Μπροστά σε νέα γενιά προβλημάτων που μέχρι τώρα είχαν υποτιμήσει βρίσκονται τραπεζίτες και υψηλόβαθμα στελέχη ελληνικών και πολυεθνικών εταιριών, που βρίσκονται στην Ελλάδα. Σειρά γεγονότων, που είναι ορατά στη δημόσια σφαίρα και πληροφοριών που διακινούνται, στα παρασκήνια, αποδεικνύουν ότι η ασφάλεια πληροφοριών, επικοινωνιών και εν γένει της δραστηριότητας των υψηλόβαθμων στελεχών αμφισβητείται έντονα.
Η εταιρική-βιομηχανική κατασκοπεία δεν είναι νέα τάση, αν και κατά καιρούς πολλοί την ανακαλύπτουν εκ νέου, ιδιαίτερα σε μεταβατικές περιόδους και ενώ προγράμματα μετασχηματισμού, μεταφοράς ισχύος βρίσκονται σε εξέλιξη. Αν σε αυτά προστεθεί η ένταση στα ελληνοτουρκικά και οι επιχειρήσεις υβριδικού πολέμου που διεξάγει η άγκυρα, καθώς και η έντονη δραστηριοποίηση άλλων παραγόντων, τόσο στο επιχειρηματικό όσο και στο πολιτικό και γεωοικονομικό πεδίο, τότε διαμορφώνεται ένα μάλλον εκρηκτικό, ως προς την ασφάλεια, σκηνικό.
Μέσα σε τρεις εβδομάδες τραπεζίτες, διευθύνοντες σύμβουλοι πολυεθνικών εταιριών, υψηλόβαθμα στελέχη και στελέχη στον τομέα της επικοινωνίας-διαχείρισης κρίσεων, υιοθέτησαν μια-δύο εφαρμογές απόρρητων μηνυμάτων με κρυπτογράφηση end-to-end, καταδεικνύοντας όχι απλά τάση, διασφάλισης επικοινωνιών, αλλά πανικό και ενδεχομένως συντονισμένες ενέργειες.
Ο πανικός προκαλεί… ανησυχία
Η κινητικότητα αυτή, από μόνη της, είναι αρκετή για να “χτυπήσει καμπανάκια” και να προκαλέσει το ενδιαφέρον όσων παρακολουθούν -και άλλων- και ως εκ τούτου αντίκειται στις βέλτιστες πρακτικές για τη διασφάλιση επικοινωνιών και πληροφοριών. Όπερ σημαίνει ότι η ίδια η κίνηση καθίσταται πρόκληση, σε βαθμό μάλιστα που μπορεί να πυροδοτήσει αντίμετρα, όπως η ενίσχυση της παρακολούθησης σε φυσικό επίπεδο ή ακόμα και εσπευσμένους επιτόπιους ελέγχους και μέσω αρχείων καταγραφής, εφόσον υπάρχουν εν εξελίξει σχετικές έρευνες.
Σε ένα βαθμό η αλληλουχία που παρατηρείται στις κινήσεις αναβάθμισης ασφαλείας μεταξύ προσώπων και οργανισμών, αποτελεί φυσική εξέλιξη, λόγω της ανάγκης συμβατότητας, παράλληλα όμως καταδεικνύει την ευαισθησία στη διασύνδεση και ως εκ τούτου επισημαίνει πρόσωπα που θα μπορούσαν να χρησιμοποιηθούν ως σημεία εισόδου στα κλειστά αυτά φυσικά σχήματα. Υπεύθυνοι ασφαλείας, τεχνικοί διευθυντές, εταιρίες παροχής software και στελέχη στα τμήματα με αυξημένα δικαιώματα πρόσβασης σε συστήματα, αποτελούν παραδοσιακά τους πρώτους στόχους. Τρωτά τους σημεία είναι τα χαμηλά πακέτα αποδοχών, η προσωπική τους ζωή και το καθημερινό τους… πρόγραμμα.
Τούτων δοθέντων, οι κεντροποιημένες πολιτικές ενίσχυσης του επιπέδου ασφαλείας, αυξάνουν στην ουσία τον κίνδυνο, καθώς τραβούν την προσοχή και αποκαλύπτουν τη δομή του συστήματος, δίνοντας στους επίδοξους “κατασκόπους” τη δυνατότητα χαρτογράφησης και προσδιορισμού των ευάλωτων σημείων.
Στους υπολογιστές, εσωτερικά, τα συστήματα καταγραφής επικοινωνιών και δραστηριοτήτων που διαθέτουν οι ίδιοι οι οργανισμοί, τους καθιστούν ιδιαίτερα ευάλωτους, καθώς στοιχεία της δραστηριότητας υπαλλήλων τους μπορεί ανά πάσα στιγμή να πέσουν σε χέρια τρίτων, προσφέροντάς τους μοχλό πίεσης έναντι του προσώπου και κατ επέκταση του οργανισμού.
Χρόνος και… συγκυρία
Ιδιαίτερο ενδιαφέρον έχει η χρονική στιγμή που εκδηλώνονται μαζικά οι ενέργειες αυτές, καθώς ακολουθεί μπαράζ δημοσιευμάτων για κυβερνοεπιθέσεις στην Ελλάδα, εκτεταμένες παρακολουθήσεις με το “βαλιτσάκι” στην Κύπρο και την αναβάθμιση του λογισμικού παρακολούθησης και υποκλοπής δεδομένων από εφαρμογές μηνυμάτων, όπως το WhatsApp, με πλέον κραυγαλέα την υπόθεση υποκλοπής μηνυμάτων του Jeff Bezos από την κυβέρνηση της Σαουδικής Αραβίας. Δεν είναι όμως η μόνη υπόθεση, καθώς στην Κύπρο φαίνεται ότι δρούσε ολόκληρο κύκλωμα κατασκοπείας με υψηλού επιπέδου τεχνικό εξοπλισμό. Στην Ελλάδα, έχουν κατά το παρελθόν υπάρξει καταγγελίες -ακόμα και από κόμματα- για παρακολουθήσεις και έρευνες των αρχών.
Σε κατάθεσή του ενώπιον της Επιτροπής Θεσμών και Διαφάνειας της Βουλής, μάλιστα, πρώην πρόεδρος της Αρχής Διασφάλισης Απορρήτου Επικοινωνιών, δήλωσε ότι είναι αδύνατο να υπάρξει εποπτεία της νομιμότητας των παρακολουθήσεων που διεξάγονται από ΕΥΠ, ΕΛ.ΑΣ και άλλους παράγοντες εντός της χώρας. Πρόσφατα, μάλιστα, ματαιώθηκε και η απόκτηση εξοπλισμού αντιμέτρων, διαδικασία που είχαν ξεκινήσει ΕΥΠ, ΑΑΔΑΕ και υπουργείο Προστασίας του Πολίτη. Μέσω της διαδικασίας αυτής οι υπηρεσίες θα προμηθεύονταν εξοπλισμό που θα τους έδινε τη δυνατότητα να γνωρίζουν αν εξοπλισμός παρακολούθησης χρησιμοποιείται εξοπλισμός παρακολούθησης.
Σκάνδαλο κατασκοπείας, πάντως, ανάγκασε προ μερικών ημερών σε παραίτηση και τον επικεφαλής της UBS, ενώ στο μεταξύ δύο άνθρωποι είχαν βρεθεί νεκροί και η τράπεζα κλυδωνιζόταν από την ανασφάλεια των στελεχών στα ανώτερα κλιμάκια.
Στην Ελλάδα, ιδιαίτερα ηχηρές ήταν στο παρελθόν υποθέσεις παρακολούθησης πολιτικών και επιχειρηματιών, μεταξύ των οποίων ο “αρχικοριός Μαυρίκης” και η υπόθεση παρακολουθήσεων μέσω της Vodafone, που είχε ως αποτέλεσμα τον θάνατο το μηχανικού της Κώστα Τσαλικίδη. Προ μερικών ημερών, μάλιστα, η κατάρρευση του δικτύου της Vodafone, για την οποία δεν δόθηκαν ποτέ διευκρινήσεις, ξύπνησε εκείνες τις μνήμες…
Η διασφάλιση των επικοινωνιών
Πρακτικά, η αύξηση της ασφάλειας των επικοινωνιών, επιτυγχάνεται μέσω της αποφυγής χρήσης τους για τη διακίνηση ευαίσθητων πληροφοριών.
Κανόνες, όμως, υπάρχουν και για την εκ του σύνεγγυς επικοινωνία, όπου επιλέγεται ουδέτερο ή πλήρως εξασφαλισμένο σημείο. Συνήθως, η αίσθηση ασφάλειας ενισχύεται όταν το μέρος επιλέγεται ad hoc και αλλάζει επανειλημμένα μέχρι και μερικά λεπτά πριν τη συνάντηση. Συνήθως, επιλέγονται σημεία μεγάλης κινητικότητας, με πολλές εναλλακτικές στα μέρη των συναντήσεων, έτσι ώστε να μη δίδεται η δυνατότητα εντοπισμού ή προσδιορισμού του σημείου από τρίτους παράγοντες και δυσχεραίνεται η εδραίωση μέσων παρακολούθησης.
Για τις τηλεφωνικές και ηλεκτρονικές επικοινωνίες υπάρχουν πολλοί και διαφορετικοί τρόποι προστασίας, κυρίως όμως όλα έχουν ως βάση την πλήρη απόκρυψη, τη χρήση παρόχων επικοινωνιών οι οποίοι δεν υποχρεούνται να συμμορφωθούν με εντάλματα παροχής πληροφοριών τη δυνατότητα αποσυσχέτισης προσώπου, λογαριασμού και συσκευής επικοινωνίας
Σε περίπτωση κεντρικής παρακολούθησης επικοινωνιών οι αρχές έχουν πρόσβαση στα δεδομένων μέσω των αρχείων καταγραφής στις τηλεπικοινωνιακές εταιρίες. Ακόμα όμως και εκεί όταν οι επικοινωνίες διεξάγονται μέσω internet και εφαρμογών κρυπτογράφησης είναι πρακτικά αδύνατο να εξιχνιαστούν και να αποκωδικοποιηθούν, εκτός αν στις έρευνες συμμετέχουν η NSA, η FSB, ή αντίστοιχες υπηρεσίες χωρών με προηγμένα συστήματα. Ακόμα όμως και τότε η χρήση συγκεκριμένων συστημάτων επικοινωνιών για sms, ομιλία και ηλεκτρονικό ταχυδρομείο μπορεί να κάνει την υποκλοπή τους εξαιρετικά δύσκολη και σε πολλές περιπτώσεις αδύνατη.
Ένα πλήρες set ασφαλείας για κινητό τηλέφωνο θα περιλάμβανε apps για τα εξής:
- anonymized vpn
- anonymized mail
- sms, end to end encryption, self-timed destruction, screenshot protection
- Malware and identity protection
- Mail encryption-on browser and mailbox encryption
- Call encryption service με προστασία ip (ip relay)
- Wi-fi connection protection
Τέτοιου είδους apps και services είναι τα παρακάτω:
- Signal Messenger (sms και κλήσεις με end-to-end) encryption, που μέχρι σήμερα δεν έχει παραβιαστεί παρά μόνο με την υποκλοπή των ατομικών κλειδιών κρυπτογράφησης)
- Virtru (app κρυπτογράφησης του email-gmail, με end-to-end ecryption)
- Malware Bytes (app για την προστασία από κακόβουλο λογισμικό, στο οποίο περιλαμβάνονται trackers, trojans, spyware και λογισμικό πειρατείας και εκβιασμών.
- Protonmail (υπηρεσία, email με έδρα την Ελβετία, που εφαρμόζει πρωτοποριακή τεχνολογία κρυπτογράφησης του γραμματοκιβωτίου και που διέπεται από ελβετικούς νόμους και πρόνοιες).
Υπάρχουν βέβαια και πιο ολοκληρωμένα προγράμματα διασφάλισης απορρήτου επικοινωνιών, τα οποία έχουν κόστος, το οποίο, όμως δεν είναι απαγορευτικό για μεγάλους οργανισμούς, όπως οι τράπεζες, οι πολυεθνικές και το Δημόσιο. Ένα από αυτό είναι το blackphone της Silent Circle, το οποίο προσφέρεται είτε ως υπηρεσία, είτε ως προϊόν και υπηρεσία. Όπερ σημαίνει ότι κάποιος μπορεί να αγοράσει το app, είτε το τηλέφωνο και το app.
Στις γενικές οδηγίες ασφαλείας, βέβαια, προβλέπεται -μεταξύ άλλων- πλήρης διαγραφή δεδομένων μετά από κάθε ταξίδι των στελεχών ή μετά από πολυσύχναστες εκδηλώσεις ή κατ΄ελάχιστο μια φορά το μήνα. Σε πολλές περιπτώσεις, είναι αποτελεσματικότερη η πλήρης και τυχαία αντικατάσταση των συσκευών κινητών τηλεφώνων, με παράλληλη -επίσης τυχαία- αλλαγή μάρκας.