Οι αγορές περιμένουν τη «μεγάλη κυβερνοεπίθεση»

Η αφύπνιση ήρθε με το σοκ του 2016, όταν hackers χτύπησαν την Κεντρική Τράπεζα του Μπαγκλαντές και προσπάθησαν, μέσα από κενά ασφαλείας στο σύστημα SWIFT, να κλέψουν ένα δισεκατομμύριο δολάρια, για να προκαλέσουν τελικά ζημιά 101 εκατομμυρίων δολαρίων.

Σήμερα οι κυβερνοεπιθέσεις που θα προκαλέσουν μικρό ή μεγαλύτερο χάος στο παγκόσμιο χρηματοπιστωτικό σύστημα έχουν αναβαθμιστεί από «ενδεχόμενες» σε «αναμενόμενες», με την Κριστίν Λαγκάρντ να προειδοποιεί ήδη από το Φερβουάριο του 2020 από την θέση της προέδρου της Ευρωπαϊκής Κεντρική Τράπεζας και το Financial Stability Board να την επιβεβαιώνει τον Απρίλιο του 2020, υπογραμμίζοντας το τεράστιο κόστος που θα έχουν αν επιτύχουν για την παγκόσμια οικονομία. Σύμφωνα με πρόσφατη ανάλυση του ΔΝΤ, οι συνθήκες κυβερνοασφάλειας για την «τέλεια καταιγίδα» είναι όλες παρούσες και εμφανείς καθημερινά σε όλους μας. Από την μία το παγκόσμιο οικονομικό σύστημα αλλάζει με έναν χωρίς ιστορικό προηγούμενο ρυθμό. Η πανδημία επιταχύνει εκθετικά αυτό τον ρυθμό και όλα τα χρηματοπιστωτικά ιδρύματα εκμοντερνίζουν τις ηλεκτρονικές πληρωμές, ανοίγουν διάπλατα τα κανάλια ηλεκτρονικών συναλλαγών και κολυμπούν στα άγνωστα νερά των ψηφιακών νομισμάτων. Από την άλλη, οι «κακοί» έχουν ένα ολοκαίνουργιο ψηφιακό οπλοστάσιο που τους προσφέρει εκτός από νέα εργαλεία και πρόσβαση σε μια ολόφρεσκια παλέτα από στόχους.

Έτσι, το καστ της «τέλειας καταιγίδας» εμπλουτίζεται με νέους «χαρακτήρες». Πέρα από τον κλασσικό «κλέφτη» που προσπαθεί να αποκομίσει οικονομικά οφέλη κλέβοντας data και πιστώσεις, -όπως το γκρουπ Carbanak που χτύπησε οικονομικούς οργανισμούς με λεία μεγαλύτερη του ενός δις δολάρια από το 2013 ως το 2018- την ευκαιρία αρπάζουν ανεξάρτητοι κυβερνοτρομοκράτες ή κρατικά ελεγχόμενοι hackers, που θέλουν να δυσφημίσουν ή να «γονατίσουν» λειτουργικά οικονομικούς οργανισμούς για ιδεολογικούς όσο και οικονομικούς λόγους, όπως οι hackers υπό τον κυβερνητικό έλεγχο της Βόρειας Κορέας που έχουν κλέψει περίπου 2 δις δολάρια από 38 χώρες τα τελευταία πέντε χρόνια. Το μυστικό της επιτυχίας τους κατά την ανάλυση του ΔΝΤ είναι η ίδια η συγκυρία. Η ταχύτητα του ψηφιακού μετασχηματισμού έχει αφήσει μεγάλα κενά ανάμεσα στους ρόλους των εμπλεκομένων στην κυβερνοασφάλεια των συστημάτων. Οι τράπεζες περιμένουν τις εταιρείες τεχνολογίας να το καλύψουν και αυτές τις τράπεζες, τα κράτη τρέχουν πίσω από τα γεγονότα σε ένα διεθνές κλίμα δυσπιστίας ανάμεσα τους και οι αγορές συνειδητοποιούν την πραγματική ανάγκη για κυβερνοασφάλεια αφού «χτυπηθούν».

Σε αυτό το σκηνικό, το Carnegie Endowment for International Peace δημοσίευσε τον Νοέμβριο του 2020 την αναφορά με τίτλο «International Strategy to Better Protect the Global Financial System against Cyber Threats» στην οποία καταδεικνύει τους τέσσερις βασικούς πυλώνες στους οποίους θα πρέπει να βασιστεί η στρατηγική κυβερνοασφάλειας που θα διαφυλάξει τον χρηματοπιστωτικό τομέα από το χάος. Πρώτος: η δημιουργία μεγαλύτερης διαφάνειας γύρω από τους ρόλους και τις ευθύνες που απαιτούνται. Δεύτερος: η συνειδητοποίηση της ανάγκης για άμεση διεθνή συνεργασία με συντονισμό από διεθνείς οργανισμούς όπως το ΔΝΤ κ.α.. Τρίτος: η μείωση τoυ κατακερματισμού διαδικασιών και κέντρων πληροφοριών ώστε να δημιουργηθεί ένας κοινός χώρος όπου θα χειριστούν το πρόβλημα από κοινού. Τέταρτος: Η συνειδητοποίηση ότι η προστασία του διεθνούς οικονομικού συστήματος μπορεί να αποτελέσει μοντέλο προστασίας και άλλων τμημάτων της κοινωνίας.

Μαθήματα cyber security από hackers

O Χάρης Πυλαρινός, ιδρυτής και CEO της πετυχημένης startup, Hack the Box, επιβεβαιώνει ότι οι καλύτερες ιδέες ξεκινάνε από κάτι απλό. Στην προκειμένη περίπτωση από την ανάγκη που είχε ο ίδιος να δοκιμάζει τις ικανότητες του σαν cyber-security professional, σε ένα ελεγχόμενο περιβάλλον. «Σε όλη μου την καριέρα οι περισσότερες γνώσεις που απέκτησα ήταν από στιγμές που δεν ήξερα τι να κάνω και πως να προχωρήσω παρακάτω. Αυτό είναι που το Hack the Box «αναγκάζει» τους χρήστες του να κάνουν, αντί να τους πάρει από το χέρι, ή να τους καθοδηγεί. Τα Hacking Labs μας τους πετάνε στα βαθιά, όπου ή κολυμπάς ή βυθίζεσαι. Δεν κολυμπάνε όλοι, αλλά όσοι τα καταφέρουν έχουν την ευκαιρία να ακονίσουν τα skills τους εν δράση», εξηγεί. Τελικά δεν ήταν ο μόνος εκεί έξω που είχε την ίδια ανάγκη και έτσι το Hack the Box εξελίχθηκε σε κάτι παραπάνω από μια πλατφόρμα «δοκιμαστικό σωλήνα» hacking. Μιας και ο ίδιος ήθελε να ενώσει γύρω από αυτό ανθρώπους με παρόμοιες ιδέες, που να ανταλλάσσουν μεταξύ τους γνώση, δημιουργώντας μια κοινότητα, γύρω από μια μεγάλη δεξαμενή γνώσης, στην οποία μπορείς να μαθαίνεις και να προοδεύεις συνεχώς.

The “Hack the Box” experience
Έτσι, αυτή τη στιγμή, το Hack the Box εκπαιδεύει κάποιους από τους καλύτερους χάκερ του κόσμου σε μια online εκπαιδευτική πλατφόρμα και μια διαρκώς αναπτυσσόμενη κοινότητα hacking που έχει φτάσει τα 650.000 μέλη. Εξασκούνται και αναβαθμίζουν τις ικανότητες τους στην κυβερνοασφάλεια, μέσα από μια hands on εκπαιδευτική διαδικασία, στο ρυθμό που ο καθένας επιλέγει, σε μορφή παιχνιδιού. Μέσα από εκατοντάδες διαρκώς ενημερωμένων «εικονικών εργαστηρίων hacking» και μια πληθώρα διαδραστικών μαθημάτων στην HTB Academy. Αποστολή του Hack the Box όμως είναι και να αναβαθμίσει και τις ικανότητες κυβερνοασφάλειας κάθε επαγγελματία και οργανισμού στον κόσμο, κάνοντας την εκπαίδευση στο cyber security προσβάσιμη σε όλους.

Το Hack the Box από το 2017 έλαβε αρχικά seed investment, ενός συν δύο στη συνέχεια εκατομμυρίων από την Marathon Capital Ventures και από τον Απρίλιο είναι στον πρώτο γύρο (Series A) χρηματοδότησης, με μέχρι σήμερα ύψος χρηματοδότησης 10,6 εκατ. δολάρια. Δουλεύει με εκατοντάδες εταιρείες, πολλές από τις οποίες στη λίστα Fortune 100 και 500 και έχει φτάσει τους 100 υπαλλήλους (50% των οποίων δουλεύουν εκτός Ελλάδας), με γραφεία σε Αθήνα, Λονδίνο και Κεντ, ενώ παράλληλα ενισχύει την παρουσία της στις ΗΠΑ και έχοντας πιάσει ρυθμό ανάπτυξης 100% από τον Ιούλιο του 2020.

To Password της Eπιτυχίας
Αναπόφευκτα αναρωτιόμαστε για το μυστικό αυτής της επιτυχίας, αλλά ο Χάρης Πυλαρινός έχει ήδη καταλήξει. «Δύο παράγοντες: Πρώτα από όλα η πλατφόρμα απάντησε στις ανάγκες του industry, για διαρκή, αυτοπροσδιοριζόμενη, πρακτική και ελκυστική αναβάθμιση ικανοτήτων. Από τη στιγμή που κάλυψε αυτή την ανάγκη, οι άνθρωποι άρχισαν να συζητάνε για αυτό.
Είμαστε περήφανοι για την κοινότητα ομοϊδεατών και επαγγελματιών του cyber security που δημιουργήσαμε, που συμμετέχουν στις πλατφόρμες μας για να μάθουν, να δικτυωθούν, να ανταλάξουν ιδέες και μεθόδους, να ανακαλύψουν πράγματα και να αποκτήσουν ικανότητες, αλλά ακόμα και να βρουν δουλειά. Δεύτερον, η αφοσίωση της ομάδας μας στην ποιότητα του προϊόντος και τη γρήγορη ανάπτυξη καινοτομιών, στην εκπαίδευση, στο hacking, αλλά και στην παροχή μιας state-of-the-art πλατφόρμας που εξασφαλίζει θετική και διαισθητική εμπειρία στους “παίκτες” της».

Τι γίνεται με τον χρηματοοικονομικό τομέα;
Όταν μιλάμε με ανθρώπους του οικονομικού τομέα, οι μεγαλύτερες προκλήσεις τους είναι τα legacy συστήματα και τεχνολογίες τους. Κάποιοι οικονομικοί οργανισμοί έχουν μηχανήματα τόσο παλιά που δεν μπορούμε να κάνουμε security patch στο software ή έχουν ακόμα hard coded passwords. Επίσης το Dark Web έχει δώσει την ευκαιρία σε κυβερνοεγκληματίες και ομάδες APT (advanced persistent threats) να σχεδιάζουν επιθέσεις, να αναγνωρίζουν στόχους, να αγοράζουν exploit kits, ευαίσθητα δεδομένα και malware, διευκολύνοντας το κυβερνοέγκλημα. Είναι σημαντικό ότι στο Hack the Box μαθαίνουμε τους ανθρώπους πως σκέφτονται και δρουν οι πιο εξελιγμένοι των κυβερνοεγκληματιών, ώστε να προλαμβάνουν και απενεργοποιούν τις τεχνικές
που θα χρησιμοποιήσουν στο μέλλον, εναντίον τους».

Στην αγορά του Cyber Security
H πρώτη ερώτηση που φαίνεται «περίπλοκη και απαιτητική» στον Χάρη Πυλαρινό είναι για την παγκόσμια αγορά κυβερνοασφάλειας αυτή της στιγμή. Μας την περιγράφει να μεγαλώνει σταθερά, χρόνο με το χρόνο, ακόμα και την περίοδο της πανδημίας. Παραθέτει την αναφορά της Mordor Intelligence για το 2021-2026, όπου η αγορά cyber security ήταν 156,24 δις δολάρια το 2020 και προβλέπεται να φτάσει τα 352,25 δις ως το 2026, με μικρό τμήμα να ξοδεύεται σε antivirus απλών χρηστών και τη μερίδα του λεόντος να πηγαίνει στην ασφάλεια επιχειρήσεων. Εταιρείες κάθε μεγέθους και τομέα αντιλαμβάνονται τις καταστροφικές συνέπειες των κυβερνοαπειλών, από τις επιθέσεις ransomware και παραβίασης δεδομένων τους, αλλά και τη σημασία της κατανομής του cyber security budget τους σε software, hardware, υποδομές όπως οι cloud providers και συστήματα networking.

Αλλά την ίδια στιγμή μαθαίνουν πόσο κρίσιμο είναι να επενδύουν σε ανθρώπους με εκπαίδευση στην κυβερνοασφάλεια. Γιατί τελικά ακόμα και οι χειρότερες κυβερνοεπιθέσεις περιλαμβάνουν τον ανθρώπινο παράγοντα, σε πολλαπλά στάδια της αλυσίδας των κυβερνοχτυπημάτων. Σε αυτό το σημείο το Hack the Box προσφέρει υπηρεσίες εκπαίδευσης κυβερνοασφάλειας ειδικά σχεδιασμένες για επιχειρήσεις. «Ηγέτες της αγοράς όπως οι Electronic Arts, Siemens και Deloitte έχουν ήδη ωφεληθεί από τον τρόπο που διδάσκουμε επαγγελματίες του ΙΤ να σκέφτονται “outside the box” και με τη φιλοσοφία του hacker. Προσθέτουμε συνεχώς νέα εικονικά συστήματα για να εξασκούν τα cyber skills τους, διαδραστική εκπαίδευση μέσω της HTB Academy for Business και εκπαίδευση μέσω παιχνιδιών, ειδικά σχεδιασμένα για στελέχη του επιχειρηματικού IT, όπως το Business CTF που οργανώσαμε τον Ιούλιο του 2021» διευκρινίζει.

Χάρης Πυλαρινός, Founder and CEO at Hack The Box

Κάποιοι οικονομικοί οργανισμοί έχουν μηχανήματα τόσο παλιά που δεν μπορούμε να κάνουμε security patch στο software ή έχουν ακόμα hard coded passwords