Η επόμενη γενιά ασφάλειας

H νέα αποτελεσματική προσέγγιση για ένα δυναμικά μεταβαλλόμενο περιβάλλον επιθέσεων & κυβερνο-πολέμου

 

 

Γράφει η Γιώτα Νικολαϊδου

Σύμβουλος Στρατηγικής Ασφάλειας

 

 

 

Στις 27 Ιανουαρίου του 2020 δημοσιεύθηκε στον τύπο πως χάκερς με οδηγίες και χρηματοδότηση από την Τουρκική κυβέρνηση επιτέθηκαν σε τουλάχιστον 30 οργανισμούς εκ των οποίων υπουργεία, πρεσβείες, υπηρεσίες κρατικής ασφάλειας καθώς και ιδιωτικές εταιρείες και επιχειρηματικούς ομίλους σε Κύπρο, Ελλάδα και Ιράκ.

Στις 28 Φεβρουαρίου του 2020 ένα τεράστιο κύμα από μετανάστες εισβάλλει στα σύνορα της Ελλάδας [Έβρο & Μυτιλήνη]. Έχει γνωστοποιηθεί ότι η παρακίνηση, η οργάνωση και η καθοδήγηση τους έχει γίνει από την Τουρκία μέσω της χρήσης δρόνων.

Το ερώτημα δεν είναι γιατί πραγματοποιήθηκαν οι συγκεκριμένες επιθέσεις, αλλά κατά πόσον ήταν μεμονωμένες, απομονωμένες επιθέσεις, τυχαία συμβάντα χωρίς κανένα συσχετισμό μεταξύ τους ή συνδυαστικά αποτελούν  προειδοποιητικές ενδείξεις για κάτι πολύ σοβαρότερο και υπόγειο που συμβαίνει τα τελευταία χρόνια.

Μήπως είμαστε θεατές σε ένα σενάριο υβριδικού πολέμου που ξεδιπλώνεται μπροστά μας μέρα με την μέρα όλο και περισσότερο;

Για τις περισσότερες επιχειρήσεις ο υβριδικός πόλεμος αποτελεί νέα ορολογία και για άλλους ίσως ακούγεται άσχετος με τον επιχειρηματικό κόσμο.
Εν έτη 2023 όμως είναι;

Υβριδικός Πόλεμος

Το παράδοξο είναι πως η προέλευση του Υβριδικού Πολέμου έχει ρίζες Αρχαίες Ελληνικές.

Ας πάμε λοιπόν στην εποχή της κυριαρχίας του Κρόνου, ο οποίος είχε καταπιεί τα ίδια του τα παιδιά, που αργότερα έγιναν οι Θεοί του Ολύμπου, για να μην χάσει την εξουσία. Ο Δίας εξαπολύει το πιο ισχυρό του όπλο το οποίο δεν είναι άλλο από την πρώτη του σύζυγο Μήτιδα για να τον αντιμετωπίσει.  Η βασική ικανότητα της Μήτιδας ήταν η μορφή ευφυΐας της που μεταφράζεται σε πονηριά, επαγρύπνηση και ικανότητα πρόβλεψης γεγονότων, ώστε ποτέ να μην υπάρχουν περιθώρια για μια απρόσμενη επίθεση και αιφνιδιασμό. Έτσι λοιπόν η Μήτιδα χρησιμοποιεί ένα εμετικό φάρμακο το οποίο αναγκάζει τον Κρόνο να βγάλει από μέσα του όλα του τα παιδιά, χαρίζοντας έτσι στον σύζυγο της Δία την εξουσία. Ο Δίας χρησιμοποιεί συχνά τακτικές πονηριάς που αποφεύγουν την απευθείας αναμέτρηση με τον αντίπαλο ο οποίος μπορεί να διαθέτει εξαιρετικές ικανότητες και τεράστια ισχύ για να αποφύγει την πιθανότητα ήττας και η νίκη του να είναι ευκολότερη, με μικρότερο κόστος και ρίσκο.

Τα τεχνάσματα του Δια αποτελούν τις βασικές αρχές του Υβριδικού Πολέμου.

Αν και εφαρμόζεται από μεγάλες δυνάμεις εδώ και αρκετές δεκαετίες, ο όρος του υβριδικού πολέμου εισηγήθηκε για πρώτη φορά από τον αντισυνταγματάρχη του πολεμικού ναυτικού της Αμερικής το 2006, Frank G. Hoffman για να περιγράψει μια στρατιωτική στρατηγική η οποία έχει την ικανότητα να επιφέρει τα αποτελέσματα μιας συμβατικής επίθεσης με εναλλακτικές μεθόδους που έχουν την ικανότητα να περνούν απαρατήρητες και να μην εντοπίζονται. Συνδυάζει την επίθεση με περισσότερους και διαφορετικούς τρόπους από τους συμβατικούς τρόπους πολέμου, που είναι η απευθείας σύρραξη με στρατεύματα, όπλα, νεκρούς και επίσημες μάχες.

Οι συμβατικοί πόλεμοι έχουν κόστος, οικονομικό, πολιτικό, εξοπλιστικό και μεταφράζονται σε απώλεια ανθρώπινων ζωών. Σε αντίθεση, ο υβριδικός πόλεμος έχει την ικανότητα να πραγματοποιηθεί με μικρότερο κόστος και να αντισταθμίσει αριθμητικές και οικονομικές ανισότητες του αντιπάλου. Επιπλέον, αποτελεί εξελιγμένη αόρατη μεθοδολογία πολέμου που μπορεί να αιφνιδιάσει στον μεγαλύτερο βαθμό που είναι δυνατόν τον αντίπαλο. Από τα πιο βασικά χαρακτηριστικά του είναι ο μη προσδιορισμός της αρχής και το τέλος τους, μιας και δεν γίνεται με συμβατικούς τρόπους αλλά ούτε και με συμβατικά μέσα. Αντίθετα για την πραγματοποίηση του χρησιμοποιούνται κανάλια όπως ο κυβερνοχώρος, η κατασκοπία, η παραπληροφόρηση, η προπαγάνδα,  η τρομοκρατία, τα εγκληματικά στοιχεία, τα μέσα μαζικής ενημέρωσης, η εξασθένιση του ιδιωτικού τομέα, η αποδυνάμωση του πληθυσμού και άλλα. Αυτό καθιστά τις επιθέσεις υβριδικού πολέμου πολύ πιο επικίνδυνες και απρόβλεπτες. Πολλές από αυτές χαρακτηρίζονται ως ασύμμετρες απειλές. Ένα είναι σίγουρο, μια υβριδική επίθεση έχει την δύναμη να παραλύσει ένα κράτος ή/και να προκαλέσει πολιτική αποσταθεροποίηση μιας χώρας.

Το φάσμα των στόχων επίθεσης από το 2012 μέχρι σήμερα διευρύνεται με εκθετικό βαθμό και εξαναγκάζει τις κρατικές υπηρεσίες ασφάλειας να εντάσσουν όλο και περισσότερες υποδομές στην κατηγορία των κρίσιμων. Οι κυβερνο-επιθέσεις κρατούν τα ινία ως επιλογή επιθέσεων που πραγματοποιούνται είτε από μόνες τους είτε σε συνδυασμό με άλλες κατηγορίες υβριδικών επιθέσεων ανάλογα με την πολυπλοκότητα και ιδιομορφία των στόχων. Κι εδώ είναι που βρίσκουμε την σύνδεση με την επιχειρηματική ασφάλεια.

Ζούμε στην πιο διασυνδεδεμένη εποχή στον πλανήτη όπου η προσωπική, η επιχειρηματική και η κυβερνητική ασφάλεια συγκλίνουν. Δυστυχώς η αποδυνάμωση του ιδιωτικού τομέα αποτελεί πυλώνα επικέντρωσης σεναρίων υβριδικού πολέμου και οι ενορχηστρωτές των σεναρίων αυτών δεν διστάζουν να τα ενεργοποιήσουν.

Φαινομενικά ανεξάρτητες, απομονωμένες επιθέσεις μπορεί να αποτελούν κομμάτι του ίδιου παζλ. Στην πραγματικότητα υπάρχει μια συστημικότητα γεγονότων και κάθε κομμάτι αποτελεί ενεργοποιητή περισσότερων από ένα επόμενων επιθέσεων.

Σε αυτό το σημείο πρέπει να διερωτηθούμε: Πως προετοιμαζόμαστε για να αποφεύγουμε και να αντιμετωπίζουμε αποτελεσματικά τέτοια είδη επιθέσεων;

Πρότυπα ασφάλειας και τυποποίηση

Η πρώτη μας σκέψη πιθανόν να είναι τα πρότυπα ασφάλειας και υπάρχει μια πληθώρα από αυτά για να επιλέξουμε, όπως:

• γενικά και εξειδικευμένα για οργανισμούς και συστήματα,
• διεθνή, ευρωπαϊκά και κρατικά,
• κυβερνητικά και επιχειρηματικά
• ανάλογα με τους στόχους μας κ.ο.κ.

Τα πρότυπα ασφάλειας έχουν χρησιμότητα, γι’ αυτό έχουν δημιουργηθεί. Παρόλα αυτά ένα είναι σίγουρο. Τα πρότυπα ασφάλειας δεν είναι πανάκια. Μετά από ένα σημείο η τυποποίηση της ασφάλειας μπορεί να γίνει ο χειρότερος εχθρός της.

Γιατί;

• ΑΣΦΑΛΕΙΑ ΕΝΑΝΤΙΩΝ ΣΥΜΜΟΡΦΩΣΗΣ:

Σε μια προσπάθεια εφαρμογής της ασφάλειας πολλά πρότυπα έχουν εδραιωθεί ως απαραίτητα και οι ιδιωτικές εταιρείες και οργανισμοί καλούνται να συμμορφώνονται και να τα εφαρμόζουν. Δυστυχώς όμως, στις περισσότερες περιπτώσεις μέσα σε αυτό το πλαίσιο χάνεται η πραγματική ουσία της εφαρμογής των προτύπων αυτών ασφάλειας που δεν είναι άλλη από της αποτροπή, αποφυγή αλλά και μείωση των επιπτώσεων από μια επικείμενη επίθεση αντί της χρήσης τους ως τυπικό δείγμα συμμόρφωσης.

• ΠΕΡΙΟΡΙΣΜΟΣ ΑΠΟΤΕΛΕΣΜΑΤΙΚΟΤΗΤΑΣ:

Στις μέρες μας ακόμα και αν τα πρότυπα ασφάλειας χρησιμοποιηθούν για την αποτροπή, αποφυγή αλλά και μείωση των επιπτώσεων από μια επικείμενη επίθεση κατά κανόνα έχουν μειωμένη αποτελεσματικότητα. Μέσα στο πλαίσιο παροχής υπηρεσιών από παρόχους ασφάλειας έχει γίνει μια μη-σκόπιμη τυποποίηση και γενικοποίηση των παραμέτρων αξιολόγησης. Τα πρότυπα ασφάλειας από εργαλεία που δίνουν προδιαγραφές και κατευθυντήριες γραμμές κατέληξαν να είναι μια λίστα από σημεία που εφαρμόζονται τυφλά και χωρίς καμία απολύτως εξακρίβωση ως προς την ολότητα και αποτελεσματικά τους για την συγκεκριμένη οντότητα υπό αξιολόγηση.

Στην πραγματικότητα το κάθε περιβάλλον και ο κάθε οργανισμός έχει διαφορετικό ρίσκο. Οι παράμετροι κινδύνου είναι διαφορετικοί. Είναι σαν μαθηματικές εξισώσεις, γι’ αυτό και η ασφάλεια χρειάζεται εξατομίκευση «Customization».

Για τον λόγο αυτό, οι μεγαλύτεροι οργανισμοί παγκόσμιας εμβέλειας όπως το NATO και χώρες που είναι πιο εξελιγμένες στον τομέα της ασφάλειας όπως η Αμερική, η Ρωσία και το Ισραήλ κάνουν στροφή από τις μεγάλες εταιρείες τυποποιημένων γενικών λύσεων ασφάλειας σε πάροχους τύπου «boutique» εξατομικευμένης ασφάλειας για να επαναφέρουν την ποιότητα στην παροχή υπηρεσιών που δέχονται και να προστατέψουν πιο αποτελεσματικά τις υποδομές τους. Σε μια προσπάθεια περιορισμού αυτού του προβλήματος οι ρυθμιστικές αρχές ασφάλειας ζητούν από τις ιδιωτικές επιχειρήσεις και οργανισμούς την εναλλαγή και ποικιλία των παρόχων υπηρεσιών ασφαλείας.

• ΤΑΧΥΤΗΤΑ ΕΞΕΛΙΞΗΣ:

Η ασφάλεια είναι δυναμική. Είναι ζωντανός οργανισμός και είναι άρρητα συνδεδεμένη με την τεχνολογία. Ότι μας εξυπηρετούσε στο παρελθόν δεν εξυπηρετεί πλέον με την ίδια αποτελεσματικότητα είτε γιατί η τεχνολογία επιτρέπει την μείωση αποτελεσματικότητας από τακτικές άμυνας του παρελθόντος είτε γιατί εξοπλίζει με περισσότερα και αποτελεσματικότερα εργαλεία επίθεσης τους εγκληματίες.

• ΕΞΕΛΙΓΜΕΝΟ ΠΡΟΦΙΛ ΕΓΚΛΗΜΑΤΙΑ:

Τεραστία σημασία στην εξίσωση της ασφάλειας παίζει το προφίλ του εκάστοτε εγκληματία και οι εξελίξεις στον τομέα των επιθέσεων. Από τον στόχο και σκοπό τους αλλά και τον τρόπο που σκέφτονται οι ενορχηστρωτές επιθέσεων μαζικής κλίμακας ή ακόμα και μεμονωμένων επιθέσεων είναι ουσιώδους σημασίας να καθορίζεται ο τρόπος που πρέπει να αντιμετωπίζονται οι επιθέσεις αυτές. Γι’ αυτό δεν υπάρχει κανένα πρότυπο ασφάλειας που μπορεί να μας καλύψει πλήρως και μεμονωμένα για τις τρέχουσες ανάγκες ασφάλειας μας.

Όπως γράφει ο Σουν Τσου στην Τέχνη του πολέμου, «Για να κατανοήσεις τον εχθρό σου πρέπει να γίνεις ο εχθρός σου». Δηλαδή να λειτουργείς με βάση τις ίδιες αρχές και μεθοδολογία. Να μπορείς να σκεφτείς με τον ίδιο τρόπο που σκέφτεται ο ενορχηστρωτής των επιθέσεων που σε έχει στόχο είτε η επίθεση είναι άμεση είτε έμμεση μιας και μπορεί να είσαι μια τροχαλία ακόμα που πρέπει να υπολειτουργήσει σε ένα σενάριο υβριδικού πολέμου.

• ΑΠΑΡΧΑΙΩΜΕΝΟΙ ΕΝΕΡΓΟΠΟΙΗΤΕΣ ΚΥΒΕΡΝΟ-ΕΠΙΘΕΣΕΩΝ:

Τα πρότυπα ασφάλειας επικεντρώνονται κυρίως στα κενά ασφάλειας των ψηφιακών συστημάτων με ενεργοποιητές επιθέσεων λάθη και παραλήψεις στον κώδικα των συστημάτων αυτών αφήνοντας έτσι ένα τεράστιο ποσοστό σεναρίων εντελώς ακάλυπτο.  Δεν περιλαμβάνουν σενάρια ενεργοποίησης επιθέσεων που βασίζονται σε σφάλματα, τυχαία γεγονότα (π.χ. φυσικές καταστροφές), ή αδυναμίες του ανθρώπινου παράγοντα (λάθη, παραλήψεις, χειραγώγηση ψυχολογίας κ.ο.κ.). Αυτά όμως είναι τα κατ’ εξοχήν σενάρια επιλογής για σύγχρονες κυβερνο-επιθέσεις και σενάρια υβριδικού πολέμου οπότε, εάν ένας οργανισμός επιθυμεί την αποτελεσματική προστασία του δεν έχει παρά να τα υπολογίσει στον σχεδιασμό της ασφάλειας του.

Όλα όσα έχουν αναφερθεί πιο πάνω δεν έχουν σκοπό να ακυρώσουν την χρήση των προτύπων ασφάλειας αλλά αντίθετα να την ενισχύσουν. Ως κύριο σκοπό έχουν να δώσουν τις βάσεις για αποτελεσματικότερη προστασία ενάντια στις σημερινές και μελλοντικές επιθέσεις που καλούμαστε να αντιμετωπίσουμε ως φυσικά πρόσωπα, ιδιωτικοί οργανισμοί και κράτη.

Σε αυτό το σημείο μπορούμε να κάνουμε ένα βήμα πίσω και να δούμε την μεγαλύτερη εικόνα παρά να χαθούμε στις λεπτομέρειες.

Ανταγωνιστικό Πλεονέκτημα

Για να αντιμετωπίσουμε τις σύγχρονες απειλές είτε είναι μεμονωμένες επιθέσεις είτε είναι κομμάτι σεναρίου υβριδικού πολέμου χρειαζόμαστε ένα ανταγωνιστικό πλεονέκτημα ή όπως το λέμε στην γλώσσα της Στρατηγικής Ασφάλειας, έναν πολλαπλασιαστή ισχύος. Χρειαζόμαστε την ίδια μεθοδολογία που χρησιμοποιούν οι ενορχηστρωτές επιθέσεων για να τις αποτρέψουμε, να τις εντοπίσουμε και να τις αντιμετωπίσουμε. Δηλαδή, χρειαζόμαστε ένα Δούρειο ίππο.

Ό,τι δεν κατάφεραν 10 χρόνια πολέμου και ο Αχιλλέας που ήταν ο πιο τρανός πολεμιστής των Ελλήνων το κατάφερε ο πολυμήχανος Οδυσσέας με το μυαλό του φτιάχνοντας έναν Δούρειο Ίππο. Ο Οδυσσέας με έναν πανομοιότυπο τρόπο σκέψης με αυτόν του Δια αντιλήφθηκε ότι οι πόλεμοι δεν κερδίζονται με κόπο αλλά με τρόπο! Η πραγματικότητα είναι ότι τίποτε άλλο δεν μπορεί να ανταγωνιστεί την αποτελεσματικότητα της ΣΤΡΑΤΗΓΙΚΗΣ. Εκεί όπου η σωματική δύναμη και οι υλικοτεχνικοί πόροι είναι ανεπαρκείς  αξιοποιούμε την Στρατηγική.

Είτε πρόκειται για φυσικά πρόσωπα, οργανισμούς, ή κυβερνήσεις η ασφάλεια πλέον χρειάζεται στρατηγική. Και με τον όρο στρατηγική αναφέρομαι στο πλάνο και τον χάρτη για να σχεδιάσετε και να οργανώσετε την ασφάλεια σας.

H βασική αρχή της Στρατηγικής Ασφάλειας είναι η ικανότητα πρόβλεψης γεγονότων (anticipation), ώστε ποτέ να μην υπάρχουν περιθώρια για μια απρόσμενη επίθεση και αιφνιδιασμό. Για την ακρίβεια οι βάσεις της Στρατηγικής Ασφάλειας βρίσκονται στον Στωικισμό. Την φιλοσοφική μεθοδολογία που δημιούργησε ο Κύπριος φιλόσοφος Ζήνων ο Κιτιεύς και η οποία στις μέρες μας είναι η φιλοσοφία που διδάσκεται και εφαρμόζεται από τους πιο ισχυρούς ηγέτες στον πλανήτη, από στρατούς και κράτη που υπερισχύουν.

Η φιλοσοφία επικεντρώνεται στο τι μπορούμε να ελέγξουμε. Αντίθετα, οι εγκληματίες μας κατευθύνουν σε ότι δεν μπορούμε να ελέγξουμε για να μας παραπλανούν σε ένα παιχνίδι όπου οι ίδιοι βάζουν τους κανόνες και τους όρους, και στο οποίο προφανώς είμαστε πάντα καταδικασμένοι να χάνουμε. Αφού ξεκαθαρίσουμε τι μπορούμε να ελέγξουμε χρησιμοποιούμε την ικανότητα πρόβλεψης γεγονότων και αποφυγής αιφνιδιασμού για να  παίξουμε πλέον με αντιστροφή των ρόλων και πολλαπλασιαστών ισχύος που θα μας δώσουν την νίκη. Άλλωστε όπως γράφει ο Σουν Τσου στην Τέχνη του πολέμου, «Η ανώτατη τέχνη πολέμου είναι η υποταγή του εχθρού χωρίς πάλη».

 

Τα συστατικά ασφάλειας νέας γενιάς

Μέσα στο πλαίσιο του υβριδικού πολέμου έχει αλλάξει το περιβάλλον κινδύνου, το προφίλ του εγκληματία, η μεθοδολογία επιθέσεων και υπάρχει επέκταση των στόχων. Όπως είναι φυσικό, απαιτείται πέραν από την αλλαγή και προέκταση της μεθοδολογίας (Στρατηγική Ασφάλειας) και η αναβάθμιση των συστατικών ασφάλειας.

Πιο κάτω είναι τα συστατικά ασφάλειας νέας γενιάς που καλείται να έχει οποιαδήποτε οντότητα για την αποφυγή σεναρίων υβριδικού πολέμου:

Πυλώνας #1 – ΚΑΘΟΡΙΣΜΟΣ ΡΙΣΚΟΥ: ένα από τα πιο ουσιώδη βήματα είναι να καθορίσουμε το ρίσκο της οντότητας υπό αξιολόγησης που είναι μοναδικό και ειδικά μέσα στο πλαίσιο του υβριδικού πολέμου απαιτείται να καθορίζεται από το είδος του οργανισμού, τις κατηγορίες ανταγωνιστών και πελάτων, τα δεδομένα τα οποία διαχειρίζεται, τις κατηγορίες των εγκληματιών που θα τον στοχεύσουν αλλά και τον συστημικό ρόλο που παίζει στο κράτος που είναι εν λειτουργία.

Παραδείγματα:

α) Κυβερνο-επίθεση που εκμεταλλεύτηκε τρύπες ασφάλειας στο firewall συγκεκριμένου συστήματος χτυπά τα Αμερικανικά κέντρα ενέργειας προκαλώντας περιοδικές διακοπές ενέργειας για περίπου 10 ώρες. [5 Μαρτίου 2019]

β) Κυβερνο-επίθεση χτυπά το Ουκρανικό δίκτυο ενέργειας υποκλέπτοντας πληροφορίες και δίνοντας ένα ισχυρό μήνυμα Κυριαρχίας από την Ρωσία. [23 Δεκεμβρίου 2015]

Πυλώνας #2 – ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ: αναφέρεται στους φύλακες, τις ικανότητες τους, τον τρόπο αντίδρασης τους, τις εκπαιδεύσεις τους και ότι άλλο είναι απαραίτητο για να μπορούν να προστατεύουν αποτελεσματικά τον οργανισμό.

Πυλώνας #3 – ΑΣΦΑΛΕΙΑ ΥΠΟΔΟΜΩΝ: Ο συγκεκριμένος πυλώνας αποτελεί βασική προϋπόθεση για κρίσιμες κρατικές υποδομές. Παρόλα αυτά δεν αποτελεί πολύ διαδομένο επίπεδο αξιολόγησης για την ασφάλεια ιδιωτικών οργανισμών και επιχειρήσεων αν και μέσα στο πλαίσιο του υβριδικού πολέμου είναι ουσιαστικό συστατικό. Επιπλέον, δεν υπάρχουν αρκετά άτομα εξειδικευμένα στην αξιολόγηση και τον σχεδιασμό λειτουργικής ασφάλειας των υποδομών η οποία να περιλαμβάνει περιβαλλοντικά στοιχεία όπως την τοποθεσία, τον περιβάλλον χώρο, τις γειτνιάζουσες υποδομές, τα υλικά κατασκευής της υποδομής, την διαμόρφωση του χώρου και των τυχόν επίπεδων και ζωνών ασφαλείας που έχουν καθοριστεί ή υπάρχουν ανεξαρτήτως στοχευμένης ή μη ύπαρξης τους.

Παράδειγμα: Πρεσβεία Αμερικής στην Ρωσίας: Η KGB καταφέρνει να τοποθετήσει συσκευές παρακολούθησης μέσα στα τσιμεντένια θεμέλια της Πρεσβείας. Τον Δεκέμβριο του 1991 ο διευθυντής της  KGB Vadim V. Bakatin δίνει στον Αμερικανό πρέσβη Robert S. Strauss ένα δείγμα από τις συσκευές παρακολούθησης που η KGB είχε καταφέρει να εγκαταστήσει στην Πρεσβεία της Αμερικής στην Ρωσία ενημερώνοντας τον για τις πληροφορίες που είχαν δυνατότητα να υποκλέψουν και τίθεται θέμα για ολοκληρωτική κατεδάφιση του κτηρίου. Η αποκατάσταση ασφάλειας  της Πρεσβείας παίρνει χρόνια και απαιτεί αρκετούς ειδικούς.

Κάπου εδώ περίπου να μπει η 5 ….αλλά αν μπορείς το φτιάξεις να φαίνονται οι λέξεις μέσα στους άσπρους κύκλους παίρνοντας την εικόνα από την σελίδα 11 του pdf που είναι καλύτερης ανάλυσης

Πυλώνας #4 – ΤΕΧΝΟΛΟΓΙΚΗ ΑΣΦΑΛΕΙΑ: Για τους περισσότερους είναι ξεκάθαρο ότι σε αυτή την κατηγορία περιλαμβάνεται η κυβερνο-ασφάλεια και μάλιστα για μια συγκεκριμένη κατηγορία συστημάτων, αυτών που έχουν άμεσα επαφή με τα δεδομένα υπό διαχείριση του οργανισμού.  Όμως δεν είναι το μοναδικό συστατικό της κατηγορίας αυτής μιας και στις υβριδικές επιθέσεις χρησιμοποιούνται έμμεσα ψηφιακά και ηλεκτρονικά συστήματα για την υποκλοπή δεδομένων ή την μετατροπή λειτουργία τους που είναι επιβοηθητική για τον σκοπό της επίθεσης. Στην κατηγορία αυτή περιλαμβάνονται τεχνολογίες προστασίας φυσικών υποδομών όπως συστήματα συναγερμού, συστήματα διαχείρισης και πρόσβασης εισόδου, κλειστά κυκλώματα παρακολούθησης, συστήματα πυρασφάλειας, αλλά και πολλά άλλα ψηφιακά συστήματα που αρχικά περνούν απαρατήρητα όπως ελέγχου και διαχείρισης θερμοκρασίας κ.ο.κ. ανάλογα με την φύση της επιχείρησης. Ως παράδειγμα ενός τέτοιου συστήματος που δεν υπολογίζεται στην εξίσωση της ασφάλειας αλλά έχει τεράστια σημασία στην προστασία του οργανισμού θα ήθελα να σας υπενθυμίσω

α) την μη εξουσιοδοτημένη πρόσβαση σε συστήματα καζίνο στην Αμερική που πραγματοποιήθηκε μέσω της γυάλας με τα ψάρια

β) την διαρροή εμπιστευτικών δεδομένων από κυβερνητικό κρυπτό-σύστημα από μη-κρυπτογραφημένο εκτυπωτή ο οποίος ήταν στον ίδιο περιβάλλοντα χώρο με το κρυπτό-σύστημα.

Πυλώνας #5 – ΣΥΜΠΕΡΙΦΟΡΙΣΤΙΚΗ ΑΣΦΑΛΕΙΑ: Ένας σχετικά νέος πυλώνας για τις ιδιωτικές εταιρείες και οργανισμούς που συνήθως περιορίζεται σε κλασσικές τυπικές εκπαιδεύσεις για διαχείριση πληροφοριακών συστημάτων αλλά δυστυχώς δεν είναι επαρκής. Για κρατικές υπηρεσίες χωρών όπως της Αμερικής και του Ισραήλ είναι ένας τομέας με εξαιρετική βαρύτητα μιας και εστιάζει σε κάλυψη σεναρίων ενεργοποίησης επιθέσεων που βασίζονται σε αδυναμίες του ανθρώπινου παράγοντα (λάθη, παραλήψεις, χειραγώγηση ψυχολογίας κ.ο.κ.) αλλά και ευφυέστερων επιθέσεων που επικεντρώνονται σε τρύπες ασφάλειας κώδικα τύπου «zero days» αλλά και hardware level attacks όπως π.χ. τα backdoors, side-channel attacks κ.ο.κ. Ως μοναδικό τροχοπέδη αυτών των επιθέσεων που απαιτούν την ελίτ ικανοτήτων από τους εγκληματίες  είναι η υποσυνείδητη εκπαίδευση που αλλάζει τις συνήθειες των ατόμων που εμπλέκονται με τον οργανισμό τόσο άμεσα όσο και έμμεσα. Ως απλά παραδείγματα για να γίνει αντιληπτό το συγκεκριμένο σημείο δείτε τα ακόλουθα:

α)  «Υποκλοπή» δεδομένων από ΑΟΖ οδήγησε σε έρευνα για την ασφάλεια πληροφοριών με πιθανότητα να επηρεαστούν οι σχέσεις με τις εταιρείες εξόρυξης υδρογονανθράκων. Η διαρροή πληροφοριών που αφορούν το οικόπεδο 8 προέκυψε λόγω λάθους δημοσίευσης των πληροφοριών στο διαδίκτυο. Η περιβαλλοντική μελέτη για γεωτρητικό στόχο της ΕΝΙ στο τεμάχιο «8» της Κυπριακής ΑΟΖ είχε δημοσιοποιηθεί από το Τμήμα Περιβάλλοντος της Κυπριακής Δημοκρατίας από τον Αύγουστο του 2017. Δεν χρειάστηκε να κάνουν ιδιαίτερες προσπάθειες οι Τούρκοι για να τις πάρουν. [22 Ιανουαρίου 2020]

β) Κινέζοι χάκερς υποκλέπτουν εμπιστευτικές πληροφορίες από την Ευρωπαϊκή Ένωση για περίοδο τριών ετών εξαιτίας τρυπών ασφάλειας, «κακών συνηθειών & ελλειπών μέτρων ασφάλειας» διπλωματών της Κυπριακής Δημοκρατίας. [19 Δεκεμβρίου 2018]

Πυλώνας #6 – ΣΥΣΧΕΤΙΣΕΙΣ ΚΑΙ ΕΞΑΡΤΗΣΕΙΣ ΠΟΥ ΥΠΑΡΧΟΥΝ ΜΕΤΑΞΥ ΔΕΔΟΜΕΝΩΝ, ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΤΟΥ ΑΝΘΡΩΠΙΝΟΥ ΠΑΡΑΓΟΝΤΑ:  Τίποτα στον τομέα της ασφάλειας δεν είναι απομονωμένο και ανεξάρτητο για να μπορεί να τυγχάνει αξιολόγηση ως ανεξάρτητη οντότητα. Οι ιδιωτικές επιχειρήσεις και οργανισμοί εξαρτούνται από ανθρώπους που λειτουργούν ως υπάλληλοι, εξωτερικοί συνεργάτες πάροχοι υπηρεσιών, πελάτες, ή ακόμα και οικογενειακά μέλη. Ο πιο εύκολος τρόπος για να αντιληφθούμε το συγκεκριμένο σημείο είναι με το εξής παράδειγμα:

Επίθεση βασισμένη στα μέση κοινωνικής δικτύωσης: Πράκτορες της Χαμάς ξεγέλασαν Ισραηλινούς στρατιώτες παριστάνοντας γυναίκες έτσι ώστε να εγκαταστήσουν στα κινητά τους εφαρμογές για να δουν τις φωτογραφίες τους. Στην πραγματικότητα όμως, εγκαθιστούν κακόβουλο λογισμικό έτσι ώστε να υποκλέψουν πληροφορίες για τις κινήσεις του Ισραηλινού στρατού χωρίς να χρειαστεί να καταρρίψουν τον σκληρό πυρήνα προστασίας και άμυνας του Ισραήλ. [17 Φεβρουαρίου 2020]

Πυλώνας #7 – ΟΡΓΑΝΩΤΙΚΗ ΔΟΜΗ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ:  Πολλές φορές η ευκαιρία ενεργοποίησης επίθεσης έρχεται μέσα από ελλιπείς ή λανθασμένες πολιτικές, διαδικασίες αλλά και την γενική οργανωτική δομή του οργανισμού. Ως παραδείγματα:

α) οι μυστικές υπηρεσίες της Αμερικής και άλλων χωρών απαγορεύουν σε υπαλλήλους την χρήση κινητών τηλεφώνων και άλλων ηλεκτρονικών συσκευών (π.χ. smartwatch) σε περιοχές και επικοινωνίες ουσιώδους σημασίας για αποφυγή μετατροπής τους σε αυτοσχέδιες συσκευές παρακολούθησης από εγκληματικές οντότητες.

β) ιδιωτικές επιχειρήσεις και οργανισμοί με σωστούς συμβούλους ασφάλειας περιορίζουν την πρόσβαση διοικητικού προσωπικού σε δεδομένα και σημεία που δεν είναι απαραίτητα για την εργασία τους γιατί αποτελούν τους πρώτους στόχους των εγκληματιών εξαιτίας του ρόλου εργασίας τους.

Το πιο ουσιαστικό σημείο για την επιτυχία των πιο πάνω συστατικών ασφάλειας είναι η αρμονική συνύπαρξη τους την οποία μπορούμε να πετύχουμε μόνο με ολιστική και συνδυαστική προσέγγιση και όχι με την  κατακερματισμένη, ανεξάρτητη, και απομονωμένη προσέγγιση που εφαρμόζουν οι οργανισμοί μέχρι σήμερα.

Εν κατακλείδι

Οι υβριδικές επιθέσεις στις μέρες μας είναι καθημερινό φαινόμενο και δεν επηρεάζουν πλέον μόνο κρατικές υποδομές αλλά επιπλέον ιδιωτικές επιχειρήσεις και οργανισμούς. Η φύση των υβριδικών επιθέσεων είναι τέτοια που εκτός από την περίπτωση που αποτελούν επιθέσεις περιορισμένων άμεσων επιπτώσεων, χτίζονται τρομερά προσεγμένα για να μην μπορούν να γίνουν αντιληπτές και να παρθούν μέτρα για να αποτραπεί ο τελικός στόχος τους που εκτυλίσσεται σε βάθος χρόνου.

Οι ενορχηστρωτές επιθέσεων έχουν την ικανότητα να τις οργανώνουν και να  τις σχεδιάζουν μεταμφιέζοντας τες σε τυχαία γεγονότα και ατυχήματα εξαιτίας ανθρώπινων λαθών, παραλήψεων αλλά και σφαλμάτων συστημάτων.

Σε ένα δυναμικά μεταβαλλόμενο περιβάλλον κινδύνων και υβριδικού πολέμου απαιτείται αναβάθμιση τόσο της μεθοδολογίας ασφάλειας όσο και των συστατικών της.

Αξιοποιώντας την Στρατηγική Ασφάλειας μπορείτε να αποκτήσετε το ανταγωνιστικό πλεονέκτημα και να πολλαπλασιάσετε την ισχύ της άμυνας του οργανισμού σας για να αντιμετωπίσετε τις επιθέσεις του σήμερα και του μέλλοντος. Και το πιο σημαντικό, σας δίνει τα εφόδια για να βγείτε νικητές.

Άλλωστε, όλοι οι πόλεμοι βασίζονται στην αποπλάνηση, την εξαπάτηση, την χειραγώγηση και το βασικό ερώτημα που καλείστε να απαντήσετε είναι το εξής:

Έχετε την ικανότητα να αποπλανήσετε, να εξαπατήσετε και να χειραγωγήσετε τον εγκληματία καλύτερα από ότι εκείνος εσάς;