ΣΥΝΕΧΕΙΑ 2η: Η ΑΝΑΓΚΑΙΑ ΟΡΓΑΝΩΣΗ ΚΡΙΣΜΩΝ ΕΘΝΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ Στην συνέχεια του προηγούμενου άρθρου μου (για λόγους οικονομίας χωρου) αναφέρω παρακάτω τις απιτήσεις που πρέπει να...
ΣΥΝΕΧΕΙΑ 2η: Η ΑΝΑΓΚΑΙΑ ΟΡΓΑΝΩΣΗ ΚΡΙΣΜΩΝ ΕΘΝΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ Στην συνέχεια του προηγούμενου άρθρου μου (για λόγους οικονομίας χωρου) αναφέρω παρακάτω τις απιτήσεις που πρέπει να πληρούνται σε κάθε επικοινωνίατέτοια επικοινωνία και όχι μόνο.
Η διεθνής εμπειρία δείχνει ότι τέτοιες αστοχίες αντιμετωπίζονται πρωτίστως ως συστημικές αποτυχίες (system failures) και όχι ως ατομικά λάθη.
Η φιλοσοφία της ασφάλειας σε ΝΑΤΟ, ΗΠΑ, Ηνωμένο Βασίλειο, Ισραήλ κλπ ξεκινάει από το ότι ο άνθρωπος μπορεί να σφάλει, άρα το ΣΥΣΤΗΜΑ πρέπει να διαθέτει πολλαπλά επίπεδα προστασίας και επιβεβαίωσης.
Θεωρητικά, η συγκεκριμένη αδυναμία θα μπορούσε να είχε αποφευχθεί μέσω ενός συνδυασμού θεσμικών, οργανωτικών, τεχνολογικών και εκπαιδευτικών μέτρων. 1. Αρχή της «Διπλής Επιβεβαίωσης Ταυτότητας» (Two-Factor Human Authentication) Στα περισσότερα δυτικά συστήματα ασφαλείας, καμία σημαντική επικοινωνία υψηλού επιπέδου δεν βασίζεται αποκλειστικά σε ένα email, ένα τηλεφώνημα, μία πρόσκληση σε βιντεοκλήση.
Η ταυτότητα του συνομιλητή επιβεβαιώνεται μέσω δεύτερου ανεξάρτητου διαύλου, μέσω της πρεσβείας, μέσω του ΥΠΕΞ, μέσω γνωστού υπηρεσιακού αριθμού, μέσω διαπιστευμένου αξιωματικού συνδέσμου, μέσω ασφαλούς κυβερνητικής πλατφόρμας.
Ένας βασικότατος κανόνας του ΝΑΤΟ είναι «Trust, but verify through another channel». Αν είχε εφαρμοστεί αυτό, η συγκεκριμένη συνομιλία πιθανότατα δεν θα είχε πραγματοποιηθεί. 2. Απαγόρευση χρήσης μη πιστοποιημένων πλατφορμών Πολλές κυβερνήσεις πλέον απαγορεύουν για υψηλόβαθμους αξιωματούχους τη χρήση Zoom, WhatsApp, Signal, Teams, εμπορικών βιντεοκλήσεων, για συζητήσεις που αφορούν εθνική ασφάλεια, άμυνα, εξωτερική πολιτική, μυστικές υπηρεσίες και άλλα αντίστοιχης σοβαρότητας θέματα.
Οι επικοινωνίες γίνονται μέσω κυβερνητικών ή νατοϊκών συστημάτων με πιστοποίηση χρηστών, κρυπτογράφηση, ανταλλαγής κωδικοποιημένων συνθήμάτων ημέρας, καταγραφή ταυτότητας, ελεγχόμενη πρόσβαση. 3. Αρχή των «Δύο Προσώπων» (Two-Person Rule) Στο Ισραήλ, στις ΗΠΑ και σε αρκετές χώρες του ΝΑΤΟ, σημαντικές επαφές δεν διεξάγονται ποτέ από έναν μόνο αξιωματούχο.
Παρίσταται πάντοτε και κάποιος ή κάποιοι όπως διπλωμάτης, γραμματέας, αξιωματικός ασφαλείας, πρακτικογράφος, liaison officer και η συνομιλίες αυτού του επιπέδου καταγράφονται επίσημα. 4. Υποχρεωτικά πρωτόκολλα έγκρισης για συνομιλίες με ξένους αξιωματούχους Στα περισσότερα οργανωμένα συστήματα Εθνικών Συμβουλίων Ασφαλείας ισχύει προετοιμασία briefing, έγκριση της ατζέντας των θεμάτων προς συζήτηση, ενημέρωση των αρμόδιων Υπουργών ή και του πρωθυπουργού, καθορισμός ορίων συζήτησης, καταγραφή και πρακτικά μετά τη συνάντηση.
Το ερώτημα «ποιος ενέκρινε την επικοινωνία» σε αυτό το επίπεδο δεν είναι προσωπικό.
Είναι οργανωτικό και απόλυτα συστημικό με αυστηρές ιεραρχήσεις.
Αλλιώς υπάρχει θεσμικό αλλά και τεχνικό/διαδικαστικό κενό. 5. Εκπαίδευση κατά των Deepfakes και των Social Engineering Attacks Το μεγαλύτερο πρόβλημα σήμερα είναι η κακόβουλη χρήση των δυνατοτήτων της ΤΝ. Οι περισσότερες υπηρεσίες ασφαλείας της Δύσης εκπαιδεύουν πλέον τους αξιωματούχους στην προστασία από Deepfakes.
Έχει άραγε εκπαιδευτεί ο κος Ντόκος αλλά και το προσωπικό του γραφείου του σε τέτοιες διαδικασίες; Αμφίβολο αφού και η νομοθεσία για τον Σύμβουλο Εθνικής Ασφαλείας είναι προσωποπαγής και ελλιπής.
Επίσης εκπαιδεύονται σε αυτό που λέγεται «Social Engineering» δηλαδή ψυχολογική χειραγώγηση, εκμετάλλευση εμπιστοσύνης, πίεση χρόνου και επίκληση κύρους. Το ΝΑΤΟ θεωρεί πλέον τα AI-enabled deception attacks μία από τις σημαντικότερες απειλές των επόμενων ετών. 6. Οργανωμένο «Εθνικό Συμβούλιο Ασφαλείας» με αυστηρές ιεραρχήσεις, υποδομές, και εκπαίδευση προσωπικού, αντί προσωποπαγούς μοντέλου Η μεγαλύτερη ίσως θεσμική αδυναμία της Ελλάδας είναι ότι δεν διαθέτει ένα πλήρες Εθνικό Συμβούλιο Ασφαλείας δυτικού τύπου. Στις ΗΠΑ, στο Ηνωμένο Βασίλειο, στη Γαλλία και στο Ισραήλ υπάρχουν μόνιμες γραμματείες, διακλαδική στελέχωση, με διπλωμάτες, στρατιωτικούς, επιστήμονες, κοινοβουλευτικούς εκπροσώπους, υπηρεσίες πληροφοριών, και ειδικούς κυβερνοασφάλειας.
Υπάρχουν συνεχώς βελτιούμενα πρωτόκολλα, θεσμική μνήμη και συλλογικές διαδικασίες, με συνεχή stress tests και Εσωτερικούς ελέγχους.
Έτσι, η ασφάλεια δεν εξαρτάται από το αν ένα πρόσωπο έκανε λάθος. το ίδιο το σύστημα αποτρέπει, προλαμβάνει, διορθώνει έγκαιρα το λάθος και βελτιώνεται στον ύπουλο εξελισσόμενο αγώνα του κυβερνοπολέμου. 7. Η αρχή του «Zero Trust» Η νέα φιλοσοφία κυβερνοασφάλειας στις ΗΠΑ είναι «Never trust, always verify». Η λογική αυτή πρέπει να επεκταθεί και στις ανθρώπινες επικοινωνίες.
Να θεωρείται δεδομένο ότι κάθε τηλεφώνημα μπορεί να είναι ψεύτικο, κάθε βιντεοκλήση μπορεί να είναι deepfake, κάθε email μπορεί να είναι πλαστό, κάθε συνομιλητής πρέπει να πιστοποιείται από πολλαπλές πηγές.
ΚΑΤΑΛΗΓΟΝΤΑΣ 1. Τι θα έπρεπε να είχε συμβεί στην πράξη με βάση τα διδάγματα από την διεθνή εμπειρία; Αν εφαρμοζόταν η διεθνής βέλτιστη πρακτική, η διαδικασία πιθανότατα θα ήταν η εξής: α) Η ουκρανική πλευρά ζητά συνάντηση μέσω πρεσβείας ή ΥΠΕΞ. β) Το αίτημα πιστοποιείται από δεύτερο υπηρεσιακό κανάλι. γ) Εγκρίνεται από το αρμόδιο κυβερνητικό επίπεδο. δ) Προετοιμάζεται briefing και καθορίζεται η ατζέντα. ε) Στη συνάντηση συμμετέχει και δεύτερος αξιωματούχος ή πρακτικογράφος. στ) Η επικοινωνία γίνεται μέσω ασφαλούς κυβερνητικού συστήματος ζ) Καταγράφεται, συντάσσονται πρακτικά και ενημερώνονται οι αρμόδιες υπηρεσίες.
Ακόμη κι αν ένας κρίκος αποτύχει, οι υπόλοιποι λειτουργούν ως δικλίδες ασφαλείας.
Αυτό ακριβώς είναι το θεμελιώδες δίδαγμα της διεθνούς εμπειρίας. 2. Η εθνική ασφάλεια δεν μπορεί να βασίζεται στην αλάνθαστη κρίση ή ψευδαίσθηση στην επάρκεια ενός ανθρώπου, αλλά σε ένα σύστημα πολλαπλών θεσμικών, συστημικών λειτουργιών, τεχνολογικών και οργανωτικών δικλείδων ασφαλείας.
Η επιλογή των posts/links γίνεται με ένα στατιστικό μοντέλο και μπορεί να μην απεικονίζει επακριβώς τη σειρά δημοτικότητάς τους