Δρα Στέφανου Γκιούρωφ*
Μια απειλή που αντιμετωπίζουν σήμερα πολλά κράτη , θεσμοί, τραπεζικά ιδρύματα, βιομηχανίες και μαζικοί φορείς, είναι οι κυβερνοεπιθέσεις οι οποίες έχουν μετεξελιχθεί σε ένα παράλληλο είδος πολέμου. Αποτελούν μια αυξανόμενη απειλή τόσο για τις κυβερνήσεις όσο και για τις εθνικές οικονομίες και την κοινωνία ευρύτερα.
Το έγκλημα στον κυβερνοχώρο αυξάνεται. Καθώς προχωρούμε βαθύτερα στην ψηφιακή εποχή, την εποχή της λεγόμενης Τέταρτης Βιομηχανικής Επανάστασης, αυτό αναπτύσσεται και εξελίσσεται με ανυπολόγιστες συνέπειες. Οι εγκληματίες του κυβερνοχώρου γίνονται πιο επιθετικοί και επικίνδυνοι καθότι το έγκλημα στον κυβερνοχώρο έχει αγγίξει τις ζωές όλων μας με τον ένα ή τον άλλο τρόπο.
Οι κυβερνοεπιθέσεις μπορεί να κυμαίνονται από εισβολή (hacking) σε συστήματα και μέσα κοινωνικής δικτύωσης, επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing), κακόβουλο λογισμικό, συμπεριλαμβανομένου του ransomware, κλοπή ταυτότητας, κοινωνική μηχανική (social engineering attacks) και επιθέσεις άρνησης εξυπηρέτησης (Denial-of-Service (DoS) attack). Αυτό είναι οδυνηρό τόσο προσωπικά όσο και οικονομικά, προκαλώντας ανυπολόγιστες ζημιές και μεγάλες καταστροφές, καθώς η κοινωνία και οι πολίτες γίνονται πιο ευάλωτοι κι ανυπεράσπιστοι.
Σύμφωνα με την McAfee, την εταιρεία λογισμικού ασφάλειας υπολογιστών, το κόστος αυτών των κυβερνοεπιθέσεων αυξάνεται, συνεχώς. Μόνο το 2020 στοίχησε 1 περίπου τρισεκατομμύριο δολάρια .
Αυξανόμενος παγκόσμιος κίνδυνος
Με την πανδημία COVID-19 να έχει ενσωματώσει περαιτέρω την αυξανόμενη εξάρτησή στα ψηφιακά συστήματα, δεν προκαλεί έκπληξη το γεγονός ότι η Έκθεση Παγκόσμιων Κινδύνων 2022 του World Economy Forum συμπεριέλαβε για άλλη μια φορά την απειλή για την ασφάλεια στον κυβερνοχώρο ως έναν από τους αυξανόμενους κινδύνους που αντιμετωπίζει ο κόσμος. Οι αποτυχίες στον κυβερνοχώρο, αναφέρει, έχουν επιδεινωθεί σημαντικά και απειλούν τη μακροπρόθεσμη ευημερία.
Ωστόσο, η οικοδόμηση ενός καλού συστήματος κυβερνοάμυνας καθώς και η πρόβλεψη απειλών αποτελούν βασικά στοιχεία για την καταπολέμηση του εγκλήματος σε αυτό τον τομέα. Χωρίς αξιόπιστα και εξελιγμένα σχέδια διαχείρισης κινδύνων στον κυβερνοχώρο ούτε η ανθεκτικότητα ούτε η διακυβέρνηση μπορούν να λειτουργήσουν αποτρεπτικά. “Το έγκλημα στον κυβερνοχώρο είναι τόσο εθνικό όσο και διεθνές φαινόμενο που εξαπλώνεται με μεγάλη ταχύτητα, επηρεάζοντας τις επιχειρήσεις, τις κυβερνήσεις και την κοινωνία στο σύνολό της. Η κλίμακα και η πολυπλοκότητα αυτής της εγκληματικής δραστηριότητας έχει εκτεταμένες και επιζήμιες συνέπειες και η κατάσταση είναι θολή καθώς οι εγκληματίες του κυβερνοχώρου λειτουργούν, χρησιμοποιώντας τεχνική υποδομή, πέρα από τα εθνικά σύνορα», λέειο ειδικός στον κυβερνοχώρο καθηγητής Δρ Edward Humphreys. Ως αποτέλεσμα, προσθέτει, η διεθνής συνεργασία επιβάλλεται και τα Διεθνή Πρότυπα είναι απαραίτητα για την παγκόσμια προστασία.
Λύσεις και έλεγχοι
Τα Διεθνή Πρότυπα παρέχουν λύσεις επιτρέποντας στους οργανισμούς να θεσπίσουν πλαίσια και συστήματα για να αξιολογήσουν και να διαχειριστούν την κατάσταση – να προστατεύσουν τις πληροφορίες, να εξασφαλίσουν εφαρμογές, υπηρεσίες και εθνικές υποδομές.
Το πρώτο βήμα για την αντιμετώπιση του εγκλήματος στον κυβερνοχώρο είναι να γνωρίζει κανείς τους κινδύνους που αντιμετωπίζει και στη συνέχεια να αποφασίσει τους ελέγχους που πρέπει να εφαρμοστούν για την ελαχιστοποίηση αυτών των κινδύνων.
Πώς μπορούν λοιπόν οι επιχειρήσεις να είναι καλύτερα προετοιμασμένες; Μόλις μια επιχείρηση εντοπίσει την παρουσία μιας κακόβουλης επίθεσης κώδικα ή μιας επίθεσης άρνησης εξυπηρέτησης (Denial-of-Service (DoS) attack), όσο πιο γρήγορα ανταποκρίνεται με τα κατάλληλα μέτρα ασφαλείας, τόσο μεγαλύτερη είναι η πιθανότητα περιορισμού της εξάπλωσης αυτών των επιθέσεων, καθώς και τον περιορισμό των επιπτώσεων και ζημιών. Υπάρχουν πρότυπα που βοηθούν τις επιχειρήσεις να είναι καλύτερα προετοιμασμένες προκειμένου να ανταποκριθούν, σύμφωνα με το πρότυπο διαχείρισης συμβάντων ISO / IEC 27035, το πρότυπο για τη διαχείριση της επιχειρησιακής συνέχειας (incident management standard) ISO 22301 και το πρότυπο ετοιμότητας ΤΠΕ (ICT readiness standard ) ISO / IEC 27031.
Συλλογική δράση
Με την ανάπτυξη και την εξάρτηση από τη συνδεσιμότητα για τις επιχειρήσεις, την υποδομή που την υποστηρίζει και τη χρήση του Διαδικτύου και των κινητών συσκευών, υπάρχει ακόμη μεγαλύτερη ανάγκη για ασφάλεια και ανθεκτικότητα του συστήματος.
Tο 2021 υπήρξαν πολλές άλλες εξελίξεις στην τυποποίηση, όπως της ασφάλειας και της ιδιωτικότητας του Διαδικτύου των Πραγμάτων (IoT), της ασφάλειας και της ιδιωτικής ζωής των λεγόμενων Big Data, της ασφάλειας και της ιδιωτικής ζωής σε θέματα της τεχνητής νοημοσύνης και της προστασίας των βιομετρικών πληροφοριών. Όλα αυτά συμπληρώνονται από πρόσφατες τεχνικές προδιαγραφές, όπως το ISO/IEC TS 27570, το οποίο παρέχει καθοδήγηση σχετικά με την προστασία της ιδιωτικής ζωής του οικοσυστήματος έξυπνων πόλεων, και το ISO/IEC TS 27100, το οποίο καθορίζει τον τρόπο δημιουργίας ή βελτίωσης ισχυρών συστημάτων στον κυβερνοχώρο για την προστασία από κυβερνοεπιθέσεις. Η πλήρης οικογένεια προτύπων ISO/IEC 27000 και αυτές οι τεχνολογικές προδιαγραφές αποτελούν το θεμέλιο για την οικοδόμηση και τη διαχείριση ενός ασφαλούς μέλλοντος.
Η υιοθέτηση και εφαρμογή των Ευρωπαϊκών και Διεθνών Προτύπων στη Κύπρο γίνεται μέσω του Κυπριακού Οργανισμού Τυποποίησης (CYS), ο οποίος είναι ο Εθνικός φορέας για την τυποποίηση. Ενημέρωση για οποιεσδήποτε εξελίξεις στο εν λόγω θέμα, οι ενδιαφερόμενοι μπορούν να λάβουν από τους αρμόδιους λειτουργούς του (CYS) και το Κέντρο Πληροφόρησης & Εξυπηρέτησης (ΚΕΠΕ).