Tag: Κυβερνοασφάλεια

Posted on

Delphi Economic Forum VII, April 6-9, 2022

In this year’s Delphi Economic Forum VII an extremely interesting panel discussion on “Why Cybersecurity Matters More than Ever”, with distinguished guests Juhan Lepassaar (Executive Director of the European Union Agency for Cybersecurity (ENISA), George Patsis (CEO & Co-Founder, Obrela Security Industries), Artemis Seaford (Public Policy Manager, Cybersecurity Policy Meta), and Tasos Chatzitheodosiou (Vice Chairman and General Manager, Mega Brokers)!

Φέτος συζητάμε στο Φόρουμ των Δελφών για τους λόγους που η κυβερνοασφάλεια έχει σήμερα μεγαλύτερη σημασία παρά ποτέ με διακεκριμένους καλεσμένους (Juhan Lepassaar (Executive Director of the European Union Agency for Cybersecurity – ENISA), George Patsis (CEO & Co-Founder, Obrela Security Industries), Artemis Seaford (Public Policy Manager, Cybersecurity Policy Meta), and Tasos Chatzitheodosiou (Vice Chairman and General Manager, Mega Brokers)!

Posted on

Κυβερνοπόλεμος, όπως λέμε ανταρτοπόλεμος;

Δημοσιεύθηκε στο 2045.gr, 21.03.2022

Ο κυβερνοπόλεμος δεν αποτελεί τον κυρίως πόλεμο, ούτε αποφασίζει την τελική νίκη ή ήττα, όμως, βοηθά έμμεσα, καταπονώντας τον αντίπαλο.

Αυτή την περίοδο στην Ουκρανία εκτός από τον πόλεμο στο πεδίο της μάχης διεξάγεται και πόλεμος στον κυβερνοχώρο (ό,τι και αν περιλαμβάνει αυτός, δηλαδή όχι μόνο το ίντερνετ αλλά και οτιδήποτε ψηφιακό). Κάτι τέτοιο δεν μας είναι άγνωστο ή πρωτόγνωρο, ίσα ίσα θα μπορούσε να υποστηρίξει κανείς ότι κυβερνοπόλεμος διεξάγεται συνεχώς εδώ και χρόνια τόσο μεταξύ «μικρότερων» κρατών (πχ. Ισραήλ – Ιράν ή Ρωσίας με όλες τις γειτονικές της Δυτικές χώρες) όσο και «μεγαλύτερων» αντιπάλων (ΗΠΑ – Κίνας).

Όμως, η επίθεση της Ρωσίας στην Ουκρανία, η γενναία άμυνα των Ουκρανών και οι κυρώσεις της Δύσης έφεραν το θέμα στο προσκήνιο με ένταση – τόση, ώστε το ΝΑΤΟ στο νέο (ανατολικά, για μια ακόμα φορά…) στραμμένο δόγμα του από κοινού με τις, παραδοσιακές, στρατιωτικές δυνάμεις αέρος, ξηράς και θάλασσας να κάνει ειδική μνεία, στο ίδιο επίπεδο με αυτές, και στον κυβερνοπόλεμο.

Το θέμα προφανώς είναι πολύ μεγάλο για να αναλυθεί έστω και ακροθιγώς εδώ, επομένως ακολουθούν μόνο μερικές, αναγκαστικά εισαγωγικές, σκέψεις με στόχο να μας βάλουν στο κλίμα:

  1. Ο κυβερνοπόλεμος είναι ακήρυχτος. Επειδή η επιθετική πράξη δεν συμβαίνει στον πραγματικό κόσμο (άλλο αν τα αποτελέσματά της μπορεί να είναι «πραγματικά»), κανείς δεν μπορεί να πει με βεβαιότητα ούτε πότε ξεκινά ούτε πότε τελειώνει. Επιθέσεις σημειώνονται καθημερινά, εναντίον διαφορετικών στόχων σε διαφορετικά κράτη. Θα μπορούσε δηλαδή να πει κανείς ότι όλα τα έθνη βρίσκονται σε διαρκή εμπόλεμη κατάσταση κυβερνοπολέμου εδώ και χρόνια.
  2. Ο κυβερνοπόλεμος δεν διεξάγεται μεταξύ κρατών. Είναι εξαιρετικά σπάνιο μια κυβερνοεπίθεση να αποδοθεί σε ένα κράτος, δηλαδή στις «επίσημες» κρατικές του υπηρεσίες ή στις ένοπλες δυνάμεις του. Ακόμα και σε περιπτώσεις που μπορούμε να υποθέσουμε τι συνέβη (όπως, για παράδειγμα, ότι πίσω από τον Stuxnet ήταν το Ισραήλ) και πάλι δεν υπάρχει τρόπος να είμαστε απολύτως σίγουροι (ούτε, φυσικά, κανένα κράτος θα παραδεχτεί δημόσια την ενοχή του). Τις περισσότερες φορές οι κυβερνοεπιθέσεις ανατίθενται από ένα κράτος σε «εξωτερικούς συνεργάτες», που δεν μπορούν να συνδεθούν εύκολα με αυτό.
  3. Ο κυβερνοπόλεμος είναι α-τυπικός, δηλαδή δεν εντάσσεται εύκολα στις ήδη γνωστές μας κατηγορίες πολεμικών επιχειρήσεων. Στην Ουκρανία η Ρωσία πέρασε τα σύνορα με τις στρατιωτικές της δυνάμεις και άρχισε να πυροβολεί εναντίον στρατού και αμάχων. Αυτή είναι μια ενέργεια που εντάσσεται στις ήδη γνωστές μας κατηγορίες, και ενδεχομένως στα εγκλήματα πολέμου. Στον κυβερνοχώρο όμως ποια θα ήταν μια αντίστοιχη ενέργεια; Το «φύτεμα» ενός ιού; Το «φύτεμα» ενός κατασκοπευτικού προγράμματος; Το «κατέβασμα» ουκρανικών ιστότοπων; Η επίθεση στο λογισμικό που υποστηρίζει τις υποδομές της Ουκρανίας (ρεύμα, νερό, τηλεπικοινωνίες) με σκοπό τη διακοπή της αντίστοιχης υπηρεσίας; ‘Η μήπως, η δημιουργία ψεύτικων προφίλ στο Facebook για τη διασπορά ψευδών ειδήσεων και το «σπάσιμο» του ηθικού των Ουκρανών; Καθένα από τα παραπάνω; Κάποια από αυτά; Όλα μαζί; Από την άλλη μεριά, η Δύση απαγόρευσε την πώληση οποιουδήποτε προϊόντος υψηλής τεχνολογίας στη Ρωσία, με τη (δηλωμένη) ελπίδα σύντομα όλες οι κρατικές της υποδομές να «πέσουν» λόγω έλλειψεων σε hardware και ενημερώσεων λογισμικού: Μήπως και αυτό συνιστά πράξη κυβερνοπολέμου;
  4. Ο κυβερνοπόλεμος δεν έχει μετρήσιμα θύματα. Κατά κανόνα οι κυβερνοεπιθέσεις δεν οδηγούν, άμεσα τουλάχιστον, σε απώλεια ανθρώπινων ζωών ή σε τραυματισμό. Πρόκειται για επιθέσεις σε ψηφιακές υποδομές, όχι σε σπίτια ή σε στρατόπεδα. Επιδιώκουν τη καταστροφή ή τη δυσλειτουργία, όχι την απώλεια ανθρώπινης ζωής – τουλάχιστον όχι άμεσα, αφού έμμεσα εννοείται πως μια επιτυχημένη κυβερνοεπίθεση μπορεί να οδηγήσει και σε ανθρώπινα θύματα.

Οι παραπάνω λίγες σκέψεις δίνουν το βασικό περίγραμμα του κυβερνοπολέμου. Ένας πόλεμος ακήρυχτος, άτυπος, ασυνήθιστος, χωρίς μετρήσιμα θύματα. Θα μπορούσε κιόλας να ισχυριστεί κανείς, ότι είναι ένας πόλεμος και χωρίς μετρήσιμα οφέλη για όσους τον διεξάγουν, μια διαπίστωση όμως μάλλον άτοπη αφού, επειδή στην πράξη, αφού κάποιοι κάνουν κυβερνοπόλεμο έτσι ή αλλιώς, όλοι οι υπόλοιποι είναι υποχρεωμένοι να ακολουθήσουν.

Σύμφωνα με τα παραπάνω, ο κυβερνοπόλεμος πιο πολύ μοιάζει με τον, ήδη γνωστό, ανταρτοπόλεμο (guerilla warfare), παρά με παραδοσιακό πόλεμο. Με τη βασική εξαίρεση των ανθρώπινων θυμάτων, και ο ανταρτοπόλεμος είναι ακήρυχτος, δεν διεξάγεται με παραδοσιακά μέσα, ούτε μεταξύ «επίσημων» στρατιωτικών ομάδων. Συχνά δεν έχει σαφές σημείο έναρξης ή λήξης, ούτε σαφείς (συμφωνημένους από όλους, τουλάχιστον) στόχους. Επιπλέον, και άλλα, μικρότερης σημασίας, χαρακτηριστικά είναι κοινά μεταξύ των δύο: Διεξάγονται από μικρές ομάδες, δεν απαιτούν πολλά χρήματα, και αποσκοπούν στη φθορά ή δυσλειτουργία, δηλαδή στην καταπόνηση, και όχι στην κατάκτηση ή επικράτηση, δηλαδή στην απόκτηση.

Γιατί είναι χρήσιμη μια τέτοια αναγωγή; Επειδή, ίσως, δίνει με σαφέστερο τρόπο τον ρόλο του κυβερνοπολέμου. Δεν αποτελεί τον κυρίως πόλεμο, ούτε αποφασίζει την τελική νίκη ή ήττα (με τη ρητή διευκρίνηση, που ίσως έπρεπε να έχει γίνει νωρίτερα, ότι στον κυβερνοπόλεμο δεν εντάσσεται η δράση των drones κάθε τύπου). Όμως, βοηθά έμμεσα, καταπονώντας τον αντίπαλο. Το μέγεθος της καταπόνησης και ο ρόλος της (ή ο μη ρόλος της) είναι σχετικά. Εκείνο όμως που είναι σίγουρο είναι ότι ο κυβερνοπόλεμος είναι διαρκής. Είναι σαν να διενεργούνται μονίμως στα μετόπισθεν του αντιπάλου πολεμικές επιχειρήσεις. Αυτό έχει ιδιαίτερη σημασία και για τον αμυνόμενο και για τον επιτιθέμενο. Και, αν η οπτική του επιτιθέμενου δεν μας νοιάζει επειδή ζούμε σε δημοκρατική χώρα της Δύσης, εκείνη του αμυνόμενου μας ενδιαφέρει, και μάλιστα πολύ.

Posted on

Το δικαίωμα στην κυβερνοασφάλεια

Δημοσιεύθηκε στο 2045.gr, 9.09.2021,

Το δικαίωμα του ανθρώπου στην κυβερνοασφάλεια μπορεί να μοιάζει δεδομένο, αλλά η πραγματικότητα είναι μάλλον διαφορετική. Τι χρειάζεται να γίνει για να αποτελέσει αυτονόητο μέρος της ασφάλειας;

Tο θέμα της κυβερνοασφάλειας απασχολεί ήδη πολύ (δείτε και σχετικό κείμενο εδώ, στο 2045.gr), και θα συνεχίσει να απασχολεί και στο μέλλον, καθώς η ζωή μας μετακομίζει σιγά-σιγά από τον πραγματικό στον ψηφιακό κόσμο. Παρότι όμως η σημασία του αυξάνεται καθημερινά, δεν είναι βέβαιο ότι ταυτόχρονα αυξάνεται και η κατανόηση των επιμέρους θεμάτων του. Ή ότι η προσέγγιση σε αυτό από τις οργανωμένες κοινωνίες εξελίσσεται ακολουθώντας τον ίδιο ρυθμό.

Νομική, τεχνική και ανθρώπινη προσέγγιση της κυβερνοασφάλειας

Πριν όμως συζητήσουμε για την ανάγκη εισαγωγής ενός, νέου, δικαιώματος στην κυβερνοασφάλεια, χρήσιμες είναι ορισμένες επισημάνσεις. Η πρώτη και σημαντικότερη αφορά το γεγονός της διάστασης μεταξύ των προσδοκιών του κοινού και της τεχνικής, και νομικής προσέγγισης στο θέμα. Το κοινό, καθένας δηλαδή από εμάς, παίρνει τον όρο κυβερνοασφάλεια κυριολεκτικά – και πολύ καλά κάνει: Η κυβερνοασφάλεια εξασφαλίζει ασφάλεια για όλους μας στο διαδίκτυο. Αντιθέτως όμως, η νομική προσέγγιση μέχρι σήμερα δεν επιδιώκει ακριβώς το ίδιο: Με τον όρο «κυβερνοασφάλεια» ο νόμος σήμερα εννοεί την ηλεκτρονική ασφάλεια ορισμένων κρίσιμων υποδομών (ενέργεια, μεταφορές, νοσοκομεία κα.). Το ίδιο και οι τεχνικοί, οι ειδικοί της κυβερνοασφάλειας: Επιδιώκουν να προστατεύσουν συστήματα υπολογιστών. Το άτομο, ο άνθρωπος, ο χρήστης δεν μπαίνει πουθενά στη νομική και τεχνική συλλογιστική – ή, στην καλύτερη, μπαίνει μόνο έμμεσα.

Η δεύτερη επισήμανση αφορά την τεχνική προσέγγιση στο θέμα. Εδώ μπορεί να ειπωθούν πολλά, αφού η τεχνική πλευρά της κυβερνοασφάλειας είναι μακράν πιο εξελιγμένη από τη νομική ή το ρυθμιστικό πλαίσιο. Το μόνο όμως που ενδιαφέρει αυτό εδώ το κείμενο είναι ότι όλα αυτά τα εργαλεία, όλα αυτά τα δισεκατομμύρια που έχουν δαπανηθεί και δαπανώνται, στοχεύουν να προστατεύσουν υποδομές. Για τους τεχνικούς δεν έχει σημασία ο άνθρωπος, ούτε καν το περιεχόμενο της πληροφορίας: Το μόνο που έχει σημασία είναι να μην «περάσουν» οι επιθέσεις, και να μην δοθεί πρόσβαση στην πληροφορία. Φυλούν τα τείχη, χωρίς να τους νοιάζει τι υπάρχει πίσω από αυτά.

Η τρίτη επισήμανση αφορά το γεγονός ότι η Ελλάδα στον τομέα αυτόν δεν νομοθετεί μόνη. Παρότι το θέμα ανήκει έμμεσα μόνο στην αρμοδιότητα της ΕΕ, στην Ελλάδα εφαρμόζουμε Κοινοτικούς κανόνες και έχουμε ιδρύσει αρχές (ιδίως, την Εθνική Αρχή Κυβερνοασφάλειας, που λειτουργεί ως Διεύθυνση του Υπουργείου Ψηφιακής Διακυβέρνησης και δεν φαίνεται μέχρι σήμερα να διαθέτει ιστότοπο…) σύμφωνα με Κοινοτικές απαιτήσεις. Αυτό βέβαια δεν αποκλείει τη δυνατότητα στο μέλλον να πάρουμε νομοθετική πρωτοβουλία και να πρωτοτυπήσουμε, όμως για την ώρα απλά ακολουθούμε τους υπόλοιπους Ευρωπαίους.

Τέλος, δεν μπορεί παρά να επισημανθεί ότι και ο ίδιος ο όρος «κυβερνοασφάλεια» (παρότι κατά το ήμισυ ελληνικός: «κυβερνο» / cybersecurity) έχει φιλολογικές καταβολές (από το cyberspace του Gibson),  και τελικά μπερδεύει: Εννοεί το ίντερνετ; Κάτι παραπάνω; Κάτι λιγότερο; Όμως, ομολογουμένως αυτή η επισήμανση τελικά περιττεύει, ο όρος από τη λογοτεχνία μπήκε σε νόμους σε όλη την υφήλιο, τελικά δηλαδή ήρθε για να μείνει.

Έχοντας πει τα παραπάνω, μπορούμε άραγε να μιλήσουμε για ένα δικαίωμα καθενός από εμάς στην κυβερνοασφάλεια;

Κατά τη γνώμη μου, ναι. Αλλά, το θέμα χρειάζεται επεξηγήσεις.

Αρχικά πρέπει να σημειωθεί ότι η εποχή μας είναι η εποχή της σωρηδόν πρότασης νέων δικαιωμάτων: Από το δικαίωμα στο ίντερνετ μέχρι το δικαίωμα στο καθαρό νερό,  σε μια ταχυδρομική διεύθυνση, σε έναν τραπεζικό λογαριασμό, στο δικαίωμα της ώριμης ηλικίας, στην κυριολεξία έχει προταθεί να «δικαιωματοποιηθεί» οτιδήποτε βρίσκεται κάτω από τον ήλιο, κάθε πτυχή της καθημερινής μας ζωής. Αυτό φυσικά δεν έχει καμία σχέση με τους «δικαιωματιστές» (μακριά από εμάς!). Είναι απλά η, ίσως σπασμωδική, προσπάθεια της ανθρωπότητας πρώτα να κατανοήσει και μετά να κατοχυρώσει την νέα πραγματικότητα γύρω της, αυτή την μεταβατική περίοδο που ζούμε.

Επομένως, η συζήτηση για ένα νέο δικαίωμα στην κυβερνοασφάλεια δεν μπορεί να ξεφύγει από το γενικό πλαίσιο της «δικαιωματοποίησης», που, αν μη τι άλλο, της αφαιρεί αξιοπιστία.

Το άλλο πλαίσιο από το οποίο δεν μπορεί να ξεφύγει, είναι αυτό του γενικού δικαιώματος στην ασφάλεια.

“Το δικαίωμα στην ασφάλεια είναι, για εμένα τουλάχιστον, ο μόνος λόγος που δημιουργήθηκαν ανθρώπινες κοινωνίες και εξακολουθούμε να ζούμε όλοι μαζί.”

Το ξέρω ότι θυμίζει Λεβιάθαν, όμως για μένα είναι η μόνη πειστική εξήγηση – και για όλους τους υπόλοιπους έστω μια από τις βασικές αιτίες δημιουργίας ανθρώπινων κοινωνιών (οι άλλες που την ανταγωνίζονται είναι η δικαιοσύνη ή η εγγενής κοινωνικότητα του ανθρώπου – καθένας μπορεί να διαλέξει…). Σε κάθε περίπτωση το βασικό δικαίωμα στην ασφάλεια λέει ακριβώς αυτό, ότι καθένας μας δικαιούται να είναι ασφαλής. Ας μην μπούμε στη συζήτηση τι ακριβώς περιλαμβάνει αυτή η «ασφάλεια», δεν χωρά το ίντερνετ όλο για να απαντηθεί. Αντί γι αυτό, ας σκεφτούμε μόνο μήπως η κυβερνοασφάλεια είναι τελικά αυτονόητο μέρος της ασφάλειας.

Για να απαντηθεί αυτό, αν δηλαδή το γενικό μας δικαίωμα στην ασφάλεια καλύπτει και την κυβερνοασφάλεια, θα πρέπει να αρχίσουμε να αναλύουμε τι ακριβώς θα κάλυπτε ένα δικαίωμα στην κυβερνοασφάλεια (αν φυσικά υποθέσουμε ότι συμφωνούμε τι καλύπτει το δικαίωμα στην ασφάλεια, κάτι που είμαι βέβαιος ότι δεν συμβαίνει στην πραγματικότητα, όμως ας κάνουμε μια υπόθεση εργασίας…).

Κυβερνοασφάλεια για τον άνθρωπο και όχι για τα αντικείμενα

Ένα δικαίωμα στην κυβερνοασφάλεια, νομίζω, ότι θα κάλυπτε άτομα και όχι αντικείμενα (assets). Αυτό δεν είναι καθόλου αυτονόητο σήμερα. Όλοι οι νόμοι που παγκοσμίως έχουν εκδοθεί για την κυβερνοασφάλεια καλύπτουν αντικείμενα πληροφορικής (IT assets) και όχι τους ανθρώπους. Το ίδιο και όλες οι προσπάθειες των πληροφορικών: Προσπαθούν να «σώσουν» συστήματα και δίκτυα ή, το πολύ, τις πληροφορίες που τηρούνται σε αυτά, όχι όμως τους ανθρώπους που όλα αυτά αφορούν.

“Επίσης, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε το δικαίωμα στα άτομα να αντιδράσουν, κάθε φορά που θα δέχονταν επίθεση. Ούτε αυτό συμβαίνει σήμερα.”

Όλοι οι νόμοι είναι στραμμένοι στις υποδομές και με μόνο συμμετέχοντα το Κράτος: Αν κάποια υποδομή (νοσοκομείο, ενέργεια κλπ) αποτύχει να πάρει μέτρα και συμβεί ζημιά, το πολύ να φάει πρόστιμο. Το πρόστιμο επιβάλλεται από κρατική αρχή και πάει στο κρατικό ταμείο. Τα άτομα, που τελικά θίχτηκαν, δεν συμμετέχουν πουθενά. Ένα δικαίωμα στην κυβερνοασφάλεια θα το άλλαζε αυτό.

Τέλος, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε στους τρίτους, τους κυβερνο-επιτιθέμενους, μια σαφή εικόνα παραβίασης. Τώρα δεν συμβαίνει αυτό. Οι κυβερνο-εγκληματίες (που συχνά είναι τα ίδια τα Κράτη, αλλά και αυτό δεν χωρά να αναλυθεί εδώ) δεν είναι σαφές τι ακριβώς έγκλημα κάνουν – ή, μάλλον, είναι σαφές ότι το έγκλημά τους δεν στρέφεται κατά ατόμων αλλά κατά οργανισμών (ή και κρατών). Είναι σαν να ληστεύουν τράπεζα ή να διαπράττουν ασφαλιστική απάτη: Παρανομούν, αλλά δεν βλάπτουν άμεσα ιδιώτες. Αυτό έχει (ή δεν έχει) την ηθική αξία του. Αντιθέτως, ένα δικαίωμα στην κυβερνοασφάλεια (όπως, για παράδειγμα, ισχύει στα προσωπικά δεδομένα) θα έφερνε αντιμέτωπο απευθείας τον παραβάτη με το θύμα του. Ο πρώτος θα γνωρίζει ότι βλάπτει, ο δεύτερος θα έχει δικαίωμα (ή και υποχρέωση) να αμυνθεί.

Κάπου εκεί νομίζω ότι βρίσκεται η διαφορά με το γενικό δικαίωμα στην ασφάλεια: Η κυβερνοασφάλεια είναι, ή έστω μπορεί να γίνει, πολύ πιο συγκεκριμένη. Ενώ μπορούμε να συζητάμε για αιώνες τι ακριβώς περιλαμβάνει η «ασφάλεια» για τον άνθρωπο (όπως ήδη κάνουμε, άλλωστε…), η κυβερνοασφάλεια είναι κάτι απτό που συμβαίνει τώρα και χρειάζεται αντιμετώπιση. Ομολογουμένως μετά από δεκαετίες, για παράδειγμα το 2045, θα πρέπει να αλλάξει όνομα(!), καθώς η ψηφιακή ζωή μας πιθανότατα θα έχει γίνει αξεχώριστη με την πραγματική. Άρα μάλλον η γενική ασφάλεια θα περιλαμβάνει και την κυβερνοασφάλεια. Θα θεωρεί δηλαδή καθένας αυτονόητο ότι το περιπολικό της Αστυνομίας μπορεί να κληθεί για να προστατεύσει το σπίτι μας και από κυβερνοεπιθέσεις. Μέχρι να συμβεί αυτό όμως, ή, νομίζω σωστότερα, για να συμβεί αυτό όμως, πρέπει να γίνει ξεκάθαρο σε καθέναν ότι έχουμε δικαίωμα στην κυβερνοασφάλεια – εμείς, οι πολίτες, όχι τα λιμάνια και οι σταθμοί της χώρας.