Το βασικό στέλεχος της Ευρωπαϊκής Αρχής για την Κυβερνοασφάλεια δίνει, σε μια αποκλειστική συνέντευξη στο netweek, το σημερινό στίγμα αυτού του χώρου στις 27 χώρες-μέλη, αναλύει τα ευρήματα δυο πρόσφατων ερευνών της, όσον αφορά σε απειλές και επενδύσεις, ενώ προχωρεί και σε συστάσεις, σχετικά με τη σωστή συμπεριφορά μας στον κυβερνοχώρο.

Η όξυνση των κυβερνοαπειλών είναι μια από τις μεγάλες «πληγές» της -παρόλα αυτά, επιβεβλημένης- μετάβασης από τον offline στον online κόσμο. Ο ψηφιακός μετασχηματισμός κρύβει πολλές «κερκόπορτες» και οι χρήστες δεν έχουν ακόμα εξοικειωθεί με τη νέα κουλτούρα, επομένως η ευαισθητοποίησή τους και η λήψη αναβαθμισμένων μέτρων επείγουν. Το netweek ζήτησε γι’ αυτό το «φλέγον» θέμα τα «φώτα» του Δρα. Απόστολου Μαλατρά, επικεφαλής του Knowledge & Information Team της ENISA, το οποίο εστιάζει στην κυβερνοασφάλεια των αναδυομένων τεχνολογιών, στη διαμόρφωση του τοπίου των απειλών και στην προοπτική διερεύνηση.

netweek: Θα θέλαμε ένα συνολικό σχόλιο, για τα ευρήματα της έρευνας NIS Investment Report 2021, αλλά και ένα ειδικότερο για τη θέση της Ελλάδας – εμφανίζουμε μικρή υστέρηση;

Απόστολος Μαλατράς: Η Ευρωπαϊκή Αρχή για την Κυβερνοασφάλεια (ENISA) παρουσίασε τον Νοέμβριο του 2021 την έρευνά της σχετικά με την πορεία των επενδύσεων σε θέματα κυβερνοασφάλειας, στο πλαίσιο όσων προβλέπει η Οδηγία NIS, δηλαδή η Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριακών Συστημάτων. Η έρευνα, που εξετάζει τις επενδύσεις των Διαχειριστών Κρίσιμων Υπηρεσιών (Operators of Essential Services – OES) και των Παρόχων Ψηφιακών Υπηρεσιών (Digital Service Providers – DSP) σε θέματα κυβερνοασφάλειας στις 27 χώρες – μέλη, αποκαλύπτει αύξηση του προϋπολογισμού που οι οργανισμοί διαθέτουν πλέον σε θέματα κυβερνοασφάλειας, λόγω των απαιτήσεων της Οδηγίας NIS. Στους οργανισμούς που ελέγχθηκαν, ο προϋπολογισμός για θέματα ασφαλείας των Πληροφοριακών Συστημάτων αυξήθηκε σε ποσοστό άνω του 67%, με μια τυπική αύξηση να φτάνει τα 40.000 €, ήτοι στο 5,1% επί του συνόλου των δαπανών τους για την ασφάλεια των πληροφοριακών τους συστημάτων. Οι ίδιοι οργανισμοί αποδέχονται, επίσης, τον θετικό αντίκτυπο της Οδηγίας, με το 49% να δηλώνει ότι είχε «πολύ σημαντικό» ή «σημαντικό» αντίκτυπο στην ασφάλεια των συστημάτων τους.

Όσον αφορά στην Ελλάδα, οι οργανισμοί που συμμετείχαν αφιέρωσαν κατά μέσο όρο το 7,5% των προϋπολογισμών τους για ΙΤ στην ασφάλεια Πληροφοριακών Συστημάτων, ποσοστό ελαφρώς κατώτερο του μέσου όρου στην Ευρωπαϊκή Ένωση, που βρίσκεται στο 7,7%. Όμως, πρέπει να συνυπολογίσουμε το γεγονός ότι οι οργανισμοί στην Ελλάδα συνήθως είναι μικρότεροι σε μέγεθος και διαθέτουν μικρότερο προϋπολογισμό για την ασφάλεια των Πληροφοριακών Συστημάτων τους, από τον ευρωπαϊκό μέσο όρο.

Η κυβερνοασφάλεια παίζει ζωτικό ρόλο στην «υγεία» των καθημερινών δραστηριοτήτων μας, παρόλα αυτά (με την αξιοσημείωτη εξαίρεση των OES/DSPs) η Κατάσταση στην Ένωση, όσον αφορά σ’ αυτόν τον τομέα, σε γενικές γραμμές απέχει πολύ ακόμα από το επιθυμητό επίπεδο. Ποιες είναι οι προτάσεις σας σ’ αυτό το θέμα;

Με την EU Cybersecurity Act (CSA), που τέθηκε σε ισχύ το 2019, η ENISA απέκτησε νέες αρμοδιότητες, με στόχο να συμβάλει στην περαιτέρω ανάπτυξη ενός κοινού για όλους, υψηλού επιπέδου κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση και, επίσης, να ενισχύσει την εμπιστοσύνη προς τα προϊόντα και τις υπηρεσίες στην αγορά. Η ENISA έχει πλέον εμπλακεί στην ανάπτυξη σχημάτων τα οποία θα πιστοποιούν προϊόντα, υπηρεσίες και διαδικασίες ΤΠΕ, προκειμένου να ανοίξει η αγορά για τις εταιρίες που ασχολούνται με την ασφάλεια, ιδιαίτερα μικρομεσαίες και νεοφυείς. Έχουμε αντιληφθεί πως η ανάπτυξη μιας συνεργατικής προσέγγισης θα ενισχύσει τη δυνατότητα των κρατών-μελών να ανταποκριθούν στις προκλήσεις τόσο σε θέματα κυβερνοασφάλειας, όσο και σε εκείνα των νέων, αναδυόμενων τεχνολογιών.

Να περάσουμε στο θέμα των απειλών, με πρόσφατη τη σχετική έρευνα της ENISA; Πάμε από το κακό στο χειρότερο, όπως δείχνουν τα ευρήματά σας;

Οι σχετικές με e-mail απειλές βρίσκονταν πάντα ψηλά στον σχετικό κατάλογο επικινδυνότητας των ερευνών μας, από χρόνια. Κύριος στόχος τους είναι να πείσουν τον παραλήπτη του μηνύματος να κάνει κάτι που θα επιτρέψει την εκδήλωση της επίθεσης. Λόγω της συνεχιζόμενης πανδημίας, αυξήθηκαν σημαντικά οι επιθέσεις spam, κατά τον χρόνο διεξαγωγής της έρευνας. Έτσι, καταγράφηκαν απειλές με phishing, spear-phishing, whaling, smishing, vishing, business e-mail compromise (BEC), καθώς και «απλό» spam. Η πανδημία επιδείνωσε ακόμα περισσότερο την κατάσταση, καθώς παρατηρούμε πλέον αύξηση σ’ όλες τις παραπάνω απειλές, με τους επιτιθέμενους να προσπαθούν να ξεγελάσουν τους τελικούς χρήστες, με τη χρήση διαφόρων μορφών ηλεκτρονικών μηνυμάτων, συμπεριλαμβανομένων διαφημίσεων ή προσφορών για θεραπείες, αλλά και εμβόλια, προκειμένου να τους πείσουν να καταθέσουν χρήματα. Η αύξηση των απειλών μέσω e-mail ήταν αναπόφευκτη, λόγω της ψηφιοποίησης πολλών υπηρεσιών σε χρόνο – ρεκόρ, στη διάρκεια της πανδημίας.

Είδαμε -εκτός από τις «παλιές»- να κάνουν την εμφάνισή τους και νέες μορφές απειλών. Υπάρχει αντίδοτο γι’ αυτές;

Η έρευνά μας σχετικά με το τοπίο των απειλών, έχει αναδείξει στο πέρασμα του χρόνου, αρκετές απειλές που τις θεωρούμε σημαντικές όπως, για παράδειγμα, το λυτρισμικό (ransomware), οι απειλές μέσω e-mail και εκείνες που σχετίζονται με τη διαθεσιμότητα και την ακεραιότητα, όπως είναι το DDOS. Πλέον, χαρακτηρίζουμε για πρώτη φορά ως σημαντικές την παραπληροφόρηση και την σκόπιμα διαστρεβλωμένη πληροφόρηση, αλλά και τις απειλές εις βάρος των αλυσίδων τροφοδοσίας.

Το τοπίο έχει ολοφάνερα διευρυνθεί με δυο διαφορετικούς τρόπους: οι απειλές είναι περισσότερο προηγμένες τεχνολογικά και ο αντίκτυπός τους έχει αυξηθεί, με οδυνηρές συνέπειες για τα θύματα. Η ENISA έχει αναλάβει δράση, σε διάφορα επίπεδα. Σε τεχνικό επίπεδο, συμβάλλει στην ανάπτυξη των δυνατοτήτων της ΕΕ στον χώρο της κυβερνοασφάλειας, διοργανώνοντας κυβερνο-ασκήσεις και εκπαιδευτικά σεμινάρια, παράλληλα με την υποστήριξη του δικτύου των CSRITs. Μέσω της αυξημένης ευαισθητοποίησης σε τέτοια περιστατικά και της συνεχούς στρατηγικής ανάλυσης των κυβερνοαπειλών, υποστηρίζει όσους είναι επιφορτισμένοι με τη λήψη αποφάσεων.

Τέλος, η εμπειρία και η κατανόηση του τοπίου των απειλών, της επιτρέπει τις συστάσεις, όσον αφορά στη διαμόρφωση πολιτικής στο νομοθετικό πλαίσιο, προκειμένου να εντοπιστούν κενά και εν δυνάμει δυσκολίες, ενώ παρέχει χρήσιμες συμβουλές σε όσους αποφασίζουν και διαμορφώνουν πολιτική, στα αρμόδια όργανα της ΕΕ. Υποστηρίζει, τέλος, τις χώρες-μέλη στην ανάπτυξη της στρατηγικής τους σε θέματα κυβερνοασφάλειας.

Χρειαζόμαστε νέα μέτρα ή αρκούν οι συνήθεις προφυλάξεις;

Προφανώς ισχύουν οι συνήθεις προφυλάξεις τις οποίες πάντα περιλαμβάνουμε, μαζί με πιο προχωρημένες συμβουλές, στις ανακοινώσεις μας.
Όσον αφορά στις σχετικές με e-mail επιθέσεις, για παράδειγμα, οι χρήστες πρέπει να μάθουν πώς να αναγνωρίζουν ύποπτους συνδέσμους και συνημμένα, πώς να κάνουν τις σχετικές αναφορές, πώς να εφαρμόζουν ταυτοποίηση πολλών παραγόντων (MFA) στους λογαριασμούς τους κλπ. Καθώς το τοπίο των απειλών εξελίσσεται, με δεδομένη την αυξημένη πολυπλοκότητα των επιθέσεων, χάρη στις δυνατότητες των νέων ή των αναδυόμενων τεχνολογιών, είναι αναμενόμενη η λήψη νέων μέτρων. Αυτός είναι και ο λόγος που η ανάλυση του τοπίου παίζει σημαντικό ρόλο στην πρόληψη και τις αλλαγές που πρέπει να γίνουν, αφενός στην κυβερνοασφάλεια των προϊόντων και των υπηρεσιών που χρησιμοποιούμε, αφετέρου στη συμπεριφορά των χρηστών, ώστε να διασφαλίσουμε ότι οι πολίτες δεν θα πέσουν θύματα επιθέσεων, από δικά τους λάθη.

Στις μέρες μας και πολύ περισσότερο στη διάρκεια της πανδημίας, πάμπολλες επιχειρήσεις και οργανισμοί έχουν ξεκινήσει το «ταξίδι» του ψηφιακού μετασχηματισμού τους, μεταφέροντας τις εφαρμογές και τα δεδομένα τους στο cloud. Πόσο επικίνδυνο είναι αυτό, από πλευράς κυβερνοασφάλειας;

Πράγματι, ο ταχύτατος ψηφιακός μετασχηματισμός και η μετακίνηση εφαρμογών και δεδομένων online ενδέχεται να οδηγήσει σε αύξηση των απειλών, αν δεν ληφθούν κατάλληλα προληπτικά μέτρα σ’ ό,τι αφορά στα θέματα ασφαλείας.

Η online λειτουργία αυξάνει την έκθεση σε απειλές και ανοίγει την ‘περίμετρο’ στους κακόβουλους. Επομένως, αν οι χρήστες δεν προσαρμόσουν την πολιτική ασφαλείας τους ώστε να λαμβάνει υπόψιν τέτοιες επιθέσεις, ουσιαστικά αφήνουν ανοικτό το δρόμο στους υποψήφιους κυβερνο-εγκληματίες, για να αξιοποιήσουν όποιες αδυναμίες βρουν.
Μάλιστα, επειδή ο ψηφιακός μετασχηματισμός επαφίεται συνήθως στις υπηρεσίες τρίτων μερών, πρέπει να συνυπολογιστεί και ο κίνδυνος επιθέσεων εναντίον της αλυσίδας τροφοδοσίας. Η έρευνα της ENISA για το τοπίο των απειλών ασχολήθηκε ιδιαίτερα με αυτό το θέμα και περιλαμβάνει σειρά από συστάσεις, ώστε να μετριασθούν οι επιπτώσεις σε μια τέτοια περίπτωση. NW