«Σιωπούν» οι αμερικανικές εταιρείες για τις παραβιάσεις των δεδομένων τους
- 06/12/2015, 21:00
- SHARE
Η σπονδυλική στήλη της Αμερικής - τράπεζες, εταιρείες πετρελαίου και φυσικού αερίου, το ενεργειακό δίκτυο - υπόκεινται σε συνεχείς επιθέσεις από τους χάκερ.
Όμως, οι μεγαλύτερες κυβερνο-επιθέσεις, αυτές που μπορούν να τινάξουν στον αέρα χημικές δεξαμενές και φράγματα, κρατιούνται μυστικές βάσει νόμου που προστατεύει τις αμερικανικές εταιρείες. Μιλάμε για επιθέσεις που μένουν για πάντα στο σκοτάδι.
Υπάρχουν αμερικάνοι πολίτες που ζουν ή εργάζονται κοντά σε εγκαταστάσεις που έχουν παραβιαστεί ηλεκτρονικά. Δεν θα το μάθουν ποτέ.
Αυτή η μυστικότητα θα μπορούσε να υποσκάψει τις προσπάθειες άμυνας ενάντια σε μελλοντικές επιθέσεις.
Σύμφωνα με μια έρευνα του CNNMoney, υπάρχουν εταιρείες παραγωγής και προμήθειας ηλεκτρισμού που κάνουν απλά λάθη εκθέτοντας το δίκτυο ηλεκτρικής ενέργειας των ΗΠΑ σε τρομοκράτες χάκερ και ξένους κατασκόπους.
Ενδεικτικά, μια εταιρεία ενέργειας ξέχασε να αναβαθμίσει το λογισμικό στο 66% των συσκευών της, γεγονός που εκμεταλλεύθηκαν οι χάκερ. Κλήθηκε να πληρώσει πρόστιμο 70.000 δολαρίων γι’ αυτό.
Μια άλλη εταιρεία δεν φρόντισε να κλείσει κάποια κανάλια επικοινωνίας, επιτρέποντας σε χάκερ να εισβάλλουν στο σύστημα. Το πρόστιμο γι’ αυτήν από τις ρυθμιστικές αρχές τον περασμένο Αύγουστο άγγιξε τα 425.000 δολάρια.
Τα παραδείγματα είναι πολλά και όλα αφορούν περιπτώσεις «που έθεσαν σε σοβαρό κίνδυνο ένα μέρος του δικτύου ηλεκτρισμού», σύμφωνα με έγγραφα που εξασφάλισαν οι συγγραφείς της έρευνας.
Οι χάκερ κάποιες φορές καταφέρνουν και εισβάλλουν εκεί που θέλουν.
Όμως, καμία περίπτωση δεν δημοσιοποιείται. Έτσι, ούτε καν οι ειδικοί επί των πληροφοριακών συστημάτων – οι οποίοι εκπαιδεύουν την επόμενη γενιά αυτών που θα κληθούν να αντιμετωπίσουν τους χάκερ – δεν έχουν πρόσβαση σε στοιχεία. Και οι ρυθμιστικές αρχές δεν μπορούν να χρησιμοποιήσουν τις πληροφορίες ώστε να κάνουν συστάσεις ασφαλείας.
«Οι περισσότεροι δεν έχουν ιδέα του τι συμβαίνει» λέει ο Ντέιβιντ Κένεντι, του οποίου η εταιρεία TrustedSec ερευνά κυβερνο-επιθέσεις σε εργοστάσια ηλεκτρικής ενέργειας και άλλες κρίσιμες εγκαταστάσεις.
«Αντί να αποκτήσουν μια σαφή εικόνα μιας συγκεκριμένης απειλής, οι πολίτες λαμβάνουν απλώς ασαφείς γενικότητες» επισημαίνει ο Στίβεν Άφτεργκουντ της Ομοσπονδίας Αμερικανών Επιστημόνων.
Κι αυτό δεν αφορά μόνο τον κλάδο της ενέργειας. Κάθε εταιρεία που ορίζεται ως «κρίσιμη εγκατάσταση» μπορεί να διατηρήσει μυστική την οποιαδήποτε παραβίαση δεδομένων: ο κλάδος των τηλεπικοινωνιών, οι μεγάλες τράπεζες, η χημική βιομηχανία.
Όλη αυτή η μυστικότητα προέκυψε στον απόηχο των τρομοκρατικών επιθέσεων το 2001, όταν οι κυβερνητικοί αξιωματούχοι έσπευσαν να αυξήσουν την προστασία στις κρίσιμες εγκαταστάσεις των ΗΠΑ.
Για να εξασφαλίσουν την πρόσβαση σε πληροφορίες σχετικές με κυβερνο-επιθέσεις, προώθησαν νομοθεσία που προβλέπει ειδική προστασία για αμερικανικές εταιρείες. Έτσι, κάθε σχετικό στοιχείο που υποβάλλουν θεωρείται «Προστατευόμενη Πληροφορία Κρίσιμων Εγκαταστάσεων» και μένει μακριά από την κοινή θέα.
Οι επίσημες οδηγίες του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ τονίζουν ότι οι συγκεκριμένες πληροφορίες δεν επιτρέπεται να βρεθούν στα χέρια δημοσιογράφων, ρυθμιστικών αρχών, και του κοινού συνολικά.
Το σκεπτικό πίσω απ’ αυτή την επιλογή είναι ότι αλλιώς, αν οι πληροφορίες αυτές αρχίσουν να δημοσιοποιούνται, τότε οι πολλές ιδιωτικές εταιρείες που ανήκουν στην κατηγορία των κρίσιμων εγκαταστάσεων δεν θα γνωστοποιούν τις επιθέσεις στις αρχές φοβούμενες τις επιπτώσεις στην εικόνα τους.