Τα προσωπικά δεδομένα είναι ο «μαύρος χρυσός» της εποχής μας και χρειάζονται προστασία. Προστασία επίσης χρειάζεται η κοινωνία, η κάθε χώρα από τις υβριδικές απειλές και συντονιστής σε αυτή την «ασπίδα» που διασφαλίζει την ευημερία μας, είναι μια ομάδα στο υπουργείο Ψηφιακής διακυβέρνησης, η οποία πρωτοπορεί και δίνει μαθήματα καλής πρακτικής στην Ευρώπη. Στο «τιμόνι» της βρίσκεται ο Αθανάσιος Κοσμόπουλος, Υπεύθυνος Προστασίας Προσωπικών δεδομένων DPO, Συντονιστής στο Παρατηρητήριο Ανάλυσης Υβριδικών Απειλών (ΠΑΝΥΑ) και Εθνικός Αντιπρόσωπος στο European Cybersecurity Competence Center, που μάς ξεναγεί στα μυστικά της κυβερνοασφάλειας.
συνέντευξη στην Αλεξία Σβώλου του Αθανάσιου Κοσμόπουλου, Υπεύθυνου Προστασίας Προσωπικών δεδομένων DPO στο Υπ. Ψηφιακής διακυβέρνησης, Συντονιστή στο Παρατηρητήριο Ανάλυσης Υβριδικών Απειλών (ΠΑΝΥΑ) και Εθνικού Αντιπροσώπου στο European Cybersecurity Competence Center
Κύριε Κοσμόπουλε, θα ήθελα ξεκινώντας να εξηγήσουμε στον κόσμο τι είναι υβριδική απειλή και ποιες είναι οι συνέπειες των υβριδικών απειλών στην κοινωνία.
Οι υβριδικές απειλές μπορούν να οριστούν ως «ενέργειες», «τακτικές» ή «στρατηγικές» με συγκεκριμένους στόχους ή σχέδια, που χρησιμοποιούνται από πολλούς δρώντες του διεθνούς συστήματος (κράτη ή μη κρατικές οντότητες/ομάδες). Ο βασικός τους σκοπός είναι η δημιουργία ενός περιβάλλοντος πίεσης ή και πολιορκίας, χωρίς να επιδιώκουν άμεσα ή ξεκάθαρα την έναρξη πολέμου. Οι υβριδικές απειλές μπορούν να «οριοθετηθούν» και να «τοποθετηθούν» από νομική άποψη στη στενή «γκρίζα περιοχή» μεταξύ πολέμου και ειρήνης, σύμφωνα με το διεθνές δίκαιο. Δηλαδή, δεν περιορίζονται από τους κανόνες συγκρούσεων ή ένοπλης διαμάχης βάσει νομικών προτύπων και ηθικών περιορισμών του πολέμου (EthicsofWar), πράγμα που σημαίνει ότι δεν μπορούν να αναγνωριστούν επίσημα ως αιτία πολέμου, ή «casusbelli». Ως αποτέλεσμα, μπορούν να αποτελούν συχνή στρατηγική τακτική πίεσης, πολιορκίας (υβριδική πολιορκία) -βλέπε για παράδειγμα την περίπτωση της υβριδικής πολιορκίας της Ελλάδας από «μετανάστες/ πρόσφυγες» και μη τακτικές δυνάμεις, στα σύνορα με την Τουρκία, τον Μάρτιο του 2020 – και διεκδικήσεων, χωρίς η διεθνής κοινότητα να μπορεί να τις περιορίσει με επίσημες αποφάσεις (ΝΑΤΟ & ΟΗΕ), αφού νομικά δεν θεωρούνται πράξεις πολέμου.
Το «Ευρωπαϊκό Κέντρο Αριστείας για την Αντιμετώπιση Υβριδικών Απειλών» (EuropeanCentreofExcellenceforCounteringHybridThreats), με έδρα το Ελσίνκι της Φινλανδίας, που αποτελεί συνεργασία της Ε.Ε και του ΝΑΤΟ (2017), έχει ως ειδικό σκοπό την έρευνα για τις σύγχρονες υβριδικές απειλές και χαρακτηρίζει τις υβριδικές απειλές ως:
• Συντονισμένες και συγχρονισμένες δράσεις που στοχεύουν σκόπιμα τις συστημικές ευπάθειες των δημοκρατικών κρατών και των θεσμικών οργάνων με ένα ευρύ φάσμα μέσων.
• Δραστηριότητες που εκμεταλλεύονται τα κατώτατα όρια της ανίχνευσης και της απόδοσης (πόλεμος-ειρήνη, εσωτερική-εξωτερική ασφάλεια, τοπικό κράτος και επίπεδο εθνικό-διεθνές).
• Δραστηριότητες που στοχεύουν στην επιρροή διαφορετικών μορφών λήψης αποφάσεων σε τοπικό (περιφερειακό), πολιτειακό ή θεσμικό επίπεδο, και έχουν σχεδιαστεί για να προωθούν και / ή να εκπληρώνουν τους στρατηγικούς στόχους του δρώντα, ενώ υπονομεύουν και / ή βλάπτουν τον στόχο.
Ποιες κατηγορίες ανθρώπων γίνονται πιο ευάλωτες σε τέτοιου είδους ενέργειες, με συνέπεια να μεταμορφώνονται σε χειραγωγούμενες μάζες και πόσο «σκοτεινό» μπορεί να γίνει αυτό, δηλαδή το να αποτελέσεις κομμάτι μιας χειραγωγούμενης μάζας, ώστε κάποιοι κακόβουλοι να πετύχουν τους δόλιους σκοπούς τους;
Μέχρι το 2020 περίπου η στόχευση των υβριδικώς δρώντων ήταν πράγματι η κοινή γνώμη και για τον σκοπό αυτό εκδίπλωναν δράσεις παραπληροφόρησης και αποπληροφόρησης (Misinformation / Disinformation) τόσο στον Κυβερνοχώρο όσο και σε άλλα επίπεδα με στόχο τους πολίτες. Στην συνέχεια όμως η τακτική άλλαξε και οι δρώντες πλέον στοχεύουν ευθέως τους γνωμηγήτορες και αποφασίζοντες (Decision makers) σε μια Χώρα στόχο. Στόχος τους είναι να δημιουργήσουν την πεποίθηση στην πολιτική και στρατιωτική ηγεσία της Χώρας στόχου ότι η κοινή τους γνώμη έχει την Α ή Β άποψη για ένα θέμα, ασχέτως ποια είναι στην πραγματικότητα η άποψη της κοινής γνώμης για το θέμα αυτό. Και αυτό επιτυγχάνεται με μια υβριδική τεχνική που ονομάζεται astroturfing σύμφωνα με την οποία αναπτύσσεται μια βεντάλια δράσεων, όπως κατευθυνόμενες αναλύσεις από ελεγχόμενα πρόσωπα (καθηγητές, αναλυτές, δημοσιογράφους), προκατασκευασμένες μελέτες, έρευνες και δημοσκοπήσεις, δημιουργίες τεχνητά ενισχυμένων viral δημοσιευμάτων στο διαδίκτυο κλπ. Με τον τρόπο αυτό επηρεάζονται και οι απλοί πολίτες καθώς δεν έχει εφευρεθεί ακόμα προστατευτικό firewallγια το μυαλό των ανθρώπων και έτσι είναι πολύ εύκολο να υπεισέλθει μια εξωτερικά κατευθυνόμενη εντύπωση και να μετατραπεί σε πεποίθηση στην αντίληψη των πολιτών. Το φαινόμενο επιτείνεται από την δημιουργία echochambers και isolation bubbles στα μέσα κοινωνικής δικτύωσης όπου ανακυκλώνεται παραπληροφόρηση και συνωμοσιολογία, δημιουργώντας την εντύπωση ότι τα επιχειρήματα και οι θέσεις των ξένων δρώντων αποτελούν την κρατούσα άποψη.
Μιλήστε μας για την πρωτιά της Ελλάδας στην αντιμετώπιση αυτών των υβριδικών απειλών. Είναι πολύ σημαντικό η χώρα μας να διακρίνεται και να πρωτοπορεί και πρέπει να ενημερώσουμε το κοινό πώς αυτές οι πρωτιές-αυτά τα επιτεύγματα-επηρεάζουν και βελτιώνουν τις ζωές μας σε καθημερινό επίπεδο.
Στην Ελλάδα συστήσαμε και συγκροτήσαμε στο Υπουργείο Ψηφιακής Διακυβέρνησης το Παρατηρητήριο Ανάλυσης Υβριδικών Απειλών (ΠΑΝΥΑ), το οποίο ξεκινάει την μελέτη του φαινομένου καταγράφοντας τρωτότητες, αναλύοντας επιθετικά σενάρια και μεθόδους αντιμετώπισης των υβριδικών επιχειρήσεων, όπως αυτές εκδηλώνονται στον Κυβερνοχώρο. Το ΠΑΝΥΑ αποτελεί συμβουλευτικό όργανο της Εθνικής Αρχής Κυβερνοασφαλείας και αποτελείται από ένα Επιστημονικό Συμβούλιο πέντε διακεκριμένων Καθηγητών Πανεπιστημίου και μια Επιχειρησιακή Ομάδα με εκπροσώπους Υπουργείων και Υπηρεσιών στην οποία έχω την τιμή να είμαι ο Συντονιστής της. Όταν ξεκίνησα προ πολλών ετών να μελετώ το φαινόμενο σε Ευρωπαϊκό και ΝΑΤΟικό επίπεδο είχα διαπιστώσει ότι οι περισσότερες αν όχι όλες οι χώρες είχαν πρόβλημα στην αντιμετώπιση του προβλήματος καθώς δεν υπήρχε ένας κεντρικός συντονιστικός φορέας που να «ενώνει τις τελείες» του φαινομένου. Έτσι η εισήγησή μου για την ίδρυση του ΠΑΝΥΑ στην Ελλάδα, σήμερα αποτελεί best practice σε Ευρωπαϊκό επίπεδο και με τις συνεργασίες που αναπτύσσουμε εκτός συνόρων παρέχουμε πλέον και την τεχνογνωσία μας σε άλλα Κράτη Μέλη.
Θα ήθελα να σχολιάσετε την αποτελεσματικότητα που επιδεικνύουν οι Έλληνες στην δημιουργία ψηφιακών εφαρμογών. Είμαστε η χώρα που δημιούργησε μία κορυφαία ψηφιακή πλατφόρμα για τα covid εμβόλια, επίσης όταν έφτασαν στην φαρέτρα τα αντιικά φάρμακα φτιάξαμε την κορυφαία πλατφόρμα για την χορήγηση των αντιικών φαρμάκων στην Ευρώπη. Όλα αυτά δημιουργούν μια παρακαταθήκη και μας δίνουν ένα συγκριτικό πλεονέκτημα που μπορούμε να το χρησιμοποιήσουμε σε πολλούς τομείς και στη δημιουργία νέων θέσεων εργασίας;
Η αλήθεια είναι πως την εποχή του COVID προχωρήσαμε στον αρχικό στρατηγικό μας σχεδιασμό με πρωτόγνωρη ταχύτητα και αποτελεσματικότητα για τα δεδομένα του Δημοσίου τομέα. Και αυτό διότι όπως έλεγε ο τότε Υπουργός μας ο Κυριάκος Πιερρακάκης «οι εκκρεμότητες έγιναν αναγκαιότητες». Έπρεπε να ανταποκριθούμε άμεσα και αποτελεσματικά στις νέες απαιτήσεις του πανδημικού περιβάλλοντος. Και το πετύχαμε σε σημείο που να μην προλαβαίνει ο ιδιωτικός τομέας να ανταποκριθεί και να μας ακολουθήσει. Πως το πετύχαμε αυτό; Με την εκλεκτική συναρμογή εξαιρετικού ανθρώπινου δυναμικού του Δημοσίου τομέα, σε συνεργασία και συνέργεια με ότι καλύτερο διέθετε ο ιδιωτικός τομέας. Έτσι καταφέραμε να αναπτύξουμε πρωτοποριακές εφαρμογές και συστήματα για την ποιοτική και έγκυρη εξυπηρέτηση του πολίτη σε πολύ σύντομους χρόνους, τα οποία δεν διαθέτουν στον ίδιο βαθμό άλλες πιο προηγμένες Ευρωπαϊκές χώρες. Θυμίζω ότι το σύστημα για το ψηφιακό πιστοποιητικό εμβολιασμού COVID της Ελλάδας υιοθετήθηκε και ουσιαστικά αντιγράφηκε από το σύνολο της ΕΕ, ως πρότυπη εφαρμογή. Οι Έλληνες επιστήμονες και τεχνικοί αλλά και οι Δημόσιοι Υπάλληλοι στον τομέα αυτόν, δεν έχουν τίποτα να ζηλέψουν από κανέναν ξένο. Ο ψηφιακός μετασχηματισμός της Χώρας αναμφίβολα θα δημιουργήσει – και ήδη δημιουργεί – πολλές καλά αμειβόμενες θέσεις εργασίας για τους Έλληνες και το ψηφιακό πλεονέκτημα της Χώρας εκτός από την καθημερινότητα των πολιτών αρχίζει να γίνεται ορατό σε πολλά άλλα επίπεδα.
Πάμε τώρα στα προσωπικά δεδομένα. Είναι ένας πολύτιμος θησαυρός που μπορεί ταυτόχρονα να γίνει «λεία» για το σκοτεινό διαδίκτυο. Πως τα προστατεύουμε, όταν τα τρικ των κακοποιών είναι αμέτρητα;
Τα προσωπικά δεδομένα των πολιτών και ειδικά τα ευαίσθητα είναι ο μαύρος χρυσός της εποχής μας. Πωλούνται και αγοράζονται επίσημα και ανεπίσημα και αποτελούν στόχο κάθε κακόβουλου δράστη στο φανερό ή το σκοτεινό/βαθύ διαδίκτυο. Λαμβάνουμε όμως μέτρα ασφαλείας τεχνικά και οργανωτικά, εφαρμόζοντας αυστηρές πολιτικές ασφαλείας, παρακολουθώντας προσεκτικά την δραστηριότητα στα συστήματα μας και ανιχνεύοντας όχι μόνο τις χιλιάδες επιθέσεις που εκδηλώνονται αλλά ακόμα και τις ανεπιτυχείς απόπειρες αυτών. Είμαστε 97-98% ασφαλείς. Όποιος σας πει ότι υπάρχει 100% ασφάλεια ή σας λέει ψέματα ή δεν γνωρίζει το αντικείμενο. Πάντα υπάρχει η πιθανότητα η μια και μόνη επίθεση, από τα εκατομμύρια που αντιμετωπίζουμε, να περάσει και να μας προκαλέσει κάποιο πρόβλημα. Για αυτό έχουμε εφαρμόσει μέτρα ανθεκτικότητας και ανάκτησης της επιχειρησιακής μας λειτουργίας, έτσι ώστε στην περίπτωση που κάτι συμβεί να επανέλθουμε αμέσως. Τα δεδομένα είναι καλά προστατευμένα με πολλά διαφορετικά επίπεδα προστασίας, προκειμένου να εξασφαλίζεται σε κάθε χρονική στιγμή η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα αυτών. Είμαστε πάρα πολλοί που 24/7 παρακολουθούμε τα συστήματα και διαχειριζόμαστε κάθε μικρή ή μεγάλη κρίση. Θα πρέπει όμως και οι πολίτες να είναι προσεκτικοί οι ίδιοι στην διαχείριση των δεδομένων τους και να ακολουθούν τις οδηγίες ασφαλείας που συστήνουν να έχουν τους υπολογιστές τους ενημερωμένους με τις τελευταίες ενημερώσεις, να μην επισκέπτονται ύποπτες ιστοσελίδες και να μην ανοίγουν επιπόλαια ηλεκτρονικά μηνύματα από ανεξακρίβωτες πηγές.
Και ας ολοκληρώσουμε με τις εξελίξεις της τεχνητής νοημοσύνης οι οποίες μπορούν να λειτουργήσουν διττά και για την ασφάλεια αλλά και για τις απειλές. Θα χρειαστούμε φίλτρα, έλεγχο, πιστοποιήσεις, γιατί έχουν απεριόριστη δυναμικότητα, αλλά η τεχνητή νοημοσύνη δεν βρίσκεται μόνο στα χέρια των σωστών ανθρώπων- μπορεί να βρεθεί και στα χέρια των λάθος ανθρώπων…
Η τεχνητή νοημοσύνη δεν εντάσσεται στο γνωστικό επιστημονικό μου πεδίο και προτιμώ να ακούω τους ειδικότερους εμού στο ζήτημα. Αυτό που μπορώ να παρατηρήσω όμως από πλευράς μου ως technolegal subject matter expert, είναι ότι αυτή αποτελεί τόσο εργαλείο όσο και όπλο. Μπορεί να χρησιμοποιηθεί για την εκδήλωση υψηλής πολυπλοκότητας επιθέσεων αλλά και για την οικοδόμηση αμυντικών μέτρων υψηλής πιστότητας. Μπορεί να ελαφρύνει το βάρος της ανάλυσης και να συντομεύσει τους χρόνους εντοπισμού και απόκρισης σε απειλές, υποβοηθώντας τον ανθρώπινο παράγοντα. Έχουμε μέλλον μπροστά μας στην αξιοποίηση της αμυντικά, αλλά παράλληλα την ίδια στιγμή, την αξιοποιούν επιθετικά και οι κακόβουλοι δρώντες, εξελίσσοντας την επιθετική τους τακτική και τα επιθετικά τους διανύσματα. Έχουμε πολλά να δούμε σε αυτόν τον αγώνα δρόμου….