του Γιάννη ΛΕΟΝΤΑΡΗ
Ημέρα ασφαλούς διαδικτύου ήταν η Τρίτη 7 Φεβρουαρίου, αλλά μόνο… ασφαλές δε θα μπορούσαμε να το αποκαλέσουμε…
Όχι εμείς, αλλά όλες οι εταιρείες που ασχολούνται με τη διαδικτυακή ασφάλεια, οι οποίες σε κάθε report τους αναφέρουν πόσο εξελίσσονται οι διαδικτυακές απειλές και πόσο πιο εκτεθειμένος σε σχέση με το παρελθόν είναι ο χρήστης του διαδικτύου, αλλά πλέον, και των συσκευών που συνδέονται με αυτό.
Εάν στα παραπάνω προσθέσουμε τόσο τη διαλειτουργικότητα των διάφορων εφαρμογών (δεν είναι λίγοι εκείνοι που έχουν επιλέξει να κάνουν login σε μία εφαρμογή τους μέσω μιας άλλης εφαρμογής, π.χ. login στο Gmail μέσω του Facebook, ή αντίστροφα), όσο και την ταχύτατα αναπτυσσόμενη τάση του Internet of Things (ΙοΤ) στη βάση της οποίας πολλές συσκευές “συνομιλούν” και αλληλεπιδρούν η μία με την άλλη, τότε μπορεί να γίνει κατανοητό ότι μία παραβίαση ασφαλείας σε μία συσκευή, ή εφαρμογή είναι εξαιρετικά πιθανό να έχει επιπτώσεις και σε άλλες εφαρμογές ή συσκευές που ο χρήστης έχει επιλέξει να “συνδέονται” με αυτή…
Θέλετε και άλλα; Η κυρίαρχη σήμερα τάση του cloud computing και, συνεπακόλουθα, των υπηρεσιών “as a service” (aas) που έχουν “μεταφέρει” σχεδόν όλα τα δεδομένα των χρηστών εκτός του συστήματος στο οποίο δουλεύουν, δημιουργεί εκ των πραγμάτων ένα “πεδίο δράσης” στους “καλοθελητές”, οι οποίοι πλέον δε στοχεύουν σε περιεχόμενο που είναι φυλαγμένο “τοπικά”, αλλά σε περιεχόμενο που μεταφέρεται συνέχεια μεταξύ χρήστη και cloud, επομένως ενδέχεται αυτή η “μεταφορά” να έχει και τις ανάλογες “τρύπες”.
Τα report των εταιρειών διαδικτυακής ασφάλειας, αλλά και οι ομολογίες των ίδιων των εταιρειών που έπεσαν θύματα hacking, δεν αφήνουν πολλά περιθώρια να δει κάποιος “ελαφριά” το θέμα. Δεν έχουν περάσει πολλοί μήνες όπου, αρχικά, η πολύπαθη Yahoo! ανακοίνωσε ότι άγνωστοι απέκτησαν πρόσβαση στα yahoo accounts δεκάδων εκατομμυρίων χρηστών.
Λίγο καιρό αργότερα, το ίδιο αναγκάστηκε να παραδεχτεί και η Google, καθώς η μη εξουσιοδοτημένη πρόσβαση “άγγιξε” σχεδόν μισό δισεκατομμύριο δικά της accounts (!), κάτι που ούτε μια εταιρεία με το δικό της μέγεθος και πόρους δεν κατάφερε να αντιμετωπίσει στο σύνολό του, με αποτέλεσμα να αναγκαστεί να “παγώσει” πολλά accounts και εκατομμύρια χρήστες να “κλειδωθούν” έξω από τα δεδομένα τους χωρίς καμία δυνατότητα να ανακτήσουν την πρόσβαση σε αυτά.
Τί μπορεί να κάνει ο χρήστης (απλός, αλλά και εταιρικός) για να προστατέψει τον εαυτό του και τα δεδομένα του απέναντι στους “καλοθελητές”; Πολλά πράγματα, ανάλογα πάντα με το είδος των δεδομένων και των συσκευών που χρησιμοποιεί. Το θέμα όμως δεν είναι μόνο το τί μπορεί να κάνει, αλλά και το να μπορεί να βρει οργανωμένη και πλήρη βοήθεια χωρίς να αναγκαστεί να καταφύγει σε πολλές διαφορετικές πηγές.
Και εδώ είναι το μεγάλο κενό της Πολιτείας, η οποία δεν έχει συστήσει ένα οργανωμένο κέντρο εκπαίδευσης των πολιτών – χρηστών στη διαδικτυακή ασφάλεια, αλλά και παροχής της σχετικής βοήθειας με βάση τις ιδιαίτερες ανάγκες του κάθε χρήστη. Φυσικά δεν είναι κάτι απλό και εύκολο, αλλά εάν σκεφτεί κανείς το τεράστιο κόστος που μπορεί να έχει τόσο για τους πολίτες, όσο και τους ίδιους τους Δημόσιους και ιδιωτικούς φορείς μια παραβίαση ασφαλείας, θα μπορούσε να αντιληφθεί ότι όποιο κόστος και να είχε η λειτουργία ενός τέτοιου κέντρου, είναι πολύ μικρότερο από το κόστος που θα είχε μια μέτριου μεγέθους οργανωμένη επίθεση από hackers.
Σήμερα ο μέσος χρήστης έχει έναν σταθερό ή φορητό υπολογιστή και ένα “έξυπνο” κινητό τηλέφωνο. Μέσα από αυτά, αποκτά πρόσβαση στα δεδομένα στο προσωπικό του mail, μπαίνει στους λογαριασμούς του στα social media, πραγματοποιεί ηλεκτρονικές αγορές, τραπεζικές εργασίες, μπαίνει στο εταιρικό σύστημα της εταιρείας που εργάζεται, διαχειρίζεται τα φορολογικά του στοιχεία (και όχι μόνο) και πολλά ακόμα.
Όλα τα παραπάνω συνιστούν διακίνηση ευαίσθητων προσωπικών δεδομένων, για τα οποία αρμόδιοι είναι πολλοί ιδιωτικοί και δημόσιοι φορείς. Κανένας όμως δεν είναι σε θέση να δώσει στο χρήστη μια ολοκληρωμένη ενημέρωση για την ασφάλεια των δεδομένων για όλους τους τρόπους με τους οποίους αυτός τα διακινεί. Και είναι σίγουρο ότι ο χρήστης αποκλείεται να απευθυνθεί στον κάθε φορέα ξεχωριστά για το θέμα της ασφάλειας των δεδομένων του. Όταν θα το κάνει, θα είναι πιθανότατα πολύ αργά…
Στην έλλειψη πρόσβασης σε ολοκληρωμένη και προσωποποιημένη ενημέρωση για θέματα ηλεκτρονικής ασφάλειας βρίσκεται το πρώτο (και σημαντικότερο, ίσως) κενό διαδικτυακής ασφάλειας του χρήστη. Τα υπόλοιπα κενά λίγο πολύ τα γνωρίζετε. Ή τουλάχιστον, μπορείτε να τα φανταστείτε. Εάν ήδη δεν τα έχετε γνωρίσει με άσχημο τρόπο…
