Cyber Security 2023 by BOUSSIAS

CYBER SECURITY

Building a security-aware culture

ΧΟ Ρ Η Γ I Α E Κ ΔΟ Σ Η Σ

See how we can help secure your operations at accenture.com/security

Cybersecurity for an always online world

Wherever you organization will go, whatever it might touch, whoever it may work with online, you need cybersecurity that covers it all.

CONTENTS 34 Άγχος και κούραση των CISO & Security Managers

Ζέππος Γαλανός, ΙΤ Security Officer, ΚΟΝΚΑΤ ΑΤΕ,

38 Από την περιφρούρηση στην ανθεκτικότητα

10 TRENDS

Ροβέρτος Γκόγκλης, Group Information Security Officer, Alpha Bank

42 Οι λειτουργίες και οι υποδοµές

ασφάλειας είναι ευθύνη του CISO Αλέξανδρος Μπέλσης, Επικεφαλής Τοµέα Ασφάλειας, ∆ΙΑΣ

Οι νέες τεχνολογίες αποτελούν εργαλείο και απειλή ταυτόχρονα

46 Χρειαζόµαστε κουλτούρα ασφάλειας

Το 2023 απέδειξε περαιτέρω ότι η κατάσταση της κυβερνοασφάλειας εξελίσσεται συνεχώς. Νέες τεχνολογίες αναδύονται και υιοθετούνται όλο και περισσότερο για σκοπούς ενίσχυσης της ανίχνευσης απειλών και αυτοµατοποίησης των διαδικασιών ασφαλείας. Ταυτόχρονα, οι κυβερνοαπειλές γίνονται όλο και πιο περίπλοκες.

Θοδωρής Στανηµεράκης, Cyber Security Platforms Manager, Coca Cola Hellenic Bottling Company

που στηρίζει τους ανθρώπους

48 Η κυβερνοασφάλεια είναι

στην κορυφή των εταιρικών προτεραιοτήτων Σταυρούλα Καραγιάννη, CISO - Chief Information Security Officer & Head of Protection & Resilience, Allianz Ελλάδος & Κύπρου

Χαράζουµε µια εθνική στρατηγική, όσον αφορά στην ασφάλεια των συστηµάτων ∆ηµήτρης Παπαστεργίου, Υπουργός Ψηφιακής ∆ιακυβέρνησης

18 Η συνολική θεώρηση της ασφάλειας στο επιχειρηµατικό περιβάλλον

Νότης Ηλιόπουλος, Information Security Expert

22 Η ώρα της ψηφιακής εγκληµατολογίας ∆ηµήτρης Γεωργίου, MSc CISSP, Member-ISC2 European Advisory Council

26 Ο CISO είναι ο ηγέτης της αµυντικής γραµµής της εταιρείας

Κώστας Παπαχριστοφής, Group Information Security Officer του Olympia Group

30 CISO… χθες, σήµερα, αύριο.

Χρήστος Συγγελάκης, Επικεφαλής Ασφάλειας Πληροφοριακών Συστηµάτων, Υπεύθυνος Προστασίας ∆εδοµένων, Group MOTOR OIL

52 Η ασφάλεια είναι κοινή ευθύνη

Γιώργος Τσινός, CISO, Εθνική Ασφαλιστική

54 #BeSmarterThanAHacker

Συµεών Μυστακίδης, Chief Information Security Officer, ∆ΕΗ

56 ∆εν υπάρχει τέλεια ασφάλεια

Άγγελος Καρώνης, Senior Information Security Manager, Kaizen Gaming

58 Κοµβικός ο ρόλος του CISO σήµερα

Μιχάλης Μπερκέτης, Information Security Officer, General Directorate, Συνεταιριστική Τράπεζα Χανίων

60 Ο CISO ως ηγέτης και στρατηγικός στοχαστής

Βάιος Ορφανιώτης, Information Security & Infrastructure Senior Manager, Elval

62 What’s beyond 2023 in Cybersecurity

C Y BER SECU RIT Y • netwee

EDITORIAL

∆ΙΕΥΘΥΝΤΡΙΑ ΣΥΝΤΑΞΗΣ Αγγελική Κορρέ ΣΥΝΤΑΞΗ Γιάννης Ριζόπουλος, Βαγγέλης Βαγγελάτος Αγγελική Κορρέ ∆ιευθύντρια Σύνταξης

∆ΙΕΥΘΥΝΣΗ ∆ΙΑΦΗΜΙΣΗΣ Μαρία Βαλλή, mvalli@boussias.com ΥΠΟ∆ΟΧH ∆ΙΑΦHΜΙΣΗΣ Γιώτα Κουκουτέγου gkoukoutegou@boussias.com

CISO: Ένας απαιτητικός αλλά γοητευτικός ρόλος ∆εν χωράει αµφιβολία ότι παράλληλα µε τον ψηφιακό µετασχηµατισµό αναδείχτηκε και η κρισιµότητα της ασφάλειας πληροφορικών και συστηµάτων και, κατ’ επέκταση, η σηµασία των επαγγελµατιών της ψηφιακής ασφάλειας και δη των επικεφαλής. Σήµερα, περισσότερο από ποτέ απαιτείται να είναι ενήµεροι για πολλές προκλήσεις και τάσεις στον τοµέα της κυβερνοασφάλειας, καθώς αυτός εξελίσσεται συνεχώς λόγω της αυξανόµενης συχνότητας και σοβαρότητας των κυβερνοαπειλών αλλά και της ολοένα µεγαλύτερης διείσδυσης των ψηφιακών τεχνολογιών στην εργασία και την προσωπική ζωή µας. Οι προκλήσεις πολλές: Οι κυβερνοαπειλές που γίνονται ολοένα και πιο εξελιγµένες και επικίνδυνες, και στοχεύουν σε κρίσιµες υποδοµές, επιχειρήσεις και κυβερνητικούς φορείς. Οι επιθέσεις στην ταυτότητα και τα δεδοµένα των Χρηστών. Η συλλογή και η επεξεργασία τεράστιων ποσοτήτων δεδοµένωνπου απαιτείται να προστατεύονται αυτά τα δεδοµένα από κλοπές και διαρροές. Η ολοένα και µεγαλύτερη αξιοποίηση συσκευών Internet of Things (IoT). Οι εξελίξεις στο ΑΙ και το machine learning, που αποτελούν εργαλείο τόσο για τους επαγγελµατίες της ασφάλειας αλλά και όπλο στα χέρια των επιτιθέµενων. Οι όλο και µεγαλύτερες και αυστηρότερες κανονιστικές απαιτήσεις. Η µεγάλη έλλειψη ειδικών στην κυβερνοασφάλεια, πράγµα που καθιστά την πρόσληψη και τη διατήρηση ταλαντούχου προσωπικού δύσκολη. Και φυσικά η λίστα µε τις προκλήσεις δεν έχει τελειωµό. Το netweek τιµά τον µήνα Κυβερνοασφάλειας για άλλη µία φορά µε µία ειδική έκδοση για το Cyber Security και δίνει το λόγο στους πλέον ειδικούς, τους CISO. Οι οποίοι αναλύουν στις σελίδες που ακολουθούν τις προκλήσεις και τις απαιτήσεις της δουλειάς τους, προτείνουν τρόπους διαχείρισης αυτών και τονίζουν ότι παρά τις δυσκολίες, πρόκειται για έναν συναρπαστικό ρόλο που προσφέρει ικανοποίηση σε πολλαπλά επίπεδα. Καλή ανάγνωση

netwee • C Y BER SECU RIT Υ

ΓΡΑΦΙΣΤΑΣ Aλέξανδρος Καρβουτζής ΦΩΤΟΓΡΑΦΟΣ Κορνήλιος Σαραντίογλου ΤΜΗΜΑ ΣΥΝ∆ΡΟΜΩΝ Αµαλία Ψιλούδη apsiloudi@boussias.com ΛΟΓΙΣΤΗΡΙΟ Κωνσταντίνος Χασιώτης

ΕΚ∆ΟΤΗΣ Μιχάλης Μπούσιας ∆ΙΕΥΘΥΝΤΡΙΑ ΠΕΡΙΟ∆ΙΚΩΝ ΕΚ∆ΟΣΕΩΝ Κατερίνα Πολυµερίδου GROUP ADVERTISING DIRECTOR Λήδα Πλατή ΕΤΗΣΙΑ ΣΥΝ∆ΡΟΜΗ: € 99

ΚΛΑ∆ΙΚΑ ΜΕΣΑ ΜΟΝ ΙΚΕ Λ. Κηφισίας 125-127 - Αθήνα Τ.Κ. 115 24 Κτίριο Cosmos Center Τ.: 210 710 2452 Κωδικός ΕΛΤΑ: 21-5952 ISSN: 2585-2388

INTERVIEW

Χαράζουµε µια εθνική στρατηγική, όσον αφορά στην ασφάλεια των συστηµάτων

∆ηµήτρης Παπαστεργίου

Ο υπουργός Ψηφιακής ∆ιακυβέρνησης, ∆ηµήτρης Παπαστεργίου, που έθεσε από την πρώτη κιόλας ηµέρα ανάληψης των καθηκόντων του, στην κορυφή της ατζέντας του το θέµα της κυβερνοασφάλειας, µιλάει για την κρισιµότητα του ζητήµατος καθώς και για τις σχετικές δράσεις του υπουργείου. Του Γιάννη Ριζόπουλου

netweek: Έχετε πολλές φορές αναφερθεί, κ. υπουργέ, στο θέµα της κυβερνοασφάλειας, χαρακτηρίζοντάς την -δικαίως- υψηλή προτεραιότητα για την κυβέρνηση και τη χώρα. Εστιάσατε, µάλιστα, στην ανάγκη αναδόµησης της στρατηγικής µας, µε τη δηµιουργία εξειδικευµένου οργανισµού οριζόντιας εποπτείας. Καθώς µιλάµε για πολύ σηµαντική µεταβολή, αν όχι ανατροπή όσων ισχύουν σήµερα, θα θέλαµε να µας περιγράψετε τους στόχους και το όραµα για τα επόµενα χρόνια, δίνοντας περισσότερες

netwee • C Y BER SECU RIT Υ

λεπτοµέρειες για τις αναγκαίες υποδοµές και δράσεις, όσον αφορά στην κυβερνο-προστασία τόσο του δηµόσιου, όσο και του ιδιωτικού τοµέα. ∆ηµήτρης Παπαστεργίου: Σας ευχαριστώ

για την ερώτηση, κύριε Ριζόπουλε. Εκτιµώ πολύ τα διάφορα quotes για την κυβερνοασφάλεια, αν και είναι αρκετά αυτοσαρκαστικά –ή µάλλον κυρίως για αυτόν το λόγο. Για παράδειγµα, παλιά CEO του Tik Tok είχε πει «Οµάδες που ισχυρίζονται ότι έχουν καλή κυβερνοασφάλεια είναι εκείνες οι οποίες στα αλήθεια θα πρέπει να ανησυχούν». Ή, ακόµη, «Το µήνυµά µου προς

INTERVIEW

εταιρείες που πιστεύουν ότι δεν έχουν χτυπηθεί, είναι “Ψάξτε καλύτερα!”», όπως είχε πει Βρετανός αξιωµατούχος στην κυβερνοασφάλεια. Αλλά, τι να περιµένεις όταν ο κωδικός του Mark Zuckerberg ήταν «Dadada», όπως αποκαλύφθηκε από διαρροή υποκλαπέντων δεδοµένων το 2016; Πάντως, ο Kevin Mitnick, γνωστός ως «ο πιο διάσηµος χάκερ του κόσµου» ισχυρίζεται ότι «Οι εταιρείες ξοδεύουν εκατοµµύρια δολάρια για firewalls, κρυπτογράφηση και συσκευές ασφαλούς πρόσβασης, και είναι πεταµένα λεφτά: κανένα από αυτά τα µέσα δεν αντιµετωπίζει εκείνη την απειροελάχιστα µικρή τρύπα στην αλυσίδα της ασφάλειας». Όλα τα παραπάνω δεν µας αφήνουν να εφησυχάσουµε, αλλά και δεν µας πανικοβάλλουν. Απλώς, µας υπενθυµίζουν το περιβάλλον στο οποίο ζούµε και κινούµαστε, όλοι µας: κράτος, πολίτες, επαγγελµατίες, επιχειρήσεις, νοικοκυριά, οργανισµοί. Χρειαζόµαστε όλοι µας γνώση αναφορικά µε την κυβερνοασφάλεια, και φυσικά προστασία. Το ίδιο, όµως, δεν συµβαίνει και στο φυσικό κόσµο; Υπάρχει κάποιος ο οποίος να ανοίγει τα παράθυρα του σπιτιού του και να µην περιµένει ότι µπορεί να έχει ανεπιθύµητους επισκέπτες; Έτσι και στον ψηφιακό κόσµο, λοιπόν, πρέπει να καταλάβουµε άπαντες ότι απαιτείται η λήψη µέτρων προστασίας. Από την πλευρά του κράτους, έχουν γίνει σηµαντικά βήµατα τα τελευταία χρόνια. Καταρχάς, επικαιροποιήθηκε η Εθνική Στρατηγική Κυβερνοασφάλειας, ενώ η παλιά διεύθυνση µε το ελάχιστο προσωπικό µετατράπηκε πλέον σε Εθνική Αρχή Κυβερνοασφάλειας. Έχει επιδείξει σηµαντικό έργο, ωστόσο πολλά µένει να γίνουν ακόµη, τόσο σε επίπεδο διαµόρφωσης πολιτικής όσο και σε επι-

χειρησιακό. Σε αυτό, τα µεγάλα έργα κυβερνοασφάλειας έρχονται να ‘κουµπώσουν’ στο εξειδικευµένο στελεχιακό δυναµικό και τη διαρκή επιµόρφωση. Ο ορισµός των κατηγοριών των κρίσιµων υποδοµών, το 2019, συνέβαλε ουσιαστικά στην προστασία της Ελλάδας από απειλές. Ακόµη, έργα όπως το «HellasQCI», µε τις κβαντικές τεχνολογίες, συµβάλλουν στην αναβάθµιση της ασφάλειας των ευαίσθητων δεδοµένων και των κρίσιµων υποδοµών σε εθνικό, αλλά και ευρωπαϊκό επίπεδο. Ακόµη, υιοθετούµε ευρωπαϊκές και διεθνείς καλές πρακτικές, προσαρµοσµένες στο εθνικό πλαίσιο. Κάνουµε πράξη τις δοµηµένες συνεργασίες ανάµεσα στους φορείς του ∆ηµοσίου και σ’εκείνους της αγοράς. Κανείς δεν µπορεί να αντιµετωπίσει από µόνος του ζητήµατα κυβερνοασφάλειας, απαιτούνται συνέργειες. Όµως, είναι πλέον ανάγκη να χαράξουµε µια εθνική στρατηγική όσον αφορά στην ασφάλεια των συστηµάτων. Όπως είπατε, δηµιουργούµε έναν νέο οργανισµό, τον Ρυθµιστικό Οργανισµό Κυβερνοασφάλειας, ο οποίος υπάγεται στο υπουργείο Ψηφιακής ∆ιακυβέρνησης. Σ’ αυτόν περνούν όλες οι αρµοδιότητες της Γενικής ∆ιεύθυνσης Κυβερνοασφάλειας, µε σκοπό να δίνει τις κατευθυντήριες γραµµές σε όλο το ∆ηµόσιο και να ελέγχει αν αυτές τηρούνται. Ουσιαστικά, αναλαµβάνει τον ρόλο της Εθνικής Αρχής Κυβερνοασφάλειας. Έως τον Οκτώβριο του 2024, η Ελλάδα θα έχει ενσωµατώσει την οδηγία NIS2 της Ευρωπαϊκής Ένωσης και θα έχει διευρύνει τον αριθµό των φορέων που θεωρούνται κρίσιµες υποδοµές σε περίπου 2.000. Η νέα οδηγία θέτει πιο αυστηρές υποχρεώσεις κυβερνοασφάλειας για όλα τα κράτη - µέλη.

Από την πλευρά του κράτους έχουν γίνει σηµαντικά βήµατα. Καταρχάς, επικαιροποιήθηκε η Εθνική Στρατηγική Κυβερνοασφάλειας, ενώ η παλιά διεύθυνση µε το ελάχιστο προσωπικό µετατράπηκε πλέον σε Εθνική Αρχή Κυβερνοασφάλειας

netwee • C Y BER SECU RIT Y

TRENDS

Oι νέες τεχνολογίες αποτελούν εργαλείο και απειλή ταυτόχρονα Το 2023 απέδειξε περαιτέρω ότι η κατάσταση της κυβερνοασφάλειας εξελίσσεται συνεχώς. Νέες τεχνολογίες αναδύονται και υιοθετούνται όλο και περισσότερο για σκοπούς ενίσχυσης της ανίχνευσης απειλών, ανάλυσης µεγάλου όγκου δεδοµένων για ανωµαλίες και αυτοµατοποίησης των διαδικασιών ασφαλείας. Ταυτόχρονα, οι κυβερνοαπειλές γίνονται όλο και πιο περίπλοκες. Επιµέλεια: Αγγελική Κορρέ

netwee • C Y BER SECU RIT Υ

ο 2022, το 76% των οργανισµών στοχοποιήθηκαν από επίθεση ransomware, εκ των οποίων το 64% µολύνθηκε. Για την αποτελεσµατικότερη άµυνα έναντι τέτοιων επιθέσεων, είναι σηµαντικό για τους επαγγελµατίες του κυβερνοχώρου να κατανοήσουν τις τρέχουσες τάσεις και τις προκλήσεις που υπάρχουν στον τοµέα της κυβερνοασφάλειας.

Το διαρκώς αυξανόµενο τοπίο των απειλών

∆ίκτυα 5G: • Αυξηµένη επιφάνεια επίθεσης—Η ευρεία ανάπτυξη δικτύων 5G επεκτείνει σηµαντικά την επιφάνεια επίθεσης, καθώς υπάρχουν περισσότερες συνδεδεµένες συσκευές και µεγαλύτερος όγκος µετάδοσης δεδοµένων. Αυτό δηµιουργεί προκλήσεις όσον αφορά την εξασφάλιση ενός µεγαλύτερου και πιο σύνθετου οικοσυστήµατος, συµπεριλαµβανοµένων των συσκευών IoT, των αυτόνοµων οχηµάτων και των κρίσιµων υποδοµών. • Τε µ α χ ι σ µ ό ς δ ι κ τ ύ ο υ κ α ι virtualization—Η δυναµική φύση των δικτύων 5G, η οποία περιλαµβάνει χαρακτηριστικά όπως ο τεµαχισµός δικτύου και το virtualization, εισάγει νέα τρωτά σηµεία και πιθανά σηµεία εκµετάλλευσης. Η σωστή τµηµατοποίηση και αποµόνωση µεταξύ τµηµάτων δικτύου και εικονικών λειτουργιών δικτύου είναι ζωτικής σηµασίας για την αποφυγή µη εξουσιοδοτηµένης πρόσβασης και παραβιάσεων δεδοµένων.

Νέες τεχνολογίες Το τοπίο απειλών συνεχίζει να διευρύόπως το quantum νεται κυρίως εξαιτίας της αυξανόµενης computing, τα συνδεσιµότητας συσκευών και συστηµάτων µέσω του ∆ιαδικτύου των Πραγ5G δίκτυα, το µάτων (IoT) και του πολλαπλασιασµού των ψηφιακών τεχνολογιών. Οι κυβερedge computing, νοεπιθέσεις όπως το ransomware, το η τεχνητή phishing και οι εσωτερικές απειλές παραµένουν διάχυτες και αποτελούν νοηµοσύνη και το σηµαντικό κίνδυνο για επιχειρήσεις, κυβερνήσεις και ιδιώτες. machine learning Αν και αυτές οι απειλές δεν είναι, προφανώς, κάτι καινούργιο, καθώς τα δε- δηµιουργούν ολοένα Edge Computing: δοµένα συνεχίζουν να παράγονται και ασφάλεια—Στο edge και περισσότερες • Κατανεµηµένη να αποθηκεύονται σε µεγαλύτερους computing, η επεξεργασία και η αποπροκλήσεις στον όγκους και καθώς η συνδεσιµότητα θήκευση δεδοµένων πραγµατοποιούεπεκτείνεται παγκοσµίως, η επιφάνται πιο κοντά στην πηγή παραγωγής κυβερνοχώρο και νεια της επίθεσης έχει γίνει πιο εκµεδεδοµένων. Αυτή η κατανεµηµένη αρταλλευτική µε κενά και τρωτά σηµεία ιδιαίτερα στον τοµέα χιτεκτονική δηµιουργεί προκλήσεις για που είναι ελκυστικά σε εγκληµατίες τη διασφάλιση συνεπών µέτρων ασφατης σφάλειας και χάκερς. λείας σε µια αποκεντρωµένη υποδοµή, Αναδυόµενες τεχνολογίες

Οι αναδυόµενες τεχνολογίες όπως το quantum computing, τα δίκτυα 5G και το edge computing, υιοθετούνται µε ραγδαία αυξανόµενο ρυθµό. Ωστόσο, αυτό δηµιουργεί ολοένα και περισσότερες νέες προκλήσεις στον κυβερνοχώρο σε διάφορους τοµείς:

Quantum Computing (κβαντική υπολογιστική): • Τρωτά σηµεία κρυπτογράφησης—Οι κβαντικοί υπολογιστές έχουν τη δυνατότητα να σπάσουν τους αλγόριθµους κρυπτογράφησης που χρησιµοποιούνται συνήθως, όπως οι Rivest–Shamir–Adleman (RSA) και η κρυπτογράφηση ελλειπτικής καµπύλης (ECC), που επί του παρόντος παρέχουν ασφαλή επικοινωνία και προστασία δεδοµένων. Αυτό εγείρει ανησυχίες σχετικά µε το απόρρητο και την ακεραιότητα των ευαίσθητων δεδοµένων, συµπεριλαµβανοµένων των οικονοµικών συναλλαγών και των προσωπικών πληροφοριών. • Μετα-κβαντική κρυπτογραφία—Η ανάγκη ανάπτυξης και εφαρµογής µετα-κβαντικών κρυπτογραφικών αλγορίθµων που να είναι ανθεκτικοί σε κβαντικές επιθέσεις είναι µια πρόκληση. Η διασφάλιση οµαλής µετάβασης από την παραδοσιακή κρυπτογράφηση στη µετα-κβαντική κρυπτογραφία είναι ζωτικής σηµασίας για τη διατήρηση της ασφαλούς επικοινωνίας στην εποχή των κβαντικών υπολογιστών.

καθιστώντας απαραίτητη την αποτελεσµατική ασφάλεια των συσκευών αιχµής, των πυλών και των καναλιών επικοινωνίας. • Περιορισµοί latency και bandwidth—Το edge computing δίνει έµφαση στην επεξεργασία χαµηλής καθυστέρησης και σε πραγµατικό χρόνο, η οποία µπορεί να περιορίσει τους διαθέσιµους πόρους για ισχυρά µέτρα ασφαλείας. Η εξισορρόπηση των απαιτήσεων ασφαλείας µε τους περιορισµούς του λανθάνοντος χρόνου και του εύρους ζώνης είναι ζωτικής σηµασίας για την πρόληψη των τρωτών σηµείων και τη διασφάλιση της. Αυτές οι τεχνολογίες προσφέρουν ευκαιρίες για καινοτοµία και αποτελεσµατικότητα, αλλά επίσης εγείρουν ανησυχίες σχετικά µε τον πιθανό αντίκτυπό τους στην ασφάλεια, το απόρρητο και την ακεραιότητα των δεδοµένων. Είναι απαραίτητο να δοθεί προτεραιότητα στην έρευνα και ανάπτυξη σε ασφαλή κρυπτογραφία ανθεκτική στην κβαντική ακτινοβολία, τµηµατοποίηση δικτύων, ανίχνευση απειλών και σχεδιασµό ασφαλούς αρχιτεκτονικής για τον µετριασµό του κινδύνου και την αντιµετώπιση του εξελισσόµενου τοπίου της κυβερνοασφάλειας που εισάγουν αυτές οι τεχνολογίες.

Τεχνητή νοηµοσύνη και machine learning

Η τεχνητή νοηµοσύνη (AI) και η µηχανική µάθηση (ML) χρησιµοποιούνται όλο και περισσότερο στην ασφάλεια στον κυβερνοχώρο για τον εντοπισµό απειλών, την απόκριση

C Y BER SECU RIT Y • netwee

Η ΑΝΑΓΚΑΙΟΤΗΤΑ ΤΟΥ CYBERSECURITY COMPLIANCE FRAMEWORK Η ολοένα µεγαλύτερη διείσδυση του cloud computing και οι συνεπαγόµενες προκλήσεις στην κυβερνοασφάλεια καθιστούν επιτακτική την ανάγκη υιοθέτησης ενός cybersecurity compliance framework. TOΥ ∆Ρ. ΘΕΟ∆ΩΡΟΥ ΝΤΟΥΣΚΑ, ISO 27001 LA, ISO 22301 LI, ISO 20000 LA, CERTIFIED DPO, MANAGING DIRECTOR & FOUNDER, ICT PROTECT

η σηµερινή εποχή η υιοθέτηση των Cloud υπηρεσιών (SaaS, PaaS, IaaS) από ιδιωτικές εταιρείες και από φορείς του δηµοσίου τοµέα παρουσιάζει συνεχώς αυξανόµενη τάση. Τα πλεονεκτήµατα από τη χρήση τέτοιου είδους υπηρεσιών είναι πολλά, όπως το χαµηλό κόστος συντήρησης, η διαλειτουργικότητα, η ευχρηστία κλπ. Ταυτόχρονα, όλο και περισσότερες λύσεις cloud υπηρεσιών αναπτύσσονται, καλύπτοντας διάφορες ανάγκες όπως υπηρεσίες µισθοδοσίας, υπηρεσίες ανθρώπινου δυναµικού, υπηρεσίες τιµολόγησης κλπ., οι οποίες εξ ορισµού διαχειρίζονται προσωπικά δεδοµένα και ως αποτέλεσµα αυξάνεται η πολυπλοκότητα στη διαχείριση της ασφάλειας, προστασίας δεδοµένων και ιδιωτικότητας.

Advertorial

netwee • C Y BER SECU RIT Y

Οι Cloud υπηρεσίες χαρακτηρίζονται από πολυπλοκότητα: • Οι υπηρεσίες αυτές µπορούν να διαλειτουργούν µε άλλες υποδοµές (π.χ. PaaS στον ΧΥΖ Cloud πάροχο, Database as a Service σε έναν άλλο Cloud πάροχο, API Connection µε εσωτερικά συστήµατα του οργανισµού, κλπ). • ∆ιαχειρίζονται τα αιτήµατα και τις ανάγκες πολλών χρηστών καθηµερινά. • Συλλέγουν και διαχειρίζονται µεγάλο όγκο δεδοµένων και διαφορετικής κατηγορίας δεδοµένων µε αποτέλεσµα να δηµιουργείται compliance & cybersecurity complexity. • Πρόκειται κυρίως για δηµόσια διαθέσιµες υπηρεσίες (public accessible services) και ως αποτέλεσµα υπάρχουν πολλές και διαφορετικών ειδών επιθέσεις µε αποτέλεσµα από οποιαδήποτε διακοπή υπηρεσίας να έχουµε σηµαντι-

κές επιπτώσεις, είτε data privacy issues, είτε security issues, είτε contract issues (π.χ. να χαθεί το SLA που προσφέρουµε εµείς µε τη σειρά µας σε κάποιον πελάτη). Πιθανή υποβάθµιση, δυσλειτουργία ή διακοπή των Cloud υπηρεσιών έχει σηµαντικές επιπτώσεις στην ασφάλεια, στην απώλεια δεδοµένων, στην απώλεια φήµης και στη µη συµµόρφωση µε τη νοµοθεσία µε αποτέλεσµα η ασφάλεια των Cloud υπηρεσιών να είναι ένα από τα πιο σηµαντικά θέµατα που πρέπει να λάβουν υπόψη τους τόσο οι τελικοί πελάτες των υπηρεσιών (Cloud Services Customers) όσο και οι οργανισµοί που προσφέρουν Cloud υπηρεσίες (Cloud Services Providers). Όπως είναι αναµενόµενο, όσο αυξάνεται η χρήση των Cloud υπηρεσιών ανά τον κόσµο τόσο αυξάνονται οι επιθέσεις άρα

και πιο απαιτητικό γίνεται το περι- party security assessement στον τοµέα βάλλον συµµόρφωσης και αξιολό- της ναυτιλίας. γησης από πλευράς ασφάλειας. • Το Digital Operational Resilience Act (DORA) κατευθύνεται και αυτό προς Η ΣΗΜΑΣΙΑ ΤΩΝ ΠΡΟΤΥΠΩΝ αυτή την απαίτηση, δηλαδή στοχεύει να Τα πρότυπα ISO 27017, ISO 27018 και εδραιώσει απαιτήσεις ασφάλειας στους ISO 27019 έχουν ως στόχο τη διαχεί- cloud providers που δραστηριοποιούριση της ασφάλειας και την προστασία νται και συνεργάζονται µε Financial των προσωπικών δεδοµένων που επε- Institutes στην Ευρωπαϊκή Ένωση. ξεργάζονται µέσω Cloud υπηρεσιών. • Τέλος, η ευρωπαϊκή οδηγία NIS 2 οδεύΒασίζονται στα πρότυπα ISO 27001 και ει προς την εφαρµογή της και πρόκειISO 27002, εστιάζουν όµως σε επιπλέον ται να εντάξει στο πεδίο εφαρµογής της απαιτήσεις ασφάλειας πληροφοριών και περισσότερες κατηγορίες οργανισµών. προστασίας προσωπικών δεδοµένων σε Πλέον έχουµε να αντιµετωπίσουµε πολcloud υπηρεσίες. Στην ουσία προσπα- λά νέα πρότυπα, νέες απαιτήσεις νοθούν να συνδυάσουν τα υφιστάµενα µοθεσίας και συνεχώς αυξανόµενες πρότυπα ασφάλειας, µε τις νέες τε- απαιτήσεις πελατών και όλα πρέπει χνολογίες ιστού και τις απαιτήσεις κάπως να τα διαχειριστούµε. Η λύση στο προστασίας δεδοµένων της νοµοθεσίας (GDPR, CCPA, κλπ.). Το τελευταίο διάστηµα συναντάµε όλο και πιο συχνά σε ερωτηµατολόγια αξιολόγησης προµηθευτών τις απαιτήσεις του SOC 2. Το SOC (Service Organization Controls) είναι ένα πρότυπο που δηµιουργήθηκε από το Αµερικανικό Ινστιτούτο Πιστοποιηµένων Ορκωτών Λογιστών (AICPA - American Institute of Certified Public Accountants). Στόχος του SOC 2 Report είναι να βοηθήσει τους οργανισµούς να υλοποιήσουν τα απαραίτητα τεχνικά & Θεόδωρος Ντούσκας οργανωτικά µέτρα προς όφελος των πελατών τους, προκειµένου να προστατεύσουν τις πληροφορίες και τα δεδοµένα συγκεκριµένο ζήτηµα είναι να υιοθετηπου αποθηκεύονται σε cloud-based θεί ένα Cybersecurity Compliance υποδοµές. Είναι ένα σύνολο απαιτήσε- Framework το οποίο θα µπορέσει να ων πέντε οµάδων (Security, Availability, συνδυάσει όλες αυτές τις απαιτήσεις Processing Integrity, Confidentiality και και µε αυτό τον τρόπο ο οργανισµός θα Privacy) και ο οργανισµός µπορεί να έχει µια συνολική εικόνα για το επίπεδο ελεγχθεί για τη βασική οµάδα (Security) συµµόρφωσης. καθώς και για όποια/όποιες από τις Το βασικό συστατικό του Cybersecurity άλλες οµάδες απαιτήσεων επιθυµεί. Το Compliance Framework είναι να επιSOC απευθύνεται σε εταιρείες οι οποίες λεχθεί ως κύριο πρότυπο το ISO 27001 δραστηριοποιούνται κυρίως στην Αµε- ή το NIST CSF και να αντιστοιχιστούν ρική, όµως τον τελευταίο καιρό συνε- µε τις απαιτήσεις του ISO 27001 & χώς το βλέπουµε ως απαίτηση και σε NIST CSF όλα τα τεχνικά & οργανωερωτηµατολόγια µεγάλων ευρωπαϊκών τικά µέτρα προστασίας των προτύπων πελατών κατά τη φάση της αξιολόγησης (π.χ. ISO 27017, ISO 27018, ISO 27019, προµηθευτών ως προς την ασφάλεια ISO 27701, AICPA TSC Requirements) και τη προστασία δεδοµένων. Τέλος, και κανονισµών (π.χ. GDPR, NERC νέες απαιτήσεις κυβερνοασφάλειας CIP, IMO, κλπ.). Με αυτόν τον τρόπο δηµοσιοποιήθηκαν, εφαρµόστηκαν ή θα έχει συγκεντρωθεί το σύνολο των πρόκειται να εφαρµοστούν το τελευταίο απαιτήσεων, θα ενσωµατωθούν στη µελέτη Ανάλυσης Επικινδυνότητας διάστηµα: • Το ΙΜΟ 2021 Maritime Cyber Risk (Risk Assessment) νέες στοχευµένες Management (IMO 2021 MSC 428 απειλές, αδυναµίες και προτεινόµενα Maritime Cyber Risk Management) µέτρα, θα ενταχθούν στοχευµένα σηέχει απώτερο στόχο να διασφαλίσει το µεία ελέγχου στις εσωτερικές επιθεωρήSupply Chain, να διασφαλίσει το third σεις και άρα θα γνωρίζει ο οργανισµός

το βαθµό συµµόρφωσής του για κάθε µία απαίτηση ανά πάσα στιγµή. Η επιτυχής, µέσω του Framework, αξιολόγηση συµµόρφωσης θα παρέχει το απαιτούµενο επίπεδο εµπιστοσύνης για τους πελάτες ενός οργανισµού, καθώς µπορεί να χρησιµοποιηθεί για να αποδείξει ότι ένα προϊόν, µια υπηρεσία ή ένα σύστηµα του οργανισµού πληροί συγκεκριµένες απαιτήσεις για τη διαχείριση του κινδύνου κυβερνοασφάλειας. Το Framework πρόκειται να είναι µια «ζωντανή» διαδικασία, καθώς όπως θα εφαρµόζεται στην πράξη, θα αντλούνται διδάγµατα για συνεχή βελτίωση. Θα διασφαλίσει ότι ικανοποιούνται οι ανάγκες τόσο των πελατών όσο και του ίδιου του οργανισµού (λαµβάνοντας υπόψη εφαρµόσιµη νοµοθεσία και κανονισµούς) σε ένα δυναµικό περιβάλλον, αποτελούµενο τόσο από νέες πρωτότυπες λύσεις, όσο και από νέες απειλές και κινδύνους. Η ΠΡΟΤΑΣΗ ΤΗΣ ICT PROTECT

Στην ICT PROTECT έχουµε αναπτύξει & υλοποιήσει το Framework αυτό (Εικόνα 1) µέσω του εργαλείου διαχείρισης ασφάλειας STORM Governance, Risk & Compliance Tool (STORM GRC) και το χρησιµοποιούµε για να βοηθήσουµε τους πελάτες µας να διαχειριστούν το νέο αυτό απαιτητικό περιβάλλον συµµόρφωσης. Tο STORM GRC, προσφέρει υπηρεσίες οι οποίες διευκολύνουν τη διαχείριση της ασφάλειας πληροφοριών & προστασίας δεδοµένων, υλοποιώντας το Cybersecurity Compliance Framework και συνδυάζοντας όλα τα πρότυπα που αναφέραµε παραπάνω. Το STORM GRC µπορεί να παραµετροποιηθεί και να καλύψει τις ανάγκες τόσο πολύπλοκων οργανισµών όσο και µικρών και µικροµεσαίων επιχειρήσεων και να αποτελέσει ένα ολιστικό εργαλείο συµµόρφωσης µε τις απαιτήσεις ασφάλειας της «νέας πραγµατικότητας». INFO Περικλέους 11, 15122, Μαρούσι T :+30 21 1407 8104 E: info@ictprotect.com W: www.ictprotect.com

C Y BER SECU RIT Y • netwee

TRENDS

και την αυτοµατοποίηση των εργασιών ασφαλείας. Ωστόσο, στα δεδοµένα στα οποία εκπαιδεύτηκαν. Εάν τα δεδοµένα προκλήσεις όπως η αντιπαλότητα ML, οι προκαταλήψεις εκπαίδευσης περιέχουν µεροληπτικές ή αθέµιτες πληροστους αλγόριθµους τεχνητής νοηµοσύνης και η πιθανότητα φορίες, υπάρχει κίνδυνος το µοντέλο να δηµιουργήσει επιθέσεων που βασίζονται στην τεχνητή νοηµοσύνη πρέακούσια µεροληπτικές ή προκατειληµµένες απαντήσεις. πει να εξεταστούν προσεκτικά και να µετριαστούν. Ενώ η Για παράδειγµα, το 2018, αναφέρθηκε ότι η Amazon τεχνητή νοηµοσύνη και το ML µπορούν να ενισχύσουν τις είχε αναπτύξει ένα εργαλείο recruitment µε γνώµονα δυνατότητες κυβερνοασφάλειας, υπάρχουν επίσης ανησυτην τεχνητή νοηµοσύνη για την αυτοµατοποίηση της χίες σχετικά µε την πιθανότητα κακόβουλης χρήσης τους διαδικασίας πρόσληψης. Ωστόσο, ο αλγόριθµος έδειξε και τις ηθικές επιπτώσεις τους: προκατάληψη έναντι των γυναικών υποψηφίων. Το σύστηµα εκπαιδεύτηκε σε ιστορικά δεδοµένα βιογραφικού, • Παραπληροφόρηση και κακή πληροφόρηση—Τα µοντέλα τεχνητής νοηµοσύνης έχουν την ικανότητα να τα οποία αποτελούνταν κυρίως από άνδρες αιτούντες. Ως δηµιουργούν ανθρώπινες απαντήσεις, οι οποίες µπορεί αποτέλεσµα, ο αλγόριθµος έµαθε να ευνοεί τους άνδρες να αξιοποιηθούν για τη διάδοση παραπληροφόρησης υποψήφιους και µείωσε τα βιογραφικά που περιείχαν ή παραπληροφόρησης. Οι κακόβουλοι παράγοντες θα όρους που σχετίζονται µε γυναίκες. µπορούσαν να χρησιµοποιήσουν το µοντέλο για να δηµι- • Προστασία απορρήτου και δεδοµένων—Όταν αλληουργήσουν ψευδείς πληροφορίες, να εξαπατήσουν άτοµα λεπιδρούν µε µοντέλα τεχνητής νοηµοσύνης, οι χρήστες ή/και να χειραγωγήσουν την κοινή γνώµη. ενδέχεται να παρέχουν προσωπικές ή ευαίσθητες πλη• Phishing και social engineering—Τα µοντέλα τεροφορίες. Είναι σηµαντικό να διασφαλιστεί ότι υπάρχουν χνητής νοηµοσύνης ενδέχεται να αξιοποιηθούν από εικατάλληλα µέτρα για την προστασία του απορρήτου των σβολείς για να ενισχύσουν τις καµπάνιες ηλεκτρονικού χρηστών και τον ασφαλή χειρισµό τυχόν δεδοµένων που ψαρέµατος και κοινωνικής µηχανικής τους. Μιµούµενοι µοιράζονται κατά τη διάρκεια συνοµιλιών. την ανθρώπινη συνοµιλία, οι κακόβουλοι κυβερνοπαρά- Αξίζει επίσης να σηµειωθεί ότι έχουν παρατηρηθεί αντίθεγοντες ενδέχεται να επιχειρήσουν να εξαπατήσουν τους τες επιθέσεις ML και AI σε διάφορα περιβάλλοντα, όπως χρήστες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες, η αποφυγή φίλτρων ανεπιθύµητης αλληλογραφίας ή όπως κωδικούς πρόσβασης ή οικονοµικές λεπτοµέρειες. ο χειρισµός συστηµάτων αναγνώρισης εικόνων. Για να • Μεροληψία και προκαταλήψεις—Τα µοντέλα AI µπο- αντιµετωπίσουν αυτά τα ζητήµατα, οι οργανισµοί πρέπει ρεί να αντικατοπτρίζουν προκαταλήψεις που υπάρχουν να δώσουν προτεραιότητα στις υπεύθυνες πρακτικές τε-

netwee • C Y BER SECU RIT Υ

TRENDS χνητής νοηµοσύνης, να διεξάγουν διεξοδικές δοκιµές και να αξιολογούν και να αντιµετωπίζουν τακτικά πιθανές προκαταλήψεις και ευπάθειες στα συστήµατα τεχνητής νοηµοσύνης τους. Θα πρέπει να δηµιουργηθούν µηχανισµοί φιλτραρίσµατος περιεχοµένου για να βοηθήσουν στον εντοπισµό και την πρόληψη της διάδοσης κακόβουλου, επιβλαβούς ή µεροληπτικού περιεχοµένου που δηµιουργείται από µοντέλα τεχνητής νοηµοσύνης.

Η ασφάλεια στο cloud

Η χρήση του cloud computing αυξάνεται. Το 2022, το 93% των ηγετών τεχνολογίας επισήµανε ότι η πληροφορική που αξιοποιούν είναι «κυρίως cloud». Ωστόσο, οι οργανισµοί συνεχίζουν να αντιµετωπίζουν προκλήσεις όσον αφορά την ασφάλεια των περιβαλλόντων τους στο cloud. Η ασφάλεια στο cloud απαιτεί εξειδίκευση και κατανόηση του µοντέλου κοινής ευθύνης. Οι οργανισµοί πρέπει να προστατεύουν τα δεδοµένα και τις εφαρµογές τους, ενώ βασίζονται επίσης στους παρόχους υπηρεσιών cloud (CSP) για την ασφάλεια της υποδοµής. Το cloud computing είναι δηµοφιλές, αλλά η ασφάλεια των περιβαλλόντων cloud παρουσιάζει µοναδικές προκλήσεις, όπως παραβιάσεις δεδοµένων, εσφαλµένες διαµορφώσεις και εσωτερικές απειλές. Απαιτούνται εξειδικευµένα µέτρα ασφαλείας και βέλτιστες πρακτικές για την αποτελεσµατική ασφάλεια στο cloud, όπως: • ∆ιαχείριση ταυτότητας και πρόσβασης (IAM) — Εφαρµόστε ισχυρές πρακτικές IAM για τον έλεγχο της πρόσβασης των χρηστών στους πόρους του cloud. Αυτό περιλαµβάνει τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), ελέγχου πρόσβασης βάσει ρόλου (RBAC) και τακτικής επανεξέτασης και ανάκλησης των δικαιωµάτων πρόσβασης. Αυτό διασφαλίζει ότι µόνο εξουσιοδοτηµένα άτοµα µπορούν να έχουν πρόσβαση και να διαχειρίζονται πόρους cloud. • Πρόληψη απώλειας δεδοµένων (DLP)—Εφαρµόστε µέτρα DLP για να αποτρέψετε τη µη εξουσιοδοτηµένη αποκάλυψη ευαίσθητων πληροφοριών. Χρησιµοποιήστε τεχνικές όπως ταξινόµηση δεδοµένων, σάρωση περιεχοµένου και επιβολή πολιτικών για να εντοπίσετε και να αποτρέψετε τη διαρροή δεδοµένων από περιβάλλοντα cloud. Αυτό βοηθά στην προστασία από τυχαία ή σκόπιµη έκθεση δεδοµένων. • Incident response & forensics—Αναπτύξτε και δοκιµάστε ένα σχέδιο απόκρισης συµβάντων ειδικά για περιβάλλοντα cloud. Καθορίστε ρόλους, αρµοδιότητες και κανάλια επικοινωνίας για την αντιµετώπιση περιστατικών ασφαλείας. Καθιερώστε διαδικασίες αντιµετώπισης περιστατικών, συµπεριλαµβανοµένων των δυνατοτήτων ιατροδικαστικής έρευνας, για τον εντοπισµό της βασικής αιτίας, τον περιορισµό του συµβάντος και την πρόληψη µελλοντικών περιστατικών. Εξειδικευµένα µέτρα ασφαλείας και βέλτιστες πρακτικές βοηθούν τους οργανισµούς να δηµιουργήσουν ισχυρές στάσεις ασφαλείας και να προστατεύσουν τα περιβάλλοντα cloud τους από απειλές και ευπάθειες. Ωστόσο, είναι σηµαντικό να σηµειωθεί ότι η ασφάλεια στο cloud είναι µια συνεχής προσπάθεια και οι οργανισµοί θα πρέπει να προσαρµόζουν συνεχώς τις

netwee • C Y BER SECU RIT Υ

πρακτικές ασφαλείας τους για την αντιµετώπιση των εξελισσόµενων απειλών και των µεταβαλλόµενων περιβαλλόντων cloud.

Εν κατακλείδι

Η κατάσταση της κυβερνοασφάλειας το 2023 χαρακτηρίζεται από ένα δυναµικό και εξελισσόµενο τοπίο απειλών, κανονιστική συµµόρφωση και ανησυχίες σχετικά µε το απόρρητο, καθώς και από την αυξανόµενη χρήση AI και ML, µεταξύ άλλων τάσεων. Οι οργανισµοί και τα άτοµα πρέπει να παραµείνουν σε επαγρύπνηση, προνοητικά και προσαρµοστικά για να αντιµετωπίσουν αποτελεσµατικά αυτές τις τάσεις —και τις συνοδευτικές προκλήσεις τους— και να προστατεύσουν από τις κυβερνοαπειλές. Η ενηµέρωση µε τις αναδυόµενες τεχνολογίες, τις απαιτήσεις συµµόρφωσης και τις βέλτιστες πρακτικές, ενώ δηµιουργείται ένα εξειδικευµένο εργατικό δυναµικό στον τοµέα της κυβερνοασφάλειας, είναι ζωτικής σηµασίας για την αποτελεσµατική ασφάλεια στον κυβερνοχώρο στο τρέχον τοπίο.

ΝΕΑΣ ΓΕΝΙΑΣ ΕΝΙΑΙΕΣ ΥΠΗΡΕΣΙΕΣ ΑΣΦΑΛΕΙΑΣ ΣΤΟ CLOUD:

Η ΑΠΑΝΤΗΣΗ ΤΗΣ CISCO ΣΤΙΣ ΣΥΓΧΡΟΝΕΣ ΚΥΒΕΡΝΟΠΡΟΚΛΗΣΕΙΣ Η Cisco ανταποκρίνεται στις κυβερνοπροκλήσεις µε ενιαίες υπηρεσίες ασφάλειας στο cloud και καινοτοµίες στο Cisco Security Cloud, ενισχύοντας την κυβερνοανθεκτικότητα. ΤΗΣ ΚΩΝΣΤΑΝΤΙΝΑΣ ΣΥΝΤΙΛΑ ΥΠΕΥΘΥΝΗ ΠΩΛΗΣΕΩΝ ΛΥΣΕΩΝ CYBER SECURITY ΤΗΣ CISCO ΓΙΑ ΕΛΛΑ∆Α/ΚΥΠΡΟ/ΜΑΛΤΑ ΥΒΡΙ∆ΙΚΗ ΕΡΓΑΣΙΑ ΚΑΙ ΚΥΒΕΡΝΟΑΝΘΕΚΤΙΚΟΤΗΤΑ: ΟΙ ΝΕΕΣ ΠΡΟΤΕΡΑΙΟΤΗΤΕΣ ΣΤΗΝ ΑΣΦΑΛΕΙΑ ∆ΙΚΤΥΩΣΗΣ

Η υβριδική εργασία αύξησε σηµαντικά τις προκλήσεις στην ασφάλεια των επιχειρήσεων, επισηµαίνοντας την ανάγκη για ανθεκτικότητα στις κυβερνοεπιθέσεις. Η κυβερνοανθεκτικότητα επιτρέπει σε επιχειρήσεις να αντιδρούν και να ανακάµπτουν, διασφαλίζοντας την απρόσκοπτη λειτουργία τους. Έρευνα της Cisco καταδεικνύει ότι υιοθέτηση αρχιτεκτονικών όπως SASE, Zero Trust, και ολιστικές λύσεις ανίχνευσης απειλών όπως το XDR, επιτυγχάνει υψηλότερα επίπεδα κυβερνοανθεκτικότητας. Στην Ελλάδα, ήδη υπάρχουν υλοποιήσεις SASE µε το Cisco Umbrella SIG, παρέχοντας υπηρεσίες όπως cloud proxy, ασφάλεια DNS και CASB σε ενιαία cloud πλατφόρµα, προστατεύοντας χρήστες ανεξαρτήτως τοποθεσίας. Το SASE, κατά τη Gartner, αποτελεί όραµα για την ασφαλή δικτύωση, συνδυάζοντας SD-WAN και λύσεις ασφάλειας cloud, γνωστές ως SSE. Το SSE παρέχει ασφάλεια από το cloud, διασφαλίζοντας την προστασία των χρηστών, των δεδοµένων και των εφαρµογών. Μελέτες της Gartner προβλέπουν ότι 65% των οργανισµών θα υιοθετήσουν λύσεις SSE στα επόµενα 2 χρόνια.

Advertorial

ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΚΑΙ ΚΑΙΝΟΤΟΜΙΕΣ ΤΗΣ ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ SASE ΜΕΣΩ ΤΟΥ CISCO SECURE ACCESS

Στατιστικά στοιχεία της Cisco δείχνουν ότι 86% των οργανισµών υποστηρίζει την ανάγκη σταθερού και ενιαίου λειτουργικού µοντέλου σε διάφορα περιβάλλοντα, ενώ 78% τονίζει τη σηµασία της χρηστικής εµπειρίας. Τα πλεονεκτήµατα της υιοθέτησης αρχιτεκτονικής SASE καλύπτουν τις παραπάνω ανάγκες και πιο συγκεκριµένα περιλαµβάνουν απλοποίηση διαχείρισης, κεντρική ασφάλεια, καλύτερη

παραγωγικότητα µέσα από βελτιωµένη χρηστική εµπειρία, µείωση κόστους και ενίσχυση της ασφάλειας. Το τελευταίο πεντάµηνο, η Cisco παρουσίασε σειρά καινοτοµιών, επικεντρωµένη στο Cisco Secure Access, την ενοποιηµένη πλατφόρµα SSE της Cisco. Με το Cisco Secure Access, η Cisco προσφέρει προηγµένες υπηρεσίες για ασφαλή πρόσβαση σε εσωτερικές

Κωνσταντίνα Συντίλα

εφαρµογές, όπως το ZTNA (Zero Trust Network Access) και το VPNaaS. Οι υπηρεσίες παρέχονται µέσω ενιαίας κονσόλας, σε συνδυασµό µε λειτουργίες ασφάλειας όπως το DNS, η αποµόνωση αποµακρυσµένου περιηγητή (Remote Browser Isolation), η προληπτική προστασία από απώλεια δεδοµένων (Data Loss Prevention) και η παρακολούθηση της ψηφιακής εµπειρίας του χρήστη (Digital Experience Monitoring). Όλες οι λειτουργίες ενισχύονται µε τεχνολογία ασφαλείας AI, προσφέροντας ένα ολοκληρωµένο σύστηµα ασφαλείας µέσω µίας µόνο συνδροµής. Η πρόσβαση σε εσωτερικές εφαρµογές µέσω της νέας γενιάς ZTNA, που υποστηρίζει πρωτόκολλα υψηλής απόδοσης όπως τα MASQUE και QUIC, επιτρέπει βελτιωµένη απόδοση και πρόσβαση σε όλο το φάσµα των εσωτερικών εφαρµογών χωρίς περιορισµούς των παραδοσιακών λύσεων ZTNA.

ΠΡΟΣΦΑΤΕΣ ΚΑΙΝΟΤΟΜΙΕΣ ΚΑΙ ΕΠΕΚΤΑΣΕΙΣ ΣΤΟ CISCO SECURITY CLOUD: ΕΝΙΣΧΥΣΗ ΑΣΦΑΛΕΙΑΣ ΜΕ AI ΚΑΙ ΣΥΝΕΡΓΑΣΙΕΣ

Η πλατφόρµα του Cisco Security Cloud βασίζεται σε ισχυρό χαρτοφυλάκιο τεχνολογιών ασφαλείας και υποστηρίζεται από την οµάδα Threat Intelligence Cisco Talos. Το Cisco Security Cloud ενισχύει την οργανωτική ανθεκτικότητα σε περιβάλλον multicloud µε υποστήριξη τεχνητής νοηµοσύνης (AI). Το τελευταίο πεντάµηνο ανακοινώθηκαν πολλές καινοτοµίες και έγιναν σηµαντικές προσθήκες στο χαρτοφυλάκιο του Cisco Security Cloud, οι οποίες περιλαµβάνουν: Το Cisco Secure Access, µια εξελιγµένη πλατφόρµα SSE προερχόµενη από το Cisco Umbrella SIG και προστέθηκαν επιπλέον εκτεταµένες υπηρεσίες όπως ZTNA και VPNaaS µέσα από µία ενοποιηµένη κονσόλα. Ανακοινώθηκε επίσης η λύση XDR που καλύπτει και τις έξι βασικές πηγές τηλεµετρίας και ενσωµατώνεται µε προϊόντα τρίτων. Τέλος, η λύση Cisco Multicloud Defense προσφέρει ολιστική ασφάλεια για δεδοµένα cloud και φόρτους εργασίας, εξαλείφοντας την πολυπλοκότητα που εισάγεται από τα παραδοσιακά FW σε cloud περιβαλλοντα. Η Cisco ενίσχυσε το χαρτοφυλάκιο του Cisco Security Cloud το 2023, µέσα από εξαγορές σηµαντικών εταιρειών όπως η Oort, η Armorblox και η Valtix, ενώ πρόσφατα ανακοίνωσε την πρόθεση να εξαγοράσει και τη Splunk. INFO Monumental Plaza, Building C 44, Kifissias Ave., 4th floor, Maroussi 151 25, Athens, Greece Τ: 210-6381300 E: marketing-greece@external.cisco.com W: www.cisco.com

C Y BER SECU RIT Y • netwee

OPINION

Η συνολική θεώρηση της ασφάλειας στο επιχειρηµατικό περιβάλλον

Νότης Ηλιόπουλος

Η νέα εποχή της αυξηµένης τεχνολογικής συνδεσιµότητας και αυτοµατισµού παρέχει στις επιχειρήσεις µια πρωτοφανή ευκαιρία για ανάπτυξη και καινοτοµία. Ωστόσο, χωρίς την κατάλληλη προστασία του ευρύτερου ψηφιακού και φυσικού περιβάλλοντος, οι έξυπνες υποδοµές και οι συνδεδεµένες έξυπνες συσκευές/συστήµατα είναι ευάλωτες σε κάθε είδους περιστατικό ασφάλειας. Του Νότη Ηλιόπουλου, Information Security Expert

ι πιθανές επιπτώσεις µιας συνδυασµένης (υβριδικής) επίθεσης στις υποδοµές ενός Οργανισµού µέσω εκµετάλλευσης αδυναµιών της φυσικής και της ψηφιακής ασφάλειας µπορούν να είναι ακόµη και ανυπολόγιστες και ερείδονται σε ένα ευρύ φάσµα απειλών κατά των Οργανισµών. Μια ρεαλιστική στρατηγική ασφάλειας στο σηµερινό συνεχώς εξελισσόµενο, µεταβαλλόµενο περιβάλλον πρέπει να περιλαµβάνει µια ολιστική προσέγγιση για την σύγκλιση της φυσικής, της ψηφιακής, της ασφάλειας

netwee • C Y BER SECU RIT Υ

των πληροφοριών και της επιχειρησιακής συνέχειας, ώστε ο συνδυασµός τους να επιτύχει τη συνολική διαχείριση κάθε πτυχής της ασφάλειας του οργανισµού. Συνακόλουθα, προκύπτει και αναγκαιότητα για σύγκλιση των ρόλων του υπευθύνου φυσικής ασφάλειας και των υπευθύνων ασφάλειας πληροφοριών και επιχειρηµατικής συνέχειας. Η εν λόγω προσέγγιση – σύγκλιση της ψηφιακής, φυσικής ασφάλειας, της επιχειρηµατικής συνέχειας και της ασφάλειας πληροφοριών – έχει ως συνέπεια τη συγκέντρωση

πολλών από τις δραστηριότητες που απαντώνται στον ευρύτερο τοµέα της ασφάλειας και της επιχειρηµατικής συνέχειας και βασίζεται σε µεγάλο βαθµό στην ικανότητα διασύνδεσης ευρύτερων πτυχών τους, µε στόχο την ολιστική διαχείριση των κινδύνων και των περιστατικών ασφάλειας. Πρόκειται ουσιαστικά για δραστηριότητες µε αρκετά κοινά χαρακτηριστικά µε αποτέλεσµα να µην είναι πάντα εφικτή η διάκριση µεταξύ φυσικών, εικονικών και ψηφιακών περιστατικών ασφάλειας και απειλής της επιχειρηµατικής συνέχειας, ενώ και ο τρόπος αντιµετώπισής τους οµοίως εµφανίζει εν πολλοίς κοινά χαρακτηριστικά.

κοινά χαρακτηριστικά µε αποτέλεσµα να µην είναι πάντα εφικτή η διάκριση µεταξύ φυσικών, εικονικών και ψηφιακών περιστατικών ασφάλειας, ενώ και ο τρόπος αντιµετώπισής τους εµφανίζει εν πολλοίς κοινά χαρακτηριστικά. Πρώτο βασικό συστατικό, ως προς αυτή τη κατεύθυνση, αποτελεί η υλοποίηση ενός κοινού πλαισίου ∆ιακυβέρνησης & ∆ιαχείρισης της ασφάλειας, βασισµένο σε κοινές συνιστώσες από πρότυπα, βέλτιστες πρακτικές και απαιτήσεις συµµόρφωσης µε το κανονιστικό πλαίσιο. Τέτοιο ολοκληρωµένο πλαίσιο αρχών, δεν υπάρχει στην τελική του µορφή, παρά µόνο ερευνητικές προσπάθειες, σχετικά συγγράµατα και παροτρύνσεις κυβερνήσεων και οργανισµών επαγγελµατιών, που αναφέρονται στην ανάγκη για ολιστική προσέγγιση και σε πρότυπες µεθοδολογίες ολιστικής διαχείρισης των κινδύνων ασφάλειας και επιχειρηµατικής συνέχειας. Κατά συνέπεια, το εν λόγω πλαίσιο χρειάζεται να δηµιουργηθεί, σ’ εταιρικό επίπεδο προκειµένου ν’ αποτελέσει τη βάση υλοποίησης της νέας ολιστικής προσέγγισης. Παράδειγµα ενός τέτοιου πλαισίου παρατίθεται στο παρακάτω γράφηµα, τ’ οποίο αποτέλεσε αντικείµενο ακαδηµαϊκού µας συγγράµµατος (paper) [1].

Η εποχή απαιτεί µία ολιστική προσέγγιση της φυσικής και ψηφιακής ασφάλειας και Η αποτελεσµατική της επιχειρησιακής εφαρµογή της νέας προσέγγισης συνέχειας Η αντιµετώπιση όλων των πτυχών της

ασφάλειας ως ενιαίων και αλληλένδετων διεργασιών, σε συνδυασµό και µε την επιχειρηµατική συνέχεια και η τοποθέτησή τους κάτω από την ίδια οργανωτική δοµή, δηµιουργεί µια κουλτούρα ευαισθητοποίησης και λογοδοσίας στα θέµατα αυτά. Σε κάθε περίπτωση, πρέπει να γίνει κατανοητό ότι κάθε τοµέας µπορεί και πρέπει να κατανοήσει και να υιοθετήσει τα εργαλεία του άλλου (τεχνολογία, διαδικασίες, λογική προσέγγιση), προκειµένου να καταστεί δυνατή η ανάπτυξη ολοκληρωµένων δυνατοτήτων πρόληψης και ταυτοποίησης των περιστατικών, αλλά και αποτελεσµατικής αντιµετώπισής τους, λαµβάνοντας πάντα υπόψη τις ανάγκες και την πολυπλοκότητα του σύγχρονου εταιρικού περιβάλλοντος. Η εφαρµογή της νέας προσέγγισης απαιτεί τη δηµιουργία ενός πλαισίου ολιστικής προσέγγισης για την ασφάλεια και την επιχειρηµατική συνέχεια. Το πώς ο κάθε Οργανισµός θα δοµήσει το συγκεκριµένο πλαίσιο που θα καλύπτει τις δικές του ανάγκες, εξαρτάται από το επιχειρηµατικό και τεχνολογικό περιβάλλον στο οποίο έχει επιλέξει να λειτουργεί, αλλά και από τον βαθµό ωριµότητας, την κουλτούρα και την προσέγγιση που υιοθετεί απέναντι στην επιχειρηµατική βιωσιµότητα και την ανθεκτικότητα. Οι παράγοντες αυτοί καθορίζουν τελικά και το πότε ο Οργανισµός θα είναι έτοιµος για το επόµενο βήµα, το οποίο αφορά στη σύγκλιση των διεργασιών Ασφάλειας, (φυσικής, ψηφιακής και ασφάλειας πληροφοριών) και Επιχειρηµατικής Συνέχειας, ώστε οι κίνδυνοι που αφορούν στην ασφάλεια και τη συνέχιση των εργασιών, να ελέγχονται και να αντιµετωπίζονται ολιστικά. Ανεξάρτητα από το τρόπο που θα επιλέξει ο κάθε Οργανισµός να εφαρµόσει τη νέα προσέγγιση, οι παρακάτω συνιστώσες θα πρέπει να ληφθούν υπ’ όψιν προκειµένου να δηµιουργηθεί το απαραίτητο πλαίσιο διακυβέρνησης και οµογενοποίησης όλων των λειτουργιών ασφάλειας και επιχειρηµατικής συνέχειας.

Πλαίσιο διακυβέρνησης και σύγκλιση διεργασιών

Η σύγκλιση αφορά εν προκειµένω στον τρόπο ολιστικής διαχείρισης των κινδύνων που άπτονται της ασφάλειας και της επιχειρηµατικής συνέχειας, αλλά και στον τρόπο αντιµετώπισης των αντίστοιχων περιστατικών. Σταδιακά γίνεται αντιληπτό ότι πρόκειται για διαδικασίες µε αρκετά

• Develop and Adopt a Security Governance & Compliance framework • Adopt a holistic Security Risk Management methodology

• Unify security operations • Establish metrics & common reporting • Continuous reporting & enhancement of adoption

Notis Iliopoulos, Proposed approach for the effective implementation of Converged Security Governance & Risk Management in the corporate environment, 2021

Ως ένα πρώτο βήµα προς την ολιστική θεώρηση της Ασφάλειας και Επιχειρηµατικής συνέχειας στο επιχειρηµατικό περιβάλλον, πολλοί Οργανισµοί δηµιουργούν κέντρα διαχείρισης περιστατικών ασφάλειας (fusion centers), τα οποία έχουν τη δυνατότητα να χειριστούν τόσο περιστατικά φυσικής όσο και ψηφιακής ασφάλειας, καθώς και να διαχειριστούν τις διαδικασίες που αφορούν στην επιχειρηµατική συνέχεια. Αυτό αποτελεί το πρώτο βήµα σύγκλισης φυσικής και ψηφιακής ασφάλειας, καθώς επιτυγχάνεται η συνεργασία, η ανταλλαγή µεθοδολογιών και γνώσης µεταξύ των δύο φαινοµενικά ετερόκλητων κόσµων. Οι Οργανισµοί που επιλέγουν τη δηµιουργία κέντρων ολιστικής διαχείρισης των περιστατικών ασφάλειας αποκτούν την ικανότητα αποτελεσµατικού εντοπισµού και αντιµετώπισης κάθε είδους συµβάντος ασφάλειας, έχοντας παράλληλα πλήρη εικόνα των αλληλεξαρτήσεων αλλά και των κινδύνων που θα µπορούσαν να οδηγήσουν σε ένα επόµενο περιστατικό. Επιπλέον τα εν λόγω κέντρα , αποτελούν κεντρικό σηµείο διαχείρισης και των απειλών ασφάλειας, πριν εξελιχθούν σε περιστατικό.

C Y BER SECU RIT Y • netwee

OPINION Τεχνολογική σύγκλιση

Οι οργανωτικές µονάδες που διαχειρίζονται τις τεχνολογίες φυσικής ασφάλειας είναι συνήθως ξεχωριστές από εκείνες που διαχειρίζονται τις τεχνολογίες ψηφιακής ασφάλειας και συχνά δεν συνεργάζονται µεταξύ τους. Το γεγονός ότι πλέον παρατηρείται µια ολοένα και αυξανόµενη σύγκλιση τεχνολογιών, ενώ παράλληλα υιοθετούνται κοινά τεχνολογικά πρωτόκολλα επικοινωνίας καθιστά τον ως άνω διαχωρισµό όχι µόνο ξεπερασµένο, αλλά και ικανό να επιφέρει δυσµενείς συνέπειες στη συνολική ασφάλεια ενός Οργανισµού. Είναι σύνηθες φαινόµενο οι τεχνολογίες που χρησιµοποιούνται για τη φυσική ασφάλεια, να µην ακολουθούν τις βέλτιστες πρακτικές ψηφιακής ασφάλειας. Ως εκ τούτου, η κοινή διαχείριση των συστηµάτων φυσικής και ψηφιακής ασφάλειας συνιστά πλέον αναµφισβήτητη αναγκαιότητα, τόσο ως προς την παραµετροποίηση και λειτουργία βάσει των βέλτιστων πρακτικών ψηφιακής ασφάλειας, όσο και ως προς τη χρήση της τεχνολογίας για την αποτελεσµατική ασφάλεια και προστασία των πόρων ενός οργανισµού. Εξίσου σηµαντική είναι επίσης η αποτελεσµατική επεξεργασία και ανάλυση των πληροφοριών που συλλέγονται έτσι ώστε οι τεχνολογίες ασφάλειας να δρουν συµπληρωµατικά η µία µε την άλλη προκειµένου να µεγιστοποιείται η προστασία των πόρων και των εργαζόµενων ενός Οργανισµού και παράλληλα να εξάγονται χρήσιµα συµπεράσµατα. Σε ψηφιακό επίπεδο χρησιµοποιούνται τεχνολογίες προκειµένου να είναι δυνατή η συνεχής παρακολούθηση και συλλογή στοιχείων για πιθανές επιθέσεις ψηφιακής ασφάλειας εναντίον ενός Οργανισµού. Έτσι, η ψηφιακή υποδοµή προστατεύεται σε πραγµατικό χρόνο καθιστώντας άµεσα ανιχνεύσιµη µια πιθανή επίθεση, ανεξάρτητα από την προέλευσή της. Ο εµπλουτισµός της υποδοµής αυτής µε στοιχεία ως προς την φυσική ασφάλεια, τα οποία µπορούν να συλλέγονται από αντίστοιχους µηχανισµούς είναι προφανές ότι µπορεί να οδηγήσει σε µια µεγάλη βελτίωση της αποτελεσµατικότητας της διαχείρισης της ασφάλειας του συνόλου των περιουσιακών πόρων ενός Οργανισµού. Ταυτόχρονα ενισχύεται η αποτελεσµατικότητα της διαδικασίας διαχείρισης περιστατικών ασφάλειας και διαχείρισης κρίσεων λόγω της οµογενοποίησης των συναφών διαδικασιών αλλά και της κεντρικής διαχείρισης περιστατικών και κρίσεων. Εξίσου σηµαντική είναι και η προστασία των δεδοµένων που παράγονται, συλλέγονται και επεξεργάζονται από συστήµατα παρακολούθησης και αυτοµατοποίησης των διεργασιών ασφάλειας. Για παράδειγµα, ένας µη εξουσιοδοτηµένος χρήστης που αποκτά πρόσβαση σε πληροφορίες και αρχεία δεδοµένων και περιστατικών ασφαλείας, θα µπορούσε ενδεχοµένως να διαγράψει οποιαδήποτε ένδειξη παραβίασης της ασφάλειας.

Σύγκλιση ρόλων και δοµών

Βασικό προαπαιτούµενο της προτεινόµενης σύγκλισης είναι η τροποποίηση της οργανωτικής δοµής, ώστε να τεθούν υπό την ίδια σκέπη οι µονάδες που διαχειρίζονται τη φυσική, τη ψηφιακή, την ασφάλεια των πληροφοριών

netwee • C Y BER SECU RIT Υ

και την επιχειρησιακή συνέχεια, µε παράλληλη δηµιουργία κέντρου ολιστικής διαχείρισης των περιστατικών ασφάλειας. Με το τρόπο αυτό ξεκινά η ζύµωση µε σκοπό την σύγκλιση των διακριτών αυτών οµάδων, αφού και ο σκοπός της επιχειρηµατικής τους λειτουργίας είναι ο ίδιος. Τα τελευταία χρόνια είναι απτά τα παραδείγµατα Οργανισµών οι οποίοι προβαίνουν σε τέτοιες κινήσεις. Ιδιαίτερα σηµαντική είναι επίσης η ανάπτυξη µιας τυποποιηµένης, κοινής γλώσσας εντός του Οργανισµού για την επικοινωνία επί των ζητηµάτων ασφάλειας. Μια τέτοια γλώσσα καθιστά πολύ πιο εύκολη, αλλά και αποτελεσµατική τη συνεννόηση και την επικοινωνία τόσο κατά το στάδιο του σχεδιασµού της στρατηγικής, όσο και κατά τη διαχείριση µιας κρίσης ασφάλειας. Όπως εύκολα γίνεται αντιληπτό από τα ως άνω, η σύγκλιση σε επίπεδο ρόλων και δοµών αποτελεί αναπόσπαστη προϋπόθεση, αλλά και µέρος της γενικότερης σύγκλισης στον τοµέα της ασφάλειας σε αντιστοιχία και µε τις επιθέσεις, οι οποίες βασίζονται στις αδυναµίες ασφάλειας του ψηφιακού, εικονικού και φυσικού κόσµου συνολικά, χωρίς να µπορεί καν να γίνει διαχωρισµός στις επιµέρους όψεις του. Έτσι, στο πλαίσιο αυτό, ιδιαίτερα σηµαντικός αναδεικνύεται ο ρόλος του Υπεύθυνου Ασφάλειας (Chief Security Officer) που θα τεθεί επικεφαλής της προσπάθειας για τη σύγκλιση στον χώρο της ασφάλειας µε διεύρυνση του πεδίου ευθύνης του, το οποίο θα εκτείνεται πλέον από τη διαχείριση των κινδύνων, την κανονιστική συµµόρφωση, µέχρι τη φυσική και την ψηφιακή ασφάλεια, αλλά και την ασφάλεια πληροφοριών και την επιχειρηµατική συνέχεια. Οι επιµέρους ηγετικοί ρόλοι θα εξακολουθούν να υφίστανται, θα βρίσκονται όµως σε στενότερη συνεργασία και επικοινωνία µεταξύ τους, αλλά και µε τον Υπεύθυνο Ασφάλειας.

Η αναγκαιότητα της συνολικής θεώρησης της ασφάλειας

Η σύγκλιση όλων των πτυχών της Ασφάλειας και της επιχειρησιακής συνέχειας, συγκεντρώνει πολλαπλές παραµέτρους του επιχειρηµατικού λειτουργικού περιβάλλοντος και βασίζεται στην ικανότητα διασύνδεσης µιας ευρείας σειράς διαδικασιών, µε στόχο την ολιστική διαχείριση των κινδύνων και των περιστατικών ασφάλειας και επιχειρηµατικής συνέχειας. Για να γίνει αυτό, ο κάθε εµπλεκόµενος τοµέας της ασφάλειας πρέπει να κατανοήσει και να υιοθετήσει τα εργαλεία του άλλου (τεχνολογία, διαδικασίες, λογική προσέγγιση), προκειµένου να καταστεί δυνατή η ανάπτυξη ολοκληρωµένων δυνατοτήτων πρόληψης και ταυτοποίησης των περιστατικών, αλλά και αντίδρασης σε αυτά και αποτελεσµατικής αντιµετώπισής τους, λαµβάνοντας πάντα υπόψη τις ανάγκες και την πολυπλοκότητα του σύγχρονου εταιρικού περιβάλλοντος. Η ανωτέρω προσέγγιση ολοκληρώνεται µε τη δηµιουργία ενός πλαισίου διακυβέρνησης και συντονισµού όλων των διεργασιών ασφάλειας, µε απώτερο σκοπό όχι µόνο την ίδια την ολιστική αντιµετώπιση της ασφάλειας καθαυτή, αλλά τη µέσω αυτής προστασία του οργανισµού και των εργαζοµένων του.

OPINION

Η ώρα της ψηφιακής εγκληµατολογίας H ανάγκη επίλυσης αλλά και αποκάλυψης αποδεικτικών στοιχείων των περιστατικών κυβερνοασφαλείας, οδηγεί στην υιοθέτηση και εξέλιξη ενός πρακτικού πλαισίου ανάπτυξης της ψηφιακής εγκληµατολογίας, απαραίτητου και για την οργανωµένη αντιµετώπιση κάθε περιστατικού. ∆ηµήτρης Γεωργίου

Του ∆ηµήτρη Γεωργίου, MSc CISSP, Member-ISC2 European Advisory Council, Treasurer-ISC2 Hellenic Chapter, Chief Security Officer-Alphabit AE, ∆ικαστικού πραγµατογνώµωνα

ναφερόµενοι στα Digital Forensics (ελλ. ψηφιακή εγκληµατολογία) εννοούµε µία σειρά εξειδικευµένων υπηρεσιών συλλογής, διαφύλαξης, ανάλυσης και ερµηνείας ψηφιακών αποδεικτικών στοιχείων, αναγκαίων για τη διερεύνηση περιστατικών κυβερνοασφάλειας και ηλεκτρονικού εγκλήµατος, που χρονικά έπονται συνήθως µιας διαδικασίας Incident Response (αντιµετώπισης περιστατικού). Η συνάφεια µεταξύ των δύο έχει οδηγήσει στο να θεωρούνται από πολλούς ως ενιαίο σώµα ενεργειών, αποκαλούµενο συνοπτικά ως DFIR, καθώς τα Digital Forensics συνεισφέρουν σηµαντικά στη διερεύνηση και επίλυση πλήθους περιστατικών, από επιθέσεις στον κυβερνοχώρο, παραβιάσεις δεδοµένων και ψηφιακών συστηµάτων και εισβολές σε δίκτυα, έως κλοπές πνευµατικής ιδιοκτησίας, οικονοµικές ή άλλες απάτες, κακόβουλη χρήση εκ µέρους

netwee • C Y BER SECU RIT Υ

εσωτερικών ή εξωτερικών δραστών. Επίσης, διαδραµατίζουν κρίσιµο ρόλο στην ανεξάρτητη αποκάλυψη αποδεικτικών στοιχείων, στην ανακατασκευή γεγονότων και στον εντοπισµό ων υπευθύνων. Είτε πρόκειται για απλά, είτε για σύνθετα περιστατικά ασφάλειας, οι τεχνικές και οι µεθοδολογίες ψηφιακής εγκληµατολογίας συµβάλλουν καθοριστικά στην αποκάλυψη της αλήθειας πίσω από σύνθετα ψηφιακά περιστατικά. Η διάρκεια υλοποίησης των Digital Forensics εκτείνεται πολύ πέρα από τις ενέργειες Incident Response, οι οποίες ολοκληρώνονται σύντοµα µε την επίτευξη της ασφαλούς επαναλειτουργίας. Τα Digital Forensics ξεκινούν χρονικά ταυτόχρονα µε τις διαδικασίες αντιµετώπισης ενός περιστατικού και περιορισµού των επιπτώσεων αυτού, µε καθοριστικό ρόλο στη διασφάλιση αποδεικτικών στοιχείων που θα στηρίξουν µελλοντικές έρευνες, νοµικές διαδικασίες,

προδικαστικές διαπραγµατεύσεις και δικαστικές διαµάχες. Τα ψηφιακά αποδεικτικά στοιχεία που συλλέγονται και εν συνεχεία αναλύονται, χρησιµοποιούνται ως θεµέλιο για τη χάραξη στρατηγικής σε νοµικές υποθέσεις και ως πειστήρια που πρέπει να µπορούν να αντέξουν το δικανικό έλεγχο. Οι υπηρεσίες Digital Forensics συνδράµουν τα στελέχη ΙΤ Security κατά τη διαχείριση του µη αµιγώς τεχνικού σκέλους µιας έρευνας, µε παράλληλη υποστήριξη και διασφάλιση αξιοπιστίας στην εξαγωγή στοιχείων από συστήµατα ευθύνης τους. Επιπλέον, παρέχουν στα νοµικά στελέχη τεκµήρια, απαραίτητα για τη δόµηση ισχυρών υποθέσεων µέσω ενός Expert Report (Έκθεση Πραγµατογνωµοσύνης), το οποίο περιλαµβάνει αδιάσειστα αποδεικτικά στοιχεία. Οι ανεξάρτητες υπηρεσίες Digital Forensics αποτελούν εργαλείο στα χέρια των CISO και των διοικήσεων για τη διασφάλιση της αντικειµενικότητας και την αποφυγή της πιθανότητας επίκλησης από αντιδίκους διένεξης συµφερόντων ή µόλυνσης των αποδεικτικών στοιχείων. Τα Digital Forensics συνιστούν µία επιστηµονική εργασία που απαιτεί το συνδυασµό αυστηρής µεθοδολογίας, τεχνικών έρευνας ψηφιακών πειστηρίων και νοµικών γνώσεων για την ανακατασκευή γεγονότων, τον εντοπισµό των δραστών και την παροχή ακριβών και αξιόπιστων πορισµάτων για περαιτέρω ενέργειες. Λειτουργούν πολύ συχνά ως υπηρεσία-σύνδεσµος µεταξύ των στελεχών IT/Cybersecurity, των διοικήσεων και των νοµικών συµβούλων, αλλά και των κρατικών εποπτικών, αστυνοµικών ή δικαστικών αρχών.

κατάρτιση πολιτικών και σχεδίων αντιµετώπισης περιστατικών. Οι δράσεις αυτές βοηθούν τους οργανισµούς να κτίσουν ισχυρές άµυνες κυβερνοασφάλειας, να ελαχιστοποιήσουν τους κινδύνους εµφάνισης περιστατικών, αλλά και να εξασφαλίσουν την ταχύτερη και αποτελεσµατικότερη αντιµετώπισή τους. Παράλληλα, η προετοιµασία ειδικών ενεργειών DFIR δίνει ειδική έµφαση στην προληπτική επιτήρηση της κατάστασης ασφάλειας και στην τήρηση επαρκών και ασφαλών αρχείων καταγραφής (logs) για την πλήρη διερεύνηση περιστατικών.

Οι υπηρεσίες Digital Forensics συνδράµουν τα στελέχη του ΙΤ security κατά τη διαχείριση του µη αµιγώς τεχνικού σκέλους µιας έρευνας

Digital Forensics & Incident Response Framework

Μια προσέγγιση DFIR, όπως την προτείνουµε στο παρόν άρθρο, εφαρµόζει µια διαδικασία-πλαίσιο τεσσάρων σταδίων στην κατεύθυνση µιας ολιστικής προσέγγισης στα ζητήµατα διαχείρισης και διερεύνησης των περιστατικών κυβερνοασφάλειας: Τα τέσσερα στάδια είναι: 1. Προετοιµασία 2. Ανταπόκριση 3. ∆ιερεύνηση 4. Αναφορά Εµβαθύνουµε σε κάθε στάδιο ξεχωριστά και αναλύουµε την ειδική σηµασία του. Για την εκτέλεση των ενεργειών κάθε σταδίου οι δρώντες πρέπει να αξιοποιήσουν συσσωρευµένη τεχνογνωσία και πόρους (προσωπικό, πιστοποιήσεις, εξοπλισµό, εργαστήριο), µε σκοπό την παροχή υπηρεσιών υψηλής αποτελεσµατικότητας µε σκοπό την παράδοση αξιοποιήσιµων αποτελεσµάτων στους τελικούς αποδέκτες, οι οποίοι κατά κανόνα δεν είναι πρόσωπα µε ειδική κατάρτιση σε θέµατα Πληροφορικής και Κυβερνοασφάλειας.

Στάδιο 1: Προετοιµασία

Περιλαµβάνει ενέργειες συνήθεις και κοινές µε καθιερωµένα πλαίσια κυβερνοασφάλειας, όπως η διενέργεια εκτίµησης κινδύνων, η εφαρµογή µέτρων ελέγχου και η

Στάδιο 2: Ανταπόκριση

Αφορά στην αντιµετώπιση περιστατικών, στη διαφύλαξη αποδεικτικών στοιχείων από όλα τα επίµαχα συστήµατα και στο µετριασµό περαιτέρω ζηµίας. Η ταχεία και συντονισµένη ανταπόκριση βοηθά τους οργανισµούς να ανακτήσουν τον έλεγχο των συστηµάτων τους και να εξαλείψουν τις επιπτώσεις των περιστατικών ασφάλειας, χωρίς να χάσουν κρίσιµα αποδεικτικά στοιχεία.

Στάδιο 3: ∆ιερεύνηση

Οι εξειδικευµένοι Digital Forensics Investigators (ερευνητές ψηφιακών πειστηρίων) συλλέγουν, αναλύουν και ερµηνεύουν τα ψηφιακά πειστήρια, µε τη χρήση διεθνώς αναγνωρισµένων επιστηµονικών µεθόδων και προηγµένων εργαλείων και τεχνικών για τον εντοπισµό των ψηφιακών ιχνών και την ανασύνθεση των γεγονότων. Είναι κρίσιµο τα κάθε λογής ψηφιακά πειστήρια να έχουν διαφυλαχθεί κατά το στάδιο της ανταπόκρισης, ώστε να είναι σε θέση να συλλεχθούν και να αναλυθούν.

Στάδιο 4: Αναφορά

Τα αποτελέσµατα της διερεύνησης καταγράφονται και µελετώνται σε βάθος. Η οµάδα διερεύνησης εξετάζει, ελέγχει εργαστηριακά και πειραµατικά τις υποθέσεις και παραδίδει ολοκληρωµένη Έκθεση Πραγµατογνωµοσύνης (Expert Report) µε σαφή και αναλυτική περιγραφή των ευρηµάτων και των προεκτάσεών τους. Μια τέτοια έκθεση, που είναι στην πράξη µια ειδική επιστηµονική µελέτη, παρέχει ενδελεχή ανάλυση του περιστατικού, των µεθόδων διερεύνησης που χρησιµοποιήθηκαν και των στοιχείων που συλλέχθηκαν. Χρησιµεύει ως πόρος υψίστης σηµασίας για τις διοικήσεις, το νοµικό προσωπικό και λοιπούς ενδιαφερόµενους φορείς που εµπλέκονται στην κατανόηση των περιστατικών και σε νοµικές διαδικασίες.

Η σηµασία ενός οργανωµένου εργαστηρίου

Η ψηφιακή εγκληµατολογία απαιτεί υψηλή κατάρτιση, διαρκή ενηµέρωση και ειδικά εργαλεία ελέγχου. Η έρευνα Digital Forensics απαιτεί τις περισσότερες φορές την ύπαρξη ενός άρτια εξοπλισµένου εργαστήριου και τεχνογνωσία για την εκτέλεση ειδικών ελέγχων. Για το λόγο αυτό, συχνά τέτοιες υπηρεσίες παρέχονται από εξειδικευµένες εταιρείες µέσω εξωπορισµού (outsourcing), χωρίς αυτό να αποκλείει

C Y BER SECU RIT Y • netwee

OPINION

- στην περίπτωση οργανισµών που διαθέτουν πόρους – την πιθανότητα να παρέχεται και εσωτερικά. Σε αυτή την περίπτωση, η χρησιµότητα των εξωτερικών υπηρεσιών, κατά κανόνα αφορά στη διασφάλιση της αντικειµενικότητας της έρευνας, καθώς η εκτέλεση κάποιων ενεργειών έρευνας εσωτερικά παράγει τον κίνδυνο της απώλειας αντικειµενικότητας, κάτι που µπορεί να µειώσει περαιτέρω την αποτελεσµατικότητα ενός εσωτερικού πορίσµατος σε περίπτωση που αυτό αξιοποιηθεί σε µια δίκη. Αντικείµενο της ψηφιακής εγκληµατολογίας δύναται να είναι ένα ευρύ φάσµα συσκευών και πληροφοριακών συστηµάτων, όπως: υπολογιστές, smartphones και tablets, διάφορα µέσα αποθήκευσης , π.χ. σκληροί δίσκοι και κάρτες µνήµης, στοιχεία υποδοµής δικτύου, συσκευές IoT, ακόµη και υπηρεσίες cloud ή εν γένει ο,τιδήποτε µπορεί να προσφέρει δεδοµένα ή αρχεία καταγραφών προς ανάλυση. Ένα εργαστήριο Digital Forensics πρέπει να είναι σε θέση να εξετάσει όλες αυτές τις πηγές, προκειµένου να αποκαλύψει ηλεκτρονικά ίχνη που σχετίζονται µε επιθέσεις κακόβουλου λογισµικού, παραβιάσεις δεδοµένων, κακόβουλη χρήση και απάτες. Πρέπει να µπορεί να εξάγει και να αναλύσει δεδοµένα από αυτές, συµπεριλαµβανοµένων ψηφιακών αρχείων, αρχείων καταγραφών, της δραστηριότητας του δικτύου και µηνυµάτων, για να ανακατασκευάσει τη ροή των γεγονότων προκειµένου να εντοπιστούν τα υπεύθυνα µέρη. Οι µεθοδολογίες και τα εργαλεία Digital Forensics εξελίσσονται διαρκώς, ώστε να περιλαµβάνουν νέες συσκευές και τεχνολογίες, διασφαλίζοντας ότι οι έρευνες παραµένουν ολοκληρωµένες και αποτελεσµατικές σε ένα διαρκώς µεταβαλλόµενο ψηφιακό τοπίο.

τις ενέργειές τους και να διατηρούν την ασφάλειά τους στο υψηλότερο επίπεδο σε έναν ολοένα πιο σύνθετο και πολύπλοκο ψηφιακό κόσµο.

Τα στελέχη DFIR

Οι αρµοδιότητες µίας οµάδας DFIR (αντιµετώπισης και διερεύνησης περιστατικών), περιλαµβάνουν τουλάχιστον τις ακόλουθες υπηρεσίες:

Τα Digital Forensics Incident Response: Η οµάδα πρέπει αποτελούν πια να µπορεί να ανταποκρίνεται γρήγορα σε περιστατικά κυβερνοασφάλειας περιαναπόσπαστο ορίζοντας την έκταση του προβλήµατος, κοµµάτι του διατηρώντας τα αποδεικτικά στοιχεία ελαχιστοποιώντας τις πιθανές ζηInformation Security και µίες. Οι ενέργειες αυτές είναι πολύ πιο και είναι κρίσιµο να αποτελεσµατικές, όταν έρχονται σε συνέχεια προηγούµενης προετοιµασίας και µην ενεργοποιούνται εξοικείωσης µε τις ιδιαιτερότητες κάθε οργανισµού. µόνο µετά από σοβαρά συµβάντα Data Recovery: Η οµάδα πρέπει να

Η σηµασία επιλογής Digital Forensics Investigator

Η επιλογή εξειδικευµένου συνεργάτη πριν την έλευση ενός δυσµενούς περιστατικού είναι σηµαντική για να υπάρχει οργανωµένο πλαίσιο ταχείας και ορθής ανταπόκρισης. Η έγκαιρη προσέγγιση του ζητήµατος µπορεί να κάνει ουσιαστική διαφορά την κρίσιµη στιγµή, καθώς η εµπειρία έχει δείξει ότι χωρίς κατάλληλη πρόνοια για την ύπαρξη καταρτισµένης οµάδας αντιµετώπισης και διερεύνησης περιστατικών (DFIR team), εσωτερικής ή εξωτερικής, κρίσιµα ηλεκτρονικά ίχνη χάνονται στο βωµό της ταχείας ανάκαµψης. Στην περίπτωση που ένας οργανισµός επιλέξει εξωτερικό συνεργάτη για τις εξειδικευµένες αυτές υπηρεσίες Digital Forensics είναι απαραίτητη η διασφάλιση απόλυτης εµπιστευτικότητας, η ύπαρξη πιστοποιηµένων ερευνητών, κατάλληλου εργαστηρίου και τεχνογνωσίας Digital Forensics. Η επιλογή κατάλληλου συνεργάτη επιτρέπει τον προληπτικό µετριασµό των απειλών µε διασφάλιση πλήρων καταγραφών, όσο και την εκ των υστέρων αντιµετώπιση των δυσµενών αποτελεσµάτων περιστατικών κυβερνοασφάλειας, δίνοντας τη δυνατότητα στους οργανισµούς να λαµβάνουν τεκµηριωµένες αποφάσεις για

netwee • C Y BER SECU RIT Y

µπορεί να ανακτήσει, να συλλέξει και να διαφυλάξει ψηφιακά δεδοµένα, ακόµη και από κατεστραµµένα, κλειδωµένα ή παραβιασµένα συστήµατα, επιτρέποντας στους οργανισµούς να ανακτήσουν την πρόσβαση σε ζωτικής σηµασίας πληροφορίες που τους αφορούν.

Digital Forensics: Η οµάδα πρέπει να µπορεί να διεξάγει ενδελεχείς έρευνες εφαρµόζοντας εγκληµατολογικές µεθοδολογίες για τον εντοπισµό των βαθύτερων αιτιών (root cause) των περιστατικών, τον εντοπισµό ηλεκτρονικών ιχνών και τη συλλογή κρίσιµων αποδεικτικών στοιχείων τηρώντας τον επιστηµονικό τρόπο αξιόπιστης συλλογής και ελέγχου (forensically sound methodology). Expert Reports: Η οµάδα πρέπει να είναι σε θέση να παράγει ολοκληρωµένες εκθέσεις πραγµατογνωµοσύνης που παρουσιάζουν σαφή και αναλυτικά πορίσµατα, υποστηριζόµενα από ισχυρά αποδεικτικά στοιχεία, κατάλληλα διατυπωµένα για το νοµικό προσωπικό και λοιπές ενδιαφερόµενες αρχές. Expert Consulting – Expert testimony: τα µέλη της οµάδας πρέπει να είναι σε θέση, τόσο επιστηµονικά όσο και από πλευράς αντικειµενικότητας ως προς το διερευνώµενο αντικείµενο, να παράσχουν τεχνική συµβούλευση, επιστηµονικές αναλύσεις και αποτύπωση υψηλού επιπέδου σε εξωδικαστικές και δικαστικές διαδικασίες, ενισχύοντας την αξιοπιστία και την κατανόηση των παρεχόµενων αποδεικτικών στοιχείων από µη τεχνικά καταρτισµένα µέρη. Τα Digital Forensics αποτελούν πια αναπόσπαστο κοµµάτι του Information Security και είναι κρίσιµο να µην ενεργοποιούνται µόνο µετά από σοβαρά συµβάντα και παραβιάσεις. Η προετοιµασία είναι ζωτικής σηµασίας για τη µείωση του ολικού κόστους και για την αυξηµένη επιτυχία των δράσεων αυτών, οι οποίες επωφελούνται από τη διασφάλιση των πλήρων καταγραφών και ενός περιβάλλοντος αξιόπιστης τήρησής τους.

ΥΠΟ∆ΟΜΕΣ OT/IOT ΚΑΙ KΥΒΕΡΝΟΑΣΦΑΛΕΙΑ: ΜΙΑ ΣΧΕΣΗ ΠΟΥ ΧΡΕΙΑΖΕΤΑΙ ΕΝΙΣΧΥΣΗ Για τις επιχειρήσεις που λειτουργούν OT περιβάλλοντα και IoT υποδοµές οι κυβερνοαπειλές αποτελούν ένα κρίσιµης σηµασίας ζήτηµα, η αντιµετώπιση του οποίου απαιτεί συγκεκριµένες στρατηγικές και άµεσες αποφάσεις.

Advertorial

ΤΗΣ ΦΩΤΕΙΝΗΣ ΠΑΠΑΓΙΑΝΝΑΚΗ, ∆ΙΕΥΘΥΝΤΡΙΑΣ ΤΟΥ ΤΜΉΜΑΤΟΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ, ADAPTIT

Μετά το πέρας της πανδηµίας της COVID-19 ακούµε και διαβάζουµε διαρκώς για τη µετάβαση στην ψηφιακή εποχή. Όµως, δεν ήταν η πανδηµία και τα µέτρα αντιµετώπισης αυτής που µας οδήγησαν στην ψηφιακή εποχή. Αυτό είχε ήδη συµβεί µε την πανδηµία να αναδεικνύει τη σηµασία των ψηφιακών τεχνολογιών. Βασικό κοµµάτι της ψηφιακής εποχής είναι η διασύνδεση των… πάντων. Ο όρος του Internet of Things (IoT) είναι ευρέως γνωστός αλλά ενδεχοµένως θα έπρεπε να κάνουµε λόγο για το Internet of Everything. Στη σύγχρονη εποχή δεν υπάρχει κάτι που να µην είναι διασυνδεδεµένο ακόµη και σε τοµείς που θεωρείτο ότι «απείχαν» των ψηφιακών τεχνολογιών. Όπως είναι οι βιοµηχανικές µονάδες και τα εργοστάσια που έχουν τις δικές τους τεχνολογικές λύσεις, οι οποίες κάθονται κάτω από την «οµπρέλα» των Operational Technologies (OT). Τόσο οι ΟΤ όσο και οι ΙοΤ υποδοµές διασυνδέονται µε το ∆ιαδίκτυο προκειµένου να µπορέσουν οι βιοµηχανικές µονάδες, τα εργοστάσια αλλά και µία σειρά από επιχειρήσεις να είναι παραγωγικές και ανταγωνιστικές. Και από τη στιγµή που διασυνδέονται, οι κυβερνοαπειλές καραδοκούν. Και δεν είναι τυχαίο ότι σε τέτοιου είδους επιχειρήσεις το θέµα της κυβερνοασφάλειας των OT και IoT υποδοµών έχει φθάσει πλέον να συζητείται στα πιο υψηλά κλιµάκια των επιχειρήσεων. Κάτι αναµενόµενο δεδοµένου ότι οι κυβερνοεπιθέσεις είναι πλέον συνηθισµένο φαινόµενο. Όµως, οι παραδοσιακές λύσεις κυβερνοπροστασίας δεν λειτουργούν σε αυτές τις περιπτώσεις. Χρειάζεται µία διαφορετική προσέγγιση που να λαµβάνει υπόψιν της τα διαφορετικά στοιχεία που απαρτίζουν τις ΟΤ υποδοµές. Το µόνο σίγουρο είναι ότι οι κυβερνοεγκληµατίες έχουν εντοπίσει τις αδυναµίες των συστηµάτων πολύ νωρίς και αναπτύσσουν πολύ γρήγορα τα κατάλληλα εργαλεία.

Οπότε, το ερώτηµα για έναν CISO σε µία επιχείρηση είναι πώς θα µπορέσει να αντιµετωπίσει αυτές τις διαρκώς εξελισσόµενες απειλές. Η απάντηση είναι µάλλον απλή: πρέπει να εµπιστευτεί τους ειδικούς. ∆ηλαδή, εταιρείες που εξειδικεύονται στον τοµέα της OT/IoT κυβερνοασφάλειας και διαθέτουν τους κατάλληλα πιστοποιηµένους συνεργάτες. Όπως είναι η Nozomi Networks, εκ των κορυφαίων κατασκευαστών τέτοιου είδους λύσεων, και η ADAPTIT, Gold και MSSP (Managed Security Services Provider) της πρώτης, που διαθέτει τα εξειδικευµένα στελέχη και υπηρεσίες που θα βοηθήσουν στην προστασία των OT/IoT υποδοµών οποιασδήποτε επιχείρησης. ΣΥΝΕΡΓΑΣΙΑ ΜΕ ΠΟΛΛΑΠΛΑ ΟΦΕΛΗ

Η συνεργασία των ADAPTIT και Nozomi Networks βοηθά τους οργανισµούς να διαχειρίζονται τους κινδύνους που σχετίζονται µε την κυβερνοασφάλεια όσον αφορά τα συστήµατα βιοµηχανικού ελέγχου (Industrial Control Systems - ICS) αλλά και στα OT/IoT περιβάλλοντα. Χρησιµοποιώντας έναν συνδυασµό καινοτόµων προϊόντων και υπηρεσιών κυβερνοασφάλειας, αυτή η προηγµένη λύση προσφέρει µία πιο ολοκληρωµένη εικόνα για το τι µπορεί να χρειαστεί να αντιµετωπίσει ένας οργανισµός ώστε να µπορεί να διαµορφώσει καλύτερα τα σενάρια πρόληψης και αντίδρασης. Τα προϊόντα της Nozomi Networks προστατεύουν OT/IoT εγκαταστάσεις από κυβερνοεπιθέσεις εντοπίζοντας µε ακρίβεια και σε πραγµατικό χρόνο τις επιθέσεις, τις «αδυναµίες», τους κινδύνους και τις «ανωµαλίες» που σχετίζονται µε το OT (Operational Technology) και το IoT (Internet of Things). ∆ιαθέτοντας την κατάλληλη πληροφόρηση, οι πελάτες µπορούν να αντιδράσουν πιο γρήγορα και να περιορίσουν τις πιθανές επιπτώσεις στην οµαλή λειτουργία της

επιχείρησης τους. Η λύση της Nozomi Networks ενοποιεί την παρακολούθηση των κινδύνων όσον αφορά τις υποδοµές OT, IoT και IT παρέχοντας κορυφαίο επίπεδο ασφάλειας και παρακολούθησης ακόµη και στα µεγαλύτερα δίκτυα του κόσµου. SOC ΚΑΙ ΠΡΟΣΤΑΣΙΑ 24/7

Επιπλέον, στην ADAPTIT έχουµε ξεκινήσει τη λειτουργία του µοναδικού στην Ελλάδα industrial SoC (security operations center), το οποίο µας επιτρέπει να προσφέρουµε σε εταιρείες µε OT/IoT υποδοµές τη δυνατότητα να ενηµερώνονται 24/7 για τις κυβερνοεπιθέσεις και τα συµβάντα που απειλούν την οµαλή λειτουργία των υποδοµών τους. Ένα SOC στελεχωµένο πλήρως µε εξειδικευµένο προσωπικό που διαθέτει όλες τις απαραίτητες πιστοποιήσεις και αναβαθµίζεται διαρκώς προκειµένου να προσφέρει τη βέλτιστη δυνατή κυβερνοπροστασία. Η κυβερνοασφάλεια των OT/IoT υποδοµών µπορεί να αποτελεί ένα σηµαντικό ζήτηµα για πολλές επιχειρήσεις αλλά υπάρχουν τρόποι προκειµένου να εξασφαλιστεί η οµαλή λειτουργία τους. Το µόνο που χρειάζεται είναι να εµπιστευτείτε τις εταιρείες και τους ανθρώπους εκείνους που γνωρίζουν πώς να σας βοηθήσουν να αντιµετωπίσετε τις όποιες απειλές υπάρχουν και θα υπάρξουν. INFO Θουκυδίδου 4, 145 65 Άγιος Στέφανος, Αττική T: +30 210 5131640 F: +30 210 5124820 E: info@adaptit.gr W: www.adaptit.gr

C Y BER SECU RIT Y • netwee

INTERVIEW

Κώστας Παπαχριστοφής

Ο CISO είναι ο ηγέτης της αµυντικής γραµµής της εταιρείας

Ο Κώστας Παπαχριστοφής, Group Information Security Officer του Olympia Group εξηγεί ότι η δηµιουργία µίας κουλτούρας ασφάλειας είναι µία διαρκής και απαιτητική διαδικασία, ενώ παροµοιάζει το ρόλο του CISO µε αυτόν του τερµατοφύλακα στο ποδόσφαιρο, καθώς είναι εκείνος που ηγείται της άµυνας του οργανισµού. Συνέντευξη στην Αγγελικής Κορρέ

netweek: Τα τελευταία χρόνια µιλάµε για την ανάγκη καλλιέργειας µίας κουλτούρας ασφάλειας στους οργανισµούς. Ποια είναι τα «συστατικά» µίας τέτοιας κουλτούρας; Κώστας Παπαχριστοφής: Η δηµιουργία

µιας κουλτούρας κυβερνοασφάλειας είναι απαραίτητη για την προστασία των δεδοµένων, των συστηµάτων και της φήµης ενός οργανισµού. ∆εν είναι µόνο ευθύνη του τµήµατος κυβερνοασφάλειας ή της πληροφορικής, αλλά απαιτείται η διαµόρφωση της κατάλληλης νοοτροπίας και

netwee • C Y BER SECU RIT Υ

συµπεριφορών σε όλους τους εργαζόµενους. Για τη δηµιουργία µιας κουλτούρας κυβερνοασφάλειας, κατά τη γνώµη µου, όλα ξεκινούν µε τη δέσµευση της ηγεσίας. Απαιτείται πρωτίστως ισχυρή ηγετική υποστήριξη από τα ανώτερα και ανώτατα στελέχη τα οποία θα πρέπει να επιδείξουν τη δέσµευσή τους στην ασφάλεια στον κυβερνοχώρο και να αποτελέσουν παράδειγµα για τον υπόλοιπο οργανισµό. ∆υστυχώς, στην Ελλάδα δε συµβαίνει στο βαθµό που θα έπρεπε. Όσο όµως και εάν υπάρχει η θέληση, η ανάπτυξη πολιτικών και διαδικασιών εξασφαλίζουν τη σωστή και

αποτελεσµατική εφαρµογή των σωστών πρακτικών. Επιπλέον, η ανάπτυξη σαφών πολιτικών και διαδικασιών κυβερνοασφάλειας µεταλαµπαδευτούν στους εργαζόµενους µέσω ευαισθητοποίησης τα θέµατα ασφάλειας (security awareness). Στο πλαίσιο του σχεδιασµού των διαδικασιών εντάσσεται και η δηµιουργία του Σχεδίου Αντιµετώπισης Συµβάντων, ενός καθορισµένου σχεδίου αντιµετώπισης περιστατικών µε τη συµµετοχή όλων. Όλοι οι εργαζόµενοι πρέπει να γνωρίζουν τι πρέπει να κάνουν σε περίπτωση συµβάντος ασφαλείας και να έχουν σαφείς γραµµές αναφοράς. Επιπλέον, και λαµβάνοντας υπόψη ότι η ασφάλεια συστηµάτων δεν είναι υπόθεση λίγων, η ευαισθητοποίηση και εκπαίδευση µαζί µε επιβράβευση παίζουν σηµαντικό ρόλο. Απαιτείται συνεχής µάθηση, προσαρµογή, αναγνώριση και επιβράβευση των εργαζοµένων που συµβάλλουν ενεργά στην κουλτούρα της κυβερνοασφάλειας του οργανισµού, είτε αναφέροντας περιστατικά, είτε προτείνοντας βελτιώσεις. Φυσικά δεν πρέπει να ξεχνάµε ότι η επαγρύπνηση κάνει κάθε οργανισµό να είναι προετοιµασµένος. Η ∆ιεξαγωγή τακτικών ελέγχων ασφαλείας, αξιολογήσεις ευπάθειας και δοκιµές διείσδυσης για να εντοπιστούν αδυναµίες στην ασφάλεια αποτελεί µία συνεχή προσπάθεια βελτίωσης και αναβάθµισης της ασφάλειας των συστηµάτων. Εν κατακλείδι, η δηµιουργία µιας κουλτούρας κυβερνοασφάλειας είναι µια συνεχής διαδικασία που απαιτεί τη συµµετοχή όλων στον οργανισµό. ∆εν είναι µόνο θέµα τεχνολογίας, αλλά αφορά επίσης την οικοδόµηση µιας κοινής νοοτροπίας που δίνει αξία και δίνει προτεραιότητα στην ασφάλεια, σε όλες τις πτυχές του οργανισµού.

ασφάλειας θα παίξει καταλυτικό ρόλο σε κάθε επιχειρησιακή στρατηγική. Θα συνδέεται άµεσα µε την επίτευξη των στόχων της εταιρείας και θα εξελιχθεί σε βασικό συστατικό επιτυχίας για την επίτευξη συνεχούς επιχειρηµατικής αξίας. Ας µην ξεχνάµε ότι σήµερα, ο ρόλος αυτός κυρίως προστατεύει τις επιχειρήσεις από οικονοµικές απώλειες και σε κάποιες λίγες περιπτώσεις συνεισφέρει στην αύξηση των εσόδων (π.χ. χρηµατοπιστωτικά ιδρύµατα). Αν µπορούσαµε να εξηγήσουµε µε ποδοσφαιρικούς όρους το ρόλο του Cybersecurity µαζί µε τους άλλους ρόλους µέσα σε µια εταιρεία, θα µπορούσαµε να φανταστούµε τον CISO ως τερµατοφύλακα και ηγέτη της αµυντικής γραµµής του οργανισµού, όπου µαζί µε τους αµυντικούς της οµάδας που είναι το Information Security (και Physical Security), το ΙΤ, το Operations και το Legal, παρέχουν µια ισχυρή αµυντική λειτουργία και βοηθούν στο χτίσιµο της σωστής επίθεσης.

Η κυβερνοασφάλεια αποτελεί ένα σηµαντικό µέρος µιας θεµελιώδους Ποιες είναι κάποιες από τις πλέον επιτυχηµένες δοµής για την πρωτοβουλίες που έχετε προβεί ως CISO; ανάπτυξη των Θα αναφέρω δυο βασικές πρωτοβουλίοργανισµών, χωρίς ες. Θα ξεκινήσω από αυτή που θεωρώ ότι είναι το Α και το Ω και δεν είναι να περιορίζεται στον άλλη από την οικοδόµηση σχέσης εµπιστοσύνης µε τους συναδέλφους έλεγχο των πιθανών στον οργανισµό. Από αυτούς που βρίκινδύνων σκονται πιο ψηλά στην ιεραρχία µέχρι

Έχει ο ρόλος του CISO την αξία και την αναγνώριση που του αρµόζει;

Η κυβερνοασφάλεια δεν αποτελεί απλά µια υποχρέωση, αλλά ένα σηµαντικό µέρος µιας θεµελιώδους δοµής για την στρατηγική ανάπτυξη των οργανισµών, χωρίς να περιορίζεται στον έλεγχο πιθανών κινδύνων. Παρόλα αυτά, πολλές εταιρείες και διοικητικά στελέχη δεν αντιλαµβάνονται πλήρως, αλλά απολύτως δικαιολογηµένα, το ρόλο της για τη λειτουργία της επιχείρησης. Είναι γεγονός ότι οι πωλήσεις και το εµπόριο είναι από τα αρχαιότερα επαγγέλµατα στον κόσµο. Εποµένως, οι ρόλοι που είναι πιο κοντά στις πωλήσεις αποτελούν τον συνδετικό κρίκο µεταξύ επιχείρησης και αγοράς και επηρεάζουν άµεσα τα έσοδα και την κερδοφορία της εταιρείας. Είναι λογικό ο ρόλος της κυβερνοασφάλειας, που έγινε γνωστός µόλις την τελευταία δεκαετία, να µην έχει ακόµη την ίδια αναγνώριση. Σε λίγα χρόνια, ο ρόλος της ασφάλειας θα έχει καταλυτικό ρόλο στην υλοποίηση της επιχειρησιακής στρατηγικής. Όσο τα δεδοµένα αυξάνονται, η ψηφιακή διασυνδεσιµότητα γίνεται κυρίαρχος κρίκος για την επικοινωνία των οργανισµών µεταξύ τους και ο ψηφιακός µετασχηµατισµός αποτελεί καθηµερινότητα, ο ρόλος της

εκείνους που είναι στη βάση αυτής. Το έργο του CISO και της οµάδας του δεν είναι εύκολο. ∆εν µπορούν να κάνουν εκπτώσεις και να ικανοποιούν ακόµη και µικρές επιθυµίες εργαζοµένων όταν αυτές είναι εκτός των πολιτικών ασφαλείας. Η οµάδα και αυτός είναι προσηλωµένοι στην προστασία των δεδοµένων, των συστηµάτων και της φήµης ενός οργανισµού. Πολλοί νοµίζουν ότι βάζουµε εµπόδια στην εργασία τους. Η οικοδόµηση σχέσεων εµπιστοσύνης χτίστηκε µέσα από πολλές εκπαιδεύσεις (security awareness) που πραγµατοποίησα ο ίδιος σε όλους. Επιπλέον, η σχέση ενδυναµώθηκε µέσα από εκπαιδεύσεις σε γονείς που είναι εργαζόµενοι στην εταιρεία µας, για τους κινδύνους των ανήλικων παιδιών στο διαδίκτυο. Με αυτούς τους δυο τρόπους πετύχαµε να οικοδοµήσουµε µια πιο στενή σχέση και διαρκή επικοινωνία µε τους συναδέλφους κερδίζοντας την εµπιστοσύνη τους. Πλέον, ο CISO και η οµάδα του είναι και προσωπικοί σύµβουλοι ασφάλειας για τον κάθε συνάδελφο και έχουν έναν άνθρωπο να ρωτήσουν και να πληροφορηθούν. Αφού επετεύχθη ο παραπανω στόχος ήταν πλέον πιο εύκολο να χαραχθεί, να αναπτυχθεί, αλλά το πιο σηµαντικό να υλοποιηθεί µε τη δέουσα αποδοχή µιας ολοκληρωµένης νέας στρατηγικής ασφάλειας. ∆ηµιουργήθηκε µια καλά καθορισµένη και ολιστική στρατηγική κυβερνοασφάλειας ευθυγραµµισµένη µε τους επιχειρηµατικούς στόχους του οργανισµού και την ανοχή κινδύνου, η οποία έτυχε αποδοχής του συνόλου του οργανισµού και αρχίζει και γίνεται πλέον η κυβερνοασφάλεια ένας σηµαντικός κρίκος της κουλτούρας του οργανισµού.

C Y BER SECU RIT Y • netwee

Η ΚΥΒΕΡΝΟΑΣΦAΛΕΙΑ ΞΕΚΙΝΑ ΑΠΟ ΤΟΥΣ ΑΝΘΡΩΠΟΥΣ ΟΤΑΝ Η ΓΝΩΣΗ ΕΙΝΑΙ Η ΠΡΩΤΗ ΓΡΑΜΜΗ ΑΜΥΝΑΣ

Advertorial

Σε έναν συνεχώς εξελισσόµενο ψηφιακό κόσµο, όπου ο ψηφιακός µετασχηµατισµός, η υιοθέτηση του cloud, η υβριδική εργασία και η Τεχνητή Nοηµοσύνη έχουν επαναπροσδιορίσει τα δεδοµένα, η πιο πολύτιµη περιουσία κάθε οργανισµού δεν είναι µόνο η προηγµένη τεχνολογία του, αλλά το ανθρώπινο δυναµικό του.

Με την αύξηση των κυβερνοεπιθέσεων να αποτελεί ένα παγκόσµιο φαινόµενο µε σοβαρές επιπτώσεις, και την Ελλάδα να µην αποτελεί εξαίρεση, το πιο πολύτιµο περιουσιακό στοιχείο οποιουδήποτε οργανισµού είναι ο κόσµος του – το ανθρώπινο στοιχείο που µπορεί να δηµιουργήσει ή να σπάσει την άµυνα της κυβερνοασφάλειας. Η ταχεία αύξηση των κυβερνοεπιθέσεων οφείλεται στη νέα εποχή, όπου ο ψηφιακός µετασχηµατισµός, η µετάβαση στο cloud καθώς και το υβριδικό µοντέλο εργασίας έχουν αλλάξει το ψηφιακό µας οικοσύστηµα, διευρύνοντας την περίµετρο ασφαλείας και δηµιουργώντας νέα σηµεία ευπάθειας. Αυτό καθιστά

netwee • C Y BER SECU RIT Y

όλους τους οργανισµούς πιθανούς στόχους, ανεξαρτήτου µεγέθους και τοµέα δραστηριότητας. Από την άλλη, η επιτυχία και η αποτελεσµατικότητα των κυβερνοεπιθέσεων έχουν αυξηθεί ραγδαία λόγω της Τεχνητής Νοηµοσύνης, η οποία ήρθε για να µείνει. Σε πολλές περιπτώσεις οι κυβερνοεγκληµατίες χρησιµοποιούν τεχνικές όπως µίµηση της φωνής, τρόπου γραφής ή ακόµη και δηµιουργία γραφικών ενός συνεργάτη- γνωστά και ως Impersonation Attacks- για να ξεγελάσουν και να εξαπατήσουν. Εποµένως είναι πλέον προφανές ότι η ενδυνάµωση του προσωπικού ως ανθρώπινη ασπίδα προστασίας δεν αποτελεί απλώς επιλογή, αλλά απαραίτητη ανάγκη.

ΟΚΤΩΒΡΙΟΣ, ΕΝΑΣ ΜΗΝΑΣ ΑΦΙΕΡΩΜΕΝΟΣ ΣΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ

Εδώ και µια δεκαετία, ο Οκτώβριος είναι µήνας αφιερωµένος, τόσο σε Ευρωπαϊκό όσο και παγκόσµιο επίπεδο, στην ευαισθητοποίηση σχετικά µε την κυβερνοασφάλεια. Φέτος, επικεντρώνεται στo Social Engineering, µια πρακτική που παρατηρείται όλο και συχνότερα. Οι κυβερνοεγκληµατίες µέσω αυτής, προσπαθούν να εξαπατήσουν τους χρήστες µε σκοπό την εκτέλεση διαδικτυακών επιθέσεων ή την απόσπαση ευαίσθητων και προσωπικών πληροφοριών, οι οποίες στη συνέχεια χρησιµοποιούνται για κακόβουλες ενέργειες. Συνεπώς, ένας από τους αποδοτικότερους

τρόπους ενίσχυσης της ασφάλειας ενός οργανισµού, είναι µέσω ενιαίας εκπαίδευσης στον τοµέα της κυβερνοασφάλειας και των συγκεκριµένων τύπου επιθέσεων. ΜΕΙΩΣΗ ΤΟΥ ΡΙΣΚΟΥ

Η µείωση του ρίσκου µέσω της αντιµετώπισης των ψηφιακών κινδύνων είναι απαραίτητη για την προστασία των οργανισµών από τις όλο και πιο εξελισσόµενες κυβερνο-απειλές µε τον αδύναµο κρίκο ενός οργανισµού, να είναι το ανθρώπινο δυναµικό. Οι εργαζόµενοι εάν δεν είναι επαρκώς ενηµερωµένοι και εκπαιδευµένοι, αποτελούν τον πρώτο στόχο για τους κυβερνοεγκληµατίες. Αυτό που είναι απαραίτητο, είναι η κατανόηση των χαρακτηριστικών των διαφορετικών τύπων κυβερνοεπιθέσεων και ιδικότερα του τύπου Phishing και Social Engineering καθώς και η αναγνώριση κακόβουλου λογισµικού, έτσι ώστε να είναι πιο προσεκτικοί και επιφυλακτικοί. Αυτό τους καθιστά πιο δύσκολους στόχους στην εξαπάτηση από κυβερνοεπιθέσεις. Η εκπαίδευση στην κυβερνοασφάλεια και η καλλιέργια αίσθηµατος ευθύνης µεταξύ των εργαζοµένων δηµιουργεί ένα ισχυρό ανθρώπινο τείχος προστασίας έναντι πιθανών απειλών. Με την αύξηση της γνώσης και των δεξιοτήτων των εργαζοµένων και καλλιεργώντας µια κουλτούρα υπέρ της κυβερνοασφάλειας, µπορούν να ανιχνεύουν πιθανές απειλές πριν αυτές προκαλέσουν ζηµιά στον οργανισµό. Επιπλέον, ο καθορισµός σαφών ρόλων και ευθυνών, µαζί µε κατάλληλους ελέγχους πρόσβασης, συµβάλλει στη µείωση του κινδύνου εσωτερικών παραβιάσεων. Αυτό οδηγεί σε µια σηµαντική µείωση των περιστατικών ασφάλειας, αποκλείοντας πολλές δυνητικές διαρροές δεδοµένων και επιθέσεις κυβερνοασφάλειας από την αρχή. ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΑ ΚΑΝΟΝΙΣΤΙΚΑ ΠΛΑΙΣΙΑ

Βρισκόµαστε σε µια εποχή όπου τα κανονιστικά πλαίσια για την προστασία των δεδοµένων έχουν γίνει πολύ αυστηρά και απαιτητικά και η συµµόρφωση µε αυτά απαραίτητη. Η ευαισθητοποίηση στον τοµέα

της κυβερνοασφάλειας και η αντίστοιχη εκπαίδευση, αναδεικνύεται ως ένα καίριο εργαλείο που βοηθά τους οργανισµούς να διασφαλίσουν τη συµµόρφωση τους µε αυτές τις απαιτήσεις. Πέραν της προστασίας από δυνητικές ποινές και νοµικές επιπτώσεις, η συµµόρφωση µε τα κανονιστικά πλαίσια αποδεικνύει τη δέσµευση του οργανισµού ως προς την προστασία του απορρήτου και της ασφάλειας των δεδοµένων. Αυτό ενισχύει τόσο την εµπιστοσύνη των πελατών, προµηθευτών αλλά και του ίδιου του προσωπικού, αναδεικνύοντας τον οργανισµό ως αξιόπιστο και αφοσιωµένο στην προστασία των προσωπικών δεδοµένων. ΒΕΛΤΙΣΤΟΠΟΙΗΣΗ ΤΗΣ ΑΝΤΑΠΟΚΡΙΣΗΣ ΣΕ ΠΕΡΙΣΤΑΤΙΚΑ ΑΣΦΑΛΕΙΑΣ

Η βελτίωση της διαχείρισης των περιστατικών ασφαλείας αποτελεί πρωταρχική πτυχή της κυβερνοασφάλειας. Ακόµη και οι πιο σύγχρονοι οργανισµοί δεν µπορούν να αποφύγουν εντελώς συµβάντα κυβερνοεπιθέσεων, ωστόσο µπορούν να τα αποτρέψουν ή ακόµα και εάν αυτό σταθεί αδύνατο, µπορούν να είναι τόσο καλά οχυρωµένοι και προετοιµασµένοι ώστε να αντιδράσουν και να ανακάµψουν µε τις λιγότερες δυνατές απώλειες. Η εκπαίδευση στον τοµέα της κυβερνοασφάλειας δεν περιορίζεται µόνο στην πρόληψη των απειλών, αλλά περιλαµβάνει επίσης τη διαχείριση των περιστατικών όταν αυτά συµβούν, εφόσον ένα σωστά ενηµερωµένο και καταρτισµένο προσωπικό, µπορεί να αντιληφθεί και να αναφέρει τα περιστατικά άµεσα δίνοντας την δυνατότητα στον οργανισµό να αντιδράσει αποτελεσµατικά. Με αυτό τον τρόπο, η ταχύτερη αντιµετώπιση των περιστατικών ασφαλείας µειώνει τον χρόνο αδράνειας και τις αρνητικές συνέπειες που µπορεί να έχουν για τον εκάστοτε οργανισµό.

µια ολοκληρωµένη προσέγγιση που εναρµονίζει τα βασικά στοιχεία των ανθρώπων, των διαδικασιών και της τεχνολογίας. Σε συνδυασµό µε ισχυρές διαδικασίες, οι οργανισµοί καθιερώνουν ένα ολοκληρωµένο πλαίσιο διαχείρισης κινδύνου, συµπεριλαµβανοµένου του εντοπισµού, της αξιολόγησης και του µετριασµού του. Επιπλέον, οι λύσεις προηγµένης τεχνολογίας, συνδυαστικά, βοηθούν στον εντοπισµό και την ανταπόκριση σε πιθανές απειλές σε πραγµατικό χρόνο. Με την απρόσκοπτη ενσωµάτωση λοιπόν αυτών των στοιχείων, οι οργανισµοί µπορούν να ενισχύσουν αποτελεσµατικά την κυβερνοανθεκτικότητα τους. ODYSSEY, Ο ΣΤΡΑΤΗΓΙΚΟΣ ΣΑΣ ΣΥΝΕΡΓΑΤΗΣ ΣΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ

Με πάνω από 150 άτοµα εξειδικευµένο προσωπικό στην κυβερνοασφάλεια, εκ των οποίων µεγάλο ποσοστό να εδρεύει στον Ελλαδικό χώρο, η Odyssey αποτελεί έναν από τους µεγαλύτερους και πιθανώς παλαιότερους οργανισµούς στην ευρύτερη περιοχή. Με επιπλέον φυσική παρουσία σε Κύπρο, Σαουδική Αραβία, Αίγυπτο και Αγγλία εξυπηρετεί οργανισµούς διαφορετικού µεγέθους, τοµέα και πολυπλοκότητας ανά το παγκόσµιο. Η ολιστική προσέγγιση της Odyssey περιλαµβάνει πέντε πυλώνες λύσεων, υπηρεσιών και προϊόντων, όπως: Advisory Services (GRC), Integrated Solutions, Cloud Security, ClearSkies™ Threat & Vulnerability Management Platform και Managed Security / Detection & Response Services (MSDR).

INFO Λ. Μεσογείων 237, Νέο Ψυχικό Ε: info@odysseycs.com W: www.odysseycs.com

ΤΟ ΤΡΙΠΤΥΧΟ ΑΝΘΡΩΠΟΙ, ∆ΙΑ∆ΙΚΑΣΙΕΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑ

Παρόλαυτα, η επιτυχής πλοήγηση στο τεράστιο φάσµα ψηφιακών κινδύνων, δεν βασίζεται µόνο στο ανθρώπινο στοιχείο αλλά απαιτεί

C Y BER SECU RIT Y • netwee

INTERVIEW

CISO… χθες, σήµερα, αύριο Ο Χρήστος Συγγελάκης, Επικεφαλής Ασφάλειας Πληροφοριακών Συστηµάτων & Υπεύθυνος Προστασίας ∆εδοµένων της Motor Oil γράφει για τον εξελισσόµενο ρόλο του CISO και εξηγεί γιατί είναι ταυτόχρονα απαιτητικός και γοητευτικός. Χρήστος Συγγελάκης

Του Χρήστου Συγγελάκη, Επικεφαλής Ασφάλειας Πληροφοριακών Συστηµάτων Υπεύθυνος Προστασίας ∆εδοµένων της Motor Oil

ι επιχειρήσεις έχουν CEO, CFO, CMO, CHRO, CTO, CIO. Τι µπορεί να προσθέσει ένας CISO; Την απάντηση έχουν δώσει πριν από χρόνια οι χρηµατοπιστωτικοί οργανισµοί που είχαν την πιο µεγάλη έκθεση σε κινδύνους που οι άλλοι ακόµα δεν αντιµετώπιζαν. Υπάρχουν δύο οπτικές για τον ρόλο. Η µία είναι στείρα και αµυντική. CISO βαπτίζεται ο υπάλληλος που ασχολείται µε την τεχνολογία της ψηφιακής ασφάλειας των συστηµάτων. Αυτός που πασχίζει και χρεώνει την εταιρεία αγοράζοντας µαγικά προϊόντα που λύνουν οποιοδήποτε πρόβληµα ασφάλειας. Αυτός που όλοι ξέρουν ότι θα πει όχι. Αυτός που είναι ο τεχνικός που ξέρει καλύτερα, όµως µιλάει την δική του ξύλινη γλώσσα που κανείς δεν θέλει να ακούσει. Και υπάρχει και η δηµιουργική οπτική. Αυτός που εργάζεται σε συνεργασία µε την εταιρεία, σε όλα τα στάδια παραγωγής του «προϊόντος», εµπράγµατου ή άυλου, ώστε

netwee • C Y BER SECU RIT Υ

το προϊόν αυτό τελικά να είναι καλύτερης ποιότητας και η εταιρεία την επόµενη ηµέρα να έχει ανταγωνιστικό πλεονέκτηµα. Γιατί πλέον οι καταναλωτές απαιτούν οι εταιρείες να έχουν προϊόντα που δεν θα τους κάνουν να κινδυνεύσουν. Οι συνεργάτες δεν θέλουν να κινδυνεύσει η δική τους υπόσταση από την διαταραχή της εφοδιαστικής τους αλυσίδας αν εσύ σταµατήσεις να παράγεις ή αν βρεθούν υπόλογοι από τον τρόπο που επεξεργάζεσαι δεδοµένα τους. Οι επενδυτές διεθνών αγορών θα επιλέξουν να επενδύσουν σε αυτούς που έχουν περισσότερες πιθανότητες να επιβιώσουν σε ένα επικίνδυνο περιβάλλον. Και όσο αφορά την εταιρική ευθύνη, αν απευθύνεσαι στην κοινωνία µέσα από µια κρίσιµη υποδοµή, απαιτείται µια αδιάλειπτη γραµµή παραγωγής ώστε να µην στερηθεί το αγαθό και παράλληλα να µην τεθεί σε κίνδυνο η φυσική ασφάλεια περιβάλλοντος και πολιτών.

Ο CISO πρέπει να είναι «πολυεργαλείο»

Ο ρόλος του CISO είναι από τους πιο έντονα εξελισσόµενους τα τελευταία χρόνια. Αυτή η εξέλιξη έδειξε τη δυναµικότητα, αλλά και τα όρια, που οι ίδιοι οι ονοµαζόµενοι “CISO” δηµιούργησαν σε αυτόν. Ο ρόλος του CISO χρειάζεται να στελεχωθεί από ένα ανθρώπινο πολυεργαλείο. Γιατί όπως ο καλύτερος µηχανικός δεν µπορεί πάντα να γίνει CEO έτσι και ο καλύτερος τεχνικός ασφάλειας δεν µπορεί να γίνει πάντα CISO. Πρέπει να είναι ένας πολύ καλός γνωστής της τεχνολογίας, που θα σταµατήσει να σκέφτεται και να παίρνει αποφάσεις µε τεχνολογικά κριτήρια και θα µιλάει την γλώσσα της επιχείρησης. Είναι δεδοµένη η ανάγκη να υπάρχει γνώση του επιπέδου ετοιµότητας στον τοµέα της ψηφιακής ασφάλειας στο Ανώτατο ∆ιοικητικό επίπεδο. Πλέον, οι ευρωπαϊκές κανονιστικές διατάξεις θέλουν να επιβάλλουν σιγά σιγά αυτή την οπτική στις εταιρείες. Οι εταιρείες το βλέπουν αλλά δεν υπάρχει περίπτωση να βάλουν στο τραπέζι µε τα «µεγάλα παιδιά» έναν τεχνικό «ξερόλα». Κάποιον που µιλάει πάντα για τα δικά του προβλήµατα και θεωρεί ότι όλοι οι κίνδυνοι του κόσµου αρχίζουν και τελειώνουν στο δικό του πεδίο. Κάποιον που ζητάει όλοι να έχουν στραµµένη την προσοχή τους στο δικό του αντικείµενο. Έχει εµφανιστεί ένας ενδιάµεσος ρόλος, αυτός του BISO (Business Information Security Officer). Είναι στην ουσία ο CISO που έχει περάσει την κολυµπήθρα του Σιλωάµ και έχει βρεθεί στο επόµενο στάδιο. Έχει αποτινάξει τα τεχνολογικά βαρίδια, µιλάει για στρατηγική και όχι για αποσπασµατικά έργα και προϊόντα. Αποκτάει την αποδοχή να καθίσει στο «µεγάλο τραπέζι». Ο CISO, όπως και ο CIO στις περισσότερες περιπτώσεις, κρατιέται αποξενωµένος από το βιοµηχανικό περιβάλλον. Είναι τεράστιο πρόβληµα και λάθος καθώς εκεί χτυπάει η καρδιά της παραγωγής. Το ότι το βιοµηχανικό περιβάλλον είναι κάτι άσχετο, που δεν το ακουµπάµε, είναι µια οπτική που τα τελευταία χρόνια παγκόσµιοι επιχειρηµατικοί κολοσσοί έχουν πληρώσει ακριβά µε διαταραχή της παραγωγής τους.

Η δουλειά του CISO είναι να σχεδιάσει την Στρατηγική, µε βάση την γνώση που έχει για την πορεία της εταιρείας προς το µέλλον, ώστε αυτή να µην σκοντάψει σε θέµατα που έχουν σχέση µε τον δικό του τοµέα ευθύνης. Για να το πέτυχει αυτό θα πρέπει να έχει την µεγάλη εικόνα του συνόλου της εταιρείας. Του ΙΤ αλλά και του Industrial OT περιβάλλοντος, ενοποιηµένα. Όσο αφορά το ανθρώπινο δυναµικό, πρέπει να τους βοηθήσει να σκεφτούν, να καταλάβουν και κυρίως να ενστερνιστούν ανάλογη φιλοσοφία. Να κινούνται στο νέο ψηφιακό περιβάλλον µε ασφάλεια κατανοώντας ότι η πρόληψη είναι καλύτερη και φθηνότερη από την θεραπεία. Προβληµατικές καταστάσεις θα συµβούν και µπορεί να είναι και πολύ δυσάρεστες. Οφείλει να έχει γνωστοποιήσει στην Ανώτατη ∆ιοίκηση το επίπεδο ψηφιακής ωριµότητας της εταιρείας. Όχι να φοβάται να µεταφέρει την πραγµατική εικόνα φοβούµενος ότι θα ακούσει την φράση «και εσένα γιατί σε πληρώνουµε». Η δουλειά του CISO είναι πιεστική, αγχωτική, ζητάει συνέχεια να διαβάζεις και να µαθαίνεις τι γίνεται γύρω σου, αναπτύσσοντας παράλληλα soft skills για να έχεις οµαλή συνεργασία και να διοικείς οµάδες. Όµως µη γελιόµαστε. Για οποία θέση ευθύνης µιλήσουµε αυτά ισχύουν έτσι και αλλιώς. Αλλά έχει και ιδιαίτερα κοµµάτια που µπορείς να «αγαπήσεις» καθώς µπορείς να παραµείνεις ενεργός σε ένα βαθύ τεχνικό περιβάλλον που µε δυσκολία έχεις για χρόνια επενδύσει. Παράλληλα σου δίνει την ευκαιρία να ξεκολλήσεις, να µπεις σε κοµµάτια καθαρής επιχειρησιακής λογικής, να συνεργαστείς µε µη τεχνικούς, να καταλάβεις την άλλη πλευρά και να πάψεις να είσαι άτεγκτος στην οπτική σου. Αυτή την εποχή είναι ένας τοµέας που σε σπρώχνει από µόνος του, δυστυχώς είτε αξίζεις είτε όχι. Μαζί µε το ΑΙ, είναι στο επίκεντρο της εποχής και ο τοµέας που γίνονται µεγάλες επενδύσεις. Σε προσωπικό επίπεδο θεωρώ επιτυχία το γεγονός ότι καταφέραµε µε τους συνεργάτες µου να στρίψουµε σιγά σιγά αλλά σταθερά τον µεγαλύτερο όµιλο της Ελλάδος προς την κατεύθυνση της ψηφιακής ασφάλειας. Ένα µεγάλο ανταγωνιστικό πλεονέκτηµα του οµίλου Motor Oil είναι ότι έχει κατακτήσει κουλτούρα ψηφιακής ασφάλειας τόσο στο ΙΤ όσο και στο ΟΤ περιβάλλον. Οι πελάτες και οι συνεργάτες των εταιρειών του Οµίλου γνωρίζουν ότι συνεργάζονται µε κάποιους που δεν έχουν αφήσει τα πράγµατα στην µοίρα τους. Που η ψηφιακή ασφάλεια δεν θεωρείται απλά φραγµός, πάρεργο, κανονιστική υποχρέωση. Με έναν Όµιλο που έχει µακροπρόθεσµη Στρατηγική και σε αυτό τον τοµέα, όπως και σε όλους τους υπόλοιπους, ώστε όλα τα επιχειρηµατικά πλάνα να µπορούν να πατάνε σταθερά σε ένα περιβάλλον τουλάχιστον προκλητικό.

Η δουλειά του CISO είναι να σχεδιάσει την στρατηγική για την πορεία της εταιρείας, ώστε αυτή να µην σκοντάψει σε θέµατα που έχουν σχέση µε τον δικό του τοµέα ευθύνης

Απαιτητικός αλλά γοητευτικός ο ρόλος του CISO

Mε βάση τα παραπάνω ο CISO δεν πρέπει να είναι ο Τερµατοφύλακας, να αποκρούει επιθέσεις και να κρατάει στατιστικά για το πόσα γκολ δεν έφαγε. Αν εστιαστεί σε αυτό θα πρέπει να γνωρίζει ότι κάνεις δεν θα θυµάται τα εκατοντάδες που δεν έφαγε αλλά το ένα που θα φάει. Όλοι οι δηµοσιογράφοι µιλάνε µε πικρόχολα σχόλια για το ένα πολύνεκρο δυστύχηµα στον «Ασφαλή» δρόµο ταχείας κυκλοφορίας που στοίχησε εκατοµµύρια και όχι για τους εκατοντάδες που έχουν σωθεί από τα δυστυχήµατα που η ύπαρξή του απέτρεψε. ∆εν είναι αυτή η δουλειά του.

C Y BER SECU RIT Y • netwee

Η Ο∆ΗΓΙΑ NIS 2 ΚΑΙ Η ΑΝΑΓΚΗ ΓΙΑ ΑΜΕΣΗ ΣΥΜΜΟΡΦΩΣΗ Η κατακόρυφη αύξηση της συχνότητας, της έκτασης και των επιπτώσεων των περιστατικών ασφάλειας αποτελεί σοβαρό κίνδυνο για την εµπιστοσύνη των πολιτών και την οικονοµία της Ε.Ε.

Advertorial

ΤΗΣ ΝΑΝΤΙΑΣ ΛΙΑΠΗ, GROUP DIRECTOR, GOVERNANCE, RISK & COMPLIANCE SERVICES, SPACE HELLAS GROUP OF COMPANIES

Τον προηγούµενο Αύγουστο µία επίθεση Ransomware διέκοψε τις υπηρεσίες υγειονοµικής περίθαλψης σε τουλάχιστον τρεις πολιτείες των ΗΠΑ. Εξαιτίας της επίθεσης, ορισµένα νοσοκοµεία χρειάστηκε να διακόψουν µέρος των υπηρεσιών τους ενώ κάποια άλλα έκλεισαν τελείως. Οι κυβερνοεπιθέσεις στα νοσοκοµεία έχουν γίνει πιο συχνές, σύµφωνα µε τον John Riggi, τον εθνικό σύµβουλο για την κυβερνοασφάλεια και τους κινδύνους στην Αµερικανική Ένωση Νοσοκοµείων. Ωστόσο, δεν είναι µόνο ο τοµέας της υγείας που πλήττεται από πληθώρα κυβερνοεπιθέσεων. Καθώς η εξέλιξη της τεχνολογίας αναδιαµορφώνει δραστικά όλους τους τοµείς της οικονοµίας, o αριθµός και η σοβαρότητα των εγκληµάτων στον κυβερνοχώρο εκτινάσσεται. Οι ειδικοί προβλέπουν ότι το παγκόσµιο κόστος των εγκληµάτων στον κυβερνοχώρο θα φτάσει τα 10,5 τρισεκατοµµύρια δολάρια έως το 2025. Είναι πλέον αντιληπτό πως, η αξιοπιστία και η ασφάλεια των πληροφοριακών και επικοινωνιακών συστηµάτων είναι καθοριστικά για το µεγαλύτερο µέρος των οικονοµικών και κοινωνικών δραστηριοτήτων. Για την ενίσχυση της κυβερνοασφάλειας, το Ευρωπαϊκό Κοινοβούλιο ψήφισε υπέρ της υιοθέτησης της αναθεωρηµένης Οδηγίας για τα συστήµα-

netwee • C Y BER SECU RIT Y

τα δικτύων και πληροφοριών, η οποία αναφέρεται ως «NIS2». Σχεδιασµένη για να επεκτείνει, να ενισχύσει και να εναρµονίσει την εφαρµογή του υφιστάµενου πλαισίου κυβερνοασφάλειας στην ΕΕ, η NIS2 αποτελεί βασικό µέρος της στρατηγικής της ΕΕ για την ασφάλεια στον κυβερνοχώρο και υποστηρίζει την προτεραιότητα της Ευρωπαϊκής Επιτροπής, να προετοιµάσει κατάλληλα την Ευρώπη για την ψηφιακή εποχή. Τα κράτη µέλη έχουν περιθώριο µέχρι τις 17 Οκτωβρίου 2024 να ενσωµατώσουν τις διατάξεις της οδηγίας στην εθνική τους νοµοθεσία. ΑΠΟ ΤΗ NIS ΣΤΗ NIS2

H NIS2 ισχύει για κάθε οργανισµό που δραστηριοποιείται ή εκτελεί δραστηριότητες εντός της ΕΕ και παρέχει µια βασική υπηρεσία στους καταναλωτές. Η νέα Οδηγία NIS 2 θεσπίζει σηµαντικές υποχρεώσεις κυβερνοασφάλειας για τις ακόλουθες κατηγορίες οργανισµών («Βασικές και σηµαντικές οντότητες»): Βασικές Οντότητες: Τοµείς υψηλής κρισιµότητας, που αφορούν ενέργεια, µεταφορές, τράπεζες, υποδοµές χρηµατοπιστωτικών αγορών, υγεία, πόσιµο νερό, λύµατα, ψηφιακές υποδοµές, διαχείριση υπηρεσιών ΤΠΕ (µε-

ταξύ επιχειρήσεων), οντότητες δηµόσιας διοίκησης και διάστηµα. Σηµαντικές Οντότητες: Άλλοι σηµαντικοί τοµείς, όπως ταχυδροµικές υπηρεσίες και υπηρεσίες ταχυµεταφορών, διαχείριση αποβλήτων, παρασκευή, παραγωγή και διανοµή χηµικών προϊόντων, παραγωγή, µεταποίηση και διανοµή τροφίµων, κατασκευαστικός τοµέας, ψηφιακοί πάροχοι και έρευνα. Κάθε Οργανισµός, που ανήκει στις παραπάνω κατηγορίες υποχρεούται να θεσπίζει µέτρα διαχείρισης κινδύνων στον τοµέα της κυβερνοασφάλειας και να υποβάλει σχετικές αναφορές. Ποια είναι η µεγαλύτερη διαφορά µεταξύ των δύο κατηγοριών; Η παρακολούθηση και ο έλεγχος της συµµόρφωσης. Για τους υψηλής κρισιµότητας παρόχους υπηρεσιών, κυρίως αυτούς που συµµετέχουν σε ζωτικούς τοµείς, ο έλεγχος της συµµόρφωσης θα είναι αυστηρός, προληπτικός και τα µέτρα ασφαλείας θα πρέπει να αντικατοπτρίζονται σαφώς στις διαδικασίες τους. Αυτό σηµαίνει ότι οι ρυθµιστικές αρχές ελέγχουν ότι οι οργανισµοί εφαρµόζουν τα κατάλληλα µέτρα και συµµορφώνονται πλήρως. Για τους σηµαντικούς παρόχους, ο έλεγχος θα γίνεται εκ των υστέρων, εφόσον προκύψουν στοιχεία για κάποιο περιστατικό ασφάλειας.

Οι κύριοι στόχοι της Οδηγίας NIS 2 είναι: • Η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την ΕΕ, µε σκοπό τη βελτίωση της λειτουργίας της εσωτερικής αγοράς • Η ανταλλαγή πληροφοριών για την κυβερνοασφάλεια • Η διαχείριση της ∆ιακινδύνευσης της Ασφάλειας (Managing Security Risk) • Η προστασία από κυβερνοεπιθέσεις (Protecting against cyber attacks) • Ο εντοπισµός συµβάντων που σχετίζονται µε τη κυβερνοασφάλεια (Detecting cyber security events) • Η ελαχιστοποίηση της επίπτωσης από συµβάντα κυβερνοασφάλειας (Minimising the impact of cyber incidents) ΚΥΡΩΣΕΙΣ ΜΗ ΣΥΜΜΟΡΦΩΣΗΣ

Οι προβλεπόµενες κυρώσεις θα είναι αποτελεσµατικές, αναλογικές, αλλά και αποτρεπτικές. Συγκεκριµένα, για τις Βασικές οντότητες τα ∆ιοικητικά πρόστιµα ανέρχονται σε ύψος κατ’ ανώτατο όριο 10.000.000 ευρώ ή το 2 % του, κατά το προηγούµενο οικονοµικό έτος, συνολικού παγκόσµιου ετήσιου κύκλου εργασιών, όποιο από τα δύο είναι µεγαλύτερο. Για τις Σηµαντικές οντότητες τα ∆ιοικητικά πρόστιµα ανέρχονται σε ύψος κατ’ ανώτατο όριο τα 7.000.000 ευρώ ή το 1,4 % του, κατά το προηγούµενο οικονοµικό έτος, συνολικού παγκόσµιου ετήσιου κύκλου εργασιών, όποιο από τα δύο είναι µεγαλύτερο Αξίζει να σηµειωθεί πως στις προβλέψεις της οδηγίας αναφέρεται και η προσωρινή απαγόρευση της άσκησης διευθυντικών καθηκόντων, από οποιοδήποτε φυσικό πρόσωπο ασκεί καθήκοντα σε επίπεδο διευθύνοντος συµβούλου ή νόµιµου εκπροσώπου. Η ΣΧΕΣΗ ΤΗΣ Ο∆ΗΓΙΑΣ NIS 2 ΜΕ ΤΑ ISO 27001 ΚΑΙ ISO 22301

Ένας από τους βασικότερους πυλώνες στον οποίο στηρίζεται η εφαρµογή της Οδηγίας NIS 2 είναι ένα Σύστηµα ∆ιαχείρισης το οποίο να έχει ως κύρια συστατικά του τη ∆ιαχείριση της ∆ιακινδύνευσης (Risk Management), και τη ∆ιαχείριση Συµβάντων (Incident Management). H ∆ιαχείριση της ∆ιακινδύνευσης (Risk Management), βασίζεται µε τη σειρά της στην Αξιολόγηση της ∆ιακινδύνευσης (Risk Assessment).

Αυτό προϋποθέτει τη χρήση κάποιας διεθνώς αναγνωρισµένο πρότυπο ISO µεθοδολογίας (π.χ. ISO 31000:2018 ή 22301 αφορά την ανάπτυξη ενός ΣυISO 27005:2018) για την αναγνώριση στήµατος ∆ιαχείρισης Επιχειρησιακής και ανάλυση της διακινδύνευσης (risk Συνέχειας και µπορούµε να βασιστούµε identification and risk analysis) καθώς σε αυτό. και για την αποτίµηση της διακινδύΌπως γίνεται αντιληπτό, το πλαίνευσης (risk evaluation). Κατόπιν ο σιο ∆ιαχείρισης που προσφέρουν τα οργανισµός εφαρµόζει αυτό που η πρότυπα ISO 27001 για την ΑσφάΟδηγία απαιτεί, δηλαδή τα κατάλληλα λεια Πληροφοριών και το ISO 22301 και αναλογικά τεχνικά και οργανωτικά για την Επιχειρησιακή Συνέχεια µέτρα για την Αντιµετώπιση της ∆ια- καλύπτουν τις απαιτήσεις της Οδηκινδύνευσης (Risk Treatment). γίας NIS2, ενώ θα βοηθήσουν αποΗ ∆ια χ είρισ η Συµ βάν των τελεσµατικά στη διαµόρφωση των (Incident Management) προωθεί και µέτρων, που θα πρέπει να ληφθούν εφαρµόζει επίσης αυτό που η Οδηγία σύµφωνα µε το άρθρο 21 της Οδηγίας. απαιτεί, δηλαδή ένα σύστηµα για τον Η Space Hellas είναι σε θέση να εντοπισµό, την ανάλυση, και τη διαχεί- προσφέρει: ριση των συµβάντων καθώς και εφαρ- • Υπηρεσίες Gap Assessment σε σχέση µε την NIS 2 µογή των κατάλληλων µέτρων για την αποτροπή και την ελαχιστοποίηση του • Υπηρεσίες Προσαρµογής στην NIS 2 αντίκτυπου των συµβάντων που επη- • Υπηρεσίες CyberSecurity Assessment • Υπηρεσίες CyberSecurity Risk Management • Υπηρεσίες Vulnerability Assessment & Penetration Test • Υπηρεσίες SOC • Μελέτη, σχεδιασµό και υλοποίηση όλων των τεχνικών µέτρων που χρειάζεται ένας οργανισµός • Ανάπτυξη Συστήµατος ∆ιαχείρισης Ασφάλειας Πληροφοριών κατά ISO 27001:2022 • Ανάπτυξη Συστήµατος ∆ιαχείριNάντια Λιάπη σης Επιχειρησιακής Συνέχειας ρεάζουν την ασφάλεια των συστηµά- κατά ISO 22301:2019 των δικτύου και πληροφοριών. Επίσης, • Υπηρεσίες Chief Information Security Officer (CISO) περιλαµβάνει ένα σύστηµα αναφοράς των συµβάντων στα ενδιαφερόµενα • Υπηρεσίες οµάδας υποστήριξης του CISO ενός οργανισµού µέρη – άρα και στην αρµόδια αρχή ή στην CSIRT. Με βάση την οδηγία NIS 2 Η Space Hellas διαθέτει υψηπρέπει να εφαρµοστούν τα κατάλληλα τεχνικά και οργανωτικά µετρά λή τεχνογνωσία και εµπειρία στον για την ασφάλεια των πληροφοριών. Ο τοµέα της ασφάλειας πληροφοριπληρέστερος και πιο τεκµηριωµένος ών, προστασίας των προσωπικών τρόπος είναι να δηµιουργηθεί ένα Σύ- δεδοµένων και της διαχείρισης συστηµα ∆ιαχείρισης Ασφάλειας Πληρο- στηµάτων. φοριών µε βάση το ISO 27001, το οποίο είναι το διεθνώς αναγνωρισµένο πρόINFO τυπο για την ασφάλεια πληροφοριών. Επίσης, η Οδηγία NIS 2 προβλέπει Space Hellas ΑΕ την επιχειρησιακή συνέχεια µέσα Λεωφ. Μεσογείων 312, Αθήνα από την εφαρµογή κατάλληλων µέτρων T: 21 0650 4100 E: info@space.gr για την αποτροπή και την ελαχιστοποίW: www.space.gr ηση του αντικτύπου συµβάντων, που επηρεάζουν την ασφάλεια των συστηµάτων δικτύου και πληροφοριών που χρησιµοποιούνται για την παροχή των βασικών υπηρεσιών, µε σκοπό τη διασφάλιση της συνέχειάς τους. Το

C Y BER SECU RIT Y • netwee

OPINION

Άγχος και κούραση των CISO & Security Managers

Ζέππος Γαλανός

netwee • C Y BER SECU RIT Υ

Ο Ζέππος Γαλανός, ΙΤ Security Officer της ΚΟΝΚΑΤ ΑΤΕ, γράφει για την «κούραση» των στελεχών ασφάλειας πληροφορικής και εξηγεί γιατί συµβαίνει αυτό και πώς µπορεί να αντιµετωπιστεί, προς όφελος εταιρειών και στελεχών.

ο τελευταίο διάστηµα διαβάζω όλο και πιο συχνά για εξάντληση στελεχών CISO, ακόµα και αλλαγές καριέρας, και ειλικρινά είναι κάτι που περίµενα να γίνει κάποια στιγµή. Για να µην γίνει κάποια παρεξήγηση, ξεκαθαρίζω εξ αρχής ότι δεν είµαι ο πλέον κατάλληλος άνθρωπος για να αξιολογήσω την ψυχική κατάσταση αυτών που επανδρώνουν τις θέσεις ευθύνης στον τοµέα της ασφάλειας πληροφορικής, παρά µόνο κάποιος µε αρκετά χρόνια σε θέσεις ευθύνης που µπορεί να καταλάβει πως δουλεύει το σύστηµα και γιατί ασκείται αυξηµένη πίεση σε αυτές τις θέσεις το τελευταίο χρονικό διάστηµα. Ο λόγος απλός, βρισκόµαστε εν µέσω όλο και αυξανόµενων οµοβροντιών από κακόβουλες επιθέσεις µε αυξανόµενη πολυπλοκότητα, χωρίς να φαίνεται ότι θα υπάρξει µείωση στο µέλλον είτε σε συχνότητα είτε σε δυσκολία αντιµετώπισης – µάλλον το αντίθετο. Το πρόβληµα διογκώνεται και από τις αλλαγές στο εργασιακό περιβάλλον µε άµεσο αντίκτυπο στην ασφάλεια, όπως η αποµακρυσµένη εργασία, η αποµακρυσµένη υποστήριξη από εξωτερικούς συνεργάτες, τα σοβαρά προβλήµατα υπό-στελέχωσης των συγκεκριµένων τµηµάτων ασφάλειας καθώς και το πρόβληµα εξειδίκευσης και τεχνογνωσίας σε όλες τις θέσεις. Όλα τα παραπάνω δηµιουργούν ένα εκρηκτικό κοκτέιλ για τους ανθρώπους που επωµίζονται καθηµερινά την ευθύνη σε τακτικό αλλά και στρατηγικό επίπεδο αλλά πιο σηµαντικό, την διαδικασία λήψης αποφάσεων σε µικρό χρονικό ορίζοντα (αυτό µιάς επίθεσης) µε όλο το βάρος της πολύ πιθανής αποτυχίας ολόκληρου ή µέρους του του επιλεγµένου µοντέλου άµυνας και προστασίας καθώς και της επικοινωνίας αυτών των αποτυχιών στην ανώτατη διοίκηση και µάλιστα µε µεγάλη συχνότητα πλέον παρά τις όποιες στρατηγικές διορθώσεις και αλλαγές κατεύθυνσης µετά το τέλος κάθε επίθεσης. Το πρόβληµα θεωρώ ξεκινάει από τον τρόπο που λειτουργούν σήµερα οι εταιρείες όσον αφορά την ασφάλεια και παραδόξως είναι περισσότερο διοικητικό παρά τεχνικό.

χθούν όλες οι πλευρές του αφ’ ετέρου να πιστοποιηθεί το πρόβληµα και οι συνέπειες αυτού. Συχνά οι λύσεις βασισµένες σε αρχικές εκτιµήσεις τείνουν να είναι ανεπαρκείς ή και εντελώς λάθος. Ο σκοπός είναι να αποφευχθεί άσκοπη χρήση πόρων σε project που δεν θα επιφέρουν τα επιθυµητά αποτελέσµατα. Θέλει όντως αρετή και θάρρος να σταµατήσεις ένα project που έχει ήδη καταναλώσει σηµαντικούς πόρους χωρίς αποτέλεσµα ενώ επιβάλλει και συνεχόµενη επικοινωνία µε «κακά µαντάτα» προς το management. Η εµπειρία έχει δείξει ότι αν υπάρχουν «κακά µαντάτα», αυτά θα πρέπει να µεταφέρονται προς τα πάνω όσο πιο νωρίς γίνεται στην διαδικασία.

Βρισκόµαστε εν µέσω αυξανόµενων οµοβροντιών από κακόβουλες επιθέσεις µε αυξανόµενη πολυπλοκότητα

Αλλαγές δεξιοτήτων…

Για να µπορεί να γίνει πράξη το παραπάνω, θα πρέπει να γίνει µια ειλικρινής συζήτηση σχετικά µε το τί πρέπει και µπορεί να γνωρίζει σήµερα ένας CISO. Η καθηµερινότητα δείχνει ότι από εταιρεία σε εταιρεία διαφέρει σηµαντικά ο ρόλος αλλά και οι αρµοδιότητες ενός CISO. Αυτό που µπορούµε να κάνουµε είναι να προσπαθήσουµε να διατηρήσουµε ένα επίπεδο τεχνικής γνώσης που να µας επιτρέπει να κατανοήσουµε τα προβλήµατα που αντιµετωπίζουµε καθηµερινά σε τέτοιο βάθος ώστε να µπορούµε να πάρουµε τις σωστές αποφάσεις. Στην πράξη αυτό σηµαίνει µια βαθιά αλλαγή κατεύθυνσης κατάρτισης από τεχνική σε κυρίως διοικητική. Εν τέλει, θα πρέπει να δεχθούµε ότι δεν υπάρχει πλέον ο χρόνος για τα περισσότερα στελέχη αυτού του επιπέδου να ασχολούνται µε διαδικαστικές λεπτοµέρειες υλοποίησης λύσεων.

Ανάλυση κινδύνου…

Σχεδόν όλοι οι επαγγελµατίες στον τοµέα της ασφάλειας συµφωνούν στο γεγονός ότι όλες οι προσπάθειες παροχής λύσεων ασφαλείας θα πρέπει να ξεκινούν από µια αρχική εκτίµηση επιχειρησιακού κινδύνου. Στην πράξη δεν συµβαίνει πάντα αυτό όµως, παρότι πρόσφατα ευρωπαϊκά πλαίσια κανονιστικής συµµόρφωσης επιβάλλουν χρήση µοντέλου βασισµένο σε τέτοιου είδους εκτίµηση. Κατανόηση του κάθε προβλήµατος σε βάθος… Μια σωστή µεθοδολογία εκτίµησης ρίσκου θα πρέπει να Παρότι ευνόητο να πρέπει να έχει κατανοηθεί πλήρως ένα έχει τα κάτωθι χαρακτηριστικά: πρόβληµα πριν να µπορέσουµε να ασχοληθούµε µε την • Η χρήση ορολογίας θα πρέπει να είναι τέτοια ώστε να είλύση του, στην πράξη οι υπεύθυνοι συνήθως ξεκινούµε ναι εύκολη και κατανοητή για όλους τους εµπλεκόµενους µε µια αρχική άποψη πάνω στο πρόβληµα την οποία και • Οι όποιες παραδοχές σε ισχύ, να είναι τεκµηριωµένες µε χτίζουµε στην συνέχεια. Το πρόβληµα σε αυτό έγκειται ξεκάθαρο τρόπο (ειδικά όπου αφορά υφιστάµενα µέτρα στο ότι όταν βρισκόµαστε κάτω από πίεση χρόνου και στην εκτίµηση ρίσκου) stress, µας ζητείται να προτείνουµε λύσεις όπου βασισµέ- • Ξεκάθαρη αναφορά σε µέτρα αντιµετώπισης και περιορισµού του εναποµένοντος κινδύνου νες στην αρχική µας άποψη στο τέλος θα αποδειχθούν λάθος ή ανεπαρκείς. Η έννοια του εναποµένοντος κινδύνου δεν είναι εντελώς Καλύτερη αντιµετώπιση θα ήταν να προσπαθήσουµε να κατανοητή στην καθηµερινότητα µας, και θα πρέπει να αποκτήσουµε από νωρίς µια βαθύτερη κατανόηση του εξηγείται πλήρως στους business owners ώστε να τεκπροβλήµατος µέσω συζητήσεων και «συνεντεύξεων» µε µηριωθεί η αποδοχή του εν γνώση (από αυτούς και όχι τους άµεσα εµπλεκόµενους, ώστε αφ’ ενός να αναδει- από τον CISO).

C Y BER SECU RIT Y • netwee

INTERVIEW Αυτό συµβαίνει όταν οι επιχειρήσεις υπολογίζουν µόνο την επένδυση που αφορά το αρχικό κόστος υλοποίησης µιας λύσης (CAPEX) χωρίς να συνυπολογίζουν επαρκώς το λειτουργικό κόστος που θα προκύψει από την καθηµερινή λειτουργία της λύσης (OPEX). Τυπικά αυτό δηµιουργεί µη λογικά κόστη διαχείρισης και υποστήριξης τα οποία είναι συνεχόµενα. Η λύση είναι πριν την επιλογή υλοποίησης οποιασδήποτε λύσης, αυτή να κοστολογείται σωστά υπολογίζοντας και το CAPEX αλλά και το OPEX ώστε να µην εµφανίζονται στην πορεία κρυφά κόστη.

∆ιαχείριση χρόνου…

Ο CISO θα πρέπει πλέον να µπορεί να τροφοδοτεί την οµάδα του µε προβλήµατα παρά µε λύσεις µιάς και δεν υπάρχει πια χρόνος για να υποπέσει στην γνωστή παγίδα του καθορισµού µεθοδολογιών αντιµετώπισης προβληµάτων από τον ίδιο και κατόπιν παράδοση της λύσης προς υλοποίηση στην οµάδα του. Κάνοντας το παραπάνω, ο ίδιος ο CISO κερδίζει πολύτιµο χρόνο να ασχοληθεί µε πιο σηµαντικά θέµατα της εργασίας του αλλά και να κατευθύνει σωστά την οµάδα του ώστε αυτή να µπορεί να αυτοσχεδιάσει, να εµπνευσθεί, καθώς και να µάθει από τα λάθη της. Στα θετικά καταλογίζεται και η καλύτερη αποδοχή της όποιας λύσης σχεδιασθεί από την οµάδα µιάς και έχουν συµµετάσχει όλοι σε αυτήν. Στα αρνητικά καταλογίζεται ο µεγαλύτερος αρχικός χρόνος υλοποίησης ενός τέτοιου µοντέλου εργασίας.

∆ιαχείριση επικοινωνιακού µοντέλου…

Προτεραιότητες…

Καθώς οι απειλές εξελίσσονται µε γοργούς ρυθµούς έτσι γρήγορα αλλάζει και η λειτουργία των σύγχρονων επιχειρήσεων. Τα τεντωµένα budgets µαζί µε το πρόβληµα στελέχωσης δηµιουργεί την πίεση για να τεθούν προτεραιότητες. Αποτελεί λοιπόν καθηµερινότητα για τον CISO σήµερα ο διαµοιρασµός διαθέσιµων πόρων είτε σε project στρατηγικής σηµασίας είτε σε projects καθηµερινής τακτικής επίλυσης θεµάτων. Η χρήση προτεραιοτήτων που θα δίνουν λύσεις και θα βοηθούν το στρατηγικό πλάνο της εταιρείας θα πρέπει να είναι υποχρεωτική καθώς και η περιοδική αξιολόγηση τους για αλλαγές κατευθύνσεων.

CAPEX vs OPEX…

Είναι γεγονός ότι οι σωστές λύσεις ασφάλειας παρέχονται µε ισορροπηµένη χρήση ανθρώπινων πόρων, διαδικασιών αλλά και τεχνολογίας. Η σηµασία αυτής της ισορροπίας διαταράσσεται όταν αποφάσεις που αφορούν παρεχόµενες λύσεις πέφτουν στην παγίδα της υπό-κοστολόγησης.

netwee • C Y BER SECU RIT Y

Εχοντας ήδη αναφερθεί στην αλλαγή κατεύθυνσης των CISO όσον αφορά την κατάρτιση τους από τεχνική σε κυρίως διοικητική, θα πω ότι από τους πιο σηµαντικούς παράγοντες στην επιτυχία ενός CISO αποτελεί η δυνατότητα του να επικοινωνεί µε ευκολία τεχνικές έννοιες και θέµατα στην διοίκηση και τους επενδυτές. Εννοείται ότι δεν παραβλέπει την τεχνική γνώση σε βασικές έννοιες και µεθοδολογίες ασφαλείας, απλώς δίνεται πλέον µεγαλύτερη έµφαση.

Επιχειρησιακή συνέχεια…

Τέλος, όσο σηµαντικό είναι για έναν CISO να δεχθεί τις υποχρεώσεις του απέναντί στην επιχείρηση, τόσο σηµαντικό είναι και η αποδοχή των υποχρεώσεων της ίδιας έναντι του CISO. Κρίνοντας από την σηµασία των παρεχόµενων υπηρεσιών από ένα τµήµα ασφάλειας σήµερα, θα πρέπει να υπάρχει και για τον ίδιο, κάποιο εναλλακτικό σενάριο λειτουργίας όταν αυτός θα απουσιάζει. Η χρήση ενός αντικαταστάτη, όπου θα µπορεί να λειτουργήσει κανονικά ως CISO θα ήταν ιδανικό, ώστε αυτό να αποτελέσει τροχοπέδη στο άγχος και την κούραση των στελεχών αλλά και την επιχειρησιακή συνέχεια σε περίπτωση που αυτό απαιτηθεί - η συνεχόµενη εργασία εκτός εργασιακού ωραρίου, οι έλλειψη διακοπών, και η διατάραξη της οικογενειακής γαλήνης αποτελεί µέγα λάθος και οδηγεί µε µαθηµατική ακρίβεια στο «κάψιµο» αξιόµαχων στελεχών.

Advertorial

BITDEFENDER: ΤΟ ENDPOINT PROTECTION ΕΙΝΑΙ Ο ΑΚΡΟΓΩΝΙΑΙΟΣ ΛΙΘΟΣ ΤΟΥ CYBER SECURITY Τα τελευταία χρόνια οι οργανισµοί • Τακτική αξιολόγηση της αποτελεέχουν ωριµάσει σηµαντικά στον τρόπο σµατικότητας. που αντιλαµβάνονται την ασφάλεια Η οικοδόµηση κουλτούρας µε των υποδοµών ΤΠΕ. επίγνωση στην ασφάλεια, είναι µια Έχοντας αφήσει κατά µέρος τον συνεχής διαδικασία που απαιτεί δέεντοπισµό των επιθέσεων ως κάτι σµευση, πόρους και συνεργασία σε αυτονόητο που θα πρέπει να προσφέ- όλο τον οργανισµό. Τα τερµατικά, ρουν οι λύσεις ασφαλείας, η προσοχή αποτελούν το liaison των κυριόστρέφεται στην αναδιαµόρφωση των τερων σηµείων του οργανισµού πολιτικών ασφαλείας, στην καλλιέρ- και η έγκυρη προστασία τους µπορεί γεια της κουλτούρας στην κυβερνο- να επικυρώσει την εφαρµογή των ασφάλεια, στον ανασχεδιασµό των πολιτικών και των ακριβών επενδύυποδοµών µε security by design σεων της υποδοµής. Χρήστες, δίπροδιαγραφές και zero trust αρχιτε- κτυα, emails, cloud εφαρµογές κτονική αλλά και στην ανθεκτικό- καταλήγουν στα τερµατικά του ορτητα όλων αυτών. Resilience, είναι γανισµού, όπου η ελλιπής προστασία µια έκφραση που ακούµε συχνά από τους µπορεί να καταρρίψει και το πιο οργανισµούς και κατασκευαστές, στα καλοσχεδιασµένο µοντέλο κυβερνοπλαίσια µιας ρεαλιστικής προσέγγισης, ασφάλειας. Γι’αυτό, είναι σηµαντικό ότι η ισχυρή πρόληψη δεν αρκεί. Η οι οργανισµοί να έχουν αυστηρά κριάµεση απόκριση και ο περιορισµός του τήρια και ελεγµένες προδιαγραφές αντίκτυπου είναι το ζητούµενο για την όταν επιλέγουν λύσεις ασφαλείας διασφάλιση της οµαλής λειτουργίας για τα τερµατικά τους, λαµβάνοντας του κάθε οργανισµού. υπόψη την κάλυψη δύο σηµαντιΗ ασφάλεια του οργανισµού κών παραγόντων του security: το είναι τόσο δυνατή, όσο το πιο αδύ- multivendor περιβάλλον και την ναµο σηµείο της. Ποια είναι όµως τα συµβατότητα των εργαλείων που κυριότερα σηµεία που συµβάλλουν ενισχύει την άµεση απόκριση. στην επιτυχία στην κυβερνοασφάλεια; • ∆έσµευση ηγεσίας: Η κουλτούρα ξε- Η ΠΡOΤΑΣΗ ΤΗΣ BITDEFENDER κινά από την κορυφή. Η ∆ιοίκηση θα Η Bitdefender, Παγκόσµιος πρέπει να επιδείξει ισχυρή δέσµευση Ηγέτης στον τοµέα της κυβερνογια την ασφάλεια στον κυβερνοχώρο ασφάλειας, µε όραµα ένα ασφαλές µε την κατανοµή πόρων, τον καθορι- περιβάλλον όπου οι οργανισµοί θα σµό πολιτικών και την διάθεση απα- µπορούν να αναπτύσσουν τις δραραίτητων εργαλείων. στηριότητές τους περιορίζοντας τον • Σαφείς πολιτικές και διαδικασί- κίνδυνο κυβερνοεπιθέσεων, προες διαχείρισης πληροφοριών και σφέρει ολοκληρωµένες λύσεις προσυστηµάτων στασίας εσωτερικά της περιµέτρου. • Εκπαίδευση αντιµετώπισης περι- Στοχεύοντας τόσο στην πρόληψη και την θωράκιση όσο και στην στατικών και πρόληψης • Εργαλεία και τεχνολογίες ασφα- άµεση αντιµετώπιση περιστατιλείας κών, έχει επιστρατεύσει τεχνολογίες • ∆ιεξαγωγή ασκήσεων ασφαλείας αιχµής σε µια ενιαία πλατφόρµα και προσοµοιώσεις επιθέσεων cloud ή on-premise, και παρέχει • Τρίτοι προµηθευτές: Επεκτείνετε όλες τις λειτουργίες σε 1 µοναδικό τις προσπάθειες ευαισθητοποίησης agent, συµβατό για κάθε λειτουρσχετικά µε την ασφάλεια σε τρίτους γικό (windows, linux, mac, virtual, προµηθευτές και εργολάβους που mobiles). Ακόµη και στις µικρότεέχουν πρόσβαση στα συστήµατα και ρες εκδόσεις, προσφέρει αυξηµένη τα δεδοµένα σας. ορατότητα µε λειτουργίες όπως το

Risk Management που παρέχει ενηµέρωση για misconfigurations, έλλειψη Patches και misbehaviours των χρηστών, ενώ στις µεγαλύτερες εκδόσεις, η αυτοµατοποίηση διαδικασιών µεταξύ Endpoint Protection, Patch Management, Cloud Email Security, EDR και XDR, µπορούν να βελτιώσουν σηµαντικά τους χρόνους απόκρισης, περιορίζοντας τα false positives. Ενσωµατωµένα εργαλεία όπως το Sand Box Analyzer και το Forensic Analysis προσφέρουν πληροφορίες που βοηθούν στην λήψη αποφάσεων. Όσα χρειάζονται οι οµάδες ασφαλείας, αλλά και οι µικρότερες επιχειρήσεις που δεν διαθέτουν πολυµελή οµάδα IT, προσφέρονται σε µια εύχρηστη ενιαία πλατφόρµα, βραβευµένη από καταξιωµένους φορείς τους κλάδου για την αποτελεσµατικότητά της. Το Gravity Zone, µε zero trust πολυεπίπεδη αρχιτεκτονική και περισσότερους από 30 µηχανισµούς ασφαλείας, συνεργάζεται µε τα περισσότερα αναγνωρισµένα SIEM και αποτελεί την βέλτιστη value for money επιλογή σε περιβάλλοντα όπου η ασφάλεια είναι σηµαντική. Επικοινωνήστε µε την Bitdefender και ενηµερωθείτε για την λύση που ταιριάζει στις δικές σας ανάγκες.

INFO

Ελλάδα Τ: 215-5353030 E: info@bitdefender.gr W: www.bitdefender.gr

C Y BER SECU RIT Y • netwee

INTERVIEW

Από την περιφρούρηση στην ανθεκτικότητα

Ροβέρτος Γκόγκλης

Ο Ροβέρτος Γκόγκλης, Group Information Security Officer, Alpha Bank, µιλάει για όλα όσα κάνουν τον ρόλο του CISO συναρπαστικό και επισηµαίνει ότι το µέλλον του cyber security στρέφεται περισσότερο προς τη λογική της ανθεκτικότητας παρά της περιφρούρησης. Συνέντευξη στην Αγγελική Κορρέ

netweek: Πώς έχει εξελιχθεί ο ρόλος του CISO τα τελευταία χρόνια; Ροβέρτος Γκόγκλης: Παγκοσµίως, ο ρόλος του

CISO εξελίσσεται από «τεχνικό ΙΤ», σε ανεξάρτητο, εξειδικευµένο manager. Σε αυτό βοήθησε η ψηφιοποίηση σε όλους τους τοµείς της οικονοµίας, παράλληλα µε τις τεχνολογικές εξελίξεις και τις αλλαγές στο Νοµικό/Κανονιστικό περιβάλλον. Ειδικά στην Ευρώπη, η αντιµετώπιση του Cybersecurity ως ένα διαρκές και κρίσιµο στρατηγικό συστατικό για την προστασία και παροχή αξιόπιστων ψηφιακών υπηρεσιών, αναδεικνύει, τόσο την κρισιµότητα του αντικειµένου, όσο και την ανάγκη θεώρησης του CISO ως στρατηγικού εταίρου εντός των οργανισµών. Οι αλλαγές αυτές, διαµορφώνουν και τις απαιτήσεις για τον ίδιο τον CISO, καθώς θα πρέπει να διαθέτει την τεχνική κατάρτιση και εµπειρία για την διαµόρφωση του κατάλληλου λειτουργικού µοντέλου Κυβερνοασφάλειας, αλλά και τις δεξιότητες που απαιτούνται από ένα διοικητικό στέλεχος. Οι ικανότητες διαµόρφωσης στρατηγικής σύµφωνα µε την Επιχειρησιακή στρατηγική του Οργανισµού, η

netwee • C Y BER SECU RIT Υ

αποδοτική και αποτελεσµατική επικοινωνία των αναγκών και δυνατοτήτων της Κυβερνοασφάλειας σε µη-τεχνικούς Stakeholders, η διαχείριση προϋπολογισµού και ανθρώπινων πόρων, και φυσικά οι ηγετικές ικανότητες είναι απαραίτητα χαρακτηριστικά, ειδικά σε µεγάλους οργανισµούς.

Ποια είναι η µεγαλύτερη πρόκληση στη δουλειά σας;

Ο σχεδιασµός και η εφαρµογή ενός αποδοτικού προγράµµατος Κυβερνοασφάλειας σε ένα µεταβαλλόµενο περιβάλλον µε ισχυρές αντίρροπες δυνάµεις. Οι Επιχειρησιακές ανάγκες οι οποίες από την φύση τους απαιτούν λειτουργική εξωστρέφεια και ταχεία ανάπτυξη θα πρέπει να ισορροπούν τόσο µε τις αυξανόµενες Κανονιστικές απαιτήσεις, όσο και µε το περιβάλλον απειλών το οποίο προσαρµόζεται και εκµεταλλεύεται τις τεχνολογίες άµεσα. Η πρόκληση λοιπόν, είναι η δηµιουργία ενός τεχνολογικού και λειτουργικού µοντέλου Κυβερνοασφάλειας που θα εξασφαλίζει την διαρκή προστασία των κρίσιµων πόρων του οργανισµού, ενώ ταυτόχρονα θα παρέχει

την απαραίτητη προσαρµοστικότητα και ταχύτητα, ώστε να ανταποκρίνεται στις αλλαγές των Επιχειρησιακών αναγκών και τις τρέχουσες απειλές. Η επιτυχής εφαρµογή ενός αποδοτικού µοντέλου Κυβερνοασφάλειας, είναι εξαρτώµενη από την εσωτερική συνεργασία µε τις Επιχειρηµατικές δοµές και την Πληροφορική για την κοινή αντίληψη και συµφωνία ως προς τη στρατηγική και την διαχείριση των κινδύνων. Εξίσου σηµαντική όµως είναι και η συστηµατική συνεργασία µε εξωτερικούς φορείς και οργανισµούς. Η µετάβαση στην παγκόσµια ψηφιακή οικονοµία αυτόµατα µετέβαλε και το περιβάλλον απειλών, στο οποίο οι Κυβερνοεγκληµατίες εκµεταλλεύονται τις ίδιες τεχνολογίες και ευκολίες παγκόσµιας πρόσβασης όπως και οι Επιχειρήσεις, χωρίς φυσικά τους ηθικούς και επαγγελµατικούς κανόνες λειτουργίας. Συνεπώς, η συνεχής επικοινωνία και ουσιώδης συνεργασία µεταξύ οργανισµών για την αντιµετώπιση των κοινών απειλών είναι κρίσιµη.

διοργάνωση και λειτουργία της Κυβερνοασφάλειας, τόσο σε στρατηγικό, όσο και σε τακτικό επίπεδο. Η προσέγγιση αυτή προσφέρει ένα πολύ ισχυρό εργαλείο καθώς επιτρέπει την διαρκή αξιολόγηση των δυνατοτήτων της Κυβερνοασφάλειας και κατ’ επέκταση τις περιοχές στις οποίες θα πρέπει να εστιάσει για να ορίσει σαφείς στρατηγικούς στόχους και να παρακολουθεί συστηµατικά την απόδοση της µε µετρήσιµα αποτελέσµατα. Παράλληλα θα ανέφερα την δηµιουργία του Alpha Bank CSIRT το οποίο αξιολογήθηκε και αποτελεί το µόνο CSIRT από τον ιδιωτικό τοµέα στην Ελλάδα, ως πλήρες µέλος του οργανισµού FIRST.

Τι πιστεύετε για τον ρόλο του ΑΙ και του machine learning στην κυβερνοασφάλεια;

Πιστεύω πως όλοι οι επαγγελµατίες του χώρου απεχθάνονται την στασιµότητα και µοιράζονται µια κοινή αγάπη για τις προκλήσεις και την εξέλιξη της Κυβερνοασφάλειας, ειδικά ως προς την αντιµετώπιση απειλών. Η εξέλιξη της τεχνολογίας εξασφαλίζει ένα περιβάλλον διαρκών αλλαγών στις οποίες η Κυβερνοασφάλεια πρέπει να ανταποκρίνεται άµεσα και αποτελεσµατικά, συνεπώς η καθηµερινότητα µας δεν είναι ποτέ βαρετή! Το πιο αξιοσηµείωτο χαρακτηριστικό όµως είναι η αίσθηση της κοινότητας η οποία καλλιεργείται µε την συνεργασία και στόχο το κοινό όφελος. Η συστηµατική ανταλλαγή πληροφοριών και η αλληλοϋποστήριξη είναι χαρακτηριστικά του επαγγέλµατος σε όλα τα επίπεδα, από εξειδικευµένα τεχνικά fora, έως παγκόσµιους οργανισµούς όπως το FIRST και το FS-ISAC (στα οποία η Alpha Bank είναι µέλος).

Το ΑΙ και το Machine Learning ήδη χρησιµοποιούνται στην Κυβερνοασφάλεια µε αξιοσηµείωτα αποτελέσµατα και ο ρόλος τους εξελίσσεται διαρκώς, τόσο για τις τακτικές δραστηριότητες της Κυβερνοασφάλειας, όσο και σε περιοχές µε άµεσες Επιχειρησιακές εφαρµογές όπως το e-Fraud. Με δεδοµένη την χρήση ΑΙ ακόµη και για το ευρύ κοινό, θεωρώ πως η χρήση των τεχνολογιών αυτών θα είναι αυξανόµενη, χωρίς ωστόσο να µειώνει την ανάγκη του ανθρώπινου παράγοντα. Η δυνατότητα ανάλυσης µεγάλων όγκων δεδοµένων και η λήψη αυτόµατων και «έξυπνων» αποφάσεων, είναι στρατηγικός στόχος της Κυβερνοασφάλειας δεδοµένου του γενικότερου Επιχειρησιακού περιβάλλοντος το οποίο καλείται να προστατεύσει. Ωστόσο υφίσταται ο κίνδυνος θεώρησης της λειτουργίας ΑΙ και των αναµενόµενων αποτελεσµάτων µε «απλουστευµένο» τρόπο και κατ’ επέκταση µια τάση εξάρτησης από την τεχνολογία, χωρίς ανθρώπινη αξιολόγηση.

Ποια είναι τα «συστατικά» µίας κουλτούρας ασφάλειας;

Πώς εκτιµάτε ότι θα έχει αλλάξει το τοπίο της κυβερνοασφάλειας τα επόµενα χρόνια;

Τι αγαπάτε περισσότερο στη δουλειά σας;

Η κουλτούρα ασφάλειας σε έναν οργανισµό, ιδανικά µεταφράζεται στην ενσωµάτωση των κανόνων και πρακτικών ασφάλειας στην καθηµερινή εργασία, από απλές ενέργειες όπως ο έλεγχος ενός εισερχόµενου e-mail για την πιθανότητα Phishing, µέχρι την ανάπτυξη απαιτήσεων ασφάλειας κατά τον σχεδιασµό και υλοποίηση έργων Πληροφορικής.Βασικό συστατικό είναι η διαµόρφωση ενός συστηµατικού, σύγχρονου και συνολικού προγράµµατος ενηµέρωσης, ευαισθητοποίησης και εκπαίδευσης για όλο το προσωπικό. Το περιεχόµενο πρέπει να είναι εξελικτικό, δηλαδή να διαθέτει κύκλους εκπαίδευσης µε σταδιακά επίπεδα ωριµότητας, ενώ παράλληλα µε τα κοινά θέµατα, θα πρέπει να περιλαµβάνει και πιο στοχευµένα ανά ρόλο, εστιάζοντας σε συνήθεις απειλές και την αντιµετώπιση τους. Οι µέθοδοι παράδοσης όπως για παράδειγµα animation ή gamification, είναι εξίσου σηµαντικοί για να κρατούν το ενδιαφέρον των εκπαιδευόµενων και να υποστηρίζουν την κατανόηση και απορρόφηση του περιεχοµένου, ενισχύοντας την αρχή ότι η ασφάλεια είναι καθήκον όλων.

Ποιες είναι κάποιες από τις πλέον επιτυχηµένες πρωτοβουλίες που έχετε προβεί ως CISO;

Η υιοθέτηση του µοντέλου αξιολόγησης ωριµότητας (Cyber Maturity Model) το 2018, αποτέλεσε το θεµέλιο για την ανα-

Σε επίπεδο εσωτερικής διακυβέρνησης, θεωρώ ότι οι θεµελιώδεις λειτουργίες δεν θα µεταβληθούν, ωστόσο το τοπίο της Κυβερνοασφάλειας είναι άρρηκτα συνδεδεµένο µε το τεχνολογικό, συνεπώς οι τεχνολογικές εξελίξεις θα οδηγήσουν σε αντίστοιχες προσαρµογές. Το «παραδοσιακό» µοντέλο on premise έχει ήδη µεταβληθεί λόγω της ολικής ή µερικής µετάβασης σε υπηρεσίες Cloud, οδηγώντας τις αντίστοιχες προσαρµογές σε τεχνολογίες και πρακτικές προστασίας. AI/Machine Learning καθώς και οι τεχνολογίες Container, επίσης θα δώσουν τον τόνο για τα επόµενα χρόνια, τόσο σε επίπεδο ελέγχου χρήσης τους για Επιχειρησιακούς σκοπούς (εφαρµογές IT), όσο και σε επίπεδο χρήσης από την ίδια την Κυβερνοασφάλεια. Σηµαντικό ρόλο θα παίξει επίσης και η αλλαγή του «δόγµατος» ασφάλειας από την λογική της απόλυτης περιφρούρησης περιµέτρου, στην λογική της ανθεκτικότητας (Resilience). Μια αναµενόµενη µετάβαση καθώς η ίδια η περίµετρος έχει µεταβληθεί λόγω του Cloud, ενώ η ανάγκη της ανθεκτικότητας καλλιεργείται συστηµατικά σε Ευρωπαϊκό επίπεδο. Αυτό σηµαίνει ότι Κυβερνοασφάλεια και ΙΤ, δεν θα περιορίζονται στον εντοπισµό, περιορισµό και εξάλειψη µιας απειλής, αλλά πρέπει να είναι σε θέση να εξασφαλίσουν ότι η επίπτωση από το περιστατικό δεν θέτει την λειτουργία του οργανισµού σε κίνδυνο.

C Y BER SECU RIT Y • netwee

INTERVIEW

Οι λειτουργίες και οι υποδοµές ασφάλειας είναι ευθύνη του CISO

Αλέξανδρος Μπέλσης

Ο Αλέξανδρος Μπέλσης, Επικεφαλής Τοµέα Ασφάλειας, ∆ΙΑΣ, µιλάει για τη σηµασία της ανάπτυξης µίας κουλτούρας ασφάλειας αλλά και για τους λόγους που αγαπάει τη δουλειά του. Συνέντευξη στην Αγγελική Κορρέ

netweek: Ποιος είναι ο ρόλος του CISO • Συµµόρφωση µε τις απαιτήσεις επίβλεψης του Ευρωσυστήµέσα σε έναν οργανισµό; µατος για τα Συστήµατα Πληρωµών Λιανικής Αλέξανδρος Μπέλσης: Ο ρόλος του CISO είναι • Πιστοποίηση των λειτουργιών της ∆ΙΑΣ µε πρότυπα ασφα-

να διαχειριστεί τους κινδύνους πληροφορικής µε τον πλέον λείας και επιχειρησιακής συνέχειας αποτελεσµατικό τρόπο για έναν οργανισµό διασφαλίζοντας • Υψηλής ποιότητας υπηρεσίες ασφάλειας µε έµφαση στη την αξιοπιστία και την ασφάλεια των τεχνολογικών υπο- συνεχή βελτίωση της ανθεκτικότητας του Συστήµατος Πληδοµών και των λειτουργιών πληροφορικής. Οι βασικές του ρωµών ∆ΙΑΣ έναντι των κυβερνοεπιθέσεων. αρµοδιότητες είναι: • Ανάπτυξη και υλοποίηση κατάλληλων µηχανισµών ασφά- Πώς έχει εξελιχτεί ο ρόλος του CISO λειας τα τελευταία χρόνια; • Έγκαιρη αναγνώριση και αντιµετώπιση απειλών Σήµερα ο CISO είναι ένα ανώτερο στέλεχος που συµβάλ• ∆ιαχείριση οµάδας ασφάλειας λει ουσιαστικά στην επίτευξη των στόχων ενός οργανισµού • Αναφορά σε υψηλά κλιµάκια της ιεραρχίας. συνδυάζοντας εµπειρία και γνώση σε θέµατα τεχνολογίας, Στη ∆ΙΑΣ ο ρόλος του CISO αναφέρεται στο υψηλότερο κυβερνοασφάλειας, νοµικών και κανονιστικών πλαισίων, επίπεδο της εταιρικής διακυβέρνησης, δηλαδή στη ∆ιευθύ- διαχείρισης κινδύνων, εµπορικών και επιχειρησιακών δράνουσα Σύµβουλο. Συµµετέχει στην Εκτελεστική Επιτροπή και σεων. Ως εκ τούτου είναι σηµαντικό να συνδυάζει δεξιότητες, ενηµερώνει ανά τακτά διαστήµατα το ∆ιοικητικό Συµβούλιο εµπειρία και ιδιότητες όπως και την Επιτροπή Ελέγχου. Ειδικότερα, ο ρόλος του CISO • Επαγγελµατική εµπειρία σε θέσεις ευθύνης. • Επαγγελµατικές πιστοποιήσεις. • Άριστη γνώση της πληροφορικής και είναι επιφορτισµένος µε τις εξής αρµοδιότητες:

netwee • C Y BER SECU RIT Υ

των τεχνολογιών ασφάλειας. • Ενασχόληση µε την κοινότητα κυβερνοασφάλειας µέσω συµµετοχών σε συνέδρια, σωµατεία, οµάδες εργασίας, κ.λπ. • Στελέχωση και διατήρηση οµάδας υψηλών επιδόσεων και µετρήσιµων αποτελεσµάτων.

Ποια είναι η µεγαλύτερη πρόκληση στη δουλειά σας;

Η ασφάλεια των τεχνολογικών υποδοµών κάθε οργανισµού είναι µία διαχρονική προτεραιότητα, η οποία αποκτά ολοένα και µεγαλύτερη σηµασία στην εποχή του ψηφιακού µετασχηµατισµού και της αύξησης των προκλήσεων ειδικότερα στον ταχύτατα εξελισσόµενο τοµέα των ηλεκτρονικών πληρωµών. Οι προκλήσεις είναι πολλές, ωστόσο η υιοθέτηση κατάλληλων µηχανισµών ασφαλείας εναρµονισµένων µε την εταιρική στρατηγική και η προσαρµογή αυτών στις ιδιαιτερότητες και στη φύση των λειτουργιών του οργανισµού αποτελεί τη µεγαλύτερη πρόκληση.

Τι αγαπάτε περισσότερο στη δουλειά σας;

Την συνεχή ενασχόληση µε την τεχνολογία, την ενηµέρωση για νέες απειλές και τους τρόπους αντιµετώπισής τους, την αλληλεπίδραση µε στελέχη του κλάδου µέσα από τη συµµετοχή µου σε κέντρα ανταλλαγής πληροφοριών, ευρωπαϊκά συνέδρια και οµάδες εργασίας για τα θέµατα κυβερνοασφάλειας. Επιπλέον, την προσφορά στην κοινωνία, κάτι που αναζητούν οι επαγγελµατίες ασφάλειας από τους εργοδότες τους όπως δείχνει σχετική έρευνα που έχει διενεργήσει το ∆ιεθνές Ινστιτούτο επαγγελµατιών ασφάλειας πληροφοριακών συστηµάτων. Στο πλαίσιο αυτό η ενασχόλησή µου στη ∆ΙΑΣ µε τα θέµατα κυβερνοασφάλειας συνδράµει στην αύξηση της εµπιστοσύνης στη συνδεδεµένη οικονοµία, ενισχύει την ανθεκτικότητα των εγχώριων υποδοµών και προσφέρει σηµαντικά στη διατήρηση της ψηφιακής ασφάλειας.

Ποια είναι τα «συστατικά» µίας κουλτούρας ασφάλειας;

Στη ∆ΙΑΣ δίνουµε ιδιαίτερη έµφαση στη δηµιουργία µιας τέτοιας κουλτούρας µέσω στοχευµένων προγραµµάτων εκπαίδευσης (micro-trainings) σε συνδυασµό µε απροειδοποίητες ασκήσεις ηλεκτρονικού ψαρέµατος στις οποίες συµµετέχει όλο το προσωπικό της εταιρείας. Το περιεχόµενο και το εύρος των δράσεων αυτών τροφοδοτούνται από τις προσπάθειες κυβερνοεπιθέσεων που έχουµε καταγράψει από το πρόσφατο παρελθόν και από τις πληροφορίες που λαµβάνουµε καθηµερινά µέσω της συµµετοχής µας σε information security arrangements και cyber threat intelligence feeds, ειδικά όσον αφορά τα θέµατα κυβερνοασφάλειας στον τραπεζικό κλάδο. Ένα επιπλέον στοιχείο που έχει συνδράµει σηµαντικά στη δηµιουργία της κουλτούρας ασφάλειας είναι η συµµετοχή της ∆ΙΑΣ σε προγράµµατα πιστοποιήσεων επί 9 συναπτά έτη για τα πρότυπα ασφάλειας και επιχειρησιακής συνέχειας ISO 27001, ISO 22301 και PCI DSS.

Ποιες είναι κάποιες από τις πλέον επιτυχηµένες πρωτοβουλίες σας ως CISO;

• Το καθορισµένο πλαίσιο λειτουργίας της οµάδας ασφάλειας πληροφοριακών συστηµάτων ως προς την αποστολή, το όραµα, το κανονιστικό πλαίσιο, τις νοµικές απαιτήσεις

και τις αρµοδιότητες. • Η εξωστρέφεια, µε την συµµετοχή σε διεθνή φόρα, οµάδες εργασίας και κέντρα ανταλλαγής πληροφοριών σε θέµατα κυβερνοασφάλειας. • Οι επενδύσεις σε νέα συστήµατα, τεχνολογίες αιχµής και µεθόδους διενέργειας δοκιµών παρείσδυσης. • Η συνεχής εκπαίδευση του προσωπικού και η διεύρυνση των επαγγελµατικών πιστοποιήσεων της οµάδας. • Η έρευνα σε αναδυόµενες τεχνολογίες και η εσωτερική ανάπτυξη εργαλείων και διαδικασιών για την υποστήριξη των λειτουργιών κυβερνοασφάλειας.

Ποια είναι τα διδάγµατα που έχετε πάρει από τον ρόλο σας ως CISO;

Το διάστηµα που εργαζόµουν σε τράπεζα του εξωτερικού, είχα συµµετάσχει µεταξύ άλλων, σε ένα 2ήµερο εσωτερικό σεµινάριο στο οποίο εισηγητής ήταν ο CISO των µυστικών υπηρεσιών των ΗΠΑ. Είχε µόλις συνταξιοδοτηθεί και προσέφερε συµβουλευτικές υπηρεσίες ασφάλειας σε µεγάλους οργανισµούς και εταιρείες πληροφορικής. Εκεί επιβεβαιώθηκε µια από τις σηµαντικότερες προκλήσεις για τις αρµοδιότητες ενός CISO, ότι δηλαδή «οι λειτουργίες και οι υποδοµές ασφάλειας αποτελούν αναπόσπαστο µέρος της οµάδας ασφάλειας και θα πρέπει εµπίπτουν στην ευθύνη του CISO». Η προσέγγιση αυτή εφαρµόζεται στη ∆ΙΑΣ τα τελευταία 4 έτη, βελτιώνοντας σηµαντικά τον σχεδιασµό της στρατηγικής κυβερνοασφάλειας, την υλοποίηση κατάλληλων µηχανισµών ασφαλείας, την συνεργασία µε την Πληροφορική και τις υπόλοιπες επιχειρησιακές µονάδες της εταιρείας.

Τι πιστεύετε για τον ρόλο του ΑΙ και του machine learning στην κυβερνοασφάλεια;

Αναµφισβήτητα η τεχνητή νοηµοσύνη (artificial intelligence) και η µηχανική εκµάθησης (machine learning) βοηθούν σηµαντικά στην αυτοµατοποίηση εργασιών και στην εξοικονόµηση πόρων. Ήδη οι τεχνολογίες αυτές έχουν ενσωµατωθεί σε συστήµατα και υποδοµές ασφάλειας που χρησιµοποιεί η ∆ΙΑΣ τα τελευταία χρόνια. Ωστόσο, τίθενται ερωτήµατα σχετικά µε την ικανότητα εκτέλεσης σύνθετων εργασιών, ιδιαίτερα δε µε την εµφάνιση του OpenAI και του ChatGPT. Σήµερα οι οµάδες ασφάλειας αναλύουν τους κινδύνους που µπορεί να επιφέρει η ενσωµάτωση εργαλείων όπως το ChatGPT στις λειτουργίες ενός οργανισµού. Επίσης, χώρες στην Ευρώπη έχουν απαγορεύσει τη χρήση του και εξετάζουν πιθανές επιπτώσεις στον κανονισµό για τα προσωπικά δεδοµένα, ενώ ιδιωτικοί φορείς προτείνουν µια παύση στην αχαλίνωτη χρήση του νέου αυτού εργαλείου µε σκοπό να µεσολαβήσει ένα διάστηµα διερεύνησης των κινδύνων που επιφέρει στη βιοµηχανία της πληροφορικής.

Πώς εκτιµάτε ότι θα έχει αλλάξει το τοπίο της κυβερνοασφάλειας τα επόµενα χρόνια;

Τα επόµενα χρόνια οι εξελίξεις α) στο υπολογιστικό νέφος, β) στο ΑΙ, γ) στην µηχανική εκµάθηση και δ) στην κβαντική φυσική µε την κατασκευή κβαντικών υπολογιστών θα διαµορφώσουν το τοπίο της κυβερνοασφάλειας. Πρωταγωνιστικό ρόλο θα έχουν οι εταιρείες τεχνολογίας που δαπανούν σήµερα σηµαντικούς πόρους στην έρευνα, την ανάπτυξη και την εµπορική χρήση των παραπάνω.

C Y BER SECU RIT Y • netwee

Η ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ ΑΠΑΙΤΕΙ ΟΛΙΣΤΙΚΕΣ ΠΡΟΣΕΓΓΙΣΕΙΣ ΚΑΙ ΠΡΟΗΓΜΕΝΕΣ ΤΕΧΝΟΛΟΓΙΕΣ O Χρήστος Χριστόπουλος, IT Business Development Manager, QUALCO, µιλάει για τις νέες προκλήσεις στον τοµέα της κυβερνοασφάλειας και παρουσιάζει την πρόταση αξίας της Qualco και το χαρτοφυλάκιο των λύσεων της.

Advertorial

netweek: Πώς διαµορφώνεται το τοπίο της ασφάλειας πληροφοριών και συστηµάτων τα τελευταία χρόνια; Ποιες είναι οι τάσεις και οι σηµαντικότερες προκλήσεις του χώρου; Χρήστος Χριστόπουλος:

Το τοπίο της ασφάλειας δεδοµένων και πληροφοριακών συστηµάτων έχει εξελιχθεί σηµαντικά τα τελευταία χρόνια, καλώντας τις επιχειρήσεις να διαµορφώσουν ολοκληρωµένες στρατηγικές ασφαλείας. Για να παραµείνουν ενηµερωµένες για τις τεχνολογικές εξελίξεις, τις αναδυόµενες απειλές και τη διαφύλαξη της ασφάλειας των ψηφιακών δεδοµένων τους, οι εταιρείες πρέπει να επενδύσουν σε κατάλληλα εργαλεία, συνεχή εκπαίδευση και εξειδικευµένο προσωπικό. Οι σύγχρονες υποδοµές πληροφορικής, συµπεριλαµβανοµένων του cloud και edge computing και των συσκευών Internet of Things (IoT), δη-

netwee • C Y BER SECU RIT Y

µιουργούν νέες προκλήσεις. Σε αυτό συµβάλλει και η αυξηµένη υιοθέτηση του µοντέλου της αποµακρυσµένης εργασίας, που καθιστά δύσκολη την ασφαλή πρόσβαση σε αρχεία και δεδοµένα. Επιπλέον, η µεταφορά δεδοµένων και εφαρµογών στο cloud απαιτεί την ενίσχυση της ασφάλειας για την προστασία του ψηφιακού περιβάλλοντος. Παράλληλα, η αύξηση των κυβερνοεπιθέσεων, των παραβιάσεων δεδοµένων, των επιθέσεων ransomware και του Social Engineering - συµπεριλαµβανοµένου του phishing, υπογραµµίζουν την ανάγκη για ισχυρά µέτρα ασφαλείας. Την ίδια στιγµή, αυξάνεται η υιοθέτηση του µοντέλου Zero Trust, που εστιάζει στη συνεχή επαλήθευση της ταυτότητας των χρηστών και την παροχή περιορισµένης πρόσβασης σε ψηφιακά περιβάλλοντα. Επιπλέον, οι κυβερνήσεις και οι ρυθµιστικοί φορείς του κλάδου επιβάλλουν ολοένα και αυστηρότερα µέτρα κυβερνοασφάλειας.

Σηµαντική πρόκληση αποτελεί και η συµµόρφωση µε κανονισµούς απορρήτου όπως οι GDPR και CCPA, που έχουν δώσει µεγάλη έµφαση στην προστασία των δεδοµένων και της ιδιωτικής ζωής. Ιδιαίτερης σηµασίας είναι και η έλλειψη εξειδικευµένων επαγγελµατιών στον τοµέα της κυβερνοασφάλειας, γεγονός που καθιστά δύσκολη τη στελέχωση εταιρικών οµάδων που ασχολούνται µε τη ψηφιακή ασφάλεια. Τέλος, η συνεργασία µεταξύ των οργανισµών και η ανταλλαγή πληροφοριών αποτελούν κλειδί για την έγκαιρη ανίχνευση και αντιµετώπιση απειλών στον κυβερνοχώρο.

Ποια η εξειδίκευση και η πρόταση αξίας της εταιρείας στον κρίσιµο τοµέα της ασφάλειας; Τι περιλαµβάνει το χαρτοφυλάκιο των λύσεων σας και ποιο είναι το ανταγωνιστικό σας πλεονέκτηµα;

Για περισσότερα από 20 χρόνια, στην QUALCO αξιοποιούµε τις δυνατότητες της τεχνητής νοηµοσύνης για τον σχεδιασµό µίας ευρείας γκάµας λύσεων και υπηρεσιών τεχνολογίας. Στον τοµέα των IT Services, προσφέρουµε καινοτόµες υπηρεσίες που προωθούν την ουσιαστική ανάπτυξη των επιχειρήσεων. Η εξειδικευµένη οµάδα επαγγελµατιών µας διαµορφώνει την υποδοµή πληροφορικής των πελατών µας µέσω προηγµένων ψηφιακών τεχνολογιών, διασφαλίζοντας την ασφάλειά τους στο κυβερνοχώρο. Παρέχουµε λύσεις πληροφορικής προσαρµοσµένες στις µοναδικές ανάγκες µικρών, µεσαίων και µεγάλων επιχειρήσεων σε πληθώρα κλάδων όπως η ναυτιλία, οι τηλεπικοινωνίες, ο χρηµατοπιστωτικός, και η ενέργεια. Σε συνεργασία µε κορυφαίους φορείς όπως η Check Point, η Qualys, η Fortinet και άλλοι, εξυπηρετούµε τις ανάγκες ενός απαιτητικού, παγκόσµιου πελατολογίου και χτίζουµε µακροχρόνιες συνεργασίες και σχέσης εµπιστοσύνης. Οι λύσεις µας εξοπλίζουν τους πελάτες µας ενάντια σε πιθανές απειλές, βοηθώντας τους να παρέχουν µια απρόσκοπτη, ασφαλή, ευέλικτη εργασιακή εµπειρία. Από υποδοµές δικτύου και cloud λύσεις έως συµβουλευτικές υπηρεσίες, βοηθούµε επιχειρήσεις να ανταπεξέλθουν στις σύγχρονες προκλήσεις, προσαρµόζοντας διαρκώς τα προϊόντα µας για να καλύπτουµε το ευρύ φάσµα των αναγκών τους. Ακολουθώντας µια vendor agnostic προσέγγιση, εστιάζουµε στη χρήση των κατάλληλων υποδοµών για τον εκσυγχρονισµό του ψηφιακού περιβάλλοντος των πελατών µας. Στο πεδίο της ασφάλειας τελικών σηµείων, είµαστε σε θέση να παρέχουµε προστασία και ευέλικτη διαχείριση των σταθµών εργασίας και των φορητών συσκευών, αντιµετωπίζοντας εξωτερικές απειλές όπως τα ransomware. Σε ό,τι αφορά το Firewalling, χρησιµοποιούµε προηγµένες τεχνολογίες για τη διασφάλιση όλων των επιπέδων δικτύου - από τις φυσικές εγκαταστάσεις έως το cloud - ενισχύοντας επιπλέον την ασφάλεια των εφαρµογών. Ιδιαίτερη έµφαση δίνουµε και στην προστασία των δεδοµένων των πελατών µας, µέσω της εφαρµογής αποτρεπτικών µηχανισµών διαρροής πληροφοριών. Την ίδια στιγµή, δίνουµε τη δυνατότητα ταυτοποίησης χρηστών

µε λύσεις ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA - Μultifactor Authentication) και εφαρµογή VPN (Virtual Private Network). Τέλος, µέσω της Network Access Control λύσης µας, επιτρέπουµε τον έλεγχο και τη διαχείριση της πρόσβασης χρηστών και συσκευών σε κάθε εταιρικό δίκτυο.

Τι πιστεύετε ότι πρέπει να περιµένουµε στο µέλλον στο κρίσιµο ζήτηµα της ψηφιακής ασφάλειας;

Το µέλλον της κυβερνοασφάλειας αναµένεται να σηµατοδοτηθεί τόσο από τις τεχνολογικές εξελίξεις, όσο και από τις αναδυόµενες απειλές στον κυβερνοχώρο. Τεχνολογίες όπως η τεχνητή νοηµοσύνη και το machine learning

Χρήστος Χριστόπουλος

θα επηρεάσουν σηµαντικά την αντιµετώπιση των κυβερνοαπειλών, κυρίως µέσω της ανάλυσης πληθώρας δεδοµένων για τον εντοπισµό ανωµαλιών και την δυνατότητα ανταπόκρισης σε πραγµατικό χρόνο. Παράλληλα, µε την άνοδο του Quantum computing, δίνεται στις εταιρείες η δυνατότητα να υιοθετήσουν κβαντικές µεθόδους κρυπτογράφησης για την προστασία των δεδοµένων τους από επιθέσεις, ενώ η αυτοµατοποίηση των διαδικασιών ασφαλείας αναµένεται να βοηθήσουν τους οργανισµούς να ανταποκριθούν στις απειλές µε ταχύτητα και αποτελεσµατικότητα. Οι εταιρείες θα πρέπει να δώσουν έµφαση σε µια κουλτούρα ασφαλείας, καθιστώντας την ευαισθητοποίηση και την εκπαίδευση των εργαζοµένων τους στην κυβερνοασφάλεια αναπόσπαστο µέρος των δραστηριοτήτων τους. Εργαλεία όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και ο βιοµετρικός έλεγχος ταυτότητας µπορούν να ενδυναµώσουν την ταυτοποίηση των

χρηστών και να ελέγξουν τα δικαιώµατα πρόσβασης. Παράλληλα, οι εταιρείες θα πρέπει να ενηµερώνονται διαρκώς για νέους κανονισµούς και να συµµορφώνονται ανάλογα, για την αποφυγή νοµικών και οικονοµικών επιπτώσεων. Ένας άλλος τοµέας που επίσης αναµένεται να εξελιχθεί, είναι η αγορά ασφάλισης στον κυβερνοχώρο η οποία µπορεί να προσφέρει οικονοµική προστασία σε περίπτωση επιθέσεων. Μεγάλη προσοχή θα πρέπει να δοθεί και στην ασφάλεια των εταιρικών αλυσίδων εφοδιασµού για την αποτροπή επιθέσεων που προέρχονται από τρίτους προµηθευτές ή συνεργάτες, ενώ η ζωντανή παρακολούθηση δικτύων και εφαρµογών θα είναι ζωτικής σηµασίας για τη άµεση απόκριση σε απειλές. Αναµένουµε µε τη διάδοση τεχνολογιών όπως το 5G, το IoT και της τεχνητής νοηµοσύνης να επέλθει και αύξηση των κυβερνοαπειλών, καθιστώντας επιτακτική την ανάγκη έγκαιρης προφύλαξης. Παράλληλα, απαιτούνται επενδύσεις στην κατάρτιση και την ανάπτυξη των εσωτερικών οµάδων κυβερνοασφάλειας ή και ανάθεση σχετικών λειτουργιών σε εξωτερικούς παρόχους υπηρεσιών ασφάλειας (MSSP). Κλείνοντας, το σύγχρονο ψηφιακό περιβάλλον και οι προκλήσεις που αυτό συνεπάγεται καλούν τις επιχειρήσεις να διαµορφώσουν ολοκληρωµένα σχέδια πρόληψης και αντιµετώπισης των κυβερνοεπιθέσεων. Μόνο η υιοθέτηση µίας ολιστικής προσέγγισης, που περιλαµβάνει την επένδυση σε προηγµένες τεχνολογίες, την εκπαίδευση των εργαζοµένων και την ανταλλαγή πληροφοριών για απειλές, µπορεί να εξοπλίσει τους οργανισµούς µε τα κατάλληλα εφόδια για τη διαφύλαξη της ασφάλειας των δεδοµένων τους στον σύγχρονο, δυναµικό, και συνεχώς εξελισσόµενο ψηφιακό χώρο. INFO Λεωφ. Κηφισίας 66, Μαρούσι ΤΚ 151 25 Τ: 21 0619 8903 E: info@qualco.eu W: https://www.qualco-its.eu/

C Y BER SECU RIT Y • netwee

INTERVIEW

Χρειαζόµαστε κουλτούρα ασφάλειας που στηρίζει τους ανθρώπους

Θοδωρής Στανηµεράκης

Ο Θοδωρής Στανηµεράκης, Cyber Security Platforms Manager, Coca Cola Hellenic Bottling Company, εξηγεί ότι η κουλτούρα ασφάλειας χτίζεται σταδιακά και απαιτεί δέσµευση από τη διοίκηση αλλά και επιµονή από την αρµόδια οµάδα, ενώ επισηµαίνει και την ανάγκη οι επαγγελµατίες του cyber security θα πρέπει να ηγηθούν των εξελίξεων σε ότι αφορά το ΑΙ. Συνέντευξη στην Αγγελική Κορρέ

netweek: Τα τελευταία χρόνια µιλάµε για την ανάγκη καλλιέργειας µίας κουλτούρας ασφάλειας στους οργανισµούς. Ποια είναι τα «συστατικά» µίας τέτοιας κουλτούρας; Θοδωρής Στανηµεράκης: Συχνά δεν γίνεται

αµέσως κατανοητή η ανάγκη της ψηφιακής ασφάλειας από όλους τους εργαζόµενους. Αυτό συµβαίνει διότι, στα µάτια τους, οι απαιτήσεις ασφάλειας είναι άλλο ένα εµπόδιο στην παραγωγικότητά τους και άλλη µια δυσάρεστη αλλαγή στον τρόπο που έχουν συνηθίσει να εργάζονται. Για να µην γίνονται αυτοµάτως δυσάρεστες οι ενέργειες

netwee • C Y BER SECU RIT Υ

ψηφιακής διασφάλισης, απαιτείται ισχυρή δέσµευση -όχι µόνο από το εκάστοτε αρµόδιο τµήµα (cyber security/ IT)- αλλά κυρίως την ηγεσία της εταιρείας ή του οργανισµού, γεγονός απαραίτητο για οποιαδήποτε διαµόρφωση εταιρικής κουλτούρας. Στην εργασιακή καθηµερινότητα, συναντάµε συχνά αντιρρήσεις και αιτήµατα εξαιρέσεων από τα θεσπισµένα µέτρα προστασίας. Σε κανέναν δεν αρέσει να µην µπορεί να χρησιµοποιεί ελεύθερα USB ή όποιες υπηρεσίες διαµοιρασµού αρχείων θέλει, να χρειάζεται 2-factor και multi-factor authentication ενώ µέχρι πρότινος είχε µόνο

username και password, ακόµα και να πρέπει να αλλάζει συχνά αυτό το password, το οποίο απαιτείται να είναι σύνθετο, µε κεφαλαία και µικρά γράµµατα, νούµερα και ειδικούς χαρακτήρες. Αυτή η ενόχληση, όµως, προκύπτει από την άγνοια κινδύνου. Η λύση σε αυτό είναι η τακτική επιµόρφωση του προσωπικού για τους υπαρκτούς κινδύνους, η οποία θα είναι προσαρµοσµένη στις ανάγκες των εργαζόµενων αλλά και στο γενικότερο πλαίσιο λειτουργίας της εταιρείας. Για παράδειγµα, θα µπορούσε να υλοποιηθεί παρουσιάζοντας πραγ µατικά πρόσφατα παραδείγµατα από εταιρείες που έχουν πληγεί και τους τρόπους προστασίας από τις γνωστές απειλές. Θα πρέπει να εξηγείται κατανοητά η χρησιµότητα κάθε «απαγόρευσης» και µέτρου ασφάλειας. Άλλοι τρόποι ευαισθητοποίησης είναι να γίνονται παρουσιάσεις στο προσωπικό, Cyber Security Awareness Month -συνήθως τον Οκτώβριο- µε επιµορφωτικά βίντεο και κουίζ, antiphishing campaigns, ενηµερωτικά email και άλλες σχετικές δράσεις. Είναι σηµαντικό να αξιολογείται κάθε φορά το κατάλληλο µέσο, καθώς δεν υπάρχει πανάκεια και ενδεχοµένως κάποιες ενέργειες να έχουν τα αντίθετα αποτελέσµατα όταν δεν εκτελεστούν σωστά ή στο ταιριαστό πλαίσιο. Παραδείγµατος χάριν, έχουν υπάρξει περιστατικά που τα phishing awareness campaigns δηµιούργησαν άγχος και έλλειψη εµπιστοσύνης στους εργαζόµενους, ενώ δεν βελτίωσαν σηµαντικά την άµυνα του οργανισµού στις επιθέσεις . Η κουλτούρα ασφάλειας χτίζεται σταδιακά και είναι αναµενόµενο να υπάρχουν εµπόδια και αντίσταση. Εκτός από τη δέσµευση της ηγεσίας θα χρειαστεί επιµονή της οµάδας που θα αναλάβει τη µετάβαση, ειλικρίνεια, προσαρµογή στις καταστάσεις, εφευρετικότητα, αµεσότητα και πνεύµα προσφοράς. Θέλουµε να δηµιουργήσουµε µια κουλτούρα ασφάλειας που στηρίζει όλους τους ανθρώπους και την εταιρεία, όχι µια κουλτούρα φόβου και υπακοής σε ακατάληπτους κανόνες.

και παρέµβαση. Από τότε µέχρι σήµερα έχουν αναδυθεί και αρκετές υποκατηγορίες της τεχνητής νοηµοσύνης, όπως το deep learning και το machine learning , που ήδη έχουν εφαρµογή στο cyber security µε λειτουργίες όπως την ανίχνευση εισβολών, ανωµαλιών, τρωτών σηµείων, phishing, malware και άλλων. Καθώς η τεχνητή νοηµοσύνη δεν είναι στατική και πρόκειται για µια, πλέον, ραγδαίως αναπτυσσόµενη τεχνολογία, αναπόφευκτα περιοριζόµαστε όλοι σε εικασίες και προβλέψεις για την εξέλιξή της βάσει των όσων έχουµε δει µέχρι σήµερα. Είναι γνωστό πως οτιδήποτε νέο τείνει να προκαλεί ανησυχία, πόσο µάλλον όταν πρόκειται για κάτι που έχει πρωταγωνιστήσει σε γνωστές δυστοπικές ταινίες επιστηµονικής φαντασίας ως εχθρός της ανθρωπότητας. Και όχι εντελώς άδικα, µιας και το Artificial Intelligence µπορεί να υπόσχεται πολλά και ήδη έχει εφαρµογή σε πολλούς κλάδους, παράλληλα, όµως, αποτελεί εργαλείο προς δυνητική εκµετάλλευση. Επί παραδείγµατι, στις θετικές εφαρµογές της τεχνητής νοηµοσύνης καταλογίζεται η διευκόλυνση των security analysts όσον αφορά την αυτοµατοποίηση του εντοπισµού των ψευδώς θετικών αποτελεσµάτων σε πιθανές απειλές, πράγµα που τους ελευθερώνει χρόνο για εργασίες µεγαλύτερης προστιθέµενης αξίας. Στον αντίποδα, µια πιθανή αρνητική συνέπεια της χρήσης του AΙ είναι η διαρροή εµπιστευτικών δεδοµένων που οι εργαζόµενοι παρέχουν στο εργαλείο µε σκοπό την επεξεργασία τους. Εποµένως, χρειάζεται προσεκτικό φιλτράρισµα των δεδοµένων που εισάγονται, ειδικά όταν πρόκειται για ευαίσθητα ή εµπιστευτικά. Πρωταρχικός στόχος των επαγγελµατιών του cyber security είναι να βρεθούµε ηγέτες των εξελίξεων και να εφαρµόσουµε πρώτοι µηχανισµούς προστασίας για µελλοντικές επιθέσεις υποβοηθούµενες από τεχνητή νοηµοσύνη, αλλά ταυτόχρονα να αξιοποιούµε τα οφέλη του AI για την παραγωγικότητά µας. Σύµφωνα µε το World Economic Forum , το 75% των εταιρειών επιθυµούν να ενσωµατώσουν την τεχνητή νοηµοσύνη στον τρόπο λειτουργίας τους µέχρι το 2027 και οι αναλύσεις της Forrester προβλέπουν ότι οι δαπάνες για την τεχνητή νοηµοσύνη θα διπλασιαστούν από το 2021 στο 2025, φτάνοντας τα $64 δις. Γίνεται αντιληπτό το γεγονός ότι ένα εγχείρηµα τέτοιου βεληνεκούς απαιτεί ενσωµάτωση του cyber security στον σχεδιασµό (security-by-design) και όχι απόπειρες προσθήκης µέτρων ασφαλείας κατόπιν εορτής. Οι επαγγελµατίες της κυβερνοασφάλειας καλούνται να έχουν πρωταγωνιστικό ρόλο στην ανάπτυξη της στρατηγικής ενσωµάτωσης του AI, στον προγραµµατισµό διαχείρισης ρίσκου, στις εφαρµογές και τους τρόπους χρήσης, αλλά και στην εξέλιξη του γενικότερου πλαισίου λειτουργίας που έπεται.

Στόχος των επαγγελµατιών του cyber security είναι να εφαρµόσουµε πρώτοι µηχανισµούς προστασίας για µελλοντικές επιθέσεις υποβοηθούµενες από ΑΙ

Τι πιστεύετε για τον ρόλο του ΑΙ και του machine learning στην κυβερνοασφάλεια;

Παρότι δεν υπάρχει ένας µοναδικός κοινά αποδεκτός ορισµός της τεχνητής νοηµοσύνης , θα µπορούσαµε να πούµε µε απλά λόγια ότι είναι η προσοµοίωση της ανθρώπινης νοηµοσύνης σε µηχανήµατα. Ως όρος δεν είναι κάτι εντελώς νέο, καθώς επινοήθηκε από τον καθηγητή του Stanford University, John McCarthy, το 1955 µε τον αρχικό ορισµό “η επιστήµη και µηχανική κατασκευής ευφυών µηχανών” . Πολλά έχουν αλλάξει από τότε και πλέον, όταν µιλάµε για AI, εννοούµε την προσοµοίωση της ανθρώπινης νοηµοσύνης από µηχανές µε τρόπο που εκτελούν εργασίες, προσαρµόζονται, µαθαίνουν και παράγουν έργο που µέχρι πρότινος χρειαζόταν την ανθρώπινη σκέψη

C Y BER SECU RIT Y • netwee

INTERVIEW

Η κυβερνοασφάλεια είναι στην κορυφή των εταιρικών προτεραιοτήτων

Σταυρούλα Καραγιάννη

Η Σταυρούλα Καραγιάννη, CISO - Chief Information Security Officer & Head of Protection & Resilience, Allianz Ελλάδος & Κύπρου, εξηγεί πώς ο σύγχρονος CISO καλείται να διασφαλίσει την κυβερνοασφάλεια επιτρέποντας ταυτόχρονα την ανάπτυξη καινοτοµίας. Συνέντευξη στην Αγγελική Κορρέ

netweek: Ποιος είναι ο ρόλος σας (ο ρόλος του CISO) µέσα σε έναν οργανισµό και ποιες είναι οι βασικές αρµοδιότητές σας; Σταυρούλα Καραγιάννη: Ο ρόλος του CISO

από την ενίσχυση της εσωτερικής ευαισθητοποίησης του οργανισµού και της εκπαίδευσης πάνω σε θέµατα ασφάλειας στον κυβερνοχώρο • ∆ιαθέτει αντίληψη για την αναγνώριση πιθανών κινδύνων. βασίζεται στην ηγεσία και την καθοδήγηση στην ασφά- Έχει την ικανότητα να σκέφτεται µπροστά και να εντοπίζει λεια στον κυβερνοχώρο – ένα θέµα υψηλής σηµασίας κινδύνους και ευκαιρίες σε νέες τεχνολογικές τάσεις, όπως τόσο για τις επιχειρήσεις όσο και για τους stakeholders. οι ψηφιακές πληρωµές, η τεχνολογία cloud και AI κ.λπ. Αυτό το επίπεδο ηγεσίας υπερβαίνει την απλή διαχείριση άλλων. Ο CISO πρέπει να δώσει το παράδειγµα, είναι ο Πώς έχει εξελιχτεί ο ρόλος του CISO “δηµιουργός” της ανθεκτικότητας και της καινοτοµίας στην τα τελευταία χρόνια; ασφάλεια στον κυβερνοχώρο εντός του οργανισµού. Οι Ο ρόλος του CISO έχει εξελιχθεί σηµαντικά τις τελευταίες επιχειρήσεις και οι stakeholders αναµένουν από το CISO δεκαετίες και αυτή τη στιγµή είναι πιο σηµαντικός από να ευθυγραµµιστεί µε το επιχειρηµατικό όραµα και ταυτό- ποτέ. Αρχικά, o CISO ήταν υπεύθυνος για τις τεχνικές χρονα να επιτρέψει την πρόοδο και τον µετασχηµατισµό. πτυχές της ασφάλειας πληροφοριών, όπως η εφαρµογή Έτσι, οι αρµοδιότητες του CISO είναι να διασφαλίσει ότι firewalls, υλοποίηση συστηµάτων ανίχνευσης εισβολών ,σε έναν συνεχώς ανατρεπτικό κόσµο: και άλλες τεχνολογίες ασφάλειας. Ωστόσο, καθώς οι απει• Προσφέρει µια ολιστική και διορατική προσέγγιση για την λές στον κυβερνοχώρο έγιναν πιο εξελιγµένες, ο ρόλος του εφαρµογή της ασφάλειας των πληροφοριών CISO επεκτάθηκε για να συµπεριλάβει τη διαχείριση κιν• Εξασφαλίζει βραχυπρόθεσµα και µακροπρόθεσµα οφέλη δύνου, τη συµµόρφωση και την απόκριση σε περιστατικά.

netwee • C Y BER SECU RIT Y

ΤΟ INDUSTRY 4.0 ΑΠΑΙΤΕΙ ΝΕΟ ΠΑΡΑ∆ΕΙΓΜΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ Οι σηµαντικές ευκαιρίες που φέρνει το Industry 4.0 και ο ψηφιακός µετασχηµατισµός, ακολουθείται από µεγάλες προκλήσεις στον τοµέα της κυβερνοασφάλειας, στις οποίες οι οργανισµοί καλούνται να ανταποκριθούν. Ο ψηφιακός µετασχηµατισµός και -ειδικά- η υιοθέτηση τεχνολογικών και επιχειρησιακών µοντέλων Industry 4.0 προσφέρουν σηµαντικές ευκαιρίες σε όλους σχεδόν τους βιοµηχανικούς και παραγωγικούς τοµείς. ∆ηµιουργεί ωστόσο σηµαντικές προκλήσεις για την κυβερνοασφάλεια στη βιοµηχανία, τη ναυτιλία, σε κρίσιµες υποδοµές, και σε άλλους τοµείς που επηρεάζονται από τη διάδοση IoT συσκευών και των λειτουργιών που βασίζονται σε αυτές. Η ραγδαία διάδοση συσκευών IoT και η αυξανόµενη διασύνδεση βιοµηχανικών και συναφών δικτύων (OT/ ICS) µε τα εταιρικά δίκτυα αυξάνουν µε ταχύτατους ρυθµούς τις κυβερνοεπιθέσεις. Οι κυβερνοεπιθέσεις γίνονται ολοένα πιο επικίνδυνες, µε την έννοια ότι µπορούν πλέον να προκαλέσουν σηµαντική οικονοµική αλλά και υλική ζηµιά, ειδικά στη βιοµηχανία, τις κρίσιµες υποδοµές, και σε συναφείς τοµείς που αξιοποιούν OT/ICS και IoT για την εποπτεία και τον έλεγχο των επιχειρησιακών λειτουργιών. Όσο µάλιστα υιοθετούνται περισσότερες συσκευές και δίκτυα IoT στο edge, σε «έξυπνα κτίρια», στην αυτοκίνηση και σε δεκάδες άλλες εφαρµογές, τόσο µεγαλώνει το οικονοµικό και -ειδικά- το φυσικό ρίσκο.

Advertorial

ΑΝΑΓΚΗ ΓΙΑ ΟΛΙΣΤΙΚΗ ΠΡΟΣΕΓΓΙΣΗ

Η νέα αυτή κατάσταση σηµαίνει ότι πρέπει οι οργανισµοί που βασίζονται σε OT/ICS και σε IoT συσκευές και δίκτυα να υιοθετήσουν ένα ολιστικό παράδειγµα κυβερνοασφάλειας που θα έχει εποπτεία σε όλες τις συσκευές και τα δίκτυα του (IT, OT/ICS, IoT, κ.ο.κ.), θα µπορεί να ανιχνεύει συνεχώς τόσο τις απειλές όσο και τις αλλαγές παρέχοντας πλήρη εικόνα για κάθε λογής δικτύου της επιχείρησης. Η πρώτη -και βασική- πρόκληση για την υιοθέτηση αυτού του νέου µοντέλου είναι η περιορισµένη «ορα-

τότητα» των συσκευών OT και IoT η οποία προκαλεί επικίνδυνα «τυφλά σηµεία» στην κυβερνοασφάλεια ενός οργανισµού. Σε µία πρόσφατη έρευνα της Ponemon λιγότερο από 1 στις 3 εταιρίες δήλωσαν ότι έχουν πλήρη εικόνα ποιες συσκευές OT και IoT έχουν σήµερα στα δίκτυά τους. Το Microsoft Defender for IoT έρχεται να καλύψει τη θεµελιακή πρόκληση της «ορατότητας» των συσκευών OT/ICS και IoT, χάρη στην agentless αρχιτεκτονική του, η οποία διαρκώς ανιχνεύει, κατηγοριοποιεί και παρακολουθεί όλες τις σχετικές συσκευές, σε κάθε IT και OT δίκτυο ενός οργανισµού. Μία δεύτερη θεµελιακή πρόκληση είναι ο δραµατικός ρυθµός µε τον οποίο αυξάνεται η κίνηση δεδοµένων στα εταιρικά και βιοµηχανικά δίκτυα κάθε οργανισµού, ως αποτέλεσµα τόσο της επιταχυνόµενης σύγκλισης δικτύων IT και OT οσο και της σύνδεσης αναρίθµητων συσκευών IoT. Αυτή η αύξηση στην κίνηση δεδοµένων δηµιουργεί σηµαντικά µεγαλύτερο φόρτο εργασίας στις οµάδες κυβερνοασφάλειας των οργανισµών και καθιστά από εξαιρετικά δύσκολο εώς αδύνατο να ανταποκριθούν στις σύγχρονες απειλές χωρίς κατάλληλο αυτοµατισµό και υποστήριξη από προηγµένο λογισµικό. Το Defender for IoT αξιοποιεί προηγµένους αλγόριθµους behavioral analytics για να ανιχνεύει και να εντοπίζει σύγχρονα είδη απειλών που συχνά διαφεύγουν των στατικών indicators of compromise. Οι αλγόριθµοι αυτοί, σε συνδυασµό µε τη συνεχή επικαιροποίηση από την ειδικεύµενη OT/IoT cybersecurity οµάδα της Microsoft (Section 52), επιτρέπουν στις οµάδες ασφαλείας να ανιχνεύουν και να προσδιορίζουν αν µία σύνδεση ή µία σειρά «κινήσεων» είναι ύποπτη, ακόµα και εν µέσω τεραστίων όγκων δεδοµένων.

Και φυσικά υπάρχει µία τρίτη βασική πρόκληση, ήτοι αυτή της κεντρικής οριζόντιας εποπτείας και αντιµετώπισης προηγµένων «υβριδικών» απειλών που «κινούνται» µεταξύ δικτύων IT, OT και IoT, δρώντας στα τυφλά σηµεία που δηµιουργούν τα επιχειρησιακά και συστηµικά σιλό µέσα στους οργανισµούς. Κι εδώ το Microsoft Defender for IoT έρχετει να προσφέρει «out of the box» συνεργασία µε τις λύσεις XDR/SIEM της Microsoft, και άλλων εταιριών, όπως της IBM, της ServiceNow, και άλλων, ώστε να παρέχεται πλήρης εικόνα και προστασία για τα endpoints, τις εφαρµογές και το identity management ενός οργανισµού. Το Defender for IoT υποστηριζει το σύνολο των ευρέως διαδεδοµένων συστηµάτων SCADA/OT/ICS έχοντας µεγάλο αριθµό εγκαταστάσεων παγκοσµίως. Η ADAPTERA ξεκίνησε την συνεργασία της µε την CyberX το 2020 και συνεχίζει ως ειδικευµένος συνεργάτης στο Microsoft Defender for IoT από το 2020 και, ως µέρος του οµίλου της Performance Technologies, διαθέτει ειδίκευση τόσο στο Azure Cloud Security όσο και στο Azure Threat Protection. Επιπλέον έχει µακροχρόνια εµπειρία σε έργα κυβερνοασφάλειας που βασίζονται σε network visibility και performance monitoring. INFO Τ: 2177770188 E: info@adaptera.gr W: https://www.adaptera.gr

C Y BER SECU RIT Y • netwee

INTERVIEW

Με τον πολλαπλασιασµό των ψηφιακών τεχνολογιών και ο οργανισµός θα είναι πολύ πιο έτοιµος να αντιµετωπίσει την αυξανόµενη συχνότητα των επιθέσεων στον κυβερνο- τις επιπτώσεις γρήγορα και αποτελεσµατικά. Μερικά ενχώρο, οι εταιρείες όλων των µεγεθών αναγνωρίζουν την δεικτικά βήµατα που βοηθούν να καλλιεργηθεί αυτή η ανάγκη για έναν αφοσιωµένο επαγγελµατία ασφάλειας κουλτούρα είναι τα εξής: πληροφοριών για να επιβλέπει τις προσπάθειές τους για • Προώθηση της καλής «υγιεινής» και ασφάλειας την προστασία των δεδοµένων, να αναπτύσσει και να εφαρ- στον κυβερνοχώρο από την κορυφή προς τα κάτω. Για να έχει πραγµατικά αντίκτυπο, η καλή πρακτική και µόζει µια ολοκληρωµένη στρατηγική ασφάλειας για τον οργανισµό, να παραµένει ενηµερωµένος σχετικά µε τις ασφάλεια στον κυβερνοχώρο θα πρέπει να προέρχεται πιο πρόσφατες τεχνολογίες και βέλτιστες πρακτικές και από το C-level και να προωθείται προς τους υπόλοιπους εργαζοµένους . να εκπαιδεύει τους εργαζοµένους σχετικά µε τα κατάλληλα πρωτόκολλα ασφαλείας. • Η συνεπής επικοινωνία είναι το κλειδί. Ο CISO χρειάζεται να προσφέρει την επεξήγηση τι διακυβεύεται στους Ποια είναι η µεγαλύτερη πρόκληση υπόλοιπους εργαζοµένους µε όρους που είναι κατανοητοί στη δουλειά σας; από όλους. Ο CISO χρειάζεται καθηµεΟ ρόλος του CISO δεν είναι χωρίς προρινά να δίνει απαντήσεις στα πιο συκλήσεις. Από τη διαχείριση πολύπλοχνά ερωτήµατα όπως: «Γιατί πρέπει η κων τεχνικών συστηµάτων έως την κυβερνοασφάλεια να έχει σηµασία για διαχείριση και συµµόρφωση µε πολύκάθε εργαζόµενο; Πώς επηρεάζει άµεπλοκα κανονιστικά και νοµικά πλαίσια, σα τόσο το προσωπικό απόρρητο όσο ο CISO αναµένεται να είναι ηγέτης σε και τα δεδοµένα πελατών;» ακόµη και όλες τις πτυχές της ασφάλειας πληεάν το έκανε µόλις την προηγούµενη ροφοριών. Μία από τις µεγαλύτερες µέρα, ώρα και λεπτό. Η επίπληξη στους προκλήσεις είναι το συνεχώς εξελισεργαζοµένους ότι κάνουν τα πράγµατα σόµενο τοπίο απειλών. Οι εγκληµατίες λάθος δεν οδηγεί πουθενά. Η καλλιτου κυβερνοχώρου γίνονται πιο εξελιγέργεια της κουλτούρας ασφάλειας µένοι και προσαρµόζουν τις τακτικές χρειάζεται να αντιµετωπιστεί ως µια τους γρήγορα, καθιστώντας δύσκολο καµπύλη µάθησης και να οικοδοµηθεί για τους οργανισµούς να παραµείνουν µπροστά στη µάχη πάνω στην αµοιβαία εµπιστοσύνη. της ασφάλειας πληροφοριών. Ο CISO πρέπει να είναι σε • Απλή διαδικασία αναφοράς περιστατικών. Ενώ η θέση να προβλέπει και να προετοιµάζεται για νέες απειλές τεχνική παρακολούθηση µπορεί να αναγνωρίσει ανωµακαθώς αυτές εµφανίζονται ή ακόµη πριν καν εµφανιστούν! λίες, οι άνθρωποι µπορούν να λειτουργήσουν ως σύστηµα έγκαιρης προειδοποίησης και να εντοπίσουν διαισθητικά Τι αγαπάτε περισσότερο κάτι που φαίνεται ασυνήθιστο. Η διασφάλιση της ύπαρξης στη δουλειά σας; µιας απλής διαδικασίας για τους εργαζοµένους να αναΤο υψηλό επίπεδο ικανοποίησης που λαµβάνω κατά την φέρουν περιστατικά ακόµη και εάν είναι “false – positive” καθηµερινή µου εργασία. Οι CISO είναι σηµαντικοί για µπορεί να εξοικονοµήσει στον οργανισµό τεράστιο χρόνο τον καθορισµό ενός οράµατος και στρατηγικής για την και χρήµα. ασφάλεια στον κυβερνοχώρο. Επιπλέον, αποτελούν τον «οδηγό» για την υλοποίηση ενεργειών για τη µείωση του Πώς εκτιµάτε ότι θα έχει αλλάξει ενδεχόµενου κινδύνου ασφάλειας πληροφοριών του ορ- το τοπίο της κυβερνοασφάλειας γανισµού. Λαµβάνοντας υπόψιν τα ανωτέρω και ταυτό- τα επόµενα 5-10 χρόνια; χρονα συνεκτιµώντας ότι οι συνέπειες από παραβιάσεις Η κυβερνοασφάλεια έχει ανέβει στην κορυφή των εταιριδεδοµένων ή άλλα περιστατικά µπορεί να είναι τεράστιες κών προτεραιοτήτων, καθώς οι επιχειρήσεις συνεχίζουν για έναν οργανισµό, το να µπορείς να παρέµβεις και να να αντιµετωπίζουν τις απειλές στον κυβερνοχώρο. Μία θωρακίσεις ανθρώπους και οργανισµούς από αυτά είναι από τις µεγαλύτερες τάσεις που θα οδηγήσουν το µέλλον εξαιρετικά ικανοποιητικό. Ως εκ τούτου, πιστεύω ότι οι πε- της κυβερνοασφάλειας είναι η χρήση τεχνολογιών τερισσότεροι από τους συναδέλφους µου CISO έχουν υψηλά χνητής νοηµοσύνης (AI) και µηχανικής µάθησης (ML). Οι επίπεδα ικανοποίησης από την εργασία τους σε σχέση µε αλγόριθµοι AI και ML είναι σε θέση να αναλύουν µεγάλες οποιονδήποτε άλλο ρόλο στον κόσµο της πληροφορικής. ποσότητες δεδοµένων και να ανιχνεύουν µοτίβα και ανωµαλίες που µπορεί να υποδηλώνουν µια πιθανή απειλή ή Τα τελευταία χρόνια µιλάµε για την ανάγκη να βρίσκουν κενά στο ήδη εφαρµοσµένο πλαίσιο ασφάλειας καλλιέργειας µίας κουλτούρας ασφάλειας του οργανισµού. Η κυβερνοασφάλεια θα µετατοπιστεί από στους οργανισµούς. Ποια είναι τα «συστατιτον τίτλο «υπεράσπιση του οργανισµού» στην αποδοχή κά» µίας τέτοιας κουλτούρας; του συνεχούς κινδύνου στον κυβερνοχώρο, εστιάζοντας Είναι πολύ καλύτερο να υπάρχει πρόληψη παρά αντίδραση στην ενίσχυση της ανθεκτικότητας και της ικανότητας όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο. Η ανάκαµψης. Προσωπικά, πιστεύω ότι ο ρόλος του CISO οικοδόµηση µιας κουλτούρας ασφάλειας, εµπιστοσύνης και θα γίνει πιο ενεργός στη χάραξη της στρατηγικής σε έναν ευαισθητοποίησης στον οργανισµό σηµαίνει ότι τα περι- οργανισµό και δεν απέχουµε πολύ από το να είναι και ο στατικά είναι λιγότερο πιθανό να συµβούν, και αν συµβούν, CISO µέρος της εκτελεστικής οµάδας.

Οι CISO έχουν υψηλότερα ποσοστά ικανοποίησης από την εργασία τους σε σχέση µε οποιονδήποτε άλλο ρόλο στο ΙΤ

netwee • C Y BER SECU RIT Y

INTERVIEW

Η ασφάλεια είναι κοινή ευθύνη

Γιώργος Τσινός

Ο Γιώργος Τσινός, CISO, Εθνική Ασφαλιστική, εξηγεί γιατί σήµερα οι επικεφαλής της κυβερνοασφάλειας πρέπει να παρακολουθούν τις εξελίξεις, να µαθαίνουν από τις αποτυχίες και να αποτελούν στρατηγικό εταίρο κάθε οργανισµού. Συνέντευξη στην Αγγελική Κορρέ

netweek: Ποιος είναι ο ρόλος σας (ο ρόλος του CISO) µέσα σε έναν οργανισµό και ποιες είναι οι βασικές αρµοδιότητές σας; Γιώργος Τσινός: Ο CISO είναι ο στρατηγικός

εταίρος της επιχείρησης στη συντονισµένη προσπάθεια να δηµιουργηθεί κουλτούρα κοινής ευθύνης για τον κίνδυνο στον κυβερνοχώρο. Γεφυρώνει τα κενά τεχνολογίας, διαδικασιών, αυτοµατοποίησης και ασφάλειας στον κυβερνοχώρο. Οι κύριες προτεραιότητες ενός CISO είναι να προστατεύει την εταιρεία, να ενεργοποιεί και να οδηγεί την ανάπτυξη και να κάνει λειτουργική αυτή την ανάπτυξη µε όσο το δυνατόν πιο ασφαλή τρόπο. Η ατζέντα που ελέγχει στοχεύει στην οικοδόµηση εµπιστοσύνης, γιατί η εµπιστοσύνη είναι πρωταρχικός παράγοντας και πολλαπλασιαστής της στήριξης από τη ∆ιοίκηση. Για να γίνει αυτό χρειάζεται να εξυπηρετεί ποικίλες ανάγκες, όπως: τεχνολογία και αντίληψη του σύγχρονου τοπίου απειλών, ανθρώπινη συµπεριφορά και εµπιστοσύνη από όλα τα ενδιαφερόµενα µέρη,

netwee • C Y BER SECU RIT Υ

συνεργασία µε ρυθµιστικές αρχές, κλπ.. Παράλληλα, πρέπει να προσαρµόζεται και να µαθαίνει συνεχώς σε ένα περιβάλλον τόσο ευµετάβλητο, που οι αναδυόµενοι κίνδυνοι είναι µέρος της καθηµερινής ζωής του, και που όλα τα τεχνικά θέµατα πρέπει να τα µεταφράζει σε ένα κατανοητό περιεχόµενο για ένα µη τεχνικό κοινό, το οποίο στηρίζει και βοηθά το έργο του.

Πώς έχει εξελιχτεί ο ρόλος του CISO τα τελευταία χρόνια;

Ο ρόλος του CISO έχει αλλάξει ραγδαία τα τελευταία χρόνια, λόγω της πανδηµίας και του ψηφιακού µετασχηµατισµού των εταιρειών. Πλέον, εξετάζει τη µετρηµένη ανάληψη του κινδύνου και όχι την εξάλειψή του. ∆ιότι µε τη διαθεσιµότητα όλων των νέων τεχνολογιών και των κινδύνων που προκύπτουν από αυτές, το τοπίο µεταβάλλεται µε ρυθµό τέτοιο που είναι πλέον αδύνατο να εξαλειφθούν. Χρειάζεται συνεχής αναπροσαρµογή και εκπαίδευση όλου του οργανισµού, ώστε να µπορεί να διατηρείται ένα ελεγ-

χόµενο περιβάλλον που να υιοθετεί νέες εφαρµογές και τεχνολογίες στην παραγωγή µε ταχύτερο ρυθµό.

Ποια είναι η µεγαλύτερη πρόκληση στη δουλειά σας;

Η µεγαλύτερη πρόκληση στη δουλειά µας δεν είναι αυτά που έγιναν αλλά αυτά που θα γίνουν, λαµβάνοντας υπόψη τη ραγδαία εξέλιξη της τεχνολογίας, την ταχύτατη υιοθέτησή της και την παράλληλη πιθανή εκµετάλλευσή της µε κακόβουλο τρόπο. Ενδεικτικές σύγχρονες προκλήσεις είναι: Deepfakes, Generative AI, natural language processing algorithms.

Τι αγαπάτε περισσότερο στη δουλειά σας;

Αυτό που αγαπάω περισσότερο στη δουλειά µου είναι οι προκλήσεις! Πρέπει να είσαι ασυµβίβαστος. Να µην σταµατάς ποτέ να ενηµερώνεσαι, να ψάχνεις να βρεις στρατηγικές επιλογές, να σταθµίζεις το κέρδος µε τη ζηµιά για την εταιρεία βάσει κινδύνου, να καθοδηγείς τον οργανισµό, να ανταποκρίνεσαι ταχύτατα στα περιστατικά, κλπ. ώστε τελικά να αντιµετωπίζεις τόσο προληπτικά, όσο και κατασταλτικά, το κυβερνοέγκληµα για να επιχειρεί συνεχώς µε ασφάλεια ο οργανισµός σου.

πρωτοβουλίες. Ενδεικτικά µια τέτοια πρωτοβουλία ήταν η ενίσχυση της αυθεντικοποίησης µε MFA για τον περιορισµό της µη εξουσιοδοτηµένης πρόσβασης. Μια άλλη πρωτοβουλία ήταν η υιοθέτηση λύσης τεχνητής νοηµοσύνης, που ανιχνεύει πάνω στο δίκτυο τις όποιες ανωµαλίες, άµεσα ενηµερώνει το κέντρο λειτουργιών ασφάλειας 24 * 7 και ταχύτατα δροµολογούνται οι κατάλληλες ενέργειες από την οµάδα διαχείρισης περιστατικών ασφαλείας.

Ποια είναι τα διδάγµατα που έχετε πάρει από πιθανές αποτυχίες ή προκλήσεις που αντιµετωπίσατε στον ρόλο σας ως CISO;

Θα έλεγα µε σκωπτική διάθεση ότι «όποιος πλένει πιάτα σπάει πιάτα»! Βέβαια, το θέµα είναι να µη φτάσουµε να σπάσουµε όλη την ντουζίνα για να µάθουµε! Αποτυχίες και αστοχίες πάντα υπάρχουν, το θέµα είναι να τις αναγνωρίζεις και να βελτιώνεις τα σηµεία στα οποία έσφαλες. Εξυπνότερος βέβαια τρόπος είναι να µαθαίνεις από τα όσα συµβαίνουν σε παγκόσµια κλίµακα γύρω από το κυβερνοέγκληµα και να εφαρµόζεις τις καλές πρακτικές, πριν δοκιµάσεις ο ίδιος τις αποτυχίες.

Η κουλτούρα που πρέπει να αναπτυχθεί είναι αυτή της κοινής ευθύνης. Ο ρόλος του CISO µπορεί να είναι καθοδηγητικός αλλά σίγουρα δεν Τι πιστεύετε για τον ρόλο του ΑΙ και του είναι αυτός που machine learning θα κερδίσει το στην κυβερνοασφάλεια; Είναι από τα hot topics αυτή τη στιγµή «παιχνίδι» στην κυβερνοασφάλεια, και όχι µόνο.

Τα τελευταία χρόνια µιλάµε για την ανάγκη καλλιέργειας µίας κουλτούρας ασφάλειας στους οργανισµούς. Ποια είναι τα «συστατικά» µίας τέτοιας κουλτούρας;

Η κουλτούρα που πρέπει να αναπτυχθεί από τον CISO µέσα στον οργανισµό είναι αυτή της κοινής ευθύνης. Mόνο µε τον τρόπο αυτό µπορούν όλοι να συνδράµουν στο δύσκολο έργο που έχουµε να αντιµετωπίσουµε για το κοινό καλό. ∆εν υπάρχει επιτυχία σε ατοµικό επίπεδο, παρά µόνο σε οµαδικό. Ο ρόλος του CISO µπορεί να είναι καθοδηγητικός, αλλά σίγουρα δεν είναι αυτός που θα κερδίσει το «παιχνίδι». Μόνο η συµµετοχή όλων των εργαζοµένων της εταιρείας µπορεί να εξασφαλίσει ένα θετικό αποτέλεσµα. Για να γίνει αυτό πρέπει να τους εµπνεύσεις και να τους πείσεις. Πιστεύω στην ενσυναίσθηση, και όχι στα µέτρα επιβολής, ως τον καλύτερο τρόπο για να πετύχεις την αλλαγή της κουλτούρας.

Αν και βοηθούν στις καθηµερινές εργασίες, ταυτόχρονα αποτελούν και εργαλεία για τους κακόβουλους, όπως αναφέραµε νωρίτερα. Ως βασικές οδηγίες θα έλεγα ότι πρέπει να προσέχουµε τι ανεβάζουµε για να τροφοδοτήσουµε τα εργαλεία AI και να µην παρέχουµε διαβαθµισµένες πληροφορίες που ακολούθως µπορούν να χρησιµοποιηθούν από κακόβουλους, καθώς επίσης να εξετάζουµε µε κριτικό βλέµµα τα αποτελέσµατα που µας επιστρέφουν και να τα προσαρµόζουµε στις ανάγκες του οργανισµού µας.

Πώς εκτιµάτε ότι θα έχει αλλάξει το τοπίο της κυβερνοασφάλειας τα επόµενα 5-10 χρόνια;

Πιστεύω ότι το τοπίο θα αλλάξει δραµατικά µέσα σε 5-10 χρόνια λόγω ραγδαίων τεχνολογικών εξελίξεων, που σήµερα κανείς δεν µπορεί να φανταστεί και να πει µε βεΠοιες είναι κάποιες από τις πλέον βαιότητα το ποιες θα είναι αυτές. Έχουµε την αίσθηση ότι επιτυχηµένες πρωτοβουλίες που έχετε θα παίξουν σηµαντικότατο ρόλο οι τεχνολογίες που µόλις προβεί ως CISO; τώρα ξεκινούν, όπως κβαντικοί υπολογιστές, εφαρµογή της Πιστεύω ότι όλες οι πρωτοβουλίες πρέπει να σχετίζονται τεχνητής νοηµοσύνης και η επέκταση τρεχόντων, όπως είτε µε τη δηµιουργία κέρδους για την εταιρεία που προ- του cloud computing που σταδιακά θα καταργήσει τον όρο έρχονται κυρίως από τον επιχειρηµατικό χώρο, είτε µε τη «υποδοµή» µιας εταιρείας όπως την ξέρουµε σήµερα. Ανεµείωση του κινδύνου για την ασφάλεια της πληροφορίας. ξάρτητα της τεχνολογίας, πρέπει πάντα να εξετάζουµε τις Ειδικά για το δεύτερο, πηγή πληροφόρησης αποτελεί η όποιες προκλήσεις, να αξιολογούµε το ρίσκο και ακολούθως αξιολόγηση κινδύνου που γίνεται περιοδικά και που βά- να σταθµίζουµε την καλύτερη και πιο ασφαλή λύση για σει αυτής εγκρίνονται και προτεραιοποιούνται οι όποιες τον οργανισµό µας και τους πελάτες µας.

C Y BER SECU RIT Y • netwee

OPINION

#BeSmarterThanAHacker

Συµεών Μυστακίδης

Η σηµασία της ανάπτυξης µιας κουλτούρας ασφάλειας στους οργανισµούς και η δηµιουργία ενός πετυχηµένου προγράµµατος ενηµέρωσης και ευαισθητοποίησης σε θέµατα κυβερνοασφάλειας. Του Συµεών Μυστακίδη, Chief Information Security Officer, ∆ΕΗ

ε αφορµή τον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας (ECSM) µε µήνυµα το #BeSmarterThanAHacker και την προώθηση της ασφάλειας στον κυβερνοχώρο µέσω της ευαισθητοποίησης και της ανταλλαγής βέλτιστων πρακτικών στον χώρο της κυβερνοασφάλειας, θα ήθελα να αναφερθώ στην ανάγκη της ανάπτυξης µιας κουλτούρας ασφάλειας στους οργανισµούς. Οι κίνδυνοι στον τοµέα της ασφάλειας πληροφοριών των οργανισµών αυξάνονται συνεχώς, τόσο λόγω νέων τεχνο-

netwee • C Y BER SECU RIT Υ

λογιών που αυτοί υιοθετούν όσο και λόγω γενικότερων απειλών, δεδοµένων των παρακάτω παραγόντων: • Γεωπολιτικές εξελίξεις • Ανάγκης για φορητότητα της εργασίας όπως ανέδειξε η πρόσφατη περίπτωση του Covid19 • Αύξηση των κυβερνοεπιθέσεων παγκοσµίως • Εκτεταµένη χρήση του ∆ιαδικτύου • Αλλαγές και εξελίξεις στην Τεχνολογία • Νέες κατευθυντήριες γραµµές και οδηγίες σε θέµατα ασφάλειας .

Ο ανθρώπινος παράγοντας

Εύκολα αντιλαµβάνεται κάποιος ότι ένα µεγάλο ποσοστό κινδύνων και περιστατικών κυβερνοασφάλειας επηρεάζονται από τον ανθρώπινο παράγοντα και πως οι χρήστες αποτελούν κρίσιµη γραµµή άµυνας για έναν οργανισµό απέναντι στις κυβερνοεπιθέσεις. Χρήστες µε υψηλή κουλτούρα ασφάλειας και επίπεδο επαγρύπνησης απέναντι σε πιθανούς κυβερνοκινδύνους, είναι λιγότερο πιθανό να πέσουν θύµατα απάτης µέσω ηλεκτρονικού ψαρέµατος (phishing), τηλεφωνικό ψάρεµα (vishing), επιθέσεων κακόβουλου λογισµικού (viruses, trojan) και άλλων πιθανών κυβερνοαπειλών. Η ευαισθητοποίηση σε θέµατα κυβερνοασφάλειας διαφέρει σηµαντικά από την κατάρτιση (training) µε τη ακριβή έννοια του όρου, καθώς έχει σκοπό να καταστίσει ικανούς τους χρήστες ενός οργανισµού να αναγνωρίζουν τους πιθανούς κινδύνους και να δρουν κατάλληλα. Ενώ στόχος της κατάρτισης είναι το να αποκτήσει ο εκπαιδευόµενος τις απαραίτητες τεχνικές δεξιότητες για την αντιµετώπιση συγκεκριµένων κάθε φορά απειλών ασφάλειας, η ευαισθητοποίηση σε θέµατα ασφάλειας στοχεύει στο να αντιληφθεί µεµονωµένα ο κάθε χρήστης τον ουσιαστικό αντίκτυπο που µπορεί να έχει ένας κίνδυνος ή µια απειλή ασφάλειας για τον ίδιο τον οργανισµό έτσι ώστε όταν προκύψει το πρόβληµα να λειτουργήσει αποτρεπτικά και να επέµβει δραστικά προς την κατεύθυνση της επίλυσής του, αξιοποιώντας όλη την τεχνική γνώση που έχει αποκτήσει µέσω των προγραµµάτων εκπαίδευσης και κατάρτισης στα οποία έχει συµµετάσχει. Το µεγάλο στοίχηµα στην ανάπτυξη ενός επιτυχηµένου προγράµµατος εκπαίδευσης και ευαισθητοποίησης των χρηστών ενός οργανισµού είναι η αντιµετώπιση ενός συνόλου προκλήσεων όπως: • Το χαµηλό ενδιαφέρον για συµµετοχή σε εκπαιδεύσεις και καµπάνιες σε θέµατα κυβερνοασφάλειας • Τον περιορισµένο διαθέσιµο χρόνο για σχετικές εκπαιδεύσεις • Την πληθώρα των διαφορετικών ρόλων που έχουν οι χρήστες σε µεγάλους οργανισµούς και αφορούν την διαφορετική φύση εργασίας που έχουν καθώς και συσχέτιση αυτών µε πληθώρα κινδύνων και µέτρων ασφαλείας. Για να µπορέσει ο οργανισµός να ξεπεράσει τις παραπάνω προκλήσεις, πρέπει να ξεφύγει από τους παραδοσιακούς τρόπους δηµιουργίας προγραµµάτων εκπαίδευσης και ευαισθητοποίησης. Οι παραδοσιακοί τρόποι πολλές φορές δεν µπορούν να επιτύχουν το επιθυµητό αποτέλεσµα, δεδοµένου ότι δεν είναι προσαρµοσµένοι στις ανάγκες του οργανισµού και δεν λαµβάνουν υπόψη ούτε τη φύση της εργασίας των εργαζοµένων, αλλά ούτε και τις διαφορετικές απαιτήσεις για εκπαίδευση. Κατά συνέπεια δηµιουργούν καµπάνιες και προγράµµατα ευαισθητοποίησης που δεν έχουν πραγµατική αποδοχή από τους εργαζοµένους, αγνοούνται ή ακόµα χειρότερα αντιµετωπίζονται ως όχληση. Για να επιτευχθεί η µετάβαση από το παραδοσιακό µοντέλο σε ένα καινοτόµο µοντέλο αλλαγής κουλτούρας, χρειάζεται επανασχεδιασµός του προγράµµατος στον οργανισµό και δέσµευση της διοίκησης για την υποστήριξη και εφαρµογή του.

Βασικές αρχές που πρέπει να ακολουθηθούν είναι οι εξής: 1. Εντοπισµός Βασικών Κινδύνων και Σχετικών Συµπεριφορών. Θα πρέπει πρώτα να εντοπιστούν οι βασικοί κίνδυνοι που αντιµετωπίζει ο οργανισµός και οι συµπεριφορές των χρηστών οι οποίες εµπλέκονται µε τους κινδύνους αυτούς. 2. Μέτρηση Ωριµότητας των Χρηστών. Σε συνέχεια, τόσο οριζόντια σε όλο τον οργανισµό όσο και σε κάθε επιµέρους τµήµα, θα πρέπει να προσδιοριστεί ο βαθµός ωριµότητας και γνώσης που έχουν οι χρήστες για τους βασικούς κινδύνους που έχουν εντοπιστεί. 3. Σχεδιασµός Πλάνου Εκπαίδευσης και Υλοποίησή του. Θα πρέπει να σχεδιαστεί ένα πλάνο για την ευαισθητοποίηση των χρηστών σε θέµατα κυβερνοασφάλειας µε σκοπό την αλλαγή της κουλτούρας των διαφόρων τµηµάτων καθώς και τον καθορισµό εφικτών στόχων σχετικά µε την αύξηση του επίπεδου ωριµότητας των συµπεριφορών τους, έχοντας λάβει υπόψη τις παρακάτω παραµέτρους: • την φύση της εργασίας των επιµέρους τµηµάτων • τον διαθέσιµο χρόνο για εκπαίδευση, • την κρισιµότητα αλλαγής συµπεριφοράς των χρηστών σύµφωνα µε τον βαθµό ωριµότητας που έχει αναγνωριστεί στο προηγούµενο στάδιο, Ένα επιτυχηµένο πλάνο εκπαίδευσης θα πρέπει να περιλαµβάνει µια γκάµα διαφορετικών εκπαιδευτικών µεθόδων όπως οι ακόλουθες: • Ενηµερωτικά δελτία αναφορικά µε επίκαιρα θέµατα κυβερνοασφάλειας (Νewsletters) • Microlearnings (Συνοπτικά και επίκαιρα µαθήµατα) • Στοχευµένες Εκπαιδεύσεις ανά τµήµα οργανισµού • Προσοµοιώσεις Επιθέσεων µέσω ηλεκτρονικού ταχυδροµείου (Phishing) • Προσοµοιώσεις περιστατικών ασφαλείας σε µορφή παιχνιδιού (gamification) 4. Αξιολόγηση Αποτελεσµάτων και Σχεδιασµός Επόµενων Ενεργειών. Το πρόγραµµα ευαισθητοποίησης και εκπαίδευσης των χρηστών θα πρέπει να είναι µε τέτοιο τρόπο δοµηµένο ώστε να παραµένει επίκαιρο, µε συνεχείς αναπροσαρµογές στο περιεχόµενο και το υλικό του σύµφωνα µε τα αποτελέσµατα αλλά και την εξέλιξη της ευαισθητοποίησης στο οργανισµό.

Κουλτούρα ασφάλειας: η πιο σηµαντική γραµµή άµυνας

Εν κατακλείδι και ανεξαρτήτως του µεγέθους και της αρτιότητας του τεχνολογικού αποτυπώµατος ασφάλειας ενός οργανισµού, καθώς οι κυβερνοεπιθέσεις εξελίσσονται και γίνονται όλο και πιο επιτηδευµένες, οι χρήστες µε υψηλή κουλτούρα σε θέµατα κυβερνοασφάλειας, θα αποτελούν την πιο σηµαντική γραµµή άµυνας ενός οργανισµού. Παραµένουµε ενήµεροι και αποτελούµε το «ανθρώπινο τείχος ασφαλείας» για την εταιρεία µας!

C Y BER SECU RIT Y • netwee

INTERVIEW

∆εν υπάρχει τέλεια ασφάλεια

Άγγελος Καρώνης

Ο Άγγελος Καρώνης, Senior Information Security Manager, Kaizen Gaming, εξηγεί γιατί δεν µπορεί να επιτευχθεί το 100% σε ότι αφορά την ασφάλεια και γιατί οι επαγγελµατίες του information security, ακριβώς για αυτό το λόγο, καλούνται να διαλέγουν σοφά τις µάχες τους. Συνέντευξη στην Αγγελική Κορρέ

netweek: Τι αγαπάτε περισσότερο στη δουλειά σας; Άγγελος Καρώνης : Ξεκινώντας την καριέρα

µου στον χώρο του Information Security είχα µια διαφορετική εικόνα για τις απαιτήσεις του τοµέα. Επίσης είχα µια διαφορετική οπτική για το πώς θα πρέπει να είναι το σύγχρονο footprint του Information Security σε έναν οργανισµό συγκριτικά µε το τι έβλεπα να εφαρµόζεται. Στην Kaizen Gaming βρήκα πρόσφορο έδαφος για να δουλέψουµε τις ιδέες µου, σαν µέλος της οµάδας αρχικά, και αργότερα µε την εξέλιξη µου, προσαρµόσαµε τον ρόλο του Information Security και την καθηµερινότητα της οµάδας, που πλέον έχω την χαρά και τιµή να ηγούµαι, ώστε να είναι πιο κοντά στο πώς οραµατιζόµουν τον τοµέα Ασφάλειας Πληροφορικής. Το αγαπηµένο κοµµάτι της δουλειάς µου έχει αλλάξει κατά καιρούς, από το να προσπαθώ να µένω επίκαιρος µε τις τεχνολογικές αλλαγές και τις νέες µορφές κινδύνων, στο να βελτιώνω την απόδοση των µέσων προστασίας

netwee • C Y BER SECU RIT Υ

του οργανισµού, να δένω τα ρίσκα µε µέτρα µε σκοπό την µείωση κινδύνου σε αποδεκτά επίπεδα ως και σήµερα που πλέον ο στόχος µου είναι να µεταφράζω την εταιρική στρατηγική σε ενέργειες που πρέπει να γίνουν από το τµήµα µας ώστε να κινηθούµε εκεί που ο οργανισµός θέλει να πάει µε ασφάλεια. Αυτό δεν µπορεί να γίνει χωρίς την ύπαρξη µίας δεµένης, καταρτισµένης και motivated οµάδας, συνεπώς και το κύριο βάρος και ενδιαφέρον το έχω στρέψει στην προσπάθεια να έχω µία τέτοια οµάδα που κάνει scale για να αντιµετωπίσει την ραγδαία ανάπτυξη του οργανισµού.

Η στροφή αυτή προέκυψε αναγνωρίζοντας πόσο σηµαντικός είναι ο ρόλος όλων των υπαλλήλων στην προστασία του οργανισµού, ανεξαρτήτως θέσης, Το ρητό είµαστε τόσο

δυνατοί όσο ο πιο αδύνατος κρίκος στην αλυσίδα µας περιγράφει ιδανικά την ανάγκη για την ύπαρξη αυτής της κουλτούρας. Η γνώµη µου είναι ότι για να πετύχει ένα τέτοιο εγχείρηµα απαιτείται µια προσέγγιση που δεν θα στοχεύσει στην γρήγορη επικοινωνία και την «κάλυψη άµεσων αναγκών». Στο συγκεκριµένο θέµα απαιτείται η δέσµευση της διοίκησης του οργανισµού (µεσώ budget, υποστήριξης ενηµερωτικών ενεργειών και εκπαιδεύσεων κ.α.), η ανάδειξη της ευθύνης όλων των εργαζοµένων ανάλογα µε την θέση του και τα ειδικά ρίσκα που κάθε ρόλος κρύβει και φυσικά µια άρτια εκπαιδευµένη και εξωστρεφής οµάδα Information Security που θα εκπαιδεύει και θα λύνει απορίες για όλους τους εργαζόµενους του οργανισµού.

Τι πιστεύετε για τον ρόλο του ΑΙ και του machine learning στην κυβερνοασφάλεια;

Η τεχνητή νοηµοσύνη, η µηχανική µάθηση και η έκρηξη ενδιαφέροντος σε αυτές τις κατευθύνσεις κατά την γνώµη µου έχουν 2 ροές στον κόσµο της κυβερνοασφάλειας, η µια είναι εργαλείο στα χέρια των επαγγελµατιών στην ασφάλεια και η άλλη είναι ένα δυνατό όπλο στα χέρια των επιτιθέµενων. Για την χρήση της από τους επαγγελµατίες ασφάλειας, αυτο που έχω παρατηρήσει είναι όπως σε όλους τους τοµείς που εφαρµόστηκε η κάλυψη αναγκών σε ενέργειες που δεν απαιτούν ανάλυση αλλά βασίζονται σε σύνδεση γνωστών µεταβλητών για την παραγωγή απόφασης και την λήψη ενέργειας πχ η αποµόνωση ενός τερµατικού που φαίνεται να προελαύνει ένα Command and Control domain (από τα logs µιας URL Filtering λύσης) και κατόπιν να παράγει ένα Alert για blocked execution (από το Alerting ενος EDR). Επίσης µε την χρηση AI και ML είναι πιο εύκολο να γίνει χρήση πολλαπλών πηγών πληροφορίας (Threat Intelligence Channels) και να ενταχτούν στην ροή αποφάσεων. Στην πλευρά του επιτιθέµενου η χρήση AI και ML ανεβάζει το baseline της µέσης επίθεσης και της ικανότητας ενός attacker να διεκπεραιώσει ενισχυµένες επιθέσεις µε βάση την κεντρικοποιηµένη γνώση σε AI Chat platfroms (Chat GPT) ώστε να παραµετροποιήσουν εύκολα attack scenarios και tools αγορασµένα στο Dark Web. Συνεπώς όπως και κάθε εξέλιξη έχει και θετικές και αρνητικές εκφάνσεις, η ισορροπία θα εξαρτηθεί απο το πώς θα διαχειριστεί η αγορά και οι οργανισµοί το νέο αυτού τοπίο.

Το ΑΙ και η µηχανική Ποια είναι τα διδάγµατα µάθηση είναι που έχετε πάρει από πιθανές εργαλείο στα χέρια αποτυχίες ή προκλήσεις που αντιµετωπίσατε στον ρόλο των επαγγελµατιών σας ως CISO; Η αλήθεια είναι ότι από τα πρώιµα της ασφάλειας και στάδια της καριέρας µου στον τοµέα δυνατό όπλο για του Information Security και µε την πρώτη ενασχόληση µου αντιµετώπισα τους επιτιθέµενους έναν αριθµό προκλήσεων εσωτερικών και εξωτερικών στον οργανισµό που εργαζόµουν/εργάζοµαι. Αν πρέπει να προτεραιοποιήσω τα διδάγµατα µε βάση την σηµαντικότητα νοµίζω στην κορυφή βρίσκεται το εξής «∆εν υπάρχει τέλεια ασφάλεια», µια σκληρή αλήθεια ειδικά για ανθρώπους µε υψηλό κίνητρο για το κυνήγι της τελειότητας και άπειρους στην αγορά εργασίας. ∆εν µπορεί να επιτευχθεί ποτέ η κάλυψη του 100% των κινδύνων µε τρόπο που να διασφαλίζει έναν οργανισµό απέναντι σε όλα τα ρίσκα στα οποία εκτίθεται. Σε αυτό έρχεται και δένει το δεύτερο δίδαγµα «∆ιάλεξε τις µάχες σου σοφά» είτε αφορά εσωτερικές διαπραγµατεύσεις για την ισχυροποίηση µέσω προστασίας (µε κόστος που γίνεται challenge) είτε εξωτερικά µε την αναγνώριση της πιθανότητας και της «πιθανής έκθεσης» σε κάποιους κινδύνους. Σε αυτό το σηµείο ήρθε και το τρίτο δίδαγµα που αφορά την διαρκή πάλη να µένεις τεχνολογικά ισάξιος µε επιτιθέµενους που έχουν ως πλεονέκτηµα να µπορούν να εστιάσουν σε ένα πράγµα και να προσπαθήσουν να το εκµεταλλευτούν, εδώ το µόνο µέσο που έχω να προτείνω είναι η αναγνώριση των κατηγοριών από threat actors, το κίνητρό τους και ο ορισµός του maturity τους. Με βάση αυτά γίνεται µια ανάλυση ρίσκου και λαµβάνονται τα ανάλογα µέτρα. Τέλος θα αναφερθώ σε ένα δίδαγµα που θα µε βοηθούσε πολύ στα αρχικά µου βήµατα να το γνώριζα «οι πιο ελκυστικές/τεχνολογικά εξελιγµένες λύσεις, δεν είναι πάντα οι καλύτερες» και µε αυτο εννοώ ότι πάρα πολλά προβλήµατα λύνονται µε πολύ απλό τρόπο και παραδοσιακά µέσα προστασίας. Σίγουρα υπάρχει χώρος για χρήση νέων τεχνολογιών αλλά πολλά προβλήµατα λύνονται πιο οικονοµικά και αποδοτικά µε βασικά µέσα.

Πώς εκτιµάτε ότι θα έχει αλλάξει το τοπίο της κυβερνοασφάλειας τα επόµενα 5-10 χρόνια;

Στον χώρο της κυβερνοασφάλειας τα 5 χρόνια είναι ένα πολύ µεγάλο διάστηµα για πρόβλεψη, πόσο µάλλον τα 10. Αυτό που µπορώ να εκτιµήσω και µε βάση τα παραπάνω σχετικά µε το AI και τον τρόπο που γίνονται οι επιθέσεις και αµύνονται οι οργανισµοί είναι το εξής, οι οµάδες ασφαλείας πρέπει να εστιάσουν στην ανάλυση κινδύνου, την µελέτη του προφίλ του οργανισµού και την αναγνώριση της ευκαιρίας που ψάχνει ο επιτιθέµενος µε βάση τα κίνητρα του. Με γνώµονα αυτό και µε την Τεχνητή Νοηµοσύνη να πλαισιώνει της οµάδες Ασφάλειας των οργανισµών θα πρέπει να δοθεί έµφαση σε ρόλους που να είναι πιο κοντά στην πλαισίωση και την παραµετροποίηση των µέσων προστασίας πχ. Threat Analysts, Big Data Engineers etc. καθώς και σε οργανωτικούς ρόλους όπως GRC αναλυτές για την εκπαίδευση των υπαλλήλων, την οργάνωση και επικαιροποίηση των διαδικασιών και τον τακτικό έλεγχο τους ότι λειτουργούν ορθά. Συνεπώς βλέπω µια αλλαγή στην δυναµική των οµάδων και στον τρόπο που εγείρονται κίνδυνοι κυβερνοασφάλειας αλλά το παιχνίδι γάτας ποντικιού δεν θα αλλάξει στα κύρια στοιχεία του, µόνο σε συγκεκριµένους κανόνες.

C Y BER SECU RIT Y • netwee

INTERVIEW

Κοµβικός ο ρόλος του CISO σήµερα

Mιχάλης Μπερκέτης

Ο Μιχάλης Μπερκέτης, Information Security Officer • General Directorate, Συνεταιριστική Τράπεζα Χανίων, µιλάει για το πόσο ‘συναρπαστικός’ µπορεί να είναι ο ρόλος του CISO και εξηγεί γιατί είναι κρίσιµης σηµασίας η καλλιέργεια µίας κουλτούρας ασφάλειας στους οργανισµούς. Συνέντευξη στην Αγγελική Κορρέ

netweek: Ποιος είναι ο ρόλος σας (ο ρόµέτρων που έχουν ληφθεί και καταλήγει στην εκπαίδευση λος του CISO) µέσα σε έναν οργανισµό και του προσωπικού και τον εντοπισµό νέων απειλών που ποιες είναι οι βασικές αρµοδιότητές σας; προκύπτουν. Είναι µια συνεχής ενασχόληση που διαρκεί Μιχάλης Μπερκέτης: Ο CISO σε έναν οργα- όλο το 24ωρο και αφορά το σύνολο του οργανισµού ως

νισµό πλέον κατέχει έναν από τους πιο κοµβικούς ρόλους. Είναι το σηµείο αναφοράς του οργανισµού για την ενορχήστρωση της ασφάλειας και της προετοιµασίας του σε πιθανές επιθέσεις. Οι βασικές αρµοδιότητες του CISO ξεκινάνε από τον ορισµό του πλαισίου διακυβέρνησης σε θέµατα ασφάλειας πληροφοριακών συστηµάτων, την συµµόρφωση µε κανονισµούς και υποχρεώσεις, της εκτίµησης κινδύνου, των µέτρων αντιµετώπισης πιθανών απειλών, την συνεχή παρακολούθηση και επιτήρηση των

netwee • C Y BER SECU RIT Υ

προς την ασφάλεια του, εσωτερικά και εξωτερικά.

Πώς έχει εξελιχτεί ο ρόλος του CISO τα τελευταία χρόνια;

Ο ρόλος του CISO έχει εξελιχθεί σηµαντικά τα τελευταία χρόνια, ειδικά µε την αυξηµένη σηµασία της κυβερνοασφάλειας, την εξάπλωση των κυβερνοεπιθέσεων και την εξέλιξη της τεχνολογίας. Παλιά, ο ρόλος του ήταν περισσότερο τεχνικός, επικεντρωµένος στη διαχείριση

των firewalls και των antivirus. Τώρα, ο ρόλος είναι πιο στρατηγικός και επιχειρησιακός και εµπλέκεται έντονα στην καθηµερινότητα των τµηµάτων. Οι CISOs πλέον συµµετέχουν ενεργά στις συνεδριάσεις του διοικητικού συµβουλίου, παρουσιάζοντας αναφορές και στρατηγικές για την ασφάλεια του οργανισµού. Η εστίαση έχει µετατοπιστεί προς τη διαχείριση κινδύνου, τη συµµόρφωση µε τη νοµοθεσία και την εκπαίδευση του προσωπικού. Ο ρόλος πλέον απαιτεί την συµµετοχή και την προσφορά του σε περισσότερα επίπεδα. Επίσης, µε την εξάπλωση του cloud computing, IoT και άλλων νέων τεχνολογιών, οι CISOs πρέπει να είναι ενήµεροι για τις τελευταίες τεχνολογικές τάσεις και απειλές. Παράλληλα, η εµφάνιση των ransomware και των σύνθετων APTs (Advanced Persistent Threats) έχει κάνει τη θέση ακόµα πιο κρίσιµη. Τέλος, πέρα από τις απαιτούµενες τεχνικές γνώσεις οι CISOs καλούνται να αναπτύξουν και ικανότητες επικοινωνίας και διαπροσωπικών σχέσεων καθώς ο παράγοντας άνθρωπος αποτελεί θεµελιώδη λίθο για τη δοµή µια στέρεης κυβερνοασφάλειας. Συνοψίζοντας, ο ρόλος του CISO είναι πιο δυναµικός και πολυδιάστατος από ποτέ.

Τι αγαπάτε περισσότερο στη δουλειά σας;

ως µέρος της δουλειάς τους αλλά και ως προσωπική ευθύνη. Οι άνθρωποι µας είναι η πρώτη και πιο δυνατή γραµµή άµυνας. Όλοι γνωρίζουµε ότι κάποια στιγµή θα πέσουµε θύµατα κυβερνοεπίθεσης και η µάχη είναι µε το χρόνο, όσο πιο γρήγορα εντοπίσουµε την κυβερνοαπειλή τόσο πιο γρήγορα θα µπορέσουµε να αντιδράσουµε. Σε αυτό το πλαίσιο οι συνάδελφοί µας, οι συνεργάτες µας και οι άνθρωποι που αλληλοεπιδρούµε αποτελούν την κύρια πηγή πληροφόρησης της κατάστασης των µέτρων που έχουν τεθεί σε ισχύ και τυχών νέων απειλών που αντιµετωπίζουµε ως οργανισµός. 3. Συµµόρφωση και Πολιτικές: Καθιέρωση και τήρηση πολιτικών και κανονισµών που προωθούν την ασφάλεια. Σε αυτό το τοµέα τα τελευταία χρόνια έχουν γίνει σηµαντικά βήµατα προόδου καθώς η κοινότητα της κυβερνοασφάλειας σε συνεργασία µε δηµόσιες αρχές και µεγάλους οργανισµούς έχουν εκδώσει πλήρη και λεπτοµερή σχέδια διακυβέρνησης. Τα σχέδια αυτά αποτελούν την ραχοκοκαλιά των πολιτικών που χρειάζεται να θεσπίσει, να εφαρµόζει και να ελέγχει ένας οργανισµός. Οι οργανισµοί εσωτερικά επενδύουν στον καθορισµό πολιτικών που να ταιριάζει µε την επιχειρηµατική τους δραστηριότητα, λαµβάνοντας υπόψη τους όλα τα ενδιαφερόµενα µέρη και ελέγχουν σε τακτική βάση την αποτελεσµατικότητα των πολιτικών αυτών καθώς και τη συµµόρφωση τους µε το κανονιστικό πλαίσιο που χρειάζεται να τηρούν. 4. Τεχνολογία: Εκτός από την ανθρώπινη πλευρά, χρειάζεσαι και τα κατάλληλα τεχνολογικά εργαλεία (firewalls, antivirus, pam κτλ.) για να προστατεύσεις τα δεδοµένα και τις υποδοµές. Η τεχνολογία δίνει τη δυνατότητα πλέον στους οργανισµούς να εντοπίζουν γρηγορότερα και µε µεγαλύτερη ακρίβεια τις αδυναµίες τους ώστε σε σύντοµο χρονικό διάστηµα να τις θεραπεύουν πριν γίνουν σηµείο εκµετάλλευσης από κακόβουλους. Η Τεχνητή Νοηµοσύνη και η Μηχανική Μάθηση αποτελούν βασικό συστατικό και σύµµαχο στην αποτελεσµατικότερη θωράκιση των οργανισµών. 5. Συνεχής Αξιολόγηση: Βασικό πυλώνα αποτελεί να γίνονται διενεργείς διαρκείς αξιολογήσεις και να επανεξετάζεις τα µέτρα ασφάλειας. Η ασφάλεια είναι ένα διαρκές ταξίδι, όχι ένας προορισµός. 6. Συνεργασία: Είναι ένα ζήτηµα που αφορά όλους, από τη διοίκηση µέχρι τους υπαλλήλους. Η καλή κουλτούρα ασφάλειας ενθαρρύνει την ανοιχτή επικοινωνία και τη συνεργασία. Σε αυτό το επίπεδο µεγάλο ρόλο έχουν και οι εξωτερικοί µας συνεργάτες που συµπληρώνουν τα πιθανά κενά στις λύσεις που έχουµε υιοθετήσει και η αρωγή τους είναι σηµαντική. Με αυτά τα συστατικά, µπορείς να δηµιουργήσεις ένα περιβάλλον όπου η ασφάλεια δεν είναι απλά ένα σλόγκαν, αλλά µέρος της καθηµερινότητας και αποτελεί µέρος του DNA του οργανισµού.

Το να προστατεύεις τους ανθρώπους και τις εταιρείες από κυβερνοαπειλές προσφέρει ένα αίσθηµα σκοπού. Είναι σαν ένα παιχνίδι στρατηγικής µε πραγµατικές επιπτώσεις

Οι περισσότεροι λατρεύουµε την πρόκληση και τη δυναµικότητα του πεδίου. Είναι ένας τοµέας που δεν σταµατάει ποτέ να εξελίσσεται, και αυτό µας δίνει την ευκαιρία να µαθαίνουµε συνεχώς νέα πράγµατα. Επίσης, το να είσαι σε θέση να προστατεύεις τους ανθρώπους και τις εταιρείες από κυβερνοαπειλές µας προσφέρει ένα αίσθηµα σκοπού και ικανοποίησης. Είναι σαν ένα παιχνίδι στρατηγικής, αλλά µε πραγµατικές επιπτώσεις, και αυτό είναι κάτι που δεν βρίσκεται εύκολα σε άλλες δουλειές. Είναι µια θέση όπου σου προσφέρει αδρεναλίνη και σε κρατάει σε εγρήγορση.

Το να καλλιεργήσεις µια κουλτούρα ασφάλειας σε έναν οργανισµό δεν είναι µια εύκολη δουλειά, αλλά είναι κρίσιµη. Τα «συστατικά» µιας τέτοιας κουλτούρας περιλαµβάνουν έξι βασικούς πυλώνες: 1. Επικοινωνία και Εκπαίδευση: Πρώτα απ’ όλα, πρέπει να εκπαιδεύσεις το προσωπικό σε θέµατα ασφάλειας. Όλοι πρέπει να γνωρίζουν τους κινδύνους και τα πρωτόκολλα. Αποτελεί σηµαντικό συστατικό το προσωπικό µέσα από ασκήσεις προσοµοίωσης, άρθρα και τακτική εσωτερική ενηµέρωση να έρθει σε επαφή ελεγχόµενα µε τους κινδύνους. 2. Ευαισθητοποίηση: Είναι κρίσιµο να κάνεις τους ανθρώπους να νοιάζονται για την ασφάλεια, όχι µόνο

C Y BER SECU RIT Y • netwee

INTERVIEW

Ο CISO ως ηγέτης και στρατηγικός στοχαστής

Βάιος Ορφανιώτης

Ο Βάιος Ορφανιώτης, Information Security & Infrastructure Senior Manager, Elval εξηγεί γιατί ο ρόλος του CISO δεν είναι πλέον «τεχνικός» ρόλος, αλλά ένας στρατηγικής σηµασίας επιχειρηµατικός εταίρος.

ίναι γνωστό πλέον ότι οι επιθέσεις στον κυβερνοχώρο και οι επιτυχηµένες παραβιάσεις έχουν εκτοξευτεί τα τελευταία χρόνια. Εκθέσεις για την κατάσταση της κυβερνοασφάλειας δείχνουν ότι οι εταιρείες αντιµετωπίζουν κατά µέσο όρο περίπου 250 επιθέσεις ετησίως. Ο CISO, o οποίος άρχισε να υπάρχει στους Οργανισµού στα µέσα της δεκαετίας του ‘90 και ενώ τότε ήταν ένας τεχνικός ρόλος- συνήθως ενοχλητικός- έχει τώρα µετασχηµατιστεί σε λύτη προβληµάτων, ηγέτη και στρατηγικό στοχαστή που αναγκαστικά αναγνωρίζει τους επιχειρηµατικούς κινδύνους στον κυβερνοχώρο. Έχοντας χαµηλότερη φωνή από αυτή του CIΟ, τις προηγούµενες δε-

netwee • C Y BER SECU RIT Υ

καετίες, σήµερα δηµιουργεί ένα πλήρες πρόγραµµα ασφάλειας πληροφοριών, διασφαλίζοντας ότι τα ευαίσθητα δεδοµένα και οι πληροφορίες παραµένουν ασφαλή και ακριβή, αλλά και ότι τα συστήµατα συντηρούνται σωστά.

Καλλιεργώντας την κουλτούρα ασφάλειας

Εκτός όµως αυτού του ρόλου, ο CISO έρχεται να αλλάξει και την κουλτούρα ασφάλειας σε έναν οργανισµό. Αυτή η αλλαγή συνεπάγεται µια ολοκληρωµένη και συνεχή δέσµευση για προτεραιοποίηση και προώθηση της ασφάλειας σε όλα τα επίπεδα.

Τα κύρια «συστατικά» για την καλλιέργεια µιας τέτοιας κουλτούρας περιλαµβάνουν καταρχήν τη συµµετοχή των εργαζοµένων µέσω της ενθάρρυνσης µε ενεργή συµµετοχή σε πρωτοβουλίες ασφάλειας, παροτρύνοντάς τους να αναφέρουν τα περιστατικά που πέφτουν στην αντίληψή τους αλλά και να προτείνουν βελτιώσεις. Αφετέρου περιλαµβάνουν την δια βίου µάθηση και εκπαίδευση ώστε να αποκτηθούν δεξιότητες που απαιτούνται για την ασφάλεια την πληροφορίας µε τη βοήθεια της ∆ιεύθυνσης Ανθρώπινου ∆υναµικού που πρέπει να είναι αρωγός σε αυτή την προσπάθεια.Όλα αυτά έχουν αφετηρία το πλαίσιο που δηµιουργείται από Πολιτικές και ∆ιαδικασίες Ασφαλείας οι οποίες έχουν τη σύµφωνη γνώµη και δέσµευση της ∆ιοίκησης, οι οποίες πρέπει να επικοινωνούνται και να τεκµηριώνονται σωστά, µε συνέπεια να εφαρµόζονται και µε ανατροφοδότηση να επαναξιολογούνται.

Το µελλοντικό τοπίο της κυβερνοασφάλειας

Η κυβερνοασφάλεια είναι ένας συνεχώς εξελισσόµενος τοµέας και θεωρώ ότι από αυτό το βήµα αξίζει µια πρόβλεψη για το κοντινό µέλλον. Η µεγάλη αύξηση του IoT η οποία επί της ουσίας δίνει µεγαλύτερη επιφάνεια επίθεσης και άρα µεγαλύτερο κίνδυνο δείχνει έναν πρώτο πυλώνα προτεραιότητας στο κοντινό µέλλον. Από την άλλη, επειδή πλέον οι επιθέσεις χρησιµοποιούν ΑΙ και ML, αναγκαστικά οι δύο αυτές έννοιες θα εµπεριέχονται πλέον σε όλα τα µέτρα προστασίας και όχι µόνο κατ΄ όνοµα, αλλά και κατ΄ ουσίαν. Τολµώ να βάλω οικονοµικο-πολιτική διάσταση στις κυβερνοεπιθέσεις παρατηρώντας ότι οι επιθέσεις µε στόχο ολόκληρα κράτη αναµένεται να επεκταθούν, βλέποντας χώρες να αναζητούν νέους τρόπους για να επιβεβαιώσουν την επιρροή τους. Η έλευση της κβαντικής υπολογιστικής φαίνεται ότι θα απειλήσει την κρυπτογραφία αλλά από την άλλη θα προσφέρει νέες δυνατότητες για την κυβερνοασφάλεια. Η προστασία της ιδιωτικότητας αναµένεται να ενισχυθεί, µε νέες κανονιστικές απαιτήσεις και µε αύξηση της επίγνωσης των καταναλωτών. Αυτές οι τάσεις αναµένεται να διαµορφώσουν το κοντινό µέλλον της κυβερνοασφάλειας, αλλά είναι σηµαντικό να σηµειωθεί ότι οι προβλέψεις σε έναν τόσο δυναµικό τοµέα είναι πάντα επισφαλείς.

Η µεγάλη αύξηση του IoT δείχνει έναν πρώτο πυλώνα Η σηµασία των εργαλείων προτεραιότητας στο ‘Όλα τα παραπάνω δεν είναι αρκετά κοντινό µέλλον. χωρίς την ύπαρξη των µέσων προστασίας που υλοποιούν τις πιο πάνω Από την άλλη, πολιτικές. Οι επιθέσεις γίνονται ολοεπειδή πλέον ένα και πιο έξυπνες, άρα νοµοτελειακά και το σύστηµα ασφάλειας πρέπει οι επιθέσεις να προσαρµόζεται το ίδιο έξυπνα και γρήγορα. χρησιµοποιούν ΑΙ Η τεχνητή νοηµοσύνη και η µηχανική µάθηση είναι τα απαραίτητα συστατι- και ML, αναγκαστικά κά εξυπνάδας στην κυβερνοασφάλεια, οι δύο αυτές έννοιες προσφέροντας νέες δυνατότητες για τον εντοπισµό, την πρόληψη και θα εµπεριέχονται την αντιµετώπιση κυβερνοαπειλών. πλέον σε όλα Οι µηχανισµοί ανίχνευσης απειλών, όπως για παράδειγµα το IDS, υποβο- τα µέτρα προστασίας Εν κατακλείδι ηθούµενο από AI πρέπει να µπορεί Η δουλειά ενός CISO είναι λοιπόν εννα ανιχνεύσει ασυνήθιστα πρότυπα σε δεδοµένα in transit υποδεικνύοντας πιθανή επίθεση. Οι αλγόριθµοι µηχανικής µάθησης µπορούν πλέον να αναλύσουν όγκους δεδοµένων για την πρόβλεψη πιθανών κυβερνοαπειλών. Η αυτοµατοποιηµένη αντιµετώπιση επιθέσεων µε χρήση ΑΙ γίνονται σαφώς πιο αποτελεσµατικές. Τα µαθηµατικά ως επιστήµη δίνουν µέσω της τεχνητής νοηµοσύνης γρήγορη στατιστική ανάλυση για ανίχνευση ασυνήθιστων συµπεριφορών που ενδέχεται να υποδεικνύουν απειλές. Τίθεται βέβαια ένα ηθικό και νοµικό ζήτηµα σε σχέση µε την τεχνητή νοηµοσύνη και τη µηχανική µάθηση στην κυβερνοασφάλεια καθώς προκύπτουν ανησυχίες σχετικά µε την ιδιωτικότητα των δεδοµένων, αλλά δεν είναι δυνατόν να αναλυθεί σε αυτό εδώ το άρθρο. Είναι εύκολα κατανοητό ότι ο CISO έχει καίριο ρόλο στην διαχείριση και ενίσχυση της κυβερνοασφάλειας σε µια επιχείρηση και άρα πρέπει να είναι δυναµικός, συνεχώς ενηµερωµένος για τις νέες απειλές και τεχνολογίες, και ικανός να συνεργάζεται µε διάφορα τµήµατα της επιχείρησης για την προστασία της κυβερνοασφάλειας.

διαφέρουσα και πολυποίκιλη έχοντας να αντιµετωπίσει πολλές προκλήσεις. Ορισµένοι παράγοντες που καθιστούν αυτές ιδιαίτερα σηµαντικές περιλαµβάνουν το γεγονός ότι οι επιθέσεις γίνονται όλο και πιο σύνθετες και πολυεπίπεδες, συνδυάζοντας συχνά νέες τεχνικές για να παρακάµψουν τα µέτρα ασφαλείας. Το µεγάλο πρόβληµα έλλειψης εξειδικευµένου προσωπικού στον τοµέα αποτελεί επίσης µια πρόκληση και οι επιχειρήσεις πρέπει να ανταγωνίζονται για τους ειδικούς έχοντας περιορισµένους πόρους το οποίο κάνει τη διαδικασία βελτίωσης της ασφάλειας ακόµα πιο δύσκολη. Στις µεγάλες επιχειρήσεις µε πολύπλοκες δοµές, ο CISO πρέπει να συνεργάζεται µε διάφορα τµήµατα και να επικοινωνεί αποτελεσµατικά µε την ∆ιοίκηση του Οργανισµού, οπότε πέραν του τεχνικού υπόβαθρου απαιτούνται συνδυαστικά και soft skills. Η ασφάλεια της πληροφορίας σε έναν Οργανισµό είναι business enabler και όχι ένα κέντρο κόστους. Αυτό κάνει ακόµα πιο ελκυστικό το ρόλο των ανθρώπων που την προστατεύουν.

C Y BER SECU RIT Y • netwee

What’s beyond 2023 in Cybersecurity Οι προσωπικές πληροφορίες του

75%

του παγκόσμιου πληθυσμού

θα καλύπτονται από τα σύγχρονα νομοθετικά πλαίσια περί απορρήτου μέχρι τέλος του έτους. Επιπλέον, μέχρι το 2025, η εταιρεία αναλυτών προβλέπει ότι το 40% των διοικητικών συμβουλίων θα έχουν μια θέση κυβερνοασφάλειας στο τραπέζι τους. (Gartner)

60%

των οργανισμών

θα υιοθετήσει τη Zero Trust προσέγγιση ως σημείο εκκίνησης για την ασφάλεια τους έως το 2025, ωστόσο οι περισσότεροι από τους μισούς θα αποτύχουν να διατυπώσουν τα σχετικά οφέλη. (Gartner)

60%

30%

των οργανισμών

των εθνών

θα χρησιμοποιούν τον κίνδυνο κυβερνοασφάλειας ως πρωταρχικό καθοριστικό παράγοντα για τις επιχειρηματικές συναλλαγές τρίτων έως το 2025. (Gartner)

40%

Έως και το

80%

των οργανισμών

θα ενοποιήσει τις υπηρεσίες web και cloud από μια ενιαία πλατφόρμα SSE έως το 2025. (Gartner)

των end-users εταιρειών

θα χρησιμοποιούν content disarm and reconstruction (CDR), μέχρι το τέλος του 2027. (CSO Online)

40%

των οργανισμών

θα έχουν ειδικές επιτροπές για τον κυβερνοχώρο

θα εγκρίνει νομοθεσία για ransomware έως το 2025. (Gartner)

& 50%

θα έχει αντίστοιχες απαιτήσεις απόδοσης για C-level στελέχη, μέχρι το 2026 (Gartner)

366,1 δισεκατομμύρια δολάρια

προβλέπεται να φτάσει η παγκόσμια αγορά ασφάλειας πληροφοριών το 2028. (Fortune)

70% των CEO

θα επιβάλει μια κουλτούρα οργανωσιακής ανθεκτικότητας (organizational resilience) έως το 2025. (Gartner)

Gravity Zone Enterprise + XDR Addon Πανίσχυρη Ορατότητα & Απόκριση Η αποτελεσματικότερη προστασία στον κόσμο με 30+ επίπεδα άμυνας. Η ενιαία πλατφόρμα για πρόληψη και θωράκιση με ενσωματωμένο EDR και ισχυρό Threat Hunting, τώρα συνδέεται με το XDR και φέρνει στο φως όλα τα τυφλά σημεία της υποδομής σας. Η Bitdefender, Παγκόσμιος Ηγέτης στο Cyber Security και στρατηγικός συνεργάτης για περισσότερους από 40.000 οργανισμούς, προσφέρει ολοκληρωμένες, αξιόπιστες λύσεις με τεχνολογίες αιχμής, με όραμα ένα ασφαλές ψηφιακό περιβάλλον. ↳ Μοναδικό Live Risk Analytics ↳ XDR για Network, Cloud, Identity, Productivity ↳ Πρόληψη – Ανίχνευση – Απόκριση ↳ Live Search EDR

Επικοινωνήστε μαζί μας info@bitdefender.gr Ελλάδα : 215-5353030 www.bitdefender.gr