Ensuring Effectiveness CYBER SECURITY ΧΟΡΗΓIΑ EΚΔΟΣΗΣ
CYBER SECURITY • netweeK TRENDS Μετά την πανδηµία τι; Μετά την καταιγίδα της πανδημίας και τον ψηφιακό μετασχηματισμό η παγκόσμια κοινότητα κυβερνοασφάλειας σηκώνει το κεφάλι για να αντικρίσει ένα εντελώς νέο τοπίο, στο οποίο καλείται να χαράξει μια σίγουρη πορεία προς την αποτελεσματικότητα TRENDS 50 Κβαντικά, πλέον, τα ‘κλειδιά’ της κυβερνοασφάλειάς µας Σε μια εποχή που οι κυβερνοεπιθέσεις απειλούν ολοένα και περισσότερο κάθε ζωτικό τομέα της ψηφιακής καθημερινότητάς μας, η συμμετοχή της Ελλάδας στην ανάπτυξη μιας ευρωπαϊκής υποδομής για την παραγωγή και διανομή κβαντικών κλειδιών θα δώσει -όπως όλοι πιστεύουν- λύση σ’ αυτό το «φλέγον» θέμα CONTENTS 14 Στόχος η «Ψηφιακή Εµπιστοσύνη» Παναγιώτης Καλαντζής, Chief Information Security Officer, Omilia 18 Αποτελεσµατική επικοινωνία µε τη Διοίκηση: καινοτόµες µετρικές ασφάλειας Δρ. Δημήτριος Πατσός, Πρόεδρος, (ISC)2 Hellenic Chapter 22 Η ασφάλεια πρέπει να είναι άρρηκτα δεµένη µε τις ΙΤ υπηρεσίες Γεώργιος Τσινός, CISO, Εθνική Ασφαλιστική 24 Aσφάλεια µε επίκεντρο τον καταναλωτή Βασίλειος Βασιλείου, Επικεφαλής Ασφάλειας Πληροφοριών & Προστασίας Δεδομένων, Groupama Ασφαλιστική 28 Digital Transformation σηµαίνει και Security Transformation Λευτέρης Τζελέπης, IT Security Director, ΟΠΑΠ, ISC2 Hellenic Chapter, BoD member 32 Ανάγκη για ολοκληρωµένη στρατηγική Λευτέρης Σιαπλαούρας, Υπεύθυνος Συμμόρφωσης-Ασφάλειας Πληροφοριών, Αρχειοθήκη 36 Στόχος το cyber resilience Κωσταντίνος Παπαχριστοφής, Information Security Officer, Olympia Group 40 Τεράστια η πρόκληση της κυβερνοασφάλειας Χρήστος Συγγελάκης, Επικεφαλής Ασφάλειας Πληροφοριακών Συστημάτων, Υπεύθυνος Προστασίας Δεδομένων, Group MOTOR OIL 44 Κυβερνοασφάλεια: ένας αέναος αγώνας δρόµου Στέλλα Τσιτσούλα, Managing Director, Red Communications, Υπ. Επικοινωνίας Εθνικής Ομάδας Κυβερνοασφάλειας & Vice President Women4Cyber Greek Chapter 46 Ενσωµάτωση της Ασφάλειας Πληροφοριών στην εταιρική λειτουργία Νότης Ηλιόπουλος, Information Security & Compliance Officer, MR HealthTech Ltd 48 Δει δη δεξιοτήτων… και στην κυβερνοασφάλεια ENISA 56 CISO: Από το ΙΤ στο Board Room 6 50
οργανισµούς και κυβερνήσεις. To netweek τιµάει τον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας, αλλά και την σηµασία της διασφάλισης των πληροφοριών και των συστηµάτων για το επιχειρείν και την κοινωνία ευρύτερα, µε την ειδική έκδοση
4 netweeK • CYBER SECURITΥ EDITORIAL Η κυβερνοασφάλεια στο επίκεντρο Όσο ο ψηφιακός µετασχηµατισµός προχωράει, και όσο περισσότερο η ψηφιακή τεχνολογία µπαίνει στην καθηµερινότητα πολιτών και καταναλωτών, τόσο περισσότερο το ζήτηµα της κυβερνοασφάλειας αναδεικνύεται σε µία διαρκή προτεραιότητα για επιχειρήσεις,
που κρατάτε στα χέρια σας. ∆ώσαµε τον λόγο στους πλέον ειδικούς, στους επικεφαλής για την ασφάλεια µεγάλων ελληνικών εταιρειών, οι οποίοι καταθέτουν προβληµατισµούς, απόψεις αλλά και προτάσεις, συγκλίνοντας στο συµπέρασµα ότι η κυβερνοασφάλεια οφείλει να είναι αρωγός στην επίτευξη των εταιρικών στόχων και κοµµάτι της στρατηγικής των οργανισµών. Ο Ευρωπαϊκός Μήνας Κυβερνοασφάλειας (ECSM) είναι µια ετήσια εκστρατεία που συντονίζεται από τον Οργανισµό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και την Ευρωπαϊκή Επιτροπή κάθε Οκτώβριο από το 2012. Η εκστρατεία είναι αφιερωµένη στην ευαισθητοποίηση των πολιτών καις των οργανισµών σε ζητήµατα κυβερνοασφάλειας σε ολόκληρη την Ευρώπη, παρέχοντας ενηµερωµένες πληροφορίες για τη διαδικτυακή ασφάλεια, συµβουλές από ειδικούς και βέλτιστες πρακτικές. Ειδικότερα, η εκστρατεία του ECSM για το 2022 έχει ως στόχο να προσεγγίσει επαγγελµατίες ηλικίας 40-60 ετών από όλους τους τοµείς της οικονοµίας, µε ιδιαίτερη έµφαση στις ΜΜΕ. Προορίζεται επίσης για την ευρωπαϊκή επιχειρηµατική κοινότητα στο σύνολό της και για ενδιαφερόµενους η εργασία των οποίων εξαρτάται από ψηφιακές τεχνολογίες και εργαλεία. Ο ευρωπαϊκός µήνας κυβερνοασφάλειας 2022 (ECSM) συµπίπτει µε τη συµπλήρωση 10 ετών ύπαρξής του, από τη δροµολόγησή του το 2012. Η εκστρατεία αποτελεί πλέον αναπόσπαστο µέρος των δράσεων που αποσκοπούν στην εφαρµογή των διατάξεων της πράξης της ΕΕ για την κυβερνοασφάλεια, σχετικά µε την ευαισθητοποίηση και την εκπαίδευση. Καλή ανάγνωση ∆ΙΕΥΘΥΝΣΗ ΣΥΝΤΑΞΗΣ Αγγελική Κορρέ ΣΥΝΤΑΞΗ Γιάννης Ριζόπουλος, Βαγγέλης Βαγγελάτος ∆ΙΕΥΘΥΝΣΗ ∆ΙΑΦΗΜΙΣΗΣ Μαρία Βαλλή, mvalli@boussias.com ΥΠΟ∆ΟΧH ∆ΙΑΦHΜΙΣΗΣ Ρούλη Σαµίου, rsamiou@boussias.com ΓΡΑΦΙΣΤΙΚΗ ΕΠΙΜΕΛΕΙΑ Aλέξανδρος Καρβουτζής ΦΩΤΟΓΡΑΦΟΣ Κορνήλιος Σαραντίογλου IMAGE BANK adobestock.com ΥΠΕΥΘΥΝΗ ΚΥΚΛΟΦΟΡΙΑΣ Ρίτα Κανδάκη ΕΚΤΥΠΩΣΗ-ΒΙΒΛΙΟ∆ΕΣΙΑ Pressious Arvanitidis ΣΥΣΚΕΥΑΣΙΑ-ΕΝΘΕΣΗ-ΕΠΙΚΟΛΛΗΣΗ Presstime ΣΥΝ∆ΡΟΜΕΣ: € 99 ΛΟΓΙΣΤΗΡΙΟ Κωνσταντίνος Χασιώτης, Λίνα Γκολοµάζου, Αλέξης Σουλιώτης ΕΚ∆ΟΤΗΣ Μιχάλης Κ. Μπούσιας ∆ΙΕΥΘΥΝΤΡΙΑ ΠΕΡΙΟ∆ΙΚΩΝ ΕΚ∆ΟΣΕΩΝ Κατερίνα Πολυµερίδου ∆ΙΕΥΘΥΝΤHΣ ΣΥΝΕ∆ΡΙΩΝ & ΒΡΑΒΕΙΩΝ Νικόλας Κονδάκης ∆ΙΕΥΘΥΝΤΡΙΑ ΠΩΛΗΣΕΩΝ Νένα Γιαννακίδου GROUP ΑDVERTISING DIRECTOR Λήδα Πλατή GROUP RETAIL SALES DIRECTOR /SUBSCRIPTIONS Αµαλία Ψιλούδη CREATIVE DIRECTOR Γιώργος Τριχιάς ΕΠΙΚΟΙΝΩΝΙΑ ΒOUSSIAS ΕΠΙΚΟΙΝΩΝΙΕΣ Ε.Π.Ε. Κλεισθένους 338, Τ.Κ. 153 44, Γέρακας Τ.: 210 661 7777, F: 210 661 7778 Ε: info@netweek.gr S: http://www.boussias.com Κωδικός ΕΛΤΑ: 015952 ISSN: 2585-2388 Αγγελική Κορρέ ∆ιευθύντρια Σύνταξης
Μετά την καταιγίδα της πανδηµίας και τον ψηφιακό µετασχηµατισµό, η παγκόσµια κοινότητα κυβερνοασφάλειας σηκώνει το κεφάλι για να αντικρίσει ένα εντελώς νέο τοπίο, στο οποίο καλείται να χαράξει µια σίγουρη πορεία προς την αποτελεσµατικότητα. Του Βαγγέλη Βαγγελάτου Μετά την πανδηµία τι; 6 netweeK • CYBER SECURITΥ Π αράρτηµα της τηλεπικοινωνιακής εταιρείας Bell Canada παραδέχθηκε ότι παλεύει µε τεχνικά προβλήµατα που προκάλεσε επίθεση ransomware της οµάδας Hive, που υπέκλεψε τα προσωπικά δεδοµένα επικοινωνίας άγνωστο ακόµα πόσων χιλιάδων πελατών. Η εταιρεία διαβεβαιώνει το κοινό ότι µέσω αυτών δεν µπορούν να αποκτήσουν πρόσβαση σε τραπεζικά ή άλλα δεδοµένα. Πρόκειται για την ίδια οµάδα που λίγους µήνες πριν είχε κλέψει ευαίσθητα προσωπικά, υγειονοµικά και οικονοµικά δεδοµένα πελατών από υπηρεσία ασθενοφόρων στην Νέα Υόρκη. Ερευνητές της Microsoft και του Vectra AI ανακοίνωσαν ότι στην desktop version του collaboration app του Microsoft Teams ίσως έχει µια µικρή «security hole», αφού αποθηκεύει τα authentication tokens σε clear text και αυτά µπορεί να υποκλαπούν, οπότε οι πελάτες ίσως καλύτερα να χρησιµοποιούν την web based εκδοχή όσο η εταιρεία διορθώνει το ζήτηµα (πιθανότατα διορθωµένο µέχρι να διαβάσετε αυτές τις γραµµές). Το σύστηµα διαχείρισης δεξαµενών νερού κτιρίων και κοινοτήτων TMS300 CS της Kingspan αποδείχθηκε ευάλωτο και όπως ανακοινώθηκε από την εταιρεία µέσω του συστήµατος remote monitoring του, ίσως επιτρέψει και σε µη πιστοποιηµένους χρήστες να τροποποιήσουν τις παραµέτρους ελέγχου ποιότητας του πόσιµου νερού. Η Uber προσπαθώντας να ελέγξει τις συνέπειες της επίθεσης της οµάδας χάκερ Lapsus στη βάση δεδοµένων της διαβεβαιώνει τους χρήστες της ότι οι διαδροµές που εκτέλεσαν µέσω αυτής τελικά δεν διέρρευσαν µαζί µε τα προσωπικά τους στοιχεία. Παρόλα αυτά, έβαλε πολλαπλές αγγελίες αναζητώντας cybersecurity specialists. Και µια οµάδα ερευνητών συνεργαζόµενων κινεζικών και αµερικανικών πανεπιστηµίων κατέληξαν ότι η αντανάκλαση της οθόνης του υπολογιστή ή κινητού µας στα γυαλιά οράσεως µας µπορεί να διαβαστεί µε ευκρίνεια 75% µέσω των περισσότερων webcam που µπορούν να χακαριστούν σχετικά εύκολα µέσω των app που µας ζητούν πρόσβαση σε αυτές στο κινητό µας. Μάλιστα καθώς η ποιότητα και δυνατότητες των καµερών σε κινητά και υπολογιστές αυξάνει συνεχώς τόσο θα αυξάνει και το ποσοστό ευκρίνειας της «κλεµµένης» οθόνης. Αυτή είναι µια τυχαία επιλογή ανάµεσα στις ειδήσεις από το µέτωπο της κυβερνοασφάλειας της εβδοµάδας που η οµάδα του netweek ετοίµαζε την τελική µορφή της ειδικής έκδοσης TRENDS
Y/N?
Τώρα σηκώνει το κεφάλι και προσπαθεί να διαβάσει το νέο τοπίο. Καθώς η πανδηµία δείχνει να υποχωρεί, η περίµετρος που ξεχείλωσε για να διευκολύνει την τηλεργασία και την συνέχεια του εµπορίου και της κοινωνικής ζωής σε ψηφιακή εκδοχή δείχνει να κλείνει λιγότερο από το αναµενόµενο. Την ίδια στιγµή, ο πόλεµος στην Ουκρανία δείχνει να συνεχίζει έντονος ανάµεσα σε δύο «στρατούς» από κρατικά οργανωµένους χάκερ των αντίστοιχων κρατών. Οι Ρώσοι ξεκίνησαν χτυπώντας οργανωµένα ουκρανικές κρατικές υποδοµές και σε απάντηση η Ουκρανία δηµιούργησε το Φλεβάρη του 2022 τον εθελοντικό «κυβερνοστρατό» της Ουκρανίας -«Ukrainian ΙΤ Army» όπως τον αναφέρουν- φαίνεται να έχει καταφέρει σύµφωνα µε δηµοσιεύµατα, να περάσει στην αντεπίθεση µε πρωτοφανή κύµατα οµαδικών distributed denial of service επιθέσεων, αλλά και πρωτότυπες µορφές χτυπηµάτων τόσο ψυχολογικού πολέµου όσο και αντι-προπαγάνδας. Το σηµαντικότερο συµπέρασµα
δολάρια αξίας Ethereum. Kαι τον Απρίλιο κάποιοι κατάφεραν να εκµεταλλευτούν ένα κενό ασφαλείας στο πρωτόκολλο stablecoin Beanstalk, αποσπώντας 182 εκατοµµύρια δολάρια. Αρχές Ιουνίου η US Cybersecurity and Infrastructure Security Agency (CISA) προειδοποίησε ότι κινέζοι χάκερς µε κινεζική κρατική υποστήριξη έχουν χτυπήσει «ευαίσθητους διεθνείς στόχους» µεταξύ των οποίων κάποιοι από τους µεγαλύτερους τηλεπικοινωνιακούς παρόχους, µέσω των
ασφαλείας
Το ΙΤ τα τελευταία δύο χρόνια αναγκάστηκε να προσαρμόσει τις προδιαγραφές ασφαλείας σε συνθήκες έκτακτης ανάγκης. Τώρα σηκώνει το κεφάλι και προσπαθεί να διαβάσει το νέο τοπίο ► 7 CYBER SECURITY • netweeK που κρατάτε. Τίποτα το ιδιαίτερο, απλώς µικρά «στίγµατα» στο ραντάρ της κυβερνοασφάλειας. Που δείχνουν όµως ότι οι επιθέσεις συνεχίζονται µε αµείωτη ένταση και τίποτα δεν µένει στο απυρόβλητο αυτής της εποχής µεταβολών: από τα προσωπικά δεδοµένα, ως το πόσιµο νερό και από την τηλεργασία και την συνεργασία, ως τις µετακινήσεις. Μεταπανδηµική ασφάλεια: Reboot
Τα προηγούµενα περιστατικά είναι µεν τυχαία αλλά ενδεικτικά για την κατάσταση εκεί έξω, την δεδοµένη ιδιαίτερη για την ασφάλεια του ΙΤ στιγµή. Το παγκόσµιο ΙΤ έζησε τα τελευταία χρόνια κοσµογονικές αλλαγές και αναγκάστηκε να προσαρµόσει τις προδιαγραφές ασφαλείας του σε συνθήκες εκτάκτου ανάγκης.
όµως είναι ότι η ενεργειακή κρίση που έφερε αυτός ο πόλεµος ανοίγει νέα µέτωπα στον τοµέα της ασφάλειας, µε πολυτιµότερους στόχους τα δίκτυα ενέργειας και τις εφοδιαστικές αλυσίδες, ειδικά των τροφίµων. To 2022 σε …Κυβερνοεπιθέσεις: Target Trends και Hi-Scores Στο επίπεδο του ιδιωτικού επιχειρείν τα πράγµατα ήταν ακόµα χειρότερα για τη χρονιά που κλείνει και αρκετά περιστατικά απασχόλησαν τη διεθνή κοινότητα ΙΤ. Ανάµεσα τους ξεχώρισαν οι επιθέσεις ransomware της οµάδας Lapsus, που µε το ξεκίνηµα του 2022 χτύπησε διαδοχικά τις Nvidia, Samsung και Ubisoft. Για να κλιµακώσει ισχυρίστηκε ότι διέρρευσε κοµµάτια του πηγαίου κώδικα των Cortana και Bing της Microsoft και συνέχισε ανακοινώνοντας ότι παρείσφρησε στα συστήµατα µιας εταιρείας υπεργολάβου της authentication service, Okta. Τον Απρίλιο η οµάδα Conti χτύπησε το υπουργείο οικονοµικών της Κόστα Ρίκα παραλύοντας βασικές λειτουργίες του και συνέχισε τις επιθέσεις, στις οποίες σύντοµα συµµετείχε και η οµάδα Hive. Μέχρι τον Ιούνιο 27 υπουργεία, κρατικοί και µη οργανισµοί -µεταξύ των οποίων και το Υπουργείο Υγείας και Ασφάλισης- είχαν χτυπηθεί και η κυβέρνηση αναγκάστηκε να κηρύξει τη χώρα σε κατάσταση έκτακτης ανάγκης, πριν καλά καλά κλείσει ο Μάιος. Η εξάπλωση των decentralized finance platforms που βασίζονται σε τεχνολoγίες dlt τράβηξε το ενδιαφέρον των επιτιθέµενων. Έτσι άρχισαν να ψηλαφούν εντατικά όλα τα κενά ασφαλείας στο οικοσύστηµα των κρυπτονοµισµάτων -που αναπτύσσονται πολύ πιο γρήγορα από τα συστήµατα προστασίας τους- και η λεία τους άρχισε να µετριέται σε εκατοντάδες εκατοµµύρια δολάρια. Τέλη Μαρτίου η βορειοκορεατική οµάδα χάκερ Lazarus Group, έκλεψε Ethereum και USDC stablecoins αξίας 540 εκατοµµυρίων δολαρίων από την Ronin Network. Ένα µήνα πριν κυβερνοεγκληµατίες που παραµένουν ακόµα άγνωστοι είχαν χτυπήσει επιτυχώς την Wormhole, µε «έπαθλο» 321 εκατοµµύρια
κενών
και ιών σε routers και άλλο τηλεπικοινωνιακό εξοπλισµό. Η Cisco και η Fortinet αναφέρονται µεταξύ άλλων στις κατασκευάστριες εταιρείες του εξοπλισµού, αναµενόµενο αφού είναι οι κυρίαρχες στο χώρο. Σε άλλο παράρτηµα της ίδιας έκθεσης οι ίδιοι κινέζοι χάκερς συνδέονται µεταξύ άλλων µε τις επιθέσεις στη News Corp που αποκαλύφθηκε στις αρχές του χρόνου και στα πλαίσια της οποίας απέσπασαν απόρρητα έγγραφα και ηλεκτρονική αλληλογραφία δηµοσιογράφων και στελεχών µεταξύ άλλων της Wall Street Journal, της New York Post, της Dow Jones & Company και αρκετών Αυστραλιανών εκδόσεων. ∆ηµοφιλής στόχος έγινε φέτος το data pool των ιδιωτικών συστηµάτων υγείας. Μόνο στην επίθεση στις υποδοµές του Shields Health Care Group της Μασαχουσέτης φέτος τον Ιούνιο υποκλάπηκαν τα προσωπικά υγειονοµικά και τραπεζικά δεδοµένα δύο εκατοµµυρίων χρηστών. Ακολούθησαν ανάλογες επιθέσεις στο Baptist Health System και το Resolute Health Hospital, του Τέξας αλλά και στο Kaiser Permanente και το Yuma Regional Medical Center της Αριζόνα για θα τονίσουν το trend. Σε αυτό το κλίµα αλλά σε ευρωπαϊκό έδαφος, η ENISA (European Union Agency for Cybersecurity) το καλοκαίρι που µας πέρασε διεξήγαγε πανευρωπαϊκή άσκηση κυβερνοασφάλειας σε 29 χώρες της ΕΕ για να διαπιστώσει πόσο θα άντεχε το ευρωπαϊκό σύστηµα υγείας σε κυβερνοεπίθεση. Τα αποτελέσµατα αναµένονται.
► 10 netwee • CYBER SECURITΥ Η κυβερνοασφάλεια στην πολιτική ατζέντα Όπως ίσως ήταν αναµενόµενο οι κυβερνοεπιθέσεις στην κλιµάκωση τους διαχέονται και στην πολιτική. Όπως χαρακτηριστικά αναφέρει «τιµητικά» και το περιοδικό Wired λίγες µόλις µέρες µετά την απόφαση του Ανώτατου ∆ικαστηρίου των ΗΠΑ για τις άδειες οπλοφορίας (concealed carry law) στην Καλιφόρνια, παραβίαση δεδοµένων έδωσε στη δηµοσιότητα όλα τα στοιχεία όσων έχουν κάνει αίτηση οπλοφορίας στο Υπουργείο ∆ικαιοσύνης. Οι αντιδράσεις ήταν έντονες αφού η «αυστηροποίηση» των νόµων οπλοφορίας που ακολουθεί κάθε κύµα επιθέσεων σε σχολεία και δηµόσιους χώρους, υπόσχεται κάθε φορά εντατικότερους ελέγχους στο προφίλ των αιτούντων για άδειες οπλοφορίας. Αυτή γίνεται µέσα από την ειδική βάση δεδοµένων του Υπουργείου ∆ικαιοσύνης (εν προκειµένω στο California Department of Justice 2022 Firearms Dashboard Portal) η οποία αφότου χτυπήθηκε και τα δεδοµένα της διέρρευσαν, δεν φαίνεται και τόσο αδιάβλητη. Σε ανώτατο πολιτικό επίπεδο αυτή η διάχυση µεταφράζεται ήδη σε πολιτικές αποφάσεις που θα αλλάξουν το περιβάλλον αλλά και την κλίµακα ανάπτυξης της κυβερνοασφάλειας. Έτσι ο Αµερικανός πρόεδρος Μπάιντεν πρόσφατα ανακοίνωσε ότι ένα κονδύλι συνολικού ύψους ενός δισεκατοµµυρίου δολαρίων θα διοχετευθεί τα επόµενα τέσσερα χρόνια στις κρατικές και πολιτειακές υπηρεσίες των ΗΠΑ προκειµένου να ενισχυθεί η υποδοµή κυβερνοασφαλείας του Αµερικανικού κράτους σε κάθε επίπεδο, ώστε να µπορέσει να αντιµετωπίσει τις διαρκώς αυξανόµενες απειλές. Είχε προηγηθεί η αναφορά του FBI µε τίτλο Internet Crime Report για το 2021, στην οποία το κόστος του κυβερνοεγκλήµατος για την περασµένη χρονιά υπολογίστηκε ότι ξεπερνούσε τα 6,8 δισεκατοµµύρια δολάρια. Στην από εδώ πλευρά του Ατλαντικού η ENISA υπολόγισε ότι µόνο για το διάστηµα Μαίου 2021 µε Ιούνιο 2022, δέκα terrabytes δεδοµένων κλέβονταν σε απόπειρες ransomware κάθε µήνα, από τα οποία τα 58,2% ήταν προσωπικά δεδοµένα εργαζοµένων. Για το 94.2% των περιπτώσεων δεν θα µάθουµε ποτέ αν τα θύµατα πλήρωσαν τελικά τα λύτρα ή όχι, αν και συνήθως όταν οι διαπραγµατεύσεις αποτυγχάνουν τα δεδοµένα δηµοσιοποιούνται από τους «απαγωγείς» τους, όπως συνέβη στο 37,88% των περιπτώσεων φέτος, όπως παραδέχεται η ENISA. Για το υπόλοιπο 62,12% των περιπτώσεων µπορούµε να υποθέσουµε ότι τα κενά ασφάλειας µάλλον κόστισαν ακριβά. ΙοΤ και έξυπνες συσκευές στο µικροσκόπιο Ίσως η πιο «φρέσκια» και «ακριβή» εξέλιξη στο χώρο της κυβερνοασφάλειας αφορά το χώρο του ΙοΤ. Σύµφωνα µε την πρόταση νόµου που εξετάζεται από την Ευρωπαϊκή Επιτροπή, γνωστή ως «Cyber Resilience Act», το επόµενο πεδίο των µαχών στον πόλεµο του cyber security θα είναι όλες αυτές οι µικρές ή µικρότερες ΙοΤ συσκευές. Πίσω από την ανάγκη να συνδέσουµε το κινητό µας µε το laptop µας και να συνοµιλούν µε τον θερµοσίφωνα, το κλιµατιστικό, το αυτοκίνητο και την ηλεκτρική σκούπα ή το πλυντήριο µας, ξετυλίγεται ήδη ένα ολόκληρο δίκτυο από πιθανές κερκόπορτες στην περίµετρο κυβερνο-ασφάλειας αφού οι περισσότερες από αυτές τις συσκευές δεν έχουν προδιαγραφές ασφαλείας ανάλογες του …σουξέ τους. Γιαυτό όπως αποκάλυψε και το Reuters στα µέσα Σεπτεµβρίου, η Ευρωπαϊκή Επιτροπή σχεδιάζει στα πλαίσια του Cyber Resilience Act να αναθέσει στους ίδιους τους παραγωγούς αυτών των συσκευών την «περιφρούρηση» αυτής της ΙοΤ περιµέτρου. Πώς; Κάθε κατασκευάστρια εταιρεία έξυπνης συσκευής θα είναι υπεύθυνη και υπόλογη για την κυβερνοασφάλεια της και σε περίπτωση που θα αποτυγχάνει θα πληρώνει πρόστιµα µέχρι και 15 εκατοµµύρια ευρώ ή µέχρι και 2.5% του τζίρου της παγκοσµίως. Οι κατασκευαστές θα πρέπει να προβλέπουν τους κυβερνο- κινδύνους των προϊόντων τους και να τα διορθώνουν σε όλη την περίοδο µέχρι την προϋπολογισµένη διάρκεια ζωής τους, ή πέντε χρόνια από την πρώτη κυκλοφορία τους. Θα είναι υποχρεωµένοι να ενηµερώνουν την ENISA µέσα σε είκοσι τέσσερις ώρες από την εκδήλωση περιστατικού κυβερνοασφαλείας που εµπλέκει προϊόν τους και να παίρνουν άµεσα ανάλογα µέτρα, ενώ τόσο οι εισαγωγείς όσο TRENDS
είναι ότι η πλήρης εφαρµογή ενός τέτοιου νοµικού πλαισίου θα αλλάξει εντελώς την παραγωγή, διάθεση αλλά το κόστος της τεχνολογίας στην Ευρώπη. Αλλά και θα αµφισβητήσει και τα υπάρχοντα στάνταρ ανάπτυξης και παραγωγής τεχνολογίας συνδέοντας τα µε την κυβερνο-ασφάλεια σαν εκ κατασκευής τεχνικό χαρακτηριστικό κάθε έξυπνης συσκευής του ΙοΤ σύµπαντος που ήδη αναπτύσσεται γύρω µας. Αλλά είναι ίσως µονόδροµος. Όσο υπερβολικό και αν ακούγεται , η έρευνα της Cisco «Annual Internet Report 2018-2023» εκτιµά ότι µέχρι το 2023 θα υπάρχουν στη Γη τριπλάσιες διασυνδεδεµένες συσκευές
έρευ-
KPMG σε 500 CEOs έδειξε ότι σε ποσοστό 18% πιστεύουν ότι η µεγαλύτερη απειλή για τον οργανισµό τους είναι η ελλιπής κυβερνοασφάλεια του, ενώ το ποσοστό ήταν 10% την προηγούµενη χρονιά, ενώ η Gartner υπολογίζει ότι το 40% των ∆Σ των επιχειρήσεων θα έχουν επιτροπές κυβερνοασφάλειας ως το 2025. Για την ιστορία αυτή η ωρίµανση αυτή έρχεται σχεδόν
Σήμερα όλο και περισσότεροι ειδικοί στην κυβερνοασφάλεια λείπουν από την αγορά εργασίας. Οι ειδικοί μιλούν για 3,5 εκατ. άδειες καρέκλες στον ευρύτερο τομέα της ΙΤ ασφάλειας που θα πρέπει να «γεμίσουν» 11 CYBER SECURITY • netweeK και οι διανοµείς των προϊόντων θα πρέπει να ελέγχουν αν αυτά συµµορφώνονται µε τις ευρωπαϊκές προδιαγραφές ασφαλείας. «Θα θέσουµε την ευθύνη εκεί που θα έπρεπε να βρίσκεται, σε αυτούς που φέρνουν τα προϊόντα στην αγορά» δήλωσε η digital chief της Ευρωπαϊκής Επιτροπής Margrethe Vestager σχετικά, γιατί όπως δήλωσε και ο industry chief Thierry Breton «αµέτρητες συσκευές είναι ανοικτές στο χάκινγκ, από υπολογιστές µέχρι οικιακές συσκευές, παιχνίδια, αυτοκίνητα και βοηθοί εικονικής πραγµατικότητας θα µετατραπούν σε πιθανά σηµεία εισόδου κυβερνοεπιθέσεων». Όπως µάλιστα δήλωσε στέλεχος της επιτροπής έτσι οι εταιρείες θα γλιτώνουν από περιστατικά κυβερνοασφάλειας ετήσιου κόστους 290 δισεκατοµµυρίων ευρώ, µε ένα κόστος συµµόρφωσης που αναµένεται να φτάσει τα 29 δισεκατοµµύρια ευρώ. Αυτονόητο
από ότι άνθρωποι και πάνω από 1 τρισεκατοµµύριο διασυνδεδεµένοι αισθητήρες, οι οποίοι θα φτάσουν τα 45 τρισεκατοµµύρια στα επόµενα 15 χρόνια. Ακόµα περισσότερες µεταβλητές στην εξίσωση της κυβερνοασφάλειας Ειδικοί και µη συµφωνούν ότι οι προκλήσεις του cybersecurity αυξάνονται και µεταλλάσσονται, ανεβάζοντας συνεχώς τον πήχη στο αγώνα για την ασφάλεια. Σε µια γενικότερη άποψη του κόσµου µας αυτό είναι φυσιολογικό και ως ένα βαθµό αναµενόµενο. Ο ρυθµός του ψηφιακού µετασχηµατισµού φέρνει συνεχώς όλο και µεγαλύτερα πλήθη στον ψηφιακό κόσµο. Αυτά «γεννούν» όλο και περισσότερα δεδοµένα και διεργασίες που πρέπει να προστατευθούν και ανοίγουν συνεχώς νέα µέτωπα σε επιθέσεις όσων φιλοδοξούν να τα εκµεταλλευτούν. Απόλυτα φυσιολογικό αν αναλογιστεί κανείς τα κέρδη. Όπως έχει δηλώσει και ο Chuck Robbins, Chairman και CEO της Cisco, προκαλώντας «ζηµιές» που έφτασαν το 2021 τα 6 τρισεκατοµµύρια δολάρια, αν το κυβερνοέγκληµα ήταν χώρα, θα ήταν αυτή µε την τρίτη πιο ισχυρή οικονοµία στη Γη, µετά τις ΗΠΑ και την Κίνα. Ανάµεσα σε όλες τις εξελίξεις κάποιες νέες ξεχωρίζουν στον τρόπο που διαµορφώνουν ήδη το τοπίο της κυβερνοασφάλειας. Κυρίαρχη ίσως είναι η δυσαναλογία µε την οποία το ζήτηµα της κυβερνο ασφάλειας «τραβάει» ανθρώπους στις δύο αντίπαλες πλευρές του. Έτσι ενώ βλέπουµε όλο και περισσότερους να αντιλαµβάνονται πόσο επικερδές µπορεί να είναι το κυβερνο-έγκληµα που πιάνει νέα ποσά ρεκόρ κάθε χρονιά και να επιδίδονται σε αυτό, όλο και περισσότεροι ειδικοί στην κυβερνοασφάλεια λείπουν από την αγορά εργασίας. Οι εκτιµήσεις µιλούν για 3,5 εκατοµµύρια άδειες καρέκλες στον ευρύτερο τοµέα του cybersecurity, που θα πρέπει να «γεµίσουν» µε τρεις τρόπους. Την συνειδητοποίηση της σηµασία της κυβερνοασφάλειας ψηλά στην ιεραρχία των επιχειρήσεων σε όλους τους µεγάλους οργανισµούς και επιχειρήσεις, την κλιµάκωση της χρήσης ΑΙ κατά των κυβερνοαπειλών και την αύξηση της εκπαίδευσης του γυναικείου τµήµατος του πληθυσµού στο IT και της στροφής του από εκεί στο cybersecurity. Θετικά είναι τα σηµάδια στο κοµµάτι της ευαισθητοποίησης αφού και
να της
30 χρόνια µετά την «θεσµοθέτηση» της πρώτης θέσης CISO το 1994, από τον οικονοµικό κολοσσό Citicorp (µετέπειτα Citigroup), οποίος θα αναλάµβανε να ηγηθεί του πρώτου επίσηµου τµήµατος κυβερνοασφάλειας, που δηµιουργήθηκε µετά την επίθεση Ρώσων χάκερ στην εταιρεία. Στον αντίποδα τρεις βασικοί νέοι παράγοντες κλιµακώνουν από απρόσµενες κατευθύνσεις τις προκλήσεις που το παγκόσµιο οικοσύστηµα κυβερνοασφάλειας αντιµετωπίζει. Η χρήση όλο και περισσότερων smartphones για επαγγελµατικές υποχρεώσεις και η διασύνδεση µέσω αυτών BYOD υπολογιστών µε τις εταιρείες, αυξάνει πια εκθετικά την περίµετρο που πρέπει να προστατευθεί. Η δηµιουργία «ενός app για κάθε δουλειά» πια, προϋποθέτει την εγκατάσταση αλλά και παροχή πρόσβασης σε κινητά αλλά και υπολογιστές, που έρχεται να προσθέσει ακόµα περισσότερα σηµεία εισόδου στην παραπάνω περίµετρο. Και τέλος και αναπάντεχα η Μεγάλη Παραίτηση. Οι υπάλληλοι που σε κύµατα εγκαταλείπουν τις εταιρείες έχουν την τάση φεύγοντας να κάνουν backup τόσο δικά τους όσο και εταιρικά data σε προσωπικά -άρα ευάλωτααλλά και cloud -άρα εκτός εταιρικού ελέγχου- περιβάλλοντα. ∆ηµιουργώντας ένα ιδανικό «ξέφραγο αµπέλι» δεδοµένων που πολύ συχνά ο επιτιθέµενος δεν έχει παρά απλώς να εντοπίσει για να αποκτήσει σχετικά εύκολα εταιρικά δεδοµένα, για την ασφάλεια των οποίων δεν ευθύνεται πρακτικά κανείς.
κόσµος αλλάζει
η προστασία και ανθεκτικότητα των πληροφοριακών συστηµάτων απέναντι στις συνεχώς εξελισσόµενες
Με 140 άτοµα προσωπικό σε τέσσερις χώρες εκ των οποίων το 70% να αποτελεί εξιδεικευµένους µηχανικούς, σύµβουλους και αναλυτές, στην κυβερνοασφάλεια, η Odyssey αποτελεί το µεγαλύτερο, και πιθανώς παλαιότερο, οργανισµό στην ευρύτερη περιοχή µε ξεκάθαρη εξειδίκευση και 20ετή εµπειρία στον τοµέα της. ODYSSEY 20 ΧΡOΝΙΑ ΕΜΠΕΙΡIΑΣ, ΚΑΙΝΟΤΟΜIΑΣ ΚΑΙ ΕΞΕΙ∆IΚΕΥΣΗΣ ΣΤΗΝ ΚΥΒΕΡΝΟΑΣΦAΛΕΙΑ netweeK • CYBER SECURITY 12 Advertorial φάσµα ψηφιακών κινδύνων. Στο νέο αυτό περιβάλλον, το πλαίσιο διαχείρισης κινδύνου αλλάζει δραµατικά ενώ η έννοια της αρχιτεκτονικής περιµετρικής ασφάλειας όπως την γνωρίζουµε, δεν είναι πλέον επαρκής. ΚΥΒΕΡΝΟΠΟΛΕΜΟΣ ΚΑΙ ΚΛΙΜΑΚΩΣΗ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΩΝ Την ίδια στιγµή, ο κυβερνοπόλεµος στην Ουκρανία µε βασικούς παράγοντες την εκµετάλλευση πληροφοριών και την ακόλουθη χρήση τους για επιθέσεις ή και εκβιασµούς, ήρθε να συµβάλει στην περαιτέρω διεύρυνση του τοπίου απειλών. Συγκεκριµένα, από τα τέλη Φεβρουαρίου µέχρι και πρόσφατα, έχει παρατηρηθεί κλιµάκωση στον αριθµό των αναφερόµενων κυβερνοεπιθέσεων εναντίων ουκρανικών ιδρυµάτων, οργανισµών αλλά και του γενικού πληθυσµού. Οι state-sponsored hackers, που στην ουσία αντιπροσωπεύουν τους καλύτερους στο είδος τους, χρησιµοποιούν τις πιο εξελιγµένες τεχνικές επιθέσεων εναντίον των κρατών, τις οποίες εκµεταλλεύονται και αντιγράφουν κυβερνοεγκληµατίες, στοχεύοντας µε τη σειρά τους οργανισµούς ανά την υφήλιο µε απώτερο στόχο έκανε το οικονοµικό όφελος. Μάλιστα, σε κάποιες περιπτώΟ
συνεχώς, µε απρόβλεπτες αλλαγές που χαρακτηρίζονται από αστάθεια, αβεβαιότητα, πολυπλοκότητα αλλά και ασάφεια. Τα θέµατα κυβερνοασφάλειας,
απειλές του σύγχρονου κυβερνοχώρου είναι πλέον πιο επίκαιρα από ποτέ. Οι οργανισµοί αναζητούν τρόπους για να διασφαλίσουν την ικανότητα τους όχι µόνο να προβλέπουν και να ανταποκρίνονται σε αναδυόµενες απειλές αλλά και να µπορούν να ανακάµπτουν γρήγορα µε στόχο την κυβερνο-ανθεκτικότητα. Την ίδια στιγµή, η στρατηγική κάθε σύγχρονου οργανισµού εστιάζεται στην ψηφιακή µεταρρύθµιση, η οποία αποτελεί επιβλητική ανάγκη. Ανάµεσα στις µεγάλες προκλήσεις που εµπεριέχει ένα έργο τέτοιου µεγέθους, σηµαντικότητας αλλά και διάρκειας, βρίσκεται και η ασφάλεια της πληροφορίας ενός οργανισµού. Η πολυπλοκότητα που δηµιουργείται στο ΙΤ οικοσύστηµα από την όλο και µεγαλύτερη εξάρτηση σε τρίτους παράγοντες, όπως πάροχους υπηρεσιών Cloud και τεχνολογικών εφαρµογών, καθώς και η εδραίωση της τηλεργασίας, δηµιουργούν ένα καινούργιο σεις είναι τόσο καινοτόµες αυτές οι τεχνικές που χαρακτηρίζονται πρωτόγνωρες. Η εν λόγω γεωπολιτική κατάσταση, έκαναν την παγκόσµια κοινότητα να συνειδητοποιήσει την αναγκαιότητα και τη σηµαντικότητα της κυβερνοασφάλειας στην προστασία των πληροφοριακών συστηµάτων και στην διατήρηση της ακεραιότητας των υποδοµών. ∆ΙΑΣΦΑΛΙΖΟΝΤΑΣ ΤΗΝ ΑΝΘΕΚΤΙΚΟΤΗΤΑ ΤΗΣ ΥΠΟ∆ΟΜΗΣ ΚΑΙ ΤΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Στο νέο αυτό περιβάλλον, το πλαίσιο διαχείρισης κινδύνου αλλάζει δραµατικά, ενώ η έννοια της αρχιτεκτονικής περιµετρικής ασφάλειας όπως την γνωρίζουµε, δεν είναι πλέον επαρκής. Ταυτόχρονα, η ελάχιστη εµπειρία ή ακόµα και η άγνοια ως προς τους ψηφιακούς κινδύνους που αναδύονται, ενδέχεται να εκθέσουν ένα οργανισµό σε νέους τύπους απειλών, αυξάνοντας έτσι σηµαντικά το κίνδυνο παραβίασης της ασφάλειας των υποδοµών του. Για να αντιµετωπιστούν αυτές οι προκλήσεις, ένας οργανισµός δεν πρέπει να διαχειρίζεται µεµονωµένα ή την στιγµή που προκύπτουν τα θέµατα που αφορούν στην ασφάλεια και
ClearSkies™ Threat & Vulnerability Management Platform, Managed Security/Managed Detection & Response Services, Governance, Risk & Compliance, Threat Risk Assessment services, Cloud Security
Integrated Solutions.
CYBER SECURITY • netweeK 13 INFO Λεωφ. Μεσογείων 237, Νέο Ψυχικό Τ.Κ. 15451, Αθήνα E: info@odysseycs.com W: www.odysseycs.com, www.clearskiessa.com στη διαθεσιµότητα. Η ασφάλεια πληροφοριών πρέπει να αναγνωρίζεται και να τυγχάνει χειρισµού κατά τον καθορισµό των εταιρικών στόχων του οργανισµού και την διαµόρφωση της στρατηγικής ODYSSEY: ΣΤΡΑΤΗΓΙΚΟΣ ΣΥΝΕΡΓΑΤΗΣ ΣΤΗΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΣ ΚΑΙ ΣΤΗΝ ΑΣΦΑΛΕΙΑ ΣΤΟ CLOUD Η Odyssey ξεκίνησε στο τοµέα της κυβερνοασφάλειας πριν 20 χρόνια, σε ένα τοµέα τότε άγνωστο στον περισσότερο κόσµο, µε το διαδίκτυο να βρίσκεται ακόµη σε νηπιακή µορφή. Στόχος, να παρέχει εξειδικευµένες και ολιστικές υπηρεσίες ανίχνευσης και διαχείρισης κινδύνου στην ασφάλεια πληροφοριών, διασφαλίζοντας έτσι την βιωσιµότητα και εξέλιξη των οργανισµών. ΠΑΓΚΟΣΜΙΑ ΑΝΑΓΝΩΡΙΣΗ Η Odyssey µεταξύ άλλων, έχει βραβευτεί µε το Παγκόσµιο Data Impact Award το 2015 για την Πλατφόρµα ClearSkies™ Threat & Vulnerability Management, τα Business IT Excellence (BITE) Awards). Συµπεριλαµβάνεται επίσης στο Magic Quadrant του 2021 της Gartner στην κατηγορία Security Information and Event Management, ενώ τόσο το 2018 όσο και το 2021 κέρδισε το Βραβείο Καινοτοµίας της ΟΕΒ. Η εταιρεία είναι επίσης πιστοποιηµένη µε ISO 27001, ISO 9001 και ISO 22301 και διαπιστευµένη ως Qualified Security Assessor (QSA) από το Payment Card Industry Security Standards Council (PCI SSC). Παράλληλα έχει διακριθεί ανάµεσα στις κορυφαίες εταιρείες στον κόσµο όσο αφορά το καλύτερο εργασιακό περιβάλλον, µε το πιστοποιητικό Great Place to Work. Η εταιρεία µας παρέχει υπηρεσίες σε πελάτες σε 35 χώρες µε γραφεία σε Ελλάδα, Κύπρο, Σαουδική Αραβία και Ηνωµένο Βασίλειο. «Όραµα µας, να παρέχουµε κάτι καινοτόµο και πρωτοποριακό που να προσφέρει πραγµατική αξία στους πελάτες µας, παραµένοντας πάντα ένα βήµα µπροστά από την εποχή και το συνεχώς µεταβαλλόµενο τοπίο απειλών» Ελευθέριος Αντωνιάδης CTO & Founder, Odyssey «Όσο παρατηρούµε το πεδίο απειλών να διευρύνεται, τόσο προσπαθούµε να βγαίνουµε εκτός των ορίων µας. Στόχος µας η περαιτέρω εξάπλωσή µας στην Ευρώπη και η είσοδος µας στην αγορά των ΗΠΑ»
Christos Onoufriou
Odyssey CEO H Odyssey, αποτελεί το στρατηγικό συνεργάτη κάθε οργανισµού ως προς την διασφάλιση της ανθεκτικότητας των πληροφοριακών του συστηµάτων. ∆ιαθέτοντας την απαραίτητη τεχνογνωσία, εµπειρία και ανθρώπινο δυναµικό, αλλά και εφαρµόζοντας µια ολιστική προσέγγιση, υποστηρίζει τους οργανισµούς τόσο στην στρατηγική ασφάλειας της πληροφορίας τους όσο και στον σχεδιασµό, την εφαρµογή, τη παρακολούθηση, τη διατήρηση αλλά και τη συνεχή ενηµέρωση των αναγκαίων τεχνολογιών και διαδικασιών. Μέσω της ολιστικής της προσέγγισης, προσφέρει τις απαραίτητες λύσεις και υπηρεσίες για την αποτελεσµατική διαχείριση των Ψηφιακών Κινδύνων, σε όλες τις λειτουργικές πτυχές ενός οργανισµού (ανθρώπους, διαδικασίες, τεχνολογία) χωρίς να αφήνει επικίνδυνα «κενά ασφαλείας». Η ολιστική αυτή προσέγγιση, συµπεριλαµβάνει ένα ευρύ φάσµα κατηγοριών µε λύσεις, υπηρεσίες αλλά και προϊόντα, µεταξύ των οποίων το
και
Η ολοκληρωµένη αυτή προσέγγιση συµβάλει επίσης στη συνολική προσπάθεια διαχείρισης του Λειτουργικού Κινδύνου ενός οργανισµού, δηµιουργώντας ένα ανθεκτικό οργανισµό που µπορεί να προβλέπει αποτελεσµατικά, να ανταποκρίνεται, να ανακάµπτει γρήγορα και να προσαρµόζεται σε αναδυόµενες απειλές, διασφαλίζοντάς έτσι την επιχειρησιακή του συνέχεια.
Ο Παναγιώτης Καλαντζής, Chief Information Security Officer, Omilia, µιλάει για την κρισιµότητα της ασφάλειας στο σύγχρονο επιχειρείν και για το πώς µπορεί να επιτευχθεί Συνέντευξη στoν Βαγγέλη Βαγγελάτο Στόχος η «Ψηφιακή Εµπιστοσύνη» Παναγιώτης Καλαντζής 14 netweeK • CYBER SECURITΥ INTERVIEW netweek: Πώς θα περιγράφατε τις ιδιαιτερότητες και τις προκλήσεις στο δικό σας κλάδο και εταιρεία γύρω από το ζήτηµα της κυβερνοασφάλειας; Παναγιώτης Καλαντζής: ∆εδοµένου ότι οι απειλές στον κυβερνοχώρο αυξάνονται και µεταβάλλονται συνεχώς, η διαµόρφωση µιας εταιρικής κουλτούρας ασφάλειας και ανθεκτικότητας, η υπεύθυνη και ασφαλής διαχείριση των “Big Data”, καθώς και η συµµόρφωση µε πολυάριθµους Νόµους, Αρχές και Κανονιστικές διατάξεις σε ένα ευρύ και διαρκώς εξελισσόµενο περιβάλλον, αποτελούν πρόκληση για εµάς και τις εταιρείες του κλάδου µας. Πολύ περισσότερο, όταν εµείς βασίζουµε την ποιότητα των υπηρεσιών και προϊόντων µας σε τεχνολογίες ΑΙ, που εκ της φύσης τους απαιτούν διαρκώς αυξανόµενο όγκο δεδοµένων, αλλά και λόγω του πελατολογίου µας, που εκτείνεται σε όλον τον πλανήτη, οπότε και πρέπει να «πείσουµε» τους πελάτες για τα κορυφαία µέτρα ασφάλειας και την συµµόρφωσή µας µε πλήθος κανονιστικών απαιτήσεων
µας σε σχέση µε την απρόσκοπτη και ασφαλή λειτουργία της εταιρείας και των κρίσιµων υπηρεσιών µας, βρισκόµαστε σε µία διαρκή παρακολούθηση και αναβάθµιση του οικοσυστήµατος τεχνολογιών, υποδοµών, κανονισµών και προτύπων, µε ιδιαίτερη µέριµνα στον τοµέα της κυβερνοασφάλειας, ώστε -σε συνδυασµό µε την εκτεταµένη εξ αποστάσεως εργασία που επιβλήθηκε λόγω της πανδηµίας- να είµαστε σε θέση να προλαµβάνουµε και να αποτρέπουµε τυχόν επιθέσεις. Πρόκειται για κάτι που επιτυγχάνεται µε τον σχεδιασµό state of the art διαδικασιών, καθώς και τη χρήση τεχνολογιών ασφάλειας και προστασίας της ιδιωτικότητας, η υλοποίηση των οποίων αξιολογείται διαρκώς.
της εταιρείας, συνήθως ακούσια, όπως δείχνουν και τα τελευταία περιστατικά ασφαλείας, στα οποία καταφανώς υπήρξε ανθρώπινη εµπλοκή. Γίνεται σαφές ότι δεν αρκεί η υλοποίηση µιας στρατηγικής ελέγχου των προνοµίων των χρηστών, αλλά κρίνεται απαραίτητη η ορθή ενηµέρωση των χρηστών σε θέµατα βέλτιστων πρακτικών ασφαλείας, ώστε να είναι σε θέση να αντιλαµβάνονται και να δρουν αναλόγως σε οποιεσδήποτε τυχόν παρατυπίες. ii. Οι γενναίες επενδύσεις
οι συνθήκες ασφαλείας τα τελευταία χρόνια; Ποιες είναι βασικότερες εξελίξεις που επέδρασσαν στο καθεστώς ασφαλούς
βλέπετε
Αποτελεί σημαντικό επιχειρηματικό πλεονέκτημα να είμαστε σε θέση να ενημερωνόμαστε, να προβλέπουμε και να ανταποκρινόμαστε στις αναδυόμενες απειλές κυβερνοασφάλειας 15 CYBER SECURITY • netweeK ώστε να µας εµπιστευτούν τα δεδοµένα τους. Αποτελεί πλέον σηµαντικό επιχειρηµατικό πλεονέκτηµα για εµάς να είµαστε σε θέση να ενηµερωνόµαστε διαρκώς, να προβλέπουµε και να ανταποκρινόµαστε στις αναδυόµενες απειλές κυβερνοασφάλειας, να µπορούµε να ανακάµπτουµε γρήγορα και άµεσα από αυτές, αλλά και να παρακολουθούµε και να προσαρµοζόµαστε στο διαρκώς µεταβαλλόµενο παγκόσµιο περιβάλλον κανονιστικής συµµόρφωσης. Ποιο είναι το σηµείο/περιοχή µε το µεγαλύτερο ζήτηµα ασφαλείας για εσάς; Για την επίτευξη του ψηφιακού µετασχηµατισµού και της εξέλιξης των υπηρεσιών και προϊόντων µας, αλλά και την αδιαµφισβήτητη εµπιστοσύνη των πελατών/ συνεργατών
Πώς
να διαµορφώνονται
λειτουργίας τα τελευταία 2-3 χρόνια; Η πανδηµία και οι περιορισµοί που επιβλήθηκαν παγκοσµίως στον ιδιωτικό και το δηµόσιο τοµέα άλωσαν την µέχρι τότε προκαθορισµένη και καλά φυλασσόµενη «περίµετρο» των εταιρικών δικτύων. Τόσο η υβριδική όσο και η αποµακρυσµένη εργασία, που δείχνουν να επικρατούν, έχουν αλλάξει τα δεδοµένα στο θέµα της ασφάλειας αφήνοντας τις επιχειρήσεις εκτεθειµένες σε περισσότερες και περιπλοκότερες κυβερνοεπιθέσεις. Σε ένα τέτοιο περιβάλλον καλούµαστε διαρκώς να θωρακίζουµε τα συστήµατα, να αναβαθµίζουµε τους απαραίτητους µηχανισµούς ασφαλείας και τις εταιρικές διαδικασίες, επιµορφώνοντας φυσικά τους εργαζόµενους και τους συνεργάτες µας, των οποίων η συµβολή τους στην επίτευξη ενός ασφαλούς περιβάλοντος είναι καθοριστικής σηµασίας. Ποιοι είναι οι βασικότεροι παράγοντες, εργαλεία και τακτικές στη δηµιουργία ενός περιβάλλοντος ασφάλειας στο σύγχρονο επιχειρείν; Θεωρώντας δεδοµένη την εντυπωσιακή αύξηση του αριθµού αλλά και -ακόµα σηµαντικότερο- του βαθµού πολυπλοκότητας των απειλών που έχει να αντιµετωπίσει µια σύγχρονη εταιρεία τα τελευταία χρόνια αλλά και στα χρόνια που έρχονται, όσον αφορά στις πληροφορίες και στα πληροφοριακά της συστήµατα, η απάντηση σίγουρα πρέπει να λάβει υπόψη τους παράγοντες εκείνους που µπορούν να αυξήσουν τους επιχειρησιακούς κινδύνους των εταιρειών, και να προσπαθήσουµε να εντοπίσουµε τους τρόπους περιορισµού των κινδύνων αυτών. Οι βασικότεροι παράγοντες στη δηµιουργία ενός ασφαλούς πληροφοριακού περιβάλλοντος για µια επιχείρηση, θα µπορούσαν να θεωρηθούν: i. Οι σωστά ενηµερωµένοι χρήστες. Οι όποιοι κακόβουλοι χρειάζονται απλά µια µικρή δίοδο για να εισέλθουν και να προσβάλουν τα συστήµατά µας. ∆υστυχώς, τις περισσότερες φορές, τη δίοδο αυτή την ανοίγουν οι εσωτερικοί χρήστες
σε εργαλεία ασφάλειας. Η σε πραγµατικό χρόνο ασφάλεια των πόρων µια εταιρείας κρίνεται πλέον ιδιαιτέρως σηµαντική και απαιτεί προηγµένες λύσεις µε ενηµερώσεις σε τακτά χρονικά διαστήµατα. Οι εταιρείες που αποφασίζουν να χρησιµοποιήσουν δωρεάν ή και τεχνολογικά ξεπερασµένα εργαλεία ασφάλειας, βάζουν σε σοβαρό κίνδυνο τα συστήµατά τους, από τη στιγµή που η δυνατότητα έγκαιρης ανίχνευσης µιας απροσδόκητης απειλής είναι σαφώς περιορισµένη στα εν λόγω εργαλεία. iii. Η ορθή προτεραιοποίηση στην αντιµετώπιση των απειλών και η επίτευξη επιχειρησιακής ανθεκτικότητας. Στο σύγχρονο επιχειρησιακό περιβάλλον, όπου η πολυπλοκότητα είναι ενδηµική, το ερώτηµα πια δεν είναι αν ο οργανισµός θα πέσει θύµα κυβερνοεπιθέσεων, αλλά το πότε, όπως επίσης και το πόσο γρήγορα θα επιτύχει την ανάκαµψη. Για την επιτυχία του στόχου αυτού, είναι απαραίτητη η ορθή αξιολόγηση της αξίας των πόρων του οργανισµού, καθώς και η κατηγοριοποίηση των ρίσκων που αυτά αντιµετωπίζουν. Με δεδοµένο ότι οι πόροι που έχουµε στα χέρια µας για την άµυνα του οργανισµού µας δεν είναι απεριόριστοι, είµαστε υποχρεωµένοι να προτεραιοποιήσουµε την προστασία αυτών σε υψηλότερο κίνδυνο. Επιπρόσθετα, λόγω του ότι για την επιτυχή ανάκαµψη, πρωταρχικό ρόλο παίζουν τα κρίσιµα δεδοµένα του οργανισµού, απαιτείται να δίνουµε τη δέουσα σηµασία στη δηµιουργία ενός συστήµατος δηµιουργίας αντιγράφων
16 netweeK • CYBER SECURITΥ INTERVIEW ασφαλείας, το οποίο θα καλύπτει πλήρως τις ανάγκες µας και θα συµβαδίζει µε τα σχέδια ανθεκτικότητας, καθώς και µε τα στρατηγικά πλάνα ανάκτησης των πληροφοριακών συστηµάτων και επιχειρησιακής συνέχειας. Οφείλουν όλες οι σύγχρονες εταιρείες να επενδύσουν σοβαρά (βλ. παραπάνω) και να υλοποιήσουν αυτοµατοποιηµένες λύσεις, οι οποίες, µάλιστα, θα είναι σε θέση να κρυπτογραφούν τα δεδοµένα, θα προστατεύουν τη φυσική ακεραιότητα της µονάδας αποθήκευσης, καθώς και θα επιτρέπουν την ανάκτηση των πληροφοριών ζωικής σηµασίας προτού αυτές διακυβευτούν. Γενικότερα, θα πρέπει η Αξία της ασφάλειας των πληροφοριών να επικοινωνηθεί προς όλες τις επιχειρησιακές µονάδες, (πρωτίστως) προς το ∆ιοικητικό Συµβούλιο έως και προς τον κάθε υπάλληλο/συνεργάτη/προµηθευτή/ κλπ., καθώς και να ενσωµατωθεί ως ένας από τους κεντρικούς άξονες σε κάθε κύρια επιχειρησιακή λειτουργία (π.χ., ανάπτυξη εφαρµογών, συστηµάτων, προϊόντων, αλλά και επιλογή προµηθευτών, marketing, πωλήσεις κλπ.). Ποια πιστεύετε πως θα πρέπει να είναι η γενικότερη φιλοσοφία του σύγχρονου ΙΤ απέναντι στο ζήτηµα της ασφάλειας; Ο κυβερνοχώρος θεωρείται ο πέµπτος πολεµικός τοµέας, εξίσου σηµαντικός για τις στρατιωτικές επιχειρήσεις στην ξηρά, τη θάλασσα, τον αέρα και το διάστηµα. Είναι επίσης γεγονός ότι οι οργανισµοί πολλές φορές είναι παράπλευρες απώλειες τέτοιων επιχειρήσεων όπως έχει δείξει το πρόσφατο παρελθόν. Πρόκειται για έναν τοµέα που καλύπτει από τα δίκτυα πληροφοριών και τηλεπικοινωνιών, τις υποδοµές, έως τα υπολογιστικά συστήµατα και τα δεδοµένα που αυτά επεξεργάζονται. Το ΙΤ παρέχοντας σύγχρονα συστήµατα ανάλυσης και επεξεργασίας δεδοµένων (Data Analytics) και αξιοποιώντας ευρέως πλέον το υπολογιστικό νέφος (Cloud) καθώς και εργαλεία Τεχνητής Νοηµοσύνης και Μηχανικής Μάθησης, θα πρέπει να έχει ως αρχή του τη δηµιουργία πρόσθετης αξίας από τα δεδοµένα προς όφελος όλων, µε σκοπό την ανάπτυξη σύγχρονων, εξατοµικευµένων και ποιοτικών προϊόντων και υπηρεσιών, και µε επίκεντρο πάντα τις αρχές ασφάλειας δεδοµένων, που είναι η εµπιστευτικότητα, ακεραιότητα και διαθεσιµότητα (CIA triad). Αν έπρεπε να διαλέξετε µία και µόνη λέξη που να χαρακτηρίσει τους στόχους των ειδικών της κυβερνο-ασφάλειας για το άµεσο µέλλον ποια θα ήταν; Στο πλαίσιο ενός (σύγχρονου) περιβάλλοντος και µιας (δυτικής) κοινωνίας, η οποία πλέον έχει φτάσει στα όρια του «τεχνολογικού εθισµού», όντας συνεχώς συνδεδεµένη στο διαδίκτυο και (ακούσια ή εκούσια) επεξεργάζεται και ανταλλάσσει δεδοµένα, θα πρέπει όλοι να κατανοήσουµε από τη µία τις απίστευτες ευκαιρίες για γνώση, µάθηση, ανάπτυξη, εξέλιξη, αλλά και, από την άλλη τις ευκαιρίες και δυνατότητες που δίνονται σε κακόβουλα µέρη να εκµεταλλευτούν τη συγκεκριµένη κατάσταση, επιζητώντας κάθε είδους κέρδος. Επιπλέον, στις µέρες µας µιλάµε για τοµείς ζωτικής σηµασίας και κρίσιµες υποδοµές (ενέργεια, µεταφορές, υγεία, κ.ά.) οι οποίες, από τη στιγµή που επικοινωνούν διαδικτυακά, κρίνονται ως επιρρεπής σε κυβερνο-επιθέσεις. Οι ειδικοί στην κυβερνοασφάλεια έχουν σίγουρα δύσκολο έργο. Θα πρέπει -κόντρα σε ό,τι φαίνεται να ισχύει τόσα χρόνια- να βρίσκονται ένα βήµα πιο µπροστά από καθετί κακόβουλο. Θα πρέπει, καταρχάς, και από τη στιγµή που µιλάµε για πολλές διαφορετικές ειδικότητες, να βρίσκονται σε συνεχή και άρτια συνεργασία µεταξύ τους ώστε να αντιµετωπίσουν το θέµα από όλες τις πτυχές του: τεχνική (εφαρµογές, δίκτυα, βάσεις δεδοµένων, H/W, cloud, IoT), νοµική / κανονιστική, θεωρητική, ηθική, κλπ.. Ο κύριος στόχος τους όµως, σε κάθε περίπτωση, από όποια σκοπιά κι αν βρίσκονται, θα πρέπει να είναι η (ψηφιακή, αλλά και φυσική) ασφάλεια και η ευηµερία όλων µας. Για το λόγο αυτό, θα πρέπει να διατηρούν πάντοτε την ανεξαρτησία τους, να παρέχουν τα εργαλεία ώστε όλοι να µπορούν να προφυλάσσουν την ιδιωτικότητά τους και την ασφάλεια των συναλλαγών τους, ώστε να φτάσουµε στο σηµείο να µιλάµε για (Ψηφιακή) Εµπιστοσύνη (“Digital Trust”).
Ο χώρος της κυβερνοασφάλειας χαρακτηρίζεται από αυξηµένη τεχνική ποπυπλοκότητα, πληθώρα τεχνικών και οργανωτικών µέτρων, εκτεταµένες µεθόδους ανάλυσης επικινδυνότητας, κλπ. Του Δρ. Δηµήτριου Πατσού, M.Sc., CISSP, CISM, CCSK, CDPSE, Πρόεδρος, (ISC)2 Hellenic Chapter, Sr. Specialist, Cyber Security, Microsoſt Αποτελεσµατική επικοινωνία µε τη ∆ιοίκηση: καινοτόµες µετρικές ασφάλειας ∆ηµήτριος Πατσός 18 netweeK • CYBER SECURITΥ Ω στόσο, ακόµα και τα πλέον έµπειρα στελέχη του χώρου δυσκολεύονται αρκετά να απαντήσουν -µε ποσοτικό και µετρήσιµο τρόποαπλές ερωτήσεις της ∆ιοίκησης σχετικά µε τo πόσο ασφαλής (ή ανθεκτική) είναι η επιχείρηση έναντι ψηφιακών επιθέσεων, ποιο είναι το πραγµατικό κόστος ανάκαµψης από µια κυβερνοεπίθεση, κλπ. Στην πλειονότητα των οργανισµών, η προσέγγιση που ακολουθείται είναι η ποσοτική µέτρηση διαφόρων τεχνικών παραµέτρων (π.χ. πλήθος αποτυχηµένων επιθέσεων, ποσοστό αδυναµιών ασφάλειας σε σχέση µε µια παρελθούσα περίοδο, αριθµός χρηστών που ολοκληρώνουν επιτυχώς την απαραίτητη εκπαίδευση, κλπ.), ώστε να απεικονισθεί ποιοτικά ο βαθµός επικινδυνότητας (υψηλός, µέτριος, χαµηλός) για µια χρονική περίοδο. Η πράξη και η εµπειρία έχει δείξει πως η παραπάνω προσέγγιση, αν και αρκετά απαιτητική και πιθανότατα ουσιώδης για τις οµάδες κυβερνοασφάλειας, δεν βρίσκει την αναµενόµενη ανταπόκριση από τη ∆ιοίκηση, καθώς δεν απαντά στις προαναφερόµενες ερωτήσεις µε άµεσο και ποσοτικό τρόπο. Με άλλα λόγια, συνήθως, µετράµε ό,τι µπορούµε να µετρήσουµε και όχι ό,τι πραγµατικά «µετράει» για την ασφάλεια µιας επιχείρησης. Η ανθεκτικότητα έναντι των κυβερνοεπιθέσεων (cyber resilience) δεν αποτελεί, πλέον, αποκλειστική ευθύνη του τµήµατος ασφάλειας, µιας και εµπλέκονται -άµεσα ή έµµεσα- πολλά και διαφορά τµήµατα αλλά και η ∆ιοίκηση του Οργανισµού. Στα παρακάτω προτείνουµε µια θαραλλέα και ταυτόχρονα αναθεωρητική οπτική των µετρικών ασφάλειας, µε γνώµονα την ποσοτικοποίηση κρίσιµων επιχειρηµατικών παραµέτρων, ώστε ο διάλογος µε τη ∆ιοίκηση να γίνει περισσότερο παραγωγικός. Ικανότητα αυτοµατοποιηµένης αναπαραγωγής της υποδοµής Μεγάλο, πλέον, ποσοστό των υποδοµών µιας επιχείρησης (είτε βρίσκονται on-premises, είτε στο cloud) βασίζεται σε λογισµικό (software defined). Αυτό επιτρέπει αφενός την ταχύτατη αναπαραγωγή της υποδοµής (σε περίπτωση επίθεσης) και αφετέρου τη διασφάλιση ότι οι πολιτικές/ µηχανισµοί ασφάλειας έχουν εγκατασταθεί και παραµετροποιηθεί επιτυχώς (ιδιαίτερα όταν χρησιµοποιούνται τεχνικές infrastructure-as-code/policy-as-code/security-as-code). ANALYSIS
ταινία,
σε δίσκους, είτε σε οποιοδήποτε άλλο µέσο). Υπάρχουν πολλές και ουσιώδεις διαφορές µεταξύ της συµβατικής διαδικασίας backup/restore έναντι της διαδικασίας rebuild/reboot. Σε πολλές περιπτώσεις, ιδιαίτερα σε επιθέσεις τύπου ransomware, η επαναφορά των αρχείων µιας επιχείρησης µέσω της διαδικασίας backup/restore δεν είναι αρκετή, ακόµα και όταν τα αρχεία αυτά είναι αξιόπιστα, καθώς απαιτούνται πολλές άλλες ενέργειες ώστε να επανεκκινηθεί η εταιρεία (επικαιροποιηµένοι drivers, κατάλογος λογισµικού και patches, επικαιροποιηµένη CMDB και αρχεία configuration, παραµετροποίηση προσβάσεων και διαχείρισης του identity, ενεργοποίηση break-glass accounts, παράλληλα περιβάλλοντα δοκιµών, κλπ). Προφανώς, η µέτρηση του χρόνου αυτού (π.χ. ηµέρες/ ώρες) είναι µια (πάρα) πολύ δύσκολη αλλά και σύνθετη διαδικασία και πιθανότατα η όλη προσπάθεια να χαρακτηρίζεται αντισυµβατική (ή
να ανιχνεύσουν ή/και να σταµατήσουν µια επίθεση όσο πιο νωρίς γίνεται στις γραµµές άµυνας µιας επιχείρησης (π.χ. στην περίπτωση του σεναρίου µεταφοράς malware µέσω της υπηρεσίας email είναι προτιµότερο να σταµατήσει µια επίθεση στο mail relay µιας επιχείρησης σε σχέση µε το να σταµατήσει από τον µηχανισµό ασφάλειας που βρίσκεται στο τερµατικό του χρήστη).
19 CYBER SECURITY • netweeK Η µέτρηση (και η ποιοτική αξιολόγηση) του ποσοστού αυτού επιτρέπει τη βελτίωση των χρόνων RPO/RTO, εξυπηρετεί την ποσοτική αποτύπωση των σεναρίων δοκιµής της επιχειρησιακής συνέχειας, ενώ συµβάλλει -ταυτόχρονα- στη βελτίωση της ανθεκτικότητας των οργανισµών. Η αντίστοιχη µέτρηση και αξιολόγηση του ποσοστού του λογισµικού που µπορεί να αναπαραχθεί µε αυτοµατοποιηµένους τρόπους (π.χ. µέσω CI/CD pipelines ή αντίστοιχους τρόπους), αν και πολύ πιο δύσκολη, έχει ακόµα µεγαλύτερα οφέλη, µιας και αποτυπώνει την προσαρµοστικότητα µιας επιχείρησης σε σενάρια κυβερνοεπιθέσεων, καθώς και πολλαπλών άλλων παραγόντων που επηρεάζουν την αποδοτικότητα των υπηρεσιών που προσφέρει. Χρόνος επανεκκίνησης της εταιρείας Το χειρότερο δυνατό σενάριο σε µια κυβερνοεπίθεση είναι να χρειαστεί να ξαναχτίσουµε τα πάντα από την αρχή: είτε µε κενά συστήµατα (bare metal) στο datacenter µας (ή/και «κενά» workloads σε έναν cloud provider) και τα αντίστοιχα -ελεγµένα ως προς την ακεραιότητα - αρχεία backup (είτε σε
είτε
και εξωπραγµατική), αξίζει όµως να µας προβληµατίσει, µιας και στη µετρική αυτή µπορεί σχετικά εύκολα να αποτυπωθεί το πραγµατικό κόστος της επίπτωσης µιας κυβερνοεπίθεσης. Συνήθως, η ∆ιοίκηση µιας εταιρείας γνωρίζει το κόστος λειτουργίας (ή διακοπής) των υπηρεσιών της για µια χρονική περίοδο, ενώ αρκετές στρατηγικές αποφάσεις εξαρτώνται από αυτό. Επίσης, η εν λόγω µετρική αποτελεί ένα ιδιαίτερα σηµαντικό σηµείο αναφοράς στο διάλογο αξιολόγησης πρόσθετων επενδύσεων ή άλλων στρατηγικών συζητήσεων εντός της εταιρείας. Η τεχνολογία παρέχει σήµερα πολλά και ενδιαφέροντα εργαλεία που επιτρέπουν την ταχύτατη ανάκαµψη µιας επιχείρησης από µια καταστροφική κυβερνοεπίθεση (για παράδειγµα τα τερµατικά που διαχειρίζονται από το cloud µπορούν να διαρµορφωθούν εξαρχής -και µαζικά- σε δραµατικά µικρότερους χρόνους από ότι στο παρελθόν, χωρίς να απαιτείται φυσική παρουσία της τερµατικής συσκευής στις εγκαταστάσεις µιας επιχείρησης), ενώ -όπως προαναφέρθηκε- υπάρχουν πολλαπλές διαθέσιµες τεχνικές αυτοµατοποιηµένης αναπαραγωγής της υποδοµής (και του λογισµικού). Ποσοστό συστηµάτων πέραν-επισκευής Σχεδόν σε κάθε οργανισµό υπάρχουν συστήµατα ή εφαρµογ ές που θεωρούνται πλέον ξεπερασµένα (outdated) και δεν επιδέχονται αναβαθµίσεων λειτουργικότητας και ασφάλειας. Τα συστήµατα αυτά αφενός δεν διαθέτουν καµµία εξασφάλιση της υπηρεσίας που παρέχουν (SLA) και αφετέρου αποτελούν τον πλέον εύκολο (και καταστροφικό) στόχο σε µια κυβερνοεπίθεση. Συνήθως, τα συστήµατα αυτά επιτελούν συγκεκριµένες -και σε αρκετές περιπτώσεις κοµβικές- επιχειρηµατικές λειτουργίες και η αντικατάστασή τους θεωρείται δύσκολη και ιδιαίτερα κοστοβόρα. Η µέτρηση του ποσοστού των συστηµάτων Πέραν-Επισκευής (ή για να ακριβολογούµε «συντήρησης») και του κόστους αυτού αποτελεί µια πρώτης τάξης µετρική, µιας και µπορεί άµεσα να αποτυπωθεί ποσοτικά ο λόγος κόστους/απόδοσης ή ρίσκου και να παράγει πολύ χρήσιµα συµπεράσµατα. Βαθµός βάθους αντιµέτρων Η έ ννοια του defense-in-depth είναι γνωστή και έχει αναλυθεί εκτενώς. Η έννοια του depth-in-defense, ωστόσο, στοχεύει στο να αποτυπώσει την ανθεκτικότητα και αποτελεσµατικόητα των αντιµέτρων µιας επιχείρησης σε ένα σενάριο επίθεσης. Στόχος εδώ είναι να αξιολογηθεί η ικανότητα των µηχανισµών ασφάλειας
Η αποτύπωση του βαθµού βάθους των αντιµέτρων βοηθάει, εκτός των άλλων, στην αξιολόγηση των υπαρχόντων επενδύσεων καθώς και τη γενικότερη στρατηγική ασφάλειας (π.χ. outsourcing της υπηρεσίας email µε συγκεκριµένο Service Level Agreement, outsourcing της λειτουργίας επιτήρησης – monitoring, κ.ά.). Αντί επιλόγου Ε κτός των παραπάνω, άλλες ενδιαφέροντες µετρικές περιλαµβάνουν το ποσοστό των επιχειρηµατικών λειτουργιών που µπορούν να λειτουργήσουν χωρίς πληροφοριακά συστήµατα (ή µε µειωµένη ποιότητα υπηρεσίας), το ποσοστό των επιχειρηµατικών διαδικασιών που µπορούν να αντασφαλιστούν µέσω cyber insurance, το πλήθος των λογαριασµών -εντός και εκτός του οργανισµού- που διαθέτουν αυξηµένα προνόµια (privileged accounts), η κατασκευή και αξιολόγηση ασφάλειας ενός software bill-of-materials, κ.ά. Υπάρχουν, προφανώς, πολλές άλλες ουσιαστικές µετρικές που χρησιµοποιούν οι ειδικοί ασφάλειας (ή άλλες επιχειρηµατικές µονάδες τεχνολογίας) για τη διαχείριση των καθηµερινών ζητηµάτων που θα µπορούσαν να συνδυαστούν αποτελεσµατικά για την επίτευξη του παραπάνω στόχου: αποτελεσµατική επικοινωνία µε τη ∆ιοίκηση. Η υϊοθέτηση κάποιων, ή όλων, των µετρικών που προαναφέρθηκαν (ή άλλων αντίστοιχων) είναι µια χρονοβόρα προσπάθεια αλλά το αποτέλεσµα (όσο και η ίδια διαδικασία) σίγουρα αποζηµιώνει. Το νέο µοντέλο σκέψης και η συνεργασία µε πολλές και διαφορετικές οµάδες µέσα στον Οργανισµό αποτελούν, µεταξύ άλλων, µερικά ακόµη σηµαντικά πλεονέκτηµατα.
Emergency Response Team (AERT)
γραµµή των κυβερνοεπιθέσεων. Η συγκεκριµένη οµάδα έχει, γνώση εις βάθος των υφιστάµενων και των νέων
netweeK • CYBER SECURITY 20 Advertorial Σύµφωνα µε την εν λόγω έκθεση οι κυβερνοεπιθέσεις έχουν εδραιωθεί ως όπλο κρατικού επιπέδου, συµπεριλαµβανοµένης της νέας µεθόδου ransomware “Country Extortion” και του χακτιβισµού, που συνδέεται µε κρατικά θέµατα. Το ransomware πλέον αποτελεί ένα πολυδιάστατο οικοσύστηµα και οι οµάδες των κυβερνοεγκληµατιών έχουν γίνει πιο δοµηµένες και λειτουργούν µε συγκεκριµένο πλαίσιο και σχέδιο, µε καθορισµένους στόχους για να χτυπήσουν. Επίσης σηµαντικό ρόλο στην αύξηση της έκτασης αλλά και της έντασης των κυβερνοεπιθέσεων έχει ο πόλεµος στην Ουκρανία. Πολλά κράτη, φίλια προσκείµενα στην Ουκρανία έχουν δεχθεί κυβερνοεπιθέσεις. Η ΥΠΗΡΕΣΙΑ Η εταιρεία ADACOM, προβλέποντας τις εξελίξεις δηµιούργησε την οµάδα ADACOM
η οποία παρέχει υπηρεσίες απόκρισης και αποτελείται από έµπειρους µηχανικούς και αναλυτές που βρίσκονται στην πρώτη
αναδυόµενων παραγόντων απειλών, καθώς και των τακτικών - τεχνικών τους που µεταβάλλονται µε ταχύ ρυθµό. Η εν λόγω οµάδα συνδυάζει υψηλή τεχνογνωσία και εµπειρία, η οποία έχει αποκτηθεί µέσω της συνεχής εκπαίδευσης και της πολυετής διερεύνησης εκατοντάδων περιστατικών ασφάλειας µε χρήση µηχανισµών µηχανικής εκµάθησης και τεχνητής νοηµοσύνης σε όλα τα επίπεδα: τερµατικές συσκευές, δίκτυο, συστήµατα βιοµηχανικού ελέγχου, χρήστες και υπηρεσίες νέφους. Η εταιρεία µας παρέχει υποστήριξη σε όλες τις πτυχές διαχείρισης µίας κυβερνοεπίθεσης, από την τεχνική ανάλυση και διερεύνηση µέχρι την νοµική υποστήριξη. Βοηθάµε τους πελάτες µας στην άµεση και αποτελεσµατική απόκριση, ώστε να επιστρέψουν στην επιχειρηµατική τους δραστηριότητα µε το λιγότερο δυνατό κόστος. ΜΕΘΟ∆ΟΛΟΓΙΑ Η µεθοδολογία που έχει υιοθετηθεί από την εταιρεία µας, βασίζεται στα διεθνή πρότυπα όπως το ΙSO/IEC 27035, το έγγραφο «Computer Security Incident Handling Guide» µε κωδικό «SP 800-61» από το διεθνή οργανισµό NIST και τις βέλτιστες πρακτικές από διεθνής οργανισµούς όπως ο ENISA και κατασκευαστές. Κατά τη διάρκεια της διερεύνησης, οι µηχανικοί µας εντοπίζουν: • Επηρεαζόµενες εφαρµογές, δίκτυα, συστήµατα και λογαριασµούς χρηστών • Κακόβουλο λογισµικό • Τρωτά σηµεία που έχει εκµεταλλευτεί ο εισβολέας • ∆ιαρροή ∆εδοµένων Η εν λόγω µεθοδολογία διακρίνεται σε τέσσερεις (4) φάσεις: Φάση 1η: Προετοιµασία Κατά την πρώτη φάση, η εταιρεία µας σχεδιάζει το πλάνο απόκρισης του περιστατικού το οποίο περιλαµβάνει τις οµάδες εµπλοκής, το πλάνο επικοινωνίας, το κτήριο και την αίθουσα διαχείρισης της κρίσης, το σχέδιο διαχείρισης της κρίσης, τον εξοπλισµό και τις υπηρεσίες διερεύνησης που απαιτούνται κ.λπ. Με αµείωτη ένταση συνεχίζεται η δράση του κυβερνοέγκληµατος, µε τις κυβερνοεπιθέσεις σε παγκόσµιο επίπεδο να αυξάνονται κατά 42% το πρώτο εξάµηνο του 2022 σύµφωνα µε την έκθεση “Cyber Attack Trends: 2022 Mid-Year Report” της εταιρείας Check Point. ΤΟΥ ΝΙΚΗΤΑ ΚΛΑ∆ΑΚΗ, ADACOM – GENERAL MANAGER ΥΠΗΡΕΣΙΑ ∆ΙΕΡΕΥΝΗΣΗΣ ΕΙΣΒΟΛΩΝ Νικήτας Κλαδάκης ΠΕΡΙΓΡΑΦΗ ΤΩΝ ΥΠΗΡΕΣΙΩΝ Η χρήση των υπηρεσιών ανάλυσης και διερεύνησης µέσω cloud αλλά και on-premises λύσεων που διαθέτουµε, επιτρέπουν στην οµάδα µας την άµεση έναρξη της διερεύνησης, από την στιγµή που θα ενηµερωθούν για µία κυβερνοεπίθεση. Μέσα σε λίγες ώρες, οι µηχανικοί µας θα υλοποιήσουν τις τεχνολογικές λύσεις, οι οποίες µε χρήση µηχανισµών µηχανικής εκµάθησης και τεχνητής νοηµοσύνης θα αναλύουν την δικτυακή κίνηση και τα συµβάντα ασφαλείας από όλες τις τερµατικές συσκευές. Η Υπηρεσία Ευφυούς Πληροφοριών Απειλών (Threat Intelligence), εµπλουτίζει την διερεύνηση µε πληροφορίες απειλών και µας παρέχει πρόσβαση στην επιφάνεια της επίθεσης και στο σηµείο εισόδου καθώς και σε πληροφορίες σε νέες κα αναδυόµενες τακτικές, τεχνικές και διαδικασίες επιτιθέµενου (Tactics, Techniques and Procedures, TTP). Τα στελέχη µας διαχειρίζονται ολιστικά κάθε κυβερνοεπίθεση και οι υπηρεσίες απόκρισης επεκτείνονται πέρα από την τεχνική διερεύνηση, τον περιορισµό και την ανάκτηση καθώς υποστηρίζουµε πλήρως τους πελάτες µας στη ολοκληρωµένη διαχείριση κρίσεων συµπεριλαµβανοµένων της νοµικής/ρυθµιστικής υποστήριξης, και στις δηµόσιες σχέσεις.
(Indicators of Compromise, IOC). Οι αναλυτές µας µέσω µηχανισµών µηχανικής εκµάθησης και τεχνητής νοηµοσύνης, θα διερευνήσουν πλήρως τις ενέργειες που έγιναν από τον εισβολέα για να προσδιορίσουν το αρχικό σηµείο εισόδου, τις κακόβουλες ενέργειες και την έκταση του περιστατικού. Ενδεικτικά αναφέρονται οι ακόλουθες ενέργειες:
• Ανάλυση της δικτυακής κίνησης και συµβάντων ασφαλείας από τις τερµατικές συσκευές σε πραγµατικό χρόνο 24x7
• ∆ικανική ανάλυση (Forensics Analysis)
• Ανάλυση κακόβουλου λογισµικού
• Νοµική και κανονιστική υποστήριξη
• ∆ιαχείριση των ΜΜΕ
• Ενέργειες περιορισµού του περιστατικού ασφαλείας κ.λπ. Τέλος καθορίζεται το κυρίως πλάνο απόκρισης, στο οποίο θα βασισθούν οι µηχανικοί
πληροφοριακών
εκτέλεση
ορθή
Φάση 4η: Συγγραφή
χρήσιµα συµπεράσµατα
την τελευταία φάση, οι σύµβουλοι µας θα ετοιµάσουν
Επιτελική
δικτυακής
ντων ασφαλείας στις τερµατικές συσκευές µε κάθε Λειτουργικό Σύστηµα - Microsoft Windows, Linux και macOS X. • ∆ιαχείριση Κρίσεων, από στελέχη µε πολυετή εµπειρία στην ολιστική διαχείριση των κρίσεων συµπεριλαµβανοµένων της τεχνικής ανάλυσης και απόκρισης, στην επικοινωνία µε τα ΜΜΕ, στις νοµικές και κανονιστικές υποχρεώσεις κ.λπ.
• Ανάλυση Κακόβουλου Λογισµικού, µέσω αντίστροφης µηχανικής (reverse engineering), αναπτύσσοντας τους κατάλληλους αποκωδικοποιητές και αναλυτές ώστε να εντοπιστούν οι τακτικές και τεχνικές του εισβολέα.
Απόκριση Περιστατικών 24x7,
εκτέλεση των απαραίτητων ενεργειών ανάλυσης, περιορισµού, εξάλειψης και αποκατάστασης µε χρήση µηχανισµών µηχανικής εκµάθησης και τεχνητής νοηµοσύνης.
CYBER SECURITY • netweeK 21 INFO Κρέοντος 25, 104 42, Αθήνα Τ: +30 210 5193740 E: info@adacom.com W: https://www.adacom.com/ Φάση 2η: Ανάλυση και εξακρίβωση Στη συνέχεια οι µηχανικοί µας, υλοποιούν τις τεχνολογικές λύσεις και υπηρεσίες που απαιτούνται για την διερεύνηση του περιστατικού, ώστε οι αναλυτές µας να προχωρήσουν στην εις βάθος διερεύνηση µέσω του Επιχειρησιακού Κέντρου Ασφάλειας (Security Operation Center, SOC), ενώ παράλληλα διερευνούν τα αρχεία καταγραφής των συστηµάτων ώστε να εντοπίσουν τις κακόβουλες δραστηριότητες των κυβερνοεγκληµατιών και όλους τους δείκτες εκµετάλλευσης
µας για τον περιορισµό, την εξάλειψη και την αποκατάσταση. Φάση 3η: Περιορισµός, Εξάλειψη και αποκατάσταση Σκοπός της συγκεκριµένης φάσης είναι η ανάκτηση του ελέγχου της κατάστασης το συντοµότερο δυνατό και η µείωση της έκτασης της ζηµίας που τυχόν προκλήθηκε στα πληροφοριακά συστήµατα των πελατών µας. Οι µηχανικοί µας θα εκτελέσουν τις απαραίτητες ενέργειες για την: (α) αποµόνωση των πληροφοριακών συστηµάτων που έχουν τεθεί σε κίνδυνο, (β) εξάλειψη του περιστατικού. Ενδεικτικά ανάλογα µε την φύση και το εύρος του περιστατικού λαµβάνει χώρα η αρχικοποίηση των συνθηµατικών, η επιδιόρθωση των ευπαθειών, η διαγραφή κακόβουλων αρχείων, η συλλογή των αποδεικτικών στοιχείων σύµφωνα µε τις εθνικές αρχές κ.λπ. (γ) συνεργασία µε τις εθνικές αρχές (δ) επαναφορά στην οµαλή λειτουργία των
συστηµάτων (ε)
ελέγχων και δοκιµών για την
λειτουργία
έκθεσης και
Κατά
την έκθεση του περιστατικού η οποία θα περιλαµβάνει: •
σύνοψη: Περίληψη των κυριότερων σηµείων της διερεύνησης, το χρονοδιάγραµµα, τις ενέργειες διερεύνησης, τα σηµαντικά ευρήµατα και τέλος οι ενέργειες περιορισµού, εξάλειψης και αποκατάστασης. • Πλήρη περιγραφή της διερεύνησης. Πλήρη περιγραφή της διερεύνησης όπως το/τα σηµείο/α εισόδου, τις κακόβουλες ενέργειες, τα επηρεαζόµενα συστήµατα, τους λογαριασµούς, πληροφορίες που έχουν διαρρεύσει κ.λπ. • Μέτρα αποκατάστασης. Καταγραφή των µέτρων περιορισµού/εξάλειψης που ελήφθησαν, τις ενέργειες αποκατάστασης, τις συστάσεις για τη βελτίωση της ασφαλείας και της ανθεκτικότητας του οργανισµού, χρήσιµα συµπεράσµατα κ.λπ. ΟΛΙΣΤΙΚΗ ΠΡΟΣΕΓΓΙΣΗ Η εταιρεία µας έχει ολιστική προσέγγιση στα θέµατα ασφάλειας πληροφοριών & συστηµάτων µε χαρακτηριστικά όπως: • Πολυετή Εµπειρία και Τεχνογνωσία , µε πιστοποιηµένα στελέχη τα οποία έχουν πολυετή εµπειρία και τεχνογνωσία διερευνώντας µερικές από τις µεγαλύτερες κυβερνοεπιθέσεις σε εθνικό και διεθνή επίπεδο. • Υπηρεσίες Ευφυούς Ανάλυσης Απειλών, που εµπλουτίζουν την υπό διερεύνηση κυβερνοεπίθεση, ώστε να εντοπίσουµε την επιφάνεια επίθεσης, τις πληροφορίες που έχουν διαρρεύσει, τις τακτικές, τεχνικές και τις ενέργειες των εισβολέων. • Λύσεις και Υπηρεσίες Επόµενης Γενιάς, µε χρήση µηχανισµών µηχανικής εκµάθησης και τεχνητής νοηµοσύνης για την άµεση έναρξη των εργασιών απόκρισης. Οι εν λόγω λύσεις και υπηρεσίες, µας επιτρέπουν την πλήρη ανάλυση της
κίνησης και των συµβά-
•
και
ανεξάρτητα κλάδου / εταιρείας, αφού το εξελιγµένο ransomware, οι επιθέσεις στην ψηφιακή εφοδιαστική αλυσίδα και οι βαθιά ενσωµατωµένες ευπάθειες έχουν εκθέσει τεχνολογικά κενά και ελλείψεις δεξιοτήτων. Ειδικότερα για τον ασφαλιστικό κλάδο, οι προκλήσεις είναι αυξηµένες λόγω του πόλου έλξης που ασκούν προς τους hackers τα προσωπικά και ευαίσθητα προσωπικά δεδοµένα πελατών που φυλάσσει / ανταλλάσσει µε τρίτους
οργανισµός.
απαιτείται καλύτερη διαχείριση
κινδύνου από
παρεχόµενες
4. Ραγδαία αύξηση
κοινωνικής µηχανικής και του ηλεκτρονικού ψαρέµατος, µε στόχο τον άνθρωπο. 5. Αυστηροί κανονισµοί και υψηλά πρόστιµα. 6.
Γεώργιος Τσινός Ο Γεώργιος Τσινός, CISO, Εθνική Ασφαλιστική, εξηγεί γιατί είναι σηµαντικό ο CISO να έχει τον ρόλο του στρατηγικού εταίρου της διοίκησης. Συνέντευξη στoν Βαγγέλη Βαγγελάτο Η ασφάλεια πρέπει να είναι άρρηκτα δεµένη µε τις ΙΤ υπηρεσίες 22 netweeK • CYBER SECURITΥ Ποιες οι προκλήσεις του κλάδου σας γύρω από το ζήτηµα της κυβερνοασφάλειας; Γεώργιος Τσινός: Η υβριδική εργασία και οι ψηφιακές επιχειρηµατικές διαδικασίες στο ∆ιαδίκτυο έχουν εισαγάγει νέους κινδύνους σε όλες τις σύγχρονες επιχειρήσεις,
ο ασφαλιστικός
Ποιο είναι το σηµείο/ περιοχή µε το µεγαλύτερο ζήτηµα ασφαλείας για εσάς; Το σηµαντικότερο σηµείο είναι η κατανόηση του νέου περιβάλλοντος. Απαιτείται επανεξέταση της στοίβας τεχνολογίας ασφαλείας για να αντιµετωπίσουµε ολιστικά τις εξελιγµένες νέες απειλές. Στην «Τέχνη του Πολέµου» o Σουν Τσου αναφέρει: «Όταν γνωρίζεις τον εχθρό και τον εαυτό σου, µπορείς να δώσεις εκατό µάχες µε ασφάλεια». Με βάση το περιβάλλον κινδύνου και τις δυνατότητες σου σε εργαλεία, γνώση και ανθρώπους, καταστρώνεις την καλύτερη δυνατή διαχείριση του κινδύνου. Παράλληλα, ο ρόλος του CISO πρέπει να εξελιχθεί σε στρατηγικός εταίρος της ∆ιοίκησης που διαχειρίζεται τον κίνδυνο στον κυβερνοχώρο. Πώς βλέπετε να διαµορφώνονται οι συνθήκες ασφαλείας τα τελευταία χρόνια και ποιοι οι παράγοντες δηµιουργίας ενός περιβάλλοντος ασφάλειας; Το διαρκώς διευρυνόµενο ψηφιακό αποτύπωµα των σύγχρονων οργανισµών οδηγεί τις κορυφαίες τάσεις της σηµερινής κυβερνοασφάλειας. Οι κορυφαίες σύγχρονες εξελίξεις αναφορικά µε την κυβερνοασφάλεια, είναι: 1. Επέκταση της επιφάνειας επίθεσης, λόγω της εξ’ αποστάσεως εργασίας και της αυξηµένης έκθεσης σε παρεχόµενες ψηφιακές υπηρεσίες µέσω ∆ιαδικτύου, ενώ υπάρχουν παρωχηµένα συστήµατα. 2.Ασθενή συστήµατα ταυτοποίησης και δικαιωµάτων χρηστών, που αποτελούν ευκαιρία για µη-εξουσιοδοτηµένη πρόσβαση. 3.Αυξηµένος κίνδυνος που προέρχεται από 3ους (εφοδιαστική αλυσίδα). Όσο αυξάνει η εξάρτηση από 3ους, τόσο
του
τις
υπηρεσίες.
της
Έλλειψη πόρων, τεχνογνωσίας και σύγχρονης κουλτούρας. Στο τρίπτυχο τεχνολογία- άνθρωπος- διαδικασίες, δεσπόζουσα θέση πιστεύω ότι έχει πλέον η τεχνολογία, αφού η µάχη µε τους κακόβουλους είναι περισσότερο τεχνολογική. Με τεχνικά µέτρα µπορεί να περιοριστεί και το λάθος από τον ανθρώπινο παράγοντα, ενώ σε περίπτωση περιστατικού να περιοριστεί η επίδρασή του. Με τεχνικά µέτρα µπορούν να αυτοµατοποιηθούν οι διαδικασίες, για αποφυγή εκτροπών / εξαιρέσεων και κενών ασφαλείας. Ενδεικτικά µέτρα ενίσχυσης είναι: 1. Μηδενική ανοχή σε προσβάσεις και πόρους Προστασία και διαχείριση διαβαθµισµένης πληροφορίας 3. Ταχεία ανίχνευση συµβάντων και αντιµετώπιση περιστατικών. 4. Ασφαλής ανάπτυξη εφαρµογών. 5. Προσωπικό που συνεχώς ενηµερώνεται, συνεχώς εκπαιδεύεται, πιστοποιείται. 6. Τυποποιήσεις / πιστοποιήσεις του Οργανισµού. 7. Ασφαλείς υπηρεσίες µε 3ους - εφοδιαστικής αλυσίδας. Ποια θα πρέπει να είναι η γενικότερη φιλοσοφία του ΙΤ απέναντι στην ασφάλεια; Η ασφάλεια πρέπει να είναι άρρηκτα δεµένη µε τις υπηρεσίες πληροφορικής. Από προεπιλογή / από σχεδιασµό (by default/by design). Χωρίς εκπτώσεις. Με έµφαση στα προληπτικά µέτρα, αλλά και στην ταχεία ανίχνευση / αντιµετώπιση µε τεχνικούς / αυτοµατοποιηµένους τρόπους. «Μια ουγκιά (~28 γρ) πρόληψης αξίζει µια λίβρα (~450 γρ) θεραπείας», όπως είπε ο Βενιαµίν Φραγκλίνος το 1736 προκειµένου να υπενθυµίσει στους πολίτες της Φιλαδέλφειας να παραµείνουν σε επαγρύπνηση για την ευαισθητοποίηση και την πρόληψη των πυρκαγιών. INTERVIEW
Bασίλειος Βασιλείου
netweek: Πώς θα περιγράφατε τις ιδιαιτερότητες και τις προκλήσεις στο δικό σας κλάδο/ εταιρεία γύρω από το ζήτηµα της κυβερνοασφάλειας; Bασίλειος Βασιλείου: Αρχικά, ο ασφαλιστικός κλάδος ρυθµίζεται κανονιστικά από ένα πολύ αυστηρό πλαίσιο. Ειδικά όσον αφορά στην κυβερνοασφάλεια, οι ασφαλιστικές εταιρείες υποχρεούµαστε στην εφαρµογή ενός αποτελεσµατικού συστήµατος διακυβέρνησης και διαχείρισης των σχετικών µε αυτή κινδύνων. Φυσικά, όταν αξιολογούµε ζητήµατα κυβερνοασφάλειας, θα πρέπει να συνεκτιµούµε και τις επιπτώσεις τους στην προστασία δεδοµένων αλλά και στην επιχειρησιακή συνέχεια. Έπειτα, και η διανοµή των ασφαλιστικών προϊόντων διέπεται από αυστηρούς κανόνες οι οποίοι αγγίζουν και θέµατα κυβερνοασφάλειας και επιχειρησιακής συνέχειας. Κατά κύριο λόγο, η διανοµή προϊόντων διεκπεραιώνεται
πρόκληση αλλά ταυτόχρονα και ευκαιρία για τις ασφαλιστικές εταιρείες. Μέσω ενός αποτελεσµατικού συστήµατος διακυβέρνησης και διαχείρισης της κυβερνοασφάλειας, το οποίο θα πλαισιώνει το ταξίδι του επιτακτικού πλέον ψηφιακού µετασχηµατισµού, και µε γνώµονα την ασφάλεια, την αξιοπιστία, την ιδιωτικότητα, και την ηθική χρήση
24 netweeK • CYBER SECURITY INTERVIEW
µέσω ασφαλιστικών διαµεσολαβητών (πρακτόρων, µη αποκλειστικής και αποκλειστικής συνεργασίας, και µεσιτών). Εποµένως, είναι πολύ σηµαντικό στις σχετικές συµβάσεις συνεργασίας να ορίζουµε µε σαφήνεια τους ρόλους και τις υποχρεώσεις των συµβαλλόµενων καθώς και τα κατάλληλα τεχνικά και οργανωτικά µέτρα τα οποία, άµεσα ή έµµεσα, αφορούν στην κυβερνοασφάλεια. Άλλο ένα σηµαντικό ζήτηµα το οποίο συναντάµε συχνά στον ασφαλιστικό τοµέα προκύπτει από τις διάφορες συγχωνεύσεις και εξαγορές που λαµβάνουν χώρα στην πορεία µιας εταιρείας – Η πολυπλοκότητα, απόρροια της ενσωµάτωσης ή συντήρησης απαρχαιωµένων συστηµάτων τα οποία εισάγουν περιορισµούς στην υλοποίηση µηχανισµών και διαµορφώσεων ασφάλειας, και συχνά αποτελούν σηµείο εισόδου για κυβερνοεπιθέσεις. Τέλος, λόγω της συστηµατικής επεξεργασίας µεγάλου όγκου προσωπικών δεδοµένων ειδικών κατηγοριών, οι ασφαλιστικές εταιρείες αποτελούν ελκυστικό στόχο. Κατά συνέπεια, είναι εκτεθειµένες σε πολύ σηµαντικούς κινδύνους για την επιχειρησιακή τους συνέχεια, π.χ., παραβιάσεις που θα βλάψουν σοβαρά τη φήµη τους και την εµπιστοσύνη των καταναλωτών, ή / και θα επιφέρουν πολύ βαριά πρόστιµα. Αξιολογώντας τις παραπάνω ιδιαιτερότητες υπό το πρίσµα των αναγκών των σύγχρονων καταναλωτών και συνάµα της ταχείας ανάπτυξης των απευθείας / online πωλήσεων, προκύπτει µια πολύ µεγάλη
των δεδοµένων, θα πρέπει να παρέχουν στους καταναλωτές µια ενοποιηµένη εµπειρία, σε όλα τα σηµεία επαφής (επικοινωνίας ή συναλλαγής), και να κερδίσουν την εµπιστοσύνη τους. Ποιο είναι το σηµείο/ περιοχή µε το µεγαλύτερο ζήτηµα ασφαλείας για εσάς; Σίγουρα, το νέο µοντέλο εργασίας -η εργασία από οπουδήποτε σε συνδυασµό µε τη χρήση προσωπικών συσκευών για πρόσβαση σε εταιρικές εφαρµογές και συστήµατα- επιβάλλει τον επαναπροσδιορισµό της έννοιας της ασφαλούς “περιµέτρου”. Η τελευταία πλέον επεκτείνεται – όπως και η ανάγκη για επιπρόσθετη «ορατότητα» σε δεδοµένα που αφορούν στην κυβερνοασφάλεια – προκειµένου να συµπεριλάβει χρήστες, συσκευές, και εφαρµογές, όπου κι αν αυτά βρίσκονται. Παράλληλα, θα πρέπει να δώσουµε ιδιαίτερη έµφαση στη συνεχή εκπαίδευση και ευαισθητοποίηση των χρηστών σχετικά µε τις σύγχρονες, σύνθετες µορφές κυβερνοεπιθέσεων, καθώς και στην ενσυνείδητη χρήση των προσωπικών τους δεδοµένων στο διαδίκτυο. Με την έλευση των δικτύων κινητής τηλεφωνίας 5ης γενιάς και τη ραγδαία εξέλιξη στο χώρο της τεχνητής νοηµοσύνης, στο εγγύς µέλλον αναµένεται πληθώρα σύγχρονων, έξυπνων υπηρεσιών και προϊόντων τα οποία θα βασίζονται σε µεγάλο βαθµό σε δεδοµένα από το ∆ιαδίκτυο των Πάντων (Internet of Everything). ∆εδοµένου ότι ο ρυθµός εξάπλωσης των έξυπνων συσκευών δεν ακολουθείται από την ανάλογη ωριµότητα αλλά και ενηµέρωση (των χρηστών) όσον αφορά στην ασφάλειά τους, αυτό εισάγει τεράστιους Ο Βασίλειος Βασιλείου, Επικεφαλής Ασφάλειας Πληροφοριών, Επιχειρησιακής Συνέχειας & Προστασίας ∆εδοµένων της Groupama Ασφαλιστικής, αναλύει τις ιδιαίτερες ανάγκες του ασφαλιστικού κλάδου και εξηγεί γιατί πάντα στο κέντρο πρέπει να είναι ο πελάτης. Συνέντευξη στoν Βαγγέλη Βαγγελάτο Ασφάλεια µε επίκεντρο τον καταναλωτή
και οι καταναλωτές, ολοένα και περισσότερο, βλέπουµε ότι ενηµερώνονται και χρησιµοποιούν τις τεχνολογίες ασφάλειας που έχουν στη διάθεσή τους. Επίσης, παρατηρούµε µικρή αλλά σταθερή αύξηση στην ασφάλιση έναντι κινδύνων του κυβερνοχώρου. Χρονολογικά, το πλάνο ενεργειών προς συµµόρφωση µε τον ΓΚΠ∆ συνέβαλλε σηµαντικά στη βελτίωση και υλοποίηση µηχανισµών ασφαλείας. Ακολούθησε η επιτακτική, περαιτέρω ενίσχυση και προσαρµογή του συστήµατος διαχείρισης ασφάλειας πληροφοριών καθώς και η απαραίτητη διαστασιοποίηση και πρόβλεψη χωρητικότητας των πληροφοριακών συστηµάτων λόγω του νέου µοντέλου λειτουργίας των εταιρειών το οποίο επέβαλλαν τα έκτακτα µέτρα διαχείρισης της πανδηµίας COVID-19.
η γενικότερη φιλοσοφία απέναντι στο ζήτηµα της ασφάλειας; Με επίκεντρο τον σύγχρονο καταναλωτή, θα πρέπει να επιδιώξουµε µια εµπειρία ενοποιηµένη, ασφαλή, συνεπή, µε διαφάνεια, χωρίς τριβές, σε όλα τα σηµεία επαφής.
ότι δύο βασικά ερωτήµατα
πρέπει
θέτουµε
κάθε
σχετικών
Ο ρόλος του Επικεφαλής Ασφάλειας των Πληροφοριών είναι καταλυτικός για την κατάλλη και επιτυχή στρατηγική κυβερνοασφάλειας 25 CYBER SECURITY • netweeK κινδύνους, ειδικά αν λάβουµε υπόψη εφαρµογές όπως στην ιατρική, στην αυτόνοµη οδήγηση, σε κρίσιµες υποδοµές, κ.τ.λ., όπου άµεσα ή έµµεσα διακυβεύονται ανθρώπινες ζωές. Πώς βλέπετε να διαµορφώνονται οι συνθήκες ασφαλείας τα τελευταία χρόνια; Το συνεχώς εξελισσόµενο τοπίο απειλών και ο σταθερά αυξανόµενος αριθµός κυβερνοεπιθέσεων έχουν ανεβάσει το επίπεδο της συζήτησης για την κυβερνοασφάλεια. Σε αυτό έχει συµβάλλει και η αυξηµένη µετάβαση σε υπηρεσίες νέφους, η οποία συχνά συνοδεύει τα εταιρικά προγράµµατα ψηφιακού µετασχηµατισµού, καθώς και οι συναφείς απειλές. Απόρροια των παραπάνω αποτελεί η βελτίωση και ενίσχυση των µηχανισµών κυβερνοασφάλειας των εταιρειών. Αλλά
Ποιοι είναι οι βασικότεροι παράγοντες για τη δηµιουργία ενός περιβάλλοντος ασφάλειας; Η δέσµευση της ∆ιοίκησης αποτελεί καθοριστικό παράγοντα, προκειµένου να δοθεί ο τόνος από ψηλά, να διασφαλιστούν οι κατάλληλοι πόροι, και να επιτευχθούν οι στρατηγικοί στόχοι κυβερνοασφάλειας και κυβερνοανθεκτικότητας. Επενδύοντας σε µέτρα κυβερνοασφάλειας που θα προσαρµόζονται στο συνεχώς εξελισσόµενο τοπίο απειλών, διασφαλιζεται η επιχειρησιακή συνέχεια του Οργανισµού. Σε κάθε περίπτωση, θα πρέπει να λαµβάνουµε υπόψη τους κινδύνους στο χώρο της κυβερνασφάλειας, και τις επιπτώσεις που αυτοί συνεπάγονται, σε σχέση µε τα οφέλη από στοχευµένες επενδύσεις για την αποτροπή τους. Σίγουρα, ο ρόλος του Επικεφαλής Ασφάλειας Πληροφοριών είναι καταλυτικός για τον ορισµό και την υλοποίηση της κατάλληλης στρατηγικής κυβερνοασφάλειας και κυβερνοανθεκτικότητας, καθώς και για την αποτελεσµατική επικοινωνία στη «γλώσσα» της Ανώτατης ∆ιοίκησης. Θα πρέπει να κερδίσει την εµπιστοσύνη της ∆ιοίκησης και θα πρέπει να εισάγει στον Οργανισµό µια ισχυρή, βιώσιµη κουλτούρα για την κυβερνοασφάλεια. Μια κουλτούρα που θα προάγει και θα διαποτίζει την ιδέα ότι η ασφάλεια του Οργανισµού είναι ευθύνη όλων των εργαζοµένων. Ένας από τους βασικούς στόχους της στρατηγικής κυβερνοασφάλειας και κυβερνοανθεκτικότητας θα πρέπει να είναι ο σχεδιασµός και η σταδιακή υλοποίηση αρχιτεκτονικής Μηδενικής Εµπιστοσύνης η οποία θα παρέχει συνεχή, προσαρµοστική, προληπτική προστασία στους χρήστες, στα δεδοµένα, και στα συστήµατα, όπου κι αν αυτά βρίσκονται – µια προσέγγιση «ποτέ µην εµπιστεύεσαι, πάντα επιβεβαίωνε». Επίσης, η σύγκλιση των διαφορετικών λύσεων και υπηρεσιών ασφάλειας, καθώς και των συναφών προµηθευτών φαίνεται να αποτελεί µια αποτελεσµατική τακτική και για την εξασφάλιση ολοκληρωµένων, ανταγωνιστικών και εύκολα διαχειρίσιµων λύσεων και υπηρεσιών αλλά και για την αύξηση της απόδοσης επένδυσης σε µέτρα για την ασφάλεια (RΟSI). Τέλος, σηµαντικός παράγοντας επιτυχίας είναι η συνεργασία µε έµπιστους προµηθευτές οι οποίοι, µαζί µε την οµάδα κυβερνοασφάλειας του Οργανισµού, θα λειτουργούν ως µία οµάδα και θα δεσµευτούν για την παροχή υψηλού επιπέδου υπηρεσιών και δεικτών απόδοσης που ανταποκρίνονται στις τρέχουσες απαιτήσεις του χώρου. Ποια πιστεύετε πως θα πρέπει να είναι
Πιστεύω
που
να
σε
διαδικασία λήψης αποφάσεων
µε την κυβερνοασφάλεια είναι: «Πώς η απόφασή µου δηµιουργεί αξία για τον καταναλωτή» «Κινούµαστε τουλάχιστον µε τον ίδιο ρυθµό µε αυτόν των καταναλωτών»; Παράλληλα, θα πρέπει να διαθέτουµε επαρκείς πόρους και δυνατότητες, καθώς και ευέλικτες ψηφιοποιηµένες διεργασίες, για την άµεση προσαρµογή και ανταπόκριση στις δυναµικές ανάγκες του σύγχρονου καταναλωτή, ακόµα και σε πραγµατικό χρόνο (π.χ., on-demand insurance, personalized pricing, etc.). Πρέπει να συνειδητοποιήσουµε ότι πλέον δεν ισχύει ότι το µεγάλο ψάρι τρώει το µικρό αλλά, το γρήγορο ψάρι τρώει το αργό. Όσο για τους καταναλωτές, θα πρέπει να ξεκινούν πάντοτε από τα εύκολα (“low-hanging fruits”), δηλαδή, την ενσυνείδητη χρήση των προσωπικών τους δεδοµένων στο διαδίκτυο, καθώς και τη συστηµατική χρήση των µηχανισµών ασφάλειας που παρέχονται δωρεάν σε όλες τις σύγχρονες συσκευές και υπηρεσίες (π.χ., αυθεντικοποίηση πολλαπλών παραγόντων, αυθεντικοποίηση µε βιοµετρικά χαρακτηριστικά, κρυπτογράφηση συσκευής, ισχυροί κωδικοί ασφαλείας / εφαρµογές διαχείρισης κωδικών ασφαλείας, κ.τ.λ.). Για πιο σύνθετα θέµατα, όπως για παράδειγµα την κατάλληλη ένταξη συσκευών ∆ιαδικτύου των Πάντων (Internet of Everything) στο δίκτυο του σπιτιού τους και τη διαµόρφωση των ρυθµίσεων ασφάλειάς τους, θα πρέπει να συµβουλεύονται ειδικούς. Αν έπρεπε να διαλέξετε µία και µόνη λέξη που να χαρακτηρίσει τους στόχους των ειδικών της κυβερνο-ασφάλειας για το άµεσο µέλλον ποια θα ήταν; Εµπιστοσύνη.
εφαρµογές, κλπ. Η συνήθης πρακτική οδηγεί σε υιοθέτηση λύσεων Identity and Access Management (IAM), µέσω των οποίων αυτοµατοποιούνται οι σχετικές διαδικασίες. Σε ένα τέτοιο έργο, ο οργανισµός θα πρέπει να εµπλέξει πληθώρα στελεχών από διαφορετικές οργανικές µονάδες. Θα πρέπει να καταγράψει τους ρόλους που θα εµπλακούν, τις αρµοδιότητές τους, ενώ ταυτόχρονα
Advertorial Είναι γεγονός ότι το περιβάλλον κυβερνοαπειλών µεταβάλλεται διαρκώς, ενώ θύµατα των επιτιθέµενων αποτελούν µεγάλοι και παγκόσµιοι οργανισµοί. Με µια ανάγνωση των στοιχείων όµως, παρατηρείται το φαινόµενο οι εν λόγω οργανισµοί να δέχονται επιθέσεις, όχι λόγω κάποιας έλλειψης σε τεχνολογίες κυβερνοασφάλειας. Αντιθέτως, ο παράγοντας που τελικά καθορίζει το πόσο ισχυρό είναι το πλαίσιο κυβερνοασφάλειας αποτελεί το λειτουργικό µοντέλο που ο οργανισµός εφαρµόζει. ΤΟΥ ΘΟ∆ΩΡH ΣΤΕΡΓIΟΥ, DIRECTOR, CONSULTING, KPMG ΣΤΗΝ ΕΛΛA∆Α ΕΠΙΤΥΧΕIΣ ΜΕΤΑΣΧΗΜΑΤΙΣΜΟI ΚΥΒΕΡΝΟΑΣΦAΛΕΙΑΣ Θοδωρής Στεργίου Φανταστείτε το σενάριο που µια επιχείρηση θέλει να διαχειριστεί επιτυχώς την πρόσβαση των χρηστών της, ενώ ταυτόχρονα να µειώσει τα αιτήµατα προς τη ∆ιεύθυνση Πληροφορικής σχετικά µε επαναφορές κωδικών πρόσβασης (password resets), πρόσβαση σε νέες
θα πρέπει να αποφασίσει εάν η διαχείριση των ταυτοτήτων θα λάβει χώρα κεντρικά, ή κάθε µονάδα θα έχει τον δικό της συντονιστή. Στην πορεία προς τον σχεδιασµό της συνολικής αρχιτεκτονικής (blueprint), θα πρέπει να αποφασίσει ποιες είναι οι ροές που τον ενδιαφέρουν να εντάξει στη νέα πλατφόρµα και να τις περιγράψει (joiners, leavers, movers), τα εγκριτικά επίπεδα, καθώς και να διαµορφώσει το κατάλληλο πλαίσιο διακυβέρνησης. Σε συνεργασία µε όλα τα εµπλεκόµενα στελέχη, θα πρέπει, εφόσον δεν υφίστανται, να περιγράψει τους ρόλους που θα αναλάβουν οι χρήστες, ώστε πάνω σε αυτούς να σχεδιαστούν τα κατάλληλα δικαιώµατα πρόσβασης. Παράλληλα, η ∆ιεύθυνση Πληροφορικής θα πρέπει να καταγράψει τις κατάλληλες ροές µεταξύ των συστηµάτων, αποφασίζοντας ποια θα είναι η µοναδική αξιόπιστη πηγή πληροφοριών (authoritative source – single point of truth), από την οποία η πλατφόρµα ΙΑΜ θα λαµβάνει τα απαιτούµενα στοιχεία. Ο οργανισµός θα κληθεί επίσης να διενεργήσει ντέλου το οποίο αποτελεί τον πυρήνα της επιτυχούς υλοποίησης, διαχείρισης, παρακολούθησης, αλλά και βελτίωσης του προγράµµατος κυβερνοασφάλειας. ΥΠΗΡΕΣIΕΣ POWERED ENTERPRISE Ως KPMG, αναγνωρίζοντας την ανάγκη πληθώρας πελατών για την ανάπτυξη ενός ολοκληρωµένου λειτουργικού µοντέλου, αναπτύξαµε τις υπηρεσίες Powered Enterprise. Το Powered Enterprise βοηθάει τις επιχειρήσεις να εκσυγχρονίσουν τις επιχειρησιακές τους λειτουργίες και λειτουργίες κυβερνοασφάλειας και να επιτύχουν γρήγορα τον επιθυµητό τους µετασχηµατισµό. Συνδυάζουµε την εµπειρία που έχουµε συγκεντρώσει από την υλοποίηση χιλιάδων λειτουργικών µετασχηµατισµών, µε τη τεχνογνωσία µας πάνω στις τελευταίες τεχνολογίες cyber security, υπολογιστικού νέφους (cloud) και την βαθιά κατανόηση που διαθέτουµε για τις προκλήσεις της Ελληνικής αγοράς. Η εποχή που διανύουµε χαρακτηρίζεται από διαρκείς αλλαγές στον τοµέα των κυβερνοαπειλών οι οποίες έχουν µε τη σειρά τους πυροδοτήσει την ανάγκη για στοχευµένες ενέργειες. Ένας επιτυχής και βιώσιµος µετασχηµατισµός κυβερνοασφάλειας απαιτεί κατανόηση των τρόπων µε τους οποίους οι αλλαγές επηρεάζουν συνολικά έναν οργανισµό, από το στάδιο σχεδιασµού των διαδικασιών έως την παροχή των υπηρεσιών. Το Powered Enterprise µπορεί να συµβάλει στον στόχο αυτό παρέχοντας άµεση πρόσβαση σε κορυφαίες προηγµένες διαδικασίες, οργανωτικό σχεδιασµό, τεχνολογίες, λειτουργικά µοντέλα, µεθόδους και εργαλεία υλοποίησης, καθώς και την απαραίτητη ώθηση για συνεχή εξέλιξη. µελέτη της υφιστάµενης κατάστασης δίνοντας έµφαση στην τρέχουσα υλοποίηση διαχωρισµού αρµοδιοτήτων (segregation of duties), ώστε µε την ένταξη της πλατφόρµας ΙΑΜ να παρακολουθούνται οι προσβάσεις οι οποίες θα µπορούσαν να θέσουν σε κίνδυνο τον οργανισµό. Τέλος, θα πρέπει να καταγράψει τον τρόπο µε τον οποίο θα παρακολουθείται η αποτελεσµατικότητα του νέου πλαισίου διακυβέρνησης πρόσβασης χρηστών/ ταυτοτήτων, αλλά και το εν γένει λειτουργικό µοντέλο που θα συνδράµει στη διαρκή βελτίωσή του. Και όταν ολοκληρωθούν όλα τα ανωτέρω, θα κληθεί να επιλέξει την κατάλληλη τεχνολογική λύση µέσω της οποίας θα αυτοµατοποιήσει το πλαίσιο που σχεδίασε. Για κάθε έργο µετασχηµατισµού κυβερνοασφάλειας, είτε αυτό αφορά διαχείριση ταυτοτήτων, είτε συµβάντων ασφάλειας ή προστασία προσωπικών δεδοµένων, ο σηµαντικότερος παράγοντας επιτυχίας του δεν έγκειται στην τεχνολογία που θα χρησιµοποιηθεί. Αντιθέτως, εδράζεται στον σχεδιασµό ενός ολοκληρωµένου λειτουργικού µο26 netweeK • CYBER SECURITY
Conquer cyber threats and ignite innovation
Cyber security puts a protective arm around the day-to-day operations of your business.
KPMG
Powered
Enterprise
| Cyber kpmg.com/gr
© 2022 KPMG Advisors Single Member S.A., a Greek Societe Anonyme and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Printed in Greece. The KPMG name and logo are trademarks used under license by the independent member firms of the KPMG global organization.
Λευτέρης Τζελέπης Ο Λευτέρης Τζελέπης, IT Security Director, ΟΠΑΠ, ISC2 Hellenic Chapter, BoD member, µιλάει, µεταξύ άλλων, για την έλλειψη εξειδικευµένου προσωπικού σε θέµατα ασφάλειας, καθώς και για τις προκλήσεις που εγείρουν οι σύγχρονες τάσεις, όπως η υιοθέτηση του cloud. Συνέντευξη στoν Βαγγέλη Βαγγελάτο Digital Transformation σηµαίνει και Security Transformation 28 netweeK • CYBER SECURITΥ INTERVIEW netweek: Πώς θα περιγράφατε τις ιδιαιτερότητες και τις προκλήσεις στο δικό σας κλάδο/ εταιρεία γύρω από το ζήτηµα της κυβερνοασφάλειας; Λευτέρης Τζελέπης: Η κυριότερη πρόκληση είναι αναµφίβολα η στελέχωση οµάδας µε τους κατάλληλους επαγγελµατίες. Ο χώρος µας σηµειώνει αισθητά µεγάλη έλλειψη σε προσωπικό, ενώ πολύ συχνά θα προτιµήσουµε κάποιον µε εντονότερα soft skills απ’ ότι µε αµιγώς τεχνικό background. Παράλληλα δεν είναι λίγες οι περιπτώσεις συνεντεύξεων µε αντεστραµµένους ρόλους: αντί να επιλέγει η εταιρία ποιον θα προσλάβει, ο υποψήφιος είναι αυτός που κάνει συνέντευξη σε εταιρίες για να επιλέξει εργοδότη. Η συνεχής ενηµέρωση σε τάσεις, τεχνολογίες και κανονισµούς είναι επίσης µεγάλο θέµα. Ανέκαθεν ο χρόνος αποτελούσε ζήτηµα του χώρου µας: πόσο γρήγορα θα διορθώσουµε ένα κενό ασφαλείας, πόσο γρήγορα θα αντιληφθούµε και θα αντιδράσουµε σε κάποιο περιστατικό, πόσο γρήγορα θα εγκαταστήσουµε µια security τεχνολογία. Σήµερα προστίθεται και η ταχύτητα που θα κατανοήσουµε µια νέα τεχνολογία ή ένα κανονισµό, ώστε να δώσουµε στην εταιρία µας το εµπορικό πλεονέκτηµα (time-to-market) από τη χρήση αυτών. Τέλος, ο ανθρώπινος παράγοντας που τόσο µας απασχολεί. ∆εν είναι τελικά ο πιο αδύναµος κρίκος, αλλά το πρωταρχικό σηµείο µιας κυβερνο-επίθεσης. Έχουµε αναρωτηθεί αν το 70-90% των breaches που (σύµφωνα µε τόσες µελέτες και παγκόσµιες αναφορές) οφείλονται σε ανθρώπινο σφάλµα, είναι κατά βάθος σχεδιαστικό λάθος; ∆εν αρκεί να διδάσκουµε τη σωστή χρήση της τεχνολογίας στους ανθρώπους µας, πρέπει να µαθαίνουµε και από αυτούς, από τη συµπεριφορά τους και να αναρωτιόµαστε τι έχει πάει λάθος στο σχεδιασµό µας. Το πρόβληµα είναι ότι πάτησαν ένα URL σε ένα mail, ή το ότι το κλικ που έκαναν επηρεάζει την υποδοµή µας τόσο πολύ;
απαντήσεις χρειάζεται
θέσουµε
ερωτήµατα ή προβληµατισµούς. Το 2ο σηµαντικό milestone είναι το Governance. Ποιος κάνει τί στο cloud. Ο τρόπος λειτουργίας έχει πλέον διαφοροποιηθεί και δεν ταιριάζει µε το λειτουργικό µοντέλο που εφαρµόζαµε µέχρι σήµερα. Ο εκσυγχρονισµός των καθηµερινών operations είναι αναγκαίος, όπως και η εκµάθηση των νέων τεχνολογιών και λειτουργιών που παρέχονται outof-the-box. Τα συνεχώς αυξανόµενα νέα features που προσφέρει ένας cloud κατασκευαστής, χρειάζονται επαρκή και συνεχόµενη εκπαίδευση και ενηµέρωση. Για παράδειγµα, το need-to-know στον on-premise κόσµο είναι πολύ πιο απλό από ότι στο σύννεφο. Εκεί πρέπει να έχουµε προσχεδιάσει τον πίνακα δικαιωµάτων για κάθε
επανήλθε online σε µια ώρα. Αν οι χρήστες σας δε µπορούν να το κάνουν αυτό, έχετε µεγαλύτερα προβλήµατα από τη ζηµιά ενός ransomware». Βλέπουµε λοιπόν το παραδοσιακό τρίπτυχο «Εµπιστευτικότητα, Ακεραιότητα, ∆ιαθεσιµότητα» να εξελίσσεται κάτω από το πρίσµα νέων τεχνολογιών και να εστιάζει σε πραγµατική ασφάλεια, πέραν της κανονιστικής συµµόρφωσης.
29 CYBER SECURITY • netweeK Ποιο είναι το σηµείο/ περιοχή µε το µεγαλύτερο ζήτηµα ασφαλείας για εσάς; Το cloud έχει σχεδόν µονοπωλήσει τα βλέµµατα σ ’αυτόν τον τοµέα. Όχι επειδή δεν είναι ασφαλές, αλλά επειδή για τη σωστή ασφάλεια χρειάζεται και η κατάλληλη προεργασία. Ξεκινάµε από τη στρατηγική, τη µελέτη βιωσιµότητας και το adoption πλάνο που θα ακολουθήσουµε. Λέγεται ότι «η έλλειψη στρατηγικής Cloud σε µερικά χρόνια θα ισοδυναµεί µε έλλειψη στρατηγικής Internet σήµερα». Χρειάζεται να γνωρίζουµε πού θέλουµε να φτάσουµε και να αναλύσουµε σε αρκετό βάθος όλες τις παραµέτρους που συνθέτουν την ασφάλεια: τεχνικά, οργανωτικά, κανονιστικά µέτρα, κλπ. Αρκεί να σκεφτούµε ότι στον κόσµο του cloud, πολλές υπηρεσίες αλληλοεπιδρούν καταλήγοντας σε πολλά περισσότερα exposure points από όσα µπορεί αρχικά να είχαµε υπολογίσει. Η λεπτοµέρεια (ειδικά εδώ) κάνει τη διαφορά, και για να πάρουµε τις σωστές
να
τα κατάλληλα
resource και να έχουµε εφαρµόσει τον κατάλληλο σχεδιασµό στην υποδοµή µας για µεγιστοποίηση της αξίας των cloud features/benefits χωρίς την εισαγωγή πρόσθετου ρίσκου. ∆ε µπορεί βέβαια από όλη αυτή την εξίσωση να λείπει ο ανθρώπινος παράγοντας. Η µεγαλύτερη απειλή στο cloud είναι η εσφαλµένη παραµετροποίηση. Το λάθος που έγινε ή κάτι που ξεχάστηκε. Χρειάζονται πρόσθετοι αυτοµατισµοί που θα εντοπίζουν και θα επισηµαίνουν αυτά τα σφάλµατα και θα µας βοηθήσουν να χρησιµοποιούµε σωστά και µε ασφάλεια το cloud. Πώς βλέπετε να διαµορφώνονται οι συνθήκες ασφαλείας τα τελευταία χρόνια; Ποιες είναι βασικότερες εξελίξεις που επέδρασσαν στο καθεστώς ασφαλούς λειτουργίας τα τελευταία 2-3 χρόνια; Καταρχάς όλοι αναγνωρίζουµε τον καταλυτικό ρόλο της πανδηµίας. Τεχνολογικές τάσεις όπως το Zero Trust, ενώ είχαν ξεκινήσει τα πρώτα δειλά βήµατα πριν µερικά χρόνια, επιταχύνθηκαν σηµαντικά µε τις νέες ανάγκες για αποµακρυσµένη πρόσβαση σε κρίσιµους πόρους - χαρακτηριστική περίπτωση good timing. Επιπλέον, η υιοθέτηση του Cloud έχοντας γνωρίσει σηµαντική ανταπόκριση στην αγορά, εισάγει µια νέα διάσταση στην ασφάλεια, το resilience (ανθεκτικότητα). Ενώ παλιότερα δίναµε έµφαση στην ενδυνάµωση της περιµέτρου ενάντια σε κυβερνο-απειλές, πλέον η ασφάλειά µας ορίζεται από το πόσο άµεσα µπορούµε να ανακάµψουµε από κάποιο περιστατικό ασφαλείας. Στη νέα αυτή διάσταση το Πληροφοριακό µας Σύστηµα είναι: • ∆ιάσπαρτο (distributed). Αποτελείται από διάφορα instances σε πολλαπλά σηµεία, οπότε ελαχιστοποιεί το single (vendor/technology) point of failure. • Αµετάβλητο (immutable). Πιθανές µη εξουσιοδοτηµένες αλλαγές ανιχνεύονται άµεσα κ το σύστηµα επαναφέρεται στην προγενέστερη κατάσταση. • Εφήµερο (ephemeral). Πιο κοντά σε serverless αρχιτεκτονική, µε την αξία των τυπικών assets που γνωρίζουµε µέχρι σήµερα, κοντά στο µηδέν. Μια φράση από πρόσφατο συνέδριο: «Κάντε τα laptop σας αναλώσιµα: ένα laptop κλάπηκε, αγοράστηκε καινούριο,
Σε καµία περίπτωση δεν αρνούµαστε την πραγµατικότητα ότι «δεν είναι τα πάντα Cloud-ready» ή τις τεχνολογίες στις οποίες επενδύουµε µέχρι σήµερα. Ο τεχνολογικός όµως µετασχηµατισµός που βιώνουµε τα τελευταία χρόνια πρέπει να συνοδεύεται από τον ανάλογο µετασχηµατισµό και στον τοµέα της ασφάλειας. Ποιοι είναι οι βασικότεροι παράγοντες / εργαλεία/ τακτικές στην δηµιουργία ενός περιβάλλοντος ασφάλειας στο σύγχρονο επιχειρείν? Η ασφάλεια στη σύγχρονη επιχείρηση δε µπορεί να είναι άλλο ένα “vertical”, άλλο ένα σιλό. Το γνωστό security punch line “break the silos” αναφέρεται σε ακριβώς αυτό: η επιτυχία ενός προγράµµατος ασφαλείας κρίνεται από τη υιοθέτησή του από όλο τον οργανισµό, θα πρέπει να είναι ορατό οριζόντια, σε κάθε µονάδα ή οµάδα. Αν αποτελεί ατζέντα ενός µόνο τµήµατος, µπαίνει αυτόµατα σε διαδικασία ανταγωνισµού µε όλες τις άλλες προτεραιότητες. Απεναντίας, καταφέρνοντας να το ενσωµατώσουµε στους επιµέρους στόχους και τη νοοτροπία της κάθε οµάδας, θα έχουµε καταφέρει το Security built-in ή Security in-depth. Προς αυτή την κατεύθυνση, οι επαγγελµατίες του χώρου Η ασφάλεια δεν μπορεί να είναι άλλο ένα silo. Η επιτυχία ενός προγράμματος ασφάλειας κρίνεται από την υιοθέτηση του από όλο τον οργανισμό, θα πρέπει να είναι ορατό οριζόντια, σε κάθε μονάδα ή ομάδα
αυτή η λίστα να επικοινωνηθεί και να µας γνωρίσει ο κόσµος. Χρειάζεται να κάνουµε ατοµικές συναντήσεις µε βασικούς παράγοντες, τόσο σε στρατηγικό όσο και σε λειτουργικό (operational) επίπεδο. Να ακούσουµε και να καταλάβουµε τους προβληµατισµούς και τους στόχους κάθε οµάδας και να παρουσιάσουµε τις δυνατότητες που φέρνουµε ως προστιθέµενη αξία σ’ αυτούς. Τον τρόπο που µπορούµε να τους βοηθήσουµε ώστε σιγά σιγά να γίνουµε µέρος/τµήµα της
το γενικότερο πλαίσιο (context) που θα υποστηρίξει έµπρακτα τους απαιτούµενους πόρους προκειµένου για να πετύχουµε
30 netweeK • CYBER SECURITY INTERVIEW της Ασφάλειας, οφείλουµε να κάνουµε την ασφάλεια περισσότερο ελκυστική και προσιτή. Να υιοθετούµε έξυπνες λύσεις και τεχνολογίες οι οποίες θα βοηθήσουν τον non-security κόσµο όχι απλά να αποδεχτεί, αλλά να ενστερνιστεί την ασφάλεια στην καθηµερινότητά του ή στη δουλειά, να την αποζητά ο ίδιος. Προβάλλοντας τα άµεσα και µακροπρόθεσµα οφέλη της ασφάλειας, βελτιώνουµε σηµαντικά την εικόνα που έχει γι’ αυτή κάθε υπάλληλος µέσα στην εταιρία. Να µην ξεχνάµε εδώ ότι ο κόσµος φοβάται ότι δε γνωρίζει, έτσι είναι η ανθρώπινη φύση. Εµείς οφείλουµε να φέρουµε την ασφάλεια κοντά στον κάθε υπάλληλο και στα µέτρα της δουλειάς του, ώστε να µην τη βλέπει σα φοροεισπράκτορα αλλά σαν ένα µέσο που θα τον βοηθήσει να πετύχει καλύτερα και πιο άµεσα τους στόχους του. Για να το πετύχουµε αυτό χρειαζόµαστε αρχικά µία ξεκάθαρη λίστα υπηρεσιών (service catalogue). Τι φέρνουµε εµείς στην εταιρία µας και τι «πουλάµε» στους εσωτερικούς πελάτες; Στη συνέχεια πρέπει
οµάδας τους, αλλά και εκείνοι επέκταση της δικής µας. ∆εν πρέπει να µας βλέπουν ανταγωνιστικά, αλλά συνεργατικά. Επαναλαµβάνοντας αυτές τις συναντήσεις χτίζουµε δυνατό κανάλι επικοινωνίας και εµπιστοσύνης απ’ το οποίο δυνητικά κερδίζει η εταιρία µας. Ποια πιστεύετε πως θα πρέπει να είναι η γενικότερη φιλοσοφία του σύγχρονου ΙΤ απέναντι στο ζήτηµα της ασφάλειας; Digital Transformation σηµαίνει και Security Transformation, και το σύγχρονο ΙΤ το γνωρίζει πολύ καλά αυτό. Το σύγχρονο ΙΤ είναι η βασική οµάδα που αποδέχεται την ασφάλεια ως enabler και όχι ως blocker. Γνωρίζει καλά τις δυνατότητες που µπορεί να έχει µέσα από το κατάλληλο πρόγραµµα ασφάλειας και το βαθµό που µπορεί να πετύχει τους στόχους του µε αυτό. ∆εν είναι τυχαίο ότι κάθε σύγχρονη τεχνολογία (αναφερόµενη σε DataCenter, εφαρµογές ή και πηγαίο κώδικα) περιλαµβάνει ενσωµατωµένα πλέον χαρακτηριστικά ασφάλειας. Από Next Generation Firewalls, Cloud Computing native security features, Secure Coding και τόσα άλλα, βλέπουµε την ασφάλεια ενσωµατωµένη στην καθηµερινότητα (Business As Usual) του σύγχρονου ΙΤ. Η άποψη ότι η ασφάλεια καθυστερεί ή επιβαρύνει το operation ανήκει πλέον στο παρελθόν. Μέσω του µοντέλου DevSecOps πρακτικές όπως “lift & shift” συναντώνται όλο και σπανιότερα. Αντίθετα, τα τελευταία χρόνια βιώνουµε την τάση “shift left” η οποία υποστηρίζει όλο το Life Cycle ενός προϊόντος ή µιας υπηρεσίας από τον αρχικό σχεδιασµό. Αν έπρεπε να διαλέξετε µία και µόνη λέξη που να χαρακτηρίσει τους στόχους των ειδικών της κυβερνο-ασφάλειας για το άµεσο µέλλον ποια θα ήταν; Ισορροπία. Το πρώτο που πρέπει να έχουµε στο µυαλό µας (και το 1ο που διδάσκεται µετά το «δεν υπάρχει 100% ασφάλεια»), είναι η ισορροπία του Security µε το Business. Σε µερικούς ίσως ακουστεί τετριµµένο, αυτονόητο ή περιττό για συζήτηση. Αυτό όµως είναι που θα διαφοροποιήσει τον επαγγελµατία του χώρου και θα τον κάνει να εξελιχθεί. Και δεν είναι καθόλου απλό ή εύκολο, πρέπει να ξέρει καλά και τα δύο για να το πετύχει. ∆ε µπορούµε να προστατέψουµε κάτι που δεν ξέρουµε. Πρέπει να γνωρίζουµε τόσο το αντικείµενο της εταιρείας µας, όσο και τους παράγοντες που την απειλούν. ∆εν αρκεί να έχουµε εντοπίσει τις αδυναµίες των συστηµάτων µας, χρειαζόµαστε
το ζητούµενο επίπεδο ασφαλείας. Η γλώσσα και οι ορολογίες που χρησιµοποιούµε στην κυβερνο-ασφάλεια, χρειάζονται διαφορετική διατύπωση στην παρουσίαση προς το Business. Κάτι που πρωτογενώς χαρακτηρίζουµε Critical ή High Security finding, σε συνδυασµό µε τον παράγοντα “Threat Actor” µπορεί να καταλήξει Medium ή Low στην πραγµατικότητα. Επιτυχία και εξέλιξη σηµαίνει ικανότητα να µιλάµε και αυτή τη γλώσσα σωστά, και να µπορούµε να γεφυρώσουµε αυτούς τους δύο κόσµους. Όπως παρακολουθούµε το Cyber Industry για ενδυνάµωση του Subject Matter Expertise µας, χρειάζεται να ενηµερωνόµαστε και για τις εξελίξεις στο Business κοµµάτι. Το παρόν (πόσο µάλλον το µέλλον) έχει ανάγκη από επαγγελµατίες µε γνώση και των δύο αυτών πεδίων, και ειδικά συνδυαστική σκέψη για να επιτευχθεί η ισορροπία. Η ικανότητα αυτή (ή εξωστρέφεια) είναι απαραίτητη σε κάθε interaction point ενός ειδικού στην κυβερνο-ασφάλεια: στην επαφή µε το µέσο χρήστη των συστηµάτων, στη συνεργασία του µε το ΙΤ, στην ενηµέρωση του Board. Πλαισιώνει το σύνολο των soft skills που χρειάζεται ο επαγγελµατίας του χώρου για να φέρει σε πέρας την αποστολή του, η οποία καθορίζεται από τη συνεργασία του µε άλλες οµάδες. Σηµείωση: το παραδοσιακό security τµήµα µε τον καθαρά αστυνοµικό χαρακτήρα κατέληξε στο περιθώριο, αποµονωµένο. Το σύγχρονο τµήµα µπορεί και παίρνει διαφορετικές µορφές προκειµένου να πετύχει το στόχο του, αναλόγως του συνοµιλητή: project manager, developer, administrator, analyst, friend. Αυτό είναι µέρος του Security Μετασχηµατισµού και ειδικότερα του Security Leader. Το ζητούμενο είναι η ισορροπία του Security με το Business. O επαγγελματίας του χώρου πρέπει να ξέρει καλά και τα δύο
πολλαπλασιάζονται και γίνονται ολοένα και πιο σύνθετες (µόνο τον περασµένο χρόνο οι επιθέσεις τύπου ransomware αυξήθηκαν
ορθολογική κατανοµή πόρων και επενδύσεων
κυβερνοασφάλειας,
δυνατή απόδοση.
Advertorial INFO Ε: infogr@microsoft.com W: www.microsoft.com/security Τίνα ∆αµάσκου MICROSOFT SECURITY: DO MORE WITH LESS Οι τεχνολογίες κυβερνοασφάλειας της Microsoſt προσφέρουν τη δυνατότητα στους οργανισµούς να πετύχουν περισσότερα µε λιγότερα ή αλλιώς “Do More With Less”. THΣ ΤΙΝΑΣ ∆ΑΜΑΣΚΟΥ, PRODUCT MARKETING MANAGER SECURITY & MODERN WORK, MICROSOFT Η παγκόσµια µετάβαση σε υβριδικά µοντέλα εργασίας ώθησε τους οργανισµούς να υιοθετήσουν λύσεις που προσφέρουν διαρκή συνδεσιµότητα. Αυτή η νέα πραγµατικότητα άλλαξε τα δεδοµένα και έφερε µία τεράστια αύξηση του ψηφιακού αποτυπώµατος µε αποτέλεσµα, οι έννοιες της ασφάλειας και του ρίσκου να έχουν εξελιχθεί. Παράλληλα, καθώς οι παραβιάσεις ασφάλειας στον ψηφιακό κόσµο
κατά 105%), αυξάνεται -αντίστοιχα- και το κόστος προστασίας. Η οικονοµική, όµως, αβεβαιότητα των ηµερών, επιβάλλει µια
σε τεχνολογίες
µε τη µεγαλύτερη
ΤΙ ΣΗΜΑIΝΕΙ DO MORE WITH LESS ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ; Σήµερα, οι οργανισµοί σε όλον τον κόσµο, δέχονται πιέσεις από την παγκόσµια οικονοµία να µειώσουν τα κόστη τους και να διαχειριστούν αποτελεσµατικότερα τις ψηφιακές απειλές µε προηγµένες, ολοκληρωµένες και απλοποιηµένες λύσεις ασφάλειας. Σε αυτό το πλαίσιο, πολλοί οργανισµοί προσπαθούν να ενοποιήσουν τις τεχνολογικές λύσεις ασφάλειας και, παράλληλα, να µειώσουν το κόστος και την πολυπλοκότητα διαχείρισής τους. Οι λύσεις κυβερνοασφάλειας της Microsoft διαθέτουν ένα µοναδικό πλεονέκτηµα που βοηθά τους οργανισµούς στη διάρκεια αυτής της περιόδου, εστιάζοντας σε τρία βασικά σηµεία: • Απλοποίηση της διαχείρισης προµηθευτών • Μείωση των κινδύνων µε τη βοήθεια τεχνητής νοηµοσύνης και αυτοµατοποίησης • Βελτίωση της επιχειρησιακής αποτελεσµατικότητας. θεια τεχνητής νοηµοσύνης και αυτοµατοποίησης. Οι τεχνολογίες αυτές δίνουν τη δυνατότητα σε οργανισµούς να εντοπίσουν και να ανταποκριθούν ταχύτερα και µε µεγαλύτερη ακρίβεια σε κυβερνο-επιθέσεις. Για παράδειγµα, µε το Microsoft Sentinel, το Microsoft 365 Defender και το Microsoft Defender for Cloud παρατηρείται µείωση του χρόνου διερεύνησης και αντιµετώπισης των απειλών κυβερνοασφάλειας κατά 65%. Τέλος, η βελτίωση της επιχειρησιακής αποτελεσµατικότητας συνδέεται µε το SecOps και την ενοποιηµένη εµπειρία SIEM και XDR, καθώς και τη µείωση του διαχειριστικού χρόνου. Είναι αξιοσηµείωτο ότι µε την υλοποίηση µηχανισµών self-service single-sign-on (SSO) µέσω του Azure Active Directory, παρατηρείται έως και 75% µείωση των αιτηµάτων για διαχείριση κωδικών πρόσβασης. Η ∆ΕΣΜΕΥΣΗ ΤΗΣ MICROSOFT ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ Αποστολή της Microsoft είναι να βοηθήσει κάθε άνθρωπο, επιχείρηση και οργανισµό, να µεγιστοποιήσει τις δυνατότητες του, µέσα από την αξιοποίηση της τεχνολογίας. Κάτω από αυτό το πρίσµα, η εταιρεία έχει δεσµευτεί για την επένδυση 20 δισεκατοµµυρίων δολαρίων µέχρι το 2026 στον τοµέα της κυβερνοασφάλειας και στην ανάπτυξη προϊόντων. Σκοπός της είναι να παρέχει στους οργανισµούς τις πιο ολοκληρωµένες λύσεις κυβερνοασφάλειας δίνοντάς τους τη δυνατότητα να πετύχουν περισσότερα µε λιγότερα, ή αλλιώς “Do More With Less”. Συγκεκριµένα, η Microsoft ενσωµατώνει περισσότερες από 50 διαφορετικές κατηγορίες µηχανισµών ασφάλειας, κανονιστικής συµµόρφωσης, διαχείρισης ταυτότητας, διαχείρισης συσκευών και προστασίας απορρήτου, ενώ οι περισσότεροι οργανισµοί που ακολουθούν τη λογική της ενοποίησης λύσεων ασφάλειας από διαφορετικούς προµηθευτές, εξοικονοµούν κατά µέσο όρο 60% µέσω των ολοκληρωµένων λύσεων ασφαλείας της Microsoft (σε σύγκριση µε µια στρατηγική πολλών προµηθευτών). Επιπλέον, µε τις τεχνολογίες της Microsoft επιτυγχάνεται και µείωση των κινδύνων µε τη βοήDo More With Less with Microsoft Security Simplify Vendor Management Reduce threats with AI and Automation Improve Operational Efficiency • Integrate up to 50 product categories • Eliminate redundant capabilities • Consolidate number of contracts to manage • Cut third party consulting and deployment costs • Detect and respond faster and more accurately to attacks and insider risks • Protect and govern your sensitive data • Manage and govern your on-premises, multi-cloud, and software-as-aservice (SaaS) data • Improve compliance, monitor and remediate potentially risky activity, and safely enable productive work for employees using multiple devices in multiple locations • Increase SecOps efficiency with a unified SIEM and XDR experience • Secure access across your multifaceted digital landscape and the connected world • Protect against breaches with deeply integrated solutions that secure identities, devices apps and data • Improve visibility across identities and endpoints 31 CYBER SECURITY • netweeK
Η στρατηγική κυβερνοασφάλειας αποτελεί κρίσιµο παράγοντα επιτυχίας στον ψηφιακό µετασχηµατισµό, ειδικά σε συνδυασµό µε τη νέα κανονικότητα που δηµιούργησε η πανδηµία. Tου Λευτέρη Σιαπλαούρα, Υπεύθυνος Συμμόρφωσης –Ασφάλειας Πληροφοριών, Αρχειοθήκη Ανάγκη για ολοκληρωµένη στρατηγική Λευτέρης Σιαπλαούρας 32 netweeK • CYBER SECURITΥ Ο ι ραγδαίες τεχνολογικές εξελίξεις των τελευταίων χρόνων σε δίκτυα και επικοινωνίες, σε συνδυασµό µε την Εθνική ψηφιακή στρατηγική αλλά και τις ιδιαίτερες συνθήκες που δηµιουργήθηκαν µε την πανδηµία Covid-19, είχαν σαν αποτέλεσµα να επιταχύνουν την ανάγκη εκσυγχρονισµού των εταιρειών, τόσο σε ιδιωτικό όσο και δηµόσιο τοµέα. Το άµεσο µέλλον αναµένεται να φέρει µια νέα ψηφιακή επανάσταση, καθώς έχουν διαµορφωθεί ιδιαίτερα ευνοϊκές συνθήκες για τον µετασχηµατισµό της λειτουργίας επιχειρήσεων. Βασικοί άξονες αυτού του µετασχηµατισµού είναι ο ανασχεδιασµός των διαδικασιών και η αξιοποίηση και ενσωµάτωση τεχνολογιών αιχµής µε στόχο την αύξηση της παραγωγικότητας, της αποτελεσµατικότητας αλλά και της βελτίωση των συνθηκών εργασίας. Η νέα πραγµατικότητα µε την οποία βρέθηκαν αντιµέτωπες οι εταιρείες µε αφορµή την πανδηµία, δηµιούργησε την ανάγκη επιτάχυνσης της ψηφιακής µετάβασης και άµεσης προσαρµογής σε αυτή, αλλά παράλληλα δηµιούργησε και νέες ευκαιρίες και πεδίο δράσης στους εγκληµατίες του διαδικτύου. H µετάβαση στην τηλεργασία, η οποία στις περισσότερες περιπτώσεις έγινε απότοµα και χωρίς τη λήψη υποτυπωδών µέτρων ασφάλειας, έφερε στην επιφάνεια τα προβλήµατα στα παραδοσιακά «τείχη προστασίας» των εταιρειών. Επιπλέον και οι ίδιοι οι χρήστες ήρθαν αντιµέτωποι µε µια νέα εργασιακή καθηµερινότητα, χωρίς την απαραίτητη προετοιµασία και εκπαίδευση, µε συνέπεια να δηµιουργηθούν ευνοϊκές συνθήκες για τη δηµιουργία εκµεταλλεύσιµων κενών ασφαλείας και χώρος ανάπτυξης της εγκληµατικής δραστηριότητας στον κυβερνοχώρο. Η ανάγκη προστασίας και ασφάλειας των δεδοµένων των εταιρειών, είναι σήµερα πιο επιτακτική από ποτέ. Οι εταιρείες είναι σηµαντικό να ANALYSIS
περισσότερο ψηφιοποίηση εγγράφων, ενώ σήµερα αποτελείται από
ευρύ πλαίσιο που συµπεριλαµβάνει τη διαχείριση και επεξεργασία µεγάλου όγκου δεδοµένων. Ως εταιρεία έχουµε αναπτύξει και προσφέρουµε σε επιχειρήσεις και οργανισµούς σύγχρονες λύσεις, οι οποίες ενσωµατώνουν τεχνολογία Artificial Intelligence και Machine Learning, βοηθώντας στην γρήγορη και ασφαλή άντληση και επεξεργασία δεδοµένων από το αρχείο τους. Η ανάγκη άλλωστε, για άµεση πρόσβαση των επιχειρήσεων στα εταιρικά τους δεδοµένα καθώς και γρήγορης και ασφαλούς επεξεργασίας τους, ήταν εκείνη που µας οδήγησε στην κατεύθυνση της υιοθέτησης νέων τεχνολογιών και ανάπτυξης inhouse λύσεων, έχοντας ως βάση του σχεδιασµού, την ασφάλεια (security-by-design). Όλα αυτά συντέλεσαν στο συνολικό επαναπροσδιορισµό της στρατηγικής µας ως προς την ασφάλεια των πληροφοριών και την προστασία των δεδοµένων, αφού, παραδοσιακοί µηχανισµοί, όπως η κλασσική ασφάλεια
και να αντιµετωπίζεται ως εν δυνάµει ευπάθεια και να αξιολογείται και να επαληθεύεται κάθε φορά η ταυτότητα του χρήστη, της συσκευής ή του πελάτη που συνδέεται στα συστήµατα της εταιρείας. Ειδικότερα, µια εταιρεία που χρησιµοποιεί υπηρεσίες που βασίζονται σε αµιγώς cloud περιβάλλον, δε θα πρέπει σε καµία περίπτωση να θεωρήσει ότι έχει λύσει τα προβλήµατα ασφαλείας ή ότι η ασφάλεια αποτελεί πρόβληµα µόνο του παρόχου. Αντιθέτως θα πρέπει, οι υπεύθυνοι που ασχολούνται µε την ασφάλεια των πληροφοριών και την προστασία των δεδοµένων, να αναγνωρίσουν
Από τα βασικότερα λάθη που συναντά κάποιος, σήμερα, σε πολλές εταιρείες που επιθυμούν την ψηφιακή μετάβαση, είναι η έλλειψη μιας σύγχρονης στρατηγικής αναφορικά με την κυβερνοασφάλεια 33 CYBER SECURITY • netweeK ακολουθούν ολιστική προσέγγιση κατά τη διαδικασία αναγνώρισης και διαχείρισης κινδύνων κυβερνοασφάλειας και να µη στοχεύουν απλά στην αποσπασµατική αντιµετώπισή τους, αφού σε πολλές περιπτώσεις δεν είναι εύκολα ή άµεσα αντιληπτό το εύρος των κινδύνων αυτών, ενώ και τα προβλήµατα που µπορεί να προκαλέσουν να είναι σηµαντικά έως και µη αναστρέψιµα.Στην Αρχειοθήκη, δραστηριοποιούµαστε στον ψηφιακό µετασχηµατισµό εταιρειών από το 2006, όταν ακόµα η έννοια αυτή ακουγόταν ξένη ή πολύ µακρινή για µια εταιρεία. Τότε, ψηφιακός µετασχηµατισµός σήµαινε
ένα πιο
της περιµέτρου, δεν αρκούν για να προστατέψουν αποτελεσµατικά την υποδοµή και τα δεδοµένα τόσο της Εταιρείας όσο και των Πελατών µας Η σηµασία της ολοκληρωµένης στρατηγικής Από τα βασικότερα λάθη που συναντά κάποιος, σήµερα, σε πολλές εταιρείες που επιθυµούν την ψηφιακή µετάβαση, είναι η έλλειψη µιας σύγχρονης στρατηγικής αναφορικά µε την κυβερνοασφάλεια. Βασική προϋπόθεση µιας τέτοιας ολοκληρωµένης στρατηγικής, είναι να λειτουργεί µε τρόπο που να διασφαλίζει κατ’ αρχήν την ίδια την εταιρεία, αφού τόσο οι κίνδυνοι όσο και το όριο ανοχής απέναντι σε αυτούς, διαφέρουν µεταξύ των εταιρειών. Παρόλο που µπορεί µια εταιρεία να υιοθετεί σύγχρονες τεχνολογικές λύσεις για την ασφάλεια, όπως Firewall, EDR, DLP κ.λπ., στην πραγµατικότητα οι λύσεις αυτές να µην είναι σε θέση να λειτουργούν αποτελεσµατικά και να προσφέρουν το επίπεδο προστασίας που είναι απαραίτητο ή πραγµατικά χρειάζεται, γιατί δεν υπάρχει ή δεν σαφής η στρατηγική κυβερνοασφάλειας. Χρειάζεται να οριστούν σαφώς ρόλοι και αρµοδιότητες, να γίνει ανάθεση των καθηκόντων στο κατάλληλο προσωπικό, να αναγνωριστούν κίνδυνοι και απειλές από το εξωτερικό και το εσωτερικό περιβάλλον και να εκπονηθεί ένα ολοκληρωµένο πρόγραµµα ασφάλειας το οποίο είναι κατάλληλο, προκειµένου να τους αντιµετωπίσει. Στο σύγχρονο επιχειρείν, στο µοντέλο διακυβέρνησης που εφαρµόζουν οι εταιρείες, θα πρέπει οι επιχειρηµατικοί στόχοι που τίθενται για την επιτυχία του ψηφιακού µετασχηµατισµού να ευθυγραµµίζονται και όχι να έρχονται σε σύγκρουση µε την στρατηγική για την κυβερνοασφάλεια. Σε µια εποχή που οι εταιρείες αναπτύσσονται µέσα σε πολύπλοκα και πολυσύνθετα περιβάλλοντα και οι κυβερνοεπιθέσεις αποτελούν καθηµερινό φαινόµενο, ο γενικότερος προσανατολισµός όσον αφορά τον τοµέα της κυβερνοασφάλειας, θα πρέπει να είναι η προστασία σε περισσότερα επίπεδα, η οποία να βασίζεται στο µοντέλο µηδενικής εµπιστοσύνης (zero trust security). Η εµπιστοσύνη τόσο σε hybrid όσο και σε cloud περιβάλλοντα δεν θα πρέπει να θεωρείται δεδοµένη. Αντιθέτως, θα πρέπει να αναγνωρίζεται
και να κατανοήσουν πλήρως τα συστήµατα cloud και τις υποδοµές που χρησιµοποιούν οι εργαζόµενοι και τα στελέχη της εταιρείας, ενώ θα πρέπει επίσης, να διασφαλίσουν ότι υπάρχει σαφήνεια στους όρους αναφορικά µε το ποιος ευθύνεται για την ασφάλεια και την παρακολούθησή της. Η ευαισθητοποίηση των χρηστών Κ λείνοντας, αν θα έπρεπε, µε µια λέξη, να συνοψίσουµε το στόχο για το άµεσο µέλλον στον τοµέα της κυβερνοασφάλειας, αυτή θα ήταν η ευαισθητοποίηση των χρηστών σε γενικότερο επίπεδο. Οι εργαζόµενοι αποτελούν την ραχοκοκαλιά µιας εταιρείας, αλλά ταυτόχρονα ως χρήστες αποτελούν και την κερκόπορτα για τους κυβερνοεγκληµατίες, για πρόσβαση στο δίκτυο και τα δεδοµένα της. Αυτό έχει ως αποτέλεσµα να είναι και οι συνηθέστεροι δέκτες επιθέσεων. Οι χρήστες µιας εταιρείας, ανεξαρτήτως επιπέδου και βαθµίδας, πρέπει να έχουν επίγνωση της σηµασίας της εργασίας τους και πως αυτή επηρεάζει, θετικά ή αρνητικά, τη λειτουργία και την ασφάλεια της εταιρείας. Σε διαφορετική περίπτωση, όταν δεν έχουν λάβει την απαραίτητη εκπαίδευση, η οποία θα πρέπει να είναι συνεχής και επίκαιρη, γύρω από τους καθηµερινούς κινδύνους κυβερνοασφάλειας, δε θα είναι σε θέση να τους αναγνωρίσουν άµεσα ή δεν θα ξέρουν πώς πρέπει να αντιδράσουν σε περίπτωση που πέσουν θύµατα παραβίασης, µε συνέπεια να κινδυνεύει µε παραβίαση ασφάλειας η ίδια η εταιρεία ως σύνολο.
δεδοµένα τους, µε στόχο την αύξηση της παραγωγικότητας και των κερδών, και τον περιορισµό των λειτουργικών τους εξόδων.
netweeK • CYBER SECURITY 34 Advertorial Ωστόσο, οφείλουµε να σηµειώσουµε ότι εκτός από τις οικονοµικές, δεν µπορούµε να παραβλέπουµε τυχόν νοµικές και κανονιστικές επιπτώσεις, αλλά και το έµµεσο κόστος που µπορεί να επιφέρει µια κυβερνοεπίθεση στη φήµη του οργανισµού. Σε αρκετές περιπτώσεις, αυτές ενδέχεται να έχουν καθοριστικές συνέπειες στη λειτουργία του. ΤΟ ΤΟΠΙΟ ΤΩΝ ΑΠΕΙΛΩΝ ΣΤΟΝ ΚΥΒΕΡΝΟΧΩΡΟ ∆ΕΝ ΑΦΟΡΑ ΠΛΕΟΝ ΜΌΝΟ ΤΑ ΠΑΡΑ∆ΟΣΙΑΚΑ ΙΤ ΣΥΣΤΗΜΑΤΑ, ΑΛΛΑ ΕΚΤΕΙΝΕΤΑΙ ΚΑΙ ΣΤΑ ΒΙΟΜΗΧΑΝΙΚΑ ΣΥΣΤΗΜΑΤΑ OT Μια από τις προκλήσεις του χώρου έγκειται στο ότι ακόµα και µικρότερες επιχειρήσεις έχουν ξεκινήσει ένα µακρόπνοο ταξίδι ψηφιακού µετασχηµατισµού τα τελευταία χρόνια, µε τις εταιρείες αυτές να διασυνδέουν τις IT µε τις OT υποδοµές τους, έτσι ώστε να εκσυγχρονιστούν και να ελέγξουν αποτελεσµατικότερα την εφοδιαστική αλυσίδα και τις επιχειρησιακές λειτουργίες τους. Ο ψηφιακός µετασχηµατισµός δηµιουργεί σηµαντικές νέες ευκαιρίες, αλλά καθώς τα διαφορετικά περιβάλλοντα συγχωνεύονται, το εύρος επιθέσεων (attack surface) αυξάνεται. Η παρουσία µεικτών υποδοµών (ΙΤ και ΟΤ), σε συνδυασµό µε την πολυπλοκότητα και τους κινδύνους από τρίτα µέρη, έχει οδηγήσει σε περαιτέρω επέΗ νέα τάξη πραγµάτων επιβάλλει την άµεση µετάβαση των οργανισµών στην ψηφιακή εποχή, οδηγώντας τους να εξαρτώνται όλο και περισσότερο από την τεχνολογία, τους αυτοµατισµούς και τα
Ως εκ τούτου, η κατανόηση και η προστασία του ψηφιακού περιβάλλοντος στο οποίο λειτουργούν, ή µέσω του οποίου αλληλεπιδρούν, καθίσταται πιο δύσκολη από ποτέ. Είναι ιδιαιτέρως κρίσιµο να κατανοηθεί ότι το τεχνολογικό τοπίο κάθε οργανισµού είναι ιδιάζον και πολύπλοκο, καθώς εµπλέκει πολλές και διαφορετικές οµάδες µε περιοχές ευθύνης, όπως για παράδειγµα, τον στρατηγικό σχεδιασµό, τον προϋπολογισµό, την υλοποίηση και την υποστήριξη πληροφοριακών συστηµάτων, περιλαµβάνοντας, παράλληλα, πληθώρα δικτύων και υποδοµών τα οποία ενδέχεται να βρίσκονται εντός των εγκαταστάσεων του οργανισµού, στο cloud, ή να ανήκουν και να διαχειρίζονται από τρίτα µέρη. Συνεπώς, η ακριβής οριοθέτηση ενός οργανισµού µπορεί να αποτελέσει πρόκληση, καθώς ενδέχεται ένας σηµαντικός αριθµός των συσκευών που έχουν πρόσβαση σε συστήµατα του κάθε οργανισµού να ανήκει σε εργαζοµένους, πελάτες ή προµηθευτές (συµπεριλαµβανοµένων φορητών υπολογιστών, tablets, smartphones, λύσεων edge computing, και άλλων). Επίσης, η αυξηµένη συνδεσιµότητα µεταξύ δικτύων IT και βιοµηχανικών δικτύων (OT) διευρύνει το ενδεχόµενο «επιθέσεων αυξηµένου εύρους», όπου ένα περιστατικό κυβερνοασφάλειας µπορεί να διαταράξει την παραγωγή ή τη λειτουργία του οργανισµού, την ασφάλεια του προσωπικού, και να έχει άµεσο αντίκτυπο σε επιχειρηµατικές στρατηγικές και στόχους. Τα περιστατικά κυβερνοασφάλειας ενδέχεται να είναι κακόβουλης ή ακούσιας φύσης. Συνήθως, συµπεριλαµβάνουν από διακοπές επιχειρηµατικών υπηρεσιών και µεγάλης κλίµακας παραβιάσεις εµπορικών, επιχειρησιακών και προσωπικών δεδοµένων, έως και απάτη στον κυβερνοχώρο και προηγµένες παρατεταµένες επιθέσεις σε στρατηγικούς στόχους. ΠΟΙΟ ΕΙΝΑΙ ΤΟ ΚΟΣΤΟΣ ΤΩΝ ΕΠΙΘΕΣΕΩΝ ΣΤΟΝ ΚΥΒΕΡΝΟΧΩΡΟ; Σύµφωνα µε την παγκόσµια ηγέτιδα στον τοµέα της έρευνας σε θέµατα κυβερνοασφάλειας, «Cybersecurity Ventures», το παγκόσµιο κόστος του εγκλήµατος στον κυβερνοχώρο αναµένεται να αυξάνεται κατά 15% ετησίως τα επόµενα χρόνια, φθάνοντας τα 10,5 τρισεκατοµµύρια δολάρια έως το 2025, από 3 τρισεκατοµµύρια δολάρια το 2015. 1 Οι απειλές στον κυβερνοχώρο εξελίσσονται και κλιµακώνονται µε ιδιαίτερα ανησυχητικό ρυθµό σε ολοένα και περισσότερους κλάδους. Η ΕΝΙΣΧΥΣΗ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΓΙΝΕΤΑΙ ΠΡΟΤΕΡΑΙΟΤΗΤΑ ΤΩΝ ΟΡΓΑΝΙΣΜΩΝ ΜΟΝΟ ΑΦΟΥ ∆ΕΧΘΟΥΝ ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ;
να υπονοµεύσουν και να επηρεάσουν τις λειτουργίες ενός οργανισµού. Οι παράγοντες απειλής (threat actors) που αξιοποιούν αυτές τις “διαδροµές” εκµεταλλεύονται συχνά µια σειρά από κοινές αδυναµίες που εντοπίζονται στην αρχιτεκτονική δικτύου και, ενδεχοµένως, στις απαρχαιωµένες τεχνολογίες στην περίµετρο ενός οργανισµού, στις βασικές δικλείδες πρόσβασης και σε αστοχίες στις παραµετροποιήσεις ασφαλείας, στην αποµακρυσµένη πρόσβαση του προσωπικού και τρίτων µερών, καθώς και, πολύ συχνά, στον ανθρώπινο παράγοντα. Ως αποτέλεσµα, παρουσιάζονται κίνδυνοι σε ολόκληρη την αλυσίδα, γεγονός που δεν περιορίζεται µόνο στην πιθανότητα πρόκλησης διαταραχών στις επιχειρησιακές λειτουργίες, αλλά και σε σηµαντικές συνέπειες για ολόκληρο τον οργανισµό.
Εάν αυτοί οι κίνδυνοι δεν αναγνωρίζονται, εντοπίζονται και παρακολουθούνται αποτελεσµατικά, είναι πιθανό ο οργανισµός και οι εργαζόµενοί του να βρίσκονται σηµαντικά εκτεθειµένοι.
σενάρια απειλών στον κυβερνοχώρο για κάθε οργανισµό. Οι οργανισµοί θα πρέπει να υιοθετήσουν ένα πλαίσιο ασφάλειας στον κυβερνοχώρο για τον συνεπή εντοπισµό
κρίσιµων κενών ασφαλείας και ενεργειών που απαιτούνται για την επίτευξη
του επιθυµητού προφίλ κινδύνου.
Πιστεύουµε ότι, ανεξάρτητα από το
πλαίσιο που υιοθετείται, θα πρέπει να επιλέγεται και µια προσέγγιση κατάλληλη για τον σκοπό για τον οποίο προορίζεται, να εξασφαλιστεί µια ισορροπία
αυτή, θα πρέπει να αντιµετωπίζεται ως µία στρατηγική επένδυση, διότι θα συνδράµει στην αντιµετώπιση µίας πιθανής διακοπής της λειτουργίας του οργανισµού, στη µείωση των οικονοµικών επιπτώσεων που µπορεί να υπάρξουν, ενώ, ταυτόχρονα, θα συµβάλει και στην αύξηση της ασφάλειας του ίδιου του οργανισµού. • Επικοινωνήστε θέµατα που αφορούν την κυβερνοασφάλεια, χρησιµοποιώντας ένα πλαίσιο επιχειρηµατικού κινδύνου ώστε να δηµιουργηθεί µια κοινή γλώσσα για όλους και να βοηθήσετε στην αποτελεσµατικότερη αποσαφήνιση των κινδύνων. • Αναζητήστε
παγκόσµια έρευνα κυβερνοασφάλειας της EY, Global Information Security Survey, δείχνει
πρόσβασης, η αρχιτεκτονική ασφάλειας zero trust, και ένα ολιστικό πλαίσιο security testing, ως µέρος ευρύτερων προγραµµάτων εκσυγχρονισµού
σχηµατισµού.
CYBER SECURITY • netweeK 35 INFO ΕΥ Ελλάδος Βασίλης Μαρίτσας, Director, Cybersecurity Consulting Services T: 210-2886000 Ε:Vasilios.k.maritsas@gr.ey.com W: ey.com/cyber κταση των «µονοπατιών επίθεσης» που µπορούν να χρησιµοποιηθούν οδηγώντας σε περιστατικά κυβερνοασφάλειας. Συνήθως, υπάρχουν τέσσερα βασικά «µονοπάτια επίθεσης» που µπορούν να χρησιµοποιηθούν για
Η ΠΡΟΚΛΗΣΗ Η
ότι η χρηµατοδότηση της ασφάλειας στον κυβερνοχώρο δεν συµβαδίζει µε τον αυξανόµενο κίνδυνο. Οι µισοί από τους ερωτηθέντες της εν λόγω έρευνας, λένε ότι οι προϋπολογισµοί είναι χαµηλότεροι από ό,τι απαιτείται για την αντιµετώπιση των υφιστάµενων προκλήσεων που σχετίζονται µε τον κυβερνοχώρο, ενώ περισσότερο από το 45% πιστεύει ότι είναι απλώς θέµα χρόνου να υπάρξει παραβίαση που θα µπορούσε να είχε αποφευχθεί µε επαρκή χρηµατοδότηση. 2 ΠΡΟΛΗΨΗ ΑΠΕΙΛΩΝ ΣΤΟΝ ΚΥΒΕΡΝΟΧΩΡΟ Απαιτείται ριζική αλλαγή στην κουλτούρα και την ευαισθητοποίηση σχετικά µε τον κίνδυνο στον κυβερνοχώρο που δηµιουργείται από τον «ανθρώπινο παράγοντα». Ο επείγων χαρακτήρας αναδεικνύεται όταν αναλογιστούµε ότι µία επίθεση δεν αφορά πλέον το «εάν» αλλά το «πότε». Οι οργανισµοί πρέπει να εφαρµόζουν καλές πρακτικές διαχείρισης κινδύνου, οι οποίες ξεκινούν µε την αντιµετώπιση των κινδύνων στον κυβερνοχώρο, ακριβώς όπως των επιχειρηµατικών κινδύνων. Η κατανόηση του τοπίου των απειλών στον κυβερνοχώρο είναι το πρώτο και θεµελιώδες βήµα στην αλλαγή για τη βελτίωση της ωριµότητας στον κυβερνοχώρο. Για να αντιµετωπιστεί αυτό, οι οργανισµοί πρέπει να έχουν ένα σαφές σχέδιο που να αποτελεί µέρος του ψηφιακού οδικού τους χάρτη και του σχεδίου διαχείρισης κινδύνου. Το πρώτο βήµα είναι να καθοριστεί µια βάση θεµελιωδών ελέγχων στον κυβερνοχώρο. Η βάση αυτή, υποστηριζόµενη από µια προσέγγιση βάσει κινδύνου για την ιεράρχηση των στρατηγικών και µακροπρόθεσµων επενδύσεων, θα πρέπει να ευθυγραµµιστεί και µε τα σηµαντικότερα
µεταξύ «προστασίας» και «αντίδρασης» και να πληροί τις λειτουργικές απαιτήσεις ενός οργανισµού. ΕΝ∆ΕΙΚΤΙΚΗ ΠΡΟΣΕΓΓΙΣΗ ∆ΙΑΧΕΙΡΙΣΗΣ ΑΠΕΙΛΩΝ ΣΤΟΝ ΚΥΒΕΡΝΟΧΩΡΟ • Προσδιορισµός των πραγµατικών κινδύνων: χαρτογράφηση του περιβάλλοντος ψηφιακών απειλών στο οποίο δραστηριοποιείται ο οργανισµός και αναγνώριση των πιο κρίσιµων υποδοµών (crown jewels) • Θεωρήστε τις παραβιάσεις δεδοµένες: θα πρέπει να βελτιώσουµε τους ελέγχους και τις διαδικασίες για τον εντοπισµό, την προστασία, την απόκριση και την ανάκαµψη από αυτές. • ∆ιακυβέρνηση και παρακολούθηση: τακτική αξιολόγηση του υπολειπόµενου κινδύνου. • Ολιστικό πλαίσιο security testing: προσδιορισµός ενός πλαισίου security testing που θα περιλαµβάνει όχι µόνο το τεχνολογικό περιβάλλον του οργανισµού, αλλά και τις διαδικασίες και τους ανθρώπους. • Ευαισθητοποίηση για την ασφάλεια: καταστήστε την ασφάλεια ευθύνη όλων. ∆ΡΑΣΗ ΚΑΙ ΡΟΛΟΣ ΤΩΝ CISO • Προετοιµάστε τον οργανισµό µε µια «σύγχρονη» αρχιτεκτονική ασφάλειας, καθώς µε την ταχεία υιοθέτηση του cloud, του ΑΙ και του αυτοµατισµού αναµένονται ραγδαίες αλλαγές τα προσεχή πέντε χρόνια. • Λόγω της αύξησης του οικονοµικού εγκλήµατος στον κυβερνοχώρο, της ανάγκης για προστασία κρίσιµων υποδοµών και των αλλαγών στους τρόπους εργασίας, υπάρχει επιτακτική ανάγκη της αναβάθµισης του επιπέδου της κυβερνοασφάλειας των οργανισµών. Η ανάγκη
ευκαιρίες για ανασκόπηση των βασικών θεµελίων κυβερνοασφάλειας, όπως η διαχείριση ταυτότητας χρηστών και
και ψηφιακού µετα-
1. https://cybersecurityventures.com/cybersecurityalmanac-2022/ 2. https://www.ey.com/en_gl/giss
36 netweeK • CYBER SECURITY INTERVIEW netweek: Πώς θα περιγράφατε τις ιδιαιτερότητες και τις προκλήσεις στο δικό σας κλάδο και εταιρεία γύρω από το ζήτηµα της κυβερνοασφάλειας; Κωνσταντίνος Παπαχριστοφής: Η ασφάλεια της πληροφορίας αποτελεί τη µεγαλύτερη πρόκληση για κάθε επιχείρηση σήµερα. Στις εταιρείες µας εξελισσόµαστε ψηφιακά έχοντας ως στόχο τη βελτιστοποίηση διαδικασιών µας, τη διάθεση καινοτόµων υπηρεσιών, την ενίσχυση της επιχειρησιακής συνέχειας και την ανθεκτικότητα των συστηµάτων σε ασυνήθιστες και απρόσµενες καταστάσεις. Γνωρίζουµε όµως, ότι όπου υπάρχει πολύ τεχνολογία, εξαπλώνεται παράλληλα και η ψηφιακή απάτη. Νέες τεχνικές εξαπάτησης εµφανίζονται και όσο πιο µεγάλη εξάπλωση γνωρίζει η ψηφιακή υλοποίηση, τόσο πιο πολύ µεγαλώνει και ο κίνδυνος. Νέες διασυνδέσεις µεταξύ εταιρειών δηµιουργούνται, όπου συστήµατα και λογισµικά τρίτων, επικοινωνούν µε εταιρικά συστήµατα και εφαρµογές. Αυτό ενισχύει ακόµη περισσότερο τις επιθέσεις τύπου supply chain attack (επιθέσεις εφοδιαστικής αλυσίδας). Μια επίθεση σε αλυσίδα εφοδιασµού είναι ένας τύπος κυβερνοεπίθεσης που στοχεύει έναν αξιόπιστο τρίτο προµηθευτή που προσφέρει υπηρεσίες ή λογισµικό ζωτικής σηµασίας για την αλυσίδα εφοδιασµού. Ειδικά στο retail, µια ακόµη πρόκληση είναι η εξατοµίκευση των υπηρεσιών προς τον πελάτη. Παράλληλα, η Ο Κωσταντίνος Παπαχριστοφής, Information Security Officer, Olympia Group, αναλύει τις τάσεις σε ότι αφορά την κυβερνοασφάλεια και τις στρατηγικές που συµβάλουν στην ανάπτυξη της επιθυµητής ανθεκτικότητας. Συνέντευξη στον Βαγγέλη Βαγγελάτο Στόχος το cyber resilience Κωνσταντίνος Παπαχριστοφής
από
µία, αλλά και οι εγκληµατίες του κυβερνοχώρου από την άλλη. Οι τελευταίοι έχουν προσαρµοστεί γρήγορα σε αυτές τις αλλαγές, διαµορφώνοντας τις τακτικές τους σύµφωνα µε τη νέα πραγµατικότητα. Οι µεγαλύτερες προκλήσεις κυβερνοασφάλειας το 2022 συνδέονται µε το ευρύτερο περιβάλλον που έχει διαµορφωθεί και περιλαµβάνουν:
• Την αύξηση επιθέσεων εφοδιαστικής αλυσίδας (supply chain attacks)
• Την αύξηση επιθέσεων κοινωνικής µηχανικής (Social engineering)
• Τη στόχευση υπηρεσιών Cloud και ΑΙ που αποτελούν πλέον πρωταρχικό στόχο για τους εγκληµατίες του διαδικτύου
• Την αύξηση επιθέσεων
στον κυβερνοχώρο στο µέλλον;» Οι εταιρείες λοιπόν θα πρέπει να διασφαλίσουν και την ανθεκτικότητα της τεχνολογίας τους, ενισχύοντας τις άµυνές τους, κοιτάζοντας µπροστά, προβλέποντας τις αναδυόµενες κυβερνοαπειλές του µέλλοντος και κατανοώντας το πλήθος των νέων αµυντικών δυνατοτήτων που µπορούν να χρησιµοποιήσουν. Θα πρέπει να υπάρξει µια διατήρηση της επαγρύπνησης µε την πάροδο του χρόνου. Σήµερα, µπορούµε να αντιµετωπίσουµε και να µετριάσουµε
37 CYBER SECURITY • netweeK ενεργοποίηση κατάλληλων υποδοµών και διαδικασιών ώστε να µπορούµε να αντιµετωπίσουµε τον πελάτη σαν µονάδα, χωρίς να παραβιάσουµε τα δικαιώµατά του, καθώς επίσης και να τον εξυπηρετήσουµε µε ένα τρόπο που θα είναι πολύ καλύτερος από αυτόν που είχε συνηθίσει µέχρι τώρα, και φυσικά όλα αυτά µε ασφάλεια. Ποιο είναι το σηµείο/ περιοχή µε το µεγαλύτερο ζήτηµα ασφαλείας για εσάς; Τα τελευταία δύο χρόνια απείχαν πολύ από τα συνηθισµένα, τόσο για την ασφάλεια στον κυβερνοχώρο όσο και για τις επιχειρήσεις γενικότερα. Η πανδηµία του COVID-19 έχει αλλάξει οριστικά τον τρόπο µε τον οποίο κινούνται οι επιχειρήσεις
τη
ransomware (ransomware as a service) Στο δικό µας κλάδο, λόγω των πολλών διασυνδέσεων µε τρίτους προµηθευτές που προσφέρουν υπηρεσίες ή λογισµικό ζωτικής σηµασίας για την αλυσίδα εφοδιασµού, οι επιθέσεις της εφοδιαστικής αλυσίδας σε συνδυασµό µε τις αυξηµένες επιθέσεις µέσω phishing campaigns θα έλεγα ότι είναι οι µεγαλύτεροι κίνδυνοι. Πώς βλέπετε να διαµορφώνονται οι συνθήκες ασφαλείας τα τελευταία χρόνια; Ποιες είναι βασικότερες εξελίξεις που επέδρασσαν στο καθεστώς ασφαλούς λειτουργίας τα τελευταία 2-3 χρόνια; ∆εν υπάρχει χρονιά τα τελευταία 2-3 χρόνια που να µην ακούσουµε για µια µεγάλη κυβερνοεπίθεση σε διεθνές επίπεδο. Είναι σηµαντικό για εµάς να κάνουµε ένα βήµα πίσω και να δούµε τα προηγούµενα γεγονότα ασφαλείας, ώστε να µπορούµε να δούµε τη µεγαλύτερη εικόνα και να κατανοήσουµε καλύτερα πώς οι εξελίξεις στην τεχνολογία αλλά και οι εξελίξεις στις διαδικτυακές επιθέσεις έχουν διαµορφώσει τις (ψηφιακές) ζωές µας και τι πρέπει να πράξουµε στο µέλλον. Οι παραβιάσεις τύπου ransomware, τα supply chain attacks και η παραβίαση/υποκλοπή δεδοµένων ήταν πολύ συχνά στα πρωτοσέλιδα τα τελευταία χρόνια και η τρέχουσα κατάσταση της κυβερνοασφάλειας δεν φαίνεται πιο φωτεινή, καθώς ο όγκος των επιθέσεων αναµένεται να κλιµακωθεί. Βλέπουµε πλέον και έναν µετατόπισµα των κυβερνοεπιθέσεων και προς το cloud. Ποιες είναι οι τάσεις στην κυβερνοασφάλεια σε κοντινό ορίζοντα (3-5 έτη); Η κυβερνοασφάλεια ήταν πάντα ένας αγώνας που δεν τελειώνει ποτέ, ενώ ο ρυθµός αλλαγής και µετασχηµατισµού στις εταιρείες επιταχύνεται. Οι εταιρείες συνεχίζουν να επενδύουν στην τεχνολογία, ενώ ταυτόχρονα οι εγκληµατίες του κυβερνοχώρου αξιοποιούν ολοένα και πιο ολοκληρωµένα εργαλεία και δυνατότητες τεχνητής νοηµοσύνης και µηχανικής µάθησης. Σε αυτό το περιβάλλον, οι επιχειρήσεις καλούνται να απαντήσουν σε ένα βασικό ερώτηµα: «Είµαστε προετοιµασµένοι για να καταλάβουµε πώς οι σηµερινές τεχνολογικές επενδύσεις θα έχουν επιπτώσεις στην ασφάλεια
τις απειλές του µέλλοντος µόνο αν υιοθετήσουµε µια πιο προληπτική, στραµµένη προς το µέλλον στάση — ξεκινώντας άµεσα. Μέσα στα επόµενα τρία έως πέντε χρόνια, αναµένεται ότι τρεις θα είναι οι κυρίαρχες τάσεις στον κυβερνοχώρο που συνδυάζουν πολλαπλές τεχνολογίες και θα έχουν τις µεγαλύτερες επιπτώσεις για τις εταιρείες. 1. Η αυξανόµενη πρόσβαση κατ’ απαίτηση σε πλατφόρµες δεδοµένων και πληροφοριών, κυρίως σε mobile πλατφόρµες και marketplaces. Η συλλογή από κάθε οργανισµό πολύ περισσότερων δεδοµένων για τους πελάτες µε στόχο την καλύτερη κατανόηση και επίδραση στην αγοραστική συµπεριφορά αλλά και την αποτελεσµατική πρόβλεψη της ζήτησης. 2. Οι χρήση της τεχνητής νοηµοσύνης και άλλων τεχνολογιών από τους χάκερς για να εξαπολύσουν όλο και πιο εξελιγµένες επιθέσεις 3. Το ολοένα πιο σύνθετο ρυθµιστικό τοπίο και τα συνεχή κενά σε πόρους, γνώση και εµπειρίες στελεχών που θα ξεπεράσουν την ασφάλεια στον κυβερνοχώρο. ∆ηλαδή, αναµένουµε ότι οι ρυθµιστικές αρχές θα αυξάνουν την καθοδήγησή τους σχετικά µε τις δυνατότητες εταιρικής ασφάλειας στον κυβερνοχώρο. Ποιοι είναι οι βασικότεροι παράγοντες και εργαλεία στη δηµιουργία ενός περιβάλλοντος ασφάλειας στο σύγχρονο επιχειρείν; Η µετάβαση στη νέα ψηφιακή εποχή και ο ψηφιακός µετασχηµατισµός βοηθούν τις επιχειρήσεις να δηµιΣήμερα, μπορούμε να αντιμετωπίσουμε και να μετριάσουμε τις απειλές του μέλλοντος μόνο αν υιοθετήσουμε μία πιο προληπτική στάση -ξεκινώντας άμεσα
σµοί αντιγράφων ασφαλείας (backup)
• Συνεχή εποπτεία της ασφάλειας των υποδοµών (Security Operation Center)
• Προγράµµατα ευαισθητοποίησης του προσωπικού και διαµόρφωσης κουλτούρας ασφάλειας (security awareness training).
• Σχέδιο αντιµετώπισης περιστατικών
• Μέτρα προστασίας
ανάκαµψης από καταστροφές
Λογισµικό προστασίας από κακόβουλο κώδικα και
συµπεριφορά
38 netweeK • CYBER SECURITY INTERVIEW ουργήσουν ένα νέο ψηφιακό δίκτυο, προκειµένου να ανταποκριθούν στον αυξηµένο ανταγωνισµό . Οι τεχνολογίες της 4ης Βιοµηχανικής επανάστασης µπορούν να χρησιµοποιηθούν για τη βελτίωση της ανθεκτικότητας και της συνέχειας των επιχειρήσεων. ∆υνατότητες όπως η ψηφιακή αλυσίδα εφοδιασµού, η ανάλυση δεδοµένων, η τεχνητή νοηµοσύνη, η ροµποτική, το ψηφιακό εµπόριο και το ∆ιαδίκτυο των πραγµάτων, µπορούν να αυξήσουν την ανθεκτικότητα και την ευελιξία των οργανισµών. Οι παραπανω τεχνολογίες προϋποθέτουν υψηλές ταχύτητες, ασφαλείς διασυνδέσεις, ασφαλή δίκτυα, γενικότερη ασφάλεια και εποπτεία και κατάλληλες λύσεις λογισµικού. Τα δεδοµένα αναµφίβολα αποτελούν την “καύσιµη ύλη” και το next big thing του σήµερα, αύριο και µεθαύριο. Για τη δηµιουργία ενός περιβάλλοντος ασφάλειας είναι απαραίτητα τα εξής: • Στρατηγικό πλάνο ασφάλειας (οργανωτικά και τεχνικά µέτρα) • Πολιτικές Ασφαλείας • Στρατηγικό πλάνο Ανθεκτικότητας. Ισχυροί µηχανι-
και
•
ασυνήθιστη
• ∆ιαχείριση λογαριασµών και έλεγχος πρόσβασης (Zero trust, least privilege, MFA) • Ασφαλή αποµακρυσµένη πρόσβαση. Ποια πιστεύετε πως θα πρέπει να είναι η γενικότερη φιλοσοφία του σύγχρονου ΙΤ απέναντι στο ζήτηµα της ασφάλειας; Καθώς οι απειλές από κυβερνοεπιθέσεις αυξάνονται µέρα µε τη µέρα, η ανάγκη προστασίας των πληροφοριακών συστηµάτων γίνεται επίσης πιο επιτακτική. Οι διαφορετικοί στόχοι των οµάδων ΙΤ και ασφάλειας ενδέχεται να εµποδίσουν τις προσπάθειες για την εφαρµογή µιας αποτελεσµατικής στρατηγικής ασφαλών υλοποιήσεων. Με το σηµερινό ταχέως διευρυνόµενο τοπίο απειλών, είναι σηµαντικό να ευθυγραµµιστούν οι οµάδες ΙΤ και ασφάλειας για να διασφαλιστεί καλύτερη επικοινωνία και συνεργασία. Προς αυτή την κατεύθυνση προτείνονται πέντε (5) βήµατα: ∆ηµιουργία security ambassador στις οµάδες ΙΤ. Με την προσέλκυση experts από διαφορετικούς λειτουργικούς τοµείς της εταιρείας —όπως systems, networks, web, κλπ.— οι οποίοι έχουν αντίληψη και κατανοούν την πολυπλοκότητα της ασφάλειας, καθίσταται δυνατή η δηµιουργία µιας ισχυρής οµάδας που θα προστατεύει την εταιρεία. Επιπλέον, µια τέτοια προσέγγιση βοήθα την εταιρεία να λαµβάνει τη βέλτιστη κάθε φορά απόφαση διότι διαθέτει πλέον πληροφορίες από διάφορες οπτικές γωνίες της εταιρείας. Να µην είναι η ασφάλεια ένα φρούριο. Είναι σηµαντικό η ασφάλεια να προωθεί µια λογική ανοιχτών θυρών και να ενθαρρύνει οποιονδήποτε στην εταιρεία να έρθει και να µοιραστεί ιδέες, προβλήµατα και ανησυχίες. Η οµάδα ασφαλείας πρέπει να είναι εύκολα προσιτή. Η διαφάνεια και η εµπιστοσύνη σε ολόκληρη την εταιρεία είναι το κλειδί για την προώθηση της αποστολής της ασφάλειας, εξισορροπώντας παράλληλα την ανάγκη για ευελιξία γύρω από την υπηρεσία και την υλοποίηση αυτής. Ευθυγράµµιση µε τις επιχειρησιακές ανάγκες. Η οµάδα της ασφάλειας χρειάζεται µια σταθερή κατανόηση των επιχειρησιακών αναγκών. Όταν συζητάτε µια λύση τεχνολογίας, ελέγχου ή ασφάλειας µε οµάδες του IT, οι οµάδες ασφαλείας θα λειτουργούν πιο έξυπνα όταν κατανοούν βαθύτερα τις συνέπειες για την επιχείρηση, αντί να βλέπουν απλώς τα πράγµατα µέσα από παρωπίδες ασφάλειας. Συνεργασία µεταξύ CIO/CTO και CISO. Οι CIO/CTO και οι CISO πρέπει να συνεργάζονται για να επιτύχουν ευθυγράµµιση και σαφήνεια γύρω από τους ρόλους και τους τοµείς ευθύνης, καθώς και να µειώσουν τις τριβές µεταξύ τµηµάτων και προϋπολογισµών. Πρέπει να επικεντρωθούν στην ευθυγράµµισης δοµών και την ανάπτυξη σχέσεων που να βασίζονται στην εµπιστοσύνη και τη συνεργασία. Ευθυγράµµιση του IT και της ασφάλειας απέναντι στις Επιτροπές. Οι οµάδες IT και ασφάλειας πρέπει να ευθυγραµµίζονται όταν παρουσιάζουν προκλήσεις, πρόοδο και ανάγκες σε επιτροπές τεχνολογίας ή επιτροπές ελέγχου, καθώς και στο ∆ιοικητικό Συµβούλιο. Παρουσιάζοντας µια ενιαία εικόνα µπορεί να διασφαλιστεί καλύτερα η υποστήριξη από την ανώτατη διοίκηση του οργανισµού. Αν έπρεπε να διαλέξετε µία και µόνη λέξη που να χαρακτηρίσει τους στόχους των ειδικών της κυβερνο-ασφάλειας για το άµεσο µέλλον ποια θα ήταν; Ανθεκτικότητα (cyber resilience). Μερικές φορές υπάρχει µια παρεξήγηση µεταξύ της κυβερνοασφάλειας και της ανθεκτικότητας στον κυβερνοχώρο. Ενώ η κυβερνοασφάλεια επικεντρώνεται στην αποµάκρυνση των εισβολέων, η ανθεκτικότητα στον κυβερνοχώρο στοχεύει να ελαχιστοποιήσει τον αντίκτυπο που προκαλείται από τους εισβολείς που καταφέρνουν µε κάποιο τρόπο να διεισδύσουν στις ΙΤ υποδοµές. Μερικοί αναρωτιούνται τι θεωρείται τελικά ως νίκη ή επιτυχία στην ασφάλεια στον κυβερνοχώρο, δεδοµένου ότι δεν υπάρχει 100% ασφάλεια. Η άποψη µου είναι ότι «Νίκη δεν σηµαίνει µόνο η εξάλειψη του κινδύνου, αλλά και η ετοιµότητα για ταχεία ανάκαµψη». Πρέπει να δηµιουργήσουµε όχι µόνο µια στρατηγική ασφάλειας αλλά και µια στρατηγική ανθεκτικότητας. Σε ένα κόσµο που διαρκώς µεταβάλλεται, όπου τα νέα ψηφιακά σύνορα είναι χωρίς σύνορα (borderless digital world), η ανθεκτικότητα αποτελεί κύρια στρατηγική επιλογή.
οι κίνδυνοι που απορρέουν από την ευρεία χρήση της, µε αποτέλεσµα οι οµάδες πληροφορικής και ασφαλείας των επιχειρήσεων να καλούνται να βρουν τρόπους να προστατεύσουν την υποδοµή τους και τα εµπιστευτικά δεδοµένα τους. Όλα
πρέπει
γίνουν ακολουθώντας
να επιτύχουν
κανονιστικές οδηγίες, ενώ καλούνται να βρουν την χρυσή
ανάµεσα στην ασφάλεια
την παραγωγικότητα. Με στόχο
εξασφάλιση
Advertorial ΜΕΓΙΣΤΟΠΟΙΗΣΤΕ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ ΣΑΣ Οι σύγχρονες τεχνολογίες κυβερνοασφάλειας βοηθούν στην κάλυψη των αναγκών και των προκλήσεων που δηµιουργούνται στο διαρκώς µεταβαλλόµενο ψηφιακό περιβάλλον, εξασφαλίζοντας τη σταθερότητα στην παραγωγική διαδικασία των επιχειρήσεων. ΤΟΥ ΑΓΓΕΛΟΥ ΤΡΙΑΝΤΑΦΥΛΛΟΥ, TECHNOLOGY CONSULTANT ΣΤΗΝ SYSTECOM A.E. κάθε οργανισµού. ∆ηµιουργείται λοιπόν η ανάγκη για αξιολόγηση, αριθµητική βαθµολόγηση και άµεση επικοινωνία του επιπέδου κυβερνοασφάλειας τόσο του ίδιου του οργανισµού, όσο και των συνεργατών του. ΕΚΠΑΙ∆ΕΥΣΗ ΧΡΗΣΤΩΝ ΣΕ ΘΕΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Μεγάλο ποσοστό παραβιάσεων ασφαλείας ξεκινά από λάθη χρηστών που δεν είναι εξοικειωµένοι και δεν εφαρµόζουν τις βέλτιστες πρακτικές που αφορούν τη διατήρηση της κυβερνοασφάλειας. Η έλλειψη αυτή επιδεινώθηκε στην περίοδο της πανδηµίας, επισηµαίνοντας την ανάγκη συνεχούς εκπαίδευσης των χρηστών σε θέµατα Κυβερνοασφάλειας, µε στόχο τη δηµιουργία ενός ισχυρού human firewall που συµβάλλει ουσιαστικά στη θωράκιση του οργανισµού. ΣΥΝΕΧΗΣ ΕΠΙΚΥΡΩΣΗ ΤΩΝ ΜΗΧΑΝΙΣΜΩΝ ΑΣΦΑΛΕΙΑΣ Ο πολλαπλασιασµός των ευπαθειών και των απειλών σε συνδυασµό µε το δυναµικά µεταβαλλόµενο IT περιβάλλον, καθιστά τα αποτελέσµατα που λαµβάνουν οι οµάδες ασφαλείας από τις ετήσιες δοκιµές διείσδυσης, που παραδοσιακά διενεργούν, ανεπαρκή. Είναι επιτακτική η ανάγκη συνεχούς επικύρωσης των µηχανισµών και συστηµάτων ασφαλείας του οργανισµού, που παρέχει παράλληλα αυτοµατοποιηµένη ιεράρχηση των ευπαθειών βάσει του πραγµατικού τους ρίσκου για τον οργανισµό. Οι οργανισµοί στην εποχή µας έρχονται αντιµέτωποι µε µία σειρά από προκλήσεις που δηµιουργούνται στο αυξανόµενα ανταγωνιστικό περιβάλλον στο οποίο επιχειρούν. Προκειµένου να ανταπεξέλθουν και να µεγιστοποιήσουν την παραγωγικότητα και την απόδοση τους µε περιορισµένους πόρους, κατέφυγαν στην ευρεία εφαρµογή της ψηφιακής τεχνολογίας, που καταλαµβάνει κυρίαρχο ρόλο σε όλα τα επίπεδα της παραγωγικής διαδικασίας. Παράλληλα όµως αυξάνονται
αυτά
να
συγκεκριµένα πλαίσια για
συµµόρφωση µε
ισορροπία
και
την
της αποτελεσµατικής προστασίας των ψηφιακών υποδοµών των οργανισµών, αναζητούµε συνεχώς καινοτόµες τεχνολογίες κυβερνοασφάλειας, οι οποίες εστιάζουν στις διάφορες ανάγκες που έχουν δηµιουργηθεί, οι βασικότερες από τις οποίες αναφέρονται παρακάτω. ΠΡΟΣΤΑΣIΑ ΤΗΣ ΕΜΠΙΣΤΕΥΤΙΚΗΣ ΠΛΗΡΟΦΟΡΙΑΣ Η τήλε-εργασία και η εκτεταµένη χρήση προσωπικών συσκευών έχει διευρύνει την περίµετρο κάθε οργανισµού, εντείνοντας την ανάγκη προστασίας της εµπιστευτικής πληροφορίας και της ασφαλούς αποµακρυσµένης πρόσβασης των χρηστών στις υποδοµές του. ΑΞΙΟΛΟΓΗΣΗ ΤΟΥ ΕΠΙΠΕ∆ΟΥ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ Η επιτάχυνση του ψηφιακού µετασχηµατισµού πλέον επιτυγχάνεται µε τη βοήθεια εξωτερικών συνεργατών, διευρύνοντας έτσι το οικοσύστηµα του ΟΡΑΤΟΤΗΤΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΓΙΑ ΟΛΕΣ ΤΙΣ ΙΤ, ΟΤ, IΟT ΣΥΣΚΕΥΕΣ Η συνεχής αύξηση των IoT και OT συσκευών που συνδέονται στο δίκτυο κάθε οργανισµού, οδηγεί στη σύνθεση ενός πολύπλοκου και δύσκολα διαχειρίσιµου ψηφιακού περιβάλλοντος. Για την προστασία του, χρειάζεται ορατότητα στις συσκευές και στα χαρακτηριστικά των επικοινωνιών που πραγµατοποιούν µε έναν ενιαίο τρόπο, που να επιτρέπει παράλληλα τον εντοπισµό των ύποπτων επικοινωνιών και την εφαρµογή αυτοµατοποιηµένων πολιτικών ασφαλείας. Η εµπειρία µας στην υλοποίηση καινοτόµων λύσεων κυβερνοασφαλείας και η εποικοδοµητική συνεργασία µας µε τις οµάδες πληροφορικής και ασφαλείας των οργανισµών, οδηγούν στην σωστή επιλογή, παραµετροποίηση και βέλτιστη χρήση των σύγχρονων τεχνολογιών µε γνώµονα την ασφαλή και αποτελεσµατική λειτουργία των ψηφιακών τους συστηµάτων. Λ. Αμφιθέας 34, 17564 Π. Φάληρο Τ: 2111809000 E: technology@systecom.gr INFO 39 CYBER SECURITY • netweeK
Χρήστος Συγγελάκης Τεράστια η πρόκληση της κυβερνοασφάλειας Το ζήτηµα της κυβερνοασφάλειας υπάρχει εδώ και πάρα πάρα πολλά χρόνια, αλλά τώρα το βρίσκουν όλοι µπροστά τους παντού. Μερικές φορές κάποιοι το αντιλαµβάνονται ως πρόβληµα που υπάρχει και άλλοι σαν ένα trend της εποχής που ακολουθούν. Toυ Χρήστου Συγγελάκη, Επικεφαλής Ασφάλειας Πληροφοριακών Συστημάτων, Υπεύθυνος Προστασίας Δεδομένων, Group MOTOR OIL. 40 netweeK • CYBER SECURITΥ ANALYSIS Π αρόλα αυτά ο κίνδυνος υπάρχει και η πρόκληση είναι τεράστια. Και είναι τεράστια γιατί πλέον ο κόσµος στηρίζεται στην τεχνολογία. Η επίδραση της τεχνολογίας στην καθηµερινότητα είναι πολύ δυνατή και η τεχνολογία ξεφεύγει από το κοµµάτι της ασφάλειας σε σηµεία που µπορεί να βλάψει όχι µόνο κοµµάτια που είναι θεωρητικά, όπως οι γνώσεις ή οι πληροφορίες που έχεις συγκεντρώσει, οι πληροφορίες, αλλά και τα απλά καθηµερινά στην πρακτική πλευρά της καθηµερινότητας δηµιουργώντας προβλήµατα και στην ανθρώπινη ζωή. Οπότε από εκεί και πέρα όλο σου το επιχειρείν αλλά και η καθηµερινή ζωή µπορεί να σταµατήσει να υπάρχει. Άρα το πόσο σηµαντικό είναι το πρόβληµα που µπορεί να αντιµετωπίσεις το καταλαβαίνεις συνήθως τη στιγµή που θα το αντιµετωπίσεις. Είναι σαν ένα ατύχηµα που πάντα σκέφτεσαι ότι πρόκειται να συµβεί στον άλλον. Καθηµερινά διαβάζεις για ανθρώπους που έχουν χάσει την ζωή τους στην άσφαλτο αλλά κάθε µέρα µπαίνεις σε ένα αυτοκίνητο και τρέχεις µε αυτό. Η πανδηµία όµως άλλαξε την ζωή όλων µας. Στην πανδηµία πέσαν τα κάστρα. Όλος ο κόσµος που είχε κάποιους ενδοιασµούς και πήγαινε πιο σιγά ώστε να φτιάξει κάποια πράγµατα µε τη σωστή ροή, αναγκάστηκε να κάνει κάποια πράγµατα που δεν ήταν προετοιµασµένοι να κάνουν. Ο απλός χρήστης των social που είχε µια καθηµερινή επαφή µε αυτά, άρχισε να δουλεύει και την εταιρεία του µε τον ίδιο τρόπο. Με την αποµακρυσµένη εργασία να γίνεται µε resources τα οποία δεν είχαν προβλεφθεί, η έξοδος στο cloud… όλα αυτά άλλαξαν άρδην το σκηνικό. Και το άλλαξαν βίαια και µε τρόπο που δεν µπορούσες να είχες επιβάλει κάποιους κανόνες. Και δυστυχώς για να έχεις
να το βάζουν, µαζί και τα στελέχη των εταιρειών. Άλλος περισσότερο άλλος λιγότερο. Το καταλαβαίνουν όµως οι περισσότερες εταιρείες µε έναν τρόπο που θυµίζει «χανζαπλάστ: κάτι να κλείσει την πληγή στα γρήγορα». ∆εν υπάρχει κάποιο πραγµατικό σχέδιο, γιατί από πίσω δεν υπάρχει πραγµατική γνώση του τι πως και γιατί. Και δίνονται και
φυτρώνουν παντού «γιατροί» που χωρίς δίπλωµα αναλαµβάνουν να σε προστατέψουν από µία πολύ βαριά ασθένεια.
της φιλοσοφίας της ασφάλειας Χρειάζεται µια νέα φιλοσοφία ασφάλειας, αλλά αυτό είναι κάτι που χτίζεται πολύ πολύ σιγά. Θυµηθείτε τις ζώνες ασφαλείας στα αυτοκίνητα. Όταν βγήκαν οι περισσότεροι γελούσαν και δεν ήθελαν να τη χρησιµοποιήσουν και κάποια στιγµή µπήκε ένας νόµος που ήρθε να τους εξαναγκάσει να το κάνουν. Και σιγά σιγά οι άνθρωποι άρχισαν να το ενστερνίζονται, να καταλαβαίνουν ότι είναι για την δικιά τους ζωή και ότι δεν πρόκειται
ότι θα αλλάξεις τελικά τον τρόπο µε τον οποίο γίνονται τα πράγµατα. Και «Ελπίδα» ότι θα τα καταφέρεις, γιατί αλλιώς θα
Χρειάζεται μία νέα φιλοσοφία ασφάλειας, αλλά αυτό είναι κάτι που χτίζεται πολύ πολύ σιγά. Η αλλαγή φιλοσοφίας θα έρθει με την εκπαίδευση που πρέπει να γίνεται σε όλα τα στάδια, και όχι μόνο σε επίπεδο εταιρείας 41 CYBER SECURITY • netweeK κάποια ασφάλεια πρέπει να έχεις κάποιους κανόνες. Άρα χωρίς κανόνες δεν έχεις και ασφάλεια. Από την άλλη η κινδυνολογία που δηµιουργήθηκε πίσω από αυτή τη συνθήκη ανατροφοδοτεί αυτή την κατάσταση. Ο κίνδυνος υπήρχε από παλιά, απλά δεν ήταν τόσο συνηθισµένο το κοµµάτι της επίθεσης. Σίγουρα σιγά σιγά όλοι όσοι δεν είχαν στη σκέψη τους το πρόβληµα της ψηφιακής ασφάλειας αρχίζουν
από την δηµοσιογραφία µε έναν απλοϊκό τρόπο, για να καταλαβαίνει ο κόσµος και να ενηµερώνεται, αλλά από την άλλη
Η σηµασία
για ένα αξεσουάρ σαν το τασάκι που υπήρχε στο αυτοκίνητο. Κατάλαβαν ότι πρέπει να είναι «δεµένοι» για να µπορέσει να προχωρήσει η δουλειά τους, η εταιρεία τους. Σίγουρα υπάρχουν ακόµα άνθρωποι που δεν την θέλουν, δεν την φοράνε ή δεν αισθάνονται όµορφα µε αυτή, αλλά για όλα τα πράγµατα υπάρχουν άνθρωποι που αισθάνονται διαφορετικά από τους υπόλοιπους και έχουν µια άλλη φιλοσοφία. ∆ικαίωµά τους, αλλά από την άλλη αυτοί εκθέτουν την δικιά τους δουλειά, ζωή ή επιχείρηση. Η αλλαγή φιλοσοφίας θα έρθει σιγά σιγά µε την εκπαίδευση, που πρέπει να γίνεται σε όλα τα στάδια. Και αυτή η εκπαίδευση δεν πρέπει να γίνεται στο επίπεδο της εταιρείας, στο επιχειρείν. Αν κάποιος δεν µάθει να οδηγεί το αυτοκίνητο του µε ασφάλεια από µικρός, τότε µην περιµένετε να οδηγήσει µε ασφάλεια το εταιρικό αυτοκίνητο, που θα του δώσουν για να κάνει µια παράδοση. Θα το οδηγάει και αυτό µε τον ίδιο επικίνδυνο τρόπο. Θα πρέπει να εκπαιδεύσεις τον άνθρωπο από την αρχή. Και όταν λέµε εκπαιδεύσεις εννοώ εκπαιδεύσεις πραγµατικά. Όχι απλά να του πεις ότι υπάρχει ένα πρόβληµα. Μην ξεχνάµε ότι όλοι ξέρουµε ότι η ταχύτητα σκοτώνει αλλά όλοι οδηγούµε πολύ γρήγορα. Το ότι είσαι ενήµερος για κάτι δεν σηµαίνει ότι έχεις εκπαιδευτεί και σε κάτι. Σίγουρα η θεσµοθέτηση κάποιων στάνταρ ασφαλείας και τα βήµατα που έχουν γίνει για την θεσµοθέτηση αυτών δηµιουργούν µία ώθηση για τα πράγµατα προς µία κατεύθυνση. Αν έχουµε αποφασίσει ότι αυτή είναι η σωστή καλώς έγινε. Κανονιστικά πλαίσια έχουν µπει στη ζωή µας τα τελευταία χρόνια, όπως το GDPR το οποίο σαν στάνταρ δεν λέει πολλά πράγµατα, πέρα από το ότι πρέπει να προστατεύουµε κάποια πράγµατα. Κι όµως σιγά σιγά σιγά, χρόνο µε το χρόνο παρότι κάποιοι πιέζονται από αυτά και την αλλαγή που φέρνει στον τρόπο του επιχειρείν, ο κόσµος αλλάζει. Πρέπει να βάζουµε κάποια στάνταρ γιατί αλλιώς ο καθένας θα αποφασίζει µε βάση το κόστος. Φανταστείτε τα παιχνίδια και το στάνταρ CE. Αν δεν θέσεις κάποια προδιαγραφή σε υλικά τότε θα παράγονται µε το πιο φτηνό και επικίνδυνο υλικό. Άρα η ύπαρξη κάποιων στάνταρ είναι βασικό για να κινηθεί η αγορά προς αυτό το κοµµάτι. Πρόκληση-Ουτοπία-Ελπίδα Είναι πολύ δύσκολο να επιλέξεις µία και µόνη λέξη που να χαρακτηρίζει το περιβάλλον κυβερνοασφάλειας σήµερα. Θα επέλεγα τρεις: «Πρόκληση» να αλλάξει ο τρόπος που κινείται ο κόσµος προς την κυβερνοασφάλεια. «Ουτοπία» να ελπίζεις
στέκονται σε µια επικίνδυνη ισορροπία. ∆εν θέλω να κινδυνολογώ, αλλά υπάρχουν κάποια προβλήµατα που αν δεν τα κοιτάξουµε δεν θα τα λύσουµε ποτέ. Στον κλάδο µας οι προκλήσεις είναι πολλές. Μιλάµε για τεχνολογίες και διαδικασίες που έχουν στηθεί πολλά χρόνια πριν, µε πολύ απλοϊκό τρόπο γιατί έπρεπε να βολεύει. Χωρίς τότε να υπάρχει πουθενά η σκέψη ότι πρέπει αυτό να δουλεύει διασυνδεδεµένο µε άλλα πράγµατα, αλλά χωρίς να του δηµιουργούν πρόβληµα και µε ψηφιακή ασφάλεια. Όταν στήθηκαν όλα τα εργοστάσια, δίκτυα ενέργειας κλπ και τα µηχανήµατα µέσα τους, δεν υπήρχε καν η σκέψη ότι θα έπρεπε να είναι διασυνδεδεµένα µε κάτι άλλο. Σήµερα µπορεί να ελέγχεις την πρίζα ή το κλιµατιστικό του σπιτιού σου από µακριά, αλλά τα συστήµατα ενός εργοστασίου ποτέ δεν είχαν αυτή την προδιαγραφή, πόσο µάλλον να το κάνουν µε ασφάλεια. Όλα αυτά είναι µια τεράστια πρόκληση. Να κάνεις κάτι που δεν είχε αυτή τη µορφή να δουλεύει µε την τελευταία λέξη της τεχνολογίας. Αναρωτιέται κάποιος «αφού µπορώ να ελέγχω το κλιµατιστικό µου από το κινητό µου, µε µια πρίζα που κόστισε 10 ευρώ, γιατί να µην µπορώ να ελέγξω το εργοστάσιο µου από απόσταση, που κόστισε και πολλά παραπάνω;». Αυτό όµως είναι ένα εντελώς διαφορετικό παιχνίδι. Το οποίο δεν έχει στηθεί µε αυτούς τους κανόνες και όταν το βάλεις να παίξει µε αυτούς, το έχεις κάνει ένα Jenga. Κάθε φορά που βάζεις κάτι, τραβάς και κάτι άλλο, που αλλάζει εντελώς την ισορροπία του. Στο τέλος απλά ισορροπεί και ισορροπεί επικίνδυνα.
netweeK • CYBER SECURITY 42 Advertorial Οι πολύπλευρες επιπτώσεις του πολέµου Ρωσίας - Ουκρανίας, έχουν φέρει στο προσκήνιο τον ενεργειακό τοµέα. Από αυτή την παγκόσµια ένταση, βέβαια, δε θα µπορούσε να λείπει και ο τοµέας της ασφάλειας στον κυβερνοχώρο. ∆εν αποτελεί έκπληξη ότι οι κυβερνοεπιθέσεις έχουν τη δυνατότητα να διαταράξουν κρίσιµες υποδοµές, που παρέχουν θεµελιώδη στήριξη στην οικονοµία αλλά και στις βασικές πτυχές της καθηµερινής λειτουργίας κοινωνικών δοµών. Μπορεί κανείς να αναλογιστεί τη σοβαρότητα τέτοιων επιθέσεων στον τοµέα της ενέργειας ανατρέχοντας στην κυβερνοεπίθεση µε ransomware σε αγωγό των ΗΠΑ το 2021, όπου η διαρροή ενός κωδικού πρόσβασης οδήγησε σε τεράστιες ελλείψεις καυσίµων µε συνέπεια να κηρυχθούν σε κατάσταση έκτακτης ανάγκης 17 πολιτείες των ΗΠΑ. Στο πλαίσιο της διεθνούς επικαιρότητας η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδοµών των ΗΠΑ εξέδωσε πρόσφατα προειδοποιήσεις σχετικά µε απειλές σε υποδοµές ζωτικής σηµασίας στις ΗΠΑ, µε συγκεκριµένες συστάσεις και υποδείξεις. Καθώς οι απειλές στον κυβερνοχώρο γίνονται όλο και πιο εξελιγµένες, ο ψηφιακός µετασχηµατισµός του κλάδου δηµιουργεί µεγαλύτερες ανάγκες για προστασία των κρίσιµων υποδοµών και ολόκληρης της αλυσίδας εφοδιασµού πετρελαίου και φυσικού αερίου από κινδύνους στον κυβερνοχώρο. Ο ΕΝΕΡΓΕΙΑΚΟΣ ΤΟΜΕΑΣ ΩΣ ΣΤΟΧΟΣ ΕΠΙΘΕΣΕΩΝ ∆εν είναι µόνο οι εγκληµατίες του κυβερνοχώρου που στοχεύουν να κερδίσουν χρήµατα από τέτοιες επιθέσεις. Η ενεργειακή υποδοµή είναι ιδιαίτερα δηµοφιλής ως στόχος κυβερνοεπιθέσεων, καθώς οι συνέπειες µιας τέτοιας επίθεσης µπορεί να είναι εκτεταµένες ενώ είναι πιθανό να χρησιµοποιηθούν ως µοχλός εκβιασµού ή αφετηρία στρατιωτικών επιχειρήσεων. Οι κυβερνοεπιθέσεις στις υποδοµές ενέργειας και εµπορευµάτων αυξήθηκαν δραµατικά το τρίτο τρίµηνο του 2022, ενώ, σύµφωνα µε την S&P Global Inc. πέντε κυβερνοεπιθέσεις µε στόχο την αγορά ενέργειας σηµειώθηκαν το τρίτο τρίµηνο του τρέχοντος έτους σε σύγκριση µε µόνο δύο το προηγούµενο τρίµηνο. Αυτά τα περιστατικά επικεντρώθηκαν περισσότερο στους τοµείς της ενέργειας, του φυσικού αερίου και της πυρηνικής ενέργειας παρά στο πετρέλαιο. Ο κρατικός ενεργειακός όµιλος της Λιθουανίας Ignitis, η κρατική εταιρεία πυρηνικής ενέργειας της Ουκρανίας Energoatom και ο µεγαλύτερος προµηθευτής φυσικού αερίου στην Ελλάδα ∆ΕΣΦΑ ήταν µεταξύ των εταιρειών που επλήγησαν από περιστατικά ασφάλειας στον κυβερνοχώρο κατά τη διάρκεια αυτής της περιόδου. ΜΙΑ ΟΛΟΚΛΗΡΩΜΕΝΗ ΠΡΟΣΕΓΓΙΣΗ ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ Η πρόοδος σε τεχνολογίες που αλληλοσυνδέονται όπως το διαδίκτυο των πραγµάτων (IoT) και η ανάλυση µεγάλου πλήθους δεδοµένων (big data) επιτρέπουν συστηµατικά στον κόσµο της ψηφιακής πληροφορίας να δει, να κατανοήσει και να επηρεάσει τον φυσικό λειτουργικό κόσµο. Καθώς οι εθνικές οικονοµίες και οι επιχειρήσεις αγωνίζονται να ανακάµψουν από την πανδηµία, καλούνται τώρα να αντιµετωπίσουν µια πολύ σοβαρή παγκόσµια ενεργειακή κρίση. Τα θέµατα της ενέργειας και του εφοδιασµού κυριάρχησαν το πρώτο εξάµηνο του 2022, ενώ η διατήρηση της ασφάλειάς τους από κυβερνοεπιθέσεις γίνεται όλο και πιο σηµαντική µέρα µε τη µέρα. ΤΗΣ ΝΑΤΙΑΣ ΛΙΑΠΗ, ∆/ΝΤΡΙΑ GOVERNANCE RISK & COMPLIANCE SERVICES, SPACE HELLAS GROUP ΟΙ ΠΡΟΚΛΗΣΕΙΣ ΣΤΟΝ ΕΝΕΡΓΕΙΑΚΟ ΤΟΜΕΑ ΚΑΙ Ο ΡΟΛΟΣ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
Ανάλυση Ευπαθειών και Λήψη Μέτρων Η αποτελεσµατική διαχείριση κινδύνου ξεκινά µε την ολιστική κατανόηση του περιβάλλοντος απειλών του κλάδου. H NIST (National Cybersecurity Center of Excellence)
προσδιορίζει τέσσερις βασικούς τοµείς σχετικά µε την ενεργειακή ασφάλεια:
• ∆ιασφάλιση του βιοµηχανικού ∆ιαδικτύου των πραγµάτων (IIoT)
• ∆ιαχείριση Ταυτότητας και Πρόσβασης
• ∆ιαχείριση περιουσιακών στοιχείων
• Κατανόηση της κατάστασης Οι τακτικές κοινωνικής µηχανικής ευθύνονται για το 86% των επιθέσεων στον κυβερνοχώρο κατά της ενεργειακής βιοµηχανίας, σύµφωνα
το DBIR, µε δηµοφιλές εργαλείο
περιλαµβάνουν προληπτική συντήρηση καθώς και αποµακρυσµένη παρακολούθηση και διαχείριση περιουσιακών στοιχείων. Τα οφέλη στην πλευρά της πληροφορικής περιλαµβάνουν την ασφαλή επικοινωνία σε πραγµατικό χρόνο µε τα περιουσιακά στοιχεία της επιχείρησης, διατηρώντας παράλληλα την απαιτούµενη αποτελεσµατικότητα για τη δηµιουργία,
CYBER SECURITY • netweeK 43 Space Hellas ΑΕ Λεωφ. Μεσογείων 312, Αθήνα T: 21 0650 4100 E: info@space.gr W: www.space.gr INFO Οι επιχειρήσεις κοινής ωφέλειας πρέπει να υιοθετήσουν µια ολοκληρωµένη προσέγγιση και στην ασφάλεια προκειµένου να αντιµετωπίσουν τις µεγάλες γεωγραφικές, οργανωτικές και τεχνικές προκλήσεις στα δίκτυά τους. Κατανόηση της Κατάστασης και Ανταλλαγή Πληροφοριών Όπως και σε όλους τους τοµείς, όσον αφορά την ασφάλεια, η ευαισθητοποίηση και η ανταλλαγή πληροφοριών αποτελούν τους σηµαντικότερους παράγοντες για την προστασία τους. Η ισχυρή κουλτούρα ασφάλειας σε έναν οργανισµό, ενισχύει την ανίχνευση ευπαθειών και συµβάντων και τη γνωστοποίηση των απειλών.
µε
τις συνεχείς εκστρατείες phishing. Μεταξύ των µη κοινωνικών επιθέσεων, το ransomware αντιπροσωπεύει το 44%. ∆ιασφάλιση των Κατανεµηµένων Πηγών Ενέργειας Η χρήση κατανεµηµένων ενεργειακών πηγών µικρής κλίµακας (DER) αυξάνεται γρήγορα και µεταµορφώνει το ηλεκτρικό δίκτυο. Καθώς η χρήση των DER επεκτείνεται, το δίκτυο διανοµής γίνεται ένα δίκτυο πολλαπλών πηγών διασυνδεδεµένων συσκευών και συστηµάτων που οδηγείται από αµφίδροµη επικοινωνία δεδοµένων και ροών ισχύος. Η δυνατότητα διασύνδεσης µε τις DER αποτελεί µια αναδυόµενη απειλή στον κυβερνοχώρο για το δίκτυο διανοµής. Εντοπισµός Τυφλών Σηµείων στην Εφοδιαστική Αλυσίδα Το δίκτυο του τοµέα ενέργειας είναι εξαιρετικά πολύπλοκο. Ενώ η συµµόρφωση µε τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο, µπορεί να επιτυγχάνεται στο επίπεδο του οργανισµού. O µη αποτελεσµατικός έλεγχος της εφοδιαστικής αλυσίδας θα µπορούσε να δηµιουργήσει ευπάθειες και τυφλά σηµεία που θα µπορούσαν να αξιοποιήσουν οι κυβερνοεπιθέσεις. Συνεργασία σε όλη τη βιοµηχανία Με τις τεχνολογικές εξελίξεις, οι λειτουργίες του ενεργειακού τοµέα εξαρτώνται κατά κύριο λόγο από πληροφοριακά συστήµατα. Για παράδειγµα, µια καθολική παραβίαση που προκαλείται από ransomware θα µπορούσε να καταστρέψει ολόκληρα δίκτυα ενέργειας. Ως εκ τούτου, οι εταιρείες στον ενεργειακό τοµέα και οι συναφείς βιοµηχανίες πρέπει να βρίσκονται σε συνεχή διάλογο για τη διασφάλιση των υποδοµών και την εξάλειψη των απειλών. Φυσική Ασφάλεια Συχνά, οι επιθέσεις στον κυβερνοχώρο απαιτούν εγγύτητα στα συστήµατα ελέγχου. Οι κυβερνοεπιθέσεις είναι σηµαντικά πιο δύσκολο να διεισδύσουν στα δίκτυα ηλεκτρικής ενέργειας και στα συνδεδεµένα δίκτυά τους, στα κέντρα δεδοµένων και στους χώρους µετάδοσης και διανοµής που διαθέτουν επαρκή φυσική ασφάλεια. Με γνώµονα τη µελλοντική επέκταση, ιδιαίτερα για την εξερεύνηση νέων τεχνολογιών και πράσινων πηγών ενέργειας, η φυσική ασφάλεια γίνεται ακόµη πιο σηµαντική. ΚΡΙΣΗ ΙΣΟΝ ΕΥΚΑΙΡΙΑ Ο John F. Kennedy παρατήρησε κάποτε ότι η λέξη «κρίση» στα κινέζικα αποτελείται από δύο χαρακτήρες—ο ένας αντιπροσωπεύει τον κίνδυνο και ο άλλος την ευκαιρία. Μπορεί να µην ήταν απόλυτα σωστός από γλωσσολογική άποψη, αλλά αποτελεί γεγονός ότι κάθε κρίση αποτελεί και µια ευκαιρία. Αυτό ειδικά στις µέρες µας φαίνεται να έχει ιδιαίτερη εφαρµογή. Σήµερα, οι κόσµοι του IT (Information Technology) και του OT (Operation Technology) συγκλίνουν περισσότερο από ποτέ. Το OT µπορεί να επωφεληθεί από αυτή την ενοποίηση µε µια πιο αποτελεσµατική, επεκτάσιµη, διαχειρίσιµη και ασφαλή υποδοµή στην οποία τοποθετούνται πολυάριθµες εφαρµογές οι οποίες θα
την κλιµάκωση, τη συντήρηση και τη διασφάλιση της υποδοµής. Όταν εφαρµοστεί σωστά, η σύγκλιση IT/OT µπορεί να συγχωνεύσει επιχειρηµατικές διαδικασίες, πληροφορίες και ελέγχους σε ένα ενιαίο περιβάλλον. Mία δοµηµένη προσέγγιση που εφαρµόζει πλαίσια επικοινωνίας, οργάνωσης και διαδικασίας µπορεί να µειώσει σηµαντικά τους κινδύνους που σχετίζονται µε τον κυβερνοχώρο. Νάντια Λιάπη
Στέλλα Τσιτσούλα H Στέλλα Τσιτσούλα, Managing Director, Red Communications, Υπεύθυνη Επικοινωνίας Εθνικής Οµάδας Κυβερνοασφάλειας & Vice President Women4Cyber Greek Chapter, εξηγεί γιατί η πρόληψη είναι το κλειδί για την προστασία των δεδοµένων. Συνέντευξη στην Αγγελική Κορρέ Κυβερνοασφάλεια: ένας αέναος αγώνας δρόµου 44 netweeK • CYBER SECURITΥ INTERVIEW netweek: Πώς βλέπετε να διαµορφώνονται οι συνθήκες ασφαλείας τα τελευταία χρόνια; Ποιες είναι βασικότερες εξελίξεις που επέδρασσαν στο καθεστώς ασφαλούς λειτουργίας τα τελευταία 2-3 χρόνια; Στέλλα Τσιτσούλα: Η κυβερνοασφάλεια ήταν πάντα και θα παραµείνει, ένας αέναος αγώνας δρόµου. Το µόνο που αλλάζει είναι ο επιταχυντικός ρυθµός των αλλαγών που διαδραµατίζονται στο χώρο. Η κυβερνοασφάλεια αποτελεί τα τελευταία χρόνια µία επανάσταση και αυτό που λέµε “big business”. Εξελίσσεται τόσο σε απειλές όσο και σε απάντηση σε αυτές τις απειλές. Οι εγκληµατίες του κυβερνοχώρου έχουν πλέον πιο καινοτόµους τρόπους για να εκτελούν πιο καταστροφικές επιθέσεις. Αυτό έκανε τις εταιρείες να αναθεωρήσουν τις στρατηγικές τους στον κυβερνοχώρο. Με την εξέλιξη των συσκευών cloud και IoT, οι εισβολείς στον κυβερνοχώρο εισέρχονται πλέον στα δίκτυά µας και αυτό µας κάνει ακόµη πιο ευάλωτους. Η πρόοδος του ψηφιακού µετασχηµατισµού έχει επίσης οδηγήσει σε νέες απειλές για την ασφάλεια στον κυβερνοχώρο. Οι εγκληµατίες του κυβερνοχώρου εκµεταλλεύονται την πανδηµία του Covid-19, ιδίως στοχεύοντας οργανισµούς και εταιρείες που εργάζονται εξ αποστάσεως. Το Ransomware θεωρείται αυτή τη στιγµή η πιο ανησυχητική απειλή. Σύµφωνα µάλιστα µε στοιχεία του Ευρωπαϊκού οργανισµού για την κυβερνοασφάλεια (ENISA) η υψηλότερη ζήτηση ransomware αυξήθηκε από 13 εκατοµµύρια ευρώ το 2019 σε 62 εκατοµµύρια ευρώ το 2021. Υπολογίζεται ότι το 2021 το παγκόσµιο ransomware έφτασε σε ζηµιές τα 18 δισεκατοµµύρια ευρώ – 57 φορές περισσότερες από ό,τι το 2015. Αξιοσηµείωτο είναι ότι κάθε 11 δευτερόλεπτα γίνεται µια επίθεση εταιρικού ransomware. Ποιοι είναι οι βασικότεροι παράγοντες / εργαλεία/ τακτικές στην δηµιουργία ενός περιβάλλοντος ασφάλειας στο σύγχρονο επιχειρείν? Το τρίπτυχο ενός επιτυχηµένου περιβάλλοντος ασφάλειας είναι η εµπιστευτικότητα, η ακεραιότητα και η διαθεσιµότητα. Προκειµένου να µετριαστεί ή ακόµη καλύτερα να αποφευχθεί ο επιχειρηµατικός κίνδυνος από επιθέσεις στον
την απώλεια δεδοµένων. Η ψηφιακή ασφάλεια µπορεί πλέον να είναι ευρέως διαδεδοµένη και κυρίαρχη, αλλά η κουλτούρα της ψηφιακής ασφάλειας δεν συµβαδίζει µε αυτή την εξέλιξη. Ποιος είναι όµως τελικά ο ορισµός του της κουλτούρας ψηφιακής ασφάλειας. Η κουλτούρα ασφάλειας είναι αυτό ακριβώς που συµβαίνει µε την ασφάλεια όταν οι άνθρωποι αφήνονται στην τύχη τους. ∆εν εκπαιδεύονται δηλαδή προκειµένου να έχουν την ψηφιακή ωριµότητα ώστε να αντιµετωπίσουν τις απειλές και να αποτελούν το πρώτο και ίσως το καλύτερο firewall. Επιπλέον να σηµειώσουµε ότι η κοινωνική µηχανική παραµένει µέχρι και σήµερα, ο κορυφαίος τρόπος µε τον οποίο οι εγκληµατίες διεισδύουν στα δεδοµένα ενός οργανισµού και το πρόβληµα επιδεινώνεται εκθετικά. Το 2021, σχεδόν εννέα στις 10 παραβιάσεις ήταν αποτέλεσµα επιτυχηµένου phishing. Ακόµη λοιπόν και αν ένας οργανισµός έχει θωρακιστεί τεχνολογικά σε θέµατα ψηφιακής
παραβίασης
Αποτρέποντας µία επίθεση προστατεύεται τόσο η επιχείρηση
Η πρόληψη πιστεύω είναι μία λέξη που χαρακτηρίζει, εκτός από τη ζωή, και την ψηφιακή ασφάλεια. Η πρόληψη είναι το κλειδί για τη μείωση του κινδύνου παραβίασης δεδομένων 45 CYBER SECURITY • netweeK κυβερνοχώρο πρέπει µία επιχείρηση να ακολουθεί βασικές πρακτικές ασφάλειας. Πρέπει να τηρούνται συγκεκριµένα βήµατα που περιλαµβάνουν την αξιολόγηση και το µετριασµό του κινδύνου, την καθοδήγηση για την οικοδόµηση µιας σύγχρονης στρατηγικής ασφάλειας, τη λειτουργικότητα της προσέγγισης και την εκτέλεση της στρατηγικής. Πολύ σηµαντικό ρόλο παίζει εκτός από τον σωστό σχεδιασµό όµως και η συνεχή παρακολούθηση καθώς και ο έλεγχος. Ο ανθρώπινος παράγοντας εξακολουθεί να είναι η µεγαλύτερη «απειλή». Πού οφείλεται αυτό και τι µπορούν να κάνουν οι εταιρείες για την αντιµετώπισή του; Αν κάνει κανείς µια βόλτα από το τµήµα µηχανογράφησης που σε πολλές επιχειρήσεις στην Ελλάδα είναι και αυτό που είναι υπεύθυνο για την ψηφιακή ασφάλεια, σίγουρα θα µαθαίνεις για κάποιο περιστατικό που αφορά στην τελευταία γκάφα που έκανε ένας υπάλληλος που είχε ως αποτέλεσµα
ασφάλειας, ορισµένα καλά σχεδιασµένα κοινωνικά µηνύµατα θα περάσουν στον τελικό χρήστη. Αυτό που έχει µεγάλη σηµασία είναι η συνεχή φροντίδα αυτής της κουλτούρας µε επένδυση έτσι ώστε να είναι βιώσιµη και να «θεριεύει» µε τον καιρό. Όταν µια κουλτούρα ασφάλειας είναι βιώσιµη, µετατρέπει την ψηφιακή ασφάλεια σε έναν κύκλο ζωής που δηµιουργεί συνεχώς θετικές επιστροφές. Το κλειδί όµως είναι η διασκέδαση και η επιβράβευση. Η εκπαίδευση σε θέµατα ψηφιακής ασφάλειας πρέπει να είναι ανατρεπτική και διασκεδαστική έτσι ώστε οι άνθρωποι να µην το βλέπουν ως αγγαρεία. Για να επενδύσει κάποιος το χρόνο του, αλλά και την προσπάθειά του πρέπει να ξέρει γιατί το κάνει και τι θα αποκοµίσει. Οπότε σηµαντικό στοιχείο είναι η επιβράβευση. Ποια πιστεύετε πως θα πρέπει να είναι η γενικότερη φιλοσοφία του σύγχρονου ΙΤ απέναντι στο ζήτηµα της ασφάλειας; Με δεδοµένο ότι το εύρος των απειλών µεγαλώνει συνεχώς, κανένας οργανισµός ανεξαρτήτου µεγέθους δεν έχει ανοσία. Ψηφια κούς κινδύνους αντιµετωπίζουν µικρές και µεσαίες επιχειρήσεις, δηµόσιες υπηρεσίες, καθώς και πολλοί µεγάλοι οργανισµοί. Ακόµη και τα ποιο εξελιγµένα συστήµατα ελέγχου για κυβερνοαπειλές, όσο αποτελεσµατικά κι αν είναι σήµερα, σύντοµα θα είναι απαρχαιωµένα. Αυτό είναι κάτι που οι άνθρωποι του ΙΤ το αναγνωρίζουν σήµερα περισσότερο από ποτέ. Για το λόγο αυτό οι εταιρείες θα πρέπει συνεχώς να επενδύουν στην τεχνολογία προκειµένου να λειτουργούν απρόσκοπτα είτε πρόκειται για υπαλλήλους σε αποµακρυσµένη εργασία, είτε µε φυσική παρουσία. Όλη αυτή η στάση επιφέρει γενικότερη βελτίωση για έναν οργανισµό, από την εµπειρία των πελατών, αλλά και των συνεργατών, την αξία της ίδιας της επιχείρησης, όσο και από την εταιρική φήµη. Επιπλέον η ηγεσία πρέπει να είναι αρωγός σε όλο αυτό και να βλέπει ως µακροχρόνια τεχνολογική επένδυση την ασφάλεια στον κυβερνοχώρο. Αν έπρεπε να διαλέξετε µία και µόνη λέξη που να χαρακτηρίσει τους στόχους των ειδικών της κυβερνοασφάλειας για το άµεσο µέλλον ποια θα ήταν; Η πρόληψη πιστεύω ότι είναι µία λέξη που χαρακτηρίζει εκτός από τη ζωή µας και την ψηφιακή ασφάλεια. Η πρόληψη είναι το κλειδί για τη µείωση του κινδύνου
δεδοµένων.
όσο και η ασφάλεια των πελατών. Η λήψη προληπτικών µέτρων δίνει στις επιχειρήσεις έναν προληπτικό τρόπο να µειώσουν τις απειλές στον κυβερνοχώρο αντί να ανταποκρίνονται σε αυτές µόλις γίνει η ζηµιά. Τι είδους συνέργειες απαιτούνται για να είναι επιτυχηµένη µία στρατηγική ασφάλειας; Τόσο εσωτερικά σε έναν οργανισµό όσο και δια-εταιρικα; Τα βήµατα που πρέπει να ακολουθηθούν είναι συγκεκριµένα. Αρχικά θα πρέπει να γνωρίζουµε και να έχουµε άµεση προβολή σε όλα τα περιουσιακά µας στοιχεία, όσον αφορά στα δεδοµένα. Στο επόµενο βήµα έρχεται πλέον η σύγχρονη τεχνολογία και η αξιοποίησή της στο έπακρο µε όλα τα διαθέσιµα έξυπνα εργαλεία που υπάρχουν στην αγορά. Ακολουθεί η εφαρµογή των λύσεων ψηφιακής ασφάλειας αλλά και η εκπαίδευση. Τέλος σε αυτό το ολοένα µεταλλασσόµενο ψηφιακό περιβάλλον είναι επιτακτική ανάγκη να εφαρµόζονται διαδικασίες συνεχούς ελέγχου για τον µετριασµό ή και την αποφυγή του κινδύνου. Εδώ να σηµειώσουµε ότι κάθε οργανισµός πρέπει να ορίζει τα δικά του ελάχιστα πρότυπα, αλλά και να προχωρά σε συνέργειες µε τρίτα µέρη, καθώς τα δεδοµένα µπορεί να διαφέρουν µε βάση τον τοµέα στον οποίο δραστ ηριοποιούνται, αλλά και άλλους παράγοντες.
Νότης Ηλιόπουλος Ενσωµάτωση της Ασφάλειας Πληροφοριών στην εταιρική λειτουργία Στο νέο διασυνδεδεµένο περιβάλλον, στο οποίο επιτυγχάνεται η σύγκλιση του ψηφιακού, εικονικού και φυσικού κόσµου, οι απειλές που αφορούν στην ασφάλεια των πληροφοριών υπερβαίνουν τις τυπικές απειλές που προκύπτουν από τη λειτουργία των πληροφοριακών συστηµάτων. Του Νότη Ηλιόπουλου, Information Security & Compliance Officer, MR HealthTech Ltd 46 netweeK • CYBER SECURITΥ Ο ι απειλές που άπτονται της ασφάλειας πληροφοριών (ΑΠ) έχουν ως στόχο την εµπιστευτικότητα, την ακεραιότητα και τη διαθεσιµότητα των πληροφοριών και επιπρόσθετα αφορούν στην αξιοπιστία και στην ανθεκτικότητα τόσο των πληροφοριών, όσο και των ψηφιακών συστηµάτων που αυτοµατοποιούν διάφορες λειτουργικές, ελεγκτικές και παραγωγικές διεργασίες των οργανισµών. Βρισκόµαστε ήδη µπροστά σε µια υβριδική/συνδυαστική µορφή εκµετάλλευσης των αδυναµιών ασφάλειας (τεχνικών και διαχειριστικών) οι οποίες προέρχονται από διαφορετικά περιβάλλοντα και τεχνολογίες µέσα στον ίδιο οργανισµό. Ταυτόχρονα, η ελαχιστοποίηση του χρόνου απόκρισης σε περιστατικά ασφάλειας, λόγω της αυξηµένης διασυνδεσιµότητας και αυτοµατοποίησης των εταιρικών λειτουργιών, επιτάσσει την ουσιαστική αλλαγή της εταιρικής κουλτούρας για την ΑΠ και καθιστά απαραίτητη την ολοκληρωτική και αποτελεσµατική διαχείριση των συναφών κινδύνων. Η εν λόγω προσέγγιση της αναγκαιότητας και της προστιθέµενης αξίας της ΑΠ ως αναπόσπαστου στοιχείου της επιχειρηµατικής ανθεκτικότητας και η ταυτόχρονη αύξηση των σχετικών επενδύσεων, δεν έχουν συµβάλει, ως τώρα, στην αύξηση της αποτελεσµατικότητας των µέτρων που υιοθετούνται. Αντιθέτως, η αποτελεσµατικότητα µειώνεται, καθώς παρατηρείται αδυναµία αποτελεσµατικής εφαρµογής των βασικών επιταγών της ΑΠ, η οποία µε τη σειρά της συνεπάγεται την αδυναµία έγκαιρης διαχείρισης των σχετικών κινδύνων και κατ’ επέκταση την αδυναµία διεκπεραίωσης του επιχειρηµατικού ρόλου τον οποίο η ΑΠ καλείται να υπηρετήσει. Στόχο αποτελεί, εποµένως, η αποτελεσµατικότερη κατά το δυνατόν εφαρµογή των απαιτήσεων της ΑΠ και η άµεση αντίδραση ως προς την αποτίµηση του εκάστοτε κινδύνου από το στιγµή της εµφάνισής του, καθώς και η γρήγορη απόκριση αναφορικά µε γνωµοδοτήσεις και αποφάσεις οι οποίες επηρεάζουν τη ροή σχετικών διαδικασιών. Ταυτόχρονα, κρίνεται απαραίτητος ο περιορισµός του κόστους της υλοποίησης και της λειτουργίας των συναφών διεργασιών (ενδεικτικά κόστος τεχνολογίας, υπηρεσιών, εκπαίδευσης, χρόνος που απαιτείται). Η εφαρµογή των κατάλληλων µέτρων προστασίας έχει ένα διόλου ευκαταφρόνητο κόστος για τον οργανισµό, το οποίο µπορεί να αυξηθεί θεαµατικά και αντιστρόφως ανάλογα µε τα προσδοκόµενα οφέλη, ανάλογα µε τον τρόπο εφαρµογής των µέτρων προστασίας. Αυτό οφείλεται κυρίως στην αδυναµία ευελιξίας και διάχυσης της απαιτούµενης τεχνογνωσίας και σε µη µέλη της οργανωτικής δοµής που άπτεται της ΑΠ, καθώς και επιµερισµού των καθηµερινών εργασιών και ελέγχων που αφορούν στην ΑΠ, αλλά και ενσωµάτωσής τους στις παραγωγικές µονάδες του Οργανισµού. ANALYSIS
δικαιολογία για τη µη τήρηση, ή/και τη µη αποτελεσµατική εφαρµογή των σχετικών διαδικασιών και µέτρων προστασίας. Ο ΥΑΠ αποτελεί τον ενορχηστρωτή της εταιρικής προσπάθειας για την ΑΠ, καθώς και τον βασικό παράγοντα διαχείρισης των σχετικών µε αυτήν κινδύνων. Οι επαγγελµατίες του τοµέα της τεχνολογίας καλούνται να ενσαρκώσουν έναν πιο ενεργό ρόλο, ο οποίος δεν θα περιορίζεται στη λειτουργία των τεχνολογικών δικλείδων ασφάλειας και στην παρακολούθηση των συστηµάτων που αναγνωρίζουν πιθανές προσπάθειες παραβίασης. Απαιτείται να ενεργοποιηθούν σε ό,τι αφορά τη διαχείριση τόσο των περιστατικών ασφάλειας, όσο και των τεχνικών αδυναµιών ασφάλειας. Ταυτόχρονα, οι εξελίξεις οδεύουν προς την κατάργηση των µεγάλων (πολυπληθών) δοµών και τµηµάτων ΑΠ, ως απόρροια της κατάργησης
καθίσταται αναγκαία η αναθεώρηση των διαδικασιών και η αναδιανοµή των ρόλων και των αρµοδιοτήτων µε σκοπό την για ενσωµάτωση της ΑΠ στις παραγωγικές µονάδες του Οργανισµού.
Στελέχωση & δεξιότητες Ένας α κόµα καθοριστικός για την υλοποίηση των ανωτέρω παράγοντας αναφέρεται στην επάρκεια των ικανοτήτων που αφορούν στην ΑΠ στο εκάστοτε
47 CYBER SECURITY • netweeK αν αυτές βρίσκονται, όσο και της αξιοπιστίας του ψηφιακού λειτουργικού περιβάλλοντος. Προς τούτο,, είναι αναγκαία η αναθεώρηση της στρατηγικής για την ΑΠ, αλλά και της διεργασίας αποτελεσµατικής υλοποίησης και συνεχούς βελτίωσης των µέτρων προστασίας που εφαρµόζονται. Η στρατηγική για την ΑΠ απαιτείται να επικεντρωθεί στη βελτίωση της ανθεκτικότητας όλων των δικλείδων ασφάλειας και στην περαιτέρω ενδυνάµωση εκείνων που αφορούν την ακεραιότητα των πληροφοριών. Βασικό συστατικό της αναθεωρηµένης στρατηγικής συνιστά η αυτοµατοποίηση σε συνδυασµό µε την ενσωµάτωση των αρµοδιοτήτων που σχετίζονται µε την ΑΠ στην επιχειρηµατική καθηµερινότητα. Με στόχο τη διαρκή βελτίωση, απαιτείται να υιοθετηθεί µία νέα προσέγγιση µέσω «τοµέων / θεµατικών περιοχών» (domains) της ΑΠ που αντιµετωπίζουν ολιστικά συγκεκριµένες ενότητες αναγκών, όπως π.χ. τη βελτίωση όλων των πτυχών της διαχείρισης των περιστατικών ασφάλειας. Στο πλαίσιο της παραπάνω προσέγγισης,
επιχειρηµατικό περιβάλλον. Οι οργανωτικές µονάδες που άπτονται της ΑΠ είναι κατά κανόνα υποστελεχωµένες. Η εν λόγω παράµετρος δεν είναι κατά κύριο λόγο ποσοτική, αλλά σχετίζεται µε τις συγκεκριµένες ανάγκες του εκάστοτε εταιρικού περιβάλλοντος. Συχνά παρατηρείται το φαινόµενο να στελεχώνονται τα αντίστοιχα τµήµα από πρόσωπα που δεν διαθέτουν τις κατάλληλες για τη φύση και τις ανάγκες του εκάστοτε οργανισµού ειδικότητες. Πολλές φορές, ωστόσο, η ουσιαστική συνδροµή των προσώπων αυτών είναι εν τοις πράγµασι περιστασιακή και θα µπορούσε να καλυφθεί µέσω της παροχής υπηρεσιών από εξωτερικούς συνεργάτες. Οι επιπτώσεις από τη παραπάνω διαπίστωση αλλά και από την πραγµατική έλλειψη των κατάλληλων στελεχών, µπορούν να ελαχιστοποιηθούν µέσω της εξειδίκευσης και της εφαρµοσµένης εµπειρίας. Η νέα γενιά επαγγελµατιών πρέπει να δρα απαλλαγµένη από στερεότυπα και εγωιστικές συµπεριφορές και να επιδιώκει την ένταξη της ΑΠ στις παραγωγικές διεργασίες του οργανισµού. Με τον τρόπο αυτόν, θα καταστεί σταδιακά εφικτός ο περιορισµός των συνεπειών της εν λόγω έλλειψης. Προς τον σκοπό αυτόν, κρίνεται απαραίτητη η δηµιουργία µιας νοοτροπίας και ενός τρόπου εργασίας για τους επαγγελµατίες της ΑΠ που θα τους εφοδιάσει όχι µόνο µε την κατάλληλη γνώση, αλλά και µε συγκεκριµένες κατευθύνσεις και τρόπο σκέψης, ώστε να ασκήσουν τον πραγµατικό ρόλο που τους αναλογεί εντός του εκάστοτε οργανισµού. Ενσωµάτωση στις παραγωγικές µονάδες του οργανισµού Ο ψηφιακός µετασχηµατισµός και η σύγκλιση του ψηφιακού, του εικονικού και του πραγµατικού επιχειρηµατικού περιβάλλοντος διευρύνουν το πεδίο πιθανής εµφάνισης των απειλών. Αντιστοίχως αναγκαία είναι και η διεύρυνση των αρµοδιοτήτων των ρόλων που είναι επιφορτισµένοι µε την αντιµετώπισή τους, αλλά και η ενσωµάτωσή τους στις παραγωγικές µονάδες του οργανισµού, προς τον σκοπό της αποτελεσµατικότερης απόκρουσής τους. Με τον τρόπο αυτόν, επιτυγχάνεται ένας ακόµα στόχος της αποτελεσµατικής εφαρµογής της ΑΠ στο επιχειρηµατικό περιβάλλον, ήτοι η έµφαση στην πρόληψη και στην άµεση κατανόηση και αποτίµηση του κινδύνου. Οι πιθανές χρονικές καθυστερήσεις σε θέµατα που άπτονται της ΑΠ από τον Υπεύθυνο Ασφάλειας Πληροφοριών (ΥΑΠ) δε θα πρέπει ν’ αποτελέσουν τροχοπέδη ή
του συγκεντρωτισµού και της άποψης ότι η ΑΠ αποτελεί αποκλειστική αρµοδιότητα συγκεκριµένης οργανωτικής µονάδας. Η διακυβέρνηση, η κανονιστική συµµόρφωση και η διαχείριση των κινδύνων που άπτονται της ΑΠ αποτελούν αποκλειστικό αντικείµενο της αρµοδιότητας του αντίστοιχου τµήµατος ή της αντίστοιχης διεύθυνσης. Επιπρόσθετα, η ενεργή συµµετοχή της µονάδας ΑΠ απαιτείται σε πληθώρα άλλων σηµαντικών διαδικασιών, όπως η διαχείριση περιστατικών ασφάλειας, διαχείριση κινδύνων, κτλ. Η υλοποίηση και η οµαλή λειτουργία των περισσοτέρων λειτουργικών διαδικασιών που αφορούν στην ΑΠ πρέπει να διενεργείται, ωστόσο, χωρίς την εµπλοκή του τµήµατος ΑΠ. Επιπρόσθετα, µέρος των ελέγχων οι οποίοι άπτονται της αξιολόγησης κινδύνων, και αφορούν σε τεχνικούς ελέγχους, είναι σκόπιµο να αποτελούν αντικείµενο εξ ολοκλήρου διαχείρισης από τις οργανωτικές µονάδες που σχετίζονται µε τον τοµέα της τεχνολογίας. Αλλαγή κουλτούρας Η ΑΠ χρειάζεται να µετεξελιχθεί σε µία ολιστική διεργασία διαχείρισης των κινδύνων που αφορούν στην προστασία τόσο των πληροφοριών και των ψηφιακών υποδοµών όπου και H διεύρυνση των ρόλων που είναι επιφορτισμένοι με την ασφάλεια αλλά και η ενσωμάτωσή τους στις παραγωγικές μονάδες του οργανισμού είναι απαραίτητη για την αντιμετώπιση των απειλών
∆ει δη δεξιοτήτων… και στην κυβερνοασφάλεια O Ευρωπαϊκός Οργανισµός για την Ασφάλεια ∆ικτύων & Πληροφοριών, ENISA, απαντά στις ερωτήσεις µας σχετικά µε το µείζον πρόβληµα της έλλειψης ταλέντων και δεξιοτήτων, σ’ ό, τι αφορά στην αντιµετώπιση των κυβερνοεπιθέσεων, οι οποίες αυξάνουν µε γοργό ρυθµό από την πανδηµία και µετά, και παρουσιάζει τις πρωτοβουλίες που έχουν ήδη αναληφθεί, Του Γιάννη Ριζόπουλου 48 netweeK • CYBER SECURITΥ INTERVIEW Ε ίναι γεγονός -γενικά αποδεκτό, πλέον- ότι πρέπει να µάθουµε να ζούµε µε τις κυβερνοαπειλές, κατά υποδοµών και δεδοµένων, που αποτελούν πλέον -ειδικά από την πανδηµία και µετά- µέρος της καθηµερινότητάς µας, σε εθνικό και ευρωπαϊκό επίπεδο. Όµως, ταυτόχρονα (ή, πιο σωστά, νωρίτερα) θα πρέπει να µάθουµε να παίρνουµε τα µέτρα µας, να προβλέπουµε, να προλαµβάνουµε και, αν όλα αυτά αποτύχουν, τότε να αντιµετωπίζουµε µε επιτυχία τις κυβερνοεπιθέσεις. Για όλα αυτά, χρειάζονται στρατηγικές, σχέδια, πλαίσια και κυρίως άνθρωποι µε τις κατάλληλες δεξιότητες που έχουµε βεβαίως στην Ευρώπη, αλλά για την ώρα δεν επαρκούν. Εξ ου και οι προσπάθειες της ΕΕ σε πολλαπλά επίπεδα, και κυρίως µέσω του ENISA, του καθ’ ύλην αρµόδιου οργανισµού, να βρεθούν γρήγορες και σωστές λύσεις. Να τις µας είπαν οι επαΐοντες. netweek: Δεν χωρεί αµφιβολία ότι χρειαζόµαστε ταλέντα και δεξιότητες στον χώρο της κυβερνοασφάλειας. Το προτεινόµενο European Cybersecurity Skills Framework δίνει κάποια λύση; Με δεδοµένη τη ραγδαία ψηφιοποίηση της παγκόσµιας οικονοµίας που βιώνουµε τα τελευταία χρόνια, η έλλειψη εξειδικευµένων στελεχών και το κενό δεξιοτήτων στον χώρο της κυβερνοασφάλειας αποτελεί σηµαντική αιτία ανησυχίας, τόσο σε θέµατα οικονοµικής ανάπτυξης, όσο και εθνικής ασφαλείας. Η υλοποίηση ενός Ευρωπαϊκού Πλαισίου ∆εξιοτήτων στον χώρο της Κυβερνοασφάλειας (European Cybersecurity Skills Framework - ECSF) το οποίο θα λαµβάνει υπόψιν του της ανάγκες της ΕΕ, αλλά και των χωρών-µελών της, αποτελεί ουσιαστικό βήµα για τη διασφάλιση του ψηφιακού µέλλοντος της Ευρώπης. Το Πλαίσιο είναι καινοτόµο, µε την έννοια ότι παρέχει ένα πρακτικό ανοικτό εργαλείο για την υποστήριξη και τον ακριβή προσδιορισµό των ρόλων, των αρµοδιοτήτων, των δεξιοτήτων και των γνώσεων που απαιτείται να έχουν οι Ευρωπαίοι ειδικοί σε θέµατα κυβερνοασφάλειας. Κύριος σκοπός του είναι να δηµιουργήσει πνεύµα συναντίληψης, µεταξύ των πολιτών, των εργαζοµένων στον χώρο και των παρόχων εκπαιδευτικών προγραµµάτων στις χώρες-µέλη της ΕΕ και να γίνει αποδεκτό ως πολύτιµο εργαλείο, µε τη βοήθεια του οποίου θα γεφυρωθεί το κενό ανάµεσα στους χώρους εργασίας των επαγγελµατιών στην κυβερνοασφάλεια και στο εκπαιδευτικό περιβάλλον. Το Πλαίσιο συµπληρώνεται από ένα εγχειρίδιο, ουσιαστικά έναν πρακτικό οδηγό για την αξιοποίησή του, βασισµένο σε παραδείγµατα και περιπτώσεις χρήσης. Αυτό περιλαµβάνει τρία παραδείγµατα ιδιωτικών οργανισµών, που ενδιαφέρονται να προσλάβουν, καταρτί-
κυβερνοασφάλειας, αλλά και να εκφράσει τη σαφή υποστήριξή της σε πρωτοβουλίες που δροµολογούνται τόσο φέτος, όσο και τον επόµενο χρόνο. Τι feedback είχατε από το κοινό; Έδειξαν ενδιαφέρον για συµµετοχή; Ποια είναι τα πρώτα «δείγµατα γραφής»;
O ENISA συµµετείχε για πρώτη φορά στη ∆ΕΘ θέλοντας να ευαισθητοποιήσει το κοινό στα θέµατα της κυβερνοασφάλειας και να στηρίξει τις πρωτοβουλίες, στο πλαίσιο του Έτους Νεολαίας, για την οικοδόµηση ενός ψηφιακού µέλλοντος που θα συµπεριλαµβάνει τους νέους. Η ∆ΕΘ έδωσε την ευκαιρία για έναν ευρύ και εποικοδοµητικό διάλογο µε µαθητές και σπουδαστές, παρουσιάζοντάς τους τις δεξιότητες και τις ικανότητες που απαιτούνται
οι οποίες µπορούν να επιδράσουν αρνητικά στην ανταγωνιστικότητά τους. Οι µεγαλύτερες είναι ο χαµηλός βαθµός ευαισθητοποίησής τους σ’ αυτά τα θέµατα, η σχετική έλλειψη ειδικών ή έστω ατόµων µε τέτοιες δεξιότητες, το κόστος της λήψης µέτρων κυβερνοασφάλειας σε συνδυασµό µε την απουσία κονδυλίων γι’ αυτό
σκοπό,
49 CYBER SECURITY • netweeK σουν και επανεκπαιδεύσουν το προσωπικό τους σε θέµατα κυβερνοασφάλειας, αλλά και περιπτώσεις χρήσης µε τις εµπειρίες επτά οργανισµών που ήδη αξιοποιούν το ECSF, µε τον ένα ή τον άλλο τρόπο. Με την επικουρία κι άλλων εργαλείων, τα οποία θα προστεθούν µελλοντικά, το Πλαίσιο διασφαλίζει την επίτευξη ενός κοινά αποδεκτού βαθµού συνεννόησης και παρέχει τις αναγκαίες σαφείς πληροφορίες για την προσέλκυση νέων στον χώρο της κυβερνοασφάλειας, µε στόχο την υποστήριξη της σταδιακής ανάπτυξης πολυπληθέστερου και καλύτερα καταρτισµένου εργατικού δυναµικού, για να προστατεύσει τους ευρωπαϊκούς οργανισµούς και την ίδια την κοινωνία από τις αυξανόµενες απειλές. Η ENISA συµµετείχε σε ειδική εκδήλωση, στο πλαίσιο της πρόσφατης ΔΕΘ, σε µια προσπάθεια να ευαισθητοποιήσει την κοινή γνώµη στο θέµα των δεξιοτήτων και αρµοδιοτήτων σε θέµατα
για να κάνουν καριέρα στον χώρο της κυβερνοασφάλειας. Εξετάσθηκαν, επίσης, το κενό που υπάρχει σήµερα στην ευρωπαϊκή αγορά εργασίας σ’ αυτόν τον τοµέα, αλλά και οι προκλήσεις που αντιµετωπίζουµε, προκειµένου να αποκτήσουµε την αναγκαία πολυµορφία στο εργατικό δυναµικό. Η γεφύρωση των κενών παραµένει πάγιος στόχος του ευρύτατου χαρτοφυλακίου εργαλείων και εκστρατειών ευαισθητοποίησης, που αναπτύσσει από πολλά χρόνια η ENISA. Η ∆ΕΘ έδωσε, λοιπόν, την ευκαιρία να παρουσιάσουµε την πλατφόρµα CyberHEAD, τον διαγωνισµό European Cybersecurity Challenge (ECSC) αλλά και τον µήνα Κυβερνοασφάλειας - European Cybersecurity Month (ECSM). Ο ΕΝΙSA επίσης, µέσω εξειδικευµένων επιστηµονικών δηµοσιεύσεων , όπως είναι αυτή του ‘’Addressing Skills Shortage and Gap Through Higher Education’’ συνεισφέρει τόσο στην έρευνα όσο και στην πρακτική σχετικά µε το θέµα της έλλειψης δεξιοτήτων σε θέµατα κυβερνοασφάλειας στην Ευρώπη, µέσω ανάλυσης των δεδοµένων που συγκεντρώνονται αλλά και δηµιουργούνται στο πλαίσιο της πρόσφατης πλατφόρµας Cybersecurity Higher Education Database (CyberHEAD). Ενώ, µια άλλη έρευνα, µε θέµα το ‘’Cybersecurity Skills Development in the EU’’ εστιάζει στη σηµερινή θέση της κυβερνοασφάλειας, στο εκπαιδευτικό σύστηµα και την αδυναµία του τελευταίου να προσελκύσει περισσότερους νέους σε σχετικές σπουδές και να τροφοδοτήσει την κοινωνία µε αποφοίτους που θα διαθέτουν «τις σωστές γνώσεις και δεξιότητες» στον χώρο της κυβερνοασφάλειας. Το συµπέρασµα της έρευνας είναι ότι πολλά από τα σηµερινά προβλήµατα, σ’ ό,τι αφορά στην εκπαίδευση στο συγκεκριµένο θέµα, θα µπορούσαν να µειωθούν µε ανασχεδιασµό της εκπαιδευτικής διαδικασίας και κατάρτισης, στο πλαίσιο της οποίας καθορίζονται οι γνώσεις και οι δεξιότητες των φοιτητών κατά την αποφοίτησή τους και την είσοδο στην αγορά εργασίας. Μπορείτε να µας δώσετε περισσότερες πληροφορίες για την πρωτοβουλία σας «Awareness Raising in a Box», η οποία απευθύνεται στις ΜµΕ -συχνά εύκολο στόχο για κυβερνοεπιθέσεις, λόγω της δικής τους σχετικής έλλειψης σε τεχνογνωσία και ανθρώπινους πόρους; Στο διαρκώς εξελισσόµενο ψηφιακό περιβάλλον, όπου οι απειλές προς τα δίκτυα και τα πληροφοριακά συστήµατα σ’ όλη την Ευρώπη αυξάνουν, οι Μικροµεσαίες Επιχειρήσεις(Mµε) έρχονται αντιµέτωπες µε σηµαντικές προκλήσεις στον χώρο της κυβερνοασφάλειας,
το
αλλά και η έλλειψη της αναγκαίας καθοδήγησης και υποστήριξης των διευθυντικών στελεχών τους. Σ’ αυτό το πλαίσιο και προκειµένου να ευαισθητοποιηθούν οι ιδιοκτήτες και εργαζόµενοι των ΜµΕ στις χώρες-µέλη της ΕΕ σε θέµατα κυβερνοασφάλειας, ο ENISA ετοίµασε οδηγίες και εργαλεία για τις ΜµΕ, τα οποία έχει ήδη µεταφράσει σ’ όλες τις ευρωπαϊκές γλώσσες, για µεγαλύτερη διευκόλυνσή τους. Ένα από αυτά τα εργαλεία, είναι το «Awareness Raising in a Box» ή «AR-in-a-box», που θα παρουσιαστεί σύντοµα στην επίσηµη ιστοσελίδα του ENISA. Στόχος του είναι να προσφέρει σε οποιονδήποτε οργανισµό, συµπεριλαµβανοµένων και των ΜµΕ, τα αναγκαία µέσα για να αναπτύξει και να υλοποιήσει τα δικά του, εξατοµικευµένα προγράµµατα ευαισθητοποίησης σε θέµατα κυβερνοασφάλειας, ενέργεια εξαιρετικά σηµαντική όσον αφορά στη δηµιουργία αντίστοιχης κουλτούρας στο ψηφιακό περιβάλλον οποιουδήποτε οργανισµού. Σ’ αυτά περιλαµβάνονται καµπάνιες ευαισθητοποίησης, εκπαιδευτικό υλικό, ασκήσεις µε παιχνίδια και κουίζ, καθώς και ασκήσεις ετοιµότητας ως προετοιµασία για την υποστήριξη της απόκρισης σε συµβάντα. Καθώς το «Awareness Raising in a Box» συνοδεύεται από µακρά λίστα εργαλείων, κάθε οργανισµός πρέπει να επιλέξει τα κατάλληλα και να δηµιουργήσει -µε τη βοήθειά τους- τα δικά του εξειδικευµένα προγράµµατα ευαισθητοποίησης, ανάλογα µε τις ανάγκες του..µε τις ανάγκες του. Η έλλειψη εξειδικευμένων στελεχών και το κενό δεξιοτήτων στον χώρο της κυβερνοασφάλειας αποτελεί σημαντική αιτία ανησυχίας
Σε µια εποχή που οι κυβερνοεπιθέσεις απειλούν ολοένα και περισσότερο κάθε ζωτικό τοµέα της ψηφιακής καθηµερινότητάς µας, η λήψη των κατάλληλων µέτρων για την αντιµετώπισή τους θεωρείται εκ των ων ουκ άνευ, σε εθνικό και διεθνές επίπεδο. Η συµµετοχή της Ελλάδας στην ανάπτυξη µιας ευρωπαϊκής υποδοµής για την παραγωγή και διανοµή κβαντικών κλειδιών θα δώσει -όπως όλοι πιστεύουν- λύση σ’ αυτό το «φλέγον» θέµα. Του Γιάννη Ριζόπουλου Κβαντικά, πλέον, τα ‘κλειδιά’ της κυβερνοασφάλειάς µας Ο ι κρίσιµες υποδοµές κάθε χώρας µοιραία βρίσκονται στην πρώτη γραµµή τόσο από πλευράς κινδύνου, όσο και από πλευράς άµυνας, µε δεδοµένο τον ζωτικό ρόλο τους στην καθηµερινότητά µας. Για αυτές η φυσική ασφάλεια, αλλά κυρίως η κυβερνοασφάλεια πρέπει να αγγίζει τον υψηλότερο δυνατό βαθµό. Κι αν το πρώτο είναι σχετικά εύκολο, αυτό ουδόλως ισχύει για το δεύτερο, αφού οι κυβερνοαπειλές αποτελούν καθηµερινή πραγµατικότητα, παρά τα µέτρα και τα αντίµετρα. Η επίτευξη του πάγιου στόχου για µια οριστική λύση, ίσως έλθει εγγύτερα µε τη χρήση κβαντικών τεχνολογιών στην παραγωγή και διανοµή κρυπτογραφικών κλειδιών, στο πλαίσιο µιας µεθόδου που -θεωρητικά, τουλάχιστον- δείχνει απαραβίαστη. Η χώρα µας συµµετέχει στις ευρωπαϊκές προσπάθειες σ’ αυτόν τον τοµέα και το netweek µίλησε µε τους πρωταγωνιστές αυτής της δύσκολης προσπάθειας: τον Γενικό Γραµµατέα Τηλεπικοινωνιών & Ταχυδροµείων, Αθανάσιο Στάβερη, τον καθηγητή του Πανεπιστηµίου της Αθήνας, ∆ηµήτρη Συβρίδη, τον ∆ιευθύνοντα Σύµβουλο της Ε∆ΥΤΕ, Αριστείδη Σωτηρόπουλο και τον επικεφαλής R&D της Space Hellas, Γιώργο Γαρδίκη. Οι απαντήσεις τους ακολουθούν. 50 netweeK • CYBER SECURITΥ TRENDS
Ασφαλούς Κβαντικής Υποδοµής Επικοινωνίας «EuroQCI», µε στόχο την ανάπτυξη µιας ευρωπαϊκής δοµής δικτύων κβαντικών υποδοµών (Quantum Communication Infrastructure – QCI). Το HellasQCI, το έργο που θα υλοποιήσει το Εθνικό ∆ίκτυο Υποδοµών Κβαντικής Επικοινωνίας και θα αποτελέσει µέρος του Ευρωπαϊκού ∆ικτύου EuroQCI, αναµένεται να συµβάλει σηµαντικά στη διαφύλαξη ευαίσθητων δεδοµένων και κρίσιµων υποδοµών, ενσωµατώνοντας τεχνολογίες και συστήµατα βασισµένα στις αρχές της κβαντικής τεχνολογίας, παρέχοντας µια επιπλέον δικλείδα ασφάλειας. Ποιες είναι οι κρίσιµες υποδοµές όπου θα δούµε τις πρώτες εφαρµογές των νέων δυνατοτήτων, µετά τα πιλοτικά, και τι σηµαίνει η ανάπτυξή τους; Τα νέα δίκτυα του HellasQCI, θα ενισχύσουν την προστασία των κυβερνητικών θεσµών, τα κέντρα δεδοµένων, τις δοµές υγείας, τα ενεργειακά δίκτυα, τα τραπεζικά συστήµατα και πολλές ακόµα κρίσιµες υποδοµές,
αποτελέσουν σύντοµα
από τους βασικούς
σκοπό
51 CYBER SECURITY • netweeK netweek: Ποιοι είναι οι (αρχικοί, τουλάχιστον) στόχοι της δηµιουργίας δικτύου κβαντικής παραγωγής και διανοµής κρυπτογραφικών κλειδιών; To υπουργείο Ψηφιακής ∆ιακυβέρνησης συµµετέχει, στο πλαίσιο του Ψηφιακού Μετασχηµατισµού της χώρας, στην Ευρωπαϊκή Πρωτοβουλία
µε
να
έναν
πυλώνες της νέας Στρατηγικής Κυβερνοασφάλειας της Ε.Ε. για τις επόµενες δεκαετίες. Ταυτόχρονα, η ανάπτυξη των τεχνολογιών που απαιτούνται για να γίνει πραγµατικότητα το EuroQCI, θα ενδυναµώσει τις ευρωπαϊκές επιστηµονικές και τεχνολογικές ικανότητες στην κυβερνοασφάλεια και τις κβαντικές τεχνολογίες. Τέλος, αναµένεται να βελτιώσει την ευρωπαϊκή ψηφιακή κυριαρχία και την ανταγωνιστικότητα στον βιοµηχανικό τοµέα, ενώ οι τεχνολογίες που θα αναπτυχθούν από το HellasQCI, θα συµπληρώσουν τις υπάρχουσες υποδοµές επικοινωνίας, παρέχοντας υπηρεσίες διανοµής κβαντικών κλειδιών (QKD), µια εξαιρετικά ασφαλή µορφή κρυπτογράφησης. Η εποπτεύουσα οµάδα, στην καθ’ ύλην αρµόδια ΓΓΤ&Τ, από ποιους αποτελείται; Υπάρχουν συνέργειες µε άλλους φορείς; Για την επιτυχή υλοποίηση του εγχειρήµατος, το Εθνικό ∆ίκτυο Υποδοµών Τεχνολογίας & Έρευνας (Ε∆ΥΤΕ Α.Ε. - GRNET), φορέας του υπουργείου Ψηφιακής ∆ιακυβέρνησης, συντονίζει το νέο έργο σε συνεργασία µε τους 14 εταίρους του HellasQCI στους οποίους περιλαµβάνονται κυβερνητικοί φορείς, ερευνητικά και εκπαιδευτικά ιδρύµατα µε τεχνογνωσία στις κβαντικές τεχνολογίες QKD, οι διαχειριστές των Οπτικών Επίγειων Σταθµών, φορείς από τους τοµείς των τηλεπικοινωνιών και της ενέργειας, καθώς και επιχειρήσεις οι οποίες προσφέρουν καινοτόµες λύσεις και εργαλεία στον κλάδο τεχνολογίας. Έχουµε καταλήξει σε έναν «οδικό χάρτη» από πλευράς χρόνου για τη δηµιουργία αυτού του δικτύου; Αν θυµάµαι καλά, έχουµε αναλάβει σχετική δέσµευση προς την ΕΕ από τον περασµένο Ιούλιο, για σύντοµη υλοποίηση… Τον Ιανουάριο του 2023 τοποθετείται η έναρξη της υλοποίησης του Εθνικού ∆ικτύου Υποδοµών Κβαντικής Επικοινωνίας - HellasQCI, αναβαθµίζοντας τα επίπεδα ασφάλειας στην µεταβίβαση των ευαίσθητων δεδοµένων και των κρίσιµων υποδοµών, τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο. Σύµφωνα µε τη πρόσκληση του έργου, η διάρκεια θα είναι 30 µήνες. Ωστόσο, αναµένεται να ανακοινωθούν και νέες προσκλήσεις από το προγράµµατα CEF & DEP, στα οποία η Ελλάδα θα συµµετάσχει και θα καταθέσει προτάσεις για περαιτέρω ανάπτυξη του HellasQCI δικτύου. Ποιο είναι το κόστος του πιλοτικού, ποιος το επωµίζεται και τι χρήµατα έχει αποφασίσει να επενδύσει η ΕΕ και η Πολιτεία σ’ αυτό το φιλόδοξο όσο και αναγκαίο project; Ο συνολικός προϋπολογισµός του έργου του Hellas QCI ανέρχεται στα 10M€ - 50% θα χρηµατοδοτηθεί από την ΕΕ και 50% προέρχεται από εθνικούς πόρους, από διάφορα χρηµατοδοτικά εργαλεία π.χ. Π∆Ε. Πόσο εξασφαλισµένοι και σίγουροι θα είµαστε, σε µερικά χρόνια, όταν θα µας προστατεύουν πλέον σε µόνιµη και σταθερή βάση κβαντικά κρυπτογραφικά συστήµατα; Η τεχνολογία QKD υπόσχεται την υψηλότερη δυνατή ασφάλεια, όσον αφορά στην προστασία των δεδοµένων. Με το έργο EuroQCI, η ΕΕ έχει θέσει σαν στόχο τη δηµιουργία πανευρωπαϊκού δικτύου που θα υποστηρίζει κβαντικά κρυπτογραφικά συστήµατα. Η δηµιουργία του, σε συνδυασµό µε άλλες πρωτοβουλίες (Secure Connectivity) θα δηµιουργήσει ένα ασφαλές δίκτυο τόσο για τις επίγειες, όσο και για τις δορυφορικές επικοινωνίες, εξασφαλίζοντας τη βέλτιστη ασφάλεια τόσο για τις κρατικές υπηρεσίες, όσο και τον ιδιωτικό τοµέα. Ξεκινάµε µε κράτος ως παραγγέλοντα και ΑΕΙ ως ερευνώντα. Ο ιδιωτικός τοµέας πότε και πώς θα συµµετάσχει; Στο Hellas QCI έχουµε διασφαλίσει τη συµµετοχή του ακαδηµαϊκού χώρου, των ερευνητών, τον κρατικών υποδοµών, των κρατικών φορέων, αλλά και των ιδιωτικών εταιρειών. Στο πλαίσιο του έργου θα εξεταστούν σενάρια τόσο για κρατικές υπηρεσίες, όσο και για αµιγώς ιδιωτικές κρίσιµες επικοινωνίες. Η συµµετοχή της Ελλάδας στο ΕuroQCI Αθανάσιος Στάβερης
Και µετά τις κρίσιµες υποδοµές, που αποτελούν βασική προτεραιότητα από πλευράς έκθεσης σε κινδύνους, τι; Θα ανοίξουν τα συστήµατα σε ευρύτερη χρήση; Θα µπορεί µια ιδιωτική εταιρεία (πχ. µια ασφαλιστική ή µια βιοµηχανία) να κάνει χρήση των κβαντικών κρυπτογραφικών κλειδιών και υπό ποιους όρους; Αυτό αποτελεί πρόκληση για όλους. Μπορούµε να φανταστούµε τη χρήση αυτών των τεχνολογιών
ασφάλεια
σειρά
Το δίκτυο είναι ήδη λειτουργικό, στη βασική του µορφή, αλλά συνεχίζει να αναπτύσσεται, µε στόχο τη µέγιστη συµβατότητα
ΓΓΤΤ
52 netweeK • CYBER SECURITΥ
σε
από τοµείς, βελτιώνοντας την
και την αξιοπιστία των συστηµάτων τους. Η
σε συνεργασία µε όλους τους εµπλεκόµενους φορείς σχεδιάζει και υλοποίει τον ψηφιακό µετασχηµατισµό της χώρας βάσει της Ψηφιακής Βίβλου µε γνώµονα τη βέλτιστη παροχή υπηρεσιών σε ένα ασφαλές και ανταγωνιστικό περιβάλλον. netweek: Ποιος είναι ο ρόλος του ΕΚΠΑ και ειδικά του Εργαστηρίου Οπτικών Επικοινωνιών & Φωτονικής στη δηµιουργία αυτού του δικτύου; Πότε θα είστε έτοιµοι για εφαρµογή; Το δί κτυο κβαντικής διανοµής κρυπτογραφικών κλειδιών αναπτύχθηκε αποκλειστικά στο ΕΚΠΑ από το Εργαστήριο Οπτικών Επικοινωνιών & Φωτονικής Τεχνολογίας του Τµ. Πληροφορικής & Τηλεπικοινωνιών σε συνεργασία µε το Κέντρο ∆ιαχείρισης & Λειτουργίας ∆ικτύου του πανεπιστηµίου. Συγκεκριµένα, απαρτίζεται από δύο διασυνδεδεµένα ζεύγη κβαντικών ποµποδεκτών, σύστηµα διαχείρισης κλειδιών και συστήµατα κρυπτογράφησης µε χρήση αυτών των κλειδιών. Το φυσικό επίπεδο του δικτύου χρησιµοποιεί πολλαπλούς βρόγχους εγκατεστηµένης οπτικής ίνας, οι οποίοι παρέχουν τη δυνατότητα πολλαπλών αρχιτεκτονικών φυσικού επιπέδου.
µε την υπάρχουσα υλοποίηση των εµπορικών δικτύων. Τα βήµατα που αναµένεται να ολοκληρωθούν τους αµέσως επόµενους µήνες είναι η λειτουργία του δικτύου µε συνύπαρξη κβαντικού, αλλά και κλασικών τηλεπικοινωνιακών καναλιών (WDM) στην ίδια οπτική ίνα, καθώς και η σύζευξη του κβαντικού συστήµατος διανοµής κρυπτογραφικής κλείδας µε τα υπάρχοντα πιστοποιηµένα συστήµατα που χρησιµοποιούνται από υπηρεσίες οι οποίες απαιτούν µέγιστο βαθµό ασφάλειας (κρατικές, κ.α.). Οι παραπάνω δραστηριότητες υλοποιούνται σε συνεργασία µε την Γενική Γραµµατεία Τηλεπικοινωνιών & Ταχυδροµείων, στο πλαίσιο προγραµµατικών συµφωνιών που έχουν υπογραφεί. Πόσον καιρό ασχολείστε µ’ αυτό το αντικείµενο, ώσπου να φτάσουµε στο πιλοτικό, και ποιες δυσκολίες (αν υπάρχουν) αντιµετωπίσατε; Τα συστήµατα κβαντικής διανοµής κρυπτογραφικού κλειδιού είναι πολύ εξειδικευµένα συστήµατα οπτικών επικοινωνιών. Η εµπειρία του εργαστηρίου µας στην περιοχή αυτή είναι εκτενέστατη και οι σχετικές δραστηριότητες ξεκινούν από την δεκαετία του ‘80. Ειδικά σε θέµατα ασφάλειας φυσικού επιπέδου των οπτικών δικτύων, το εργαστήριο έχει να επιδείξει επιτυχίες παγκοσµίου επιπέδου. Με τις συγκεκριµένες τεχνικές κβαντικής διανοµής κλείδας το εργαστήριο ασχολείται τα τελευταία τρία χρόνια. Ποια είναι η διείσδυση της κβαντικής τεχνολογίας στη χώρα µας, σήµερα; Βρισκόµαστε στη φάση «µελετάτε τας γραφάς» ή σε λίγο πιο προχωρηµένο στάδιο από πλευράς εφαρµογών; Ήδη λειτουργικό το πιλοτικό δίκτυο ∆ηµήτρης Συβρίδης Kβαντικό εργαστήριο TRENDS
σε σχέση µε άλλες ευρωπαϊκές χώρες
και παγκοσµίως; Ποιες χώρες πρωτοπορούν και σε τι είδους εφαρµογές (όσες γνωρίζουµε, τουλάχιστον); Οι κβαντικές τεχνολογίες στην υπολογιστική και την ασφάλεια αποτελούν αιχµή της τεχνολογίας την τελευταία πενταετία και βρίσκονται σε µια φάση αλµατώδους, εκθετικού ρυθµού ανάπτυξης που -λόγω της ευρύτητάς της- θα ήταν αντικείµενο ξεχωριστής συζήτησης. Ενδεικτικά αναφέρω τις µεγάλες επενδύσεις της Google και της Microsoft στο χώρο των κβαντικών υπολογιστών και την ευθεία απειλή των συστηµάτων κρυπτογραφίας
δηµόσιου κλειδιού από τους κβαντικούς υπολογιστές, που οδήγησε στην ανάγκη ανάπτυξης αλγορίθµων µετα-κβαντικής κρυπτογραφίας (post-quantum technologies). Στο χώρο της κβαντικής διανοµής κλειδιού, πρωτοπόρο ρόλο τα τελευταία χρόνια έπαιξε η Κίνα µε την επίδειξη κβαντικής διανοµής κλειδιού µέσω δορυφόρου, χρησιµοποιώντας οπτικές δέσµες ελευθέρου χώρου, ενώ ανέπτυξε το µεγαλύτερο επίγειο δικτύου οπτικών ινών για κβαντική διανοµή κρυπτογραφικού κλειδιού, µήκους άνω των 2000 km. Αντίστοιχες τεράστιες επενδύσεις στο χώρο γίνονται σε όλες τις προηγµένες χώρες του κόσµου. Στην Ευρώπη
από κάποιο διάστηµα
προστασίας, οι υποκλοπείς
«σπάσουν», οπότε ξεκινάει ανάπτυξη
µεθόδου, κοκ. Στην περίπτωση της µεθόδου της κβαντικής διανοµής κλειδιού, τα πράγµατα είναι πολύ δυσκολότερα για τον υποκλοπέα. Θεωρητικά, η µέθοδος είναι απολύτως απαραβίαστη. Στην υλοποιηµένη της µορφή -καθώς πάντα υπάρχουν αποκλίσεις από την ιδανική µορφή- έχουν εντοπιστεί κάποια αδύνατα σηµεία, τα οποία όµως έχουν καλυφθεί
53 CYBER SECURITY • netweeK Παρότι υπάρχουν ερευνητικές θεωρητικές και πειραµατικές δραστηριότητες σχετικές µε τις κβαντικές τεχνολογίες στην Ελλάδα, το δίκτυο που αναπτύχθηκε στο ΕΚΠΑ είναι το πρώτο ολοκληρωµένο και λειτουργικό δίκτυο αυτού του τύπου. Από την υπάρχουσα εµπειρία, είµαστε ήδη σε θέση να παρέχουµε συµβουλευτικές υπηρεσίες σχεδίασης και υλοποίησης σε φορείς που στοχεύουν στην περιοχή αυτή, ενώ µε βάση το πλάνο εξέλιξης και ανάπτυξης όπως περιεγράφηκε παραπάνω πολύ σύντοµα θα είναι δυνατή η επέκταση της υποστήριξης εξειδικευµένων κβαντικών δικτύων υπερυψηλής ασφαλείας σε µεγάλο εύρος εφαρµογών, όπως κάθε µορφής κρίσιµες υποδοµές, χρηµατοοικονοµικές εφαρµογές, κλπ. Πόσο πίσω βρισκόµαστε
ή
υπάρχει, επίσης, τεράστια κινητικότητα µε µελέτη και ανάπτυξη δικτύων κβαντικής διανοµής κλειδιού σε όλες τις χώρες της ΕΕ, σε συνδυασµό µε την εµφάνιση πολλών µικρών εταιρειών (startups), σχετικών µε το αντικείµενο. Σε επίπεδο Ευρωπαϊκής Επιτροπής υπάρχει, επίσης, µεγάλη δραστηριότητα µε τη χρηµατοδότηση ερευνητικών δραστηριοτήτων, αλλά και την υποστήριξη ανάπτυξης υποδοµών κατ’ αρχήν εθνικών και στη συνέχεια υπερ-εθνικών, για την εισαγωγή της τεχνολογίας της κβαντικής διανοµής κλειδιού. Σ’ αυτό το πλαίσιο εγκρίθηκε από την ΕΕ και θα ξεκινήσει το 2023 το ευρωπαϊκό συγχρηµατοδοτούµενο έργο «HellasQCI» για τη δηµιουργία Εθνικών ∆ικτύων Υποδοµών Κβαντικής Επικοινωνίας σε Αθήνα, Θεσσαλονίκη και Ηράκλειο. Στο έργο συντονιστής είναι το Ε∆ΥΤΕ και τεχνικός συντονιστής το Εργαστήριο Οπτικών Επικοινωνιών του ΕΚΠΑ. Όµως, η ανάπτυξη των υποδοµών θα απαιτήσει τουλάχιστον δύο χρόνια. Προς το παρόν και το αµέσως προσεχές διάστηµα, το µόνο εγκατεστηµένο και λειτουργικό δίκτυο κβαντικής διανοµής κλειδιού είναι αυτό στο ΕΚΠΑ. Όταν λέµε ότι µε τη χρήση των κβαντικών κλειδιών τα συστήµατά µας είναι απαραβίαστα το εννοούµε; Τι σηµαίνει αυτό στην πράξη; ∆ύο θεµελιώδεις συνιστώσες στην κυβερνοασφάλεια είναι ο αλγόριθµος κρυπτογράφησης και το κλειδί που αυτός χρησιµοποιεί για την κρυπτογράφηση της πληροφορίας. Το σύστηµα κβαντικής διανοµής κλειδιού εγγυάται την ασφάλεια ως προς την υποκλοπή του κλειδιού. Όπως συχνά αναφέρεται, πρόκειται για την “Unconditional Security”, η παραβίαση της οποίας απαιτεί την παραβίαση θεµελιωδών φυσικών νόµων. Πράγµατι, αν αποπειραθεί κάποιος υποκλοπέας να «διαβάσει» το κλειδί που ανταλλάσσεται µε χρήση αυτού του συστήµατος, θα γίνει άµεσα αντιληπτός από τα εµπλεκόµενα µέρη κι αυτό θα ακυρωθεί. Οι hackers τι κάνουν απέναντι σε τέτοιο κίνδυνο; Ποιος είναι ο δικός τους αντίλογος; Τους «παίρνουµε τη µπουκιά από το στόµα»; Σε όλα τα συστήµατα ασφαλείας υπάρχει ένας διαρκής ανταγωνισµός µεταξύ των νοµίµων χρηστών και των υποκλοπέων. Όταν εµφανίζεται µια καινούρια µέθοδος
καταφέρνουν έπειτα
να τη
νέας
µε κατάλληλες επεµβάσεις στις µεθόδους υλοποίησης. Ως σήµερα, δεν υπάρχει αναφορά παραβίασης της µεθόδου και αναµφισβήτητα θεωρείται η ασφαλέστερη τεχνική για την διανοµή κρυπτογραφικών κλειδιών. Κοµβικός σ’ αυτή την προσπάθεια, είναι ο ρόλος της Ε∆ΥΤΕ ΑΕ, από την οποία ζητήσαµε ένα σχόλιο σχετικά µε τις πρακτικές διαδικασίες και λεπτοµέρειες, αλλά και τις διαγραφόµενες συνέργειες σε εθνικό και ευρωπαϊκό επίπεδο. «Σκοπός του έργου HellasQCI είναι να διασφαλίσει ότι οι πολίτες και οι επιχειρήσεις θα έχουν πρόσβαση σε αξιόπιστες και ασφαλείς ψηφιακές υπηρεσίες δηµιουργώντας προστιθέµενη αξία για την ελληνική οικονοµία. Θα δηµιουργηθούν κατάλληλες υποδοµές που αναµένεται να ενισχύσουν την ανταγωνιστικότητα των ελληνικών επιχειρήσεων, οι οποίες δραστηριοποιούνται στην κυβερνοασφάλεια και τις κβαντικές τεχνολογίες, και να συµβάλουν στην εκπαίδευση της νέας γενιάς µηχανικών σε αυτούς τους τοµείς. Θα υλοποιηθούν τρία µητροπολιτικά Μια από τις αρτιότερες προτάσεις Αρ. Σωτηρόπουλος
14 φορείς, είναι το Εθνικό ∆ίκτυο Υποδοµών Τεχνολογίας & Έρευνας (Ε∆ΥΤΕ Α.Ε. - GRNET), φορέας του υπουργείου Ψηφιακής ∆ιακυβέρνησης, ενώ θα υπάρξει συνεργασία µε την Ιρλανδία, το Λουξεµβούργο, την Αυστρία, την Κύπρο, την Πολωνία, τη Βουλγαρία και τη Μάλτα, για την ανταλλαγή τεχνογνωσίας και καλών πρακτικών». Ο ∆ιευθύνων Σύµβουλος της Ε∆ΥΤΕ Α.Ε., Αριστείδης Σωτηρόπουλος, δήλωσε στο netweek, ότι «είναι µεγάλη µας τιµή που το υπουργείο Ψηφιακής ∆ιακυβέρνησης εµπιστεύτηκε στην Ε∆ΥΤΕ το συντονισµό για την υποβολή της πρότασης HellasQCI την οποία θα υλοποιήσει το Εθνικό ∆ίκτυο Ασφαλών Υποδοµών Κβαντικής Επικοινωνίας και θα αποτελέσει τµήµα του EuroQCI, αναβαθµίζοντας την
54 netweeK • CYBER SECURITΥ δίκτυα κβαντικών επικοινωνιών σε Αθήνα, Θεσσαλονίκη και Ηράκλειο Κρήτης, που θα συνδεθούν µε τρεις Οπτικούς Επίγειους Σταθµούς (σε Χελµό, Χολοµώντα και Σκίνακα), αξιοποιώντας -µεταξύ άλλων- συσκευές κβαντικής τεχνολογίας (QKD), επίγειες οπτικές ίνες, αλλά και δορυφορικές τεχνολογίες. Το HellasQCI, που θα αποτελέσει µέρος των αντίστοιχων εθνικών δικτύων τα οποία συµµετέχουν στην Ευρωπαϊκή Πρωτοβουλία Ασφαλούς Κβαντικής Υποδοµής Επικοινωνίας «EuroQCI» αξιολογήθηκε από την Ευρωπαϊκή Ένωση ως µια από τις τεχνικά αρτιότερες προτάσεις και µάλιστα ήρθε δεύτερη ανάµεσα στα κράτη-µέλη, στο ίδιο επίπεδο µε τις αντίστοιχες εθνικές προτάσεις της Γερµανίας, της Φινλανδίας και της Ιρλανδίας. Καθώς έχει έντονη ερευνητική και εκπαιδευτική δραστηριότητα, το HellasQCI. θα ενισχύσει τις επιστηµονικές και τεχνολογικές δυνατότητες στην Ελλάδα στον τοµέα της κυβερνοασφάλειας και των κβαντικών τεχνολογιών. Συντονιστής του HellasQCI, στο οποίο συµµετέχουν συνολικά
ασφάλεια των δικτύων, τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο. Η Ε∆ΥΤΕ έχει κύριο ρόλο σε όλες τις ευρωπαϊκές υποδοµές νέφους / υπηρεσιών όπως EOSC, EUDAT, EGI, GEANT και PRACE/EuroHPC και είµαστε υπερήφανοι που θα υλοποιήσουµε, µε την υποστήριξη του υπουργείου, αυτή τη νέα ασφαλή υποδοµή δικτύων. Θα ήθελα να ευχαριστήσω τον συντονιστή της πρότασης, ∆ρα Ηλία Παπασταµατίου Project Manager της Ε∆ΥΤΕ, καθώς και τους εταίρους της πρότασης γι’ αυτό το συλλογικό, πολύ καλό αποτέλεσµα». Ο R&D Manager, Γιώργος Γαρδίκης, απάντησε για λογαριασµό της Space Hellas στο ερώτηµά µας σχετικά µε τον ρόλο του οµίλου σ’ αυτό το κρίσιµο έργο, αλλά και τις προοπτικές που διανοίγονται για τη δηµιουργία καινοτοµικών εργαλείων και µεθόδων. «Η Space Hellas είναι από τους πρώτους ιδιωτικούς φορείς στην Ελλάδα που συµµετέχουν ενεργά σε συνεργατικές δράσεις στο αντικείµενο της κβαντικής διανοµής κλειδιών (Quantum Key Distribution). Η εταιρεία συντόνισε πιλοτικό έργο στο πλαίσιο του ευρωπαϊκού προγράµµατος OpenQKD, το οποίο αποσκοπεί στην ευρεία αξιοποίηση του QKD σε διάφορες περιπτώσεις χρήσης ανά την Ευρώπη. Σ’ αυτό το πιλοτικό, µε το όνοµα QGov (QKD for Secure Key Distribution between Governmental Agencies) το τµήµα Έρευνας & Ανάπτυξης της Space Hellas σε συνεργασία µε το Εργαστήριο Οπτικών Επικοινωνιών & Φωτονικής Τεχνολογίας του ΕΚΠΑ, υλοποίησαν και επέδειξαν την πρώτη πιλοτική εφαρµογή της τεχνολογίας κβαντικής διανοµής κλειδιών, που γίνεται για δηµόσιο φορέα στην Ελλάδα. Συγκεκριµένα, Space Hellas και ΕΚΠΑ υλοποίησαν ένα πρωτότυπο επίδειξης (proof-of-concept prototype) µε στόχο την ανταλλαγή κρυπτογραφικών κλειδιών για τις ανάγκες της Προεδρίας της Κυβέρνησης, που συµµετείχε στο έργο ως τελικός χρήστης. Το πρωτότυπο εγκαταστάθηκε και δοκιµάστηκε στις εγκαταστάσεις της Πτ∆, ενώ οι δοκιµές διήρκεσαν 3 µήνες (12/2021 – 2/2022). Η τελική επίδειξη, αφορούσε στη µετάδοση κλειδιών που έχουν παραχθεί από πιστοποιηµένες κρυπτοµηχανές, µέσω δικτύου οπτικών ινών. ∆οκιµάστηκαν διάφορες τοπολογίες δικτύου, ώστε να εξοµοιωθεί όσο γίνεται καλύτερα µια ρεαλιστική τοπολογία µητροπολιτικού δικτύου. Κατά την αξιολόγηση του έργου, προέκυψε ότι το QKD είναι µια ώριµη και πολλά υποσχόµενη τεχνολογία η οποία µπορεί στο άµεσο µέλλον να αντικαταστήσει τις παραδοσιακές µεθόδους διανοµής κλειδιών για εφαρµογές εθνικής ασφάλειας. Τα σηµαντικότερα βήµατα που µένει να γίνουν, αφορούν στην πιστοποίηση του όλου συστήµατος, καθώς και τη διαλειτουργικότητα µε τις υπάρχουσες κρυπτοσυσκευές. Η δράση, πρωτοποριακή για τον ελληνικό χώρο, ήταν απόλυτα εναρµονισµένη µε την εθνική στρατηγική στον τοµέα των κβαντικών επικοινωνιών, όπως εκφράζεται κι από την ενεργό συµµετοχή της Ελλάδας στην πρωτοβουλία European Quantum Communication Infrastructure (EuroQCI) της Ευρωπαϊκής Επιτροπής. Ως συνέχεια της δράσης αυτής, η Space Hellas συµµετέχει στο εγκεκριµένο και υπό συµβασιοποίηση έργο HellasQCI - Deploying advanced national QCI systems and networks in Greece και είναι, µαζί µε την Cosmote, οι βασικοί ICT industrial partners. Το αντικείµενο της Space Hellas είναι η τεχνική υποστήριξη των περιπτώσεων χρήσης που θα επιδειχθούν, αναπτύσσοντας καινοτόµα εργαλεία για την εποπτεία και τον έλεγχο του δικτύου. Αξιοποιώντας, µάλιστα, την τεχνογνωσία που υπάρχει σε τεχνολογίες 5G και Software-Defined Networking, οι καινοτόµοι µηχανισµοί που θα αναπτυχθούν από τη Space Hellas θα συµβάλλουν στην ιδέα του «software-defined QKD», δηλαδή ενός δικτύου QKD που αναπροσαρµόζεται δυναµικά, ανάλογα µε τις ανάγκες των διασυνδεδεµένων φορέων, αλλά και την κατάσταση της υποδοµής». Πρωτοπόρος η Space Hellas Γιώργος Γαρδίκης TRENDS
Official PublicationΥποψηφιότητες: Βίκυ Στάμου, M: 6947 145105, E: vstamou@boussias.com Χορηγίες: Λίζα Αντωνιάδη, Τ: 210 6617777 (εσωτ. 158), Ε: lantoniadi@boussias.com Mαριάννα Ζώγε, Τ: +30 210 6617777 (εσωτ. 205), E: mzoge@boussias.com presents Ενημερωθείτε για τις διαφορετικές κατηγορίες των βραβείων και αναδείξτε τις πρακτικές, την ομάδα και την εταιρεία σας στο www.cybersecurityawards.gr ΔΗΛΩΣΕ ΤΩΡΑ ΥΠΟΨΗΦΙΟΤΗΤΑ 25 • 11 •22ΥΠΟΒΟΛΗ ΕΩΣ Rewarding Excellence and Innovation in Cyber Safety & Resilience • Κινητοποιήσουν επιχειρήσεις και οργανισμούς για τη διαρκή βελτίωση των επιδόσεων τους αναφορικά με το Cyber Safety και Cyber Resilience • Προσάψουν την απαιτούμενη έμφαση στα θέματα της της κυβερνοασφάλειας και της ψηφιακής ασφάλειας που απασχολεί όλες τις επιχειρήσεις & οργανισμούς. Στόχος των βραβείων είναι να: Τα CyberSecurity Awards 2023 είναι τα βραβεία που σε ένα διαρκώς μεταβαλλόμενο περιβάλλον, αναδεικνύουν και επιβραβεύουν τις βέλτιστες πρακτικές καθώς και τον ενδεδειγμένο εξοπλισμό/κατάλληλα εργαλεία για την διαχείριση της κυβερνοασφάλειας και της ψηφιακής ασφάλειας, στους χώρους των Επιχειρήσεων, Κρίσιμων Υποδομών και Δημοσίων Υποδομών Τα βραβεία απευθύνονται σε όλες τις επιχειρήσεις, οργανισμούς, δημόσιους φορείς, φορείς κρίσιμων υποδομών καθώς και σε παρόχους σχετικών υπηρεσιών & λύσεων για την ασφάλεια των πληροφοριών.
Με τα ζητήµατα της κυβερνοασφάλειας να δείχνουν πια το ειδικό τους βάρος στη δοµή ολόκληρου του επιχειρείν, ο ρόλος του Chief Information Security Officer βγαίνει στο προσκήνιο και έρχεται αντιµέτωπος µε νέες προκλήσεις. Του Βαγγέλη Βαγγελάτου CISO: Από το ΙΤ στο Board Room 56 netweeK • CYBER SECURITΥ TRENDING
ιστορία». Αλλά ας πάρουµε την ιστορία από την αρχή. Η ανάγκη για ασφάλεια συστηµάτων και δεδοµένων προέκυψε από την πρώτη µέρα που κάποιος έβαλε το πρώτο υπολογιστικό σύστηµα στην πρίζα. Ok, στο Bletchley Park υπήρχε ένα ολόκληρο τάγµα από στρατονόµους και αρκετοί πράκτορες της ΜΙ6, οπότε τα πράγµατα ξεδιπλώθηκαν λίγο πολύ ξένοιαστα γύρω από τον υπολογιστή του Άλαν Τούρινγκ, (για τους αναλυτές δεοµένων τουλάχιστον), αλλά όταν οι απόγονοι αυτού του συστήµατος βρήκαν το δρόµο τους στις ιδιωτικές επιχειρήσεις τα πράγµατα άρχισαν να γίνονται πιο περίπλοκα στο ζήτηµα της ασφάλειας. Οι υπεύθυνοι για αυτή την ασφάλεια υπήρχαν, αλλά ήταν όταν εκεί γύρω στο 2000 άρχισαν όλοι να µιλάνε για τον Υ2Κ και τον Melissa Virus. που άρχισαν να γίνονται ορατοί και η δουλειά τους αντικείµενο συζητήσεων, έξω από τα γραφεία
µε επιχειρήσεις βασική προϋπόθεση είναι η διαφάνεια. ∆ηλώνουν ότι δεν έχουν πρόβληµα να προσφέρουν τα προσωπικά δεδοµένα τους, φτάνει να µπορούν να εµπιστευτούν την επιχείρηση στην οποία τα παρέχουν ότι δεν θα χρησιµοποιηθούν αλλού ή διαρρεύσουν. Πόσες επιχειρήσεις για παράδειγµα µπορούν να αντέξουν να δουν στην ειδησεογραφία
Η μεγαλύτερη ίσως πρόκληση για τους CISO είναι ότι τώρα πρέπει να γίνουν το πρόσωπο που θα εμπνεύσει εμπιστοσύνη για τον οργανισμό τους προς τα έξω 57 CYBER SECURITY • netweeK Ο ι κυβερνοεπιθέσεις των τελευταίων χρόνων απέκτησαν το βεληνεκές βασικής είδησης και τα νούµερα γύρω από τα κόστη και τις ζηµιές που προκάλεσαν κατάφεραν να «ζαλίζουν» και να απασχολούν όλο και µεγαλύτερο τµήµα των εταιρικών συσκέψεων. Έτσι θα µπορούσε κανείς να υποθέσει ότι η στροφή του προβολέα στο ρόλο του CISO ήταν αναµενόµενη, αν όχι και καθυστερηµένη. H αναβάθµιση µάλιστα του ρόλου τους σε σχεδόν ίσης βαρύτητας µε αυτή των CEO για όλο και περισσότερους οργανισµούς γίνεται απαραίτητη. Αυτό όµως τους φέρνει µοιραία απέναντι σε ένα καινούργιο task όταν µαζί µε την ασφάλεια του οργανισµού πρέπει να καλλιεργούν και την εµπιστοσύνη των stakeholders. Και αυτό είναι «a totally different ball game» ή επί του ελληνικότερου «µια άλλη µεγάλη
του ΙΤ των επιχειρήσεων. Από τότε -λίγο παραπάνω από 20 χρόνια πριν- ο ρόλος του CISO αποκρυσταλλώθηκε σε αυτόν που είναι σήµερα και η φωνή των ανθρώπων που έπρεπε να αναµετρηθούν µε το ρίσκο και τους κινδύνους της αναπόφευκτης κατά πολλούς ψηφιακής καταστροφής δυνάµωνε σταθερά. Κυρίως µετά από κάθε συµβάν, που ξεκαθάριζε ξανά και ξανά πως η κυβερνοασφάλεια είναι πρώτα από όλα οικονοµικό µέγεθος, αφού κάθε φορά που απειλείται αποτελεσµατικά η ψηφιακή υπόσταση του οργανισµού αυτός «χάνει λεφτά». Αλλά και ζήτηµα κύρους του κάθε οργανισµού και εµπιστοσύνης του κοινού προς αυτόν. Από «σειρήνα», enabler Σήµερα, µετά και από τα πρόσφατα δύσκολα χρόνια του στιγµιαίου και κατεπείγοντος ψηφιακού µετασχηµατισµού, ο ρόλος του CISO έρχεται να αναβαθµιστεί για ακόµα µια φορά. Με την ψηφιακή πλευρά της επιχειρηµατικότητας πια στη ραχοκοκαλιά κάθε επιχείρησης, η ασφάλεια µπαίνει σαν βασικός όρος λειτουργίας από τα αρχικά στάδια κάθε επιχειρηµατικού σχεδιασµού. Ο CISO καλείται σε κάθε σύσκεψη και είναι εκεί για να διασφαλίσει κάθε σχέδιο. Αλλά κυρίως για να ακουστεί. Και αυτό είναι το χαρακτηριστικότερο της αλλαγής των τελευταίων χρόνων. Έχει πάψει να θεωρείται ένα «αναγκαίο κακό». Κάτι σαν τον συναγερµό που πρέπει να έχεις, αλλά καθόλου δεν χαίρεσαι όταν τον ακούς να χτυπάει. Αλλά ένα βασικό εργαλείο που θα σου δώσει την αυτοπεποίθηση να προχωρήσεις στα επιχειρηµατικά σχέδια χωρίς να καταστραφείς. Γιαυτό και η φωνή του έχει πια το ίδιο volume µε αυτή του CEO και ο ρόλος του γίνεται βασικός. Υπερβολή; Αυτή τη στιγµή η διάθεση και επεξεργασία δεοµένων διατρέχει κάθε επίπεδο της επιχειρηµατικότητας. Πρόσφατη έρευνα της KPMG έδειξε ότι το 67% του γενικού πληθυσµού στις ΗΠΑ εκφράζει έντονες ανησυχίες για το πώς οι επιχειρήσεις διαχειρίζονται τα προσωπικά τους δεδοµένα. Τα ίδια δεδοµένα χωρίς την παραχώρηση των οποίων δεν µπορούσε να διεξαχθεί καµία επιχειρηµατική δραστηριότητα τα τελευταία τρία σχεδόν χρόνια. Το 40% του ίδιου πληθυσµού µάλιστα δηλώνει ότι σε κάθε δοσοληψία
το όνοµα τους µετά την φράση «Μετά από επίθεση χάκερ, διέρρευσαν τα προσωπικά δεδοµένα χιλιάδων χρηστών της…»; H ώρα των CISO; Έφτασε λοιπόν η ώρα που οι CISO, µετά από δεκαετίες µεταξύ back office και ΙΤ, θα γίνουν µόνιµοι κάτοικοι των board room; Έτσι φαίνεται. Η αµέσως επόµενη ερώτηση είναι µε ποιες προϋποθέσεις; Η πιο πρόσφατη έρευνα της Grand View Research, θέλει την παγκόσµια αγορά υπηρεσιών κυβερνοασφάλειας να φτάνει τα 192,7 δισεκατοµµύρια δολάρια ως το 2028. Η χρονιά είναι απελπιστικά κοντά µας και τα νούµερα εκφράζουν µια έντονη ανάγκη, που οι CISO καλούνται να καλύψουν, αναλαµβάνοντας έναν νέο κεντρικό ρόλο. Η ανάγκη είναι µια νέα κουλτούρα εµπιστοσύνης πάνω στην οποία οι stakeholders θα πρέπει να στραφούν και να εστιάσουν. Και οι CISO θα πρέπει να γίνουν οι φορείς αυτής της νέας κουλτούρας εµπιστοσύνης. Κάνοντας όσο πιο ορατό µπορούν το οικοσύστηµα της κυβερνοασφάλειας σε όσο πιο µεγάλο κοινό και εκπαιδεύοντας το. ∆ιαδίδοντας στα board rooms τη συνθήκη ασφαλείας που νέο ψηφιακό επιχειρηµατικό περιβάλλον κάνει απαραίτητη. Όπως χαρακτηριστικά αναφέρει και ο Prasad Jayaraman, Principal των KPMG’s Advisory Services σε σχετικό άρθρο του, η µεγαλύτερη ίσως πρόκληση για τους CISO είναι ότι τώρα πρέπει να γίνουν το πρόσωπο που θα εµπνεύσει εµπιστοσύνη για τον οργανισµό τους προς τα έξω και ταυτόχρονα να διδάξουν στον οργανισµό τους ότι «η εµπιστοσύνη κερδίζεται σταγόνα σταγόνα, αλλά χάνεται σε κουβάδες».
«Οι εταιρείες δαπανούν εκατομμύρια δολάρια σε firewalls και συσκευές secure access, και είναι χρήματα χαμένα καθώς κανένα από αυτά τα μέτρα δεν αντιμετωπίζει τον πιο αδύναμο κρίκο στην αλυσίδα της ασφάλειας: τους ανθρώπους που χρησιμοποιούν, διαχειρίζονται και λειτουργούν τα υπολογιστικά συστήματα» Kevin Mitnick «H ασφάλεια είναι σαν τα φρένα στο αυτοκίνητό σου. Μπορεί να σε καθυστερούν, αλλά επίσης καθιστούν δυνατό να πας πολύ γρηγορότερα» Dr. Gary Hinson «Μερικοί από τους κορυφαίους ανθρώπους προβλέπουν ότι ο επόμενος μεγάλος πόλεμος θα γίνει για την κυβερνοασφάλεια» Tim Cook «Η τεχνολογία γεννά το έγκλημα και διαρκώς προσπαθούμε να αναπτύσσουμε τεχνολογία για να είμαστε ένα βήμα μπροστά από αυτούς που προσπαθούν να την χρησιμοποιήσουν αρνητικά» Frank Abagnale «Ο χρήστης θα διαλέγει τα γουρουνάκια που χορεύουν αντί για την ασφάλεια κάθε φορά» Bruce Schneier «Yπάρχουν μόνο δύο είδη εταιρειών: αυτές που έχουν χακαριστεί και αυτές που θα χακαριστούν στο μέλλον» Robert Mueller, FBI Director «Αν πιστεύετε ότι η τεχνολογία μπορεί να λύσει τα προβλήματα ασφάλειας, τότε δεν καταλαβαίνετε τα προβλήματα και δεν καταλαβαίνετε την τεχνολογία» Bruce Schneier «Για κάθε κλειδαριά υπάρχει κάποιος εκεί έξω που προσπαθεί να την πειράξει ή να την διαρρήξει» David Bernstein «Ένα και μόνο τρωτό σημείο είναι όλα όσα ένας επιτιθέμενος χρειάζεται» Window Snyder «Περισσότερες συνδέσεις σε περισσότερες συσκευές σημαίνει περισσότερα τρωτά σημεία. …Αν ελέγχεις τον κώδικα ελέγχεις τον κόσμο» Marc Goodman Περί Cyber Security...
