Της Αγγελικής Βρεττού, μέλους της Ομάδας Αρθρογραφίας

Πηγή εικόνας: εδώ


Εισαγωγή

Ο κυβερνοχώρος, ως η επιτομή της ελευθερίας, ειδικά για τον σύντομο 21ο αιώνα, αποτελεί ένα χώρο ισχυροποίησης των ανθρώπινων σχέσεων αλλά και του ατομικού και κοινωνικού δικαιώματος στην πληροφόρηση και την ελευθερία του λόγου. Εκ βάθρων, ο κυβερνοχώρος έχει τη μορφή ενός εργαλείου που αποσκοπεί στην καλύτερη οργάνωση και λειτουργία μιας κοινωνίας, μέσω της παραγωγής ενσυνείδητων ψηφιακών πρακτικών που εκάστοτε επιφέρουν και αθέλητες συνέπειες. Έτσι, το Ίντερνετ σήμερα αποτελεί αναπόσπαστο κομμάτι της καθημερινότητας του ανθρώπου, ειδικά μετά την επιτακτική ανάγκη για αναπροσαρμογή στη νέα πραγματικότητα λόγω του COVID-19 (τηλεκπαίδευση, σημαντική άνοδος της τηλεϊατρικής, ηλεκτρονικό εμπόριο και ταχυδρομείο, κ.ά.). Ως εκ τούτου, οι όψεις και τα όρια του κυβερνοχώρου είναι δυσδιάκριτα, ενώ με την πάροδο του χρόνου το ζήτημα της κυβερνοασφάλειας αναδείχθηκε σε μείζονος σημασίας.

Κυβερνοασφάλεια ή Κυβερνοπόλεμος;

Η έννοια της κυβερνοασφάλειας είναι ευρέως φάσματος και καλύπτει περιπτώσεις και κινδύνους διαφορετικής φύσης, από τα κυβερνοεγκλήματα και τις κυβερνοεπιθέσεις, στις υποδομές και την προστασία προσωπικών δεδομένων. Υπό αυτό το πρίσμα, η κυβερνοασφάλεια βρίσκεται στην καρδιά σημαντικών διχοτομήσεων, όπως το εσωτερικό και το εξωτερικό ενός κράτους, το δημόσιο και το ιδιωτικό, το αστικό και στρατιωτικό και, ταυτόχρονα, θολώνει τις γεωγραφικές διαφορές μεταξύ κρατών, σε ευρωπαϊκό αλλά και σε παγκόσμιο επίπεδο. Στο πλαίσιο κατανόησης της έννοιας της κυβερνοασφάλειας, με όρους ετυμολογικούς, χρειάζεται πρώτα να αποσαφηνίσουμε πως ναι μεν ο κυβερνοχώρος «παίρνει ζωή» από την Τεχνολογία της Πληροφορίας και των Επικοινωνιών (ICT), όμως αυτό δεν συνεπάγεται υποχρεωτικά τη χρήση αυτών για τη διατήρηση της ασφάλειας στο εν λόγω περιβάλλον. Τόσο η «ασφάλεια του υπολογιστή» όσο και η «διασφάλιση της πληροφορίας», αλλά και η «ασφάλεια της πληροφορίας», είναι έννοιες αλυσιδωτές, οι οποίες αποβλέπουν από κοινού στην προστασία του απορρήτου, της ακεραιότητας και της πρόσβασης στην πληροφορία, καμία από αυτές εντούτοις δεν διευθετεί ακριβώς την κυβερνοασφάλεια. Ένας κοινά αποδεκτός όρος για την κυβερνοασφάλεια αποτελεί ο ορισμός του αγγλικού λεξικού του Oxford: «Η κατάσταση κατά την οποία το άτομο είναι προστατευμένο από οποιαδήποτε εγκληματική ή μη εξουσιοδοτημένη χρήση ηλεκτρονικών δεδομένων ή μέσων».

Η ασφάλεια του κυβερνοχώρου, όπως συνδέεται άρρηκτα με την «κοινωνία της πληροφορίας» για τη διασφάλιση των προσωπικών δεδομένων όλων των υπολογιστών του κόσμου, κλονίζεται από τις κυβερνοεπιθέσεις. Οι ίδιες αφορούν στις διαφορετικές κακόβουλες ψηφιακές πρακτικές που στοχεύουν τόσο τα άτομα όσο και τις εταιρίες, ή ακόμα και κυβερνητικά συστήματα, με σκοπό την σύγχυση και διάλυση των τεχνολογικών συστημάτων, ή αποτελούν ένα μέσο κλοπής των δεδομένων και πρόσβασης σε απόρρητα αρχεία (λ.χ. κλοπή/ανάκτηση δεδομένων ενός ατόμου ή μιας εταιρίας).

Οι απειλές στον κυβερνοχώρο εκδηλώνονται ποικιλοτρόπως. Από τις κυριότερες κυβερνοαπειλές που μας εφιστά την προσοχή ο ENISA, είναι το λυτρισμικό (ransomware): είναι μια μορφή κακόβουλης επίθεσης, όπου οι κυβερνοεγκληματίες κρυπτογραφούν τα δεδομένα ενός οργανισμού και ζητούν λύτρα για την αποκατάσταση της πρόσβασης στα δεδομένα, όπως συνέβη στον Δήμο Θεσσαλονίκης το Μάρτιο του 2022. Το malware (κακόβουλο λογισμικό) αποτελεί ένα λογισμικό σχεδιασμένο να προκαλέσει βλάβες ή διαταράξεις ή απόκτηση μη εξουσιοδοτημένης πρόσβασης σε συσκευή. Μια άλλη συχνή κυβερνοαπειλή, σε μορφή επιθέσεων, είναι το phishing, δηλαδή το «ψάρεμα» μέσω ηλεκτρονικού ταχυδρομείου, επίσκεψης μιας ιστοσελίδας ή η λήψη ενός συνημμένου αρχείου, συνιστώντας απόπειρες υποκλοπής κωδικών πρόσβασης ή στοιχείων πιστωτικών καρτών. Οι απειλές μπορούν επίσης να έχουν την μορφή παραβίασης δεδομένων (data breach) ή διαρροής ευαίσθητων προσωπικών στοιχείων σε αναξιόπιστα περιβάλλοντα, ή εκδηλώνονται ως επιθέσεις άρνησης υπηρεσιών (denial-of-service (DoS) attacks) όταν κάποιος κακόβουλος παράγοντας αλλοιώνει τη λειτουργία του μηχανισμού, καθιστώντας αδύνατη τη χρήση της συσκευής από τον κανονικό της χρήστη. Τέλος, εφόσον το ενδιαφέρον για τα κρυπτονομίσματα εγείρεται σημαντικά, το cryptojacking (cryptomining) συνιστά μια από τις μεθόδους όπου το κακόβουλο λογισμικό είναι σχεδιασμένο να λειτουργεί ως εργαλείο εξόρυξης κρυπτονομισμάτων (π.χ. Bitcoin, Ethereum, κ.ά.) ή κλοπής των μη-εμπορεύσιμων «μαρκών» (γνωστών και ως NFTs (non-fungible tokens)) στις μολυσμένες συσκευές.

Η έκταση του προβλήματος

Καθώς οι χάκερς γίνονται ολοένα και πιο ευρηματικοί, κακόβουλοι και άπληστοι, φαίνεται πως ο κίνδυνος είναι γενικευμένος, καθιστώντας δύσκολο τον εντοπισμό του άμεσα απειλούμενου. Εφόσον μέχρι το 2025 η ανθρωπότητα θα έχει φτάσει πλέον τα 175 zettabytes σε συλλογικά δεδομένα, συμπεριλαμβανομένων αυτών από streaming εφαρμογές έως βάσεις δεδομένων υγείας, είναι κατανοητή η ζωτικής σημασίας προστασία και ασφάλεια του κυβερνοχώρου.

Κάθε χρόνο οι κυβερνοαπειλές εξαπλώνονται και εξελίσσονται, με την πιο συχνή μορφή από όλες (τουλάχιστον για την περίοδο 2020-2022) να είναι το λυτρισμικό και οι σχεδιασμένες στην ζωή του θύματος επιθέσεις, μέσω της προσωποποίησης στα μέσα κοινωνικής δικτύωσης. Ταυτόχρονα, η άνοδος της διαρροής δεδομένων έχει αυξηθεί σε σχέση με άλλα έτη, παρόλο που ο αριθμός των θυμάτων μειώθηκε κατά 50% σε σύγκριση με το 2021. Μάλιστα, σύμφωνα με μελέτη της Deloitte και της Manufacturer’s Alliance for Productivity and Innovation (MAPI), διαπιστώθηκε ότι 8 στους 10 κατασκευαστές ψηφιακών προϊόντων ή ηλεκτρονικών συσκευών δεν ήταν πάντα σε θέση να ανιχνεύσουν και να ανταποκριθούν στις κυβερνοαπειλές.   

Έχοντας ως αναφορά πραγματικά γεγονότα, μπορούμε να πούμε με σιγουριά πως η απειλή της Ρωσίας και της Κίνας είναι αισθητή, αφού για την περίοδο 2009-2019 οι ρωσικές επιθέσεις προκάλεσαν πάνω από 75 “ατυχήματα” σε 19 χώρες. Την ίδια περίοδο, για τα κινεζικά δεδομένα, σημειώθηκαν πάνω από 80 κυβερνοεπιθέσεις με «κρατική χρηματοδότηση», στοχεύοντας 20 χώρες. 

Όσον αφορά το ενωσιακό πεδίο, το σημείο εκκίνησης μιας σχεδιασμένης πολιτικής κυβερνοασφάλειας ήταν η περίπτωση κυβερνοεπίθεσης στην Εσθονία το 2007, όπου η Προεδρία, η Βουλή, τα Υπουργεία τα Κόμματα, τα ΜΜΕ, οι υποδομές επικοινωνίας και οι τράπεζες έπεσαν θύματα της Ρωσίας. Το σημείο αναφοράς ωστόσο, για την εν γένει συνεργασία των κρατών-μελών, στο πλαίσιο της Στρατηγικής για την Κυβερνοασφάλεια, αποτέλεσε η επίθεση WannaCry το Μάιο του 2017, όταν πολλαπλά λυτρισμικά (επονομαζόμενα WannaCry) εξαπλώθηκαν παγκοσμίως, μολύνοντας εκατοντάδες χιλιάδες συστήματα ατόμων και οργανισμών, συμπεριλαμβανομένης της ΕΕ. Η επίθεση ήταν τόσο εξαπλωμένη ώστε να επηρεάσει πάνω από 150 χώρες, προκαλώντας βλάβες σε τομείς όπως της υγείας, του κράτους, των επικοινωνιών και του πετρελαίου, ύψους 1 δισ. ευρώ μέσα σε μία εβδομάδα.

Η Ευρώπη εν δράσει

Η άνοδος της ασφάλειας σε ύψιστη προτεραιότητα αντανακλάται σε μια ευρύτερη τάση στα πλαίσια ανάπτυξης της έννομης τάξης της ΕΕ για συνοχή στις κύριες θεσμικές αρχές (λ.χ. η Συνθήκη του Μάαστριχτ (1992) προέβλεπε τη συνοχή της εξωτερικής, οικονομικής και αναπτυξιακής πολιτικής ως ένα σύνολο). Έτσι, μέχρι τα μέσα του 2000 και τη συνειδητοποίηση πως τα συστήματα πληροφορίας και τεχνολογιών είναι ευάλωτα σε εξωτερικές απειλές, συγκεκριμένα τρομοκρατικής φύσης, τα κράτη λειτουργούσαν αυτόνομα, με κρατικές πολιτικές προστασίας από τις δυνητικές κυβερνοεπιθέσεις. 

Στην πρώτη γραμμή αντιμετώπισης των κυβερνοαπειλών στο ευρωπαϊκό έδαφος βρίσκεται ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια, ο ENISA, που εδραιώθηκε το 2004 και συγκαταλέγεται στις πρώτες κοινές δράσεις των κρατών-μελών της Ευρώπης για την διασφάλιση ενός υψηλού επιπέδου ψηφιακής ασφάλειας, μέσω της ανταλλαγής πληροφοριών και της ανάπτυξης δεξιοτήτων ταχύτητας και ακρίβειας. Οι δράσεις του ENISA ενισχύθηκαν ιδιαίτερα με την Πράξη της ΕΕ για την κυβερνοασφάλεια το 2019, με την παραχώρηση περισσότερων πόρων και νέων αρμοδιοτήτων στην πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών.

Το πρώτο κείμενο αντιμετώπισης του ευρέος φάσματος των κυβερνοαπειλών δημοσιεύτηκε το 2013, και ήταν η Ευρωπαϊκή Στρατηγική Κυβερνοασφάλειας. Η στρατηγική εστίαζε στο όραμα, τους ρόλους και τις ευθύνες, καθώς και τις απαιτούμενες από την Ευρωπαϊκή Ένωση πράξεις στον τομέα της κυβερνοασφάλειας. Δίνεται έμφαση κατ’ αυτό τον τρόπο σε τρεις πυλώνες δράσης: α) την ασφάλεια του δικτύου και της πληροφορίας, β) την ενδυνάμωση του νόμου και γ) την άμυνα. Δύο χρόνια αργότερα, το 2015 (και με τη συμβολή στις διαδικασίες από οργανισμούς όπως η Europol, η Eurojust, ο CEPOL και το European Cybercrime Centre) υιοθετήθηκε η Ευρωπαϊκή Ατζέντα Ασφάλειας (2015-2020) που τόνισε την ανάγκη για ενισχυμένη συνεργασία και αγώνα κατά του κυβερνοεγκλήματος, της τρομοκρατίας και του οργανωμένου εγκλήματος. Απόρροια αυτής, ήταν η εφαρμογή της Οδηγίας για την Ασφάλεια του Δικτύου και των Συστημάτων Πληροφορίας της ΕΕ, το 2016, η οποία απέβλεπε στην εναρμόνιση των δεξιοτήτων των κ-μ της Ένωσης στον τομέα της κυβερνοασφάλειας, για να ευοδωθεί το 2019 η Πράξη της ΕΕ για την κυβερνοασφάλεια, εφοδιάζοντας περαιτέρω την ευρωπαϊκή έννομη τάξη σε ό,τι αφορά τα προϊόντα και τις υπηρεσίες στον κυβερνοχώρο.

Επίλογος 

Η ΕΕ, φροντίζοντας πάντα για τη στενή της συνεργασία με εξωτερικούς παράγοντες (τρίτες χώρες) αλλά και με τον ΟΗΕ και το ΝΑΤΟ, φιλοδοξεί να επενδύσει σε νέα εργαλεία και τεχνογνωσίες για την άσκηση δύναμης στον κυβερνοχώρο, επισφραγίζοντας το εγχείρημά της με ένα σταδιακά ισχυρότερο θεσμικό πλαίσιο. Ωστόσο, η έλλειψη αυτή σε δεξιότητες και τα διαφορετικά επίπεδα ανάπτυξης κάθε κράτους-μέλους, φαίνεται πως θα δοκιμάσουν το έργο της ΕΕ σε θέματα ασφάλειας και άμυνας, αναδεικνύοντας τη διάσταση στρατηγικής ισχύος μεταξύ της ίδιας και μεγαλύτερων δυνάμεων, όπως οι ΗΠΑ, η Κίνα και η Ρωσία.


Βιβλιογραφία

2019 Deloitte and MAPI Smart Factory Study: Capturing value through the digital journey (2019). Deloitte Insights, MAPI. Retrieved from here

Κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA (“Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια”) και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και τηλεπικοινωνιών και για την κατάργηση του Κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (2019). Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (L 151). Retrieved from here

Παπαδόπουλος, Γ. (2022). Επιδημία… κυβερνοεπιθέσεων για λύτρα. Η Καθημερινή. Retrieved from here

Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions: The European Agenda on Security (2015). European Commission [COM(2015) 185 final]. Retrieved from here

Coughlin, T. (2018). 175 Zettabytes by 2025. Forbes. Retrieved from here

ENISA Threat Landscape Report (2021). European Union Agency for Cybersecurity. Retrieved from here

Gillis, A.S. (2020). What is Phishing? How it Works and How to Prevent It. TechTarget. Retrieved from here

Henriquez, M. (2022). 92% of data breaches in Q1 2022 due to cyberattacks. Security. Retrieved from here

Joint Communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions – Cybersecurity of the European Union: An Open, Safe and Secure Cyberspace (2013). European Commission, High Representative of the European Union for Foreign Affairs and Security Policy [JOIN(2013) 1 final]. Retrieved from here

McGuinness, D. (2017). How a cyber attack transformed Estonia. BBC News. Retrieved from here

Understanding Denial-of-Service Attacks (2009). Cybersecurity & Infrastructure Security Agency. Retrieved from here

WannaCry Ransomware: First ever case of cyber cooperation at EU level. European Union Agency for Cybersecurity. Retrieved from here


logo_transparent

H SAFIA (Student Association For International Affairs) δεν υιοθετεί ως Οργανισμός πολιτικές θέσεις. Οι απόψεις που δημοσιεύονται στο The SAFIA Blog αποδίδονται αποκλειστικά στους συγγραφείς και δεν αντιπροσωπεύουν απαραίτητα τις απόψεις του Σωματείου, του Διοικητικού Συμβουλίου ή των κατά περίπτωση και καθ’ οιονδήποτε τρόπο συνεργαζόμενων φορέων.