Η κυβερνοεπίθεση που έλαβε χώρα στις 13 Οκτωβρίου εναντίον των Κυπριακών Ταχυδρομείων και του συστήματος “ΘΑΛΗΣ” αποκάλυψε τα σημαντικά κενά ασφαλείας των κρατικών ψηφιακών υποδομών. Σοβαρές αποκαλύψεις για τη φύση της κυβερνοεπίθεσης που δέχθηκε το κρατικό σύστημα “ΘΑΛΗΣ” και για τις χρόνιες αδυναμίες της κρατικής υποδομής κυβερνοασφάλειας, έκανε ο πρώην εκπαιδευτής Ηλεκτρονικού Εγκλήματος και Κυβερνοασφάλειας, ερευνητής νέων τεχνολογιών και ειδικός στα δίκτυα προστασίας από κυβερνοεπιθέσεις, Άριστος Πολυδώρου.
Μιλώντας στο ραδιόφωνο του «Π» στην εκπομπή «Πρωινή Επιθεώρηση» και στην δημοσιογράφο Κατερίνα Ηλιάδη κατήγγειλε: «Έχουμε δει ήδη διάφορα στοιχεία να κυκλοφορούν στο σκοτεινό διαδίκτυο όπως ονόματα, διευθύνσεις, προσωπικά στοιχεία, δεδομένα συναλλαγών, έγγραφα, ακόμα και σφραγίδες κυβερνητικών τμημάτων», σημειώνοντας ότι το σύστημα “ΘΑΛΗΣ” χρησιμοποιείται για εσωτερική επικοινωνία και ανταλλαγή εγγράφων μεταξύ πολλών κρατικών υπηρεσιών.
Επισήμανε, ότι το σύστημα «χρησιμοποιείται ενεργά από υπουργεία και υπηρεσίες, όπως το Τμήμα Τελωνείων, το Κτηματολόγιο, το Υπουργείο Εξωτερικών και άλλους οργανισμούς».
Ο «μισθοφόρος» χάκερ Byte2Bridge
Ο κ. Πολυδώρου ανέφερε ότι πίσω από την επίθεση βρίσκεται ο γνωστός στο χώρο της κυβερνοασφάλειας χάκερ Byte2Bridge. «Πρόκειται για έναν από τους διασημότερους “cyber mercenaries” - μισθοφόρους του κυβερνοχώρου. Δεν έχει πολιτικά κίνητρα, δουλεύει κατόπιν πληρωμής, για κυβερνήσεις ή ιδιώτες, είτε για συλλογή πληροφοριών είτε για κυβερνοκατασκοπεία», είπε χαρακτηριστικά.
Σύμφωνα με τον ίδιο, ο Byte2Bridge ακολουθεί πάντα συγκεκριμένο μοτίβο δράσης: «Δεν στέλνει phishing emails (παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου) . Χτυπά απευθείας στους servers. Στην περίπτωση του ΘΑΛΗΣ, φαίνεται πως υπήρχε ανοιχτό το administration panel (το εργαλείο πρόσβασης ενός τεχνικού). Το σύστημα είναι παλιό και ευάλωτο. Υπήρξε λάθος στη ρύθμιση του και πιθανόν ο server ήταν παραμελημένος. Βρήκε ένα “παραθυράκι” και μπήκε».
Όπως πρόσθεσε, «υπάρχουν σήμερα εργαλεία στο διαδίκτυο που εντοπίζουν εύκολα τέτοιες ευπάθειες. Δεν χρειάζεται να είσαι hacker με πληκτρολόγιο και κώδικες όπως στις ταινίες, με ένα απλό εργαλείο μπορείς να δεις ποιες υπηρεσίες είναι εκτεθειμένες και ποιοι servers είναι ευάλωτοι».
«Κλέβει και φεύγει»
«Ο συγκεκριμένος χάκερ δεν προκαλεί ζημιές, δεν διαγράφει ή κρυπτογραφεί δεδομένα. Κλέβει και φεύγει», εξήγησε ο κ. Πολυδώρου.
Αυτό, τόνισε, καθιστά σχεδόν αδύνατο να γνωρίζει κανείς ποια δεδομένα έχουν διαρρεύσει: «Για να το ξέρεις, πρέπει να διαθέτεις τα κατάλληλα εργαλεία παρακολούθησης του δικτύου, κάτι που εμείς δεν έχουμε. Άρα, τεχνικά, δεν μπορεί κανείς να πει με βεβαιότητα τι έκλεψε».
«Δεν υπάρχει κρατικό σχέδιο»
Ο κ. Πολυδώρου ήταν ιδιαίτερα επικριτικός για τη στάση του κράτους: «Το υφυπουργείο Έρευνας και Καινοτομίας λειτουργεί διακοσμητικά. Οι σοβαρές χώρες αντιμετωπίζουν την κυβερνοασφάλεια σαν έναν στρατό που προστατεύει την εθνική ασφάλεια. Παράγουν έργο εσωτερικά, έχουν δικούς τους προγραμματιστές και αναπτύσσουν τα συστήματα τους. Εμείς, αντίθετα, απλώς αναθέτουμε έργα σε τρίτους και ξένες εταιρείες. Δεν έχουμε εθνικό υπόβαθρο». «Η Κύπρος δεν διαθέτει δική της ψηφιακή υποδομή. Είναι κενό το πεδίο. Και αυτό που έγινε με το “ΘΑΛΗΣ” το αποδεικνύει. Δεν υπάρχει βάση, δεν υπάρχει σχέδιο», υπογράμμισε.
Η υποχρέωση ενημέρωσης και το GDPR
Αναφερόμενος στο ευρωπαϊκό πλαίσιο προστασίας δεδομένων, ο κ. Πολυδώρου υπενθύμισε ότι «κάθε οργανισμός ή κρατική υπηρεσία που υφίσταται διαρροή δεδομένων υποχρεούται εντός 24 ωρών να ενημερώσει την Επίτροπο Προστασίας Προσωπικών Δεδομένων, σύμφωνα με τον Κανονισμό GDPR. Αν δεν το πράξει, κινδυνεύει με πρόστιμα εκατομμυρίων».
Και πρόσθεσε: «Η Επίτροπος δεν έχει ρόλο να ψάξει τι έγινε, το Υφυπουργείο και η Αρχή Ψηφιακής Ασφάλειας όφειλαν να την ενημερώσουν ακριβώς τι διέρρευσε. Αν δεν γνωρίζουν καν, αυτό από μόνο του συνιστά παράβαση και επιφέρει πρόστιμο».
Το καλώδιο και η εθνική ασφάλεια
Ο ειδικός σχολίασε επίσης το περιστατικό με το φορτηγό που έκοψε το εναέριο καλώδιο του διαδικτύου, αφήνοντας για ώρες χωρίς σύνδεση το Προεδρικό, την Αστυνομία και άλλα υπουργεία:
«Σε καμία σοβαρή χώρα δεν θα συνέβαινε αυτό. Το πρώτο πράγμα στον σχεδιασμό ενός δικτύου είναι οι τρεις εναλλακτικές γραμμές, από διαφορετικές διαδρομές και παρόχους. Όταν πέσει η μία, οι άλλες συνεχίζουν να λειτουργούν, χωρίς να το καταλάβει ο πολίτης».
Εξήγησε επίσης ότι η χρήση εναέριου καλωδίου για κυβερνητικά δεδομένα αποτελεί ζήτημα εθνικής ασφάλειας: «Οποιοσδήποτε μπορεί να το “πειράξει” και να υποκλέψει δεδομένα. Κανένας σοβαρός οργανισμός πιστοποίησης δεν θα έδινε άδεια λειτουργίας σε ένα κέντρο δεδομένων με εναέριο καλώδιο».
«Δεν εμπιστεύομαι το ψηφιακό μου προφίλ»
Ο κ. Πολυδώρου κατέληξε: «Με όλα αυτά που βλέπω, δεν πρόκειται ποτέ να χρησιμοποιήσω τον Ψηφιακό Πολίτη. Πώς να εμπιστευτώ να βάλω τα προσωπικά μου στοιχεία σε ένα σύστημα που ούτε καν φιλοξενείται στην Κύπρο; Τα δεδομένα των πολιτών βρίσκονται σε servers της Microsoft, της Amazon, και άλλων παρόχων στο εξωτερικό. Δεν απαγορεύεται, αλλά οι καλές πρακτικές επιβάλλουν να φυλάσσονται τα δεδομένα του πληθυσμού εντός της χώρας. Είναι θέμα κυριαρχίας και προστασίας των πολιτών».
Πάντως από κυβερνητικής πλευράς η τελευταία κυβερνοεπίθεση στα συστήματα της ΚΔ δεν σχολιάζεται επί της ουσίας. Από τη στιγμή που το θέμα διερευνάται δεν μπορούμε να προβούμε σε περαιτέρω δηλώσεις ανέφερε στον «Π» αρμόδια πηγή από την Αρχή Ψηφιακής Ασφάλειας.
Ακούστε ολόκληρο το ηχητικό:
