«Όλες οι απειλές πλέον είναι υβριδικές. Δεν υπάρχει πλέον διαχωρισμός μεταξύ φυσικού και ψηφιακού κόσμου. Πρέπει να τα βλέπουμε όλα στο σύνολό τους» δηλώνει, μεταξύ άλλων, στη HuffPost Greece, o Μιχάλης Μπλέτσας, διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, στο πλαίσιο μιας συζήτησης σχετικά με τις απειλές που αντιμετωπίζουν- εν μέσω ενός ολοένα και πιο ταραγμένου διεθνούς περιβάλλοντος ασφαλείας- τόσο οι υποδομές, όσο και οι ίδιες οι δυτικές κοινωνίες.
Ο κ. Μπλέτσας άρχισε την πορεία του ως πτυχιούχος Ηλεκτρολόγος Μηχανικός του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης και M.Sc. Μηχανικός υπολογιστών του Πανεπιστημίου της Βοστώνης, για να γίνει στη συνέχεια ερευνητής και διευθυντής υπολογιστικών συστημάτων του ΜΙΤ Media Lab- υπεύθυνος για τον σχεδιασμό, την λειτουργία και την ασφάλεια όλης της ψηφιακής υποδομής του εργαστηρίου. Είναι επίσης ένα από τα ιδρυτικά στελέχη της One Laptop Per Child, μη κερδοσκοπικής εταιρείας που σχεδίασε και κατασκεύασε ένα laptop πολύ χαμηλού κόστους – μιας τεχνολογίας που στόχευε να βοηθήσει στο το πώς μορφώνονται τα παιδιά στον κόσμο.
Κατά την διάρκεια της θητείας του στην OLPC, συνέβαλε στον βιομηχανικό σχεδιασμό, τα ηλεκτρονικά καθώς και το λογισμικό του laptop XO-1 της OLPC, ενώ πριν προσχωρήσει στο Media Lab, ήταν μηχανικός συστημάτων στην Aware, Inc., όπου σχεδίασε και έγραψε βιβλιοθήκες λογισμικού υψηλής απόδοσης για τους παράλληλους υπερυπολογιστές κατανεμημένης μνήμης της Intel, και ασχολήθηκε με την εφαρμογή της τεχνολογίας ADSL για παροχή διαδικτυακής πρόσβασης σε οικιακούς χρήστες. Έχει εκτεταμένη συμβουλευτική δραστηριότητα γύρω από θέματα τεχνολογίας και τεχνολογικής πολιτικής. Υπήρξε συνιδρυτής δύο εταιρειών και μέλος ΔΣ ή σύμβουλος σε πολλές άλλες.
Το μπλακάουτ της Ισπανίας: Όχι κυβερνοεπίθεση, μα ενδιαφέροντα συμπεράσματα
Αρχίζοντας την κουβέντα από τo μεγάλο μπλακάουτ στην Ιβηρική στα τέλη του Απριλίου, η οποία «πυροδότησε» συζητήσεις περί ενδεχόμενης κυβερνοεπίθεσης, ο κ. Μπλέτσας σημειώνει πως μπλακάουτ έχουν υπάρξει και στο παρελθόν τα οποία δεν οφείλονταν σε κυβερνοεπιθέσεις και, σε κάθε περίπτωση, «μιλάμε για ένα δίκτυο τηλεχειρισμού, τηλεδιάγνωσης, τηλεματικής, τελείως απομονωμένο- τουλάχιστον έτσι πρέπει να είναι. Δεν έχει τον εξοπλισμό που έχει συνήθως πάνω του ένα δίκτυο σε μία υπηρεσία, χωρίς αυτό να σημαίνει ότι δεν είναι ευάλωτο. Ακριβώς επειδή συνήθως είναι απομονωμένο, χρειάζεται κάποιος τρόπος φυσικής πρόσβασης. Και με το Stuxnet στο Ιράν έτσι είχε γίνει: Έβαλαν κάτι στο laptop ενός μηχανικού που το είχε πάρει στο σπίτι του και όταν πήγε να προγραμματίσει κάτι στους controllers, συνδέθηκε στο air gapped δίκτυο, οπότε έφυγε ο ιός και πήγε στους controllers».
Σημειώνεται πως, στην περίπτωση της Ισπανίας, η σχετική κυβερνητική έρευνα έδειξε πως ένας από τους παράγοντες που οδήγησαν στο μπλακάουτ της 28ης Απριλίου ήταν η αποτυχία του διαχειριστή δικτύου (REE) να υπολογίσει το σωστό μείγμα ενέργειας, με αποτέλεσμα το δίκτυο να μην μπορέσει να διαχειριστεί μια έξαρση της τάσης. Επίσης, κάποιοι σταθμοί ηλεκτροπαραγωγής δεν ήταν σε θέση να συμβάλουν στη διατήρηση του κατάλληλου επιπέδου τάσης στο σύστημα ενέργειας. «Το σύστημα δεν είχε επαρκείς δυνατότητες ελέγχου τάσης» είχε πει σχετικά η υπουργός Ενέργειας της χώρας, Σάρα Άαγκεσεν, προσθέτοντας πως «είτε επειδή δεν είχαν προγραμματιστεί επαρκώς, είτε επειδή αυτά που είχαν προγραμματιστεί δεν παρείχαν επαρκώς αυτά που απαιτούσε το στάνταρ, ή συνδυασμός». Αν και έπαιξαν ρόλο διαφορετικοί παράγοντες εκείνη την ημέρα, η Άαγκεσεν είπε πως το κύριο αίτιο ήταν μια έξαρση τάσης που το δίκτυο δεν ήταν σε θέση να απορροφήσει, προκαλώντας ένα «ντόμινο» αποσυνδέσεων της παραγωγής. H REE από πλευράς της κατηγόρησε τους σταθμούς ηλεκτροπαραγωγής πως δεν κατάφεραν να διατηρήσουν την απαιτούμενη τάση, προκαλώντας την αντίδραση του σχετικού συνδέσμου (AELEC), που με τη σειρά του κατηγόρησε τη REE για ανεπαρκείς σχεδιασμούς.
Σε κάθε περίπτωση, ο τρόπος που λειτουργούν τέτοιου είδους δίκτυα παρέχει μια εικόνα και για τη φύση και τους σκοπούς μιας σκόπιμης ενέργειας: Όπως επισημαίνει ο κ. Μπλέτσας, σε περίπτωση που εκδηλωθεί κάποιο μεγάλο πρόβλημα, όπως πχ να φύγουν από το δίκτυο δύο μεγάλοι παραγωγοί ενέργειας σε μικρό χρονικό διάστημα – κάτι που από μόνο του μπορεί να ρίξει ένα δίκτυο- «μέχρι να προλάβεις να αντιδράσεις έρχεται το δεύτερο, αλυσιδωτές αντιδράσεις…το δίκτυο παθαίνει αυτοάνοσο πολλές φορές, τα συστήματα προστασίας αρχίζουν να κλείνουν, υπάρχουν αυτόματες αποσυνδέσεις, δημιουργούνται νησίδες, φεύγει η διασύνδεση, γίνεται πολύ δύσκολη η βασική λειτουργία διαχείρισης δικτύου, που είναι η εξισορρόπηση παραγωγής με κατανάλωση. Αυτό μπορεί να γίνει για 1.002 λόγους, έσκασε ένας μετασχηματιστής, κάποιος έκανε λάθος. Κυβερνοεπίθεση σημαίνει ηθελημένο σαμποτάζ, ουσιαστικά πλήττοντας το ψηφιακό σύστημα διαχείρισης του δικτύου διανομής ηλεκτρικής ενέργειας».
«Ανησυχώ περισσότερο για τη φυσική ασφάλεια»
Παρά την «αίγλη» που έχουν λάβει οι κυβερνοεπιθέσεις, ως μια «σύγχρονη» απειλή που αντιστοιχεί σε έναν προηγμένο τεχνολογικά κόσμο, ο κ. Μπλέτσας υπογραμμίζει τη σημασία των πιο «παλιομοδίτικων» επιθέσεων: «Είδαμε προσπάθειες κυβερνοεπιθέσεων στον πόλεμο της Ουκρανίας, διάβαζα πρόσφατα αναφορά του ΝΑΤΟ για το θέμα. Η μεγάλη ζημιά, το 99% της ζημιάς στα δίκτυα ενέργειας, έγινε με καθαρά κινητικά μέσα, δεν έγινε με κυβερνοεπιθέσεις- και εκεί υπήρχε πολύ μεγάλη cyber δραστηριότητα πριν τη φυσική εισβολή, αλλά πριν δεν είχαν καταφέρει να κάνουν κάτι και προσπάθησαν αρκετά. Οι διαχειριστές δικτύου ξοδεύουν αρκετούς πόρους και έχουν κόσμο που μπορεί να κάνει τη δουλειά που πρέπει στο κομμάτι της κυβερνοασφάλειας. Αν με ρωτήσετε στην Ελλάδα πού ανησυχώ, δεν ανησυχώ στο κομμάτι του cyber γιατί και η ΔΕΗ και ο ΑΔΜΗΕ και ο ΔΕΔΔΗΕ επενδύουν εκεί και έχουν κόσμο που ξέρει τη δουλειά του, δεν είναι από τα μέρη στα οποία λείπει τεχνογνωσία».
«Εμένα με ανησυχεί περισσότερο η φυσική ασφάλεια, η προστασία εγκαταστάσεων- στη δυτική Αττική για παράδειγμα, όπου μπαίνουν να πάρουν καλώδια κλπ. Υπενθυμίζω πως πριν κάποια χρόνια έπεσε όλο το Bay Area στο Σαν Φρανσίσκο επειδή κάποιος πυροβόλησε με κυνηγετικό όπλο έναν μετασχηματιστή! Ούτε πύραυλος ούτε τίποτα- ένα όπλο. Σε ένα ανάγλυφο όπως της Ελλάδας, με νησιά κλπ η φυσική ασφάλεια είναι μεγαλύτερη πρόκληση- είναι πολύ πιο εύκολο να πάει κάποιος να ρίξει το δίκτυο έτσι από το να πάει να γράψει κώδικα επιπέδου Stuxnet για να χτυπήσει τους controllers του δικτύου. Πρέπει να ιεραρχούμε τις αδυναμίες μας- καταλαβαίνω ότι το κομμάτι του Cyber είναι μπροστά, ωστόσο όλα έχουν υβριδικό χαρακτήρα: Το Cyber παίζει το κομμάτι της πληροφορίας. Για να πας να κάνεις ένα καλό σαμποτάζ δεν θα πας να το κάνεις στα τυφλά. Θα πας να διαλέξεις δύο ή τρεις σταθμούς, ας πούμε, που αν πέσουν ταυτόχρονα θα σου ρίξουν το δίκτυο. Αυτά τα σενάρια τα σκεφτόμαστε συνέχεια».
Από τη «phishing» επίθεση στο φυσικό σαμποτάζ: Πώς «συνδέονται» οι απειλές
Όπως ξεκαθαρίζει ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, επιθέσεις πάντα θα υπάρχουν: «Δεν είναι το ζητούμενο να αποφύγεις την επίθεση. Το ζητούμενο είναι να αποφύγεις τις πολλές επιθέσεις. Κάποιες θα περάσουν θα κάνουν τη ζημιά, επομένως το ζητούμενο είναι πόσο γρήγορα θα επανέλθεις. Άλλο το να έχεις φυσικό φαινόμενο, όπως πχ ένας “Daniel”…το να πέσει ένας μετασχηματιστής δεν είναι φοβερή ζημιά, αρκεί να έχεις ανταλλακτικό- για παράδειγμα στις ΗΠΑ έχουν μεγάλα προβλήματα, οπότε πρέπει να κοιτάμε και τέτοια θέματα. Εδώ μπαίνει και το κομμάτι του Cyber».
«Κάποιος μπορεί να μπει στο δίκτυό σου και να κατεβάσει απόρρητες πληροφορίες για τις ευπάθειες του δικτύου και μετά να προχωρήσει σε μια επίθεση phishing να αποσπάσει πληροφορίες από υπαλλήλους- να μπει σε υπολογιστές, να δει ποιοι είναι οι υπεύθυνοι, να κλέψει κείμενο, να δει πού είναι οι ευπάθειες του δικτύου και μετά να στείλει κάποιον για φυσικό σαμποτάζ. Δεν θα πάει να γράψει κώδικα τύπου Stuxnet που μπορούν να το κάνουν 100 άνθρωποι σε όλο τον κόσμο! Όλες οι απειλές πλέον είναι υβριδικές, δεν υπάρχει πλέον διαχωρισμός μεταξύ φυσικού και ψηφιακού κόσμου. Πρέπει να τα βλέπουμε όλα στο σύνολό τους, για αυτό βάζουμε προδιαγραφές παντού- από κάπου πρέπει να ξεκινήσεις, κάνουμε μνημόνια συνεργασίας με όλες τις ρυθμιστικές αρχές. Επίσης, πέρα από τα οριζόντια μέτρα για όλους, υπάρχουν και ιδιομορφίες- πχ η ενέργεια έχει μεγάλα δίκτυα τηλεματικής που έχουν άλλου είδους προδιαγραφές ασφαλείας. Εμείς βάζουμε τη βάση. Προβλέπονται και κλαδικά μέτρα που επιβάλλει ο υπεύθυνος ρυθμιστής. Δεν είναι ότι εμείς θα τα κάνουμε όλα. Το κομμάτι της κυβερνοασφάλειας άλλωστε αγγίζει τα πάντα- από την καθημερινότητά μας, το πώς κλειδώνουμε το τηλέφωνό μας, μέχρι το τι γίνεται σε τέτοια δίκτυα, που, αν κάνει κάποιος λάθος…πέφτει η χώρα».
Η πρόκληση του εξοπλισμού: Πιθανές «κερκόπορτες»- «θέλουμε καλύτερη εποπτεία του λογισμικού»
Λίγα χρόνια πριν είχε αρχίσει να τίθεται έντονα το θέμα της χρήσης κινεζικής προέλευσης εξοπλισμού σε κρίσιμες υποδομές χωρών της Δύσης λόγω φόβων για «κερκόπορτες» (backdoors) που είχαν τοποθετηθεί εκ των προτέρων για να υπάρχει η δυνατότητα απόκτησης πρόσβασης σε περίπτωση που απαιτηθεί κάτι τέτοιο.
«Οι λόγοι ήταν περίπλοκοι» σημειώνει ο κ. Μπλέτσας. «Όλοι οι κίνδυνοι, όλα τα ρίσκα δεν μπορούν να μηδενιστούν. Το να μηδενίσεις κάτι είναι σχεδόν αδύνατο. Οπότε κάνεις εκτίμηση με βάση τις γνώσεις σου πάνω στην πολυπλοκότητα του εξοπλισμού, εκτιμάς την κατάσταση. Εμείς στην Ελλάδα που χρησιμοποιούμε αρκετό κινεζικό εξοπλισμό, κατά την άποψή μου δεν έχουμε τέτοιο θέμα- δεν με απασχολεί ιδιαίτερα, καθώς τον εξοπλισμό αυτόν τον έχουμε στην περιφέρεια των δικτύων. Από εκεί και πέρα βέβαια, υπάρχουν μεγάλα περιθώρια βελτίωσης της εκτίμησης για το ρίσκο. Αυτό μπορεί να γίνει με μεγαλύτερο έλεγχο: Θέλουμε καλύτερη εποπτεία του λογισμικού».
«Τα πάντα έχουν λογισμικό μέσα, εκεί έγκειται η δημιουργία κάποιων κενών ασφαλείας. Το λογισμικό που έχει το router στο σπίτι ποιος το έχει ελέγξει; Έχει ελεγχθεί; Πολλοί μεγάλοι πάροχοι τα ελέγχουν, και δεν αγοράζουν και οι ίδιοι, πολλές φορές άλλοι αγοράζουν τον εξοπλισμό για αυτούς. Χρειάζεται πιο συστηματική προσπάθεια ελέγχου όλων των συσκευών που χρησιμοποιούμε και κυρίως να υπάρχει έλεγχος στην εφοδιαστική αλυσίδα του λογισμικού. Για παράδειγμα, οι περισσότερες διαδικτυακές κάμερες ασφαλείας έχουν λογισμικό που έχει γραφτεί από δύο-τρεις τύπους στην Κίνα- παραλλαγές του ίδιου λογισμικού. Για αυτόν τον λόγο, για πολλά χρόνια οι συγκεκριμένες κάμερες ήταν από τους πρώτους στόχους αυτών που ήθελαν να φτιάξουν botnets για μεγάλο traffic και να “μπουκώνουν” τους στόχους τους. Ήταν εύκολο να σπάσουν αυτό το λογισμικό, έβαζαν εκεί agent και έστελναν traffic. Επίσης, το Mirai, που ήταν από τα πιο γνωστά botnets, ήταν σε συσκευές IoT (Internet of Things)- ίδιο λογισμικό, όχι και πολύ υψηλής ποιότητας. Εκεί δεν έχεις να κάνεις με κράτη, μα με βιαστικά γραμμένο, φθηνό λογισμικό. Υπάρχουν λίγοι πραγματικοί κατασκευαστές, οι πιο πολλοί είναι συναρμολογητές…μιλάμε για τεράστια τρύπα ασφαλείας σε όλο τον κόσμο, οι συσκευές αυτές ήταν εύκολο να παραβιαστούν. Αυτό πρέπει να αντιμετωπιστεί πανευρωπαϊκά. Οι μεγάλοι τηλεπικοινωνιακοί πάροχοι κάνουν τέτοιες προσπάθειες, και θα θέλαμε να δούμε για πολύ εξοπλισμό».
Ο κ. Μπλέτσας εκτιμά πως δεν υπάρχει άμεσος κίνδυνος από αυτή την άποψη, παρόλα αυτά, καθώς ο πυρήνας του ελληνικού δικτύου είναι με δυτική τεχνολογία- ωστόσο, από την άλλη «τα περιφερειακά δεν τα ψάχνουμε τόσο πολύ…αν σκεφτεί κανείς ότι έχουμε λίγες μάρκες καταναλωτικών router και έχουμε ευπάθειες, και ότι ξέρουμε πώς να τα ρίξουμε, τότε μπορείς να ρίξεις το Ίντερνετ από τη στιγμή που υπάρχει μεγάλη ομοιομορφία: Αντί να ρίξεις τον πυρήνα, ρίχνεις γύρω γύρω όλα τα σπίτια. Σκεφτόμαστε τέτοια σενάρια- εδώ υπάρχει συνεννόηση με τους παρόχους, μα και σε πανευρωπαϊκό επίπεδο, ωστόσο είναι και ρυθμιστικό θέμα. Γενικά πάντως, οτιδήποτε έχει μπει σε μεγάλους αριθμούς, είναι ευπαθές, είναι μεγάλος στόχος. Το router σου είναι εκτεθειμένο στο διαδίκτυο».
Επανερχόμενος στο θέμα των προηγμένων «κυβερνοόπλων», υπογραμμίζει εκ νέου πως τα περισσότερα δεν είναι του επιπέδου που χαρακτηρίζει μέσα της κατηγορίας του Stuxnet ή του Pegasus (το οποίο χαρακτηρίζει ως «ιδιαίτερα εντυπωσιακό»), και αφορούν πιο πολύ αδυναμίες που εντοπίζονται- και τονίζει ξανά το θέμα της φυσικής ασφάλειας: «Δεν είναι μόνο ελληνική ιδιαιτερότητα: Τα δίκτυά μας είναι εκτεθειμένα, η φυσική ασφάλεια με απασχολεί περισσότερο στο κομμάτι του ηλεκτρισμού ή στο κομμάτι του νερού- πόσες δεξαμενές φυλάσσονται; Να θυμίσω το σενάριο της Φλόριντα, όπου είχε υπάρξει διείσδυση στο σύστημα εγκαταστάσεων επεξεργασίας νερού μέσω του Teamviewer που είχε περάσει κάποιος σε υπολογιστή…ωστόσο αν θέλεις να δηλητηριάσεις μια πόλη θα πας και θα τα ρίξεις στη δεξαμενή. Καταλαβαίνετε ότι από φυσικής άποψης είμαστε πολύ περισσότερο εκτεθειμένοι από ό,τι από πλευράς κυβερνοεπίθεσης».
«Καλό θα είναι να μην ανοίγουμε τρύπες, όλο και περισσότερα συστήματα είναι ψηφιακά. Χωρίς εμάς και χωρίς τη ρύθμιση που επιβάλλουμε, θα δημιουργηθούν πολύ περισσότερες τρύπες. Το αγαπημένο μου παράδειγμα είναι ο αντισεισμικός κανονισμός. Σεισμούς έχουμε στην Ελλάδα συνεχώς, μέχρι τις δεκαετίες του 1950 και του 1960 ήταν φονικοί. Τώρα έχουμε έναν από τους πιο αυστηρούς αντισεισμικούς κανονισμούς στον κόσμο, δεν έχουμε θύματα. Αυτό έχει ένα κόστος προφανώς- πιο πολλά σίδερα, πιο πολύ μπετόν, πιο λεπτομερείς μελέτες. Αυτό πρέπει να κάνουμε και στον τομέα της κυβερνοασφάλειας. Θέλουμε να προλάβουμε πράγματα, διότι η πρόληψη είναι πάντα πιο φθηνή από τη θεραπεία».
Το μυαλό των πολιτών ως «πεδίο μάχης» και τα social media ως μέσο «δημιουργίας όχλου»
Πέραν των κυβερνοεπιθέσεων και των δολιοφθορών, ψηφιακών και μη, ο κ. Μπλέτσας έχει σταθεί επανειλημμένα στο θέμα των επιχειρήσεων επηρεασμού κοινής γνώμης: Εκεί τα πράγματα είναι διαφορετικά, καθώς δεν υπάρχουν «firewalls» και συστήματα ασφαλείας για το ανθρώπινο μυαλό- και κακόβουλοι δρώντες μπορούν να εκμεταλλευτούν «καυτά» ή «ευαίσθητα» θέματα, στοχεύοντας στο συναίσθημα των πολιτών μέσω του χαοτικού τοπίου των μέσων κοινωνικής δικτύωσης.
ΠΗΓΗ: ΕΑΚ
