Με αφορμή το συνέδριο για την ασφάλεια στα δίκτυα επικοινωνίας και την αντιμετώπιση των κινδύνων από τις κυβερνοεπιθέσεις, που διοργανώθηκε 6-7/3 στην Αθήνα στο πλαίσιο της Ελληνικής Προεδρίας της ΕΕ, το netweek μίλησε με τον Ηλία Χάντζο, Ανώτερο Διευθυντή Κυβερνητικών Σχέσεων, Κρίσιμων Υποδομών και Προστασίας Ιδιωτικότητας, ΕΜΕΑ, της Symantec.

netweek: Ποιες είναι οι κυριότερες κυβερνοαπειλές σήμερα; Πώς θα σκιαγραφούσατε το προφίλ των επιτιθέμενων και ποια είναι τα κίνητρά τους;

Hλίας Χάντζος: Για να μπορέσει να αναλυθεί σωστά μια κυβερνοαπειλή, χρειάζεται να συσχετιστεί με το δυνητικό στόχο της. Γενικά, υπάρχουν απειλές που στοχεύουν το ευρύ καταναλωτικό κοινό, απειλές που στοχεύουν τις επιχειρήσεις και τέλος πιο εξειδικευμένες, ενδεχομένως, απειλές, που στοχεύουν τα κυβερνητικά συστήματα. Ενώ στο παρελθόν οι ηλεκτρονικές απειλές αποσκοπούσαν στο να διακόψουν τη λειτουργία ενός συστήματος, σήμερα αυτό που παρατηρούμε είναι είτε η πολύ στοχευμένη επίθεση (η οποία δεν εντοπίζεται εύκολα) είτε η υποκλοπή εμπιστευτικών πληροφοριών (για παράδειγμα, στοιχεία πιστωτικών καρτών, απόρρητα βιομηχανικά σχέδια, κρατικά μυστικά κ.λπ.) με σκοπό το οικονομικό όφελος ή την κατασκοπεία. Οι επιθέσεις που στοχεύουν σε επιχειρήσεις έχουν να κάνουν κυρίως με την κλοπή εμπιστευτικών πληροφοριών (στοιχεία για το πελατολόγιο, τους συνεργάτες, απόρρητα στοιχεία για προϊόντα και υπηρεσίες κ.λπ.). Το σκεπτικό στην προκειμένη περίπτωση είναι ότι ο επιτιθέμενος να υποκλέψει όσες περισσότερες πληροφορίες μπορεί, ώστε να μπορέσει να τις εκμεταλλευτεί προς ίδιον όφελος.

netweek: Πόσο εύκολο είναι να καταρρεύσουν οι υποδομές μιας χώρας από τη διεξαγωγή ενός κυβερνοπολέμου;

Hλίας Χάντζος: Υπάρχουν καταγεγραμμένα περιστατικά ηλεκτρονικών επιθέσεων, οι οποίες είχαν σημαντική επίδραση στην κρίσιμη υποδομή ή ακόμα και στη λειτουργία συγκεκριμένων χωρών. Το κατά πόσο αυτά τα περιστατικά συνιστούν πολεμική ενέργεια, είναι κάτι που πρέπει να το αποφασίσουν οι διεθνολόγοι. Το θέμα δεν είναι τόσο αν γίνεται ένας κυβερνοπόλεμος, αλλά στο κατά πόσο μπορούν να γίνουν επιθέσεις, οι οποίες μπορούν να πλήξουν σημαντικά τις κρίσιμες υποδομές μιας χώρας.

netweek: H ανάληψη της προεδρίας της ΕΕ από τη χώρα μας, πιστεύετε ότι μπορεί να την κάνει περισσότερο ελκυστικό στόχο για επιθέσεις των κυβερνοεγκληματιών;

Hλίας Χάντζος: Σαφώς, ναι. Οποιοσδήποτε έρχεται στο προσκήνιο και αποκτά δημοσιότητα μπορεί να αποτελέσει δυνητικά ενδιαφέρον στόχο ή μπορεί να χρησιμοποιηθεί για να εξαπολυθούν επιθέσεις σε άλλους. Πολύ συχνά, δε, ενδιαφέρον (και πιο εύκολος) στόχος δεν είναι μόνο αυτός που έχει χρήσιμες πληροφορίες, αλλά και αυτός που μπορεί να σε βοηθήσει να φτάσεις σε κάποιον που έχει χρήσιμη πληροφορία.

netweek: To ζήτημα της προστασίας της προσωπικών δεδομένων αποτελεί ένα σημαντικό θέμα διεθνώς μετά τις αποκαλύψεις του Σνόουντεν για τις παρακολουθήσεις πολιτών, εταιρειών και κυβερνήσεων από την Υπηρεσία Εθνικής Ασφαλείας των ΗΠΑ (NSA). Πώς, λοιπόν, μπορεί να κτιστεί εμπιστοσύνη στην Ευρωπαϊκή Ενωση, όταν υπάρχουν τέτοια ζητήματα; Τι μέτρα έχει πάρει η ΕΕ;

Hλίας Χάντζος: Το θέμα των παρακολουθήσεων δεν έχει να κάνει μόνο με την Ευρωπαϊκή Ενωση, απασχολεί ολόκληρο τον κόσμο. Είναι ξεκάθαρο ότι υπάρχουν δραστηριότητες κεντρικές που αφορούν την εθνική ασφάλεια και τη συλλογή πληροφοριών, οι οποίες υπήρχαν στο παρελθόν και θα συνεχίσουν να υπάρχουν και στο μέλλον. Από εκεί και πέρα, εμείς ως εταιρεία δεν μπορούμε να κρίνουμε το κατά πόσο η οποιαδήποτε κυβέρνηση ενεργεί σωστά ή λάθος. Αυτό που οφείλουμε να κάνουμε είναι να προστατεύσουμε τους χρήστες μας, από οποιαδήποτε απειλή, από οπουδήποτε και αν αυτή προέρχεται. Γίνεται προσπάθεια στην ΕΕ, ώστε να υπάρχει συμφωνία για τη νομοθεσία που σχετίζεται με τα προσωπικά δεδομένα. Σε αυτό παίζει μεγάλο ρόλο και η ελληνική προεδρία, καθώς χειρίζεται αυτή τη στιγμή το συγκεκριμένο θέμα.

Το κατά πόσο θα υπάρξει συμφωνία, όμως, εν τέλει είναι πολιτικό θέμα, το οποίο κείτεται πέρα από την ελληνική προεδρία. Πρέπει να υπάρξει πολιτική βούληση από όλα τα κράτη μέλη για να υπάρξει συμφωνία. Χρειάζεται, λοιπόν, να ρυθμιστούν κάποια πολιτικά ζητήματα και η ΕΕ μπορεί να βοηθήσει σε αυτή την κατεύθυνση. Το θέμα είναι, εν τέλει, διακυβερνητικό – οι κυβερνήσεις πρέπει να τα βρουν μεταξύ τους και να συμφωνήσουν τι είναι αποδεκτό και τι δεν είναι. Αυτή είναι η δυσκολία που πρέπει να αντιμετωπιστεί.

netweek: Τελικά, οι επιθέσεις γίνονται κυρίως σε μεγάλες επιχειρήσεις που έχουν περισσότερο ενδιαφέρον ή και στις μικρότερες;

Hλίας Χάντζος: Εχει δημιουργηθεί η εντύπωση στον κόσμο ότι οι ηλεκτρονικές επιθέσεις γίνονται στις μεγάλες επιχειρήσεις. Αυτό δεν ισχύει. Μόνο το 50% των στοχευμένων ηλεκτρονικών επιθέσεων επιδιώκουν να κτυπήσουν τις επιχειρήσεις με προσωπικό άνω των 2.500 υπαλλήλων. Περίπου το 30% των επιθέσεων στοχεύουν επιχειρήσεις κάτω των 250 ατόμων. Σκεφτείτε ότι η τεράστια πλειοψηφία των επιχειρήσεων στην Ελλάδα είναι αυτού του μεγέθους. Οι μικρομεσαίες επιχειρήσεις αποτελούν τη ραχοκοκαλιά όχι μόνο της ελληνικής, αλλά και της ευρωπαϊκής οικονομίας. Αν μια εταιρεία, μια μικρομεσαία εταιρεία, δεν πληροί τα επίπεδα ασφάλειας που απαιτούνται τότε θα χάσει την ανταγωνιστικότητά της, θα χάσει τους συνεργάτες της (καθώς μπορεί να τους εκθέσει).

Σίγουρα, η επιβίωση αποτελεί την ύψιστη προτεραιότητα για μια επιχείρηση την περίοδο της κρίσης, ωστόσο η ασφάλεια των πληροφοριακών υποδομών γίνεται αναπόφευκτα κομμάτι αυτής της επιβίωσης. Η ασφάλεια αποτελεί προαπαιτούμενο για όλες τις ελληνικές επιχειρήσεις που θέλουν να δραστηριοποιηθούν στο εξωτερικό. Στο πλαίσιο των συμβάσεων που θα κάνουν θα υπάρχουν και ειδικές ρήτρες για θέματα ασφάλειας και προστασίας της ιδιωτικότητας. Ως ένα βαθμό πιστεύουμε ότι αυτά τα προβλήματα μπορεί να τα λύσει το cloud. Μια μικρομεσαία επιχείρηση δεν έχει το χρόνο να ασχοληθεί με την ασφάλεια, οπότε μπορεί να αναθέσει την προστασία της IT υποδομής σε έναν cloud service provider που θα παρέχει αυτή την υπηρεσία. To cloud προσφέρει οικονομίες κλίμακας, ωστόσο, το ζήτημα που προκύπτει είναι ότι όταν χρησιμοποιείται, παραδίδεται τμήμα του ελέγχου σε τρίτους, εκτός εταιρείας. Και αυτό δεν αρέσει στα διευθυντικά στελέχη του ΙΤ.

netweek: Ενα ζήτημα που απασχολεί έντονα τους IT Managers όσο αφορά το cloud είναι το εξής: ποιος ευθύνεται στην περίπτωση που γίνει μια υποκλοπή δεδομένων; Γιατί να αναλάβουν αυτή την ευθύνη, όταν έχει παραδοθεί ένα μέρος του ελέγχου τους σε μια εξωτερική εταιρεία;

Hλίας Χάντζος: Αυτό αποτελεί ένα εξειδικευμένο νομικό θέμα που άπτεται του δικαίου των συμβάσεων. Καταρχάς, αυτός που είναι πάντα υπεύθυνος έναντι της προστασίας προσωπικών δεδομένων είναι ο ιδιοκτήτης των δεδομένων, ήτοι η εταιρεία και όχι ο πάροχος υπηρεσιών cloud. Γιατί απλά ο πάροχος πολλές φορές δεν γνωρίζει τι προστατεύει. Δεν γνωρίζει ή δεν μπορεί να γνωρίζει την αξία ή τη σημαντικότητα των δεδομένων τα οποία χρησιμοποίησε. Η ευθύνη του παρόχου αφορά την προστασία και την κρυπτογράφηση των δεδομένων. Δεν μπορεί να ξέρει τι είδους δεδομένα ανεβάζουν οι πελάτες του. Αυτό άλλωστε επιβάλλεται και από τη νομοθεσία της ιδιωτικότητας.

Βέβαια, υπάρχει μια σύμβαση ανάμεσα στον provider και στην εταιρεία που ρυθμίζει αυτά τα θέματα. Από εκεί και πέρα το ζήτημα έχει να κάνει με το τι δεδομένα έχεις βάλει στα SLAs που έχεις υπογράψει και αντίστοιχα τι έχεις ζητήσει και τι έχεις αγοράσει. Για παράδειγμα, όταν ο service provider έχει αναλάβει την ευθύνη να περιφρουρεί το firewall και η εταιρεία δεν τηρεί στοιχειώδεις πρακτικές προστασίες (π.χ. δεν έχει DLP), τότε ο πάροχος δεν έχει ευθύνη, αν για παράδειγμα, ένας υπάλληλος της εταιρείας έκλεψε εμπιστευτικά εταιρικά δεδομένα, αντιγράφοντάς τα σε ένα USB stick. Αυτός που μπορεί να κρίνει την ευαισθησία των δεδομένων, αυτός που μπορεί να κρίνει τις προϋποθέσεις σύμφωνα με τις οποίες αυτά πρέπει να προστατευτούν είναι ο ιδιοκτήτης των δεδομένων. Και όχι ο πάροχος των υπηρεσιών cloud.