18/05/2023 10:57
Καταπέλτης κατά του Τμήματος Υπηρεσιών Πληροφορικής (ΤΥΠ) του Υφυπουργείου Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής, είναι η Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ), για τις κυβερνοεπιθέσεις που έθεσαν εκτός λειτουργίας ιστοσελίδες του δημοσίου, αλλά και για το περιστατικό διαρροής νερού στο υπουργείο Οικονομικών που έθεσε εκτός λειτουργίας κυβερνητικές ιστοσελίδες, προκαλώντας τεράστια ταλαιπωρία στο κοινό και κόστος εκατοντάδων χιλιάδων ευρώ στο κράτος.
Σε 12σέλιδο υπόμνημα που προώθησε στην Επιτροπή Θεσμών, στο πλαίσιο σχετικής συζήτησης, ο διευθυντής της ΑΨΑ Αντώνης Αντωνιάδης επιρρίπτει ευθύνες στο ΤΥΠ ότι δεν αξιοποίησε πληροφόρηση και συστάσεις που δέχθηκε, που είχαν ως αποτέλεσμα κυβερνητικές ιστοσελίδες να είναι ξέφραγο αμπέλι για επιθέσεις χάκερ.
Μεταξύ άλλων, αναφέρει ότι στο πλαίσιο της έγκαιρης προειδοποίησης και αποστολής ειδοποιήσεων επαγρύπνησης σχετικά με κινδύνους και συμβάντα, το Εθνικό CSIRT-CY αποστέλλει στις κρίσιμες υποδομές ενημερωτικά ηλεκτρονικά μηνύματα, όπου μεταξύ άλλων, πληροφορεί για ευπάθειες (vulnerabilities, IOCs) σε συστήματα και εφαρμογές.
Σημειώνει ότι σε περίπτωση που το ΤΥΠ λάμβανε τα απαραίτητα μέτρα σχετικά με τις ενημερώσεις, ενδεχομένως να είχαν αποφευχθεί περιστατικά κυβερνοασφάλειας, όπως και το πρόσφατο περιστατικό στο Τμήμα Κτηματολογίου και Χωρομετρίας.
Τονίζεται ότι «είναι ουσιαστικά βέβαιο ότι δεν θα επιτυγχανόταν πρόσβαση από τους επιτιθέμενους από τη συγκεκριμένη ευπάθεια».
Επισημαίνει επίσης, ότι οι βασικές υποχρεώσεις του ΤΥΠ, καλύπτουν και θέματα φυσικής και περιβαλλοντικής ασφάλειας, τα οποία θα μπορούσαν να είχαν αποτρέψει και περιστατικά, όπως την πλημμύρα στο server room του Υπουργείου Οικονομικών.
Ιδιαίτερη αναφορά κάνει σε σοβαρά περιστατικά κυβερνοασφάλειας από το 2019, αλλά και σε συγκεκριμένο περιστατικό που είχε ως αποτέλεσμα ο Επίτροπος να προβεί σε αυστηρές συστάσεις και υποδείξεις στο ΤΥΠ σχετικά με διορθωτικά και προληπτικά μέτρα που είχε παραλείψει να λάβει και που επιβαλλόταν να υλοποιήσει με απώτερο στόχο την αποτροπή παρόμοιων περιστατικών στο μέλλον.
Δεν λήφθηκαν ούτε τα βασικά μέτρα
Ο κ. Αντωνιάδης υπογραμμίζει στο σημείωμα ότι «είναι σημαντικό να αναφερθεί ότι, στις πλείστες περιπτώσεις, βασικά μέτρα ασφάλειας μπορούν να αποτρέψουν αποτελεσματικά, περιστατικά που σχετίζονται με γνωστές ευπάθειες και προβλήματα. Αν και είναι γνωστό ότι 100% ασφάλεια δεν μπορεί να υπάρξει ποτέ σαν έννοια, με τη λήψη κατάλληλων μέτρων μπορούμε αποτελεσματικά να ελαχιστοποιούμε την πιθανότητα εκδήλωσης επίθεσης ή προβλήματος ή/και να ελαχιστοποιούμε τις δυνητικές επιπτώσεις αν εκδηλωθεί / επιτύχει κάποια επίθεση».
«Είναι αδιανόητο και ανεπίτρεπτο, πλέον, να γίνεται αποδεκτό να εκδηλώνονται σοβαρά περιστατικά που θα μπορούσαν με τις κατάλληλες ενέργειες τις οποίες η ΑΨΑ έχει καλέσει τους εποπτευόμενους να υλοποιήσουν (στον κατάλληλο χρόνο), να είχαν αποτραπεί».
Ζήτημα κουλτούρας, άρνησης και έλλειψης κατανόησης
Περαιτέρω αναφέρει ότι διαφαίνεται πως, η κουλτούρα που επικρατεί στη Δημόσια Υπηρεσία, καθώς και η άρνηση και η έλλειψη κατανόησης της σοβαρότητας του θέματος που παρατηρείται σε αρκετές περιπτώσεις επιβαρύνουν ακόμη περισσότερο τη δυνατότητα λήψης άμεσων μέτρων προς αντιμετώπιση των σοβαρών ζητημάτων κυβερνοασφάλειας.
«Είναι πολύ θετικό όμως το ότι, φαίνεται να αλλάζει πλέον η εικόνα αυτή μετά από ξεκάθαρες τοποθετήσεις από τα υψηλότερα επίπεδα, όπως το τελευταίο χρονικό διάστημα από το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής και πιο πρόσφατα από το Προεδρικό», όπως σημειώνει.
Προσθέτει όμως ότι χρειάζεται να δοθεί η απαραίτητη βαρύτητα και η κατάλληλη σημασία για το θέμα αυτό καθώς και να υπάρξει ευαισθητοποίηση και εκπαίδευση στον συγκεκριμένο τομέα, αρχής γενομένης της Διοίκησης των Κρίσιμων Υποδομών, ως αρμόδια να λαμβάνει Αποφάσεις καταλήγοντας στους υφιστάμενους τους.
Σοβαρές παραλήψεις στο δημόσιο
Ο κ. Αντωνιάδης αναφέρει ότι στο δημόσιο τομέα, υπάρχουν ακόμα σοβαρές ελλείψεις και παραλείψεις όσον αφορά στην υλοποίηση των μέτρων και των υποχρεώσεων που υποδεικνύει η ΑΨΑ (για παράδειγμα βασικές ενημερώσεις ασφάλειας σε συστήματα και λογισμικά).
Προσθέτει ότι παρόμοια εικόνα ισχύει και σε αρκετές περιπτώσεις στον ευρύτερο δημόσιο τομέα, ενώ διευκρινίζει ότι ο τρόπος που είναι δομημένη και που λειτουργεί η Δημόσια Υπηρεσία δεν επιτρέπει εύκολα τη διασφάλιση της υψηλής ποιότητας κυβερνοασφάλειας (π.χ. το θέμα ωραρίου, μη ύπαρξη μηχανισμού on call, μη ύπαρξη κατάλληλων δομών, διαδικασιών, μη ύπαρξη λογοδοσίας, προσωπικής ευθύνης και διοικητικής κλπ).
Μέτρα από Υφυπουργείο
Η υφιστάμενη δομή του ΤΥΠ δεν είναι η κατάλληλη καθώς για ακόμα μία φορά διαφαίνεται ότι επικρατεί έλλειψη κουλτούρας κυβερνοασφάλειας και η ανάληψη οποιωνδήποτε σχετικών ευθυνών που αναλογούν στους εποπτευόμενους φορείς, προσθέτει ακόμα.
Αναφορικά με το θέμα αυτό, δηλώνει ότι η ΑΨΑ ως Ανεξάρτητη Αρχή, χαιρετίζει τις αλλαγές που προανήγγειλε ο Υφυπουργός σχετικά με τη διεύρυνση του ωραρίου (βάρδιες) για το θέμα προστασίας κρίσιμων υποδομών(24 ώρες τη μέρα / 7 μέρες την εβδομάδα), καθώς και την αποφασιστικότητα εκ μέρους του Προέδρου της Δημοκρατίας για αντιμετώπιση των εν λόγω θεμάτων.
Έλλειψη λογοδοσίας και ευθύνης
Ο κ. Αντωνιάδης επισημαίνει ότι από τα πρόσφατα περιστατικά αναδεικνύεται και το σημαντικό θέμα της έλλειψης λογοδοσίας και ευθύνης στο δημόσιο τομέα.
Εφόσον υπάρχουν συστήματα για τα οποία δεν υπάρχει συμφωνία μεταξύ του ΤΥΠ και των δημόσιων φορέων κρίσιμων υποδομών πληροφοριών, για το ποιος είναι υπεύθυνος για την ομαλή λειτουργία τους ή/και το ποιος είναι υπεύθυνος για την ασφάλεια τους, είναι αναπόφευκτο κάποιες ενέργειες να μη γίνονται καθόλου ή να μη γίνονται στον κατάλληλο χρόνο (ισχύει σε λιγότερο βαθμό και στον ιδιωτικό τομέα), όπως εξηγεί.
Προσθέτει ότι το ίδιο συμβαίνει όταν η ευθύνη διαμοιράζεται σε πολλά πρόσωπα – η συνηθισμένη κατάληξη είναι η έλλειψη πρωτοβουλίας και μη ανάληψη της ευθύνης για την αποτελεσματική θωράκιση συστημάτων.