Κυβερνοεπίθεση στο Κτηματολόγιο: Δεν είχαμε απώλεια δεδομένων ή καταστροφή συστημάτων λέει στα "Παραπολιτικά" ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας
Στο επίκεντρο οι κυβερνοεπιθέσεις
"Κάποιοι μπήκαν στο Κτηματολόγιο και έδειξαν ξεκάθαρα ότι πήραν τα... κλειδιά του συστήματος", τονίζει στα "Π" ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας
Ερευνητής διεθνούς φήμης και διευθυντής Πληροφορικής του ΜΙΤ Media Lab, ο Μιχάλης Μπλέτσας είναι εδώ και λίγους μήνες διοικητής της νεοσύστατης Εθνικής Αρχής Κυβερνοασφάλειας. Τον συναντήσαμε σε κεντρικό καφέ της Αθήνας και μας εξήγησε τους στόχους και τις ανησυχίες του.
Εθνική Αρχή Κυβερνοασφάλειας: Τι είναι ακριβώς και τι θέλετε να πετύχετε με τη νέα αυτή Αρχή;
Η Εθνική Αρχή Κυβερνοασφάλειας είναι η μετεξέλιξη της Γενικής Διεύθυνσης Κυβερνοασφάλειας του υπουργείου Ψηφιακής Διακυβέρνησης. Είναι το κεντρικό συντονιστικό όργανο της χώρας για την κυβερνοασφάλεια. Είναι κυρίως ένας ρυθμιστικός φορέας, που επιβλέπει τη συμμόρφωση με τους κανονισμούς τους οποίους βάζουμε, για να έχουμε πιο ασφαλή συστήματα. Ιδρύθηκε με νόμο τον Φεβρουάριο που πέρασε. Στελεχώνεται αυτήν τη στιγμή σε ένα πολύ βασικό επίπεδο, έτσι ώστε να μπορεί να αρχίσει να παραδίδει πράγματα. Το πρώτο παραδοτέο της Αρχής είναι ο εφαρμοστικός νόμος για την κοινοτική οδηγία NIS2, που είναι η μετεξέλιξη της πρώτης οδηγίας της Ευρωπαϊκής Ενωσης, η οποία ουσιαστικά θέτει ένα ενιαίο ρυθμιστικό πλαίσιο και ένα ενιαίο πλαίσιο λειτουργίας για όλους τους φορείς που παρέχουν ηλεκτρονικές υπηρεσίες, έτσι ώστε αυτές να είναι όσο το δυνατόν πιο ασφαλείς. Αυτός ο νόμος θα πρέπει να έχει ψηφιστεί από όλα τα κράτη-μέλη της Ευρωπαϊκής Ενωσης μέχρι τις 17 Οκτωβρίου και θα αρχίσει να εφαρμόζεται από τις 18 Οκτωβρίου.
Πριν από κάποιες ημέρες σημειώθηκε μια κυβερνοεπίθεση στο Κτηματολόγιο. Σας ανησυχεί το περιστατικό αυτό;
Φυσικά και με ανησυχεί. Αν δείτε την κατάταξη της χώρας από τον Ευρωπαϊκό Οργανισμό Κυβερνοασφάλειας, τον ENISA, τον οποίο, μάλιστα, φιλοξενούμε και στην Ελλάδα, θα διαπιστώσετε ότι η χώρα μας ήταν κάτω από τον μέσο όρο της Ευρωπαϊκής Ένωσης. Kατά την άποψή μου, ήταν μια διερευνητική επίθεση: Δεν είχαμε ούτε απώλεια δεδομένων ούτε καταστροφή συστημάτων κ.λπ., αλλά κάποιοι μπήκαν και έδειξαν ξεκάθαρα ότι πήραν τα «κλειδιά», αν θέλετε, του συστήματος. Δεν έκαναν τίποτα.
Άρα, δεν υπήρξε κάποιο προσωπικό ή άλλο δεδομένο το οποίο να είναι στα χέρια τους αυτήν τη στιγμή.
Όχι. Κοιτάξτε, το Κτηματολόγιο, όπως ξέρετε, δεν έχει και πολλά προσωπικά δεδομένα. Τα στοιχεία του είναι ήδη προσβάσιμα αυτή τη στιγμή σε έναν μεγάλο αριθμό από συμπολίτες μας οι οποίοι δραστηριοποιούνται στον τομέα των ακινήτων και ο σκοπός είναι, όσο περνάει ο καιρός, αυτά τα δεδομένα να γίνονται όλο και πιο εύκολα προσβάσιμα. Εκείνο που με απασχολεί, όμως, και ανησυχώ πάρα πολύ είναι ότι το Κτηματολόγιο είναι μια κρίσιμη υποδομή. Αυτήν τη στιγμή, η οικονομία της χώρας βασίζεται σε πολύ μεγάλο βαθμό στα ακίνητα. Μεγάλο κομμάτι από τις ξένες επενδύσεις που έρχονται στη χώρα αφορά ακίνητα. Επομένως, το κεντρικό σύστημα τίτλων ιδιοκτησίας για μένα είναι μια κρίσιμη υποδομή και μια τέτοια επίθεση και η ευκολία με την οποία έγινε με ανησυχεί πολύ. Η δουλειά μου είναι να ανησυχώ πολύ και να προσπαθήσω να δω πώς δεν θα ξαναγίνει.
Αυτήν τη στιγμή, πόσο καλά προστατευμένες από πιθανές κυβερνοεπιθέσεις είναι οι βασικές υποδομές της χώρας;
Κοιτάξτε, δεν θα με ακούσετε να λέω ποτέ πως είναι επαρκώς προστατευμένες. Αυτή είναι η δουλειά μου. Από την άλλη, παίρνοντας μια απόσταση και βλέποντας τα πράγματα λίγο πιο, αν θέλετε, ουδέτερα, δεν βλέπω λόγο πανικού αυτήν τη στιγμή. Η κυβερνοασφάλεια δεν είναι κάτι που είναι δουλειά κάποιου συγκεκριμένου φορέα. Η Εθνική Αρχή Κυβερνοασφάλειας δεν έγινε για να είναι υπεύθυνη για όλη την κυβερνοασφάλεια. Είναι για να δώσει κατευθυντήριες γραμμές, για να βάλει κάποιους κανονισμούς, με τους οποίους θα πρέπει να συμμορφωθούν όλες οι οντότητες, για να βάλει κάποιες προδιαγραφές τεχνικές, πολλές από τις οποίες, για παράδειγμα, δεν πληρούσε το Κτηματολόγιο. Με τον νέο εφαρμοστικό νόμο, κάποια στιγμή όλοι αυτοί οι φορείς θα πρέπει να συμμορφωθούν και να αυξήσουν το επίπεδο της ασφάλειάς τους.
Τέτοιου είδους μέτρα, για παράδειγμα, βλέπουμε πάρα πολύ στον τραπεζικό τομέα. Είναι αρκετά αυτά από μόνα τους;
Όχι. Οι περισσότερες απάτες έχουν να κάνουν με τον τραπεζικό τομέα. Παρόλο που τα συστήματα των τραπεζών είναι απόλυτα ασφαλή -είναι τα πιο ασφαλή που έχουμε αυτήν τη στιγμή στην πατρίδα μας-, υπάρχει ο παράγοντας άνθρωπος, ο οποίος στη συνέχεια πέφτει θύμα κυρίως απάτης, κοινωνικής μηχανικής. Χρειάζεται μια συλλογική προσπάθεια. Χρειάζεται μια ενημέρωση του κοινού. Σίγουρα δεν χρειάζεται πανικός. Δεν είναι όλα ανοιχτά. Δεν μπορεί ο καθένας να μπει, να πάρει τα δεδομένα, δεν μπορεί να μας εξαπατήσει. Ο τρόπος με τον οποίο γίνονται οι απάτες αυτήν τη στιγμή στη χώρα δεν έχει να κάνει με την ασφάλεια των συστημάτων.
Θα ήθελα το σχόλιό σας και για το προσωρινό παγκόσμιο «μπλακάουτ» που σημειώθηκε. Έχουμε το «φαινόμενο της πεταλούδας»; Ένα λάθος στην CrowdStrike σε μια γωνιά του πλανήτη ακυρώνει μια πτήση σε μια άλλη γωνιά;
Το παράδειγμα της πεταλούδας δεν είναι πολύ καλό στη συγκεκριμένη περίπτωση, γιατί το λογισμικό της CrowdStrike κάθεται μέσα στον πυρήνα του λειτουργικού συστήματος κάθε υπολογιστή. Επομένως, μια αστοχία σε αυτό το λογισμικό επηρεάζει όλο τον υπολογιστή. Σε αντίθεση, ας πούμε, με μια εφαρμογή η οποία μπορεί να κρασάρει - το βλέπουμε συχνά με έναν φυλλομετρητή ιστοσελίδων, όπου χάνουμε ένα παράθυρο, αλλά αυτό δεν σημαίνει τίποτα για τον υπολογιστή μας. Στη συγκεκριμένη περίπτωση, το λογισμικό της CrowdStrike είναι λογισμικό ασφαλείας και εκεί έγκειται η ειρωνεία όλης αυτής της ιστορίας. Ξεκίνησε όταν η CrowdStrike άρχισε να διανέμει μια αναβάθμιση ελαττωματική, που δεν είχε ελεγχθεί επαρκώς. Επειδή, λοιπόν, είναι από τις πρώτες εταιρείες και τις πιο διαδεδομένες στον συγκεκριμένο χώρο, αυτό επηρέασε πάρα πολλούς υπολογιστές κατά τρόπο που, ενώ η βλάβη δεν ήταν περίπλοκη, ήταν δύσκολο να επιδιορθωθεί. Έπρεπε, δηλαδή, σε κάθε υπολογιστή να πάει κάποιος χειροκίνητα και να τους επαναφέρει έναν-έναν. Αυτό ήταν το μεγάλο πρόβλημα. Και επειδή είναι και ένα ακριβό λογισμικό, συνήθως χρησιμοποιείται από οργανισμούς οι οποίοι, αν θέλετε, ανησυχούν πολύ για την ασφάλειά τους.
Δημοσιεύθηκε στην εφημερίδα «Παραπολιτικά»