O Δρ. Ευάγγελος Oυζούνης, Head of Secure Infrastructure & Services Unit του ENISA (European Network and Information Security), μιλάει στο netweek και καταγράφει τις κυριότερες προκλήσεις που αντιμετωπίζουν οι ειδικοί του χώρου σήμερα, αλλά και για τους κυριότερους κινδύνους που θα κληθούν να διαχειριστούν στο μέλλον.

netweek: Ποιος είναι ο ρόλος σας στην ENISA και γιατί αυτός ο οργανισμός είναι τόσο σημαντικός για το IT Security στην Ευρώπη;

Δρ. Ευάγγελος Oυζούνης: Είμαι υπεύθυνος στον ENISA για τον τομέα των κρίσιμων υποδομών, μια από τις τρεις βασικές περιοχές δραστηριοποίησης του οργανισμού. Στις αρμοδιότητές μου συμπεριλαμβάνονται οι μελέτες γι’ αυτόν τον τομέα – όπως είναι, για παράδειγμα, τα smart grids, τα smart homes, τα smart cities (ειδικά στο κομμάτι των ΜΜΜ σε μεγάλες πόλεις) -το cloud (για το οποίο έχουμε κάνει πολλά τα τελευταία χρόνια), οι τηλεπικοινωνίες, αλλά και νέες περιοχές, όπως είναι τα Big Data κ.λπ.

Όσον αφορά τον ENISA ειδικότερα, είναι ένας οργανισμός που ασχολείται με ασφάλεια δικτύων και Πληροφοριών, δεν έχει επιχειρησιακό ρόλο, λογοδοτεί στο Ευρωπαϊκό Κοινοβούλιο και ο ρόλος του είναι καθαρά συμβουλευτικός. Ήτοι συμβουλεύει τα κράτη μέλη και τον ιδιωτικό τομέα για ζητήματα που σχετίζονται, εκτός των άλλων, και με την περιοχή των κρίσιμων υποδομών, εκδίδει καλές πρακτικές σε συνεργασία με τα κράτη μέλη, συνεισφέρει στην ενίσχυση της συνεργασίας κοινού ενδιαφέροντος ανάμεσα στον ιδιωτικό και τον δημόσιο τομέα, βοηθάει την Ευρωπαϊκή Επιτροπή να υλοποιήσει νομολογίες (όπως το Mandatory Incident Reporting στις τηλεπικοινωνίες), με απώτερο στόχο να υπάρχει μια αρμονική υλοποίηση σε όλα τα Κράτη Μέλη κ.α.

netweek: Υπάρχει μια γενική εντύπωση ότι η Ευρώπη δεν έχει κάνει πολλά πράγματα για την κυβερνοασφάλεια. Ποια είναι η άποψή σας;

Δρ. Ευάγγελος Oυζούνης: Θεωρώ ότι αυτό δεν είναι σωστό. Όλοι οι stakeholders που ασχολούνται με το θέμα κάνουν ότι μπορούν. Για παράδειγμα, μια τράπεζα που αντιλαμβάνεται τις απειλές και το πώς αυτές επιδρούν στο επιχειρησιακό της μοντέλο, παίρνει τα κατάλληλα μέτρα για να γίνει πιο ανθεκτική και ασφαλής. Το ίδιο γίνεται και με εταιρείες ενέργειας, μεταφορών, τηλεπικοινωνιών και ISPs. Όλοι συμβάλουν στη γενική προσπάθεια. Τα κράτη μέλη έχουν συνειδητοποιήσει την κατάσταση κι έχουν αναπτύξει εθνικές στρατηγικές γι΄ αυτό. Η Ευρώπη, ως Ευρωπαϊκή Επιτροπή, προσπαθεί να αναλάβει πρωτοβουλίες. Το θέμα του security είναι αρκετά ευαίσθητο, καθώς άπτεται πολύ της εθνικής ασφάλειας των Κρατών Μελών. Τα όρια ανάμεσα στο τι επιτρέπεται στην Ευρωπαϊκή Επιτροπή και τι στα Κράτη Μέλη είναι λίγο ασαφή.

Και αυτό αφήνει χώρο για πολύ συζήτηση. Αν και κάποια πράγματα καθυστερούν, θεωρώ ότι η Ευρώπη έχει κάνει πολλά στο θέμα της ασφάλειας. Άλλωστε, το threat landscape αλλάζει και εξελίσσεται τόσο γρήγορα που, ενδεχομένως, να μην μπορούν να αντιμετωπιστούν άμεσα όλα τα συμβάντα. Επίσης, η σημερινή εξάρτηση από τις τηλεπικοινωνίες, τις υπηρεσίες, το ΙΤ, το cloud computing, τα smartphones κ.λπ. είναι τόσο μεγάλη, που και το παραμικρό συμβάν εμφανιστεί μπορεί να επηρεάσει πολύ κόσμο. Και αυτό μας δίνει την εντύπωση ότι χειροτερεύει την κατάσταση. Ωστόσο, θεωρώ ότι αυτό δεν ισχύει, καθώς απλά αυξάνονται οι πιθανότητες επιθέσεων. Εμείς σίγουρα, προσπαθούμε να κάνουμε το καλύτερο δυνατόν.

netweek: Η ψηφιοποίηση έχει ως αποτέλεσμα κρίσιμες εθνικές υποδομές και μεγάλες βιομηχανικές μονάδες να εξαρτώνται όλο και περισσότερο από τα πληροφοριακά συστήματα. Τι μέτρα έχουν παρθεί για την προστασία αυτών των συστημάτων;

Δρ. Ευάγγελος Oυζούνης: Εξαρτάται από την εκάστοτε περίπτωση. Υπάρχουν υποδομές, όπως οι τηλεπικοινωνιακές, οι οποίες σχετίζονται μόνο με το ΙΤ και αυτοί που εργάζονται σε αυτές γνωρίζουν πολύ καλά τι σημαίνει cyber attack, έχουν εμπειρία, καταλαβαίνουν την τεχνολογία και ανταποκρίνονται σχετικά εύκολα στις προκλήσεις. Υπάρχουν, ωστόσο, και περιοχές, οι οποίες χαρακτηρίζονται από διαφορετική κουλτούρα εργασίας, έχουν εξελιχθεί όλα αυτά τα χρόνια, στηρίζονται σε παλιομοδίτικες εφαρμογές – όπως, για παράδειγμα, εργοστάσια παραγωγής ενέργειας, εταιρείες μεταφορών, διαχειριστές λιμανιών, αεροδρομίων και συστημάτων φωτεινών σηματοδοτών μέσα στις πόλεις κ.λπ. – , υποδομές που χρησιμοποιούσαν παλιότερα propriety τεχνολογίες και αυτές, για διάφορους λόγους, είναι internet based. Αυτοί οι οργανισμοί καλούνται να αντιμετωπίσουν δύο προκλήσεις.

Η μία έχει να κάνει με το θέμα του safety- που απασχολεί παραδοσιακά μηχανικούς μεγάλης ηλικίας με πολύ μεγάλη γνώση στο αντικείμενο, κυρίως ηλεκτρολόγους μηχανικούς και ηλεκτρονικούς μηχανικούς – και υπάρχει και το θέμα του cyber security, το οποίο έχει να κάνει με attacks σε τέτοια συστήματα. Σε αυτούς τους οργανισμούς θα έλεγα ότι λείπει η γνώση του cyber security. Αυτοί θα χρειαστούν να προσλάβουν νέα άτομα που θα καταλαβαίνουν το θέμα, θα αναπτύσσουν μια λογική γύρω από το cyber security, θα δημιουργούν υποδομές κ.λπ. πράγματα, τα οποία απαιτούν κάποιο χρόνο για να ωριμάσουν. Και επειδή αυτά κοστίζουν, πολλές από αυτές τις εταιρείες – μέχρι να την «πατήσουν» με κάποιο περιστατικό – καθυστερούν ή δεν το καταλαβαίνουν ότι πρέπει να δράσουν. Αλλά αργά ή γρήγορα όλες οι εταιρείες, σιγά-σιγά, θα προχωρήσουν προς αυτή την κατεύθυνση.

netweek: Μπορείτε να μας κάνετε μια εκτίμηση για τις οικονομικές ζημίες που προκαλούνται στις επιχειρήσεις από τις ψηφιακές επιθέσεις;

Δρ. Ευάγγελος Oυζούνης: Δεν έχω μια σαφή εκτίμηση, αλλά σύμφωνα με πρόσφατη μελέτη εταιρείας που δραστηριοποιείται σε αυτό το χώρο, οι οικονομικές απώλειες είναι της τάξης των 400-500 δισ. ευρώ ετησίως. Αυτό είναι ένα τεράστιο νούμερο και δείχνει ξεκάθαρα ότι το κόστος των επιθέσεων γίνεται, πλέον, τόσο μεγάλο που αγγίζει το κόστος της λύσης του προβλήματος. Αυτό ωθεί πολλές εταιρείες να δείξουν μεγαλύτερη σοβαρότητα στο θέμα της ασφάλειας από ότι στο παρελθόν.

netweek: Κατά την άποψή σας, ποιες είναι οι κυριότερες προκλήσεις που θα κληθούν να αντιμετωπίσουν στο μέλλον οι ειδικοί της ασφαλείας;

Δρ. Ευάγγελος Oυζούνης: Θεωρώ ότι οι μεγαλύτερες προκλήσεις έχουν να κάνουν με τη χρήση του cloud. Αυτές οι προκλήσεις δεν είναι μόνο τεχνικής φύσεως, αλλά σχετίζονται και με τo compliance, τις πολιτικές και την ιδιωτικότητα. Βλέπουμε ότι υπάρχει μια αυξανόμενη τάση προς το cloud – κάτι λογικό γιατί κοστίζει λιγότερο, γιατί είναι πιο ευέλικτο κ.λπ. Παρόλο αυτά, οργανισμοί με κρίσιμες υποδομές – όπως είναι οι τράπεζες και τα νοσοκομεία – κρατάνε μια απόσταση από το cloud για διάφορους λόγους. Αργά ή γρήγορα ακόμα και αυτές οι αντιστάσεις θα υποχωρήσουν, καθώς οι διαχειριστές αυτών των υποδομών θα πειστούν να χρησιμοποιήσουν το cloud. Άρα, αυτό που θα δούμε μετά από 5-10 χρόνια θα είναι ευρύτατη χρήση του cloud computing και μια τεράστια εξάπλωση του mobility (θα χρησιμοποιούμε δεδομένα παντού και πάντα). Αυτό δημιουργεί ένα θέμα αναφορικά με το πού βρίσκονται τα δεδομένα, ποιος έχει πρόσβαση σε αυτά, πώς διαχειρίζεται κανείς τα συμβάντα επιθέσεων – αν, για παράδειγμα, γίνει μια επίθεση σε ένα data center που φιλοξενεί υποδομές cloud και βρίσκεται εκτός Ευρωπαϊκής Ένωσης (π.χ. στη Μαλαισία ή στην Ινδία) τι γίνεται με νομικά ζητήματα, με την ασφάλεια και την απώλεια των δεδομένων κ.λπ.

Σε μια τέτοια περίπτωση πόσος χρόνος θα χρειαστεί για να πας στο data center που έχει υποστεί επίθεση, για να καταλάβεις πόσο σε έχει επηρεάσει αυτό, λαμβάνοντας υπόψη ότι αποτελείς μόνον έναν πελάτη από τις χιλιάδες που φιλοξενεί το εν λόγω data center. Υπάρχουν, λοιπόν, κάποια προβλήματα που θα τα βρούμε μπροστά μας, καθώς βαδίζουμε ολοταχώς στην ευρύτερη χρήση του cloud computing. Αυτό είναι σημαντικό θέμα, όπως είναι και η προστασία της ιδιωτικότητας, όπου αρκετές φορές καλείται κανείς να τη θυσιάσει για να αποκτήσει περισσότερες λειτουργίες. Σίγουρα θα ενταθούν οι συζητήσεις στο μέλλον για την ιδιωτικότητα και την πορεία της και πώς θα προστατεύεται από το Σύνταγμα και από τους νόμους και πώς συμμορφώνονται με τους νόμους αυτούς οι εταιρείες που έχουν ως business model το privacy, όπως είναι, για παράδειγμα, η Google και το Facebook.

Τέλος, εκτιμώ ότι θα δούμε στο μέλλον πολλές επιθέσεις σε υποδομές που δεν έχουμε συνηθίσει να βλέπουμε, λόγω της ευρύτερης χρήσης του Internet of Things.. Για παράδειγμα, θα γίνουν σίγουρα στο μέλλον επιθέσεις σε αεροδρόμια, σε εταιρείες ύδρευσης, σε λιμάνια και εταιρείες που διαχειρίζονται τέτοιου είδους υποδομές (containers κ.λπ.), σε συστήματα διαχείρισης φωτεινών σηματοδοτών, στα «έξυπνα» συστήματα που θα ενσωματώνουν όλο και περισσότερο τα αυτοκίνητα στο μέλλον, σε «έξυπνα» σπίτια κ.α. Θα δούμε, σίγουρα, πολύ πιο έξυπνες επιθέσεις με μεγάλη επίδραση σε πολύ διαφορετικές υποδομές, σε πράγματα που ποτέ δεν είχαμε φανταστεί ότι θα μπορούσαν να συμβούν.

Ελπίζω να μην συμβεί κάτι καταστροφικό, το απεύχομαι, αλλά, δυστυχώς, θεωρώ ότι είναι ζήτημα χρόνου το πότε θα συμβεί αυτό. Και αυτό διότι σε υποδομές αυτής της φύσης η ωριμότητα του cyber security είναι σχετικά χαμηλή. Πολλές φορές οι επιχειρήσεις θυσιάζουν την ανθεκτικότητα των υποδομών και υπηρεσιών προς όφελος του κέρδους. Αυτό έχει ως αποτέλεσμα το cyber security να δρα στο τέλος πυροσβεστικά όταν χρειαστεί. Αλλά μετά είναι αργά. Αυτό που πάντα προτείνουμε εμείς είναι το Security by design, ήτοι να υλοποιηθεί εξαρχής σωστά η εφαρμογή ή το σύστημα/δίκτυο προστασίας.