Η «Κ» μπήκε στα άδυτα της Διεύθυνσης Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Aμυνας, η οποία είναι επιφορτισμένη με την αντιμετώπιση των ψηφιακών απειλών που στοχεύουν τις κρίσιμες στρατιωτικές και πολιτικές υποδομές τις χώρας, τα δίκτυα πληροφοριών, ακόμη και τα οπλικά συστήματα των ενόπλων δυνάμεων. Οι αμυντικές επιχειρήσεις στον κυβερνοχώρο εξελίσσονται σε επιχειρήσεις πρώτης γραμμής, τόσο σε περιόδους ειρήνης όσο και στον πόλεμο. Τα διδάγματα, άλλωστε, από τις υβριδικές επιθέσεις στα μέτωπα της Ουκρανίας και της Μέσης Ανατολής αλλά και τα αναρίθμητα περιστατικά κυβερνοεπιθέσεων κατά της χώρας μας αποδεικνύουν ότι η κυβερνοάμυνα αποτελεί μια από τις κρισιμότερες γραμμές άμυνας για κάθε σύγχρονο κράτος.
Κάθε ημέρα, η διεύθυνση κυβερνοάμυνας του ΓΕΕΘΑ αντιμετωπίζει περί τα 500 περιστατικά επιθέσεων, ενώ μόνο τον Ιανουάριο οι επιθέσεις άρνησης παροχής υπηρεσιών που στόχευαν στις ιστοσελίδες και τις ηλεκτρονικές υποδομές των Ενόπλων Δυνάμεων, ξεπέρασαν τα πέντε εκατομμύρια.
Ο διευθυντής της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ, πλοίαρχος (Μ) Σπυρίδων Παπαγεωργίου μιλάει στην «Κ» για τις διαδικτυακές απειλές αλλά και την ετοιμότητα των στελεχών των ενόπλων δυνάμεων να τις αντιμετωπίσουν.
-Ποια είναι η αποστολή σας;
Αποστολή της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ (ΔΙΚΥΒ) είναι ο συντονισμός και η διεξαγωγή αμυντικών επιχειρήσεων κυβερνοχώρου σε στρατηγικό, επιχειρησιακό και τακτικό επίπεδο, σε περίοδο ειρήνης, κρίσης ή πολέμου. Επιπλέον και σύμφωνα με τον νόμο 4577/2018 η Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ έχει οριστεί ως αρμόδια ομάδα απόκρισης σε εθνικό επίπεδο, για την αντιμετώπιση κυβερνοεπιθέσεων που σαν στόχο έχουν κρίσιμες υποδομές. Η Δ/νση Κυβερνοάμυνας του ΓΕΕΘΑ είναι υπεύθυνη για την προστασία της δικτυακής υποδομής των Ελληνικών Ενόπλων Δυνάμεων (ΕΕΔ) και του υπουργείου Εθνικής Αμυνας.
Οι αμυντικές επιχειρήσεις της ΔΙΚΥΒ στον κυβερνοχώρο περιλαμβάνουν: επιχειρήσεις προστασίας οπλικών συστημάτων και του Δικτύου Λήψης Αποφάσεων DIN (Defense Information Networks) και επιχειρήσεις προστασίας Κρίσιμων Υποδομών CIN (Critical Infrastructure Networks).
-Ποιοι είναι οι επιτιθέμενοι;
Οι σύγχρονες απειλές στον κυβερνοχώρο μπορεί να προέρχονται από ξένες ένοπλες δυνάμεις, από ομάδες που υποστηρίζονται κρατικά (state sponsored), από ξένες υπηρεσίες πληροφοριών, από βιομηχανικούς (οικονομικούς) κατασκόπους, ομάδες οργανωμένου εγκλήματος, τρομοκράτες, κακόβουλους εργαζόμενους (Insiders), χάκερ (Hackers) – (Black Hat), και χακτιβιστές (Hacktivists).
Οι πιο προηγμένοι (advanced) επιτιθέμενοι είναι οι δρώντες που υποστηρίζονται από ένα κράτος, όπως ξένες ένοπλες δυνάμεις και υπηρεσίες πληροφοριών. Οι συγκεκριμένοι δρώντες την περίοδο ειρήνης επιδιώκουν την απόκτηση πρόσβασης σε κυβερνητικά, στρατιωτικά και δίκτυα κρίσιμων υποδομών του αντιπάλου, έλεγχο αυτών και υποκλοπή πληροφοριών, παραμένοντας ταυτόχρονα αόρατοι από τους αμυνόμενους και τους μηχανισμούς ασφαλείας που διαθέτουν.
-Εχουν αυξηθεί οι επιθέσεις; Πόσες αντιμετωπίζετε περίπου σε καθημερινή βάση, από πού εκδηλώνονται και πού στοχεύουν;
Οι επιθέσεις αυξάνονται τόσο ποσοτικά όσο και ποιοτικά. Οι κυβερνοεγκληματίες στοχεύουν στις υπηρεσίες που παρέχουν οι Ε.Δ. μέσω διαδικτύου. Σε αυτές περιλαμβάνονται ιστοσελίδες όπως και η υπηρεσία ηλεκτρονικού ταχυδρομείου. Σημαντικές είναι οι επιθέσεις κατανεμημένης άρνησης παροχής υπηρεσιών.
Η ΔΙΚΥΒ σε καθημερινή βάση εντοπίζει και αντιμετωπίζει κυβερνοεπιθέσεις, με χρήση παγιδευμένων ή παραπλανητικών ηλεκτρονικών μηνυμάτων (τύπου phishing και spear phishing), 50 επιθέσεις κατά μέσο όρο ανά ημέρα. Ακόμη, εντοπίζουμε και αντιμετωπίζουμε προσπάθειες απόκτησης πρόσβασης στις δικτυακές υποδομές των Ε.Δ., περίπου 255 επιθέσεις ανά ημέρα και επιθέσεις στις διαδικτυακές υπηρεσίες των Ε.Δ. με σκοπό την υποκλοπή πληροφοριών, με μέσο όρο 125 επιθέσεις ανά ημέρα. Σε καθημερινή βάση οι επιθέσεις άρνησης παροχής υπηρεσιών πολλές φορές ξεπερνούν τα μερικά εκατομμύρια χτυπήματα και στοχεύουν στις διαδικτυακές υπηρεσίες των Ε.Δ. Συγκεκριμένα τον μήνα Ιανουάριο ο όγκος των επιθέσεων ξεπέρασε τα 5 εκατομμύρια χτυπήματα.
Οι επιτιθέμενοι κατά τη διάρκεια διεξαγωγής της επίθεσης χρησιμοποιούν ενδιάμεσους κόμβους, τεχνική που καθιστά δύσκολο τον εντοπισμό τους. Οι επιτιθέμενοι που έχουν κρατική στήριξη στοχεύουν τις εσωτερικές δικτυακές υποδομές μη εκτεθειμένες άμεσα στο διαδίκτυο και ιδιαίτερα στοχεύουν εκτός από τις υποδομές των .Ε.Δ, κυβερνητικούς οργανισμούς και κρίσιμες υποδομές, με απώτερο σκοπό την απόκτηση πρόσβασης, τον έλεγχο των συστημάτων και την υποκλοπή πληροφοριών.
Σε πολεμική περίοδο οι επιτιθέμενοι έχουν σαν αποστολή την απομείωση, αποδυνάμωση της λειτουργίας του κρατικού μηχανισμού, στοχοποιώντας το δίκτυο λήψεων αποφάσεων και τις κρίσιμες υποδομές. Παράλληλα επιδιώκουν την παρεμπόδιση των Ε.Δ. να διεξάγουν επιχειρήσεις έχοντας σαν στόχους το δίκτυο λήψης αποφάσεων και τα οπλικά συστήματα (π.χ. C4I, κοινή επιχειρησιακή εικόνα).
-Μετά τη ρωσική εισβολή στην Ουκρανία και το ξέσπασμα του πολέμου στη Μέση Ανατολή, παρατηρείτε κάποια διαφοροποίηση στις κυβερνοεπιθέσεις που δέχεται η χώρα;
Οι κυβερνοεπιθέσεις καθημερινά διαφοροποιούνται σε αριθμό. Συνεχώς βαίνουν αυξανόμενες και επιπλέον γίνονται πιο πολύπλοκες και πιο δύσκολες να εντοπιστούν. Αναλύοντας τις κυβερνοεπιθέσεις εντοπίζουμε μια ιδιαίτερη επιμονή στις προσωποποιημένες στοχευμένες επιθέσεις, με απώτερο σκοπό την υποκλοπή πληροφοριών. Επιπλέον έχουμε παρατηρήσει διαφοροποίηση στην τακτική, όπου πραγματοποιούνται προηγμένες κυβερνοεπιθέσεις που εκμεταλλεύονται γνωστές ή ακόμα και άγνωστες ευπάθειες με απώτερο σκοπό την απόκτηση πρόσβασης στη δικτυακή υποδομή τόσο των Ε.Δ., όσο και κυβερνητικών οργανισμών και εθνικών κρίσιμων υποδομών.
Σημαντική αύξηση παρατηρούμε στις κυβερνοεπιθέσεις με χρήση λυτρισμικού (ransomware), που στοχεύουν κυρίως κρίσιμες υποδομές, καθώς και επιθέσεις με χρήση λογισμικού υποκλοπής πληροφοριών (InfoStealers), που σαν στόχους έχουν τις κυβερνητικές και τις δικτυακές υποδομές των Ε.Δ.
-Εχει αλλάξει το επίπεδο της απειλής; Η εξέλιξη της τεχνολογίας επιβάλλει να είστε διαρκώς ένα βήμα πιο μπροστά από τους επιτιθέμενους;
Οι Ε.Δ., οι κρίσιμες υποδομές και γενικότερα η κοινωνία, εξαρτώνται όλο και περισσότερο από τις ψηφιακές τεχνολογίες για την άσκηση των βασικών δραστηριοτήτων τους. Ο ψηφιακός μετασχηματισμός των Ε.Δ. προσφέρει τεράστιες δυνατότητες και απλοποιεί την καθημερινότητα, ωστόσο παράλληλα τις εκθέτει σε κυβερνοαπειλές.
Το επίπεδο απειλής έχει αλλάξει και έχει γίνει ιδιαίτερα πολύπλοκο. Η εξέλιξη της τεχνολογίας αυξάνει την επιθετική επιφάνεια και επιβάλλει την ύπαρξη ομάδας αμυνομένων και όχι ενός ειδικού και μόνο. Πλέον απαιτούνται πολλαπλές και διαφορετικές ειδικότητες για την ολιστική αντιμετώπιση των κυβερνοαπειλών. Οσο η τεχνολογία αναπτύσσεται και υιοθετείται από το σύνολο των πολιτών, τόσο αυξάνει και η επιθετική επιφάνεια. Επιβάλλεται ως αμυνόμενοι να έχουμε την ίδια ταχύτητα εξέλιξης και βελτίωσης, όπως και οι επιτιθέμενοι.
Σε αυτό το πλαίσιο, τα στελέχη της ΔΙΚΥΒ καθημερινά εκπαιδεύονται στην κατανόηση της κυβερνοαπειλής, ώστε να έχουν ετοιμότητα να αντιμετωπίσουν την οποιαδήποτε γνωστή ή άγνωστη κυβερνοαπειλή. Εφαρμόζουν προληπτική κυβερνοάμυνα διεξάγοντας περιοδικά αμυντικές επιχειρήσεις κυβερνοχώρου γνωστές ως hunting the cyber threat (το κυνήγι της κυβερνοαπειλής). Με τις αμυντικές επιχειρήσεις κυβερνοχώρου οι ΕΕΔ επιδιώκουν να πλησιάζουν τους επιτιθέμενους και προσπαθούν να τους ξεπεράσουν.
Στον κυβερνοχώρο, ως πέμπτο πεδίο επιχειρήσεων, ο επιτιθέμενος έχει την πρωτοβουλία των κινήσεων. Ωστόσο κατανοώντας τις διαφορές ανάμεσα στους αμυνόμενους και στους επιτιθέμενους, μπορούν οι αμυνόμενοι ακόμα και να βρεθούν βήματα μπροστά από τους επιτιθέμενους. Οι αμυνόμενοι πρέπει να γνωρίζουν και να εντοπίζουν όλα τα επιθετικά μονοπάτια με τα οποία μπορεί να παραβιαστεί η δικτυακή τους υποδομή. Οι επιτιθέμενοι πρέπει να εντοπίσουν μόνο ένα. Στον αντίποδα, οι επιτιθέμενοι πρέπει να φροντίσουν να καλύψουν όλα τα ίχνη τους. Ωστόσο οι αμυνόμενοι αρκεί να εντοπίσουν ένα ύποπτο στοιχείο, δηλαδή ένα αποδεικτικό στοιχείο για να λύσουν την υπόθεση, να αντιμετωπίσουν την κυβερνοεπίθεση.
-Η τεχνητή νοημοσύνη είναι απειλή ή εργαλείο που μπορούν να αξιοποιήσουν οι Ενοπλες Δυνάμεις για την ασφάλεια στον κυβερνοχώρο;
Η τεχνητή νοημοσύνη είναι ένα εργαλείο που αξιοποιείται από τις Ενοπλες Δυνάμεις για την ασφάλεια στον κυβερνοχώρο. Ηδη χρησιμοποιούνται πλατφόρμες που διαθέτουν αλγόριθμους τεχνητής νοημοσύνης για να εντοπίσουν τυχόν παραβιάσεις των δικτύων των Ε.Δ., ενώ παράλληλα υπάρχει σχεδιασμός να επεκταθεί η χρήση της τεχνητής νοημοσύνης σε όλη τη διαδικασία διαχείρισης / αντιμετώπισης μιας κυβερνοεπίθεσης.
Είναι σημαντικό να τονιστεί πως και οι επιτιθέμενοι χρησιμοποιούν την τεχνητή νοημοσύνη για να δημιουργήσουν ιομορφικά λογισμικά (malware – malicious software) και να επιτεθούν στις δικτυακές υποδομές των Ε.Δ. Σε αυτό το πλαίσιο επιβάλλεται από τις Ε.Δ. να χρησιμοποιούν την τεχνητή νοημοσύνη για την καλύτερη προστασία τους.
-Πώς εξασφαλίζεται η ετοιμότητα των στελεχών της ΔΙΚΥΒ;
Με συνεχή ενημέρωση και προσωπική εκπαίδευση. Η ΔΙΚΥΒ παρέχει εκπαιδεύσεις στο προσωπικό των Ε.Δ., που αφορούν τόσο την ασφάλεια υπολογιστών, όσο και την προστασία της ιδιωτικότητας. Είναι βασικό πως όταν κάποιος γνωρίζει να προστατεύει τον προσωπικό του υπολογιστή, τότε μπορεί και να προστατεύσει και την υπηρεσιακή δικτυακή υποδομή.
Η ΔΙΚΥΒ εφαρμόζει ένα σχέδιο ευαισθητοποίησης και εκπαίδευσης των στελεχών με σκοπό την υποστήριξη της κυβερνοασφάλειας στις Ε.Δ. και ένα επικαιροποιημένο και εφαρμοσμένο πρόγραμμα εκπαίδευσης / κατάρτισης / ειδίκευσης για τους ειδικούς στην ασφάλεια στον κυβερνοχώρο και στην κυβερνοάμυνα. Μέρος αυτής της εκπαίδευσης παρέχεται σε εθνικό αλλά και διεθνές επίπεδο με τα σχολεία κυβερνοάμυνας που διοργανώνει.
Παράδειγμα η ΔΙΚΥΒ σε συνεργασία με το Ευρωπαϊκό Κολλέγιο για την Ασφάλεια και Αμυνα (ESDC – European Security and Defense College) διοργανώνει και διεξάγει τα ακόλουθα σχολεία:
- OSINT – CTI (Open Source Intelligence and Cyber Threat Intelligence)
- Incident Handling and Digital forensics
- Penetration Test – Red Teaming
Επιπλέον για την εκπαίδευση ειδικών, η ΔΙΚΥΒ διοργανώνει κάθε χρόνο, την εθνική άσκηση κυβερνοάμυνας «ΠΑΝΟΠΤΗΣ». Η συμμετοχή σε αυτήν είναι ελεύθερη και μπορούν να εκπαιδευτούν ειδικοί στην αντιμετώπιση κυβερνοεπιθέσεων από δημόσιο και ιδιωτικό τομέα, από σώματα ασφαλείας, κρίσιμες υποδομές, ΕΥΠ, ακαδημαϊκή κοινότητα, ακόμα και ιδιώτες. Στην επόμενη άσκηση «ΠΑΝΟΠΤΗΣ», που θα διοργανωθεί τέλος Μαΐου του ’24, μεταξύ άλλων θα παρουσιαστούν τόσο απλές ασκήσεις κατανόησης των κυβερνοαπειλών όσο και η εφαρμογή απλών μέτρων προστασίας, που θα απευθύνονται σε μαθητές και ιδιώτες, μη ειδικούς στο συγκεκριμένο αντικείμενο της κυβερνοασφάλειας.
Παράλληλα για την κατανόηση και αντιμετώπιση της κυβερνοαπειλής, η ΔΙΚΥΒ καθημερινά ανταλλάσσει πληροφορίες που αφορούν κυβερνοαπειλές με το ΝΑΤΟ, το ευρωπαϊκό δίκτυο των αρμόδιων ομάδων απόκρισης (EU CSIRT Network – Computer Security Incident Response Teams) και σε εθνικό επίπεδο με όλους τους αρμόδιους φορείς, όπως Εθνική Αρχή Κυβερνοασφάλειας, ΕΥΠ, η Δίωξη Ηλεκτρονικού Εγκλήματος και άλλες κρίσιμες υποδομές.