνουν γνωστές και θα ξεκαθαρίσουν μετά το Καλοκαίρι καθώς το πλάνο εφαρμογής του κανονισμού χρειάζεται ακόμη περαιτέρω επεξεργασία.

Σε ό,τι αφορά τις κυβερνοεπιθέσεις, ο νέος κανονισμός επικεντρώνεται στην πρόληψη και ετοιμότητα.

«Προκειμένου να αυξηθεί η ετοιμότητα της Ένωσης στην ανταπόκριση σε συμβάντα, ο ENISA θα αποκτήσει για πρώτη φορά επιχειρησιακές ευθύνες. Θα διοργανώνει σε τακτική βάση ασκήσεις για την κυβερνοασφάλεια σε επίπεδο Ένωσης και θα συντονίζει τα κράτη μέλη και τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης στην διοργάνωση τέτοιων ασκήσεων. Ανά διετία θα πρέπει να διοργανώνονται γενικές ασκήσεις μεγάλης κλίμακας οι οποίες θα περιλαμβάνουν τεχνικά, επιχειρησιακά και στρατηγικά στοιχεία. Επιπλέον, ο ENISA θα διοργανώνει τακτικά λιγότερο εκτενείς ασκήσεις με τον ίδιο στόχο, δηλαδή να αυξηθεί η ετοιμότητα της Ένωσης», εξηγεί στο ΚΥΠΕ ο Εκτελεστικός Διευθυντής του CyCSO.

O κ. Τσιούρτος σημειώνει πως ο ENISA, εκτελώντας το καθήκον του που αφορά τη στήριξη της επιχειρησιακής συνεργασίας στο πλαίσιο του δικτύου των CSIRT (εθνικών ομάδων ανταπόκρισης έκτακτων περιστατικών), θα παρέχει στήριξη στα κράτη μέλη κατόπιν αιτήματός τους, όπως για παράδειγμα παρέχοντας συμβουλές για το πώς να βελτιώσουν τις ικανότητές τους να προλαμβάνουν, να εντοπίζουν και να αντιμετωπίζουν συμβάντα. Θα διευκολύνει επίσης τον τεχνικό χειρισμό συμβάντων που έχουν σημαντικό ή ουσιαστικό αντίκτυπο, παρέχοντας ειδικότερα στήριξη στην εθελούσια ανταλλαγή τεχνικών λύσεων μεταξύ των κρατών μελών ή παράγοντας συνδυαστικές τεχνικές πληροφορίες, όπως τεχνικές λύσεις που ανταλλάσσουν σε εθελοντική βάση τα κράτη μέλη.

Όπως τονίζει στο ΚΥΠΕ ο κ. Τσιούρτος, σχετική σύσταση της ΕΕ προβλέπει ότι τα κράτη μέλη πρέπει να συνεργάζονται με καλή πίστη και να ανταλλάσσουν μεταξύ τους και με τον ENISA, χωρίς αδικαιολόγητη καθυστέρηση, πληροφορίες σχετικά με μεγάλης κλίμακας συμβάντα και κρίσεις που αφορούν την κυβερνοασφάλεια.

«Η εναρμόνιση των Κυπριακών αρχών με τον κανονισμό δεν προβλέπει τόσο δημιουργία νεών θεσμών, πέραν της δημιουργίας κάποιων διαδικασιών που θα προκύψουν από την εφαρμογή της πιστοποίησης, αλλά ενεργή συμμετοχή στο νέο πλαίσιο συνεργασίας και διάθεση πόρων, όπως και θετική διάθεση για ανταλλαγή πληροφοριών», εξηγεί.

Τεχνητή νοημοσύνη και κυβερνοασφάλεια

Στη συνέντευξη τέθηκε και το μεγάλο ζήτημα της τεχνητής νοημοσύνης και πως αυτό σχετίζεται με την κυβερνοσφάλεια. Ο κ. Τσιούρτος μάς εξηγεί ότι η επόμενη γενιά προϊόντων κυβερνοασφάλειας, ενσωματώνει ολοένα και περισσότερο τεχνολογίες Τεχνητής Νοημοσύνης (AI) και Μηχανικής Μάθησης (Machine Learning).

Σύμφωνα με τον κ. Τσιούρτο, με την εκπαίδευση του λογισμικού AI σε μεγάλα σύνολα δεδομένων ασφάλειας δικτύων ακόμη και φυσικών πληροφοριών, οι πάροχοι λύσεων στον κυβερνοχώρο επιδιώκουν να ανιχνεύσουν και να μπλοκάρουν την ανώμαλη συμπεριφορά, ακόμη και αν δεν παρουσιάζουν γνωστή υπογραφή ή μοτίβο.

«Οι ειδικοί προβλέπουν ότι, με την πάροδο του χρόνου, οι εταιρείες θα ενσωματώσουν το ML σε κάθε κατηγορία προϊόντων ασφάλειας στον κυβερνοχώρο.  Οι λύσεις κυβερνοασφάλειας που χρησιμοποιούν η AI και ML μπορούν να μειώσουν σημαντικά τον χρόνο που απαιτείται για την ανίχνευση απειλών και την αντιμετώπιση περιστατικών, συχνά δε να μπορούν να προειδοποιούν το αναλυτή για ανώμαλη συμπεριφορά σε πραγματικό χρόνο. Οι τεχνολογίες αυτές συμβάλλουν στη μείωση και την ιεράρχηση των παραδοσιακών προειδοποιήσεων ασφαλείας, στην αύξηση της αποτελεσματικότητας των υφιστάμενων επενδύσεων και των ανθρώπινων αναλυτών.

Ωστόσο, οι κυβερνοεγκληματίες χρησιμοποιούν επίσης AI και ML για να κατανοήσουν καλύτερα τους στόχους τους και να ξεκινήσουν επιθέσεις», εξηγεί.

Όπως αναφέρει στο ΚΥΠΕ ο κ. Τσιούρτος, η εμπειρία απέδειξε πως η ανθρώπινη επινοητικότητα ξεπερνάει κάθε φορά την τεχνητή νοημοσύνη.

«Αν το ΑΙ φτάσει σε τέτοιο επίπεδο που να μπορεί να σταματήσει αποτελεσματικά ανθρώπινους hackers τότε τολμώ να πω ότι αυτή θα είναι η μέρα που η τεχνητή νοημοσύνη θα γίνει απρόβλεπτη. Η ΑΙ δεν είναι πανάκεια. Μπορεί να είναι αποτελεσματική με την εμπλοκή ανθρώπινου αναλυτή. Αν μπορέσει να μιμηθεί τον ανθρώπινο αναλυτή, τότε θα αρχίσει μια άλλη συζήτηση, για το πώς θα διασφαλίσουμε ότι τα λογισμικά τεχνητής νοημοσύνης για την κυβερνοασφάλεια, θα συμπεριφέρονται με ασφάλεια απέναντι στον άνθρωπο», σημειώνει.

Πηγή: ΚΥΠΕ

Top