Στόχος του άρθρου είναι, να αναδείξει ότι υπάρχει ένα εννοιολογικό υπόστρωμα και σύστημα παραδοχών σε κάθε συζήτηση περί κυβερνοασφάλειας που δεν είναι πάντα εμφανές.
Δρ. Κ. Χασάπης, CGEIT
Algosystems Internet Applications Division Director
Η Κυβερνοασφάλεια μέχρι σήμερα ξεφεύγει από ένα ευρέως αποδεκτό ορισμό, που να είναι αρκετά γενικός για να καλύψει ουδέτερα και πλήρως όλες τις διαστάσεις της (βλέπε [1]). Το θέμα, δεν αφορά μόνο στην δυσκολία ορισμού του τι είναι ο «κυβερνοχώρος» αυτός καθ’ αυτός, ή στο ετερόκλητο πλήθος από εμπλεκόμενα μέρη (ιδιώτες, επιχειρήσεις, σύμβουλοι, εταιρείες πληροφορικής, σώματα ασφαλείας, νομοθέτες, στρατοί, κράτη, χάκερς, τρομοκράτες, ακτιβιστές, κλπ.), αλλά και στον τρόπο που το κάθε μέρος προσεγγίζει το θέμα. Στόχος του σύντομου αυτού μη-τεχνικού άρθρου είναι, διερευνώντας την ακαδημαϊκή βιβλιογραφία γύρω από την «αναπαράσταση των κυβερνοαπειλών» (τη θεώρησή τους δηλαδή με την ευρεία έννοια), να δείξει πως τελικά ο τρόπος που μιλάμε για τις απειλές, επηρεάζει τον τρόπο που τις αντιμετωπίζουμε και να αφυπνίσει τους αναγνώστες στο ότι υπάρχει ένα εννοιολογικό υπόστρωμα και σύστημα παραδοχών σε κάθε συζήτηση κυβερνοασφάλειας που δεν είναι πάντα εμφανές.
Παρ’ότι λοιπόν οι διάφορες κοινότητες της Κυβερνοασφάλειας ασχολούνται κυρίως με την ασφάλεια υπολογιστών, πληροφοριών και υπολογιστικών δικτύων, διαφέρουν αρκετά ως προς το αντικείμενο αναφοράς τους, το σημείο δηλαδή πάνω στο οποίο αναπτύσσουν ιδιαίτερα τη θεώρησή τους. Με βάση αυτό, έχουν εντοπιστεί από ερευνητές ([2],[3],[4]), τέσσερα κύρια (δυναμικά μεν, αλλά αρκετά διαφορετικά) «συσσωματώματα ενδιαφερόμενων μερών» (μεταφράζοντας την έννοια assemblages όπως σε [3], ή επίσης clusters of main actors όπως σε [2],[4]) (βλ. Πίνακα 1).
| Ι | ΙΙ | ΙΙΙ | ΙV | |
| ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ (Main Actors) | Hacking Subculture,
Computer (security) experts. |
Business actors,
Anti-virus industry, Law enforcement, Intelligence community. |
Civil defense,
Homeland security. |
Military |
| ΑΝΤΙΚΕΙΜΕΝΟ ΑΝΑΦΟΡΑΣ (Referent Object) | Computers,
Computer networks. |
Private sector (business networks),
Classified information (government networks). |
Critical (information) infrastructures,
Society (particularly its “functioning”). |
Networked armed
forces (military networks) Nation/state |
| ΑΠΕΙΛΕΣ (Threats) | Malware,
Network disruptions, Hackers (all kinds). |
Advanced Persistent
Threats (Malware), Cyber-Criminals (Nonstate), Cyber-Spies (State) |
Disruptions in Critical infrastructures,
Cascading effects, Cyber-terrorists (Nonstate), Cyber-commands (State). |
(Catastrophic) attacks on critical infrastructures,
Cyber-terrorists (Nonstate), Cyber-spies (State), Cyber-commands (State). |
| ΠΙΝΑΚΑΣ 1: Συσσωματώματα «ενδιαφερόμενων μερών» (από [2]) | ||||
Στον πίνακα 1, επικεντρωμένοι στις απειλές, παρατηρούμε ισχυρή επικάλυψη, με αποτέλεσμα να μπορούμε λίγο ως πολύ να εντοπίσουμε τρεις κύριους τύπους αναπαράστασης απειλών: ο «Τεχνολογικός τύπος», ο «Κοινωνικό-Πολιτικός τύπος» και ο «Τύπος Άνθρωποι-Μηχανές».
| Τεχνολογικός τύπος | Κοινωνικό-Πολιτικός τύπος | Τύπος Άνθρωποι-Μηχανές | |
| ΣΧΕΤΙΖΟΜΕΝΟ ΣΥΣΣΩΜΑΤΩΜΑ | Ι, ΙΙ | ΙΙΙ, ΙV | III |
| ΑΠΕΙΛΗ | Malware, Network disruption, Advanced Persistent Threats | Hackers (all kinds), Cyber-criminals (non-state), Cyber-spies (state), Cyber-terrorists (non-state) | Complexity
Disruptions in critical Infrastructure, Cascading effects, (catastrophic) attacks on critical infrastructure |
| ΑΝΑΠΑΡΑΣΤΑΣΕΙΣ ΑΠΕΙΛΩΝ | Virus, Intruders, Weapons | Lawlessness, Anonymity | Vulnerability, unknown-ability, Inevitability |
| ΠΙΝΑΚΑΣ 2: Τύποι Αναπαράστασης Απειλών (από [2]) | |||
Στον «Τεχνολογικό τύπο» οι βιολογικές λεκτικές μεταφορές (π.χ. ιοί, ανοσοποιητικό σύστημα, οικοσύστημα) κυριαρχούν.
Υπάρχουν δυο προσεγγίσεις κυβερνοπροστασίας εδώ: α) βλέποντας τον υπολογιστή ως σώμα, με ικανότητα να διακρίνει το εσωτερικό από το εξωτερικό και ικανότητα να μπλοκαριστεί η διείσδυση (π.χ. anti-malware, firewalls), όπου το “ασφαλές” είναι “μέσα” και το “βλαβερό” είναι έξω (παλιότερη ιστορικά προσέγγιση), β) μια οικο-συστημική προσέγγιση (νεότερη, προερχόμενη και από την διείσδυση του cloud στις επιχειρήσεις) όπου o κυβερνοχώρος που δρουν οι actors δεν έχει όρια και το μέσα-έξω δεν υπάρχει πια. Έτσι εδω οι αποκρίσεις στις διεισδύσεις επιβάλλεται να είναι άμεσες, αντιπαραβαλλόμενες και ως ένα βαθμό αυτορυθμιζόμενες και επιπλέον, οι διεισδύσεις είναι αποδεκτό ότι δεν είναι πλήρως αποτρέψιμες και στοχεύεται στο να είναι διαχειρίσιμες, οδηγώντας έτσι σε λύσεις τύπου Security Operations Centers, Quick Detection and Response technologies, Disaster Recovery Sites, Machine learning and behavioral analytics, κλπ.
Στα πλαίσια των συζητήσεων μια εκ των πραγμάτων αυθεντία στο τεχνολογικό τύπο έχει προκύψει τα τελευταία χρόνια να είναι η βιομηχανία των αντι-ιικών, λαμβάνοντας (καλώς) ιστορικά πρώτη το λόγο ως προς π.χ. κρατικές οντότητες σε πολλά επίπεδα, αφού αυτές και άργησαν να λάβουν πρακτική δράση αλλά και να νομοθετήσουν. Η ρητορική όμως των ιών, επειδή συνδέεται στενά με βαθύτερες κοινωνικές φοβίες, ξεφεύγει αρκετά από μια ουδέτερη ρητορική επιστημονικού χαρακτήρα και συχνά ακουμπά στοχεύσεις marketing.
Στον «Κοινωνικό-Πολιτικό τύπο» δεν μιλάμε τόσο με λεκτικές μεταφορές. Μιλάμε για τις ευπάθειες και κυρίως για την παρανομία στον κυβερνοχώρο και η συζήτηση συχνά περιστρέφεται γύρω από έναν «αόρατο» αλλά ισχυρό «αντίπαλο». Οι κρατικοί (κυρίως) παίκτες εδω, προσθέτοντας το «κυβερνο-» σε πληθώρα κλασσικών απειλών, συζητούν για κυβερνο-έγκλημα, κυβερνο-κατασκοπεία, κυβερνο-τρομοκρατία, και κυβερνο-πόλεμο, διευκολύνοντας μια ρητορική προστασίας από μια κεντρική αρχή, η οποία οδηγεί σε πολιτικές προστασίας που άλλοτε έρχονται σε σύγκρουση με ατομικά δικαιώματα, άλλοτε σε σύγκρουση με τη βιομηχανία και άλλοτε σε σύγκρουση μεταξύ αρχών ή και των επιπέδων των αρχών (κρατικές ως προς διακρατικές). Συχνά, οι σχετιζόμενες συζητήσεις κρύβουν σε κάποια μορφή το αρχέτυπο του «πανίσχυρου χάκερ» που διαθέτει τεχνολογικές «υπερδυνάμεις» και είναι είτε κρατικής προέλευσης, είτε όχι. Στα πλαίσια των συζητήσεων και εδώ η βιομηχανία των αντι-ιικών συμμετέχει συχνά επί ίσοις-όροις στη συζήτηση. Βέβαια, η συζήτηση ξεπερνά τον απλό ιό, μιλάμε για advanced persistent threats (επιθέσεις ισχυρής πολυπλοκότητας που επιμένουν στο χρόνο), μιλάμε για νομοθεσίες που θεωρούν ισχυρή παράβαση πια την επίθεση σε υπολογιστές και δίκτυα και μιλάμε για ένα αόρατο εχθρό. Η αορατότητα προκύπτει από τη συχνή δυσκολία μετά από επιθέσεις που έγιναν γνωστές στο να βρεθεί ποιος είναι ο αρχικός υπεύθυνος ή τα κίνητρά του, με αποτέλεσμα η αορατότητα να ενισχύει συστηματικά την έννοια της μόνιμης απειλής, συχνά στα όρια μιας self-serving ρητορικής.
Μια επιπλέον ιδιαιτερότητα του Κοινωνικοπολιτικού τύπου αναπαράστασης είναι ότι συχνά τα ενδιαφερόμενα εδώ μέρη εκφέρουν δημόσια άποψη, βλέπε ακτιβιστές, ενώ και αντίπαλα κράτη συχνά εκφέρουν όχι απαραίτητα κρυφά τις κυβερνο-προθέσεις τους.
Στον τύπο Άνθρωποι-Μηχανές, η συζήτηση επικεντρώνεται στην πολυπλοκότητα του κυβερνοχώρου, στις ευαισθησίες της διεπαφής «Άνθρωποι-Μηχανές», στις κρίσιμες υποδομές και τις ευπάθειές τους που πιθανόν να επιφέρουν κοινωνικές αστάθειες. Με άλλα λόγια, τα προβλήματα ασφάλειας είναι ενδογενή εντός των κυβερνο-συστημάτων και προκαλούν απροσδόκητα περιστατικά και επικίνδυνα φαινόμενα χιονοστιβάδας. Οι άνθρωποι είναι ισχυρά διασυνδεδεμένοι με τις κοινωνικές υποδομές που είναι (πια) ισχυρά κυβερνοποιημένες και άρα, ισχυρά ευπαθείς. Οι υποδομές μεταξύ τους, επιπλέον, είναι ισχυρά διασυνδεδεμένες και έτσι τοπικές ευπάθειες του συστήματος μεταλλάσσονται γρήγορα σε γενικές ευπάθειες. Λόγω της ισχυρής συνδεσιμότητας κλασσικές risk management προσεγγίσεις έχουν δυσκολίες αφού τα διάφορα μέρη είναι δύσκολο να διαχωριστούν και η προσπάθεια προστασίας γίνεται από δύσκολη ως αδύνατη. Παρότι δεν εγκαταλείπεται η προσπάθεια κλασσικής προστασίας, μια νέα τάση εδώ έχει δημιουργηθεί που καλείται resilience- ανθεκτικότητα, η οποία και πάλι δανείζεται γλώσσα από τη βιολογία και την self healing δυνατότητα πολύπλοκων βιολογικών οργανισμών. Αφού η προσπάθεια ανακάλυψης όλων των ευπαθειών στα κρίσιμα συστήματα είναι τόσο δύσκολη και η εκ των προτέρων απόκρουσή τους δείχνει μη εφικτή, εισάγεται η ανθεκτικότητα ως η εκ των προτέρων αποδοχή / αναμονή του περιστατικού και η έμφαση μετατίθεται στο γρήγορο recovery. Το recovery μοιράζεται στα τοπικά μέρη, στα endpoints κατά μία έννοια, τα οποία αποκτούν δυνατότητες αυτο-οργάνωσης. Ο διαχειριστής της ασφάλειας μπορεί έτσι ξανά να χειριστεί εννοιολογικά επιτυχώς το θέμα Κυβερνοασφάλεια. Όμως, υπάρχουν εδω δύο κρυμμένα ζητήματα που παράγουν δυσκολίες. α) Η ρητορική της ανθεκτικότητας «επιζεί» κρατώντας την απειλή συνεχώς ζωντανή, δηλαδή, σχοινοβατώντας μεταξύ του ορθολογικού λόγου και του παρανοϊκού λόγου, επεκτείνει μόνιμα την κρίση, είτε ως μάθημα από παρελθούσες απειλές που θα επανέρθουν (στα όρια του «μοιρολατρικού», που εν μέρει αποδεσμεύει ευθύνες) είτε ως το μη ελεγχόμενο κυβερνο-άγνωστο που θα χτυπήσει οποτεδήποτε σαν κυκλώνας. β) Αφού η resilience δίνει έμφαση στη κατάλληλη προετοιμασία των τοπικών μερών, των endpoints, συνυπάρχει έτσι μέσα της η δυνατότητα μοιράσματος της ευθύνης σε πολλά μέρη και τελικά την πλήρη διύλιση της ευθύνης. Το τοπικό endpoint (π.χ. Δήμος, πολίτης, υπάλληλος), είναι ταυτόχρονα ο αναγκαίος σύμμαχος που (πρέπει να) λαμβάνει μέτρα αυτοπροστασίας και ο πιθανός εχθρός αφού μπορεί από αυτόν να προέρθει η χιονοστιβάδα. Η εννοιολογική μεταφορά του self-healing immune system ξαφνικά από ωραία ιδέα, αποκτά πολιτικές διαστάσεις! [4].
Αν ο κυβερνοχώρος είναι ένα αυτό-οργανωτικό innovative self-healing ανθεκτικό οικοσύστημα τότε ο ρόλος της κεντρικής διοίκησης θα μπορεί να είναι ελεγκτικός (π.χ. με ανεξάρτητες αρχές), κανονιστικός-νομοθετικός και διευκολυντικός. Αν ο κυβερνοχώρος είναι μια άγρια δύση που κυριαρχεί η παρανομία, τότε θα πρέπει αυτή να δαμαστεί και άρα η κεντρική διοίκηση πρέπει να παρέμβει ισχυρά, όχι μόνο σε επίπεδο νομοθεσίας αλλά και πρακτικής που φτάνει μέχρι και τη τοπολογία του Internet. Παρότι οι δυο αυτές θεάσεις του κυβερνοχώρου έχουν ισχυρά ορθολογικά χαρακτηριστικά ή κάθε μία, ξεκάθαρα, οι δύο θεάσεις επάγουν πολιτικές αντιμετώπισης των απειλών που δεν συνυπάρχουν ομαλά! [3]
………………………………………………………………………………………………………………………………………………………….
Η Algosystems, είναι ένας δυναμικός System Integrator που εξειδικεύεται σε λύσεις υψηλής τεχνολογίας στον κλάδο της Πληροφορικής και της Κυβερνοασφάλειας, των Aυτοματισμών και της Μετρολογίας. Προσφέρει ποιοτικές και καινοτόμες τεχνολογικές λύσεις με την πρόσφατη προσθήκη ενός εκτεταμένου portfolio υπηρεσιών Κυβερνοασφάλειας και ενός σύγχρονου Security Operations Center, του Cyber A. Mε κοινό παρονομαστή την εμπειρία, την βαθιά τεχνογνωσία και την ποιότητα, η Algosystems μπορεί και υλοποιεί πολλά στον χώρο της υψηλής τεχνολογίας και τα υλοποιεί καλά, δείχνοντας «τον δρόμο μπροστά».
ΑΝΑΦΟΡΕΣ
[1] «Defining Cybersecurity», Dan Craigen, Nadia Diakun-Thibault, Randy Purse, Technology Innovation Management Review, October 2014, Pages 13-21.
[2] «From Cyber-Bombs to Political Fallout: Threat Representations with an Impact in the Cyber-Security Discourse», Myriam Dunn Cavelty, International Studies Review, 2013, 15, Pages 105–122.
[3] «Cyber Security Assemblages: A Framework for Understanding the Dynamic and Contested Nature of Security Provision», Jamie Collier, Politics and Governance, 2018, Vol 6, Issue 2, Pages 13–21.
[4] «Resilience and (in)security: Practices, subjects, temporalities», Myriam Dunn Cavelty, Mareile Kaufmann, Kristian Soby Kristensen, Security Dialogue, 2015, Vol. 46 (1), Pages 3–14.
