Η «Κ» στο στρατηγείο «Αcropolis»: Ασκηση κυβερνοασφάλειας με 1.000 γκουρού

O παρατεταμένος συριγμός του συστήματος ασφαλείας ηχεί δυνατά σε όλες τις υποδομές της μεγαλύτερης εταιρείας παραγωγής και προμήθειας φυσικού αερίου στην Ευρώπη, γνωστοποιώντας πως το δίκτυο δέχεται επίθεση τύπου SCADA, δηλαδή μία κυβερνοεπίθεση που στοχεύει σε όλα τα κεντρικά συστήματα ελέγχου και παρακολούθησης.

Ο αόρατος εχθρός δεν αργεί να κάνει την επίθεσή του ορατή απελευθερώνοντας αέριο, ενώ ήδη σε ορισμένα τμήματα η παροχή ρεύματος έχει διακοπεί. Μέσα σε λίγα λεπτά οι χάκερ ελέγχουν όλο το δίκτυο έχοντας εισαγάγει ένα «μολυσμένο» έγγραφο στα συστήματα του Παρόχου Υπηρεσιών Κέντρου Δεδομένων, και μαζί με αυτό ελέγχουν όλα τα εργοστάσια, τους σταθμούς παραγωγής ενέργειας και τα δίκτυα διανομής. Μία κρίση χωρίς προηγούμενο μόλις έχει ξεκινήσει.

Μπορεί το παραπάνω σενάριο να μοιάζει ως το πρώτο επεισόδιο μίας νέας σειράς στην πλατφόρμα του Netflix, αλλά στην πραγματικότητα αποτέλεσε ένα σενάριο προσομοίωσης που παρουσιάστηκε στην 7η Πανευρωπαϊκή Ασκηση Αντιμετώπισης Κρίσεων στον Κυβερνοχώρο – Cyber Europe 2024, που διοργανώθηκε από τον Οργανισμό της Ευρωπαϊκής Ενωσης για την Ασφάλεια στον Κυβερνοχώρο (ENISA).

Προσομοιώνοντας μια σειρά περιστατικών μεγάλης κλίμακας στον κυβερνοχώρο, 30 εθνικοί οργανισμοί κυβερνοασφάλειας, φορείς και δίκτυα της Ε.Ε., καθώς και περισσότεροι από 1.000 εμπειρογνώμονες, συνεργάστηκαν με σκοπό να αποτρέψουν μια επίθεση μεγάλης κλίμακας που θα ακρωτηρίαζε την ευρωπαϊκή οικονομία και θα αποσταθεροποιούσε την πολιτική ισορροπία.

Η «Κ» βρέθηκε στα κεντρικά γραφεία του Οργανισμού της Ευρωπαϊκής Ενωσης για την Ασφάλεια στον Κυβερνοχώρο (ENISA), όπου έγινε και ο συντονισμός της φετινής πανευρωπαϊκής άσκησης, η οποία ήταν και μία από τις μεγαλύτερες ασκήσεις άμυνας σε κυβερνοεπίθεση που έχει γίνει ποτέ στην Ευρώπη.

Παρότι οι περισσότερες λεπτομέρειες της άσκησης παρέμειναν απόρρητες για ευνόητους λόγους, εμπειρογνώμονες από όλη την Ευρώπη συγκεντρώθηκαν στα γραφεία της ΧΑΚ, και συγκεκριμένα σε έναν ειδικά εξοπλισμένο υπόγειο χώρο με την κωδική ονομασία «Acropolis», με στόχο να οργανώσουν την προσομοίωση περιστατικών μεγάλης κλίμακας στον κυβερνοχώρο.

Το σενάριο αφορούσε απειλές στον κυβερνοχώρο με στόχο τις ενεργειακές υποδομές της Ε.Ε. από ένα φανταστικό ξένο κράτος.

Προκειμένου να αποτραπεί η επίθεση, όλοι οι συμμετέχοντες έπρεπε να συντονίσουν γρήγορα τις δράσεις και την αντίδρασή τους.

Το 2023 πάνω από 200 αναφερόμενα περιστατικά στον κυβερνοχώρο είχαν ως στόχο τον ενεργειακό τομέα, και περισσότερα από τα μισά από αυτά στόχευαν στην Ευρώπη.

«Είναι πολύ σπάνιο να συμβαίνουν όλα τα περιστατικά που συμπεριλάβαμε μαζί, ωστόσο, δεδομένου ότι ο ενεργειακός τομέας συνδέεται με πολλούς δημόσιους και ιδιωτικούς τομείς, έπρεπε να λάβουμε υπόψη όλους τους πιθανούς παράγοντες. Για τον λόγο αυτό και η εκπαίδευση για την άσκηση μεγάλης κλίμακας διήρκεσε δύο χρόνια», εξηγεί ο επικεφαλής του τομέα ασκήσεων και εκπαιδεύσεων του ENISA, Κρίστιαν Βαν Χορκ.

Η επιλογή ασκήσεων κυβερνοασφάλειας στον ενεργειακό τομέα δεν ήταν τυχαία, καθώς μόνο το 2023 πάνω από 200 αναφερόμενα περιστατικά στον κυβερνοχώρο είχαν ως στόχο τον ενεργειακό τομέα, και περισσότερα από τα μισά από αυτά στόχευαν στην Ευρώπη.

Μιλώντας στην «Κ» ο επικεφαλής Κυβερνοασφάλειας και Επιχειρήσεων (COO) στον Οργανισμό της ΕΕ για την Κυβερνοασφάλεια (ENISA), Χανς Ντε Βρίες, αναφέρει πως υπάρχουν τύποι κυβερνοεπιθέσεων (κακόβουλο λογισμικό ransomware και επιθέσεις DDoS) που παρ΄ότι μέχρι στιγμής συνιστούν απλά «ενοχλήσεις», στην πραγματικότητα μία τέτοια κυβερνοεπίθεση θα μπορούσε να εμποδίσει την παραγωγή σε μεγάλη κλίμακα.

«Αυτό που βλέπουμε τώρα είναι πως κάποιες φορές ένας ιστότοπος είναι προσωρινά εκτός λειτουργίας, αλλά στην πραγματικότητα πρόκειται για μία κυβερνοεπίθεση και δεν αποκλείεται στο μέλλον τέτοιες επιθέσεις να δημιουργήσουν πραγματικές επιπτώσεις», σημειώνει

Κενά στα συστήματα ελέγχου

Με τον ενεργειακό τομέα εξοπλισμένο με πολλά παλιά συστήμα άνω των 20 ετών, που ποτέ δεν προορίζονταν να συνδεθούν στο διαδίκτυο, ο κ. Βρίες παραδέχεται πως ο έλεγχος των περισσότερων εταιριών έχει κενά.

«Πλέον η σύνδεση στο διαδίκτυο είναι αναπόφευκτη, αλλά ο ενεργειακός τομέας δεν είναι ώριμος στο κομμάτι της κυβερνοασφάλειας. Κάναμε μια έρευνα πέρσι και διαπιστώσαμε πως το 32% των φορέων στον ενεργειακό τομέα δεν διαθέτουν καμία κρίσιμη διαδικασία Τεχνολογίας Λειτουργιών (OT) που να παρακολουθείται από ένα Κέντρο Επιχειρήσεων Ασφαλείας (SOC). Ετσι η Τεχνολογία Λειτουργιών (OT) και η Τεχνολογία Πληροφοριών (IT) καλύπτονται από ένα ενιαίο κέντρο επιχειρήσεων και ασφάλειας (SOC) για το 52% των φορέων βασικών υπηρεσιών στον ενεργειακό τομέα», εξηγεί.

Η επίθεση ransomware που έγινε τον Μάιο του 2021, σε μία από τις μεγαλύτερες εταιρείες μεταφοράς καυσίμων στις Ηνωμένες Πολιτείες, την Colonial Pipeline, είναι μία απόδειξη πως και η Ευρώπη πρέπει να εστιάσει στην ανθεκτικότητα της κυβερνοασφάλειας στον συγκεκριμένο τομέα.

Οπως σημειώνει ο κ. Βρίες η τεχνητή νοημοσύνη είναι ένα εργαλείο που θα χρησιμοποιηθεί ως άμυνα για τις κυβερνοεπιθέσεις, ωστόσο ήδη χρησιμοποιείται από τους χάκερς με βασικό στόχο την εξαπάτηση και την απόσπαση μεγάλων χρηματικών ποσών. «Εχουμε ήδη δει τις πρώτες επιθέσεις μέσω AI και βρίσκω τρομακτικό το γεγονός ότι κάποιος μπορεί να λάβει μία κλήση και να νομίζει πως ακούει τον διευθυντή του, ο οποίος θα του λέει “Στείλε μου 23 εκατ. τώρα γιατί το λέω εγώ” και στην πραγματικότητα να είναι απάτη με Deepfake», σημειώνει.

Η κυβερνοασφάλεια δεν θεωρείται ευθύνη υψηλού επιπέδου

Ρωτώντας τον τι πρέπει να γίνει σε συλλογικό πλαίσιο ώστε να αποφευχθεί μία κυβερνοεπίθεση με ανυπολόγιστο κόστος, ο ίδιος επιμένει σε δύο βασικά σημεία. 

«Η άσκηση που διοργανώθηκε από τον ENISA θα οδηγήσει σε ορισμένα συμπεράσματα και θα μας βοηθήσει να δημιουργήσουμε ένα ανανεωμένο Εγχειρίδιο Διαχείρισης Κρίσεων. Δεύτερον και πολύ σημαντικό είναι πως η κυβερνοασφάλεια δεν θεωρείται ακόμα ευθύνη υψηλού επιπέδου στις εταιρίες, παρ΄ότι δύο νέοι κανονισμοί της ΕΕ προσπαθούν να λύσουν αυτό το πρόβλημα. Θεωρούμε, λοιπόν, πως και από την άσκηση θα φανεί η ανάγκη να υπάρχουν ανώτατοι εκτελεστικοί διευθυντές κυβερνοασφάλειας σε εταιρικό, εθνικό και διεθνές επίπεδο».

2.780 κυβερνοεπιθέσεις το 2023

Σύμφωνα με στοιχεία που παρουσίασε η επιστημονική ομάδα της ENISA, η ΕΕ πέρσι έγινε στόχος περισσότερων κυβερνοεπιθέσεων από κάθε άλλη φορά, σημειώνοντας 2.580 περιστατικά και επιπλέον 220 περιστατικά που αφορούσαν περισσότερα από ένα κράτη μέλη. 

Οπως εξηγεί ο επικεφαλής της ομάδας Γνώσης και Πληροφόρησης στην ENISA, Απόστολος Μαλάτρας, οι χάκερ εξελίσσονται και προσαρμόζονται πολύ γρήγορα στην αλλαγή των τεχνολογιών, προτιμώντας την ποικιλία στους στόχους τους, ενώ το βασικό τους κίνητρο είναι οικονομικό.

«Παρ΄ότι γνωρίζουμε πως το λογισμικό εκβιασμού (ransomware) και οι επιθέσεις κατά της διαθεσιμότητας είναι περισσότερες σε αριθμό για το 2023, ωστόσο εντοπίζουμε και νέες, υβριδικές και αναδυόμενες απειλές στον κυβερνοχώρο με υψηλό αντίκτυπο», σημειώνει.

Η αύξηση των κυβερνοεπιθέσεων συνδέεται άμεσα και με την αύξηση των χάκερ διαφορετικής ειδίκευσης, ειδικά από την πανδημία και μετά. Σύμφωνα με τον κ. Μαλάτρα αυτή τη στιγμή επικρατούν τέσσερις τύποι χάκερ:

• Κρατικοί παράγοντες σύνδεσης

• Κυβερνοεγκληματίες

• Χάκερ προς ενοικίαση

• Χακτιβιστές

Ο ειδικός επισημαίνει πως το 54,48% των χάκερ που προχώρησαν σε κυβερνοεπιθέσεις το 2023 παραμένουν άγνωστοι, ωστόσο οι παραπάνω κατηγορίες είναι οι πιο συχνές. «Η αγορά των “χάκερ προς ενοικίαση” επεκτείνεται ραγδαία με διαπιστευτήρια για παραβιάσεις VPN και RDP, καθώς οι επιτιθέμενοι προτιμούν ευέλικτες και ταχέως μεταβαλλόμενες μεθόδους, μετατρέποντας το κυβερνοέγκλημα σε οργανωμένο τομέα. Από την άλλη, μετά την εισβολή στην Ουκρανία, οι δραστηριότητες των χάκτιβιστών, ιδιαίτερα οι επιθέσεις DDoS, έχουν αυξηθεί», καταλήγει ο κ. Μαλάτρας.

*Εικόνες, γραφήματα: ENISA