Με έγγραφό του από τις 4 Μαρτίου 2014, το οποίο κοινοποιήθηκε προς τα Γενικά Επιτελεία και τους επιμέρους μείζονες σχηματισμούς και υπηρεσίες όλων των Κλάδων, καθώς επίσης και προς την ΕΥΠ, το ΓΕΕΘΑ ολοκλήρωσε και το τελευταίο βήμα για την ανάπτυξη δυνατοτήτων κυβερνοάμυνας στις Ε.Δ. με την έκδοση ενός πολυσέλιδου «Τεχνικού Σχεδίου Δράσης για την Ανάπτυξη Κυβερνοάμυνας στις Ε.Δ.», το οποίο συνέταξε η αρμόδια Διεύθυνση Κυβερνοάμυνας το ΓΕΕΘΑ, με εντολή του Α/ΓΕΕΘΑ να τεθεί σε ισχύ από λήψεως του παραπάνω εγγράφου.
Η «κυριακάτικη δημοκρατία», η οποία παρακολούθησε από την αρχή την ανάπτυξη και την εξέλιξη αυτής της ζωτικής σημασίας δυνατότητας των Ε.Δ., με την παρουσίαση μίας σειράς θεσμικών κειμένων για την κυβερνοάμυνα, όπως το δόγμα επιχειρήσεων κυβερνοχώρου, το κατευθυντήριο πλαίσιο αναπτύξεως της κυνβερνοάμυνας στις Ε.Δ., το οποίο αποτελεί και τη στρατιωτική πολιτική κυβερνοάμυνας, παρουσιάζει σήμερα και το τελευταίο θεσμικό κείμενο της όλης προσπάθειας που ανεφέρθη παραπάνω.
Οπως αναφέρεται στην Εισαγωγή του σχετικού εγγράφου, «Η προστασία των ΣΕΠ (Συστήματα Επικοινωνιών Πληροφορικής) αποτελεί αναπόσπαστο τμήμα της γενικής αμυντικής σχεδίασης. Κατά συνέπεια, ο καθορισμός των βασικών στόχων που θα πρέπει να εκπληρώνονται από τις δράσεις της κυβερνοάμυνας θα πρέπει να είναι μία από τις βασικές προτεραιότητες σε όλα τα επίπεδα στρατηγικής, επιχειρησιακής και τακτικής σχεδίασης. Το Κατευθυντήριο Πλαίσιο και το Διακλαδικό Δόγμα Κυβερνοάμυνας» (σ.σ.: που παρουσίασε ήδη η «κυριακάτικη δημοκρατία») «αποτελούν τη θεωρητική προσέγγιση στην ανάπτυξη της δυνατότητας κυβερνοάμυνας στις Ε.Δ. και περιγράφουν τι πρέπει να γίνει. Ωστόσο, παρατηρείται η έλλειψη ενός τεχνικού σχεδίου δράσης, που θα αποτελεί τον τεχνικό και πρακτικό οδηγό υλοποίησης της κυβερνοάμυνας και θα περιγράφει το πώς θα γίνει». Οπως επισημαίνεται παρακάτω, «Για τον σκοπό αυτό, η Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ εκπόνησε το “Τεχνικό Σχέδιο Δράσης για την Ανάπτυξη Κυβερνοάμυνας στις Ε.Δ.”, στο οποίο περιγράφονται τα βασικά βήματα για την ανάπτυξη δυνατότητας κυβερνοάμυνας».
Σε γενικές γραμμές, το τεχνικό σχέδιο δράσεως ακολουθεί τη διεθνή πρακτική και περιγράφει μέσα από 19 τεχνικές δράσεις και σχεδόν 200 επιμέρους δράσεις τον τρόπο αναπτύξεως κυβερνοάμυνας στις Ε.Δ. Το εν λόγω σχέδιο περιλαμβάνει τεχνικές οδηγίες:
1. Για την πλήρη απογραφή όλων των συσκευών (hardware) που χρησιμοποιούνται στα συστήματα Επικοινωνιών και Πληροφορικής (ΣΕΠ), τη δημιουργία καταλόγου εγκεκριμένου εξοπλισμού και την παρακολούθηση για χρήση μη εγκεκριμένου υλικού.
2. Για την πλήρη απογραφή όλου του εγκατεστημένου λογισμικού (software) που χρησιμοποιείται στα ΣΕΠ και τη δημιουργία καταλόγου εγκεκριμένου λογισμικού.
3. Για την ασφαλή διαμόρφωση (configuration) όλου του εξοπλισμού (hardware και software) που χρησιμοποιείται στα ΣΕΠ και τη δημιουργία προτύπων ασφαλούς διαμορφώσεως εξοπλισμού.
4. Για την εκτίμηση τρωτοτήτων (vulnerability assessment) σε περιοδική βάση.
5. Για την εγκατάσταση λογισμικού εντοπισμού και αντιμετωπίσεως «ιομορφικού» λογισμικού σε όλα τα συστήματα ΣΕΠ, με δυνατότητα κεντρικής διαχειρίσεως.
6. Για την ασφάλιση λογισμικού και διαδικτυακών εφαρμογών και τη δημιουργία τυποποιημένων διαδικασιών.
7. Για τον έλεγχο ασφαλείας των ασύρματων συσκευών.
8. Για την εφαρμογή διαδικασιών τηρήσεως αντιγράφων ασφαλείας των ΣΕΠ.
9. Για την ασφαλή διαμόρφωση όλων των δικτυακών συσκευών [δρομολογητές (routers) και μεταγωγής (switches) και την περιοδική αναθεώρηση αυτών των διαμορφώσεων. Τη χρήση διαδικτυακού λογισμικού ασφαλείας, όπως το «τείχος προστασίας» (firewall) και συστήματα εντοπισμού (IDS), τουλάχιστον στα κομβικά σημεία των δικτύων.
10. Για τον περιοδικό έλεγχο των υπηρεσιών (services), πρωτοκόλλων και θυρών δικτύων (ports) σε όλα τα ΣΕΠ και περιορισμό αυτών με μόνο στα απολύτως απαραίτητα για την εκτέλεση της αποστολής τους.
11. Για τον έλεγχο των δικαιωμάτων διαχειρίσεως με εφαρμογή διαδικασιών και κανόνων, όπως η σωστή επιλογή και η περιοδική αλλαγή του κωδικού, η χρήση καταστάσεων προσβάσεως (Access Control Lists-ACL) κ.λπ.
12. Για την εφαρμογή κανόνων Περιμετρικών Μηχανισμών Αμυνας σε πολλαπλά επίπεδα. Την κατανομή των συστημάτων ΣΕΠ -με βάση την υπηρεσία που παρέχουν και τη διαβάθμιση των δεδομένων που επεξεργάζονται- σε ξεχωριστές ζώνες ή υποδίκτυα (π.χ. χρήση DMZ), με σκοπό την προστασία των κρίσιμων συστημάτων και τον διαχωρισμό τους από υπηρεσίες που εκτίθενται σε απειλές, όπως WEB server ή DNS server.
13. Για την εφαρμογή διαδικασιών καταγραφής συμβάντων (logs) σε όλα τα συστήματα ΣΕΠ και την περιοδική παρακολούθηση και ανάλυση αυτών.
14. Για την ελεγχόμενη πρόσβαση σε όλους τους χρήστες με βάση την ελάχιστη απαιτούμενη γνώση και αρμοδιότητα (αρχή των ελαχίστων προνομίων – principle of least privilege).
15. Για την παρακολούθηση και τον έλεγχο των λογαριασμών χρηστών. Την εφαρμογή συγκεκριμένων κανόνων ασφαλείας, όπως η εφαρμογή ημερομηνίας λήξεως λογαριασμού, το κλείδωμα αυτού σε περιπτώσεις παραβιάσεως ασφαλείας, τον αποκλεισμό εξωτερικών αποθηκευτικών συσκευών, ταύτιση με τον χρήστη, δημιουργία προφίλ κ.λπ.
16. Για την εφαρμογή διαδικασιών αποτροπής διαρροής πληροφοριών (data loss prevention) που θα περιλαμβάνει κρυπτογράφηση δεδομένων, αποκλεισμό εξωτερικών αποθηκευτικών συσκευών, επιτήρηση ηλεκτρονικής αλληλογραφίας κ.λπ.
17. Για την ενοποίηση όλων των στρατιωτικών δικτύων και μεταφορά της εικόνας τους στο ΚΑΚ, με σκοπό τον εντοπισμό κυβερνοπεριστατικών και την καλύτερη αντιμετώπιση αυτών.
18. Για την εφαρμογή ασφαλούς αρχιτεκτονικής των δικτύων με χρήση τριών επιπέδων δικτύων (DMZ, ενδιάμεσα και εσωτερικά δίκτυα) και ταυτόχρονα κατάλληλη ρύθμιση των δρομολογητών (routers) και των εξυπηρετητών (DNS), έτσι ώστε να υπάρχει πλήρης έλεγχος της κυκλοφορίας.
19. Για την περιοδική εκτέλεση ελέγχων διεισδύσεως (penetration testing) και ασκήσεων κυβερνοεπιθέσεων από κατάλληλα εκπαιδευμένες ομάδες («red teams») σε όλα τα συστήματα ΣΕΠ.
Η ανάγκη για ένα (ευρύτερο) εθνικό πλάνο σε όλες τις κρατικές υπηρεσίες
Εξ όσων γνωρίζουμε, το ΓΕΕΘΑ σκοπεύει να αναρτήσει σύντομα το εν λόγω τεχνικό σχέδιο δράσεως στην ιστοσελίδα του, με σκοπό να επωφεληθούν από αυτό όσο το δυνατόν περισσότεροι Ελληνες χρήστες και τούτο διότι, όπως έχουμε επισημάνει και άλλοτε, τα πληροφοριακά συστήματα των Ε.Δ. δεν είναι αυτόνομα. Δεν είναι, δηλαδή, μία ανεξάρτητη «νησίδα», η οποία μπορεί να προστατευθεί ξεχωριστά και μεμονωμένα, εκ του γεγονότος ότι η εξάρτηση της δικτυακής υποδομής των Ε.Δ. από την υπόλοιπη εθνική δομή είναι δεδομένη, όπως επίσης και η εξάρτησή της από τις κρίσιμες υποδομές. Για παράδειγμα, σε περίπτωση πολέμου ή κρίσεως, αν το δίκτυο παροχής ενέργειας προσβληθεί και δεν λειτουργήσει, οι δικτυακές υποδομές των Ε.Δ. δεν να μπορούν να λειτουργήσουν ομαλά.
Κατά συνέπεια, οι Ε.Δ. θα πρέπει να συμβάλλουν στην προστασία των κρίσιμων υποδομών και γενικότερα στην ανάπτυξη της κυβερνοάμυνας σε εθνικό επίπεδο. Για να γίνει αυτό, θα πρέπει να συνεργάζονται όλοι οι εμπλεκόμενοι φορείς, σε όλα τα επίπεδα, ήτοι στρατηγικό-πολιτικό, επιχειρησιακό και τακτικό-τεχνικό επίπεδο, κάτι που οι Ε.Δ. επιδιώκουν με τις ασκήσεις κυβερνοάμυνας που πραγματοποιούν κατά καιρούς, με πρωτοβουλία του ΓΕΕΘΑ. Το τεχνικό σχέδιο δράσεως είναι ένα σχέδιο που μπορεί να εφαρμοσθεί σε όλους τους οργανισμούς και σε όλες τις κρίσιμες υποδομές, γιατί (όπως έχει επισημανθεί και άλλοτε από αυτή τη στήλη) η κυβερνοάμυνα είναι υπόθεση όλων. Και τούτο διότι τα δίκτυα υπολογιστών και οι επικοινωνίες είναι ενοποιημένες και η λειτουργία τους εξαρτάται από τη λειτουργία των κρίσιμων υποδομών.
Με άλλα λόγια, κάθε οργανισμός, είτε είναι οι Ε.Δ. είτε δημόσιος ή ιδιωτικός φορέας, οφείλει να προστατεύει τη δική του δικτυακή υποδομή και να συμβάλλει με αυτόν τον τρόπο στην ανάπτυξη της κυβερνοάμυνας σε εθνικό επίπεδο, με αποτέλεσμα την προστασία των κρίσιμων υποδομών. Θα πρέπει επίσης να αναπτυχθεί μία κουλτούρα κυβερνοασφάλειας στους απλούς χρήστες, ούτως ώστε κάθε χρήστης, αντί να είναι ο αδύναμος κρίκος, να αποτελέσει με την πάροδο του χρόνου το ισχυρό σημείο προστασίας των εθνικών κρίσιμων υποδομών.
Σοβαρή δουλειά σε βάθος
Με τόσα χρόνια στον χώρο, ο συντάκτης του παρόντος βλέπει -με ιδιαίτερη έκπληξη, είναι αλήθεια- για πρώτη φορά τη σύλληψη, την κοπιώδη προσπάθεια και τελικώς την ολοκλήρωση ενός τόσο σημαντικού έργου, όπως η οργάνωση της κυβερνοάμυνας της χώρας, μέσα σε τόσο χρόνο. Ενα έργο για το οποίο αξίζουν συγχαρητήρια στο ΓΕΕΘΑ τόσο για την επιλογή του κατάλληλου προσωπικού της ΔΙΚΥΒ και την πλήρη υποστήριξη που της παρέσχε όσο και του κατά γενική ομολογία ικανότατου επικεφαλής της, που… περιέργως αφέθηκε να ολοκληρώσει απερίσπαστος ένα έργο που ξεκίνησε από τον θέσαντα τον θεμέλιο λίθο του όλου εγχειρήματος αρχιπλοίαρχο εν αποστρατεία σήμερα Αντωνόπουλο.
Μάνος Ηλιάδης
Μ.Η.Τ. 232120