To Κέντρο Διεθνών Στρατηγικών Αναλύσεων-ΚΕΔΙΣΑ διοργάνωσε με μεγάλη επιτυχία την Δευτέρα 21 Νοεμβρίου 2022 διαδικτυακή εκδήλωση (webinar) με θέμα: «Προκλήσεις κυβερνοασφάλειας για την Ελλάδα, την ΕΕ και το ΝΑΤΟ στο σύγχρονο γεωπολιτικό περιβάλλον». Συντονιστής του webinar ήταν ο Γενικός Γραμματέας του ΚΕΔΙΣΑ κ.Βασίλης Παπαγεωργίου.
Ομιλητές ήταν οι:
–Δρ. Ευάγγελος Ουζούνης (Eπικεφαλής του Policy Development and Implementation Unit της European Union Agency for Cybersecurity -ENISA)
–Δρ. Ελένη Καψοκόλη (Ειδική σε θέματα κυβερνοασφάλειας και κυβερνοτρομοκρατίας- Διδάκτωρ Πανεπιστημίου Πειραιώς)
– Άννα Αγγελογιάννη (Ειδική σε θέματα ασφάλειας ψηφιακών συστημάτων και υποδομών 5G-Υποψήφια Διδάκτωρ στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς)
– Βάϊος Μπολγούρας (Ειδικός σε θέματα ασφάλειας ψηφιακών συστημάτων και τεχνολογιών blockchain- Υποψήφιος Διδάκτωρ στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς)
Ο Ιδρυτής και Πρόεδρος του ΚΕΔΙΣΑ, Δρ. Ανδρέας Γ. Μπανούτσος, απηύθυνε σύντομο χαιρετισμό στους ομιλητές και στους συμμετέχοντες στο webinar. Στην εισαγωγική του ομιλία αναφέρθηκε στην ιδιαίτερη θεματική του συγκεκριμένου webinar δεδομένης της πιο τεχνικής του φύσεως, τονίζοντας ωστόσο τη σημαντική του σύνδεση με ζητήματα στρατηγικής και γεωπολιτικής φύσεως, ενώ υπογράμμισε την σημαντικότητα των κυβερνοαπειλών στη σύγχρονη Γεωπολιτική αρένα για την Ελλάδα, την ΕΕ και το ΝΑΤΟ από κράτη όπως η Ρωσία, η Κίνα, το Ιράν και η Βόρειος Κορέα.
Ο συντονιστής του webinar, κ.Βασίλης Παπαγεωργίου, Γενικός Γραμματέας του ΚΕΔΙΣΑ και Ειδικός (Junior Expert) σε θέματα κυβερνοασφάλειας στο τμήμα Cybersecurity in Aviation & Emerging Risks της European Union Aviation Safety Agency – EASA, αναφέροντας πως η κυβερνοασφάλεια αποτελεί πλέον αναπόσπαστο κομμάτι της εθνικής ασφάλειας ενός κράτους. Από την σκοπιά της στρατηγικής, μια επιτυχημένη κυβερνοεπίθεση μπορεί να επιφέρει σημαντικό πλήγμα στον αντίπαλο, ενώ ενδέχεται να έχει σχετικά μικρό κόστος και ρίσκο από την πλευρά του επιτιθέμενου.
Στο παραπάνω πλαίσιο, χαρακτηριστικό παράδειγμα θελκτικών στόχων για επίδοξους δρώντες του διεθνούς συστήματος αποτελούν και οι Κρίσιμες Υποδομές ενός κράτους με σκοπό την εκμετάλλευση πιθανών ευπαθειών των (ΙΤ, ΟΤ) συστημάτων τους. Συνεπώς, προκύπτει η ανάγκη για νομοθέτηση σχετικών κανόνων και εναρμόνιση των σχετικών φορέων με βέλτιστες πρακτικές σε εθνικό και υπερεθνικό επίπεδο.
Ο κ.Παπαγεωργίου ολοκλήρωσε την εισαγωγή του λέγοντας πως στόχος του webinar, είναι αφενός η σύντομη παρουσίαση των πολιτικών αλλά και των σχετικών κανόνων σε ευρωπαϊκό επίπεδο οι οποίοι στοχεύουν, μέσω της εφαρμογής τους, στο να μετριάσουν την επίπτωση των παραπάνω απειλών. Στο παραπάνω πλαίσιο, ο σημαντικός ρόλος του αρμόδιου οργανισμού για την κυβερνοασφάλεια – ENISA σε σχέση με τα παραπάνω αποτελεί μέρος της σημερινής συζήτησης, η παρουσίαση της γεωπολιτικής πραγματικότητας στην Ευρώπη και ο ρόλος του ΝΑΤΟ αναφορικά με την κυβερνοάμυνα (Cyberdefence) αλλά και η παρουσίαση 2 συγκεκριμένων τεχνολογιών (5G & Blockchain), ως περιπτωσιολογικές μελέτες οι οποίες αποτελούν από κοινού νέες προκλήσεις αλλά και ευκαιρίες στον τομέα της ασφάλειας.
Ο Δρ. Ευάγγελος Ουζούνης, επικεφαλής του Policy Development and Implementation Unit στον Ευρωπαϊκό Οργανισμός για την Κυβερνοασφάλεια (ENISA). Ο Δρ. Ουζούνης παρουσίασε εν συντομία τις κύριες δραστηριότητες του Οργανισμού και τόνισε την ολοένα και αυξανόμενη σημαντικότητά του στον τομέα της κυβερνοασφάλειας στην Ευρώπη. Ο ENISA καλύπτει ένα μεγάλο φάσμα δραστηριοτήτων τα οποία κυμαίνονται από την δημιουργία και την υποστήριξη στην εφαρμογή σχετικών πολιτικών σε επίπεδο Κρατών Μελών πάνω στον τομέα της κυβερνοασφάλειας μέχρι την ευαισθητοποίηση σε ευρωπαϊκό αλλά και ατομικό επίπεδο αναφορικά με τους κινδύνους του τομέα.
Βασιζόμενος στα αποτελέσματα σχετικής έκθεσης από τον ENISA παρουσίασε εν συντομία κάποιες κύριες κατηγορίες απειλών οι οποίες απαντώνται πλέον αρκετά και στάθηκε στις απειλές που σχετίζονται με την εφοδιαστική αλυσίδα (supply chain) και την δυσκολία εντοπισμού του συγκεκριμένου είδους επιθέσεων (πχ όταν βρίσκεται κρυμμένο σε open source libraries, hardware κ.α), ενώ υπογράμμισε την παραπληροφόρηση (misinformation – disinformation) ως σημαντική απειλή η οποία οξύνθηκε λόγω του πολέμου στην Ουκρανία.
Παράλληλα, παρουσίαση την εξέλιξη της Ευρωπαϊκής πολιτικής από το 2008 μέχρι σήμερα, χαρακτηρίζοντας ως ορόσημο τη δημιουργία του NIS Directive όπου ώθησε τα Κράτη-Μέλη να υιοθετήσουν μια σειρά από αναγκαία μέτρα που όριζε η νομοθεσία (θέσπιση εθνικής αρχής κυβερνοασφάλειας, υιοθέτηση στρατηγικής κυβερνοασφάλειας). Συνεπώς πλέον η κυβερνοασφάλεια έχει ενταχθεί για τα καλά στη ζωή μας, αποκτώντας ολοένα και μεγαλύτερη σημαντικότητα. Επιγραμματικά, ο ENISA και η Ευρωπαϊκή Επιτροπή ασχολούνται με το NIS2, το Cyber Resilience Act (CRA) για συνδεδεμένες συσκευές (συσκευές με “ψηφιακά στοιχεία”), το DORA, το Network Code, eIDAS2, Cybersec for EUIBAs. Επίσης παρουσίασε τους νέους τομείς τους οποίους καλύπτει το επικαιροποιημένο NISD (NIS2) Directive. Τέλος, παρουσίασε εν συντομία το πλαίσιο Αντιμετώπισης Συμβάντων της ΕΕ και Διαχείρισης Κρίσεων και τους σχετικούς οργανισμούς που το απαρτίζουν.
Απαντώντας σε σχετική ερώτηση του Συντονιστή κ.Παπαγεωργίου, ο Δρ. Ουζούνης ανέφερε ότι οι κύριες προκλήσεις που αντιμετωπίζει ο ENISA αναφορικά με την εφαρμογή του NIS2 είναι κατά βάση τρεις. Πρώτον, ότι εμπίπτουν πλέον πάρα πολλοί τομείς της οικονομίας στα πλαίσια του Κανονισμού με αποτέλεσμα να υπάρχουν χιλιάδες εταιρείες και οργανισμοί που πρέπει να υλοποιήσουν αυτά τα μέτρα, δεύτερον ότι υπάρχει πρόβλεψη για αναφορά ευπαθειών στην νομοθεσία, και συνεπώς θα πρέπει να ετοιμαστεί ένα σύστημα αναφορών ευπαθειών σε Ευρωπαϊκό Επίπεδο το οποίο αυτήν τη στιγμή δεν υπάρχει, ενώ ακόμα και σε επίπεδο κρατών μελών υπάρχουν μόνο ένας πολύ μικρός αριθμός κρατών που διαθέτει ένα τέτοιου είδους πρόγραμμα το οποίο επιτρέπει την συστηματική καταγραφή των ευπαθειών και τρίτον, η ανάγκη για βελτίωση σε θέματα διαχείρισης κρίσεων, θέμα που άπτεται εθνικών πολιτικών σε ζητήματα ασφάλειας ήτοι ευαίσθητα εθνικά θέματα.
Ο ENISA συνεργάζεται με πάρα πολλούς οργανισμούς στα πλαίσια των αρμοδιοτήτων του, συμπεριλαμβάνοντας μεταξύ άλλων πολλούς Ευρωπαϊκούς Οργανισμούς (Κομισιόν και αρμόδιες διευθύνσεις της, EASA, EMSA, ECB, ERA, EUROPOL κ.α) ενώ επεκτείνεται πλέον και σε Διεθνείς Οργανισμούς όπως ο ΟΟΣΑ, CISA κλπ.
Η Ελλάδα, μεταξύ των υπολοίπων κρατών μελών, συμμετέχει στις δραστηριότητες του ENISA με στόχο την ενίσχυση των δυνατοτήτων της στον τομέα της κυβερνοασφάλειας.
Επίσης, ο Δρ. Ουζούνης υπογράμμισε πως είναι σημαντικό να καταλάβουν όλοι οι εμπλεκόμενοι φορείς πως η εναρμόνιση με τις σχετικές νομοθεσίες και συνεπώς η ενίσχυση της κυβερνοασφάλειας των οργανισμών αποτελεί συγκριτικό πλεονέκτημα για τους οργανισμούς. Το κόστος επαναφοράς υπηρεσιών μετά από μια κυβερνοεπίθεση είναι δυσθεώρητο. Συνεπώς το όφελος που έχει ένας οργανισμός για να προστατέψει τα σημαντικά περιουσιακά στοιχεία του (assets) θα πρέπει να υπερισχύει του πιθανού φόβου της “τιμωρίας“ από πλευράς νομοθέτη.
Τέλος, ο ρόλος του ατόμου είναι πολύ σημαντικός στον συγκεκριμένο τομέα, καθώς όλοι είμαστε χρήστες των συγκεκριμένων υπηρεσιών, άρα μπορούμε να αποτελέσουμε είτε τη λύση είτε το πρόβλημα. Θα πρέπει να είμαι ενήμεροι για αυτά τα προβλήματα και τέτοιου είδους εκδηλώσεις (σ.σ. σαν τη σημερινή) βοηθάνε στην κατανόηση του προβλήματος.
Ύστερα τον λόγο πήρε η Δρ. Ελένη Καψοκόλη, ειδική σε θέματα κυβερνοασφάλειας και κυβερνοτρομοκρατίας και Διδάκτωρ Πανεπιστημίου Πειραιώς η οποία παρουσίασε τον τρόπο αντιμετώπισης των απειλών που προέρχονται από τον Κυβερνοχώρο αλλά από την σκοπιά του ΝΑΤΟ.
Συγκεκριμένα, ο ΝΑΤΟ ως πάροχος ασφαλείας έχει ως βασική πρόκληση την υιοθέτηση μιας αποτελεσματικής άμυνας και στο πεδίο του Κυβερνοχώρου. Το ΝΑΤΟ μέσω της στρατηγικής για την την Άμυνα στον Κυβερνοχώρο προσπαθεί να επιτύχει κάποιους βασικούς στόχους όπως είναι η συλλογική άμυνα, η διαχείριση κρίσεων και η ενίσχυση της συνεργασίας.
Η πυραμίδα CIA (Confidentiality, Integrity, Availability) είναι ένα σημαντικό μοντέλο ασφάλειας πληροφοριών. Πιο αναλυτικά τα δεδομένα πρέπει να διασφαλίζονται για την εμπιστευτικότητα τους (confidentiality) την ακεραιότητα τους (integrity), ότι δηλαδή δεν έχουν υποστεί αλλοιώσεις, και την διαθεσιμότητά τους (availability) από τα κατάλληλα (εξουσιοδοτημένα) άτομα όταν απαιτείται.
Τον Απρίλη του 2012, η άμυνα στον Κυβερνοχώρο αποτέλεσε έναν από τους βασικούς πυλώνες του αμυντικού σχεδιασμού του ΝΑΤΟ και αποτελεί πλέον προτεραιότητα της Συμμαχίας. Συγκεκριμένα το ΝΑΤΟ αναφέρει “Πρέπει να είμαστε σε θέση να λειτουργούμε αποτελεσματικά στον Κυβερνοχώρο όσο στον αέρα, στην γη, στη θάλασσα, για να ενισχύσουμε και να υποστηρίξουμε την συνολική αποτρεπτική και αμυντική στάση της Συμμαχίας.” Αναγνωρίζουν συνεπώς τον Κυβερνοχώρο ως ένα ακόμα πεδίο μάχης, και ότι πηγάζουν από αυτόν παρόμοιες απειλές όπως και στα υπόλοιπα πεδία.
Είναι πολύ σημαντική μια πολιτική στρατηγική βασισμένη στην Αρχή της Ανθεκτικότητας. Με άλλα λόγια, τα Κράτη Μέλη θα πρέπει να έχουν αποκτήσει κυβερνο-ικανότητες (cybercapabilities) να οικοδομηθεί εμπιστοσύνη, και να υπάρχει αποτελεσματική απόδοση ευθύνης (attribution) σε περίπτωση κυβερνοεπιθέσεων.
Οι βασικοί στόχοι του ΝΑΤΟ σε αυτόν τον τομέα είναι η παροχή σχετικών πληροφοριών και την ανταλλαγή βέλτιστων πρακτικών, η δημιουργία ομάδων ταχείας αντίδρασης σε απειλές στον κυβερνοχώρο, η κοινή προσέγγιση και ανάπτυξη των δυνατοτήτων των συμμάχων, η ενίσχυση της εκπαίδευσης, της κατάρτισης και των κοινών ασκήσεων, η παροχή ενός ανοιχτού, ελεύθερου και ασφαλή κυβερνοχώρου, η οικοδόμηση ανθεκτικότητας και ενίσχυση της άμυνας στον κυβερνοχώρο.
Το ΝΑΤΟ έχει πληθώρα οργανισμών οι οποίοι δραστηριοποιούνται στον εν λόγω τομέα και ορισμένοι εξ αυτών παρουσιάστηκαν από την Δρ. Καψοκόλη. Έγινε επίσης μνεία στην μετάβαση από την παθητική στην ενεργητική άμυνα. Η παθητική άμυνα αφορά όλα τα μέτρα που προσπαθούν να ελαχιστοποιήσουν την αποτελεσματικότητα των απειλών στον κυβερνοχώρο και αποσκοπούν στην προστασία των περιουσιακών στοιχείων (assets). Η ενεργητική άμυνα σημαίνει πως ένα κράτος ή μια ομάδα κρατών μπορεί να αναλάβει άμεση δράση εναντίον μιας απειλής στον κυβερνοχώρο με την καταστροφή εξουδετέρωση ή μείωση της αποτελεσματικότητας του επιτιθέμενου. Δεδομένου ότι οι νέες τεχνολογίες στον κυβερνοχώρο ευνοούν τον επιτιθέμενο έναντι του αμυνόμενου το ΝΑΤΟ, κατά την εκτίμηση της Δρ. Καψοκόλη, έκρινε ορθά την μετάβαση στην ενεργητική άμυνα. Θα πρέπει να τονιστεί ωστόσο, ότι στην ενεργητική άμυνα, υπάρχει ένα “γκρίζο“ σημείο καθώς συγκεκριμένες ενέργειες ενεργητικής άμυνας μπορούν να οδηγήσουν σε περαιτέρω κλιμακώσεις. Τέλος, οι ΗΠΑ έχουν υιοθετήσει μια προσέγγιση προωθημένης άμυνας αντί ενεργητικής άμυνας ακολουθώντας συγκεκριμένη στρατηγική.
Η ΕΕ και το ΝΑΤΟ έχουν κάνει σημαντικά βήματα στην συνεργασία τους τα τελευταία χρόνια σε τεχνικό και πολιτικό επίπεδο οδηγώντας σε μια πολυεπίπεδη συνεργασία.
Συμπερασματικά, το ΝΑΤΟ έχει σημαντικό ρόλο για την άμυνα και την ασφάλεια στο κυβερνοχώρο ωστόσο περιορίζεται από χρονοβόρες διαδικασίες και την ανάγκη συναίνεσης (consensus) ως προς την απόδοση ευθύνης (attribution) και τη διεξαγωγή επιθετικών ενεργειών. Παράλληλα, το ΝΑΤΟ πρέπει να εξετάσει ποιες επιχειρήσεις θα μπορούσαν να έχουν μεγαλύτερη προτεραιότητα, πόρους και βελτίωση επιχειρησιακά για την προστασία του κυβερνοχώρου. Τέλος, τα κράτη – μέλη πρέπει να ανταποκρίνονται σε συλλογικό και εθνικό επίπεδο για την προστασία του κυβερνοχώρου.
Η κ.Άννα Αγγελογιάννη, Ειδική σε θέματα ασφάλειας ψηφιακών συστημάτων και υποδομών 5G-Υποψήφια Διδάκτωρ στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς. Η κ.Αγγελογιάννη παρουσίασε τα βασικά χαρακτηριστικά των δικτύων 5G, αναφέρθηκε στις προκλήσεις ασφαλείας τους ενώ προσέγγισε το θέμα από την σκοπιά της ΕΕ και του ΝΑΤΟ.
Πιο συγκεκριμένα, το 5G ως πλεονεκτήματα, υποστηρίζει πολύ υψηλές ταχύτητες, μεγαλύτερη χωρητικότητα με δυνατότητα διασύνδεσης εκατομμυρίων συσκευών (π.χ. συσκευές Internet of Things) μικρότερες προς μηδενικές καθυστερήσεις. Στα βασικά χαρακτηριστικά του είναι ότι βασίζεται σε μία νέα αρχιτεκτονική στο δίκτυο κορμού, η οποία είναι πιο εύπλαστη και διαμοιρασμένη και περιλαμβάνει:
- Ψηφιοποίηση εργαλείων από επίπεδο υλισμικού (Hardware) σε επίπεδο λογισμικού (Software) (π.χ. Network Function Virtualization – NFV)
- Εξυπηρέτηση με βάση τις ανάγκες, μέσω υποδομών νέφους (π.χ. MEC)
- Διαχωρισμό δεδομένων δικτύου και δεδομένων χρηστή (π.χ. SDN)
- Εισάγει την ιδέα του “τεμαχισμού” του δικτύου (network slicing) ώστε κάθε κομμάτι του δικτύου να προσαρμόζεται στις ανάγκες της υπηρεσίας
- Υποστηρίζει και πρόσβαση εκτός 3GPP (π.χ. μέσω Wi-Fi)
- Βελτιωμένους αλγορίθμους που αποδίδουν περισσότερη αποδοτικότητα του διαθέσιμου φάσματος με ενίσχυση της διαθεσιμότητας (availability).
Εκτός των νέων χαρακτηριστικών του, το 5G έχει κληρονομήσει κάποια χαρακτηριστικά ασφάλειας από την 4G γενιά. Πιο συγκεκριμένα, η αυθεντικοποίηση τόσο του χρήστη στο δίκτυο όσο και του δικτύου στο χρήστη, η διαπραγμάτευση αλγορίθμων ασφάλειας για την εξασφάλιση εμπιστευτικότητας και ακεραιότητας, καθώς και η διασφάλιση της εμπιστευτικότητας των περισσότερων μηνυμάτων δικτύου αλλά και των μηνυμάτων του χρήστη και ακεραιότητας των μηνυμάτων δικτύου.
Τα νέα χαρακτηριστικά ασφαλείας της γενιάς 5G περιλαμβάνουν ασφαλή αποθήκευση και επεξεργασία των διαπιστευτηρίων συνδρομής, προστασία της ακεραιότητας των δεδομένων του χρήστη, ανίχνευση ψευδούς σταθμού βάσης, αυξημένη προστασία των μοναδικών αναγνωριστικών χρήστη ή συσκευής κατά τη μετάδοσή τους στο ασύρματο κανάλι.
Παρά το γεγονός ότι τα 5G δίκτυα είναι “secure by design” 100% ασφάλεια δεν μπορεί ποτέ να επιτευχθεί. Οι προκλήσεις ασφαλείας της 5ης γενιάς περιλαμβάνουν τη χρήση πολύπλοκης τεχνολογίας (σύννεφο, ψηφιοποίηση, μεγάλα δεδομένα, IoT) την υποχρεωτική κανονιστική συμμόρφωση με τεράστια πρόστιμα (εκατομμύρια για ΓΚΠΔ/GDPR) την έλλειψη υψηλά ειδικευμένων επαγγελματιών ασφάλειας στον κυβερνοχώρο (1,8 εκατομμύρια ανεκπλήρωτες θέσεις εργασίας), και τις εξελιγμένες επιθέσεις και επιτιθέμενους με υψηλή ειδίκευση και επίπεδο γνώσεων (δηλαδή κράτη, χακτιβιστές, εγκληματίες στον κυβερνοχώρο κλπ.)
Η Ευρώπη είναι η πιο προηγμένη περιφέρεια όσον αφορά την πραγματοποίηση μεγάλης κλίμακας δοκιμών 5G σε κάθετους κλάδους (στις οποίες είχε επενδυθεί σχεδόν 1 δισ. ευρώ έως τα τέλη του 2020), συμπεριλαμβανομένων των διαδρόμων μεταφορών 5G. Έως τα τέλη του 2020, υπηρεσίες 5G ήταν διαθέσιμες σε 500 ευρωπαϊκές πόλεις.
Τα δίκτυα 5G θα αποτελέσουν στο μέλλον τη ραχοκοκαλιά των οικονομιών και των κοινωνιών μας, οι οποίες ψηφιοποιούνται ολοένα και περισσότερο. Αφορούν δισεκατομμύρια συνδεδεμένα αντικείμενα και συστήματα, συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται σε κρίσιμους τομείς όπως είναι η ενέργεια, οι μεταφορές, οι τραπεζικές συναλλαγές και η υγεία, καθώς και συστήματα βιομηχανικού ελέγχου που μεταφέρουν ευαίσθητες πληροφορίες και υποστηρίζουν συστήματα ασφαλούς λειτουργίας. Ταυτόχρονα, λόγω της λιγότερο συγκεντρωτικής αρχιτεκτονικής τους, της έξυπνης υπολογιστικής ισχύος στις παρυφές, της ανάγκης περισσότερων κεραιών και της αυξημένης εξάρτησής τους από το λογισμικό, τα δίκτυα 5G παρέχουν στους επιτιθέμενους περισσότερα δυνητικά σημεία εισόδου (αυξάνεται η επιφάνεια επίθεσης).
Η ΕΕ και ο ENISA λαμβάνουν μια σειρά από μέτρα συμπεριλαμβάνοντας σχετικές έρευνες και την δημοσίευση της εργαλειοθήκης 5G.
Το 2020, οι Ηνωμένες Πολιτείες και η Εσθονία ανέθεσαν στο Συνεργατικό Κέντρο Αριστείας Κυβερνοάμυνας του ΝΑΤΟ (CCDCOE) να διεξάγει ένα διετές έργο σχετικά με την αλυσίδα εφοδιασμού (supply chain) 5G και την ασφάλεια του δικτύου. Το έργο αντιμετωπίζει τα τεχνικά, στρατηγικά, νομικά και πολιτικά ζητήματα τηλεπικοινωνιακής υποδομής νέας γενιάς για συμμάχους και στενούς εταίρους του ΝΑΤΟ.
Η μελέτη για τις ευπάθειες έχει βασιστεί στην αναφορά του ENISA, και αναγνωρίζει 3 σενάρια για τη μελέτη ευπαθειών και μέτρων προστασίας, αναφορικά την κίνηση στρατευμάτων, το έξυπνο Λιμάνι και Έξυπνο Οδικό Δίκτυο.
Σύμφωνα με το ΝΑΤΟ, οι λύσεις περιλαμβάνουν την ανάπτυξη ενός ολιστικού μοντέλου ασφάλειας από άκρο σε άκρο (end-to-end), τον καθορισμό μιας ολοκληρωμένης στρατηγικής και πολιτικής ασφάλειας στον κυβερνοχώρο και στην εφοδιαστική αλυσίδα (supply chain), τον καθορισμός των μελλοντικών απαιτήσεων τεχνολογίας, τον σχεδιασμό αρχιτεκτονικής μηδενικής εμπιστοσύνης (zero trust) και τον καθορισμό και μοντελοποίηση απειλών για συγκεκριμένες ανάγκες.
Συμπερασματικά, το 5G είναι μία γενιά δικτύου που έχει λάβει σοβαρά υπόψιν το παράγοντα ασφάλειας, από τον σχεδιασμό, ωστόσο κίνδυνοι εξακολουθούν να υπάρχουν. Τόσο ΕΕ όσο και NATO συμφωνούν ότι είναι απαραίτητη η θέσπιση και η εφαρμογή κοινών πολιτικών ασφάλειας και προτύπων. Αντίστοιχα σε τεχνικό πλαίσιο είναι απαραίτητη η θέσπιση στρατηγικών ασφάλειας, η δημιουργία ασφαλών υποδομών από το σχεδιασμό και η αυστηρή παρακολούθηση και συνεχής έλεγχος αυτών.
Ο κ.Βάϊος Μπολγούρας, Ειδικός σε θέματα ασφάλειας ψηφιακών συστημάτων και τεχνολογιών blockchain και Υποψήφιος Διδάκτωρ στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς. Αναφέρθηκε στον ρόλο αυτής της τεχνολογίας στην καθημερινή μας ζωή αλλά και σε επίπεδο ΕΕ.
Στα πλεονεκτήματα της συγκεκριμένης τεχνολογίας περιλαμβάνονται η διασφάλιση της ακεραιότητας των δεδομένων όπως και η διαφάνεια και η μη αποδοχή ευθύνης (non-repudiation).
Έγινε αναφορά στο γνωστότερο κρυπτονόμισμα, το Bitcoin, το οποίο είναι ουσιαστικά ένα κομμάτι κώδικα, το οποίο βασίζεται πάνω σε μια αποκεντρoποιημένη και κατανεμημένη φύση δικτύου από αρκετούς χρήστες, το οποίο σημαίνει πως δεν ελέγχεται από κάποια κεντρική οντότητα, ενώ επιπρόσθετα, δεν μπορεί κάποιος να κάνει αλλαγές χωρίς να υπάρχει η σύμφωνη γνώμη και η έγκριση της πλειοψηφίας του δικτύου.
Επιπρόσθετα, πέραν του Bitcoin, δημιουργήθηκε η ανάγκη να εκτελέσουμε κάποια προγράμματα επάνω στο Blockchain. Γι’αυτό χρησιμοποιήθηκε το Ethereum το 2014, όπου εκεί έγινε και η εισαγωγή των Smart Contracts. Με άλλα λόγια επιτρέπεται η παρουσία μιας τρίτης αμερόληπτης οντότητας η οποία έχει τον ρόλο του ενδιάμεσου, διασφαλίζοντας την ασφάλεια των συναλλαγών. Εκτός του Ethereum, υπάρχουν και άλλες αποκεντρωμένες εφαρμογές πάνω στο Blockchain. Επίσης, σημαντική είναι η αποκεντροποιημένη οικονομία που πλέον επιτρέπεται μέσω αυτής της τεχνολογίας. Δεν θα πρέπει να ξεχνάμε πως η συγκεκριμένη αγορά δεν έχει ακόμα ρυθμιστεί με ότι αυτό συνεπάγεται.
Λόγω των αρετών αυτής της τεχνολογίας, υπάρχει μεγάλη χρήση πλέον στην καθημερινότητά μας. Η μεταφορά χρημάτων στο εξωτερικό κατά την περίοδο των capital control είναι ένα τέτοιο παράδειγμα. Επίσης σημαντική εφαρμογή έχει στην διασφάλιση βάσεων δεδομένων (Digital Identity).
Η ΕΕ αξιοποιεί επίσης αυτήν την τεχνολογία. Σε επίπεδο διακηρύξεων και πρωτοβουλιών, παρατηρείται μια προσπάθεια αξιοποίησης των πλεονεκτημάτων που προσφέρει η εν λόγω τεχνολογία.
Ο κ.Μπολγούρας παρουσίασε στη συνέχεια κάποιους δείκτες αναφορικά με το μέγεθος της βιομηχανίας του Blockchain στην ΕΕ καθώς και των πόρων που επενδύονται στον συγκεκριμένο τομέα καθώς και σε ποια κράτη μέλη. Αναφορικά με ακαδημαϊκές πρωτοβουλίες, η ΕΕ είναι πρωτοπόρος στην παροχή σχετικών εκπαιδευτικών προγραμμάτων σε παγκόσμια κλίμακα.
Είναι σαφές πως όλα τα κράτη μέλη δεν έχουν τον ίδιο βαθμό ωριμότητας αναφορικά με τους ρυθμιστικούς κανόνες στον τομέα του Blockchain και συνεπώς αυτό δεν διευκολύνει την παροχή επενδύσεων σε αυτόν τον τομέα. Δυστυχώς η Ελλάδα βρίσκεται χαμηλά σε όλους τους σχετικούς δείκτες.
Αναφορικά με τις μελλοντικές προοπτικές, το Blockchain θα συνεχίσει να εξελίσσεται ως τομέας. Έχουν δημιουργηθεί μια σειρά από Ευρωπαϊκές πρωτοβουλίες σε ρυθμιστικό κυρίως επίπεδο οι οποίες στοχεύουν στην επίτευξη μεγαλύτερης ωριμότητας σε επίπεδο ΕΕ στον συγκεκριμένο τομέα.
Μετά τις ολοκλήρωση των παρουσιάσεων ακολούθησε σύντομη συζήτηση και απάντηση στις ερωτήσεις των συμμετεχόντων από τους ομιλητές.
Σε ερώτηση του κοινού αναφορικά με την επιλογή της μετάπτωσης από παθητική σε ενεργητική άμυνα και το αν αυτή βασίζεται σε συγκεκριμένα κριτήρια ή κινείται καθαρά στη σφαίρα της πολιτικής, η Δρ. Καψοκόλη απάντησε πως το ΝΑΤΟ δεν διαφοροποιεί με επίσημο τρόπο (ξεκάθαρη τοποθέτηση όπως ένα δελτίο τύπου) την επιλογή συγκεκριμένης προσέγγισης κατά περίπτωση. Επίσης θα πρέπει να έχουμε στο μυαλό μας ότι το ΝΑΤΟ αποτελεί μια συλλογική οντότητα που αποτελείται από Κράτη Μέλη, με ότι αυτό συνεπάγεται για τον τρόπο λήψης αποφάσεων, αφού οι αποφάσεις λαμβάνονται συναινετικά. Γι’ αυτό τα 3 επίπεδα της απόδοσης ευθύνης (τεχνική, νομική, πολιτική) είναι πολύ σημαντικά. Σε τεχνικό επίπεδο, η απόδοση είναι πολύ δύσκολη ενώ υπάρχουν και άλλοι παράγοντες (πολιτικοί) που πρέπει να συνυπολογιστούν στην λήψη μιας απόφασης. Υπενθύμισε επίσης πως πχ το άρθρο 5 της συλλογικής άμυνας έχει ενεργοποιηθεί μόνο μια φορά μετά την πτώση των δίδυμων πύργων.
Σε ερώτηση του κοινού αναφορικά με το πόσο εύκολο είναι να αναγνωριστεί μια κακόβουλη πράξη σε κάποια κεραία από τον σχετικό πάροχο, και πως αυτό επηρεάζεται από τις απαιτήσεις των 5G δικτύων. Η κ.Αγγελογιάννη ουσιαστικά απάντησε πως υπάρχει τρόπος να αποφευχθούν αυτές οι επιθέσεις ενώ ήταν ακόμα εφικτό ακόμα και από προηγούμενες γενιές. Όσα περισσότερα δεδομένα έχουμε τόσο περισσότερα δεδομένα θα λαμβάνονται υπόψη για να δημιουργηθούν πιο εξελιγμένοι μέθοδοι ανίχνευσης όπως πχ Μηχανική Μάθηση (ML). Το ζήτημα είναι πόσο πρόθυμοι είναι οι πάροχοι να ξοδέψουν παραπάνω χρήματα για την ενίσχυση της ασφάλειάς τους. Τέλος, φαίνεται πως τα δίκτυα 2G κλείνουν σε συγκεκριμένες χώρες, δίκτυα που είναι πολύ πιο ευάλωτα συγκριτικά με το 5G.
Μια άλλη ερώτηση αφορούσε μια πρόσφατη επίθεση που έγινε στα πληροφοριακά συστήματα του Υπουργείου Ψηφιακής Διακυβέρνησης και την αξιολόγησή της. Η Δρ. Καψοκόλη τόνισε ότι όταν συμβαίνει μια κυβερνοεπίθεση χρειάζεται ο απαραίτητος χρόνος για να συλλεχθούν όλες οι αναγκαίες πληροφορίες για την αξιολόγησή της. Εκτός της δυσκολίας της απόδοσης ευθύνης, η διαδικασία συλλογής των στοιχείων είναι συχνά χρονοβόρα.
Τέλος, σε ερώτηση του συντονιστή κ.Παπαγεωργίου, αναφορικά με το ποιοι είναι οι λόγοι για τους οποίους η Ελλάδα βρίσκεται χαμηλά στους σχετικούς δείκτες ωρίμανσης αναφορικά με την αξιοποίηση των τεχνολογιών Blockchain καθώς και το ποιος ο ρόλος των Ερευνητικών προγραμμάτων που προσελκύουμε ως Ελλάδα (πχ H2020, Horizon Europe) και το πως αξιοποιούνται τα ερευνητικά αποτελέσματα τους, ο κ.Μπολγούρας ανέφερε ότι αυτό συμβαίνει για μια σειρά από λόγους, συμπεριλαμβάνοντας φορολογικούς λόγους. Παράλληλα τόνισε πως τα ερευνητικά αυτά προγράμματα μπορούν να δώσουν το έναυσμά για περαιτέρω δραστηριότητες σε εθνικό επίπεδο και η αξιοποίησή τους είναι πολύ σημαντική. Είναι όντως αλήθεια πως το ανθρώπινο δυναμικό που υπάρχει στην Ελλάδα κρίνεται ικανό, και υπάρχουν πολλοί οργανισμοί οι οποίοι προσελκύουν πολλά σχετικά ερευνητικά προγράμματα.
Το webinar ολοκληρώθηκε με την αποφώνηση του συντονιστή για την αξία αυτών των εκδηλώσεων καθώς και τις ευχαριστίες του Ιδρυτή και Προέδρου του ΚΕΔΙΣΑ, Δρ. Ανδρέα Μπανούτσο, και έλαβε πολύ θετικά σχόλια από τους παρευρισκόμενους αφήνοντας ανοιχτή την πόρτα για την διοργάνωση παρόμοιων webinar στο μέλλον.