Μ. Μπλέτσας στο Πρώτο για ψηφιακό blackout: Χρειάζεται σχέδιο ανάνηψης από τέτοια περιστατικά – Έχουμε τεράστια περιθώρια βελτίωσης στην κυβερνοασφάλεια (audio)

Για «ένα αυτοάνοσο αλλεργικό σοκ που έπαθαν τα συστήματα» έκανε λόγο ο Μιχάλης Μπλέτσας, διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, ερευνητής και διευθυντής υπολογιστικών συστημάτων του ΜΙΤ Media Lab, αναφερόμενος στο ψηφιακό blackout που προκάλεσε μια ελαττωματική ενημέρωση ασφαλείας από την εταιρεία Crowdstrike, την περασμένη Παρασκευή.  

Εκείνο που έχει σημασία, επεσήμανε ο κ. Μπλέτσας μιλώντας στο Πρώτο Πρόγραμμα 91,6 και 105,8 και στην εκπομπή «Ναι μεν Αλλά» με την Ευαγγελία Μπαλτατζή, ήταν ότι τα συστήματα που έπεσαν αντιστοιχούν σε ένα πάρα πολύ μικρό κομμάτι του ψηφιακού κόσμου αυτή τη στιγμή.

«Δεν είναι μεγάλο κομμάτι. Παρόλα αυτά είχαμε μια μεγάλη αναστάτωση γιατί έπιασαν αεροδρόμια, έπιασαν τράπεζες, έπιασαν κυρίως οργανισμούς οι οποίοι είναι ιδιαίτερα ευαίσθητοι στον τομέα της ασφάλειας» σημείωσε, διευκρινίζοντας πως μπορεί να έμοιαζε με ιό, ωστόσο στην πραγματικότητα δεν επρόκειτο για κακόβουλη ενέργεια αλλά για ένα λάθος.

«Γι’ αυτό, έτσι όπως έγινε, όπως εξελίχθηκε αυτή η ιστορία, είναι και δύσκολη η ανάνηψη. Διότι επειδή η βλάβη ήταν σε πολύ χαμηλό επίπεδο στο σύστημα, τα συστήματα αυτά δεν μπόρεσαν να ξαναμπούν στο δίκτυο και να φτιαχτούν από μακριά. Πρέπει κάποιος να τα επισκεφθεί, να κάνει μια σχετικά απλή διαδικασία, αλλά πρέπει να την κάνει χειροκίνητα σε εκατομμύρια υπολογιστές. Γι’ αυτό και ακόμα ταλαιπωρούμαστε διεθνώς με αυτή την ιστορία. Και επίσης δείχνει, ποια είναι τα προβλήματα της μονοκαλλιέργειας. Δηλαδή όπως στην Κίνα, όπου έχουμε τεράστιες εκτροφές από κοτόπουλα, γουρούνια κτλ οι οποίες δημιουργούν ιούς, είναι από τα ιδανικά εκτροφεία ιών μεταξύ των άλλων, το ίδιο συμβαίνει όταν έχουμε πολύ μεγάλη ομοιομορφία στα συστήματα μας. Επομένως μία αναβάθμιση μπορεί να ρίξει πάρα πολλά ομοειδή συστήματα» ανέφερε χαρακτηριστικά.

Αυτό που έγινε, σύμφωνα με όσα ανέφερε ο κ. Μπλέτσας, έχει να κάνει με βιασύνη από την πλευρά της Crowdstike στο να στείλει αυτή την αναβάθμιση χωρίς να την τεστάρει επαρκώς και είναι κάτι το οποίο συμβαίνει συνέχεια στα συστήματα, διότι δεν έδωσαν την απαιτούμενη σημασία.

«Είναι θέμα, να έχουμε τις κατάλληλες διεργασίες για να αποφεύγουμε αυτού του είδους τα γεγονότα. Εκεί είναι το θέμα. Παρεπιπτόντως, η Crowdstike είχε μια ανάλογη περίπτωση με κάποια Linux συστήματα, διότι δεν έκανε επαρκές testing. Επομένως, δεν είναι η πρώτη φορά που εμφανίζεται. Απλώς αυτή τη φορά έπιασε κάτι πολύ πιο διαδεδομένο» προσέθεσε.

«Tον συγκεκριμένο μηχανισμό, δηλαδή το να στείλουμε μία «δηλητηριασμένη» αναβάθμιση σε κάποια συστήματα προσπαθούν να τον εκμεταλλευτούν συνέχεια και μάλιστα προσπαθούν να την εκμεταλλευτούν σε μεγάλη κλίμακα επιτιθέμενοι, οι οποίοι δεν είναι στο κοινό έγκλημα. Είναι από μυστικές υπηρεσίες, είναι από μεγάλα κράτη και πάει λέγοντας. Είχαμε μια τέτοια περίπτωση σε ένα λογισμικό διαχείρισης δικτύου πρόσφατα στις Ηνωμένες Πολιτείες, όπου αποδείχθηκε ότι από την Ρωσία κάποιοι είχαν μπει, είχαν δηλητηριάσει ένα λογισμικό διαχείρισης δικτύου που χρησιμοποιόταν από τις περισσότερες αμερικανικές κρατικές υπηρεσίες. Έχουμε δηλαδή τέτοιου είδους περιστατικά παλιότερα, τα οποία γίνονται επίτηδες. Στη συγκεκριμένη περίπτωση δεν ήταν κακόβουλο το περιστατικό» συμπλήρωσε ο κ. Μπλέτσας.

Μάλιστα, ανέφερε πως για το συγκεκριμένο περιστατικό του ψηφιακού blackoutτης Παρασκευής ήδη έχουν αρχίσει διάφοροι επιτήδειοι να προσπαθούν να το εκμεταλλευτούν. «Λένε, βάλε το δικό μου λογισμικό κι αυτό θα σου σώσει το σύστημα ή θα το επαναφέρει, βάζοντας μια τρύπα όμως καινούργια στο σύστημα την οποία θα εκμεταλλευτούν αυτοί αργότερα ή προσπαθώντας να πάρουν χρήματα με μια εξαπάτηση του ανθρώπινου παράγοντα που πάντα παραμένει και ο πιο αδύναμος κρίκος σε όλες αυτές τις δραστηριότητες» τόνισε.

«Εκείνο που θα πρέπει να κρατήσουμε είναι ότι όταν έχεις ένα πάρα πολύ περίπλοκο σύστημα, όπως είναι τα ψηφιακά συστήματα στα οποία βασιζόμαστε σήμερα και τα οποία διασυνδέονται μεταξύ τους, δημιουργούνται δυναμικές που θυμίζουν περίπλοκους βιολογικούς οργανισμούς και οι περίπλοκοι βιολογικοί οργανισμοί συνήθως έχουν και κάποια ανοσοποιητικά συστήματα τα οποία τους προστατεύουν. Γι’ αυτό και πολλές φορές τα περισσότερα περιστατικά τα οποία συμβαίνουν συνέχεια είτε δεν επηρεάζουν πάρα πολύ κόσμο είτε δεν τα καταλαβαίνει ο κόσμος. Δηλαδή, το συγκεκριμένο περιστατικό δεν είναι κάτι ασυνήθιστο, απλώς έγινε αισθητό τώρα. Εμείς που δουλεύουμε στον τομέα της κυβερνοασφάλειας αντιμετωπίζουμε τέτοιου είδους περιστατικά, πολύ συχνά. Μικρότερης κλίμακας, κακόβουλα, τα οποία επηρεάζουν λιγότερα συστήματα αλλά αυτό είναι κάτι που γίνεται συνέχεια και πρέπει να μάθουμε να ζούμε με αυτό. Πρέπει να μάθουμε να προετοιμαζόμαστε γι’ αυτό. Πρέπει να μάθουμε να έχουμε σχέδιο ανάνηψης από τέτοιου είδους περιστατικά. Να μάθουμε να ζούμε μέσα σε αυτό το περιβάλλον» ανέφερε ο κ. Μπλέτσας.

Ερωτηθείς κατά πόσο η Ελλάδα είναι θωρακισμένη απέναντι σε τέτοιου είδους περιστατικά, ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας ανέφερε τα εξής.

«Δεν πρόκειται ποτέ να ακούσετε από εμένα ότι είμαστε επαρκώς θωρακισμένοι. Η δουλειά μου είναι να ανησυχώ και να είμαι και παρανοϊκός και να ψάχνω πάντα να αντιμετωπίσω τα χειρότερα δυνατά ενδεχόμενα. Η Ελλάδα είναι κάπου λίγο κάτω από το μέσο όρο της Ευρωπαϊκής Ένωσης, σύμφωνα με την Ευρωπαϊκή Υπηρεσία Ασφάλειας. Δεν είμαστε ούτε επαρκώς ούτε τελείως αθωράκιστοι. Έχουμε τεράστια περιθώρια βελτίωσης και η νέο-ιδρυθείσα Εθνική Αρχή Κυβερνοασφάλειας έχει ως βασική αποστολή να θέσει το ρυθμιστικό πλαίσιο και την κανονιστική συμμόρφωση από όλους τους οργανισμούς που εμπλέκονται και δραστηριοποιούνται ψηφιακά, έτσι ώστε να ανεβεί αυτό το επίπεδο. Αυτή είναι η δουλειά μας και γι’ αυτό ιδρυθήκαμε και γι’ αυτό στηνόμαστε αυτή τη στιγμή που μιλάμε. (…) Η πρώτη μας βασική αποστολή είναι, την καινούρια οδηγία της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια, να την κάνουμε εφαρμοστικό νόμο μέσα στο φθινόπωρο. Αυτό θα γίνει ταυτόχρονα σε όλες τις χώρες της Ευρωπαϊκής Ένωσης. Και στη συνέχεια να δούμε πώς θα εφαρμοστεί σωστά αυτός ο νόμος και δεν θα γίνει ένας ακόμα νόμος, ο οποίος υπάρχει απλώς στα χαρτιά, αλλά δεν εφαρμόζεται ποτέ».