Skip to content
Λιγότερο απο 1 λεπτό Διάρκεια άρθρου: Λεπτά

Deepfake στον Θ. Ντόκο: Τα κενά ασφαλείας που αποκάλυψε η φάρσα – Ειδικός μιλά στο iEidiseis

Ως εξαιρετικά σοβαρό κρίνει το ΠΑΣΟΚ το θέμα της διαρροής συζήτησης του γενικού γραμματέα εθνικής ασφάλειας Θάνου Ντόκου, ο οποίος έπεσε θύμα Ρώσων φαρσέρ. Ο ίδιος σε δηλώσεις του δικαιολογήθηκε ως εξής: «Είδα τον ομόλογό μου και ξεκίνησα να συζητάω. Ήταν ζωντανά και αντιδρούσε σε αυτά που έλεγα. Είχαν κλέψει και τη φωνή του και την εικόνα του. Αυτό είναι το ανησυχητικό. Νόμιζα ότι μιλούσα με τον Ουμέροφ», σημείωσε μεταξύ άλλων.

Ωστόσο, οι εξηγήσεις του κ. Ντόκου δεν κατευνάζουν τις αντιδράσεις, με το ΠΑΣΟΚ σε ανακοίνωση του να αναφέρει: «Μετά τη συνέντευξη του κ. Ντόκου και την προσβλητική και – περιπαικτική για την Ελλάδα ανάρτηση των φαρσέρ – η χώρα διασύρεται με ευθύνη του Πρωθυπουργού. Αφού ο κ. Μητσοτάκης δεν έχει τη στοιχειώδη ευθιξία να αποπέμψει τον κ. Ντόκο, μπορεί τουλάχιστον για λόγους ακριβολογίας να μετονομάσει τον θεσμικό του ρόλο από γενικό γραμματέα Εθνικής Ασφάλειας σε γενικό γραμματέα Εθνικής Ανασφάλειας» σημειώνει το ΠΑΣΟΚ και καταλήγει «κύριε Πρωθυπουργέ, όταν θα χρειαστεί να σηκώσετε το τηλέφωνο στις τρεις η ώρα τα ξημερώματα, τον κ. Ντόκο θα συμβουλευτείτε;».

Πέραν όμως των αναμενόμενων αντιδράσεων των κομμάτων της αντιπολίτευσης, ερωτήματα ανακύπτουν για το θεσμικό πλαίσιο και πρωτόκολλο προστασίας. «Η απουσία ενός τέτοιου ολοκληρωμένου πρωτοκόλλου μετατρέπει την κρατική επικοινωνία από θεσμικά ελεγχόμενη διαδικασία σε ιδιωτική, ανεπαρκώς προστατευμένη συνομιλία, εκθέτοντας κρίσιμους κρατικούς θεσμούς σε επιχειρήσεις κοινωνικής μηχανικής, πληροφοριακής διείσδυσης και υβριδικής αποσταθεροποίησης», τονίζει στο iEidiseis ο υποψήφιος Διδάκτορας Επιστήμης της Πληροφορικής και Δεδομένων, Βασίλης Ζωγράφος για να σπεύσει να συμπληρώσει ότι «η αποτελεσματική αντιμετώπιση επιθέσεων πλαστοπροσωπίας υψηλού επιπέδου δεν αποτελεί ζήτημα ατομικής εμπειρίας ή προσωπικής προσοχής των κρατικών λειτουργών. Συνιστά ζήτημα θεσμικής αρχιτεκτονικής ασφάλειας, πολυεπίπεδης διακυβέρνησης κινδύνων και αυστηρής τυποποίησης των διαδικασιών επικοινωνίας».

Τι συνέβη πραγματικά στην επικοινωνία

Τι πραγματικά συνέβη με την επικοινωνία του κ. Ντόκου και πόσο εύκολο είναι τελικά να «τρυπηθεί» η άμυνα και τα ευαίσθητα εθνικά θέματα; O κ. Ζωγράφος εξηγεί πως στο σύγχρονο περιβάλλον υβριδικών απειλών, η τεχνητή νοημοσύνη, τα συνθετικά πολυμέσα (synthetic media), οι επιχειρήσεις πληροφοριακής επιρροής και η κοινωνική μηχανική λειτουργούν ως πολλαπλασιαστές ισχύος, η προστασία της κρατικής ηγεσίας προϋποθέτει ένα ολοκληρωμένο οικοσύστημα ψηφιακής εμπιστοσύνης.

Αναφορικά με τον ισχυρισμό του κ. Ντόκου ότι έβλεπε το πρόσωπο και άκουγε τη φωνή του ομολόγου του ο κ. Ζωγράφος επισημαίνει «η αναγνώριση της ιδιότητας του συνομιλητή δεν μπορεί να βασίζεται αποκλειστικά στην εμφανιζόμενη ταυτότητα, στη διεύθυνση ηλεκτρονικού ταχυδρομείου ή στον αριθμό τηλεφώνου, καθώς τα στοιχεία αυτά δύνανται να παραποιηθούν με σχετική ευκολία.

Η επιβεβαίωση πρέπει να πραγματοποιείται μέσω ανεξάρτητων θεσμικών διαύλων, που έχουν προηγουμένως πιστοποιηθεί από το Υπουργείο Εξωτερικών ή άλλες αρμόδιες κρατικές αρχές», σημείωσε και τόνισε ότι σε αυτό το επίπεδο επικοινωνιών καθίσταται υποχρεωτική η Επαλήθευση μέσω Ανεξάρτητων Καναλιών «η διεθνής πρακτική κυβερνοασφάλειας επιβάλλει την εφαρμογή της αρχής της ανεξάρτητης επιβεβαίωσης (out-of-band verification). Η διαδικασία εξαλείφει τον κίνδυνο ολόκληρη η αλυσίδα επικοινωνίας να τελεί υπό τον έλεγχο του επιτιθέμενου», δηλώνει.

Ο κ. Ζωγράφος τονίζει ότι «η διεξαγωγή επικοινωνιών εθνικής σημασίας μέσω εμπορικών εφαρμογών ανταλλαγής μηνυμάτων ή κοινών υπηρεσιών τηλεδιάσκεψης δημιουργεί πολλαπλές επιφάνειες κινδύνου. Η κυβερνητική επικοινωνία πρέπει να πραγματοποιείται αποκλειστικά μέσω πιστοποιημένων κρατικών υποδομών, που ενσωματώνουν μηχανισμούς ισχυρής αυθεντικοποίησης, κρυπτογραφικής προστασίας, καταγραφής συμβάντων και συνεχούς επιτήρησης ασφαλείας. Προκαθορισμένη Διαβάθμιση Θεμάτων και Πρωτόκολλα Επικοινωνιακής Πειθαρχίας».

Απουσία θεματικών πεδίων

Σύμφωνα με τον κ. Ζωγράφο «πριν από κάθε υψηλού επιπέδου συνομιλία απαιτείται σαφής καθορισμός των θεματικών πεδίων που επιτρέπεται να συζητηθούν. Η απουσία τέτοιου πλαισίου αυξάνει σημαντικά την πιθανότητα αποκάλυψης ευαίσθητων πληροφοριών μέσω τεχνικών σταδιακής αποκόμισης πληροφοριών (elicitation), οι οποίες αποτελούν βασικό εργαλείο των επιχειρήσεων κοινωνικής μηχανικής».

Επισημαίνει δε, πως η ραγδαία εξέλιξη των τεχνολογιών παραγωγικής τεχνητής νοημοσύνης καθιστά πλέον εφικτή τη δημιουργία εξαιρετικά πειστικών συνθετικών φωνών, εικόνων και βίντεο. Η κρατική διοίκηση οφείλει να αναπτύξει εξειδικευμένα πρωτόκολλα ανίχνευσης, επαλήθευσης και αντιμετώπισης περιστατικών πλαστοπροσωπίας μέσω τεχνητής νοημοσύνης, ώστε η τεχνολογική πρόοδος να μην μετατραπεί σε παράγοντα θεσμικής ευαλωτότητας.

Καταλήγοντας ο κ. Ζωγράφος τονίζει πως «η προστασία της εθνικής ασφάλειας στην ψηφιακή εποχή δεν εξαρτάται πλέον αποκλειστικά από την ασφάλεια των πληροφοριακών συστημάτων, αλλά από την ακεραιότητα της ίδιας της θεσμικής επικοινωνίας. Οι σύγχρονες επιχειρήσεις πληροφοριακής επιρροής επιδιώκουν να εκμεταλλευθούν όχι τεχνικές ευπάθειες λογισμικού, αλλά θεσμικές, οργανωτικές και ανθρώπινες αδυναμίες.

Ως εκ τούτου, η ανάπτυξη ενός πολυεπίπεδου συστήματος ψηφιακής εμπιστοσύνης, το οποίο θα συνδυάζει τεχνολογικά, οργανωτικά, επιχειρησιακά και νομικά μέτρα, αποτελεί πλέον αναγκαία προϋπόθεση για τη διασφάλιση της κρατικής κυριαρχίας, της θεσμικής αξιοπιστίας και της εθνικής κυβερνοανθεκτικότητας».

Ακολουθεί η ανάλυση του υποψήφιου Διδάκτορα Επιστήμης Πληροφορικής και Δεδομένων κ. Βασίλη Ζωγράφου για το iEidiseis.

Θεσμικό Πλαίσιο Ανθεκτικότητας έναντι Επιχειρήσεων Πλαστοπροσωπίας, Κοινωνικής Μηχανικής και Ψηφιακής Παραπλάνησης

Η αποτελεσματική αντιμετώπιση επιθέσεων πλαστοπροσωπίας υψηλού επιπέδου δεν αποτελεί ζήτημα ατομικής εμπειρίας ή προσωπικής προσοχής των κρατικών λειτουργών. Συνιστά ζήτημα θεσμικής αρχιτεκτονικής ασφάλειας, πολυεπίπεδης διακυβέρνησης κινδύνων και αυστηρής τυποποίησης των διαδικασιών επικοινωνίας. Στο σύγχρονο περιβάλλον υβριδικών απειλών, η τεχνητή νοημοσύνη, τα συνθετικά πολυμέσα (synthetic media), οι επιχειρήσεις πληροφοριακής επιρροής και η κοινωνική μηχανική λειτουργούν ως πολλαπλασιαστές ισχύος, η προστασία της

κρατικής ηγεσίας προϋποθέτει ένα ολοκληρωμένο οικοσύστημα ψηφιακής εμπιστοσύνης.

Θεσμοθέτηση Πολυεπίπεδου Πρωτοκόλλου Ψηφιακής Ταυτοποίησης

Κάθε αίτημα επικοινωνίας προερχόμενο από αλλοδαπό κρατικό αξιωματούχο, διεθνή οργανισμό ή διπλωματική αποστολή οφείλει να υπόκειται σε προκαθορισμένη διαδικασία πολυπαραγοντικής επαλήθευσης ταυτότητας. Η αναγνώριση της ιδιότητας του συνομιλητή δεν μπορεί να βασίζεται αποκλειστικά στην εμφανιζόμενη ταυτότητα, στη διεύθυνση ηλεκτρονικού ταχυδρομείου ή στον αριθμό τηλεφώνου, καθώς τα στοιχεία αυτά δύνανται να παραποιηθούν με σχετική ευκολία. Η επιβεβαίωση πρέπει να πραγματοποιείται μέσω ανεξάρτητων θεσμικών διαύλων, που έχουν

προηγουμένως πιστοποιηθεί από το Υπουργείο Εξωτερικών ή άλλες αρμόδιες κρατικές αρχές.

Υποχρεωτική Επαλήθευση μέσω Ανεξάρτητων Καναλιών

Η διεθνής πρακτική κυβερνοασφάλειας επιβάλλει την εφαρμογή της αρχής της ανεξάρτητης επιβεβαίωσης (out-of-band verification). Κάθε αίτημα επικοινωνίας υψηλής διαβάθμισης οφείλει να επαληθεύεται μέσω διαφορετικού, ανεξάρτητου και προϋπάρχοντος διαύλου επικοινωνίας. Η διαδικασία εξαλείφει τον κίνδυνο ολόκληρη η αλυσίδα επικοινωνίας να τελεί υπό τον έλεγχο του επιτιθέμενου.

Δημιουργία Εθνικού Μητρώου Εμπιστευόμενων Θεσμικών Επαφών

Η κρατική διοίκηση οφείλει να διατηρεί κεντρικό μητρώο πιστοποιημένων διεθνών επαφών, που θα καταγράφονται κυβερνητικοί αξιωματούχοι, διπλωματικές αποστολές, διεθνείς οργανισμοί και στρατηγικοί εταίροι. Η απουσία καταχώρισης στο μητρώο θα πρέπει να συνεπάγεται την αυτόματη ενεργοποίηση πρόσθετων διαδικασιών επαλήθευσης πριν από οποιαδήποτε επικοινωνία.

Αποκλειστική Χρήση Πιστοποιημένων Κυβερνητικών Υποδομών Επικοινωνίας

Η διεξαγωγή επικοινωνιών εθνικής σημασίας μέσω εμπορικών εφαρμογών ανταλλαγής μηνυμάτων ή κοινών υπηρεσιών τηλεδιάσκεψης δημιουργεί πολλαπλές επιφάνειες κινδύνου. Η κυβερνητική επικοινωνία πρέπει να πραγματοποιείται αποκλειστικά μέσω πιστοποιημένων κρατικών υποδομών,

που ενσωματώνουν μηχανισμούς ισχυρής αυθεντικοποίησης, κρυπτογραφικής προστασίας, καταγραφής συμβάντων και συνεχούς επιτήρησης ασφαλείας.

Προκαθορισμένη Διαβάθμιση Θεμάτων και Πρωτόκολλα Επικοινωνιακής Πειθαρχίας

Πριν από κάθε υψηλού επιπέδου συνομιλία απαιτείται σαφής καθορισμός των θεματικών πεδίων που επιτρέπεται να συζητηθούν. Η απουσία τέτοιου πλαισίου αυξάνει σημαντικά την πιθανότητα αποκάλυψης ευαίσθητων πληροφοριών μέσω τεχνικών σταδιακής αποκόμισης πληροφοριών (elicitation), οι οποίες αποτελούν βασικό εργαλείο των επιχειρήσεων κοινωνικής μηχανικής.

Θεσμική Συνεπικουρία και Αρχή των Τεσσάρων Οφθαλμών

Καμία συνομιλία στρατηγικής σημασίας δεν θα πραγματοποιείται από έναν μόνο κρατικό αξιωματούχο. Η παρουσία δεύτερου πιστοποιημένου λειτουργού, είτε ως τεχνικού παρατηρητή είτε ως στελέχους ασφαλείας, μειώνει δραστικά την πιθανότητα επιτυχούς χειραγώγησης, ενισχύει τη θεσμική λογοδοσία και διασφαλίζει την αντικειμενική αποτύπωση των πραγματικών περιστατικών.

Συστηματική Εκπαίδευση της Πολιτικής και Διοικητικής Ηγεσίας στις Σύγχρονες Επιχειρήσεις Κοινωνικής Μηχανικής

Οι υψηλόβαθμοι κρατικοί λειτουργοί αποτελούν στόχους ιδιαίτερα εξειδικευμένων επιχειρήσεων κοινωνικής μηχανικής, που αξιοποιούν ψυχολογικές τεχνικές πειθούς, γνωστικές προκαταλήψεις, θεσμική πίεση και πληροφορίες ανοικτών πηγών. Η περιοδική εκπαίδευση της πολιτικής και διοικητικής ηγεσίας πρέπει να αποτελεί υποχρεωτική συνιστώσα της εθνικής στρατηγικής κυβερνοανθεκτικότητας.

Εθνικό Πλαίσιο Αντιμετώπισης Επιθέσεων Συνθετικής Νοημοσύνης (Deepfake Readiness)

Η ραγδαία εξέλιξη των τεχνολογιών παραγωγικής τεχνητής νοημοσύνης καθιστά πλέον εφικτή τη δημιουργία εξαιρετικά πειστικών συνθετικών φωνών, εικόνων και βίντεο. Η κρατική διοίκηση οφείλει να αναπτύξει εξειδικευμένα πρωτόκολλα ανίχνευσης, επαλήθευσης και αντιμετώπισης περιστατικών πλαστοπροσωπίας μέσω τεχνητής νοημοσύνης, ώστε η τεχνολογική πρόοδος να μην μετατραπεί σε παράγοντα θεσμικής ευαλωτότητας.

Θεσμοθέτηση Διαδικασίας Υποχρεωτικής Επιστροφής Κλήσης

Η αποδοχή εισερχόμενων επικοινωνιών δεν θεωρείται επαρκής διαδικασία ταυτοποίησης. Για κάθε κρίσιμη συνομιλία απαιτείται υποχρεωτική επιστροφή της κλήσης προς αριθμούς που έχουν προηγουμένως καταχωρηθεί και επαληθευθεί από τις αρμόδιες κρατικές υπηρεσίες, αποκλείοντας κάθε χρήση στοιχείων επικοινωνίας που παρέχονται από τον αιτούντα.

Προληπτικός Ψηφιακός Έλεγχος Υποδομών Επικοινωνίας

Πριν από οποιαδήποτε θεσμική επικοινωνία υψηλής ευαισθησίας πρέπει να διενεργείται τεχνικός έλεγχος των χρησιμοποιούμενων ψηφιακών υποδομών, συμπεριλαμβανομένης της αξιολόγησης των ονομάτων τομέων κυβερνοχώρου, της αυθεντικότητας των ηλεκτρονικών πιστοποιητικών, της πολιτικής ηλεκτρονικής αλληλογραφίας, της φήμης των διακομιστών και κάθε σχετικού τεχνικού

μεταδεδομένου που θα μπορούσε να υποδηλώνει επιχείρηση παραπλάνησης.

Πλήρης Ψηφιακή Καταγραφή και Διατήρηση Αποδεικτικών Στοιχείων

Οι επικοινωνίες στρατηγικού χαρακτήρα πρέπει να καταγράφονται, να αρχειοθετούνται και να διατηρούνται σύμφωνα με αυστηρές διαδικασίες διαχείρισης ψηφιακών αποδεικτικών στοιχείων. Η ύπαρξη πρωτογενούς και αδιαμφισβήτητου αρχείου προστατεύει τόσο το κράτος όσο και τα εμπλεκόμενα πρόσωπα από επιλεκτική αποσπασματική δημοσιοποίηση ή παραποιημένη παρουσίαση του περιεχομένου.

Συνεχής Δοκιμή της Θεσμικής Ανθεκτικότητας μέσω Επιχειρήσεων Προσομοίωσης

Η αποτελεσματικότητα των μηχανισμών ασφαλείας δεν αποδεικνύεται θεωρητικά αλλά

επιχειρησιακά. Η διενέργεια τακτικών ασκήσεων προσομοίωσης επιθέσεων πλαστοπροσωπίας και κοινωνικής μηχανικής, υπό ελεγχόμενες συνθήκες, επιτρέπει τον εντοπισμό οργανωτικών αδυναμιών πριν αυτές αξιοποιηθούν από πραγματικούς επιτιθέμενους.

Δημιουργία Εθνικού Κέντρου Επιτήρησης Επιχειρήσεων Ψηφιακής Πλαστοπροσωπίας

Απαιτείται η λειτουργία εξειδικευμένου επιχειρησιακού κέντρου, επιτηρώντας σε πραγματικό χρόνο περιστατικά ψηφιακής πλαστοπροσωπίας, κακόβουλης μίμησης θεσμικών προσώπων, καμπανιών παραπληροφόρησης και επιχειρήσεων πληροφοριακής επιρροής. Η συνεχής συλλογή, ανάλυση και

διαμοίραση πληροφοριών απειλών συνιστά κρίσιμο παράγοντα εθνικής κυβερνοανθεκτικότητας.

Θεσμοθετημένο Πρωτόκολλο Διαχείρισης Υβριδικών Συμβάντων

Σε περίπτωση επιτυχούς επιχείρησης εξαπάτησης, η αντίδραση του κράτους ενεργοποιείται αυτομάτως μέσω προκαθορισμένου σχεδίου διαχείρισης κρίσεων. Το σχέδιο οφείλει να περιλαμβάνει άμεση ψηφιακή πραγματογνωμοσύνη, διατήρηση των ψηφιακών πειστηρίων, τεχνική αξιολόγηση του περιστατικού, ενιαία θεσμική επικοινωνία και συντονισμό όλων των εμπλεκόμενων φορέων.

Εθνική Υποδομή Ψηφιακής Εμπιστοσύνης και Ισχυρής Αυθεντικοποίησης

Η προστασία της πολιτειακής λειτουργίας προϋποθέτει την ανάπτυξη μιας ολοκληρωμένης εθνικής υποδομής ψηφιακής εμπιστοσύνης, βασισμένης σε ισχυρή αυθεντικοποίηση, ψηφιακές ταυτότητες υψηλής διασφάλισης, προηγμένα κρυπτογραφικά πρωτόκολλα και αυστηρούς μηχανισμούς διαχείρισης ψηφιακών διαπιστευτηρίων για τον περιορισμό του ουσιαστικού κίνδυνου επιτυχούς πλαστοπροσωπίας σε επίπεδο κρατικής διοίκησης.

Η προστασία της εθνικής ασφάλειας στην ψηφιακή εποχή δεν εξαρτάται πλέον αποκλειστικά από την ασφάλεια των πληροφοριακών συστημάτων, αλλά από την ακεραιότητα της ίδιας της θεσμικής επικοινωνίας. Οι σύγχρονες επιχειρήσεις πληροφοριακής επιρροής επιδιώκουν να εκμεταλλευθούν όχι τεχνικές ευπάθειες λογισμικού, αλλά θεσμικές, οργανωτικές και ανθρώπινες αδυναμίες. Ως εκ τούτου, η ανάπτυξη ενός πολυεπίπεδου συστήματος ψηφιακής εμπιστοσύνης, το οποίο θα συνδυάζει τεχνολογικά, οργανωτικά, επιχειρησιακά και νομικά μέτρα, αποτελεί πλέον αναγκαία προϋπόθεση για τη διασφάλιση της κρατικής κυριαρχίας, της θεσμικής αξιοπιστίας και της εθνικής κυβερνοανθεκτικότητας.

Η αποτελεσματική προστασία της κρατικής λειτουργίας προϋποθέτει την ύπαρξη μιας αυστηρά τυποποιημένης αλληλουχίας διαδικασιών πριν, κατά τη διάρκεια και μετά από κάθε επικοινωνία υψηλής θεσμικής σημασίας.

Κάθε αίτημα επικοινωνίας οφείλει να ακολουθεί μια προκαθορισμένη επιχειρησιακή ροή, η οποία να περιλαμβάνει την υποβολή και καταγραφή του αιτήματος, την πολυπαραγοντική επαλήθευση της ταυτότητας του συνομιλητή, τη διπλωματική ή θεσμική επιβεβαίωση της ιδιότητάς του μέσω ανεξάρτητων κρατικών διαύλων, τον τεχνικό έλεγχο της αξιοπιστίας και της ασφάλειας του χρησιμοποιούμενου καναλιού επικοινωνίας, τον εκ των προτέρων καθορισμό του επιτρεπόμενου πλαισίου συζήτησης και του επιπέδου διαβάθμισης των πληροφοριών, την παρουσία δεύτερου πιστοποιημένου κρατικού λειτουργού για λόγους θεσμικής εποπτείας και λογοδοσίας, την ασφαλή καταγραφή και διατήρηση της επικοινωνίας ως ψηφιακού αποδεικτικού στοιχείου, καθώς και τη διενέργεια μεταγενέστερης αξιολόγησης (post-call review), με σκοπό την ανίχνευση ενδεχόμενων ενδείξεων χειραγώγησης, πλαστοπροσωπίας ή απόπειρας πληροφοριακής εκμετάλλευσης.

Η απουσία ενός τέτοιου ολοκληρωμένου πρωτοκόλλου μετατρέπει την κρατική επικοινωνία από θεσμικά ελεγχόμενη διαδικασία σε ιδιωτική, ανεπαρκώς προστατευμένη συνομιλία, εκθέτοντας κρίσιμους κρατικούς θεσμούς σε επιχειρήσεις κοινωνικής μηχανικής, πληροφοριακής διείσδυσης και υβριδικής αποσταθεροποίησης.

Το πρωτότυπο άρθρο https://www.ieidiseis.gr/politiki/813167/deepfake-ston-th-ntoko-ta-kena-asfaleias-poy-apokalypse-i-farsa-eidikos-mila-sto-ieidiseis/ ανήκει στο ΠΟΛΙΤΙΚΗ .