Δεν υπάρχει καμία επιχείρηση, κανένα IP, όπου κάποιος μηχανισμός να μην έχει αποπειραθεί να εισβάλει για να δει αν και κατά πόσο μπορεί να αντλήσει την πληροφορία που υπάρχει μέσα. Μία κυβερνοεπίθεση μεγάλης εμβέλειας εκδηλώνεται κάθε 39 δευτερόλεπτα, δηλαδή 2.000 κυβερνοεπιθέσεις ημερησίως, κατά μέσο όρο.
Το 25% αυτών εντάσσεται στην κατηγορία των κυβερνοεπιθέσεων αντιπερισπασμού (destructive attacks). Το κόστος των επιθέσεων αυτών σε επίπεδο παγκόσμιας οικονομίας εκτιμάται στα 8,15 τρισεκατομμύρια δολάρια και το 2028 αναμένεται να ξεπεράσει 13 τρισεκατομμύρια δολάρια.
Τα στοιχεία παρουσίασε ο καθηγητής Τεχνικών Ανάπτυξης Λογισμικού στο Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών του ΑΠΘ, Ανδρέας Συμεωνίδης σε εκδήλωση για την παρουσίαση του Προγράμματος Σεμιναρίων Κυβερνοασφάλειας, που ξεκινά στο Αριστοτέλειο Πανεπιστήμιο με χρηματοδότηση ύψους 1 εκ. δολαρίων από την Google.org και απευθύνεται σε φοιτητές των τριών πανεπιστημίων της Θεσσαλονίκης.
Τα επικίνδυνα «μονοπάτια» του διαδικτύου για την υποκλοπή δεδομένων
Πέντε είναι οι τομείς ασφάλειας στον κυβερνοχώρο, στους οποίους η ανάγκη περαιτέρω ανάπτυξης μηχανισμών αντιμετώπισης των κακόβουλων επιθέσεων είναι επιτακτική και διαρκώς εξελισσόμενη. Πρώτος εξ αυτών είναι τα υπολογιστικά νέφη, οι λεγόμενες υπηρεσίες cloud που προσφέρονται από διάφορους τεχνολογικούς παρόχους για την αποθήκευση αρχείων. «Το 82% της παραβίασης δεδομένων που συμβαίνουν αφορά σε δεδομένα τα οποία βρίσκονται σε περιβάλλοντα cloud», ανέφερε ο κ. Συμεωνίδης, εξηγώντας πως «είναι ο κλασικός χώρος στον οποίο θα γίνουν οι περισσότερες επιθέσεις, γιατί εκεί υπάρχουν και τα περισσότερα δεδομένα και άρα και το μεγαλύτερο περιθώριο για να μπορέσει κάποιος να χτυπήσει».
Το 12% των κυβερνοεπιθέσεων γίνονται σε διαδικασίες που σχετίζονται με την εφοδιαστική αλυσίδα. Όπως εξήγησε ο καθηγητής «όταν αγοράζουμε κάτι από το διαδίκτυο, π.χ. από κάποιο μεγάλο ηλεκτρονικό κατάστημα […] γενικότερα εκείνη τη στιγμή πάντοτε κάποιος είναι εστιασμένος εκεί για να μπορέσει να υποκλέψει συγκεκριμένη πληροφορία», καθώς «φαίνεται ότι εκεί πέρα υπάρχει ακόμα ένα κενό, γιατί υπάρχει μεγάλη ζήτηση και μεγάλη ανταλλαγή πληροφορίας».
Ο τρίτος τομέας ασφάλειας αφορά το IoT (διαδίκτυο των πραγμάτων, δίκτυο επικοινωνίας ηλεκτρονικών, οικιακών και άλλων συσκευών). «Πλέον καθένας φοράει ένα smartwatch, έχει ένα έξυπνο ψυγείο, μια έξυπνη τηλεόραση, συσκευές ο τρόπος επικοινωνίας μεταξύ των οποίων είναι πάρα πολύ συγκεκριμένος και αν μπορέσει να μπει κανείς μέσα σε ένα έξυπνο περιβάλλον επί της ουσίας μπορεί να αποκτήσει πρόσβαση σε όλη την πληροφορία που υπάρχει», ανέφερε ο κ. Συμεωνίδης.
Ο τέταρτος τομέας αφορά το ιδιωτικό απόρρητο (data privacy), καθώς πολλοί χρήστες χρησιμοποιούν βασικά μοντέλα, χωρίς να γνωρίζουν πού βρίσκεται η πληροφορία τους, πού αποθηκεύεται και πώς επαναχρησιμοποιείται. Ο πέμπτος τομέας έχει να κάνει με την τεράστια εξέλιξη της Τεχνητής Νοημοσύνης, όπου από τη μία πλευρά οι διαθέσιμες τεχνολογίες μπορούν να συμβάλουν στη βελτίωση των συστημάτων κυβερνοασφάλειας καθοδηγώντας όσους δεν είναι υπερβολικά εξειδικευμένοι σε αυτές τις τεχνολογίες, ώστε να μπορέσουν να αναγνωρίσουν προβλήματα, από την άλλη όμως μπορούν να χρησιμοποιηθούν κακόβουλα, π.χ σε επιθέσεις πλαστοπροσωπίας (impersonation attack).
«Είναι το κλασικό πλέον πρόβλημα όπου το impersonation, το να μπορώ να κάνω ότι είμαι κάποιος άλλος έχει γίνει υπερβολικά εύκολο. Αν π.χ. δίνω μια ομιλία και στη συνέχεια υπάρχει η ομιλία μου στο YouTube, μπορεί κάποιος με μηχανισμούς Τεχνητής Νοημοσύνης να αναπαράξει τη φωνή μου. Άρα αν χρησιμοποιώ φωνητικές εντολές στο αυτοκίνητο μου ή στο σπίτι μου ή έχω ένα Google nest ή οτιδήποτε σχετικό, πλέον είναι εύκολο κάποιος να κάνει εμένα by pass σε ό,τι συσκευές χρησιμοποιώ […] ή μπορώ να πάρω την πληροφορία χρησιμοποιώντας π.χ. κάποιους μηχανισμούς για να αλλάξω μια εικόνα και να ξεγελάσω ένα σύστημα το οποίο χρησιμοποιεί αναγνώριση προσώπου», ανέφερε ο κ. Συμωνίδης, εξηγώντας ότι χρειάζονται καινούργια συστήματα, που θα προστατεύσουν τους χρήστες αλλά και κρίσιμες υποδομές.
«Πλέον έχουμε έξυπνους μετρητές ρεύματος, έξυπνους μετρητές νερού, πολλούς έξυπνους μετρητές. Και αν κάποιος μπορέσει να μπει μέσα στο σύστημα, είτε αναγνωρίζοντας ένα σφάλμα σε επίπεδο συσκευής, είτε σε επίπεδο επικοινωνίας, θα πρέπει να αναπτυχθούν μηχανισμοί οι οποίοι θα προστατεύσουν το σύστημα», πρόσθεσε.
Τι σημαίνει να υποκλέψει κανείς την πληροφορία μας
Πώς αποτιμάται όμως, μία κυβερνοεπίθεση για έναν χρήστη και για έναν οργανισμό; Το να υποκλέψει κάποιος του κωδικούς ενός χρήστη και να χρεώσει την πιστωτική του κάρτα είναι σύμφωνα με τον κ. Συμεωνίδη απλώς «το καλό σενάριο, με τη λογική ότι αυτό θα το αντιληφθεί ο χρήστης, θα έχεις ένα κόστος και υπάρχουν πλέον μηχανισμοί που μπορούν κάπως να τον προστατεύσουν και επί της ουσίας να περιοριστεί η έκθεση».
Αν όμως πρόκειται για κάποια επιχείρηση, οργανισμό το κόστος από μια κυβερνοεπίθεση είναι τεράστιο και έχει υπολογιστεί κατά μέσο όρο στα 4,45 εκατομμύρια δολάρια ανά επίθεση σε οργανισμό. «Συνολικά λοιπόν, υπάρχει ένα τεράστιο κόστος σε μια επίθεση κυβερνοασφάλειας, αλλά και ένα τεράστιο κόστος στο πώς μπορεί κάποιος να αναπτύξει ένα σχετικό μηχανισμό αντιμετώπισης του», υπογράμμισε ο καθηγητής, εξηγώντας ότι με βάση το πώς διαμορφώνεται το σκηνικό στον τομέα της κυβερνοασφάλειας, υπάρχει ανάγκη οι άνθρωποι που εργάζονται στον τομέα και έχουν εκπαιδευτεί σε ένα συγκεκριμένο γνωστικό αντικείμενο, να επανεκπαιδευτούν έτσι ώστε να βελτιώσουν τα cyber security skills τους.
Φοιτητές θα εκπαιδευτούν από το ΑΠΘ και την Google και θα εργαστούν στην κυβερνοασφάλεια επιχειρήσεων στη Β.Ελλάδα
Το πρόγραμμα Σεμιναρίων Κυβερνοασφάλειας Google.org διοργανώνεται σε 23 επιλεγμένα πανεπιστήμια από 15 χώρες στην Ευρώπη, τη Μέση Ανατολή και την Αφρική. Δίνεται η ευκαιρία δωρεάν επιμόρφωσης σε φοιτητές όλων των ειδικοτήτων, ώστε να αποκτήσουν δεξιότητες στον τομέα της Κυβερνοασφάλειας, όπου καταγράφεται έλλειψη 350.000 θέσεων στην Ευρώπη (20.000 θέσεων στην Ελλάδα) μέχρι το 2026. Το πρόγραμμα περιλαμβάνει πρακτική άσκηση σε οργανισμούς/εταιρείες με αμοιβή.
Για τη διοργάνωση των σεμιναρίων Google.org στην Ελλάδα επιλέχθηκε το ΑΠΘ. Πρόκειται να επιμορφωθούν τουλάχιστον 200 φοιτητές από το Αριστοτέλειο Πανεπιστήμιο, το Πανεπιστήμιο Μακεδονίας και το Διεθνές Πανεπιστήμιο Ελλάδας.
Κάθε ένα από τα 3 σεμινάρια περιλαμβάνει 65 ώρες διαλέξεων, 35 ώρες επιβλεπόμενης άσκησης και 35 ώρες αξιολόγησης μέσω επίλυσης προβλημάτων. Όσοι παρακολουθήσουν το πρόγραμμα επιτυχώς θα ενταχθούν στο πρόγραμμα πρακτικής άσκησης. Εφαρμόζεται πολιτική ίσων ευκαιριών ανά φύλο, ενώ αριθμός θέσεων θα διατεθεί σε φοιτητές από υποεκπροσωπούμενες ομάδες.
«Είμαστε σήμερα μέλος μιας σύμπραξης ευρωπαϊκών πανεπιστημίων, από την οποία εμείς μαθαίνουμε και αυτά που μαθαίνουμε τα μεταφέρουμε σε αυτούς που θα εκπαιδευτούν στο πλαίσιο αυτών των σεμιναρίων. Είναι ένα φιλόδοξο πρόγραμμα που έχει στόχο να παρέχει διεπιστημονική εκπαίδευση πάνω στην κυβερνοασφάλεια, γι’ αυτό και καλέσαμε φοιτητές όλων των ειδικοτήτων. Έχει στόχο να διευκολύνει την εξάσκηση των φοιτητών σε πρακτικά προβλήματα, έτσι ώστε οι φοιτητές να παρέχουν στη συνέχεια προστασία από απειλές στον κυβερνοχώρο, σε επιχειρήσεις και οργανισμούς στην Ελλάδα στο πλαίσιο της πρακτικής άσκησης», ανέφερε ο καθηγητής του Τμήματος Πληροφορικής του ΑΠΘ και υπεύθυνος διοργάνωσης των σεμιναρίων κυβερνοασφάλειας Παναγιώτης Κατσαρός, παρουσιάζοντας τους στόχους του προγράμματος.
Αναφερόμενος σε έρευνες για την εκπαίδευση στο αντικείμενο της κυβερνοασφάλειας στην Ευρώπη ο κ. Κατσαρός σημείωσε ότι υπάρχουν σημαντικές διαφορές ως προς τη διάθεση προγραμμάτων σπουδών ανά χώρα και στην Ελλάδα έχουμε συγκριτικά περισσότερα προγράμματα σπουδών σε μεταπτυχιακό επίπεδο, «άρα θα μπορούσαν αυτά τα σεμινάρια να είναι και μια προπαρασκευή για ένα μεταπτυχιακό στη συνέχεια για όσους φοιτητές ενδιαφερθούν».
Το πρώτο σεμινάριο, που διεξαχθεί στις 6 Δεκεμβρίου, έχει θέμα τα «Λειτουργικά Συστήματα, στα Δίκτυα Επικοινωνιών και στην ασφάλεια τους», το δεύτερο σεμινάριο την «Ασφάλεια στο διαδίκτυο- Προβλήματα ασφάλειας Δικτύων» και το τρίτο σεμινάριο «Αρχές Cyber Security Hygiene και βασικές απειλές και επιθέσεις μέσω λειτουργικών συστημάτων».
Η ανταπόκριση της φοιτητικής κοινότητας της πόλης στην οποία απευθύνεται το πρόγραμμα ξεπέρασε τις προσδοκίες των διοργανωτών. «Συνολικά στα τρία σεμινάρια θα εκπαιδεύσουμε πάνω από 200 φοιτητές. Στο πρώτο σεμινάριο είχαμε πει αρχικά να δεχθούμε 100 φοιτητές και έχουμε για το πρώτο σεμινάριο ήδη 240 αιτήσεις, με την προθεσμία να λήγει στις 2 Δεκεμβρίου, οπότε σκεφτόμαστε σοβαρά να αυξήσουμε τον αριθμό», δήλωσε στο ΑΠΕ-ΜΠΕ ο κ.Κατσαρός, προσθέτοντας ότι στο πλαίσιο της συμμετοχής του στην εναρκτήρια συνάντηση των εταίρων του προγράμματος από όλες τις χώρες που θα γίνει τις επόμενες μέρες στη Μάλαγα θα ζητήσει να ανοίξουν περισσότερες θέσεις για τους φοιτητές στην Ελλάδα.
Ο πρύτανης του ΑΠΘ, καθ. Χαράλαμπος Φείδας χαιρετίζοντας την εκδήλωση παρουσίασης του προγράμματος ανέφερε ότι «η εμπιστοσύνη που έδειξε η Google.org στην πρόταση του ΑΠΘ συνιστά εκτός των άλλων μια αναγνώριση του υψηλού επιπέδου της εκπαίδευσης που προσφέρει το Πανεπιστήμιο σε αντικείμενα τεχνολογίας αιχμής όπως η κυβερνοασφάλεια». Στον χαιρετισμό που απέστειλε ο γγ Ανώτατης Εκπαίδευσης του υπουργείου Παιδείας, Νίκος Παπαϊωάννου τόνισε ότι «η συνεργασία με τη google αποδεικνύει το υψηλό επιστημονικό επίπεδο των συναδέλφων του ΑΠΘ και ωφελεί τόσο τους προπτυχιακούς και μεταπτυχιακούς φοιτητές όσο και την κοινωνία».
«Ως Περιφέρεια Κεντρικής Μακεδονίας είμαστε στη διάθεση του ΑΠΘ να συνδράμουμε στη δημιουργία ενός μητρώου επιχειρήσεων που θα υποδεχθούν φοιτητές για πρακτική άσκηση αλλά και να συνεργαστούμε σε δράσεις ενημέρωσης και κατάρτισης», ανέφερε στον χαιρετισμό του ο Αντιπεριφερειάρχης Ψηφιακής Διακυβέρνησης Κεντρικής Μακεδονίας Νικόλαος Τζόλλας.
«Η χώρα έχει πάρα πολύ ψηλά το θέμα κυβερνοασφάλεια ως τώρα, καθώς έχουν γίνει σημαντικά βήματα ψηφιοποίησης υπηρεσίες του δημοσίου και όσο εξελίσσεται η ψηφιοποίηση της χώρας πρέπει να εξελίσσεται και η κυβερνοασφάλεια», ανέφερε ο πρόεδρος του Συνδέσμου Επιχειρήσεων Τεχνολογίας και Πληροφορικής Ελλάδος (ΣΕΤΠΕ), Θεόφιλος Μυλωνάς, επισημαίνοντας ότι ο κλάδος της κυβερνοασφάλειας στην Ελλάδα κάθε χρόνο έχει ανάγκη περίπου 9.000 νέους επιστήμονες.