Ο Ρόλος του IT Security Expert στην εποχή των Smart & Safe Cities

…και η συμβολή της Κυβερνομηχανικής στην εξέλιξη της Ασφάλειας.

Το ερώτημα ήταν, είναι και θα είναι: “Πόσο ασφαλείς είμαστε σε μια εποχή που οι έξυπνες συσκευές – και κατ’ επέκταση, μελλοντικά, οι έξυπνες πόλεις – θα αποτελούν την καθημερινότητά μας.

Γιώργος Δελαπόρτας
Enterprise Architect, IT Security & Strategy Expert – Certified Hacker
& Security Researcher (US Codename: ViR4X) / VEDICOR S.A.

Tο «έξυπνο» ενέχει πάντα τον κίνδυνο της μη ελεγχόμενης ή ασφαλούς μετάδοσης πληροφορίας. Εκεί ακριβώς είναι και το σημείο ενδιαφέροντος του κάθε επαγγελματία Μηχανικού Ασφάλειας Πληροφορικής & Υποδομών/Συστημάτων (IT Security Expert) & Hacker (Προγραμματιστή και Ερευνητή) που ασχολείται τόσο με τις διαχειριστικές αλλά και διαδικαστικές δομές της πληροφορίας. Η Ευρώπη σε συνεργασία με την Κομισιόν, την Ευρωπαϊκή Διαστημική Υπηρεσία (ESA), την NASA, μεγάλα πανεπιστημιακά ιδρύματα, στρατιωτικά ερευνητικά κέντρα του Ισραήλ, της Σουηδίας, της Φιλανδίας καθώς και μεγάλες εται-ρίες του χώρου το 2012 επένδυσε 60 εκατομμύρια Ευρώ κάτω από την ομπρέλα του προγράμματος Fi-PPP στα πλαίσια του έργου: SafeCity. (https://www.youtube.com/watch?v=XiB0mOPMp_M)

Ο σκοπός του έργου ήταν να δοκιμαστούν smart τεχνολογικές υποδομές και διαφορετικοί τρόποι και μέσα μετάδοσης πληροφορίας με κοινό παρανομαστή την ασφάλεια. Έτσι θα επαληθεύονταν και θα πιστοποιούνταν τόσο οι τεχνολογίες όσο και τα business processes, προς αξιοποίηση στην Ευρώπη αλλά και παγκοσμίως. Το έργο στέφθηκε με απόλυτη επιτυχία, αλλά επειδή κρίθηκε από τις επιτροπές πως οι υποδομές διασφάλισης της πληροφορίας δεν ήταν αρκετά ικανές να στηρίξουν έναν Ευρωπαϊκό και παγκόσμιο ιστό μεταγωγής δεδομένων από και προς τις τερματικές συ-σκευές άρα και το Edge Network (με μακρόπνοο ασφαλή τρόπο), η υλοποίηση σταμάτησε στο επίπεδο της έρευνας.
Ο παραπάνω φόβος και οι επικείμενες καθυστερήσεις πηγάζουν από παράγοντες «αγκάθια» στις υλοποιήσεις μιας και αποτελούν βασικούς πυλώνες των υποδομών. Ας δούμε σε βάθος και πιο αναλυτικά μια διερεύνηση.

Σημαντικές Προκλήσεις και μια προτεινόμενη λύση

Η πληροφορία λοιπόν ως γνωστόν, είναι ευαίσθητη σε όλους τους τομείς και σε όλα τα επίπεδα. Οι IP υποδομές δεν αναπτύχθηκαν για να είναι ασφαλείς, αλλά ταχείς (Best Effort) και αυτό προκαλεί ένα challenge στους υλοποιητές. Η κρυπτογράφηση πάνω από τα δίκτυα ναι μεν «κλειδώνει» τις επιθέσεις απέξω (όχι πάντα), απλά δε γνωρίζουμε μέχρι πότε. Το μεγάλο ερώτημα της ασφάλειας στην πληροφορική και όχι μόνο είναι : «Ποιός ο χρόνος μέχρι την διαβλητότητα ενός συστήματος?». Εάν ο χρόνος είναι μη πολυωνημικός με τα σημερινά δεδομένα και την τωρινή τεχνολογία, τότε μιλάμε για μια 99.999999 (6-Sigma) ασφάλεια. Τα πρόσφατα γεγονότα όμως με τα κενά ασφάλειας στην υποδομή δημοσίου κλειδιού (PKI) και ποιο συγκεκριμένα στο SSL με το Heartbleed καθώς και με το Proof-of-Concept του Sound Hacking, όπου ερευνητές έδειξαν πως μπορού με να σπάσουμε κρυπταλγόριθμους μαντεύοντας / προσεγγίζοντας (με μαθηματικό τρόπο) τα κλειδιά των πρώτων αριθμών, μας δίνει μια γερή γροθιά κάτω από τη μέση θυμίζοντας μας πως τα Side-Channel Attacks είναι εδώ για να κάνουν τα αδύνατα, δυνατά σε κάθε τεχνολογική ανάπτυξη! Άρα, πως ο IT Security Expert θα επέμβει ώστε να δια- σφαλίσει τις υποδομές, αποφεύγοντας τις επιθέσεις οποιασδήποτε μορφής και δίνοντας μια άλλη πιο ασφαλή δυναμική στην εικόνα των Ασφαλών Δικτύων που θα απαρτίζουν τις ασφαλείς πόλεις του όχι και τόσο μακρινού μέλλοντος?

Το ερώτημα δεν είναι ρητορικό. Ο γραφών έχει δημιουργήσει μια παγκόσμια πατέντα και μεθοδολογία που θα αναφερθεί για πρώτη φορά (χωρίς τεχνικές λεπτομέρειες) σε έντυπα και ηλεκτρονικά μέσα και ήδη λειτουργεί σε συσκευές δικτυακού εξοπλισμού στο εμπόριο. Το “Ghost Protocol” είναι μια διαδικασία που εφαρμόζεται σε οποιαδήποτε smart συσκευή, ή υπολογιστή που έχει ένα τυπικό & ικανό λειτουργικό σύστημα. Η λύση προτάθηκε σε οργανισμούς και κατασκευαστές προς αποκλειστικότητα ή προς χρήση για όλες τις πιθανές δημόσιες τεχνολογικές υποδομές, ώστε να κλείσει το κεφάλαιο της εποχής του «ότι κλειδώνει ξεκλειδώνει». Για μια ασφαλή πόλη αυτό είναι το καίριο ζήτημα. Εάν ο επιτιθέμενος προσπαθήσει με οποιοδήποτε μέσον να διαβάλει το σύστημα και υπάρχουν τα κατάλληλα αντίμετρα καθώς και η ενημέρωση προς τον διαχειριστή, τότε η άμεση επίλυση και αυτόματη αποκατάσταση του συστήματος παρέχει φερεγγυότητα και βιωσιμότητα.

Η συμβολή της Κυβερνομηχανικής

Όπως βλέπουμε λοιπόν, ο ρόλος του μέσου επαγγελματία IT Security Expert εξελίσσεται και περνά σε ένα εντελώς νέο επίπεδο παροχών ασφάλειας και βάθους διερεύνησης. Οι απαιτήσεις περνούν πλέον από το στάδιο της Πληροφορικής στο ευρύτερο συστημικό επίπεδο της μητέρας των επιστημών, την Κυβερνομηχανική (Cybernetics). Το πακέτο διασφάλισης φυσικής και ηλεκτρονικής ασφάλειας (ISO27000) καθώς και το GDPR στην Ευρώπη, δεν θα σώσει τις εταιρίες, οργανισμούς αλλά ούτε και τις υποδομές αυτών, επειδή απλά ακολουθούν τα γενικευμένα πρότυπα και πρωτόκολλα ασφάλειας. Τί πρέπει λοιπόν να γίνει για να διασφαλιστούμε. Η απάντηση είναι τόσο απλή, αλλά και τόσο σύνθετη παράλληλα. Η εφαρμογή των αρχών της Κυβερνητικής Μηχανικής σε όλα τα επίπεδα. Ορμώμενος από την τελευταία μου φράση, θέλω να εξηγήσω πως στην επιστήμη συστημάτων (Systems) οι αρχές της Κυβερνομηχανικής ορίζουν κάθε αλληλεπίδραση μεταξύ των οντοτήτων. Έτσι στην εποχή που το smart μεταφράζεται πρακτικά σε Internet of Things (IoT) και μας νοιάζει κάθε end-device σε μια Smart/Safe City πρέπει η έννοια της ασφάλειας να αγγίζει το κάθε «πράγμα».

Ο IT Security …ως Analyst

Κοντολογίς, μια ενιαία διαχειριστική υποδομή και διαδικασίες πρέπει να εφαρμόζεται σε όλες τις συσκευές ανεξαρτήτως κατασκευαστή και ανε- ξαρτήτως Λειτουργικού Συστήματος. Ο IT Security Expert σήμερα λοιπόν, είναι επιφορτισμένος με την εφαρμογή αυτών των διαδι- κασιών. Ά ρα σ ταματά να είναι έ νας θεωρητικός μάνατζερ που τον νοιάζει απλά να κάνει enforce policies και έμπρακτα επεμβαίνει στις ενέργειες του κατώτερου επιπέδου, άρα στο System Engineering. Πρακτικά, μιλάμε για έναν IT Security & Systems Expert αλλά και Analyst. Προς ολοκλήρωση του προφίλ ενός πραγματικά ικανού μηχανικού, θα έλεγα πως χρειάζεται βαθιά γνώση και άποψη επάνω στη στρατηγική της εταιρίας, καθώς και πλήρη γνώση του business. Εξαιρετικά ενδιαφέρον λοιπόν, παρουσιάζει το νέο προφίλ του σύγχρονου μηχανικού ασφάλειας, που κάθεται ανάμεσα στους μηχανικούς υποδομών και προγραμματιστές και συνδέει το επιχειρησιακό κομμάτι με τις γνώσεις του και την εμπειρία του, για να είναι proactive και reactive σε μικρό έως και μηδενικό χρόνο. Στις έξυπνες πόλεις, πολλά από τα buzz words του χώρου της πληροφορικής που έχουν γίνει μόδα τα τελευταία χρόνια, είναι απολύτως απαραίτητες τεχνολογίες, αλλά χρειάζεται ορθή εφαρμογή και χρήση. Ας αναφέρουμε μερικά όπως: blockchain, ledger, crypto, AI, threat detection, LoRaWAN, SIEM, SecOps κ.α. Είναι προφανές, πως οι παραπάνω και άλλες τεχνολογίες δεν έχουν πάντα νόημα εφαρμογής ή χρήσης σε όλα τα έργα στον πλανήτη ή απλά δεν υπάρχει η ανάγκη χρήσης τους.

Για το λόγο τούτο πρέπει να είμαστε πιο συγκεντρωμένοι και ποιο συγκροτημένοι. Η επιτυχής επιλογή πλατφόρμας, εργαλείων διαχείρισης αλλά και εφαρμογής διαδικασιών ανά περίπτωση είναι από μόνο του ένα τεράστιο ερευνητι-κό κεφάλαιο. Στην Αμερική και την κεντρική Ευρώπη που η ασφάλεια της πληροφορίας και των συστημάτων υποδομών αντιμετωπίζεται με σοβαρά πρότυπα, όπως τα ITIL & COBIT είναι σε άμεση συνάφεια με όλες τις λειτουργικές δομές μιας εταιρίας και το management συνάδει και ακολουθεί αυτές. Παράλληλα το προσωπικό εκπαιδεύεται και αποτελεί κορμό υποστήριξης. Όλες οι παραπάνω αναφερθείσες πλατφόρμες εφόσον δομηθούν «επί χάρτου» και με στρατηγική έννοια, τότε το πλάνο εφαρμογής τους θα είναι επιτυχές. Σε αυτό συμβάλλει βέβαια και η αξιοποίηση των γνώσεων και δομών των αρχών την Κυβερνομηχανικής. Η μαθηματική εξακρίβωση της απόδοσης των δεικτών (Key Performance Indicators) πρέπει να οδηγήσουν τον μηχανικό στις μικρές λεπτομέρειες που θα καταδείξουν με σαφήνεια τα κενά ασφάλειας, εκείνα δηλαδή που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι μέσω των side channel attacks όπως προαναφέρθηκε. Το συμπέρασμα είναι, πως η ασφάλεια για τους σημερινούς οργανισμούς, είναι ένα πέπλο ελαφρύ και μια φανταστική έννοια. Οι πραγματικές ανάγκες δεν καλύπτονται και το GDPR έχει να προσθέσει άλλο ένα βαρύ φορτίο στην υφιστάμενη μη συγκροτημένη υπερδο-μή της πληροφορίας. Ο γραφών ακόμα και για το τελευταίο έχει δομήσει Πανευρωπαϊκή πλατφόρμα διαχείρισης προς πλήρη συμμόρφωση με την Ευρωπαϊκή οδηγία και τους πυλώνες της (κωδική ονομασία: “GDPR Sentinel”) αλλά αυτό από μόνο του αποτελεί ένα ξεχωριστό άρθρο για μια άλλη φορά…