Ως υπεύθυνος για την αρχιτεκτονική ασφάλεια των προϊόντων και των υπηρεσιών του τμήματος Products & Solutions, Huawei, αλλά και ενεργός σύμβουλος και κριτής σε ερευνητικά προγράμματα της ΕΕ, ο Δρ. Ευάγγελος Γαζής είναι ένας από τους πλέον ειδικούς για να μας μιλήσει για την Κυβερνοασφάλεια. Η συνομιλία μαζί του έγινε στο πλαίσιο του 6th Information Security Conference.

    Κατά την ομιλία σας στο 6th Information Security Conference αναφερθήκατε στη βαρύτητα του cyber-security στον χώρο της αυτοκινητοβιομηχανίας. Θα θέλατε να επεκταθείτε λίγο πάνω σε αυτό το θέμα;

Γνωρίζουμε ότι τα σύγχρονα αυτοκίνητα χαρακτηρίζονται από ένα αυξανόμενο βαθμό ολοκλήρωσης και ψηφιοποίησής τους. Κατά μέσο όρο, ένα σύγχρονο αυτοκίνητο μπορεί να συμπεριλαμβάνει έως και 150 μικροελεγκτές (microcontrollers), 2 τουλάχιστον χιλιόμετρα καλωδίωσης, και λογισμικό μεγέθους έως και 100 εκατομμυρίων γραμμών κώδικα. Η υψηλή αυτή πολυπλοκότητα συνεπάγεται και ανάλογα υψηλή δυσκολία στην εύρεση και τη διόρθωση όλων των σφαλμάτων λειτουργίας τα οποία αναζητούνται ως πιθανός βατήρας για κυβερνοεπιθέσεις και άλλες κακόβουλες πράξεις. Παράλληλα, αναμένουμε ότι η ωρίμανση και η επέκταση του οικοσυστήματος εφαρμογών για αυτοκίνητα θα συνεχίσει, ενδεχομένως σε βαθμό ανάλογο ή και συγκρίσιμο με αυτό που γνωρίσαμε στην κινητή τηλεφωνία. Αυτό συνεπάγεται την εισαγωγή – και μάλιστα με δυναμικό τρόπο – επιπλέον πολυπλοκότητας, προερχόμενης κατά εκτίμηση από ανεξάρτητους μεν, συμβεβλημένους δε, παρόχους λογισμικού για αυτοκινητιστικές εφαρμογές (π.χ. multi media εφαρμογές, πλοηγησιακούς οδηγούς, κλπ). Με τον τρόπο αυτό οδηγούμαστε σε ένα οικοσύστημα με χαρακτηριστικά ανάλογα αυτού των σημερινών smartphones, το οποίο αποτελεί γόνιμο έδαφος για περίπου 5 εκατομμύρια κακοήθη πακέτα λογισμικού (π.χ. εφαρμογές) ετησίως και αποτελεί βατήρα – αλλά και θύμα – για τουλάχιστον 100 εκατομμύρια κυβερνοεπιθέσεις κάθε είδους ετησίως. Εν αντιθέσει με τον χώρο των smartphones, όπου κατά κανόνα μια τυπική κυβερνοεπίθεση ούτε συνέπειες στον φυσικό κόσμο επιφέρει, ούτε ανθρώπινες ζωές σε κίνδυνο θέτει, στον χώρο της αυτοκίνησης, μια κυβερνοεπίθεση μπορεί να έχει άμεσες και σημαντικές επιπτώσεις στην καθημερινότητά μας, ενδεχομένως θέτοντας σε κίνδυνο και ανθρώπινες ζωές. Για τους λόγους αυτούς, η αυτοκινητοβιομηχανία, σε στενή συνεργασία με ειδικούς της κυβερνοασφάλειας και της οδικής ασφάλειας, ρυθμιστικές αρχές, οργανισμούς τυποποίησης, νομοθετικούς φορείς, και ομάδες χρηστών, αναπτύσσει και εφαρμόζει μια σειρά από μέτρα και ενέργειες για τον περιορισμό των κινδύνων σε κοινώς αποδεκτό επίπεδο και με απαρέγκλιτο στόχο την εγγύηση της ασφάλειας στην αυτοκίνηση. Στο πλαίσιο αυτό, η Huawei συμμετέχει ενεργά σε διεθνείς οργανισμούς τυποποίησης για τα πρότυπα κυβερνοασφάλειας στην αυτοκίνηση. Παράλληλα καινοτομεί στην ασφάλεια των τηλεπικοινωνιακών δικτύων 5G, τα οποία αποτελούν μέρος του αυτοκινητιστικού οικοσυστήματος στο άμεσο μέλλον.

    Ποιες είναι οι πιο βασικές συμβουλές που θα δίνατε, βάση της εμπειρίας σας, σε μια επιχείρηση που επιθυμεί να ισχυροποιήσει το cybersecurity της;

Υπάρχουν μια σειρά από μέτρα, πρακτικές, και προσεγγίσεις που συνεισφέρουν θετικά στην εξασφάλιση ισχυρότερων εξασφαλίσεων κυβερνοασφάλειας. Κατ’ αρχήν, σαφώς και δεν μπορούμε να προστατεύσουμε ό,τι δεν γνωρίζουμε πως χρήζει προστασίας. Συνεπώς, η πλήρης και λεπτομερής καταγραφή και διαχείριση των στοιχείων αξίας μιας επιχείρησης, και της σημαντικότητάς τους, σε κάθε χρονική στιγμή, αποτελεί τον πυλώνα της κυβερνοασφάλειας. Παράλληλα, η καταγραφή και κατηγοριοποίηση των δεδομένων που διαχειρίζεται μια επιχείρηση, ως προς την επιχειρησιακή τους αξία, την έκθεσή τους σε διεργασίες επεξεργασίες, αλλά και την εκτίμηση του κινδύνου (π.χ. αλλοίωσης, καταστροφής, αποκάλυψης στοιχείων, κλπ.) για αυτά αποτελεί απαραίτητο για την κυβερνοασφάλεια βήμα. Σημαντικό παράγοντα επίσης αποτελεί και ο βαθμός υποστήριξης (εσωτερικά της επιχείρησης) των διεργασιών κυβερνοασφάλειας, όπου η υπευθυνότητα της κορυφής της ιεραρχίας συχνά κάνει την διαφορά ανάμεσα στην αποτυχία και την επιτυχία. Έχοντας ρητή διευθυντική εντολή, μια επιχείρηση είναι σε θέση να προσδιορίσει με αποτελεσματικό τρόπο το πλαίσιο διακυβέρνησης της κυβερνοασφάλειας και διαχείρισης κινδύνου, τις πολιτικές διαχείρισής της, τις διαδικασίες εκτέλεσής της, και την καθημερινή της υλοποίηση σε επίπεδο τεχνολογίας, ανθρώπινου δυναμικού και διεργασιών της επιχείρησης. Από τη βάση αυτή, η επιχείρηση είναι κατόπιν σε θέση να προδιαγράψει προγράμματα παρακολούθησης και καταγραφής της απόδοσης ως προς την κυβερνοασφάλεια, να συλλέξει, αξιολογήσει και αναλύσει την υπάρχουσα πρακτική της, και να δρομολογήσει προγράμματα βελτίωσης και επέκτασης με έναν ολιστικό ορίζοντα. Το βήμα αυτό είναι σημαντικό, μιας και το επίπεδο κυβερνοασφάλειας αποτελεί φθίνουσα συνάρτηση του χρόνου, τόσο λόγω της καθημερινής ανακάλυψης νέων σφαλμάτων λογισμικού που συνεπάγονται ρωγμές στο αρχικό επίπεδο διασφάλισης, όσο και λόγω της σταδιακής μείωσης της εγρήγορσης του ανθρώπινου παράγοντα λόγω ρουτίνας και συνήθειας. Η αντιμετώπιση της κυβερνοασφάλειας ως μια καθημερινή υγιή πρακτική απαραίτητης για την επιβίωση και την μακροβιότητα της επιχείρησης είναι ίσως η απλούστερη – αλλά συνάμα και η χρησιμότερη– συμβουλή για μια σύγχρονη επιχείρηση. Ως ένας τεχνολογικός εταίρος με παγκόσμια εμβέλεια, η Huawei έχει υιοθετήσει και εφαρμόσει ένα σύνολο πρακτικών «υγιεινής» για την κυβερνοασφάλειά της ως οργανισμός, ενώ παράλληλα μοιράζεται την τεχνογνωσία και την εμπειρία αυτή με πελάτες, οργανισμούς τυποποίησης, και το γενικότερο οικοσύστημα της κυβερνοασφάλειας.

    Ποιοι είναι οι κυριότεροι κίνδυνοι που θα συναντήσουμε στο cybersecurity του IoT και πως μπορούμε να προφυλαχτούμε;

Δεν είναι εύκολο να ιεραρχήσουμε τους κινδύνους στην γενικότερη περιοχή του IoT, διότι αυτή περιλαμβάνει αρκετά πεδία εφαρμογής με διαφορετικά χαρακτηριστικά (π.χ. IoT στην βιομηχανία, IoT στην αυτοκίνηση, κλπ.). Με την κατηγοριοποίηση αυτή, μπορούμε να επισημάνουμε τις σύγχρονες τάσεις στις κυβερνοεπιθέσεις στο χώρο του IoT, χωρίς αυτό να σημαίνει ότι καλύψαμε πλήρως το θέμα – κάθε άλλο. Μια τάση αφορά την εκμετάλλευση αδυναμιών κυβερνοασφάλειας με στόχο τον έλεγχο ενός σημαντικά υψηλού αριθμών συσκευών IoT και την εκτέλεση στοχευμένων εκστρατειών Denial of Service, όπως είδαμε στην περίπτωση της εταιρείας Dyn. Για τον λόγο αυτό, η Huawei παρέχει υπηρεσίες προστασίας από Denial of Service κυβερνοεπιθέσεις για την πλατφόρμα IoT OceanConnect. Μια άλλη τάση είναι η δημιουργία λογισμικού για την εξαγωγή κρυπτονομισμάτων και η διασπορά του σε έναν υψηλό αριθμό συσκευών IoT. Στο σενάριο αυτό, πέραν από την αυξημένη δαπάνη πόρων σε επίπεδο συσκευής IoT, συχνά δεν υφίσταται άλλες συνέπειες της κυβερνοεπίθεσης που να είναι άμεσα εμφανείς. Τέλος, μια άλλη τάση αφορά περισσότερο επιλεγμένες τεχνικές, όπου η κυβερνοεπίθεση στοχεύει στην κλοπή στοιχείων ταυτοποίησης και πιστοποίησης από τον οργανισμό που είναι υπεύθυνος για την δημιουργία μέρος – ή και ολόκληρου – του λογισμικού για συγκεκριμένες συσκευές ΙοΤ. Η κλοπή αυτή επιτρέπει την δημιουργία κακόβουλου λογισμικού το οποίο, από την πλευρά του συστήματος ασφαλείας, εμφανίζεται ως γνήσιο, με την έννοια ότι ως δημιουργός του εμφανίζεται ο υπεύθυνος οργανισμός. Σχετικά με την πρώτη και τη δεύτερη τάση, η ενδυνάμωσης της κυβερνοασφάλειας (hardening) των συσκευών ΙοΤ μειώνει την δυνατότητας εκπόνησης κυβερνοεπιθέσεων από τις συσκευές αυτές. Παράλληλα, οι υπηρεσίες προστασίας από κυβερνοεπιθέσεις Denial of Service αποτελούν ένα μέτρο προστασίας σε επίπεδο τελικού στόχου. Η χρήση στοιχείων Hardware Security Module για Hardware Root-of-Trust συμβάλλει σημαντικά στην εμπιστευσιμότητα (trustworthiness) μιας συσκευής ΙοΤ και του λογισμικού της. Τέλος, ως προς την τρίτη τάση, η αντιμετώπισή της απαιτεί μια ολιστική αντιμετώπιση και διαχείριση του κινδύνου σε επίπεδο ανθρώπινων πόρων, διαδικασιών και συμφωνιών συνεργασίας ως προς την κυβερνοασφάλεια σε επίπεδο συνεταιριστικών σχημάτων μεταξύ επιχειρήσεων (π.χ. business partnerships, supply chain, κλπ.). Η Huawei παρέχει, υποστηρίζει και συμμετέχει ενεργά στην ανάπτυξη τεχνολογιών για Hardware Root-of-Trust, για περιβάλλοντα κυψελωτών δικτύων, πλατφόρμων cloud, εταιρικές υποδομές, και για περιβάλλοντα IoT.