Του Γιάννη Σ. Καλαντζάκη*
Μετά από μια σειρά από καταστροφικές παραβιάσεις και κυβερνοεπιθέσεις, το μεγάλο μέγεθος των δεδομένων που χάνονται δεν είναι πλέον ο μόνος δείκτης της σοβαρότητας της κατάστασης. Από το 2010, δισεκατομμύρια ευαίσθητα αρχεία, προσωπικές πληροφορίες και στοιχεία τραπεζικών λογαριασμών έχουν διαρρεύσει μέσω καταστροφικών παραβιάσεων.
Για πολλούς ειδικούς στην ασφάλεια του απορρήτου, οι μεγαλύτερες κυβερνοεπιθέσεις της δεκαετίας δεν είναι μόνο εκείνες που ήταν οι μεγαλύτερες σε αριθμό δεδομένων, αλλά εκείνες που αλλάζουν το παιχνίδι στον τρόπο με τον οποίο προσεγγίζουμε την ασφάλεια.
Η επιλογή των κυβερνοεπιθέσεων έγινε πρόσφατα εδώ.
1. Yahoo – 2013
Η Yahoo αξίζει την πρώτη αναφορά εξαιτίας του τεράστιου μεγέθους της παραβίασής της και του καταστροφικού αποτελέσματος που είχε στην ικανότητα της εταιρείας να ανταγωνιστεί ως ηλεκτρονική πλατφόρμα και μηχανή αναζήτησης. Το 2013, και τα 3 δις των λογαριασμών της Yahoo υπονομεύθηκαν, καθιστώντας την παραβίαση της τη μεγαλύτερη σε όγκο στην ιστορία του διαδικτύου. Η εταιρεία χρειάστηκε 3 χρόνια για να ειδοποιήσει το κοινό ότι τα ονόματα, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι κωδικοί πρόσβασης, οι ημερομηνίες γέννησης, οι αριθμοί τηλεφώνου και οι απαντήσεις ασφαλείας είχαν πωληθεί στο Dark Web από τους χάκερς. Η παραβίαση αυτή είναι επίσης αξιοσημείωτη εξαιτίας του τρόπου με τον οποίο η εταιρία κακομεταχειρίστηκε την επικοινωνία της.
2. Equifax – 2017
Το μέγεθος σε όγκο της παραβίασης του Equifax (ενός από τα μεγαλύτερα πιστωτικά γραφεία της Αμερικής) ωχριά σε σύγκριση με την αξία των δεδομένων που εκτέθηκαν σε χάκερς. Οι χάκερς απέκτησαν πρόσβαση στις πληροφορίες των 143 εκατομμυρίων πελατών της Equifax, συμπεριλαμβανομένων των ονομάτων, των ημερομηνιών γέννησής τους, των αριθμών άδειας οδήγησης, των αριθμών κοινωνικής ασφάλισης και των διευθύνσεων. Εγκληματίες του κυβερνοχώρου απέκτησαν πρόσβαση σε περισσότερους από 200.000 αριθμούς πιστωτικών καρτών 182.000 έγγραφα με προσωπικές πληροφορίες ταυτοποίησης.
3. Sony Pictures – 2014
Η κυβερνοεπίθεση στην Sony Pictures το 2014 είναι είδηση για μια σειρά από λόγους που την κατέστησαν διαφορετική από τις περισσότερες παραβιάσεις. Η κατάσταση ξεκίνησε από την ταινία «The Interview», η οποία περιστρέφεται γύρω από μια υπόθεση για τη δολοφονία του ηγέτη της Βόρειας Κορέας Kim Jong-un. Ο ηγέτης της Βόρειας Κορέας εξοργίστηκε από την ταινία και η κυβέρνησή του απείλησε να επιτεθεί σε κινηματογράφους των ΗΠΑ αν παιχθεί η ταινία. Το Νοέμβριο του 2014, μια ομάδα επιτέθηκε στους διακομιστές της Sony Pictures, προκαλώντας χάος στα εσωτερικά της συστήματα. Μέχρι σήμερα δεν είναι γνωστό ποιος είναι πίσω από αυτήν την επίθεση, αλλά στο σημείο αυτό η Βόρειος Κορέα συμπεριλήφθηκε στον κατάλογο των δυνητικών παικτών κυβερνοεπίθεσης.
4. Marriott Hotels - 2018
Η παραβίαση των ξενοδοχείων Marriott ήταν τεράστια τόσο λόγω του όγκου των δεδομένων που εκτέθηκαν όσο και λόγω της ευαισθησίας των πληροφοριών που προσεγγίστηκαν. Οι χάκερς παραβίασαν τα συστήματα κράτησης των ξενοδοχείων Starwood, τα οποία αγοράστηκαν από τη Marriott το 2016 για 13,6 δις δολάρια. Οι εγκληματίες του κυβερνοχώρου πίσω από την επίθεση είχαν 4 χρόνια για να κινηθούν μέσα στο σύστημα Starwood, το οποίο περιλαμβάνει τα Sheraton, Westin, W Hotels, St. Regis, Four Points, Aloft, Le Meridien, Tribute, Design Hotels, Element, και Luxury Collection κι απέκτησαν πρόσβαση στα ονόματα, τις πιστωτικές κάρτες, τις διευθύνσεις και τον αριθμό διαβατηρίων 383 εκατομμυρίων ατόμων που παρέμειναν στα ξενοδοχεία μεταξύ 2014 και 2018. Το αξιοσημείωτο είναι ότι η αλυσίδα ξενοδοχείων Marriott δέχθηκε κυβερνοεπίθεση σε βάσεις δεδομένων και το περιεχόμενο προστατεύτηκε με ηρεμία και διάρκεια, γεγονός που έδειξε ότι οι παραδοσιακές μέθοδοι προστασίας δεδομένων απέτυχαν να προστατεύσουν επαρκώς τα ευαίσθητα αρχεία δεδομένων.
5. Ashley Madison - 2015
Ενώ οι πληροφορίες που διαρρεύσαν στο διαδίκτυο για δεδομένα χρηστών της πλατφόρμας εξωσυζυγικών γνωριμιών Ashley Madison δεν ήταν οικονομικά σημαντικές, το πολιτιστικό της αποτύπωμα ήταν πολύ ευρύ. Περισσότερες από 30 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και εκατοντάδες πιστωτικές κάρτες διέρρευσαν κατά την επίθεση. Το 2017, η εταιρεία διευθέτησε μια αγωγή που κατατέθηκε από κάποιους χρήστες για περισσότερα από 11 εκ. δολάρια, αλλά αυτό δεν έκανε τίποτα για να καταστείλει το κοινωνικό παραλήρημα για τις πληροφορίες και τα μηνύματα που βρέθηκαν στην ιστοσελίδα. Η αστυνομία στο Τορόντο απέδωσε 2 αυτοκτονίες στις πληροφορίες που προήλθαν από τη διαρροή. Αυτή η κυβερνοεπίθεση ήταν μια από τους πρώτες που οδήγησε σε θανάτους.
6. Target - 2013
Η επίθεση εναντίον της Target είναι μία από τις μεγαλύτερες που έπληξαν έναν σημαντικό έμπορο λιανικής πώλησης και αφορούσε ένα σύστημα σημείου πώλησης που διακυβεύεται από κακόβουλο λογισμικό. Η παραβίαση επεσήμανε ένα πρόβλημα που θα κυριαρχήσει στη συνομιλία για τον κυβερνοχώρο για την υπόλοιπη δεκαετία: τρίτους εταίρους. Οι χάκερς απέκτησαν πρόσβαση στα συστήματα της Target μέσω ενός εργολάβου θέρμανσης και κλιματισμού που εργάζονταν για την εταιρεία. Με την πρόσβασή τους, οι εγκληματίες του κυβερνοχώρου έλαβαν στοιχεία κάρτας πληρωμών για περισσότερα από 110 εκατομμύρια πελάτες της Target.
7. Capital One - 2019
Τον περασμένο Ιούλιο, η αμερικανική τράπεζα Capital One αναγνώρισε ότι από το 2005 και το 2019 οι χάκερς είχαν πρόσβαση στις προσωπικές πληροφορίες 100 εκατομμυρίων Αμερικανών και έξι εκατομμυρίων Καναδών. Σύμφωνα με την τράπεζα, οι κυβερνοεγκληματίες λάμβαναν τις πληροφορίες από μια σειρά από εφαρμογές πιστωτικών καρτών, συμπεριλαμβανομένων των ονομάτων, διευθύνσεων, αριθμών τηλεφώνου, διευθύνσεων ηλεκτρονικού ταχυδρομείου, ημερομηνιών γέννησης και εισοδήματος. Η εταιρεία ανέφερε επίσης ότι οι χάκερς απέκτησαν πρόσβαση, στα όρια, τα υπόλοιπα, το ιστορικό πληρωμών των πελατών τους και σε περίπου 1 εκατομμύριο αριθμούς Καναδικής Κοινωνικής Ασφάλισης, καθώς και 140.000 αριθμούς Αμερικανικής Κοινωνικής Ασφάλισης. Ο ένοχος πίσω από αυτήν την επίθεση βρέθηκε και καταδικάστηκε στο δικαστήριο.
8. The United States Office of Personnel Management – 2015
Η κυβερνοεπίθεση από την κινεζική κυβέρνηση στο Γραφείο Διαχείρισης Προσωπικού των Ηνωμένων Πολιτειών είναι μία από τις μεγαλύτερες επιθέσεις που έπληξαν ποτέ μια κυβέρνηση στην ιστορία της ανθρωπότητας. Οι κυβερνοεγκληματίες απέκτησαν πρόσβαση σε 21 εκατομμύρια αρχεία τρεχόντων και πρώην κυβερνητικών εργαζομένων. Τα αρχεία στα οποία έχουν πρόσβαση οι χάκερς είχαν λεπτομερείς πληροφορίες σχετικά με: τα μέλη της οικογένειας των υποψηφίων, τους συγκάτοικους κολλεγίων, τις επαφές τους, τις ψυχολογικές πληροφορίες, αριθμούς κοινωνικής ασφάλισης, ονόματα, ημερομηνίες, τόπους γέννησης και διευθύνσεις, αλλά και μια βάση δεδομένων με σχεδόν 6 εκατομμύρια δακτυλικά αποτυπώματα, θέτοντας σε κίνδυνο κυβερνητικούς Αμερικανούς αξιωματούχους σε όλο τον κόσμο.
9. First American Financial – 2019
Η ασφαλιστική εταιρεία First American Financial είχε μία από τις μεγαλύτερες διαρροές το 2019, εκθέτοντας 885 εκατομμύρια αρχεία που χρονολογούνται από περισσότερα από 15 χρόνια. Η παραβίαση αφορά εκατομμύρια υποθήκες με αριθμούς τραπεζικών λογαριασμών και δηλώσεις, υποθήκες και φορολογικά αρχεία και αριθμούς κοινωνικής ασφάλισης.
10. Stuxnet – 2010
Η επίθεση Stuxnet, η οποία φέρεται να διαπράχθηκε από τις κυβερνήσεις των Ηνωμένων Πολιτειών και του Ισραήλ, ήταν σχετικά μικρή όσον αφορά τα αποτελέσματά της, αλλά είχε ευρείες συνέπειες που θα γίνουν όλο και πιο σημαντικές την επόμενη δεκαετία. Ήταν ένα από τα πρώτα παραδείγματα κυβερνητικών κυβερνοεπιθέσεων που θα μπορούσαν να καταστρέψουν φυσικά συστήματα και υποδομές.
Ο σκώληκας Stuxnet κατέστρεψε 984 φυγοκέντρους εμπλουτισμού ουρανίου του Ιράν, καταστρέφοντας ουσιαστικά το μεγαλύτερο μέρος του πυρηνικού του προγράμματος, με ειδικό στόχο στα συστήματα SCADA της Siemens. Αργότερα, η ρωσική κυβέρνηση χρησιμοποίησε παρόμοιες τακτικές κατά τη διάρκεια της επίθεσης το 2015 στην Ουκρανία. Για πρώτη φορά στην ιστορία, μια κυβέρνηση ήταν σε θέση να κλείσει το ηλεκτρικό δίκτυο άλλης χώρας μέσω μιας κυβερνοεπίθεσης. Το Stuxnet και η επίθεση στην Ουκρανία άνοιξαν την πόρτα στις αυξημένες προσπάθειες των αντίπαλων χωρών να συμπεριλάβουν τα cyberattacks στο στρατιωτικό τους οπλοστάσιο.
Τι να κρατήσουμε;
Σε προσωπικό επίπεδο, το απόρρητο (η ιδιωτικότητα) είναι αυτό που μας ξεχωρίζει από τα ζώα. Είναι επίσης αυτό που διαχωρίζει πολλές χώρες και πολίτες από δικτατορίες και δεσπότες. Οι άνθρωποι συχνά δεν σκέφτονται για τα δικαιώματά τους μέχρι να τα χρειαστούν. Η επιτήρηση είναι επίσης ένα μέρος της ζωής και γίνεται σταδιακά περισσότερο επεμβατική. Η κυβερνητική παρακολούθηση αυξάνεται, πραγματοποιείται με ευρύτερη μυστικότητα, αλλά και περιορίζεται τοπικά. Η προστασία της ιδιωτικότητας μας πρέπει να επικεντρωθεί στην ασφάλεια των συσκευών μας (κύρια του κινητού), της ηλεκτρονικής μας επικοινωνίας και της έκθεσής μας σε δίκτυα κοινωνικής δικτύωσης.
Σε επαγγελματικό επίπεδο, η ετήσια έκθεσή της εταιρείας accenture για την ασφάλεια, μας δίνει μια ρεαλιστική περιγραφή: Το έγκλημα στον κυβερνοχώρο δεν είναι ένα μοναδικό γεγονός. Το μπλοκάρισμα μιας εισόδου δεν αποτρέπει τους κυβερνοεγκληματίες να προχωρήσουν γρήγορα σε ένα άλλο, συχνά πιο περίπλοκο μέσο εισόδου. Οι οργανισμοί πρέπει να προσαρμόσουν την προσέγγισή τους για να ανταποκριθούν στις τελευταίες απαιτήσεις ενός ταχέως μεταβαλλόμενου κόσμου, υπενθυμίζοντας ότι:
1. Οι επικοινωνίες σε παγκόσμιο επίπεδο μπορεί να μην είναι ό, τι φαίνονται.
2. Οι κυβερνοεγκληματίες μετατοπίζονται - και θα πρέπει κι εμείς.
3. Τα μικτά κίνητρα πίσω από τα ransomware, τα καθιστούν καταστροφικά.
4. Δεν υπάρχει χρόνος για υπέροχη απομόνωση - το οικοσύστημα σας σας χρειάζεται.
5. Προσέξτε μην ανοίξετε περισσότερο την «πίσω πόρτα».
Υπάρχουν η νομοθεσία (GDPR) αλλά και κατάλληλες τεχνικές και οργανωτικές λύσεις. Απαιτείται η ενσυναίσθηση, η κουλτούρα, η εκπαίδευση, η συνέπεια και η ευελιξία στην υπεράσπιση του απορρήτου μας.
*Ο Γιάννης Σ. Καλαντζάκης είναι entrepreneur υπηρεσιών υγείας, πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων & σύμβουλος επιχειρήσεων σε θέματα ιατρικού τουρισμού, ποιότητας και διαχείρισης δεδομένων προσωπικού χαρακτήρα (GDPR). #IOwnMyHealthData