Θετικά τα αποτελέσματα για την προστασία των δεδομένων στην ΕΕ τα τελευταία δύο χρόνια

Έκθεση αξιολόγησης σχετικά με τον γενικό κανονισμό για την προστασία των δεδομένων (GDPR), η οποία δείχνει ότι το GDPR έχει επιτύχει τους περισσότερους από τους στόχους του, ιδίως προσφέροντας στους πολίτες ένα ισχυρό σύνολο εκτελεστών δικαιωμάτων και δημιουργώντας ένα νέο ευρωπαϊκό σύστημα διακυβέρνησης και επιβολής, έδωσε σήμερα στη δημοσιότητα η Κομισιόν και παρουσίασαν σήμερα η Αντιπρόεδρος Γιούροβα και ο Επίτροπος Ρέιντερς.

Επιπλέον, σύμφωνα με την Κομισιόν, η εναρμόνιση σε θέματα GDPR μεταξύ των κρατών μελών αυξάνεται, «αν και υπάρχει ένα ορισμένο επίπεδο κατακερματισμού που πρέπει να παρακολουθείται συνεχώς», ενώ παρομοίως συμμορφώνονται και οι επιχειρήσεις, χρησιμοποιώντας το GDPRR ως «ανταγωνιστικό πλεονέκτημα».
Αναλυτικά, η έκθεση της Κομισιόν καταγράφει ότι οι πολίτες γνωρίζουν τα δικαιώματά τους (όπως το δικαίωμα πρόσβασης, διόρθωση, διαγραφή, το δικαίωμα ένστασης και το δικαίωμα μεταφοράς δεδομένων). Το 69% του πληθυσμού άνω των 16 ετών στην ΕΕ έχει ακούσει για τον GDPR και το 71% των ατόμων που έχουν ακούσει για την εθνική τους αρχή προστασίας δεδομένων. Ωστόσο, τονίζει ότι «μπορούν να γίνουν περισσότερα για να βοηθήσουν τους πολίτες να ασκήσουν τα δικαιώματά τους, ιδίως το δικαίωμα μεταφοράς δεδομένων».
Επιπλέον η έκθεση καταγράφει ότι οι κανόνες προστασίας δεδομένων είναι κατάλληλοι για την ψηφιακή εποχή και συμβάλλει επίσης στην προώθηση αξιόπιστης καινοτομίας, ιδίως μέσω μιας προσέγγισης και αρχών που βασίζονται στον κίνδυνο, όπως η προστασία δεδομένων από το σχεδιασμό και από προεπιλογή.
Η έκθεση αναφέρει ακόμη ότι οι αρχές προστασίας δεδομένων χρησιμοποιούν τις ισχυρότερες διορθωτικές τους εξουσίες. «Από προειδοποιήσεις και επιπλήξεις έως διοικητικά πρόστιμα, το GDPR παρέχει στις εθνικές αρχές προστασίας δεδομένων τα κατάλληλα εργαλεία για την επιβολή των κανόνων. Ωστόσο, πρέπει να υποστηρίζονται επαρκώς με τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους». «Πολλά κράτη μέλη το κάνουν αυτό, με αξιοσημείωτες αυξήσεις στις πιστώσεις του προϋπολογισμού και του προσωπικού», αναφέρει. Συνολικά, σημειώθηκε αύξηση 42% του προσωπικού και 49% του προϋπολογισμού για όλες τις εθνικές αρχές προστασίας δεδομένων που συγκεντρώθηκαν στην ΕΕ μεταξύ του 2016 και του 2019. Ωστόσο, εξακολουθούν να υπάρχουν έντονες διαφορές μεταξύ των κρατών μελών.
Σύμφωνα με την Κομισιόν, οι αρχές προστασίας δεδομένων συνεργάζονται στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), αλλά υπάρχει περιθώριο βελτίωσης. Το GDPR καθιέρωσε ένα καινοτόμο σύστημα διακυβέρνησης που έχει σχεδιαστεί για να διασφαλίζει μια συνεπή και αποτελεσματική εφαρμογή του GDPR μέσω του ονομάζεται «one stop shop», το οποίο προβλέπει ότι μια εταιρεία που επεξεργάζεται διασυνοριακά δεδομένα έχει μόνο μία αρχή προστασίας δεδομένων ως συνομιλητή, δηλαδή την αρχή του κράτους μέλους στο οποίο βρίσκεται η κύρια εγκατάστασή του. Μεταξύ 25 Μαΐου 2018 και 31 Δεκεμβρίου 2019, 141 σχέδια αποφάσεων υποβλήθηκαν μέσω του «one-stop-shop», 79 από τα οποία κατέληξαν σε τελικό αποφάσεις. Ωστόσο, μπορούν να γίνουν περισσότερα, ειδικά σε ό,τι αφορά το χειρισμό διασυνοριακών υποθέσεων.
Σε ό,τι αφορά τις συμβουλές και οδηγίες από τις αρχές προστασίας δεδομένων: Το EDPB εκδίδει κατευθυντήριες γραμμές που καλύπτουν βασικές πτυχές του κανονισμού και αναδυόμενα θέματα. Καταγράφεται ότι αρκετές αρχές προστασίας δεδομένων δημιούργησαν νέα εργαλεία, συμπεριλαμβανομένων γραμμών βοήθειας για ιδιώτες και επιχειρήσεις και εργαλειοθήκες για μικρές και πολύ μικρές επιχειρήσεις.
Επιπλέον, σύμφωνα  με τα ευρήματα της έκθεσης ενισχύεται και η διεθνής διάσταση του κανονισμού. «Η Ιαπωνία μοιράζεται με την ΕΕ τη μεγαλύτερη περιοχή ελεύθερων και ασφαλών ροών δεδομένων στον κόσμο».
Το EDPB εργάζεται για συγκεκριμένες οδηγίες σχετικά με τη χρήση της πιστοποίησης και των κωδίκων δεοντολογίας για τη μεταφορά δεδομένων εκτός της ΕΕ, οι οποίοι πρέπει να οριστικοποιηθούν το συντομότερο δυνατόν.
«Δεδομένου ότι το Ευρωπαϊκό Δικαστήριο μπορεί να παράσχει διευκρινίσεις σε απόφαση που θα εκδοθεί στις 16 Ιουλίου, η οποία θα μπορούσε να είναι χρήσιμη για ορισμένα στοιχεία του προτύπου επάρκειας, η Κομισιόν θα υποβάλει ξεχωριστή έκθεση για τις υφιστάμενες αποφάσεις επάρκειας μετά την έκδοση της απόφασής του από το Δικαστήριο», αναφέρεται.
Τέλος, τα τελευταία δύο χρόνια, η Κομισιόν ενέτεινε τον διμερή, περιφερειακό και πολυμερή διάλογο, προωθώντας μια παγκόσμια κουλτούρα σεβασμού της ιδιωτικής ζωής και σύγκλισης μεταξύ διαφορετικών συστημάτων προστασίας της ιδιωτικής ζωής προς όφελος των πολιτών και των επιχειρήσεων και έχει δεσμευτεί να συνεχίσει το έργο αυτό στο πλαίσιο της ευρύτερης εξωτερικής δράσης της, για παράδειγμα, στο πλαίσιο της εταιρικής σχέσης Αφρικής-ΕΕ και στην υποστήριξή της σε διεθνείς πρωτοβουλίες, ζητώντας την έγκριση του Συμβουλίου για την έναρξη διαπραγματεύσεων για τη σύναψη συμφωνιών αμοιβαίας συνδρομής και συνεργασίας με τις σχετικές τρίτες χώρες.

Ανάπτυξη του G-Cloud με στόχο την εξοικονόμηση πόρων και την ασφάλεια στο Δημόσιο

Συνεχώς αναπτύσσεται το G-Cloud δηλαδή η βάση δεδομένων της κυβέρνησης με την προσθήκη ολοένα και περισσότερων φορέων. Συνολικά στο G-Cloud φιλοξενούνται σήμερα περισσότεροι από 206 δημόσιοι φορείς.

Τους τελευταίους 12 μήνες έχουν αυξηθεί κατά 37% οι φορείς που φιλοξενούνται στο G-Cloud, το οποίο διαχειρίζεται η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του υπουργείου Ψηφιακής Διακυβέρνησης.

Παράλληλα, ενοποιήθηκαν οι δυο ξεχωριστές υποδομές G-Cloud σε μια, αυξήθηκε η κάλυψη της υφιστάμενης χωρητικότητας των υποδομών από το 53% πέρυσι έφτασε στο 73% φέτος, δηλαδή επετεύχθη 38% αύξηση στον όγκο των δεδομένων που φιλοξενούνται και τέλος κατέστη δυνατή η 24ωρη λειτουργία συστημάτων, ενώ μέχρι πρότινος υπήρχαν περιπτώσεις φορέων που τα συστήματα τους λειτουργούσαν για 12 ώρες την ημέρα ή και λιγότερο.

Σύμφωνα με το υπουργείο Ψηφιακής Διακυβέρνησης, «η ένταξη των συστημάτων στο ενιαίο Data Center του G-Cloud έχει επιφέρει σημαντική επίτευξη οικονομίας κλίμακος σε υπολογιστικές υποδομές και ανθρώπινους πόρους για τη λειτουργία του G-Cloud και το μειωμένο κόστος συντήρησης των υποδομών. Αυτό συμβαίνει γιατί οι πραγματοποιούνται κεντρικά για το ελληνικό Δημόσιο και όχι αποσπασματικά από τον κάθε φορέα επιτυγχάνοντας με αυτόν τον τρόπο οικονομίες κλίμακος».

Όπως αναφέρεται σε ανακοίνωση του υπουργείου, «για να γίνει πλήρως αντιληπτό το όφελος που προκύπτει, σε περίπτωση που κάποιος φορέας ήθελε να διατηρήσει ξεχωριστό Data Center, το ετήσιο κόστος θα ήταν τουλάχιστον 3-πλάσιο από αυτό που επιτυγχάνεται σήμερα με τη χρήση του G-Cloud, σύμφωνα με τις διεθνείς πρακτικές. Τα οφέλη δεν είναι μόνο οικονομικά αλλά και σε επίπεδο λειτουργίας, καλύτερης απόδοσης και ασφάλειας των συστημάτων».

Για την ασφάλεια των δεδομένων στο G-Cloud, ο γενικός γραμματέας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης, Δημοσθένης Αναγνωστόπουλος, εξηγεί στο ΑΠΕ-ΜΠΕ ότι λαμβάνονται πρόσθετα μέτρα ασφαλείας και για την ασφάλεια των δεδομένων αυτών από κακόβουλες επιθέσεις: «Όταν διαχειρίζεσαι κεντρικά πολλαπλά συστήματα, είναι προφανώς δυνατό να προσφέρεις καλύτερο επίπεδο ασφάλειας από αυτό που θα προσέφερε κάθε φορέας χωριστά. Αυτό ισχύει για τις υπολογιστικές και δικτυακές υποδομές, όμως κάθε φορέας που φιλοξενείται στο G-Cloud έχει ευθύνη για την ασφάλεια των εφαρμογών του» και προσθέτει ότι «προφανώς σκοπός μας είναι να μην αποκτήσει κανείς μη εξουσιοδοτημένη πρόσβαση σε οποιοδήποτε σύστημα, οποιουδήποτε φορέα. Για αυτό μεριμνούμε καθημερινά. Δεν θα μπορούσε να αποκτήσει πρόσβαση σε δεδομένα άλλου φορέα, όμως, μια και ρωτάτε, και αυτό επίσης είναι ένα από τα βασικά πλεονεκτήματα του κυβερνητικού νέφους».

Ο γενικός γραμματέας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης διευκρινίζει ακόμα ότι αν το πληροφοριακό σύστημα ενός φορέα έχει πρόβλημα, αυτό δεν σημαίνει ότι θα υπάρχουν προβλήματα σε όλα τα συστήματα των φορέων που είναι στο κυβερνητικό νέφος, «και αυτό είναι ένα από τα βασικά πλεονεκτήματα του κυβερνητικού νέφους (GCloud), σύμφωνα με όλες τις διεθνείς πρακτικές».

Αναφερόμενος στα επόμενα βήματα ο κ. Αναγνωστόπουλος αναφέρει στο ΑΠΕ-ΜΠΕ ότι αποτελεί προτεραιότητα η «συνεχώς αυξανόμενη παροχή αναβαθμισμένων υπηρεσιών προς τους πολίτες και η πιο αποδοτική λειτουργία όλων των συστημάτων της Δημόσιας Διοίκησης μέσω της φιλοξενίας τους στο κυβερνητικό νέφος της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης. Για το σκοπό αυτό, είναι απαραίτητη η διεύρυνση των τεχνολογικών υποδομών του Gcloud προκειμένου να καλύψει τις ολοένα και αυξανόμενες απαιτήσεις της Δημόσιας Διοίκησης, στην οποία όπως γνωρίζετε καλά σήμερα συντελείται ένας άνευ προηγουμένου ψηφιακός μετασχηματισμός».

Πριν λίγες ημέρες ολοκληρώθηκε η μεταφορά του Ολοκληρωμένου Πληροφοριακού Συστήματος του e-ΕΦΚΑ στις υποδομές του G-Cloud. Μετά από πολύμηνη και εντατική εργασία των δύο φορέων, το πληροφοριακό σύστημα του Οργανισμού μεταφέρθηκε από τις υποδομές εικοσαετίας του τέως ΙΚΑ στις σύγχρονες υποδομές της ΓΓΠΣΔΔ. Ο e-ΕΦΚΑ καθίσταται πλέον o δεύτερος μεγαλύτερος χρήστης του κυβερνητικού νέφους της ΓΓΠΣΔΔ, με ριζική αναβάθμιση των τεχνολογικών και υποδομών του.

Θύματα μαζικής παρακολούθησης 32 εκατομμύρια χρήστες του Google Chrome

Μέσω κακόβουλων extensions, συγκεντρώνονταν στοιχεία του ιστορικού περιήγησης και δεδομένα που παρείχαν διαπιστευτήρια για πρόσβαση σε εσωτερικά επιχειρηματικά εργαλεία

Μια νέα υπόθεση μαζικής παρακολούθησης μέσω του browser Chrome της Google αποκάλυψαν στο Reuters ερευνητές της Awake Security.

Η παρακολούθηση γινόταν μέσω κακόβουλων extensions που υποτίθεται πως προειδοποιούσαν τους χρήστες για ύποπτες ιστοσελίδες ή για τη μετατροπή αρχείων, αλλά αντί γι’ αυτό συγκέντρωναν στοιχεία του ιστορικού περιήγησης και δεδομένα που παρείχαν διαπιστευτήρια για πρόσβαση σε εσωτερικά επιχειρηματικά εργαλεία.

Η Google δήλωσε πως αφαίρεσε περισσότερα από 70 add-ons από το επίσημο Chrome Web Store όταν ενημερώθηκε σχετικά με το ζήτημα από τους ερευνητές τον προηγούμενο μήνα.

Συνολικά φαίνεται ότι βρέθηκαν στο στόχαστρο εκατομμύρια χρήστες μέσω 32 εκατ. downloads. Με βάση τον αριθμό των downloads, πρόκειται για τη μεγαλύτερη επιχείρηση κακόβουλης δραστηριότητας που έχει σημειωθεί μέχρι στιγμής, σύμφωνα με τον συνιδρυτή και επικεφαλής ερευνητή της Awake, Γκάρι Κολόμπ.

Δεν είναι σαφές ποιος βρίσκεται πίσω από την προσπάθεια διανομής του κακόβουλου λογισμικού. Κατά τον ίδιο τα extensions είχαν σχεδιαστεί για να αποφεύγουν τον εντοπισμό από τις εταιρείες antivirus ή του λογισμικού ασφαλείας που αξιολογεί τη φήμη των web domains.

Αν κάποιος χρησιμοποιούσε τον browser για να σερφάρει στο διαδίκτυο από υπολογιστή στο σπίτι του, συνδεόταν σε μια σειρά ιστοσελίδων και μετέδιδε πληροφορίες, όπως ανακάλυψαν οι ερευνητές. Όποιος χρησιμοποιούσε εταιρικό δίκτυο, που περιελάμβανε υπηρεσίες ασφαλείας, δεν μετέδιδε τις ευαίσθητες πληροφορίες ούτε είχε πρόσβαση στις κακόβουλες εκδοχές των ιστοσελίδων.

Όλα τα εν λόγω domains, περισσότερα από 15.000 συνολικά που ήταν συνδεδεμένα το ένα με το άλλο, αγοράστηκαν από την ισραηλινή εταιρεία CommuniGal Communication Ltd (Galcomm), η οποία πάντως αρνείται την εμπλοκή της.

Πηγή

Οι phishing κυβερνοεπιθέσεις αυξήθηκαν κατά 350% εν μέσω της πανδημίας του κορονοϊού

To ξέσπασμα της πανδημίας του κορονοϊού έχει αναγκάσει μια σημαντική μερίδα του πληθυσμού να καταφύγει στην τηλεργασία, ενώ ακόμη περισσότεροι είναι οι συμπολίτες μας που βασίζονται και χρησιμοποιούν το internet όλο και περισσότερο κατά την διάρκεια της καθημερινότητάς τους. Το γεγονός αυτό έχει δώσει περισσότερες ευκαιρίες στους hackers για να πραγματοποιήσουν κυβερνοεπιθέσεις μέσω κακόβουλων προγραμμάτων (malware) και phishing τεχνικών.

Σύμφωνα με μια πρόσφατη έκθεση της Google, οι hackers φαίνεται ότι μέχρι στιγμής επιτελούν με επιτυχία το έργο τους. Η Google αναφέρει ότι τον Ιανουάριο ήταν ενεργές 149.195 phishing ιστοσελίδες. Ο αριθμός τους αυξήθηκε κατά 50% τον Φεβρουάριο και πλέον για το μήνα Μάρτιο αριθμούνται 522.495 ιστοσελίδες. Παρατηρείται δηλαδή μια αύξηση της τάξεως του 350% σε σχέση με τον Ιανουάριο.

Ένας βασικός αυξητικός παράγοντας είναι οι ψεύτικες ιστοσελίδες που σχετίζονται με τον COVID-19, οι οποίες συνήθως υπόσχονται μια αποτελεσματική μορφή θεραπείας σε “αντάλλαγμα” με τα προσωπικά δεδομένα σας. Η εταιρεία κυβερνοασφάλειας RiskIQ ανίχνευσε λέξεις-κλειδιά που σχετίζονται με τον κορονοϊό σε περισσότερα από 300.000 ύποπτα COVID-19 websites, τα οποία δημιουργήθηκαν από τις 9 μέχρι και τις 23 Μαρτίου.

Η αύξηση των phishing επιθέσεων τα τελευταία χρόνια θα πρέπει να αρχίσει να μας ανησυχεί. Δυστυχώς η πλειοψηφία των χρηστών του internet εξακολουθεί να μην μπορεί να διακρίνει εάν μια ιστοσελίδα ή ένα email είναι έμπιστη ή προέρχεται από μια έμπιστη πηγή αντιστοίχως. Τη δεδομένη χρονική στιγμή που όλο και περισσότεροι χρήστες, οι οποίοι δεν είναι εξοικειωμένοι με τη χρήση της τεχνολογίας, καταφεύγουν στη χρήση του internet για ενημέρωση, ψυχαγωγία ή τηλεργασία, είναι λογικό να δημιουργείται ένα πρόσφορο έδαφος για τους hackers.

Δυστυχώς, από τη στιγμή που τα κυβερνοεγκλήματα είναι τόσο επικερδή, οι διάφοροι επιτήδειοι θα συνεχίσουν το έργο τους. Ενδεικτικά αναφέρουμε ότι το 2019 ο τζίρος των κυβερνοεπιθέσεων έφτασε τα 1.5 τρισεκατομμύρια δολάρια. Σκεφτείτε ότι ακόμη και αν αθροίσουμε συνολικά τον τζίρο τεχνολογικών κολοσσών, όπως της Apple, της Amazon, της Microsoft και του Facebook το νούμερο αυτό παραμένει απλησίαστο.

Τι μπορείτε λοιπόν να κάνετε για να προστατευτείτε από τις phishing επιθέσεις; Καταρχήν, θα πρέπει να δίνετε μεγάλη προσοχή στις ιστοσελίδες που επισκέπτεστε και κυρίως στο URL τους. Επίσης, προσοχή στην ηλεκτρονική αλληλογραφία σας. Μην ανοίγετε emails, τα οποία προέρχονται από μη έμπιστες πηγές. Εναλλακτικά, μπορείτε να καταφύγετε στην χρήση ενός VPN για να διατηρήσετε ασφαλή τα προσωπικά δεδομένα σας.

Πηγή

ΕΥΠ: Επιχείρηση θωράκισης για ψηφιακό πόλεμο

Για το ενδεχόμενο ευρείας κλίμακας ηλεκτρονικού πολέμου προετοιμάζεται η Εθνική Υπηρεσία Πληροφοριών. Με αφορμή την ένταση στην περιοχή ξεκινά να θωρακίζει κρίσιμες κυβερνητικές υποδομές από πιθανές κυβερνοεπιθέσεις. Σύμφωνα με πληροφορίες της «Κ», το αμέσως επόμενο διάστημα και για τους επόμενους μήνες η ΕΥΠ θα πραγματοποιεί ελέγχους τρωτότητας σε μία σειρά από κυβερνητικούς στόχους, όπως το Μέγαρο Μαξίμου, το Προεδρικό Μέγαρο και το υπουργείο Οικονομικών. Τα αποτελέσματα των τεστ (penetration tests) θα είναι απόρρητα και γι’ αυτά θα ενημερωθεί αρχικά η ηγεσία της κυβέρνησης. Ανάλογα με τα ευρήματα θα υπάρξουν πρωτοβουλίες για την ενίσχυση της ψηφιακής ασφάλειας των ευαίσθητων Οργανισμών. Οι διεθνείς εξελίξεις, άλλωστε, αποκαλύπτουν ολοένα και μεγαλύτερη χρήση ηλεκτρονικών όπλων σε διεθνείς συγκρούσεις και έριδες μεταξύ κρατών. Η πρόσφατη σύγκρουση Ισραήλ και Ιράν, αν και πέρασε στα «ψιλά» λόγω της πανδημίας, είναι ένα αποκαλυπτικό παράδειγμα.

Στα τέλη Απριλίου υπήρξαν σοβαρές ανωμαλίες στη λειτουργία των συστημάτων ύδρευσης και αποχέτευσης του Ισραήλ. Η αρμόδια εθνική υπηρεσία της χώρας –η αντίστοιχη ΕΥΔΑΠ– απέδωσε αρχικά το πρόβλημα σε τεχνικές δυσλειτουργίες, στη συνέχεια όμως παραδέχθηκε ότι τα συστήματά της είχαν γίνει στόχος ηλεκτρονικής επίθεσης. Στον Τύπο της χώρας υπήρξαν δημοσιεύματα που ανέφεραν ότι την επίθεση είχε εξαπολύσει το Ιράν χρησιμοποιώντας servers στις ΗΠΑ και στην Ευρώπη. Στις 9 Μαΐου το μεγαλύτερο εμπορικό λιμάνι του Ιράν, Shahid Rajaee κοντά στα στενά του Ορμούζ τέθηκε εκτός λειτουργίας ως αποτέλεσμα ευρείας κλίμακας κυβερνοεπίθεσης. Δημοσίευμα της Washington Post απέδωσε την επίθεση στο Ισραήλ, ενώ τις αποκαλύψεις επιβεβαίωσε εμμέσως ο αρχηγός του Γενικού Επιτελείου Αμυνας του Ισραήλ Αβίβ Κοτσάβι, δηλώνοντας ότι «το Ισραήλ θα συνεχίσει να δρα κατά των εχθρών του με πολλά και διαφορετικά εργαλεία».

Στην κυβέρνηση και την ΕΥΠ οι πρώτες σκέψεις για θωράκιση των κρίσιμων κυβερνητικών υποδομών για την πιθανότητα ενός ηλεκτρονικού πολέμου έγιναν τον Ιανουάριο όταν Τούρκοι κατάφεραν να θέσουν εκτός λειτουργίας κυβερνητικές ιστοσελίδες, όπως για παράδειγμα του υπουργείου Εξωτερικών, του υπουργείου Οικονομικών, της Βουλής ακόμα και της ίδιας της ΕΥΠ. Την ευθύνη εκείνων των επιθέσεων είχε αναλάβει η τουρκική ομάδα «Anka Neferler». Σε ανάρτησή της στο Facebook έγραφε: «Η Ελλάδα απειλεί την Τουρκία στο Αιγαίο και την Ανατολική Μεσόγειο. Και τώρα απειλεί τη διάσκεψη της Λιβύης». Η επίθεση δεν είχε προκαλέσει βλάβες στα ηλεκτρονικά – υπολογιστικά συστήματα των ευαίσθητων κυβερνητικών Οργανισμών, είχε όμως θορυβήσει την κυβέρνηση και την Εθνική Υπηρεσία Πληροφοριών. Το διάστημα που ακολούθησε υπήρξαν συζητήσεις ανάμεσα σε στελέχη της ΕΥΠ και της αρμόδιας αρχής του υπουργείου Ψηφιακής Πολιτικής προκειμένου να ληφθούν άμεσα μέτρα ενίσχυσης της κυβερνοασφάλειας. Η εξάπλωση του κορωνοϊού όμως και η παγκόσμια υγειονομική κρίση «πάγωσαν» προσωρινά μόνο τις εξελίξεις.

Καταγραφή προβλημάτων

Σύμφωνα με πληροφορίες της «Κ», το αμέσως επόμενο διάστημα, η ΕΥΠ, κατόπιν συνεννόησης με την Εθνική Αρχή Κυβερνοασφάλειας θα ξεκινήσει ελέγχους τρωτότητας σε δέκα «κρίσιμους» κυβερνητικούς στόχους. Στελέχη της υπηρεσίας με τη βοήθεια εξειδικευμένου προσωπικού θα πραγματοποιούν εικονικές ηλεκτρονικές επιθέσεις και απόπειρες διείσδυσης στα υπολογιστικά συστήματα υπουργείων και άλλων κρατικών φορέων. Στόχος της διαδικασίας είναι να εντοπίσουν και να καταγράψουν προβλήματα που υπάρχουν σε δύο τομείς. Ο πρώτος αφορά την πολιτική ασφάλειας των Οργανισμών: Ποιοι υπάλληλοι έχουν πρόσβαση σε συγκεκριμένους υπολογιστές; Ποιοι υπολογιστές ή servers έχουν κωδικούς ασφαλείας; Κάθε πότε οι κωδικοί αυτοί αλλάζουν; Τα προβλήματα θα επισημανθούν στις διοικήσεις των Οργανισμών ώστε να αντιμετωπιστούν άμεσα καθότι η «θεραπεία» τους δεν απαιτεί χρήματα.

Ο δεύτερος στόχος των τεστ είναι να ελεγχθεί εάν οι servers, οι ηλεκτρονικοί υπολογιστές και τα προγράμματα που χρησιμοποιούν μπορούν να ανταποκριθούν σε σύγχρονες απαιτήσεις ασφάλειας ή πρέπει να αντικατασταθούν. Υπάρχει ανησυχία ότι λόγω της δεκαετούς οικονομικής κρίσης στη χώρα τα περισσότερα από τα συστήματα είναι τεχνολογικά ξεπερασμένα και άρα ευάλωτα σε κυβερνοεπιθέσεις.

Οπως, άλλωστε, είχε αποκαλύψει η «Κ» τον Απρίλιο του 2019 το Μέγαρο Μαξίμου, το υπουργείο Εξωτερικών, η ΕΥΠ και η Ελληνική Αστυνομία υπήρξαν στόχοι κυβερνοκατασκοπείας. Σύμφωνα με διασταυρωμένες πληροφορίες οι δράστες είχαν καταφέρει να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα των κρατικών υπηρεσιών και να υποκλέψουν την ηλεκτρονική τους αλληλογραφία. Η επίθεση είχε γίνει αντιληπτή λόγω δυσλειτουργίας στη χρήση των emails, ενώ από τον έλεγχο είχε προκύψει ότι το πρόβλημα οφειλόταν σε κυβερνοεπίθεση κατά του μητρώου ονομάτων Ιντερνετ με κατάληξη .gr και .ελ, την τεχνική υποστήριξη του οποίου έχει το Ιδρυμα Τεχνολογίας Ερευνας στο Ηράκλειο της Κρήτης.

Οι έλεγχοι τρωτότητας από την ΕΥΠ θα διαρκέσουν περίπου 10 μήνες και θα περιοριστούν σε υπηρεσίες και δομές του κράτους. Για την ψηφιακή ασφάλεια των Οργανισμών κοινής ωφελείας εξάλλου, όπως είναι για παράδειγμα η ΔΕΗ ή η ΕΥΔΑΠ, αρμόδια είναι η Διεύθυνση Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Αμυνας (ΓΕΕΘΑ).

Ανταλλαγή «πυρών» από χάκερ

Σε συνέχεια των κυβερνοεπιθέσεων του περασμένου Ιανουαρίου, Τούρκοι χάκερ «έριξαν» την 7η Ιουνίου την ιστοσελίδα του Δήμου Χαλκηδόνος Θεσσαλονίκης. Αλλαξαν την όψη της πρώτης σελίδας και ανάρτησαν μια φωτογραφία του Κεμάλ Ατατούρκ με το σύνθημα «Γνωρίστε τα όριά σας». Την ευθύνη για την επίθεση ανέλαβε μια ομάδα Τούρκων χάκερ που υπογράφει ως «ο κυβερνοστρατός της Τουρκίας». Ο ιδιότυπος ηλεκτρονικός πόλεμος συνεχίστηκε, καθώς η ομάδα Anonymous Greece επιτέθηκε –ως αντίποινα– στην ιστοσελίδα του τουρκικού υπουργείου Εθνικής Αμυνας, θέτοντάς τη εκτός λειτουργίας. «Επειτα από επίθεση που δέχτηκε η Ελλάδα και συγκεκριμένα ένας δήμος (κάτι ασήμαντο για εμάς) από την Τουρκία, προχωρήσαμε και εμείς σε επίθεση. Το τουρκικό υπουργείο Εθνικής Αμυνας είναι εκτός», ανέφεραν σε ανάρτησή τους τα μέλη της ελληνικής ομάδας.

Πηγή

Κρίσιμες υποδομές τα κέντρα δεδομένων

Με επιστολές προς μέλη της Ευρωπαϊκής Επιτροπής, αλλά και προς τους επικεφαλής των κυβερνήσεων στα κράτη-μέλη, η ένωση επιχειρήσεων λειτουργίας κέντρων δεδομένων (European Union Data Center Association, EUDCA) ζητεί οι εγκαταστάσεις τους να χαρακτηρισθούν κρίσιμες υποδομές. Τα κέντρα δεδομένων (data centers), παρά τον κρίσιμο ρόλο που επιτελούν σήμερα στη λειτουργία της ψηφιακής οικονομίας, δεν αποτελούν κρίσιμες εθνικές υποδομές στη βάση της οδηγίας 2016/1148 (Network and Information Systems, NIS) αλλά και του νόμου 4577/2018 που ενσωματώνει τη σχετική οδηγία στο εθνικό θεσμικό πλαίσιο.

Οι επιστολές της EUDCA απεστάλησαν στην αντιπρόεδρο της Ευρωπαϊκής Επιτροπής Μαργκρέτε Βεστάγκερ, στον επίτροπο εσωτερικής αγοράς Τιερί Μπρετόν, στους πρέσβεις όλων των χωρών-μελών της Ε.Ε., συμπεριλαμβανομένου του πρέσβη της Ελλάδας στην Ε.Ε. Ιωάννη Βράιλα. Σε εθνικό επίπεδο, η επιστολή έχει αποσταλεί στον πρωθυπουργό Κυρ. Μητσοτάκη, στον υπουργό Προστασίας του Πολίτη Μ. Χρυσοχοΐδη και στον υφυπουργό Πολιτικής Προστασίας Γ. Χαρδαλιά, στον υπουργό Ψηφιακής Διακυβέρνησης Κυρ. Πιερρακάκη και τον γενικό γραμματέα Τηλεπικοινωνιών και Ταχυδρομείων (ΓΓΤΤ) Α. Τζωρτζακάκη. Αντίστοιχες επιστολές έχουν αποσταλεί στους ηγέτες άλλων κρατών-μελών της Ε.Ε. από τους εθνικούς συνδέσμους επιχειρήσεων.

Μέσω της επιστολής η EUDCA ζητεί κατά τη διάρκεια κάθε είδους πανδημίας, να εξαιρούνται από τα μέτρα περιορισμού της κίνησης όσοι εργάζονται στα data centers ή/και των προμηθευτών υλικών που διασφαλίζουν την απρόσκοπτη λειτουργία των κέντρων τους. Επίσης, ζητεί τα κράτη-μέλη να αντιμετωπίζουν τις υποδομές υποστήριξης της λειτουργίας του Διαδικτύου, των υπηρεσιών υπολογιστικού νέφους, φύλαξης δεδομένων και άλλων πληροφοριακών συστημάτων ως κρίσιμες εθνικές υποδομές και τέλος τα κράτη-μέλη να διατηρούν τις παρεχόμενες υπηρεσίες (π.χ. σχολεία, δημόσιες μεταφορές κ.λπ.) για τα μέλη των οικογενειών όσων εργάζονται σε κέντρα δεδομένων όσο διαρκεί η κρίση.

«Τα ιδιωτικά κέντρα δεδομένων, παρόλο που ο ρόλος τους υποβαθμίζεται, είναι κρίσιμα στην ψηφιακή υποδομή. Προσφέρουν συνεγκατάσταση, ενέργεια, διασύνδεση, ψύξη, φυσική και ψηφιακή ασφάλεια στα δεδομένα των Ευρωπαίων πολιτών και ευρωπαϊκών επιχειρήσεων», αναφέρει η επιστολή του προέδρου της EUDCA, Απόστολου Κάκκου, προς τους επιτρόπους της Ε.Ε. και τον Ελληνα πρωθυπουργό. «Η συνεχής (24×7) λειτουργία των κέντρων δεδομένων», συνεχίζει η σχετική επιστολή, «είναι κρίσιμη για τη διασφάλιση των πιο υψηλών προτύπων στη λειτουργία του τομέα περίθαλψης υγείας και της ψηφιακής οικονομίας».

Σύμφωνα με τον κ. Κάκκο, επικεφαλής του μεγαλύτερου «ουδέτερου» κέντρου δεδομένων στη χώρα μας, Lamda Hellix, η διανυόμενη πανδημική κρίση ανέδειξε το ζήτημα, καθώς σήμερα σχεδόν το σύνολο της οικονομικής δραστηριότητας έχει μεταφερθεί στα ηλεκτρονικά δίκτυα. Στο data center της εταιρείας του, όπως αναφέρει, φιλοξενείται το 80% των ηλεκτρονικών καταστημάτων που λειτουργούν στη χώρα μας. Επίσης, το ίδιο data center αποτελεί ένα από τα λιγοστά σημεία εντός της επικράτειας, στο οποίο «ανταλλάσσουν» τηλεπικοινωνιακή κίνηση εγχώριοι και διεθνείς τηλεπικοινωνιακοί πάροχοι. Μεταξύ αυτών ο ΟΤΕ, η Vodafone, η Wind, η Telefonica, η PCCW, η China Telecom, η ΤΙ Sparkle κ.ά.

Ταυτόχρονα η Lamda Hellix αποτελεί μία από τις μεγαλύτερες αποθήκες δεδομένων, όπου σε αυτήν διατηρούν αυθεντικά ή/και αντίγραφα αρχείο μεγάλοι δημόσιοι οργανισμοί και επιχειρήσεις από την Ελλάδα και το εξωτερικό. Στη χώρα μας λειτουργούν δύο τέτοια «ουδέτερα» κέντρα δεδομένων, της Lamda Hellix και της TI Sparkle (πρώην MedNautilus). «Τα data centers είτε είναι ιδιόκτητα, π.χ. της Alpha Bank, είτε παρόχων υπηρεσιών, π.χ. Lamda Hellix, απέδειξαν στην πανδημία αυτή ότι είναι 100% κρίσιμα όχι μόνο για την ψηφιακή οικονομία αλλά και για το σύνολο της οικονομίας μιας χώρας», λέει ο κ. Κάκκος.

Πηγή

Σε ισχύ από σήμερα νέοι κανόνες για τα εξωτερικά τροφοδοτικά (μετασχηματιστές συσκευών) στην ΕΕ

Ο κανονισμός της Κομισιόν σχετικά με τις εξωτερικές πηγές τροφοδοσίας που αποσκοπεί στην αύξηση της ενεργειακής αποδοτικότητας ενός φάσματος οικιακών συσκευών – από φορητούς υπολογιστές σε ηλεκτρικές οδοντόβουρτσες – θα τεθεί σε ισχύ από σήμερα, 1 Απριλίου 2020, στο πλαίσιο των μέτρων οικολογικού σχεδιασμού της ΕΕ.

Σύμφωνα με την Κομισιόν, αυτό θα έχει ως αποτέλεσμα, οι Ευρωπαίοι καταναλωτές να μπορούν να εξοικονομούν στους λογαριασμούς των νοικοκυριών τους, να βοηθούν στην επίτευξη στόχων εξοικονόμησης ενέργειας σε όλη την ΕΕ και να μειώνουν τις εκπομπές.

Οι νέοι κανόνες της ΕΕ θα καταστήσουν αυτά τα εξωτερικά τροφοδοτικά πιο ενεργειακά αποδοτικά, ευθυγραμμίζοντας τα με τα υψηλότερα πρότυπα παγκοσμίως.

Η Κομισιόν αναμένει ότι θα επιτευχθεί εξοικονόμηση ηλεκτρικής ενέργειας άνω των 4 TWh / έτος έως το 2030, αρκετή για να τροφοδοτήσει ολόκληρη τη Λετονία για ένα μήνα. Αυτό θα έχει ως αποτέλεσμα την αποφυγή εκπομπών αερίων θερμοκηπίου άνω του 1,4 εκατομμυρίων τόνων ισοδυνάμου CO2 ανά έτος από το 2030 και μετά.

Υπενθυμίζεται ότι τα εξωτερικά τροφοδοτικά είναι μετασχηματιστές ρεύματος που χρησιμοποιούνται για τη μετατροπή από εναλλασσόμενο σε συνεχές ρεύμα. Οι συσκευές εξωτερικής τροφοδοσίας χρησιμοποιούνται, για παράδειγμα, στα ηλεκτρονικά είδη ευρείας κατανάλωσης (smartphones, μεγάφωνα, συστήματα ήχου, τηλεοράσεις), προϊόντα ΤΠΕ (μόντεμ, δρομολογητές, φορητοί υπολογιστές, tablet, ηλεκτρονικές οθόνες), μικρές συσκευές κουζίνας προϊόντα (ξυριστικές μηχανές, ηλεκτρικές οδοντόβουρτσες).

Ο κανονισμός οικολογικού σχεδιασμού για τις εξωτερικές πηγές τροφοδοσίας αποτελεί μέρος μιας ευρύτερης δέσμης μέτρων που εγκρίθηκαν πέρυσι και αποτελείται από 10 κανονισμούς οικολογικού σχεδιασμού και 6 κανονισμούς για την ενεργειακή σήμανση.

Το πλήρες πακέτο αναμένεται να αποδώσει συνολικά 167 TWh τελικής εξοικονόμησης ενέργειας ετησίως έως το 2030. Αυτό ισοδυναμεί με την ετήσια κατανάλωση ενέργειας της Δανίας. Η σωρευτική εξοικονόμηση αντιστοιχεί σε μείωση άνω των 46 εκατομμυρίων τόνων ισοδυνάμου CO2 ανά έτος από το 2030 και μετά.

Πηγή

Υπουργείο Ψηφιακής Διακυβέρνησης: Οδηγίες για όσους εργάζονται από το σπίτι

Το υπουργείο Ψηφιακής Διακυβέρνησης και η Γενική Γραμματεία Τηλεπικοινωνιών και Ταχυδρομείων καλούν όσους εργάζονται από την κατοικία τους να δείχνουν αυξημένη προσοχή στα θέματα που αφορούν στην ασφάλεια των οικιακών δικτύων και του σχετικού εξοπλισμού.

Συγκεκριμένα:

• Για την αποστολή ευαίσθητων πληροφοριών προτείνεται η χρήση εφαρμογών που παρέχουν πλήρη κρυπτογράφηση (end-to-end encryption) στην επικοινωνία.

• Σε κάθε λογαριασμό που τυχόν διατηρείτε και εφόσον αυτό είναι τεχνικά εφικτό, ενεργοποιήστε τη δυνατότητα σύνδεσης με την ταυτοποίηση δύο βημάτων (Two-Factor Authentication), όπου μετά την εισαγωγή του κωδικού πρόσβασης λαμβάνετε μήνυμα SMS στο κινητό σας τηλέφωνο με έναν κωδικό τον οποίο εισάγετε σε σχετικό πεδίο. Με τον τρόπο αυτό ενισχύεται η προστασία του λογαριασμού σας από απόπειρες μη εξουσιοδοτημένης πρόσβασης.

• Επίσης, ενεργοποιήστε στο κινητό σας τηλέφωνο -και εφόσον παρέχεται η σχετική δυνατότητα- τη λειτουργία πρόσβασης σε online υπηρεσίες με χρήση βιομετρικών δεδομένων (για παράδειγμα, δακτυλικό αποτύπωμα).

• Αν πρόκειται να συμμετάσχετε σε μία τηλεδιάσκεψη μη διακινείτε τις σχετικές διευθύνσεις και οδηγίες μέσω των κοινωνικών δικτύων.

• Καλό είναι να αποφεύγεται η χρήση ανοικτών ασύρματων δικτύων, τα οποία είναι περισσότερο ευάλωτα σε εξωτερικές παρεμβάσεις και σε ενέργειες υποκλοπής των διακινούμενων δεδομένων. Σημειώνεται ωστόσο πως τα περισσότερα οικιακά δίκτυα διαθέτουν μηχανισμούς προστασίας και ελέγχου της πρόσβασης.

• Ελέγξτε ποιες συσκευές συνδέονται στο οικιακό σας δίκτυο. Αν δεν αναγνωρίζετε κάποια από αυτές, αλλάξτε τον κωδικό πρόσβασης στον router του δικτύου, καθώς και το όνομα του δικτύου (SSID) και συνδέστε τις αξιόπιστες συσκευές σας από την αρχή.

• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και λογισμικό προστασίας στον εξοπλισμό σας (routers, υπολογιστές κτλ).

• Στην περίπτωση που δεν γνωρίζετε πώς να κάνετε τις απαραίτητες αλλαγές, συμβουλευτείτε τα εγχειρίδια οδηγιών χρήσης ή ζητήστε βοήθεια από το τμήμα τεχνικής υποστήριξης του τηλεπικοινωνιακού σας παρόχου.

Χρήσιμες πληροφορίες

• Οδηγίες από το υπουργείο Ψηφιακής Διακυβέρνησης και τη Γενική Γραμματεία Τηλεπικοινωνιών & Ταχυδρομείων για την ασφαλή πρόσβαση στο διαδίκτυο

• Συμβουλές κυβερνοασφάλειας (στα αγγλικά) από τον οργανισμό ENISA για την εργασία από το σπίτι

• Infographic (στα ελληνικά) της Europol με συμβουλές για να μετατρέψετε το σπίτι σας σε οχυρό διαδικτυακής ασφάλειας

Πηγή

Θα αντέξει το Ιντερνετ τον κορωνοϊό;

Ανησυχίες ότι τα δίκτυα broadband δεν θα αντέξουν την εποχή του κορωνοϊού διατυπώνουν η ΕΕ, Αμερικανοί ειδικά και ΜΜΕ, καθώς δεκάδες εκατομμύρια εργαζόμενοι σε όλο τον κόσμο καταφεύγουν στην τηλεργασία.

Ενδεικτική είναι η χθεσινή έκκληση της ΕΕ προς το Netflix και το YouTube να περιορίσουν τις υπηρεσίες τους για να αποτρέψουν ενδεχόμενη κατάρρευση του διαδικτύου σε πολλές χώρες.

Μέχρι τώρα, οι εταιρείες τηλεπικοινωνιών ισχυρίζονταν ότι οι υφιστάμενες υποδομές Ιντερνετ μπορούν να αντέξουν την δραστική αλλαγή στην ονλάιν συμπεριφορά, ελέω κορωνοϊού, σημειώνουν σε ρεπορτάζ τους οι Financial Times. Χθες το βράδυ όμως ο Τιερί Μπρετόν, ένας από τους Ευρωπαίους επιτρόπους αρμόδιους για την ψηφιακή πολιτική, τόνισε πως οι πλατφόρμες streaming και οι εταιρείες τηλεπικοινωνίας «έχουν κοινή ευθύνη να διασφαλίσουν την ομαλή λειτουργία του διαδικτύου στη διάρκεια της κρίσης». Η ΕΕ προτείνει μεταξύ άλλων στις πλατφόρμες να αποφεύγουν την υψηλή ευκρίνεια στις υπηρεσίες τους και στους χρήστες να διαχειρίζονται υπεύθυνα την κατανάλωση δεδομένων.

Υπάρχει ο φόβος ότι οι οικιακές συνδέσεις που έχουν σχεδιαστεί για να αντιμετωπίζουν φόρτο μόνο τα βράδια, δεν θα καταφέρουν να διαχειριστούν τις μακρές μέρες των ενηλίκων σε τηλεδιασκέψεις και των παιδιών να κάνουν ονλάιν μαθήματα ή να συνδέονται για να παίξουν παιχνίδια και να παρακολουθήσουν ταινίες.

Ακόμη και κολοσσοί, όπως το Facebook παραδέχονται ότι αγωνίζονται να διαχειριστούν τις αλλαγές στην κίνηση των δικτύων. Σύμφωνα με τον Μαρκ Ζάκερμπερκ, ιδρυτή του μέσου κοινωνικής δικτύωσης, έχει πολλαπλασιαστεί η ζήτηση για συγκεκριμένες υπηρεσίες, συμπεριλαμβανομένου του διπλασιασμού κλήσεων στις εφαρμογές WhatsApp και Messenger.

Παρόμοιους προβληματισμούς εκφράζει και αρθρογράφος των New York Times που προειδοποιεί ότι «Το διαδίκτυο μας δεν είναι έτοιμο για τον κορωνοϊό». Οπως το δημόσιο σύστημα υγείας δοκιμάζεται αυτήν την περίοδο, έτσι θα δεχθούν πιέσεις οι οικιακές συνδέσεις broadband, με απρόβλεπτες συνέπειες στην πρόσβαση των φοιτητών σε πανεπιστημιακά προγράμματα διδασκαλίας αλλά και την ασφάλεια επιχειρηματικών δικτύων και δεδομένων.

Πηγή

Windows 10: H NSA αποκάλυψε ότι βρήκε σοβαρό κενό ασφαλείας στο λειτουργικό

Σε μια πρωτοφανή για μυστική υπηρεσία κίνηση που μάλλον δεν έχει προηγούμενο, η Εθνική Υπηρεσία Ασφαλείας (NSA) των ΗΠΑ αποκάλυψε δημοσίως ότι βρήκε ένα σοβαρό κενό ασφαλείας στο λειτουργικό σύστημα Windows 10 της Microsoft, το οποίο θα μπορούσαν να εκμεταλλευθούν οι χάκερ ή άλλοι κακόβουλοι παράγοντες.

Κανονικά θα περίμενε κανείς -μετά και τις αποκαλύψεις του Έντουαρντ Σνόουντεν– η NSA να αποσιωπήσει την «κερκόπορτα» και να την αξιοποιήσει δεόντως προς ίδιον όφελος.

‘Αλλωστε, η ίδια έχει στο παρελθόν κατηγορηθεί ότι έχει εκμεταλλευθεί διάφορες «τρύπες» στα προϊόντα της Microsoft για να «χακάρει» υπολογιστές-στόχους, χωρίς ποτέ να ενημερώσει την εταιρεία. Και δυστυχώς αργότερα μερικά από αυτά τα «εργαλεία» κυβερνοκατασκοπείας έπεσαν και σε χέρια κανονικών χάκερ.

Ήδη η Microsoft έσπευσε να κυκλοφορήσει ευρέως ένα «μπάλωμα» για το πρόβλημα, ενώ νωρίτερα είχε στείλει την αναβάθμιση ασφαλείας στον αμερικανικό στρατό και σε άλλους «ευαίσθητους» χρήστες με διαβάθμιση. Η NSA αποκάλυψε το κενό ασφαλείας στη διάρκεια συνέντευξης τύπου, χωρίς πάντως να διευκρινίσει πόσο καιρό γνώριζε περί αυτού, προτού το αποκαλύψει στην Microsoft. Η Υπηρεσία υποστήριξε ότι και στο παρελθόν είχε προειδοποιήσει εταιρείες για ανάλογα προβλήματα, αλλά με διακριτικό τρόπο.

Το πρόβλημα, που επηρεάζει επίσης τα Windows Server 2016 και 2019, αλλά όχι παλαιότερες εκδόσεις των Windows, υπάρχει στο πρόγραμμα crypt32.dll των Windows 10, το οποίο επιτρέπει σε προγραμματιστές να έχουν πρόσβαση σε διάφορες λειτουργίες, όπως τα ψηφιακά πιστοποιητικά που χρησιμοποιούνται για την πιστοποίηση των προγραμμάτων λογισμικού. Θεωρητικά, το κενό ασφαλείας επιτρέπει σε ένα χάκερ να καμουφλάρει κακόβουλο λογισμικό ως νόμιμο και αξιόπιστο.

Η διευθύντρια κυβερνοασφάλειας της NSA Αν Νιουμπέργκερ δήλωσε ότι η μυστική υπηρεσία αποφάσισε να γνωστοποιήσει την εμπλοκή της στο ζήτημα μετά από αίτημα της Microsoft, σύμφωνα με το BBC και το πρακτορείο Reuters. Μέχρι στιγμής, σύμφωνα με την NSA και τη Microsoft, δεν υπάρχουν ενδείξεις ότι κάποιος χάκερ έχει εκμεταλλευθεί το κενό ασφαλείας (για την ίδια την NSA, κανείς ποτέ δεν μπορεί να είναι βέβαιος…).

Όπως δήλωσε στους «Financial Times» ο Κρις Μοράλες, επικεφαλής αναλυτής της εταιρείας κυβερνοασφάλειας Vectra, «μπορεί κάλλιστα η NSA να έχει ήδη άλλες μεθόδους παραβίασης ενός συστήματος Windows, οπότε απλούστατα δεν χρειαζόταν το νέο κενό ασφαλείας».

Πηγή