S P E C I A L E DI T IO N
Leading the Digital Business Revolution!
CYBER
SECURITY ΤHE RACE IS ON
TRENDS CHALLENGES BEST PRACTICES
CYBERSECURITY at a glance_
ALL-INCLUSIVE CYBER PORTFOLIO
SECURITY OPERATIONS CENTER
MANAGED SECURITY SERVICES
29 EXPERTS
272 YEARS OF INDUSTRY EXPERIENCE
47 DEGREES
202 CERTIFICATIONS
19 CYBER-FOCUSED VENDORS
50 CYBER SOLUTIONS
7500+ INCIDENTS HANDLED
47 SATISFIED CUSTOMERS
PROUD SPONSOR OF THE HELLENIC CYBER SECURITY TEAM 2018, 2019, 2020/21 Tel: 210 9548000 • www.algosystems.gr • sales@algosystems.gr
Cyber Insured by Lloyds
ΔΙΕΥΘΥΝΣΗ ΣΥΝΤΑΞΗΣ Αγγελική Κορρέ
INFORMATION SECURITY MEANS BETTER BUSINESS Στον σύγχρονο ψηφιακό κόσμο, στην εποχή του ψηφιακού μετασχηματισμού, το ζήτημα της κυβερνοασφάλειας δεν μπορεί παρά να είναι άμεσα συνυφασμένο με το ίδιο το επιχειρείν και όχι μόνο. Ο κρίσιμης σημασίας ρόλος που διαδραματίζει η κυβερνοασφάλεια στην προστασία της πληροφορίας, της ιδιωτικότητας, των δικαιωμάτων μας, των ελευθεριών μας και πολλών άλλων -μέχρι και την φυσική μας ασφάλεια- εντείνεται ακόμα περισσότερο, καθώς ολοένα και περισσότερες υποδομές περνάνε στο σύννεφο (άρα online). H πανδημία του Covid-19 που συγκλονίζει τον πλανήτη τον τελευταίο σχεδόν χρόνο και οι συνέπειες αυτής έφερε ακόμα περισσότερο στο προσκήνιο την κρισιμότητα του ζητήματος, υπογραμμίζοντας πέρα από κάθε αμφιβολία ότι δεν πρόκειται μόνο για ένα επιχειρηματικό ζητούμενο αλλά για ένα θέμα δημόσιου ενδιαφέροντος. Ακριβώς για αυτό το λόγο άλλωστε, ο Οκτώβριος αποτελεί τον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας (ECSM) - μια ετήσια εκστρατεία που συντονίζεται από τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και την Ευρωπαϊκή Επιτροπή κάθε Οκτώβριο από το 2012. Η εκστρατεία είναι αφιερωμένη στην ευαισθητοποίηση των πολιτών καις των οργανισμών σε ζητήματα κυβερνοασφάλειας σε ολόκληρη την Ευρώπη, παρέχοντας ενημερωμένες πληροφορίες για τη διαδικτυακή ασφάλεια, συμβουλές από ειδικούς και βέλτιστες πρακτικές. Φέτος, οι απειλές στον κυβερνοχώρο είναι αυξημένες καθώς οι κυβερνοεγκληματίες εκμεταλλεύονται το φόβο και την αβεβαιότητα που έχει προκαλέσει η πανδημία του COVID-19. Παράλληλα, η κρίση έχει επιταχύνει την ψηφιοποίηση της καθημερινότητας, γεγονός που διευκολύνει τους κυβερνοεγκληματίες να εντοπίσουν πιθανά θύματα και να θέσουν τόσο τα άτομα όσο και τις επιχειρήσεις στο στόχαστρό τους. To netweek τιμάει τον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας, αλλά και την σημασία της διασφάλισης των πληροφοριών και των συστημάτων για το επιχειρείν και την κοινωνία ευρύτερα, με την ειδική έκδοση που κρατάτε στα χέρια σας. Δώσαμε τον λόγο στους πλέον ειδικούς, στους επικεφαλής για την ασφάλεια μεγάλων ελληνικών εταιρειών, οι οποίοι καταθέτουν προβληματισμούς, απόψεις αλλά και προτάσεις, συγκλίνοντας στο συμπέρασμα ότι η κυβερνοασφάλεια οφείλει να είναι αρωγός στην επίτευξη των εταιρικών στόχων και κομμάτι της στρατηγικής των οργανισμών.
Καλή ανάγνωση Αγγελική Κορρέ
ΑΡΧΙΣΥΝΤΑΚΤΗΣ Στάθης Ασπιώτης ΣΥΝΤΑΚΤΕΣ Παναγιώτης Μαρκέτος, Γιάννης Μουρατίδης, Γρηγόρης Γραμμένος, Γιάννης Ριζόπουλος, Θοδωρής Ριζόπουλος, Γιάννης Λεοντάρης, Γιώργος Καλούμενος ACCOUNT MANAGERS Θάνος Θώµος, tthomos@boussias.com Λίζα Αντωνιάδη, lantoniadi@boussias.com Νίκος Σαράφογλου, nsarafoglou@boussias.com ΥΠΟΔΟΧH ΔΙΑΦHΜΙΣΗΣ Ρούλη Σαμίου, rsamiou@boussias.com ΓΡΑΦΙΣΤΙΚΗ ΕΠΙΜΕΛΕΙΑ Aλέξανδρος Καρβουτζής ΦΩΤΟΓΡΑΦΟΣ Κορνήλιος Σαραντίογλου IMAGE BANK shutterstock.com ΣΥΝΔΡΟΜΕΣ/ΚΥΚΛΟΦΟΡΙΑ Aµαλία Ψιλούδη, Δηµήτρης Φαραός ΕΚΤΥΠΩΣΗ-ΒΙΒΛΙΟΔΕΣΙΑ Pressious Arvanitidis ΣΥΣΚΕΥΑΣΙΑ-ΕΝΘΕΣΗ-ΕΠΙΚΟΛΛΗΣΗ Presstime ΣΥΝΔΡΟΜΕΣ Εταιρειών: € 90 Στελεχών/Ιδιωτών: € 60, Φοιτητών: € 40 Κύπρου-Εξωτερικού: € 150 ΛΟΓΙΣΤΗΡΙΟ Κωνσταντίνος Χασιώτης, Λίνα Γκολομάζου, Αλέξης Σουλιώτης
ΕΚΔΟΤΗΣ Μιχάλης Κ. Μπούσιας ΣΥΜΒΟΥΛΟΣ ΕΚΔΟΣΕΩΝ Δημήτρης Κορδεράς ΔΙΕΥΘΥΝΤΡΙΑ ΕΚΔΟΣΕΩΝ Αντωνία Κατσουλιέρη ΔΙΕΥΘΥΝΤHΣ ΣΥΝΕΔΡΙΩΝ & ΒΡΑΒΕΙΩΝ Νικόλας Κονδάκης ΔΙΕΥΘΥΝΤΡΙΑ ΠΩΛΗΣΕΩΝ Νένα Γιαννακίδου CREATIVE DIRECTOR Γιώργος Τριχιάς ΕΠΙΚΟΙΝΩΝΙΑ ΒOUSSIAS ΕΠΙΚΟΙΝΩΝΙΕΣ Ε.Π.Ε. Κλεισθένους 338, Τ.Κ. 153 44, Γέρακας Τ.: 210 661 7777, F: 210 661 7778 Ε: info@netweek.gr S: http://www.boussias.com Κωδικός ΕΛΤΑ: 015952 ISSN: 2585-2388
C Y BER SECU RIT Y • netweeK
3
6 A nalysis Ανάγκη για αναθεώρηση στρατηγικής Για να είναι προστατευμένες στον μέγιστο δυνατό βαθμό, οι επιχειρήσεις οφείλουν να αναθεωρούν τους στόχους που έχουν θέσει για την ασφάλεια και με βάση τα δεδομένα τα οποία εκ των πραγμάτων αλλάζουν συνεχώς- και να επικαιροποιούν τη στρατηγική τους στον τομέα.
4
12 T rending Τα προσωπικά δεδομένα θα διαμορφώσουν την αγορά τεχνολογιών ασφάλειας
Πρόσωπα 16 Χ ρήστος Συγγελάκης, Επικεφαλής Ασφάλειας Πληροφοριακών Συστημάτων/ Υπεύθυνος Προστασίας Δεδομένων, Όμιλος Motor Oil Hellas 20 Παναγιώτης Κατερτζής, Information Security Officer, Eurolife FFH 24 Κ ώστας Παπαχρηστοφής, Group Information Security, Olympia Group 28 Μ αρία Σωτήρχου, Data Governance & Information Security Group Manager, Ευρωπαϊκή Πίστη 32 Μιχάλης Ν. Μπερκέτης, Information Security Officer, Συνεταιριστική Τράπεζα Χανίων 34 Δ ημήτρης Μακρής, ΙΤ Manager, Information Security Officer, Andriaki Shipping Co. 38 Δημήτρης Μουτζούρης-Λυγερός, Industrial Computerized Control Systems Security Expert 42 Δ ιονύσης Κοταρίδης, ICT Security Manager, Κέντρο Πολιτισμού Ίδρυμα Σταύρος Νιάρχος 44 Βάιος Ορφανιώτης, Information Security Manager, Elval 46 Η κυβερνοασφάλεια το 2020 σε αριθμούς
netweeK • C Y BER SECU RIT Υ
ΠΕΡΙΕΧΟΜΕΝΑ
Editorial
ΠΕΡΙΕΧΟΜΕΝΑ
3
BeyondTrust και Universal Privileged Management: το ολιστικό μοντέλο στη διαχείριση των προνομίων O ρόλος της Διαχείρισης Προνομιακής Πρόσβασης είναι θεμελιώδης για μία ολοκληρωμένη στρατηγική ασφαλείας, όμως η υιοθέτηση του cloud και η μεγάλης κλίμακας μετάβαση στην απομακρυσμένη πρόσβαση που επέβαλε η πανδημία του κορωνοϊού, κατέστησαν επείγουσα ανάγκη την υιοθέτηση μίας ισχυρής λύσης στον τομέα αυτό, από όλες τις εταιρείες και τους οργανισμούς, για την προστασία των δεδομένων και των περιουσιακών τους στοιχείων. Του Γιώργου Καπανίρη, NSS Executive Director
Advertorial
Δ
εν είναι όμως όλες οι λύσεις ίδιες. Αυτό που πλατφόρμα της BeyondTrust ενσωματώνει την ασφάλεια χρειάζεστε είναι μία μοντέρνα προσέγγιση των προνομιακών διαπιστευτηρίων με την ασφάλεια των στην διαχείριση των προνομίων (προνομι- τερματικών συσκευών και την ασφάλεια της εξ αποστάακών λογαριασμών, ανθρώπινων και μη). σεως (απομακρυσμένης) πρόσβασης προσφέροντας ένα Λάβετε επίσης υπόψη, ότι η νούμερο ένα (#1) αιτία ολιστικό μοντέλο διαχείρισης που μειώνει δραστικά την παραβίασης δεν είναι άλλη από την κατάχρηση (κλο- επιφάνεια επίθεσης (attack surface) και τα όποια τρωτά πή, κ.λπ) προνομιακών διαπιστευτηρίων και πίσω από σημεία έκθεσης σε κινδύνους. Είτε «οn-premise» ή ως οποιαδήποτε παραβίαση διαπιστευτηρίων βρίσκεται «SaaS», η λύση της BeyondTrust προστατεύει κάθε χρήη αποτυχία διαχείρισης της προνομιακής πρόσβασης. στη, κάθε περιουσιακό στοιχείο, κάθε εταιρικό δεδομένο Αυτό σημαίνει, με απλά λόγια, ότι ένας τυπικός, απλός και οποιαδήποτε συνεδρία, απλοποιεί τα deployments χρήσης δεν θα έπρεπε επ’ ουδενί να έχει πρόσβαση σε (συμπεριλαμβανομένων των cloud deployments ή των κρίσιμης σημασίας περιουσιακά στοιχεία ενός οργανι- εικονικών μηχανών), παρέχει ευχρηστία (μέσω διαφόσμού και, επιπλέον, οι προνομιακοί λογαριασμοί (π.χ., ρων ευέλικτων επιλογών deployment, templates και λογαριασμοί διαχείρισης, υπηρεσιακοί λογαριασμοί, workflows), μειώνει τα κόστη και ελαχιστοποιεί τους διαπιστευτήρια app-to-app, κ.ά.) θα πρέπει να προστα- όποιους κινδύνους σχετίζονται με τα προνόμια και τα τεύονται με τέτοιο τρόπο ώστε να αποκλείεται οποιαδή- περιουσιακά στοιχεία της επιχείρησής σας. Είναι σημαποτε περίπτωση να πέσουν σε λάθος χέρια. Αυτό που ντικό ότι το σύστημα λειτουργεί χωρίς να επιβαρύνει χρειάζεστε είναι μία προσέγγιση όπως η λύση Universal τους χρήστες σας ή να καθυστερεί την εργασία τους με Privilege Management της BeyondTrust. Η προσέγγιση ενοχλητικά μέτρα ασφαλείας. της BeyondTrust συμπεριλαμβάνει το μοντέλο «Just-in- Στην πραγματικότητα, η πλατφόρμα της BeyondTrust Time Privileged Access Management», το οποίο προ- είναι αόρατη στους χρήστες, καθώς ενσωματώνεται με σφέρει το κατάλληλο επίπεδο πρόσβασης στους χρή- τα υφιστάμενα συστήματα ασφαλείας που χρησιμοποιείτε, στες σας, την απολύτως κατάλληλη στιγμή, χωρίς να προσφέροντας αυτοματοποιημένη διαχείριση προνομίων επιβαρύνει την παραγωγικότητα τους. και κεντρικό reporting και management καθιστώντας Η λύσ η της BeyondTr ust, Universal P rivilege την μοναδική στο είδος της. Management, προστατεύει και διασφαλίζει κάθε προ- Αποκτώντας την πλατφόρμα της BeyondTrust, αποκτάτε νομιούχο χρήση (άνθρωπο ή μηχανή), κάθε περίοδο 30 χρόνια τεχνογνωσίας σε θέματα ασφάλειας, αποδοσύνδεσης ή συνεδρία και κάθε εταιρικό περιουσιακό τικότητας και βέλτιστων πρακτικών. Περισσότεροι από στοιχείο, κάθε στιγμή και διαρκώς, σε όλο το εύρος του 20.000 εξαιρετικά ευχαριστημένοι πελάτες (το 70% των περιβάλλοντος πληροφορικής του οργανισμού σας, χωρίς οποίων βρίσκεται στη λίστα Fortune 500) εμπιστεύονται να αφεθεί κανένα προνόμιο δίχως έλεγχο, εκτός διαχεί- στην BeyondTrust την ασφάλεια της εταιρείας, της επιρισης, ανεξερεύνητο ή μη προστατευμένο. Με την λύση χείρησης και του οργανισμού τους. Εσείς; της BeyondTrust, μπορείτε να διατηρείτε υπό τον απόλυτο έλεγχο σας οποιονδήποτε προνομιακό λογαριασμό, www.nss.gr από τους κωδικούς πρόσβασης προνομιούχων χρηστών T: +30 210 5914326 και τα διαπιστευτήρια εφαρμογών μέχρι υπηρεσιακούς Athens Cyber Park λογαριασμούς, μυστικά DevOps, πιστοποιητικά, κλειδιά Παγγαίου & Αγγίστης 1 SSH και όλα τα υπόλοιπα. Επιπροσθέτως, η μοναδική 11855 Αθήνα
C Y BER SECU RIT Y • netweeK
5
ANALYSIS
6
Ανάγκη για αναθεώρηση στρατηγικής Η κυβερνοασφάλεια είναι ο κρισιμότερος ίσως τομέας στον οποίο πρέπει να εστιάζουν οι επιχειρήσεις, ανεξάρτητα από το μέγεθος και τον τομέα τους. Για να είναι προστατευμένες στον μέγιστο δυνατό βαθμό, οι επιχειρήσεις οφείλουν να αναθεωρούν τους στόχους που έχουν θέσει για την ασφάλεια με βάση τα δεδομένα -τα οποία εκ των πραγμάτων αλλάζουν συνεχώςκαι να επικαιροποιούν τη στρατηγική τους στον τομέα. ΤΟΥ ΣΤΑΘΗ ΑΣΠΙΩΤΗ
Α
πόλυτη ασφάλεια στα συστήματα IT δεν υπάρχει, αλλά για να διατηρείται αυτή σε ικανοποιητικό, κατά το δυνατόν, οι επικεφαλής οφείλουν να ανιχνεύουν, να εξετάζουν, να αναθεωρούν και να αλλάζουν τις πρακτικές που ακολουθούν στο cybersecurity. Υπάρχουν κλάδοι, όπως είναι οι κρίσιμες υποδομές στους οποίους η ασφάλεια είναι πρώτη προτεραιότητα. Αυτό δε σημαίνει ότι άλλοι, λιγότερο κρίσιμοι τομείς, μπορούν να παραβλέπουν τα
netweeK • C Y BER SECU RIT Y
θέματα ασφαλείας, καθώς αυτή αποτελεί προϋπόθεση για την υγιή και στέρεη ανάπτυξη κάθε επιχείρησης που χρησιμοποιεί υποδομές IT, on-premise ή Cloud. Στη συνέχεια, θα δούμε μερικές από τις τις κυριότερες τάσεις στην κυβερνοασφάλεια, έτσι όπως έχουν διαμορφωθεί το 2020, τις οποίες οι CISO πρέπει να έχουν υπόψη και να κατανοήσουν σε βάθος προκειμένου να καθορίσουν και να σχεδιάσουν δράσεις για την αντιμετώπισή τους.
Η COVID-19 καταλύτης εξελίξεων Στο ταχέως εναλλασσόμενο τοπίο των απειλών που κάνουν την εμφάνισή τους διαρκώς διαφορετικές μορφές, καθώς τα εργαλεία των κυβερνοεγκληματιών εξελίσσονται παράλληλα με την τεχνολογία, έχουν προστεθεί οι παράμετροι που εισάγει η COVID-19. Η αντιμετώπιση των προκλήσεων που έχουν δημιουργηθεί από τα μέτρα που λαμβάνονται για τον περιορισμό της πανδημίας, έρχονται να προστεθούν
στα ήδη υπάρχοντα ζητήματα. Η έλλειψη προσωπικού υψηλού επιπέδου, όχι μόνο στη χώρα μας, αλλά και σε διεθνές επίπεδο, η ταχεία και -για το λόγο αυτό- όχι άριστα σχεδιασμένη μετάβαση στο cloud, σε συνδυασμό με τις υποχρεώσεις που δημιουργούν οι κανονισμοί συμμόρφωσης, σε ό,τι αφορά τη διασφάλιση και διαχείριση των δεδομένων, συνθέτουν ένα ιδιαίτερα πολύπλοκο πεδίο δράσης για τους επικεφαλής. Η επιδημία έχει επιταχύνει τον ψηφιακό μετασχηματισμό. Αναλυτές κάνουν λόγο για ψηφιοποίηση υπηρεσιών που έλαβε χώρα μέσα σε λίγους μήνες, η οποία αντιστοιχεί με μετασχηματισμό που θα λάμβανε χώρα σε πέντε χρόνια, περίπου, σε ό,τι αφορά τη χώρα μας και ειδικά για τα συστήματα του κράτους. Η δραματική επέκταση της απομακρυσμένης εργασίας έχει επιφέρει εκρηκτική αύξηση των τερματικών που χρησιμοποιούνται, τα οποία είναι
σε μεγάλο βαθμό κινητά. Παράλληλα, η χρήση υπηρεσιών που βασίζονται στο cloud έχει εκτιναχθεί, λόγω των προσπαθειών για αποτελεσματικότερη επικοινωνία, αλλά και για δημιουργία συνθηκών εργασίας που προσομοιάζουν (ή και βελτιώνουν) εκείνες στα γραφεία ενός οργανισμού. Τα δεδομένα αυτά κάνουν φανερές τις παρωχημένες πρακτικές, τις νοοτροπίες που τις υποστηρίζουν, ενώ ίσως δεν χρειάζεται καν να αναφέρουμε τα ζητήματα που δημιουργεί η καθυστέρηση προσαρμογής και υιοθέτησης νέων τεχνολογιών. Για το 2020 οι υπηρεσίες cloud έχουν τεθεί στο επίκεντρο των ομάδων που ασχολούνται με την ασφάλεια. Η διευρυμένη χρήση εφαρμογών SaaS και η σύνδεση στα δίκτυα με ασύρματο τρόπο, επαναφέρουν στο προσκήνιο θέματα τα οποία, είτε ήταν βρίσκονταν χαμηλότερα στη λίστα προτεραιοτήτων, των υπευθύνων για την ασφάλεια, είτε είχε θεωρηθεί ότι είχαν λυθεί. Και όμως, όσο
και αν φαίνεται απίστευτο, η μη ασφαλής σύνδεση Wi-Fi αποτελεί το 2020 την αχίλλειο πτέρνα των συστημάτων IT! H COVID-19 δεν είναι μόνο αφορμή, αλλά παρέχει και... ισχυρά κίνητρα για αναθεώρηση της προσέγγισης στην κυβερνοασφάλεια. Επιτάχυνση ανίχνευσης και απάντησης Η νέα προσέγγιση, για να είναι επιτυχημένη, μέσα στο πλαίσιο που έχει διαμορφωθεί, πρέπει να είναι διαμορφωμένη κατάλληλα και εστιασμένη στους τομείς που είναι οι περισσότερο ευαίσθητοι για την εκάστοτε επιχείρηση, ανάλογα με τον κλάδο που δραστηριοποιείται. Γενικές προσεγγίσεις, τύπου “όλα-σεένα” δείχνουν ξεπερασμένες όσο ποτέ πριν. Απαραίτητη είναι η ανάπτυξη ευέλικτων πρακτικών, οι οποίες προσπερνούν τους περιορισμούς που έχουν ανακύψει. Η εμπλοκή προσωπικού υψηλού επιπέδου, με ταλέντα, είναι
7
8
απαραίτητο συστατικό για την επιτυχία. Σημείο μηδέν της νέας στρατηγικής είναι το προφανές, με βάση όσα έχουμε περιγράψει έως τώρα, δεν μπορεί να είναι άλλο από τη διεύρυνση των τρόπων ανίχνευσης των κινδύνων, όπως και η επιτάχυνση απάντησης σε αυτούς. Το κόστος σε χρήματα και χρόνο μιας παραβίασης επιβάλλει την κίνηση προς αυτή την κατεύθυνση. Οι λύσεις XDR (Extended Detection and Response) που συλλέγουν πληροφορίες με τρόπο αυτόματο και συσχετίζουν δεδομένα από διαφορετικά προϊόντα ασφάλειας είναι επίκαιρες. Με τη χρήση τέτοιων λύσεων, διαφορετικά συμβάντα σχετικά με την ασφάλεια (email, τοπικά, στο δίκτυο), συνδυάζονται για να αποτελέσουν ένα και μόνο συμβάν. Με τον τρόπο αυτό αυξάνεται η αποδοτικότητα και η παραγωγικότητα των λειτουργιών για την ασφάλεια. Η αυτοματοποίηση εργασιών δίνει τη δυνατότητα εκτέλεσής τους ταχύτερα, με τρόπο που μπορεί να είναι κλιμακούμενος και χωρίς λάθη. Όμως, οι επικε-
φαλής θα πρέπει να εξασφαλίσουν σε αυτά τα project δεν περιλαμβάνονται επαναλαμβανόμενες εργασίες. Αντίθετα, η εστίαση των προσπαθειών πρέπει να επεκτείνεται σε κρίσιμες λειτουργίες σχετικές με την ασφάλεια. Διασφάλιση των άκρων Παράλληλα με την αύξηση της απομακρυσμένης εργασίας, λαμβάνει χώρα η χρήση cloud υπηρεσιών ασφαλείας. Ο συνδυασμός των λειτουργιών ασφάλειας δικτύου, όπως οι WAN, τα firewall, τα secure gateway, η zerotrust network access σε συστήματα SASE (Secure Access Service Edge) δίνουν στους οργανισμούς τη δυνατότητα προστασίας των εργαζομένων εξ αποστάσεων και των εφαρμογών cloud μέσω cloud-based υποδομής, αντί της ανασυγκρότησης της κίνησης για την αναδρομολόγησή της μέσω ενός φυσικού data center για τους απαιτούμενους ελέγχους. Επιπλέον, η κατάργηση των στεγανών στην ασφάλεια των συστημάτων IT και
στην ασφάλεια των φυσικών συστημάτων είναι μια κίνηση που έχει αρχίσει να διαφαίνεται ότι θα γίνει απαραίτητη στο μέλλον. Η διασύνδεση των συστημάτων IT και OT στα αυξανόμενα σε χρήση συστήματα IoT και οι αυξανόμενες και όλο και πιο αποτελεσματικές επιθέσεις ransomware με στόχο φυσικά λειτουργικά συστήματα (π.χ. εργοστάσια ηλεκτρικής ενέργειας, γραμμές παραγωγής σε βιομηχανίες) επιβάλλουν οι πρωτοπόροι CSO να κινηθούν προς αυτή την κατεύθυνση. Η κατάργηση του VPN Μια ακόμη σημαντική αλλαγή που επέφερε η COVID-19 είναι η τάση αντικατάστασης του VPN, καθώς οι ευπάθειες του τελευταίου έγιναν περισσότερο φανερές. Προς αντικατάστασή της πρακτικής που συνιστά το VPN έρχεται το ΖΤΝΑ (Ζero-Τrust Νetwork Αccess), μέσω του οποίου ελέγχεται η απομακρυσμένη πρόσβαση σε συγκεκριμένες εφαρμογές. Το τελευταίο είναι με σαφήνεια περισσότερο ασφαλές από
BeyondTrust: Aσφαλής απομακρυσμένη πρόσβαση με το Privileged Remote Access Του Γιώργου Καπανίρη, NSS Executive Director
Η
απομακρυσμένη εργασία βρίσκεται στο επίκεντρο του ενδιαφέροντος εδώ και πολλούς μήνες λόγω της πανδημίας που σαρώνει τον κόσμο. Μάθετε πώς μπορείτε να παρέχετε ασφαλή απομακρυσμένη πρόσβαση σε ολόκληρο τον οργανισμό σας, εύκολα και αποτελεσματικά. Εξασφαλίστε την ασφάλεια των υπαλλήλων σας χωρίς να επηρεάσετε την εύρυθμη λειτουργία της επιχείρησής σας. Το σύστημα Privileged Remote Access της BeyondTrust παρέχει ασφαλή απομακρυσμένη πρόσβαση, ορατότητα και έλεγχο στην πρόσβαση συνεργατών, επιτρέποντας στους οργανισμούς να επεκτείνουν την πρόσβαση σε σημαντικά περιουσιακά στοιχεία, αλλά χωρίς να διακυβεύεται η ασφάλεια. Διαχειριστείτε και ελέγξτε διεξοδικά την πρόσβαση των διαχειριστών στα συστήματα της επιχείρησης χωρίς να θυσιάσετε την παραγωγικότητα. Περιορίστε την πρόσβαση στους συνεργάτες ή προμηθευτές μέσω λεπτομερούς πρόσβασης βάσει ρόλων σε συγκεκριμένα συστήματα και χρησιμοποιώντας καθορισμένες παραμέτρους συνεδρίας. Ελέγξτε τη δραστηριότητα των διαχειριστών που έχουν ειδικά προνόμια και ικανοποιήστε τις απαιτήσεις συμμόρφωσης. Μειώστε τις επιθέσεις συνδυάζοντας την παρακολούθηση, τις εγκρίσεις και τον έλεγχο προνομιακών λογαριασμών σε ένα σημείο δημιουργώντας μία μοναδική διαδρομή ασφαλούς πρόσβασης. Το σύστημα Remote Support της BeyondTrust μπορεί να σας βοηθήσει να παρέχετε άμεση, ασφαλή, αξιόπιστη απομακρυσμένη υποστήριξη σε τελικούς χρήστες και πελάτες, εντός ή εκτός του δικτύου σας, χρησιμοποιώντας Windows, Mac, iOS, Android και Chrome OS. Επικεντρωθείτε στην επίλυση του προβλήματος και όχι της σύνδεσης. Αποκτήστε πρόσβαση και πάρτε τον έλεγχο οποιουδήποτε απομακρυσμένου υπολογιστή ή συσκευής, εντός και εκτός δικτύου χωρίς να απαιτείται VPN. Υποστηρίξτε οποιοδήποτε σύστημα μέσω Internet, ακόμα και αν βρίσκονται πίσω από τείχη προστασίας που δεν βρίσκονται υπό τον έλεγχο σας. Ενοποιήστε και να τυποποιήστε τη διαδικασία υποστήριξης, και βελτιώστε το χρόνο διαχείρισης συμβάντων ενισχύοντας την παραγωγικότητα των συνεργατών σας. Καταγράψτε τη δραστηριότητα των συνεδριών μέσω ενός ολοκληρωμένου ίχνους ελέγχου και αξιολόγησης, με αναφορές σε πραγματικό χρόνο και καταγράψτε σε video όλες τις δραστηριότητας εντός των συνεδριών. Η NSS, Διεθνής Διανομέας / Value Added Distributor (VAD) λύσεων πληροφορικής υψηλής τεχνολογίας που αντιπροσωπεύει τη BeyondTrust στη ΝΑ Ευρώπη, οργανώνει μία ειδική εκδήλωση που θα λάβει χώρα διαδικτυακά την Τετάρτη 21 Οκτωβρίου στις 11:00 ειδικά για την απομακρυσμένη πρόσβαση. Αν θέλετε να παρακολουθήσετε την παραπάνω εκδήλωση παρακαλώ μπείτε στον παρακάτω σύνδεσμο: http://bit.ly/w3bbtnfx
netweeK • C Y BER SECU RIT Υ
Do you know how secure your organization really is? As a security professional, you need a clear picture of cyber risk across your entire business ecosystem. BitSight Security Ratings provide that picture with continuous insights into your company’s internal cybersecurity performance – and the ability to benchmark against industry peers and across your third-party portfolio in 20+ major risk categories. How secure is your organization?
Find out. Request your FREE customized BitSight Security Ratings Snapshot report. Request Now
at www.systecom.gr/bitsight
10
το VPN, καθώς μέσα από αυτό επιτυγ- τον όρο αυτό η Gartner περιγράφει τις χάνεται η ασφαλής, συνεχής και από λύσεις ασφαλείας που προσφέρονται οπουδήποτε πρόσβαση σε εφαρμογές με επίκεντρο τις ανάγκες προστασίας μέσω Internet. Το ZTNA απαλλάσει των φορτίων εργασίας σε σύγχρονες τους οργανισμούς από τον κίνδυνο «υβριδικές αρχιτεκτονικές multi-cloud παρεμβολής (piggyback) σε μια σύν- datacenter». H επιμονή χρήσης μοντέδεση VPN. Το ΖΤΝΑ επικοινωνεί απο- λων ασφάλειας και των προϊόντων που κλειστικά με τον πάροχο ZTNΑ, κάτι το τα εξυπηρετούν, ίδια με εκείνα που χρηοποίο επιτυγχάνεται αποκλειστικά μέσω σιμοποιούνται από τους τερματικούς της υπηρεσίας cloud του τελευταίου. Η χρήστες που συνδέονται σε μια συμβαπρόκληση για την πλήρη υιοθέτηση του τική υποδομή server, δεν αποτελεί βέλασφαλέστερου ZTNA είναι η απαίτηση τιστη επιλογή. Η συνεχής βελτίωση και για πλήρη χαρτογράφηση των δικαι- προσαρμογή της ασφάλειας του cloud ωμάτων πρόσβασης όλων των χρηστών που χρησιμοποιεί ένας οργανισμός ονογια κάθε μια εφαρμογή. μάζεται από την Gartner, CSPM (Cloud Security Posture Management) και Προσαρμογή της προκύπτει από την εκ φύσεως εναλλαασφάλειας στο cloud γή υποδομών που λαμβάνει χώρα κατά περιβάλλον τη χρήση public cloud. H σύγχρονη Αναγκαία είναι η προσαρμογή του βέλτιστη πρακτική στην ασφάλεια στο μοντέλου προστασίας στις δυναμικές cloud απαιτεί τεχνικές και κανόνες απαιτήσεις των εφαρμογών που τρέ- CWPP σε συνδυασμό με CSPM. χουν στο cloud. Πρόκειται για υιοθέτηση της πλατφόρμας CWPP, την οποία η Η ΑΙ Gartner περιγράφει ως development Οι επιτιθέμενοι ήδη χρησιμοποιούν τεof cloud workload protection. Με χνητή νοημοσύνη για να εντοπίσουν
ευκολότερα και ταχύτερα τις ευπάθειες συστημάτων IT. Την ίδια στιγμή, οι προηγμένες επιχειρήσεις χρησιμοποιούν την τεχνητή νοημοσύνη και ειδικότερα τη μηχανική μάθηση για την ανάπτυξη προϊόντων, αλλά και για βελτιστοποίηση διαδικασιών, ανάμεσα σε άλλα. Τα ίδια εργαλεία ΑΙ αυτοματοποιούν δειργασίες σχετικές με την ασφάλεια και λειτουργούν υποστηρικτικά στις ανθρώπινες ενέργειες και αποφάσεις. Οι προκλήσεις που προκύπτουν είναι ξεκάθαρες και σχετίζονται με την προστασία των επιχειρηματικών λειτουργιών που αξιοποιούν εργαλεία AI, την στοχευμένη και αποδοτική χρήση AI σε συνδυασμό με λύσεις που χρησιμοποιούνται για την ασφάλεια, συμπεριλαμβανομένης της πρόβλεψης και πρόληψης έναντι στους κινδύνους που ενέχει η χρήση AI από τους επιτιθέμενους. Στη διαμόρφωση του περιεχομένου συνέβαλε η εταιρεία InfoSystems, αποκλειστικός εκπρόσωπος της Gartner στην Ελλάδα και στην Κύπρο.
Η τεχνολογία στην υπεροχή της Bitdefender Tου Γρηγόρη Ιωαννίδη, Business Development Manager, Blue Soft & IT
Η
Bitdefender, παγκόσμιος και αξιόπιστος κατασκευαστής καινοτόμων λύσεων ασφάλειας στον κυβερνοχώρο, προστατεύει περισσότερες από 500 εκατομμύρια εγκαταστάσεις σε 150 χώρες, επεκτείνοντας διαρκώς το μεγαλύτερο intelligence network παγκοσμίως. Το 38% των κατασκευαστών cyber security επιλέγουν και ενσωματώνουν στις λύσεις τους τεχνολογίες της Bitdefender, σε μια λίστα συνεργασιών σταθερά αυξανόμενη από το 2001.
Στοχεύοντας στην θέση του στρατηγικού συνεργάτη για κάθε πελάτη της, η Bitdefender διαθέτει πρωτοπόρες λύσεις ασφάλειας για κάθε σημείο του ταξιδιού σας στον χάρτη της ψηφιακής ανάπτυξης της επιχείρησής σας, ενώ στα τοπικά γραφεία σε Ελλάδα & Κύπρο μπορείτε να επικοινωνήσετε με έναν σύμβουλο και να επιλέξετε την κατάλληλη λύση. Βλέποντας τις ψηφιακές προκλήσεις να αυξάνονται ραγδαία (+715% τους πρώτους 8 μήνες του 2020), η πλατφόρμα της Bitdefender αποτελεί την πλέον ευέλικτη επιλογή. Σε cloud ή on-premise εγκατάσταση επιτρέπει σας επιτρέπει εύκολη μετάβαση ανάμεσα σε προϊόντα (upgrade) ή προσθήκες (add-on), εξασφαλίζοντας μηδενικό κόστος διαχείρισης. Η Bitdefender, είναι ο μοναδικός κατασκευαστής που ενσωματώνει στην τεχνογνωσία του περισσότερα από 30 επίπεδα ασφαλείας και στις πιο απλές εκδόσεις της σουίτας. Παράλληλα εξασφαλίζει συνεχείς ενημερώσεις και προσθήκες χωρίς να απαιτείται παρέμβαση του διαχειριστή, προσφέροντας συνεχώς νέες δυνατότητες που καλύπτουν τις σύγχρονες ανάγκες προστασίας των δεδομένων. Ανεξάρτητα απ’ την ποικιλομορφία ή την διασπορά του εξοπλισμού σας, στην πλατφόρμα της Bitdefender θα βρείτε την κατάλληλη λύση, από Endpoint Security (epp) με επιλογή ενσωμάτωσης Sandboxing αλλά και EDR, με ενσωματωμένα εργαλεία Hardening (Risk Management & Analytics), εργαλεία ευέλικτης διαχείρισης (Device control, Application Control, Web filtering κ.α.) αλλά και premium λύσεις ενισχυμένης προστασίας όπως cloud Email Security και Network Traffic Security Analytics.
netweeK • C Y BER SECU RIT Υ
Ψηφιακός Μετασχηματισμός και πανδημία δρομολογούν τις εξελίξεις στην Κυβερνοασφάλεια Του Ανδρέα Καραντώνη, Marketing Communications Manager, Cysoft Ltd.
Ο
ι επιπτώσεις της υγειονομικής κρίσης, δεν θα μπορούσαν να αφήσουν ανεπηρέαστο τον τομέα της Κυβερνοασφάλειας. Μόνο τυχαίο δεν είναι το γεγονός πως οι επιθέσεις που πραγματοποιήθηκαν κυρίως κατά το δεύτερο εξάμηνο του έτους, σχετίζονταν εν πολλοίς με τον COVID-19. Όπως είναι φυσικό, όταν ένας -ακόμη- αστάθμητος παράγοντας όπως η πανδημία, προστίθεται ως μεταβλητή σε ένα εκ φύσεως δυναμικό και μεταβαλλόμενο περιβάλλον, οι προκλήσεις γίνονται ακόμη μεγαλύτερες.
Advertorial
Covid-19 και Digital Transformation Η κρίση εξώθησε επιχειρήσεις κάθε μεγέθους, οργανισμούς και φορείς σε «Ψηφιακό Μετασχηματισμό». Προκειμένου να ανταπεξέλθουν στις απαιτήσεις των καιρών, μετέφεραν λειτουργίες, υπηρεσίες και υποδομές, σε cloud περιβάλλοντα, επιτρέποντας την κατά το δυνατόν απρόσκοπτη και αδιάλειπτη λειτουργία τους, υιοθετώντας εξ’ αποστάσεως εργασία. Ωστόσο, με δεδομένο ότι σε πολλές περιπτώσεις αυτή η μετάβαση πραγματοποιήθηκε μάλλον «άναρχα» και όχι μεθοδευμένα, δημιούργησε μια σειρά ζητημάτων ασφάλειας. Όπως ήταν αναμενόμενο, η αυξημένη ζήτηση λύσεων για τη θωράκιση έναντι δυνητικών απειλών, οδήγησε την παγκόσμια αγορά ψηφιακής ασφάλειας σε σημαντική άνοδο. Επενδύσεις στην Ψηφιακή Ασφάλεια Θα περίμενε κανείς πως λόγω των συνθηκών της εποχής, οι επενδύσεις σε λύσεις κυβερνοασφάλειας θα εντείνονταν το επόμενο διάστημα. Τουναντίον, ο αντίκτυπος της πανδημίας έχει επηρεάσει σημαντικά τους προϋπολογισμούς των επιχειρήσεων, με αποτέλεσμα οι επενδύσεις σε εξοπλισμό και λύσεις Πληροφορικής να αναθεωρούνται προς τα κάτω, τουλάχιστον για την πλειοψηφία των μικρών και μεσαίων σε μέγεθος, εταιρειών. Στον αντίποδα, μεγάλες εταιρείες και οργανισμοί όπως επιχειρήσεις υγειονομικού ενδιαφέροντας και υπηρεσιών, χρηματοπιστωτικά ιδρύματα, πάροχοι τεχνολογίας και τηλεπικοινωνιών, δημόσιοι και ιδιωτικοί φορείς, ασφαλιστικές
εταιρείες κ.α., αναμένεται να συνεχίσουν ή και να αυξήσουν αισθητά τις επενδύσεις στην κυβερνοασφάλεια, μετατοπίζοντας μάλιστα το κέντρο λήψεως αποφάσεων, από τους IT Managers στους CIOs ή ακόμα και στους CEOs. On-Premises, Cloud ή MSP, η Cysoft Πληροφορική έχει τις λύσεις Λύσεις για την οχύρωση της περιμετρικής ασφάλειας των δικτύων, τη θωράκιση των endpoints, την ασφαλή απομακρυσμένη πρόσβαση σε κρίσιμες εταιρικές υποδομές, emails και εργαλεία συνεργατικότητας, την αποθήκευση και αποκατάσταση δεδομένων, αλλά και την αυτοματοποίηση των διαδικασιών IT, θα βρεθούν στο επίκεντρο των επενδύσεων για τις επιχειρήσεις, το αμέσως επόμενο διάστημα. Είναι δεδομένο πως επιχειρήσεις που δεν διαθέτουν τον απαραίτητο υλικοτεχνικό εξοπλισμό ή/και τους ανθρώπους με την κατάλληλη τεχνογνωσία για να υλοποιήσουν τα παραπάνω, θα αναζητήσουν λύσεις βασισμένες στο cloud ή ακόμα και σε συνεργασία με παρόχους διαχειριζόμενων υπηρεσιών. Σε κάθε περίπτωση, ζητούμενο για τις επιχειρήσεις είναι η αναθεώρηση της ψηφιακής τους καθημερινότητας και η εναρμόνιση με τη νέα πραγματικότητα μέσα από το πρίσμα των αναδυόμενων προκλήσεων της κυβερνοασφάλειας. Η Cysoft Πληροφορική, με περισσότερα από 22 χρόνια εμπειρίας, πιστοποιημένη τεχνογνωσία και σε συνεργασία με κορυφαίους τεχνολογικούς παρόχους όπως οι Trend Micro, ManageEngine, Zoho, AppGate, Arcserve, Vembu, Site24x7, Blancco, TrustArc κ.α., διαθέτει ένα υπερσύγχρονο προϊοντικό portfolio και μια ευρεία γκάμα ολοκληρωμένων λύσεων που καλύπτουν εξατομικευμένα τις ανάγκες ασφάλειας και διαχείρισης πληροφοριακών συστημάτων των οργανισμών και επιχειρήσεων κάθε μεγέθους.
Αγίας Φωτεινής 29, 171 21, Νέα Σμύρνη T: (+30) 210 93 40 288 E: info@cysoft.gr
C Y BER SECU RIT Y • netweeK
11
TRENDING
12
Τα προσωπικά δεδομένα θα διαμορφώσουν την αγορά τεχνολογιών ασφάλειας Από την 11η Σεπτεμβρίου 2011 και έπειτα, διαπιστώνουμε μια διαρκή προσπάθεια να συνδεθεί η απώλεια της ιδιωτικότητας με την βελτίωση της προστασίας σε κρατικό και επιχειρηματικό επίπεδο. Η εξέλιξη αυτής της ισορροπίας θα καθορίσει στο μέλλον και την εξέλιξη των τεχνολογιών ασφάλειας. ΤΟΥ ΓΙΑΝΝΗ ΜΟΥΡΑΤΙΔΗ
netweeK • C Y BER SECU RIT Υ
Μ
ε τη βοήθεια ΜΜΕ, έγινε γνωστό ότι μια πολύ μεγάλη έκταση στην Κίνα, στην οποία κατοικούν σχεδόν 10 εκατομμύρια Ουιγούροι, έχει μετατραπεί σε ένα εργαστήρι ελέγχου των πιο σύγχρονων τεχνολογιών ασφάλειας, μεταξύ των οποίων κάμερες με δυνατότητα αναγνώρισης προσώπων, drones και συστήματα ελέγχου τηλεπικοινωνιών. Το κινέζικο κράτος και ενδεχομένως μια μερίδα των πολιτών του, θεωρεί τη συγκεκριμένη μειονότητα απειλή και επομένως χρησιμοποιεί όλα τα μέσα που είναι απαραίτητα για να προφυλάξει τους πολλούς από τους λίγους. Κάτι ανάλογο, με διαφορετικές μορφές, συμβαίνει σε όλα τα κράτη, όπου συχνά οι πολίτες δίνουν συνειδητά ή όχι τη συγκατάθεση τους για την χρήση τεχνολογιών που θα τους προφυλάξουν από τρομοκρατικές ή άλλες απειλές. Οι επιχειρήσεις δεν απέχουν πολύ
από αυτό το μοντέλο, προκειμένου να προστατεύσουν τα περιουσιακά τους στοιχεία. Τη ψηφιακή και φυσική τους προστασία αναλαμβάνουν προμηθευτές, οι οποίοι προσπαθούν διαρκώς να είναι καλύτερα εξοπλισμένοι από αυτούς που θεωρούνται απειλή. Σε αυτό το πλαίσιο, οι επιχειρήσεις, αλλά και οι εργαζόμενοι τους δέχονται όρους που έχουν εκτός από οικονομικό έχουν και ένα κοινωνικό κόστος. Όταν για παράδειγμα, μια εταιρεία υποχρεώνει τους εργαζόμενους της να χρησιμοποιούν μια συγκεκριμένη εφαρμογή σε σχέση με μια άλλη, εφαρμόζει μια πολιτική, με την οποία ο εργαζόμενος μπορεί να μην είναι σύμφωνος ή να μην ήταν σύμφωνος, εάν ήταν σωστά ενημερωμένος. Το φρέσκο παράδειγμα της τηλε-εκπαίδευσης Η πανδημία, μια μορφή απειλής για τους πολίτες, έφερε στο προσκήνιο τη
χρήση της τηλε-εκπαίδευσης, για ένα πολύ μεγαλύτερο αριθμό μαθητών και σπουδαστών σε σχέση με το παρελθόν. Οι εφαρμογές που προτάθηκαν από το κράτος, χωρίς να έχει προηγηθεί κάποια διαβούλευση, είχαν πρόσβαση σε ιδιωτικά δεδομένα των χρηστών, όπως η εικόνα τους μέσω του video, η φωνή τους μέσω του ήχου και η εικόνα εσωτερικών χώρων του σπιτιού τους, επίσης μέσω του video. Η πληροφορία αυτή είναι πολύ πιο εύκολο να αποθηκευτεί και να αναλυθεί, καθώς οι χώροι αποθήκευσης και οι μονάδες επεξεργασίας δεδομένων είναι σε αφθονία σε σχέση με το παρελθόν και διαθέσιμες σε περισσότερους, ενώ επιπλέον οι αλγόριθμοι επεξεργασίας έχουν αποκτήσει περισσότερη γνώση. Επομένως, αν μια από τις εταιρείες που πρόσφερε τις πλατφόρμες τηλε-εκπαίδευσης είχε τη διάθεση, θα μπορούσε να βγάλει πολύτιμα συμπεράσματα για τη νοοτροπία και την καθημερινή ζωή
13
14
των μαθητών-σπουδαστών, με ότι αυτό διάστημα με στόχο να ευαισθητοποιήμπορεί να σημαίνει. Το ίδιο συνέβη και σουν τους πολίτες σε θέματα που έχουν με τις πλατφόρμες τηλε-εργασίας, οι σχέση με τα προσωπικά τους δεδομένα. οποίες κατά κάποιο τρόπο επιβλήθηκαν «Φανταστείτε», λέει η συντάκτρια του από το marketing των προμηθευτών άρθρου, «να έχετε ένα κεντρικό κλειδί τους και τις επιλογές του τμήματος που δίνει πρόσβαση στην είσοδο του πληροφορικής των επιχειρήσεων. Οι σπιτιού σας, στην κρεβατοκάμαρα, το διαφορές της νοοτροπίας των πολιτών αυτοκίνητό σας, το χρηματοκιβώτιο σας σε διαφορετικές χώρες, είχαν ως απο- και το αρχείο με τις ιατρικές σας εξετάτέλεσμα μικρές ή μεγάλες εστίες αντι- σεις. Θα θέλατε να κάνετε αντίγραφα δράσεων, οι οποίες δε φάνηκε να είναι αυτού του κλειδιού και να τα μοιράζετε σημαντικές στο πλαίσιο του γενικού σε αγνώστους;» πληθυσμού. Αυτό ακριβώς συμβαίνει σήμερα. ΕπιΆλλωστε, ο γενικός πληθυσμός έχει χειρήσεις σε όλον τον κόσμο είτε επειδή ήδη εκπαιδευτεί να διαθέτει τα προσω- εμείς αγνοούμε τη σημασία του κλειδιού πικά του δεδομένα δωρεάν σε εταιρείες ή επειδή οι επιχειρήσεις που εργαζόπου τα αποθηκεύουν χιλιάδες χιλιόμε- μαστε μας αναγκάζουν να το αντιγράτρα μακριά και έχουν τον πλήρη έλεγχο ψουμε και να το μοιράσουμε, αποκτούν τους - αν και τυπικά δεσμεύονται από πρόσβαση σε ολοένα και αυξανόμενο τους όρους που θέτουν οι κατά τόπους ποσοστό των προσωπικών μας δεδομέαρχές προστασίας. Επομένως, για το νων. Θα μπορούσαμε να αναλωθούμε μεγαλύτερο ποσοστό των ανθρώπων, σε θεωρίες, όπως αυτή που υποστητο να διαθέσουν την εικόνα τους μέσω ρίζει η παραγωγός Laura Poitras, η video σε μερικές εταιρείες ακόμα, δεν οποία σε μια συνέντευξη της στη The ήταν κάτι πολύ ανησυχητικό. Τι θα Washington Post, λέει ότι «το Facebook συμβεί όμως αν αυτή η κατάσταση είναι ένα δώρο προς τις κρατικές υπηαρχίσει να αλλάζει; Όταν οι πολίτες ρεσίες ασφάλειας», αλλά πρακτικά θα
Nobody trust anybody
Αν και η επιλογή αυτή δεν βοηθά στη βελτίωση κοινωνικών σχέσεων, στον επιχειρηματικό κόσμο και μεταξύ κρατών είναι μια συνηθισμένη στρατηγική. Η επιχείρηση δεν εμπιστεύεται πλήρως τον εργαζόμενο και το αντίθετο, το κράτος δεν εμπιστεύεται τους πολίτες και το αντίθετο, το κράτος δεν εμπιστεύεται τους συμμάχους και τα γειτονικά κράτη. Σε αυτό το περιβάλλον, συναλλαγές, συζητήσεις και συμφωνίες, περνούν μέσα από φίλτρα, τα οποία ανάλογα με τη χρονική περίοδο μπορεί να είναι περισσότερο ή λιγότερο διαπερατά. Είναι δεδομένο ότι ο ισχυρός σε μια τέτοια κατάσταση έχει τη δυνατότητα να επιβάλει την πολιτική του, ακόμα και αν χρειαστεί να υποστεί κάποιες απώλειες. Ένα παράδειγμα είναι το GDPR, το οποίο πρακτικά επιβλήθηκε στις πολυεθνικές επιχειρήσεις που λειτουργούν εντός των συνόρων της ΕΕ. Ένα άλλο παράδειγμα είναι τα κοινωνικά δίκτυα, τα οποία με το μέγεθος τους «επιβάλλονται» στους χρήστες
Ο γενικός πληθυσμός έχει ήδη εκπαιδευτεί να διαθέτει τα προσωπικά του δεδομένα δωρεάν σε εταιρείες που τα αποθηκεύουν χιλιάδες χιλιόμετρα μακριά και έχουν τον πλήρη έλεγχο τους - αν και τυπικά δεσμεύονται από τους όρους που θέτουν οι κατά τόπους αρχές προστασίας σε μεγαλύτερο ποσοστό αρχίσουν να συνειδητοποιούν ότι προσφέρουν την ιδιωτική τους ζωή στο πιάτο κρατών και επιχειρήσεων και μάλιστα χωρίς κανένα οικονομικό όφελος για τους ίδιους;
Privacy is power
Με αυτό τον τίτλο, η Carissa Veliz, καθηγήτρια φιλοσοφίας στο Institute for Ethics in AI και στο Hertford College στο Πανεπιστήμιο της Οξφόρδης, μας εισάγει σε ένα άρθρο που δημοσιεύτηκε στην πλατφόρμα Aeon. Πρόκειται για ένα από τα δεκάδες άρθρα που δημοσιεύονται το τελευταίο
netweeK • C Y BER SECU RIT Υ
φέρναμε στο προσκήνιο ένα θέμα που έχει ζωή αιώνων και απλά αλλάζουν τα μέσα που χρησιμοποιούνται. Το ερώτημα λοιπόν, δεν είναι αν εταιρείες και επιχειρήσεις έχουν τη δυνατότητα να αξιοποιήσουν τα προσωπικά μας δεδομένα για να μας προστατέψουν ή να μας ελέγξουν, αλλά πως η αλλαγή της νοοτροπίας των πολιτών σε παγκόσμιο επίπεδο θα επηρεάσει το μέλλον. Τι θα συνέβαινε για παράδειγμα, αν 100 εργαζόμενοι μιας εταιρείας, αποφάσιζαν ότι δε θέλουν να χρησιμοποιούν το λογισμικό ή την πλατφόρμα κάποιου προμηθευτή;
τους, ενώ το ίδιο ισχύει και για προϊόντα λογισμικού και τεχνολογικές πλατφόρμες που έχουν δεσπόζουσα θέση στην αγορά. Ο κάθε πολίτης φαίνεται να είναι εντελώς αδύναμος απέναντι σε τόσο ισχυρές δυνάμεις, δεν ισχύει όμως το ίδιο για μεγάλους πληθυσμούς πολιτών που συγχρονίζονται για να πετύχουν ένα κοινό σκοπό. Αυτοί οι συντονισμοί πολιτών είναι πολύ πιθανό να επηρεάσουν στο μέλλον την αγορά της κυβερνοασφάλειας, θέτοντας όρια στις παραχωρήσεις προσωπικών δεδομένων με όφελος περισσότερη ευκολία και ασφάλεια.
INTERVIEW
Η ασφάλεια στην υπηρεσία της εταιρικής στρατηγικής 16 Χρήστος Συγγελάκης
Ποιες είναι οι σημαντικότερες προκλήσεις σε ό,τι αφορά την ψηφιακή ασφάλεια που αντιμετωπίζουν σήμερα οι οργανισμοί; Σήμερα ζούμε σε μια εποχή όπου τα σενάρια που φτιάχναμε ωχριούν μπροστά στις προκλήσεις που αντιμετωπίζουμε. Οι επαγγελματίες της ασφάλειας γενικότερα έχουν την ανάγκη να προβλέψουν και να τοποθετήσουν τις επενδύσεις τους με βάση τις πιθανότητες να συμβεί ένα καταστροφικό σενάριο. Αν και θεωρητικά κάποιοι το ψέλλιζαν, θεωρώ ότι ελάχιστοι είχαν την πολυτέλεια και προετοιμάστηκαν πραγματικά πριν από κάποια χρόνια για αυτό που ζούμε σήμερα. Γιατί απλά δεν το περιμέναμε να είναι τόσο μεγάλο και να αλλάξει τόσο δραστικά την ζωή μας. Έπρεπε όμως να επιβιώσουμε και νομίζω ότι οι περισσότεροι σοβαροί παίκτες το κατάφεραν αρκετά καλά και γρήγορα. Είχε ξεκινήσει από χρόνια να υλοποιείται η δυνατότητα απομακρυσμένης εργασίας, όχι φυσικά σε τόσο εύρος και με τόση μεγάλη
netweeK • C Y BER SECU RIT Υ
Ο Χρήστος Συγγελάκης, Επικεφαλής Ασφάλειας Πληροφοριακών Συστημάτων/ Υπεύθυνος Προστασίας Δεδομένων του Ομίλου Motor Oil Hellas, αναλύει τις σημαντικότερες προκλήσεις και κινδύνους για την ψηφιακή ασφάλεια. Συνέντευξη στην Αγγελική Κορρέ
επιτακτικότητα. Είμαστε τυχεροί που χρήσης μπορεί να αποδειχθεί ο μεμέσω της χρήσης των κινητών, των γαλύτερος κίνδυνος καθώς μόνο videoκλήσεων, των κοινωνικών δι- εταιρείες με σοβαρή διακυβέρνηση κτύων ακόμα και με την πειρατική στον τομέα της ασφάλειας πληροφοκάποιες φορές ανταλλαγή αρχείων, ριών, με λόγο που είχε την δύναμη να η κοινωνία έχει εξοικειωθεί με την συγκρατήσει τον χείμαρρο από απαιτεχνολογία. Κατ’ επέκταση ο μεγα- τήσεις που δημιουργήθηκαν, κατάλύτερος αριθμός των εργαζομένων φεραν να κρατήσουν τουλάχιστον το είχε την αναγκαία τεχνογνωσία για βασικό επίπεδο στην ασφάλεια κατά να προσαρμοστεί στα νέα δεδομένα. την απομακρυσμένη εργασία και εν Δυστυχώς είναι ελάχιστοι οι χρήστες συνεχεία δούλεψαν για να ανεβάσουν που πραγματικά καταλαβαίνουν ότι όσο το δυνατόν το επίπεδο στο οποίο στην καθημερινή προσωπική χρήση είχαν βρεθεί. της τεχνολογίας υπάρχουν κίνδυνοι και πρέπει να προσέχουν. Και ακόμα Ποιοι είναι οι μεγαλύτελιγότεροι αυτοί που ξέρουν τι πρέπει ροι κίνδυνοι που αντιμενα προσέχουν. Ως εκ τούτου, το ρίσκο τωπίζουν οι εταιρείες; που στην καθημερινότητα αποδέχο- Αν θέλουμε να μιλήσουμε για συνται, εν αγνοία τους τις περισσότερες γ κεκριμένους κινδύνους, που η φορές, όσο αφορά την εμπιστευτι- σημερινή μορφή της επιτακτικά κότητα και την αναγκαιότητα μη εφαρμοσμένης απομακρυσμένης διαμοίρασης προσωπικών τους πλη- εργασίας έχει δώσει μία αρκετά μεροφορίων και δραστηριοτήτων, επε- γαλύτερη πιθανότητα να συμβούν, κτείνεται στις εταιρικές πληροφορίες μπορούμε να δώσουμε τους παραπου πλέον διαχειρίζονται με την ίδια κάτω τίτλους. ευκολία, πιθανόν από παντού και με • Κ λοπή ταυτότητας χρήστη και πρόδιάφορες υπολογιστικές συσκευές σβαση σε εταιρική πληροφορία μέσω οποιουδήποτε μεγέθους και είδους. αυτής. Αυτό το κομμάτι της ανεξέλεγκτης • Κ λοπή εταιρικών πληροφοριών,
προσωπικών δεδομένων ή άμεση οικονομική ζημιά. • Ε κβιασμός προκειμένου να επανέλθει η δυνατότητα μία εταιρεία να χρησιμοποιήσει τα δεδομένα της, τα οποία έχουν δόλια αχρηστευτεί. • Α δυναμία προσφοράς υπηρεσίας προς τους πελάτες ή το κοινωνικό σύνολο. Τα παραπάνω μπορεί να αποτελέσουν κλιμάκωση ενός περιστατικού. Πώς διαμορφώνονται οι σύγχρονες τάσεις σε θέματα κυβερνο-ασφάλειας; Όλα κινούνται κυρίως γύρω από τους προαναφερόμενους κινδύνους. Το κλειστό περιβάλλον αποτελεί παρελθόν και η δημιουργία μιας γραμμής οχυρωματικών έργων μπορεί να αποδειχθεί πολυέξοδη και ανούσια όσο και η γραμμή Μαζινό που έδινε ψευδές αίσθημα ασφάλειας αλλά κάλυπτε μία περιοχή στην οποία τελικά ο πόλεμος ποτέ δεν διαδραματίστηκε. Πλέον είναι επιτακτική ανάγκη της πληρέστερης πιστοποίησης, πριν αποκτηθεί πρόσβαση σε εταιρικές πληροφορίες και πηγές. Πιστοποίηση κάθε συσκευής, όχι απλά του χρήστη που την χρησιμοποιεί. Μιλάμε για την μηδενική εμπιστοσύνη και για σενάρια που πρέπει να υλοποιούνται προκείμενου να επιτραπεί η πρόσβαση σε όποιον ή ότι προσπαθεί να έρθει σε επαφή με τα εταιρικά δεδομένα. Το εταιρικό περιβάλλον και τα δεδομένα σε μεγάλο ποσοστό βρίσκονται ή θα βρεθούν στο σύννεφο ή στις υποδομές κάποιου τρίτου. Η πρόσβαση σε πληροφορίες δεν γίνεται μόνο από τους υπαλλήλους των εταιρειών αλλά και από εξωτερικούς συνεργάτες που παρέχουν υπηρεσίες στις εταιρείες. Η δημιουργία, αλλά πολύ περισσότερο η υλοποίηση και επιβολή, μίας καθορισμένης πολιτικής για το πότε πώς και σε ποιο καθορισμένο τμήμα κάποιος θα έχει συγκεκριμένες προσβάσεις αποτελεί το μεγάλο στοίχημα. Η τέταρτη βιομηχανική επανάσταση είναι αλληλένδετη με την πρόσβαση και τον έλεγχο βιομηχανικού τύπου μηχανημάτων μέσα από συσκευές όπως το κινητό. Οι «έξυπνες» επιχειρήσεις, που υιοθετούν έξυπνες συσκευές για τον έλεγχο παραγωγής,
αποθεμάτων και παραγωγικότητας, κερδίζουν σε ευελιξία και ανταγωνιστικότητα αλλά εκτίθενται και σε κινδύνους που το πιθανότερο είναι ότι δεν αντιμετωπίζουν πλήρως. Στα προηγούμενα προσθέτουμε τη τεχνητή νοημοσύνη που παράγει δεδομένα τα οποία είναι υπευθυνότητά μας να διαφυλάξουμε αν και χρησιμοποιούνται παντού. Στον τομέα της ασφάλειας, η τεχνητή νοημοσύνη, αποτελεί ιδιαίτερα χρήσιμο όπλο άμυνας αλλά δυστυχώς και επίθεσης.
Στον όμιλο Motor Oil Hellas η Ασφάλεια Πληροφοριακών Συστημάτων, με την υποστήριξη της ανώτατης Διοίκησης, έχει αποκτήσει μία υπόσταση η οποία την βοηθάει να επικεντρώνεται στο έργο της υποστήριξης των εταιρικών στόχων Ποιες στρατηγικές και βέλτιστες πρακτικές μπορούν να εγγυηθούν την ασφάλεια; Η διαχείριση της ασφάλειας, είτε μιλάμε για την φυσική είτε για την ηλεκτρονική, έχει κάποιες βασικές αρχές. Όσο πιο πολύ ασφάλεια τόσο πιο δύσχρηστο αποτέλεσμα για τον τελικό χρήστη με παράλληλη μεγαλύτερη πολυπλοκότητα και δυσκολία διαχείρισης από τους διαχειριστές. Δεν μπορείς να προστατέψεις στον μέγιστο βαθμό τα πάντα. Υπάρχουν πράγματα που πρέπει να προστατέψεις και πιθανόν δεν τα γνωρίζεις. Ακόμα και σε αυτά που προσπαθείς τα μέγιστα δεν μπορείς να πετύχεις πλήρη ασφάλεια. Και φυσικά είναι ακριβό σπορ. Γενική βέλτιστη πρακτική και στρατηγική δεν υπάρχει. Γιατί για την κάθε εταιρεία το βέλτιστο είναι ανάλογο με τις επιδιώξεις
της και την δική της εταιρική στρατηγική. Η ασφάλεια των πληροφοριών, και οι άνθρωποι που είναι εντεταλμένοι να την οργανώνουν, μπορεί να βοηθήσει, ώστε η εταιρεία να επιτύχει το βέλτιστο αποτέλεσμα, όταν είναι γνώστες της στρατηγικής της εταιρείας και μετέχει στην διαχείριση και στα βήματα υλοποίησης αυτής. Οι διαδικασίες της ασφάλειας πρέπει να δρουν σαν μοχλός επίτευξης των αποτελεσμάτων. Αν αυτός που την σχεδιάζει δεν γνωρίζει τι θέλουμε να πετύχουμε ή ενημερώνεται καθυστερημένα τότε καταλήγει σε μια προσπάθεια να διαμορφώσει ένα απροσδιόριστα ασφαλές περιβάλλον. Συνήθως καταλήγει να δρα σαν τροχοπέδη στην εταιρική προσπάθεια. Βλέποντας τις διαδικασίες της ασφάλειας ως τροχοπέδη, η εταιρεία, που δεν μπορεί να κατανοήσει τον λόγο ύπαρξής τους, απομονώνει τους υλοποιητές ακόμα περισσότερο μπαίνοντας σε ένα σπιράλ αναποτελεσματικότητας και απαξίωσης από το οποίο δυστυχώς ξυπνάμε ξαφνικά από κάποιο αρνητικό γεγονός. Αν αυτό δεν είναι καταστροφικό, φέρνει πρόσχαιρα στην επιφάνεια το πρόβλημα, για να γίνουν απροσδιόριστα κάποιες επενδύσεις και να ξεκινήσει ξανά το ίδιο μοτίβο. Πώς διαμορφώνεται η στρατηγική του ομίλου της Motor Oil Hellas; Στον όμιλο των εταιρειών της Motor Oil Hellas η Ασφάλεια Πληροφοριακών Συστημάτων, με την υποστήριξη της ανώτατης Διοίκησης, έχει αποκτήσει μία υπόσταση η οποία την βοηθάει να επικεντρώνεται στο έργο της υποστήριξης των εταιρικών στόχων. Επενδύσεις και έργα τρέχουν συνέχεια και δεν θεωρώ χρήσιμο να αναφερθούμε αναλυτικά σε αυτά καθώς καλύπτουν το σύνολο των πιθανών αναγκών και υλοποιήσεων στον συγκεκριμένο τομέα. Φυσικά υπάρχει προτεραιοποίηση βάση της αξίας του παραγόμενου αποτελέσματος αλλά και την πραγ ματική δυνατότητα υποστήριξης των απαιτήσεων που τα έργα αυτά με την σειρά του δημιουργούν από πλευράς τεχνολογικής ανανέωσης αλλά και από πλευράς ανάγκης αποδοχής και προσαρμογής των τελικών χρηστών.
C Y BER SECU RIT Y • netweeK
17
Απομακρυσμένη εργασία: Ευκαιρία ή κατάρα; Την πρώτη φορά που ήρθα σε επαφή με την εργασία εξ αποστάσεως και έγινα ένας πραγματικός anywhere worker ήταν το 2010. Για κάποιον που έρχεται για πρώτη φορά σε επαφή, η ιδέα της εργασίας εξ αποστάσεως, μπορεί να του φανεί περίεργη και να δυσκολευτεί να προσαρμόσει τον εαυτό του με τέτοιο τρόπο, ώστε να μπορέσει να επιτελέσει τις αρμοδιότητες που του έχουν δοθεί από την επιχείρηση που εργάζεται. Του Αλέξανδρου Ζοβόλια, Commercial Manager, PartnerNET
Advertorial
18
Υ
πάρχουν πολλές ελληνικές επιχειρήσεις που, ακόμη και σήμερα, δεν αντιλαμβάνονται τα πλεονεκτήματα που μπορεί να προσφέρει στις ίδιες και στο προσωπικό τους η έννοια της απομακρυσμένης εργασίας. Επιπρόσθετα, ακόμη και το ελληνικό εργατικό δίκαιο παραμένει αναχρονιστικό σε αυτό το κομμάτι και αντιλαμβάνεται ως εργασία ενός υπαλλήλου γραφείου μόνο αυτή που γίνεται στον φυσικό χώρο του γραφείου. Μεγάλη εξαίρεση αποτελούν οι πωλητές και τεχνικοί πεδίου που από την φύση τους αναμένεται να δουλεύουν εκτός του φυσικού χώρου του γραφείου, αλλά όχι πάντως από το σπίτι τους. Το πόσο σημαντικό είναι η εταιρεία να είναι έτοιμη ανά πάσα στιγμή να υποστηρίξει την απομακρυσμένη εργασία και να υιοθετεί στην φιλοσοφία της την δυνατότητα επιτέλεσης των αρμοδιοτήτων του προσωπικού από όπου αυτοί θέλουν να βρίσκονται (π.χ. σπίτι, εξοχικό ή αλλού), φάνηκε με την έλευση του κορονοϊού. Η PartnerNET, η εταιρεία που εργάζομαι σήμερα, είναι ένας μπουτίκ διανομέας τηλεπικοινωνιακού υλικού για επιχειρήσεις. Ο στόχος της είναι να προσφέρει μέσα από τους Οίκους που αντιπροσωπεύει και το δίκτυο των εξειδικευμένων Συνεργατών που έχει, τα κατάλληλα εργαλεία, ώστε οι επιχειρήσεις να μπορούν να λειτουργούν και να υποστηρίζουν τις δραστηριότητες τους αδιάκοπα, οικονομικά και με ασφάλεια. Η τεχνολογία έχει άμεσες λύσεις Θυμάμαι ήταν Πέμπτη 12 Μαρτίου του 2020, όταν επέστρεφα από ταξίδι στην Κύπρο μαζί με τον ιδιοκτήτη της PartnerNET. Είχαμε ήδη αποφασίσει από την προηγούμενη ημέρα πως θα προχωρήσουμε σε απομακρυσμένη εργασία για όλο το προσωπικό της εταιρείας, εκτός από δύο άτομα που θα ήταν το προσωπικό ασφαλείας για την διακίνηση και την αποθήκη. Στις 13 Μαρτίου όλα ήταν έτοιμα για την μετάβαση, σε μια εταιρεία που μέχρι εκείνη την ημέρα, όλο το προσωπικό της εργάζονταν από το φυσικό χώρο του γραφείου. Μέσα από την ολοκληρωμένη πλατφόρμα MSSP της Seqrite, έγινε ο προγραμματισμός του οικοσυστήματος ασφαλείας της PartnerNET ώστε τα UTM, EPS, MDM, SWG και o Encryption Manager της Seqrite, να υποστηρίξουν
netweeK • C Y BER SECU RIT Y
τις αυξημένες ανάγκες όλης της ομάδας για εργασία από το σπίτι. Μέχρι και την Δευτέρα 16 Μαρτίου χρησιμοποιούσα το GSWave, το Softphone της Grandstream που ήταν εγκατεστημένο στο κινητό μου, για τις εσωτερικές και εξωτερικές κλήσεις λες και ήμουν στο γραφείο. Την ίδια μέρα παρέλαβα στο σπίτι μου την σταθερή Grandstream ΙΡ συσκευή του γραφείου μου, η οποία μου έδωσε την δυνατότητα να επικοινωνώ με τους συναδέλφους μου, έχοντας όλες τις ευκολίες και τα προγραμματιζόμενα πλήκτρα που είχα στο γραφείο. Το μόνο που είχα να κάνω είναι να κουμπώσω την σταθερή αυτή συσκευή στο Wi-Fi δίκτυο μου και ήμουν έτοιμος να δουλέψω. Από πλευράς διαχείρισης της τηλεφωνίας, υλοποιήθηκαν όλα τα απαραίτητα security settings στο UCM, το IP PBX της Grandstream. Επιπλέον ολοκληρώθηκαν και κάποιες δικλίδες ασφαλείας μέσα από την υπηρεσία της Supervoice, του Παρόχου Φωνής που χρησιμοποιούμε στην εταιρία, ώστε στην περίπτωση που υπάρχει παραβίαση στο Voice κομμάτι, να κοπεί άμεσα χωρίς να προκαλέσει μεγάλους λογαριασμούς για την εταιρία. Την απομακρυσμένη εργασία συνεπικούρησαν το IPVideo Talk της Grandstream που μου έδωσε ασφαλή βίντεο επικοινωνία για τα virtual meetings με την ομάδα πωλήσεων, αλλά και με τους πελάτες μας. Τέλος μεγάλης σημασίας ήταν επίσης πως όλα τα συστήματα της PartnerNET είναι cloud based, όπως CRM, File Server, collaboration tools κλπ, το οποίο μου επέτρεψε να έχω απρόσκοπτη πρόσβαση σε όλες τις σημαντικές πληροφορίες και εργαλεία από όπου και αν βρίσκομαι. Security comes first Μέσα στην καραντίνα η PartnerNET όπως και πολλές άλλες εταιρείες, καθημερινά δέχονταν κυβερνο-επιθέσεις, τις οποίες μπόρεσε να αντιμετωπίσει με το ολοκληρωμένο οικοσύστημα της Seqrite αλλά και τις πρακτικές και πολιτικές που έχει αναπτύξει. Ταυτόχρονα υλοποίησε το εξάμηνο που πέρασε και hands-on training, απομακρυσμένα προσφέροντας σε μια ομάδα συνεργατών μας την δυνατότητα να εκπαιδευτούν πάνω στις UC λύσεις της Grandstream από την ασφάλεια του γραφείου/σπιτιού τους, έχοντας μόνο της υποχρέωση να έχουν δύο ΙΡ συσκευές διαθέσιμες στον χώρο τους και σύνδεση στο διαδίκτυο!
Το ότι δεν βλεπόμαστε από κοντά δεν σημαίνει πως πρέπει να γίνουμε απρόσωποι. Και αυτή είναι η μεγάλη δυσκολία της απομακρυσμένης εργασίας, να συνεχίσεις να προσφέρεις το αίσθημα της ανθρώπινης επαφής και ενδιαφέροντος ακόμη και αν είσαι μακριά.
Με την κατάλληλη υποδομή και πρακτικές η PartnerNET πρώτα από όλα κατάφερε να συνεχίσει να λειτουργεί απρόσκοπτα και παραγωγικά, έχοντας όλο σχεδόν το προσωπικό της στο σπίτι του. Με αυτό τον τρόπο μου έδωσε την δυνατότητα να είμαι ακόμη πιο παραγωγικός, βελτιώνοντας ταυτόχρονα την ποιότητα ζωής μου. Αρχικά σταμάτησα να δαπανώ 2 ώρες καθημερινά για να πάω και να γυρίσω στο γραφείο. Επιπλέον φρόντισα να αθλούμε περισσότερο αλλά και να αφιερώσω περισσότερο χρόνο στους δικούς μου ανθρώπους. Ρύθμισα το πρόγραμμα μου με τέτοιο τρόπο ώστε να αξιοποιήσω κάποιες ώρες για προσωπικά μου θέματα, μεταφέροντας την εργασία μου στο σύνολο της διάρκειας της ημέρας. Μην έχοντας τον θόρυβο του γραφείου να μου αποσπά την προσοχή, μπόρεσα να ρυθμίσω καλύτερα τους ημερήσιους/εβδομαδιαίους στόχους μου για την εταιρία. Τέλος, το πιο σημαντικό από όλα, μου επέτρεψε να είμαι ένα μήνα στο Ισραήλ όπου πήγα για προσωπικούς λόγους, συνεχίζοντας να εργάζομαι κανονικά σαν να ήμουν στην Ελλάδα. Το μέλλον βρίσκεται στην απομακρυσμένη εργασία με ασφάλεια Βεβαίως η απομακρυσμένη εργασία έχει και κάποια θέματα που απαιτούν προσοχή. Από τα πιο σημαντικά είναι να φροντίσουμε να μην χάσουμε την επαφή με την ομάδα μας, να προσπαθούμε οι συνάδελφοι μας να μένουν σε επαφή και να έχουν κίνητρα και καθοδήγηση για το έργο που πρέπει να επιτελέσουν. Ακόμη δεν θα πρέπει να ξεχάσουμε τον ανθρώπινο παράγοντα. Το ότι δεν βλεπόμαστε από κοντά δεν σημαίνει πως πρέπει να γίνουμε απρόσωποι. Και αυτή είναι η μεγάλη δυσκολία της απομακρυσμένης εργασίας, να συνεχίσεις να προσφέρεις το αίσθημα της ανθρώπινης επαφής και ενδιαφέροντος ακόμη και αν είσαι μακριά. Εάν αναλύσουμε διεξοδικά την ιδέα της απομακρυσμένης εργασίας, θα μπορέσουμε εύκολα να καταλάβουμε πόσο σημαντική και για την ίδια την επιχείρηση. Αρχικά δίνοντας την δυνατότητα στο προσωπικό να δουλέψει από το σπίτι, συνεισφέρει στην ποιότητα ζωής του, ένας στόχος που πρέπει να έχουν όλες οι εταιρίες σήμερα. Επίσης μεσοπρόθεσμα θα μπορούσε να αναθεωρήσει τις κτιριακές της υποδομές. Όταν ένα μεγάλο μέρος των εργαζομένων μπορεί
να δουλεύει από το σπίτι, θα μπορούσε πολύ απλά να έχει ανάγκη λιγότερα γραφεία, τα οποία θα είναι διαθέσιμα για όποιους εκ περιτροπής έχουν ανάγκη να είναι στο γραφείο. Αυτό σημαίνει μείωση του κόστους ενοικίου, οικονομία στο ρεύμα και σε όλα τα υπόλοιπα που συνεπάγονται μιας εταιρείας με μεγάλη οργανωτική δομή. Συνεπακόλουθο του προηγούμενου είναι και η μείωση του αποτυπώματος άνθρακα, κάνοντας τις εταιρίες που υιοθετούν τέτοιες μορφές εργασίας, πιο φιλικές για το περιβάλλον. Τέλος οι επιχειρήσεις που υιοθετούν την απομακρυσμένη εργασία πετυχαίνουν καλύτερη διακράτηση του προσωπικού τους, καθώς η ευελιξία της εργασίας είναι ένα χαρακτηριστικό που όλο και περισσότεροι εργαζόμενοι αναζητούν. Κοιτώντας πίσω στο εξάμηνο που πέρασε και αναλογιζόμενος τους επόμενους μήνες που έρχονται, θεωρώ πολύ σημαντικό το έργο που προσφέρει η PartnerNET και το δίκτυο Συνεργατών της στην αντιμετώπιση αυτής της κατάστασης. Δείχνει επίσης πόσο σημαντικό είναι να έχεις επιλέξει τα κατάλληλα ολοκληρωμένα εργαλεία ασφάλειας και υποδομών, ώστε να μπορείς εύκολα να μετασχηματίζεις τον τρόπο εργασίας σου. Τέλος προσέφερε σε εμένα και σε όσους μπόρεσαν να καταλάβουν τα οφέλη της απομακρυσμένης εργασίας, τον χρόνο που χρειαζόμουν ώστε να επιτύχω την απόλυτη ισορροπία μεταξύ εργασίας και προσωπικής ζωής, καθιστώντας με ακόμη πιο παραγωγικό για την εταιρεία που εργάζομαι. Η απομακρυσμένη και ασφαλής εργασία πρέπει να είναι και είναι το μέλλον για ένα μεγάλο τμήμα δραστηριοτήτων κάθε επιχείρησης και πρέπει όλες οι ελληνικές εταιρείες με αφορμή τον κορονοϊό να ανεβούν σε αυτό το τρένο, προσαρμόζοντας τον τρόπο λειτουργίας τους και εκπαιδεύοντας το προσωπικό τους για να μπορεί να λειτουργήσει και να επωφεληθεί της νέας πραγματικότητας.
PartnerNET – Smart ICT Distribution www.partnetnet-ict.com sales@partnernet-ict.com +302107100000
C Y BER SECU RIT Y • netweeK
19
VIEWPOINT
20
Παναγιώτης Κατερτζής
Η ψηφιακή ασφάλεια απαιτεί ετοιμότητα και ευελιξία
Στις αρχές της δεκαετίας του 80 εμφανίστηκε ο πρώτος κώδικας με ικανότητες αυτόαναπαραγωγής και αυτό-διάδοσης, ο οποίος αποτέλεσε το πρώτο worm υπολογιστή (1). Στα επόμενα χρόνια οι cyber απειλές πολλαπλασιάστηκαν σε αριθμό και εξελίχθηκαν σε ότι αφορά στη μορφή π.χ. malware, DDOS attacks, phishing, spam, ransomware κ.λπ. για να φτάσουμε στην εποχή μας στις έννοιες του Advance Persistent Threats και του οργανωμένου cybercrime. Του Παναγιώτη Κατερτζή, Information Security Officer, Eurolife FFH
netweeK • C Y BER SECU RIT Υ
Η
ανάπτυξη του cybersecurity σε μεγάλο βαθμό οδηγήθηκε από την εξέλιξη των cyber απειλών. Το cyber-security, με την έκρηξη του e-commerce και του digitalization, καλείται να προστατεύσει τόσο μεμονωμένους ιδιώτες όσο και επιχειρήσεις αλλά και κρατικές υπηρεσίες σε ένα συνεχώς εξελισσόμενο και μεταβαλλόμενο περιβάλλον. Παράλληλα οι πρωτοφανείς συνθήκες που δημιουργήθηκαν λόγω της πανδημίας Covid-19, έχουν αλλάξει ριζικά όχι μόνο τον τρόπο που εργαζόμαστε αλλά και τον τρόπο που ζούμε, επηρεάζοντας τις απαιτήσεις για υποδομές τεχνολογίας όσον αφορά στην τηλέ-εργασία, στην τηλέ-εκπαίδευση αλλά και στην ψυχαγωγία μέσω ψηφιακών μέσων. Αυτή η νέα κατάσταση προσφέρει καινούργιες ευκαιρίες και ευρύ πεδίο δράσης για cyberattacks και επιβάλλει στους επαγγελματίες του cybersecurity να δείχνουν ετοιμότητα στην αντιμετώπιση νέων απειλών και ταυτόχρονα να λειτουργούν με ευελιξία ώστε να μπορούν να προστατεύσουν νέες τεχνολογικές υποδομές και να ανταποκριθούν στις αυξημένες απαιτήσεις.
Οι σημαντικότερες προκλήσεις Στους μεγάλους οργανισμούς είναι ψηλά στην προτεραιοποίηση της καθημερινότητας τους τα θέματα cybersecurity και επενδύουν σε αυτόν το τομέα. Σε μικρότερους οργανισμούς λόγω περιορισμών σε διαθέσιμη χρηματοδότηση οι επενδύσεις σε ανθρώπους και τεχνολογίες cybersecurity είναι σε σημαντικό χαμηλότερο βαθμό. Ενώ έχουν εξελιχθεί οι τεχνολογίες στον τομέα της ψηφιακής ασφάλειας αυτό γίνεται κυρίως μέσω υλοποίησης επιπλέον συστημάτων ασφάλειας. Δεν εφαρμόζεται ακόμη σε ικανοποιητικό βαθμό η αρχή “security by design” στον σχεδιασμό και υλοποίηση νέων υποδομών και συστημάτων πληροφορικής. Το οργανωμένο cybercrime εμφανίζεται να ενισχύεται σε αριθμούς και ποιότητα, ωστόσο γίνεται όλο και πιο δύσκολο σε επιχειρήσεις και οργανισμούς να προσλάβουν και να κρατήσουν στο δυναμικό τους επαγγελματίες cybersecurity. Όπως ανα-
φέρουν οι New York Times(2) το 2021 θα υπάρχει ανάγκη παγκοσμίως για κάλυψη 3.500.000 θέσεων εργασίας cybersecurity. Αυτό δείχνει ότι υπάρχει σημαντική δυσκολία στη δημιουργία επαγγελματιών cybersecurity με τον ίδιο ρυθμό που αναδεικνύονται οι cyber attackers. Οι εταιρείες και οι οργανισμοί επενδύουν πλέον πολλά σε νέες τεχνολογίες cybersecurity με σκοπό να προστατεύσουν πληροφοριακά συστήματα και υποδομές αλλά η υλοποίηση και υποστήριξη των τεχνολογιών αυτών απαιτεί και τεχνολογικά αντίστοιχα καταρτισμένο προσωπικό.
Οι εταιρείες επενδύουν πολλά σε νέες τεχνολογίες cybersecurity με σκοπό να προστατεύσουν πληροφοριακά συστήματα και υποδομές αλλά η υλοποίηση και υποστήριξη των τεχνολογιών αυτών απαιτεί και τεχνολογικά καταρτισμένο προσωπικό Οι σύγχρονες τάσεις Τον Μάϊο του 2019 εφαρμόστηκε στην Ευρωπαϊκή Ένωση ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDRP) σηματοδοτώντας νέες τάσεις και θέτοντας καινούργιες προκλήσεις στο πεδίο του cybersecurity. Σε συνέχεια αυτού και σε πολύ σύντομο χρονικό διάστημα νέοι κανονισμοί προστασίας δεδομένων (Privacy regulations) εκδόθηκαν ή παλαιότεροι ενισχύθηκαν δημιουργώντας επιπλέον κανονιστικές υποχρεώσεις στους επαγγελματίες cybersecurity. Έτσι η τάση που επικρατεί παγκοσμίως στην
υιοθέτηση Privacy Protection κανονισμών απαιτεί υλοποίηση μοντέρνων τεχνολογιών κρυπτογράφησης και ανωνυμοποίησης που να διασφαλίζουν ταυτόχρονα την προστασία των δεδομένων και την απρόσκοπτη λειτουργία νέων και υφιστάμενων πληροφοριακών συστημάτων. Η τεχνητή νοημοσύνη (ΑΙ) ενσωματώνεται στην εποχή μας σε πολλές τεχνολογίες cybersecurity. Σύμφωνα με έρευνα του οργανισμού SANS(4) το 75,2% των επαγγελματιών cybersecurity σκοπεύουν να ενσωματώσουν τεχνολογία AI σε συστήματα προστασίας cybersecurity. Η χρήση του AI θα βοηθήσει στην αντιμετώπιση επιθέσεων την ώρα που συμβαίνουν ή και ακόμη καλύτερα θα βοηθήσει να προβλεφθούν επιθέσεις. Επίσης δύναται να βοηθήσει στην καλύτερη προσαρμογή της στρατηγικής cybersecurity ενός οργανισμού, στις απαιτήσεις του συνεχώς μεταβαλλόμενου τοπίου των cyberattacks. Η ανάγκη εφαρμογής νέων τεχνολογιών αυθεντικοποίησης (next-gen authentication) είναι πλέον υπαρκτή. Η χρήση κωδικών πρόσβασης ως μέσο αυθεντικοποίησης είναι προβληματική αφού με τη χρήση της σύγχρονης τεχνολογίας καθίσταται εφικτός ο γρήγορος εντοπισμός κωδικών πρόσβασης. Έχει παρατηρηθεί ότι περισσότερο από το 85% των επιθέσεων cyber, σχετίζονται με διαρροή κωδικών πρόσβασης(5). Η χρήση βιομετρικών και έξυπνων μηχανισμών multi factor authentication θα διευκολύνει τους χρήστες ενώ παράλληλα θα αυξήσει το επίπεδο ασφάλειας. Η υιοθέτηση τεχνολογιών cloud σε επίπεδο υλοποίησης εργαλείων cybersecurity ήταν ήδη ψηλά σε προτιμήσεις των επαγγελματιών cybersecurity. Οι συνθήκες όμως της πανδημίας Covid-19 αύξησαν ακόμη περισσότερο την ανάγκη χρήσης cloud τεχνολογιών, καθώς παρουσιάστηκαν περιορισμοί που πριν δεν υπήρχαν (π.χ. μη δυνατότητα επίσκεψης τεχνικού σε φυσικό data center). Επίσης η φύση των cloud τεχνολογιών τις κάνει πιο αποτελεσματικές σε μοντέλα τηλέ-εργασίας που εφαρμόζουν πια πολλές επιχειρήσεις και οργανισμοί. Κίνδυνοι και απειλές Πέρα από τα οφέλη που αναφέρθηκαν παραπάνω, η χρήση λύσεων cloud
C Y BER SECU RIT Y • netweeK
21
22
συνιστά μια από τις σημαντικότερες απειλές για την ασφάλεια στον κυβερνοχώρο. Όσο οι επιχειρήσεις χρησιμοποιούν περισσότερες λύσεις cloud για την αποθήκευση πληροφοριών τόσο περισσότερο γίνονται δελεαστικοί στόχοι στους εγκληματίες του κυβερνοχώρου. Σφάλματα υλοποίησης από την πλευρά του τελικού χρήστη, μη ασφαλή API, κλοπή λογαριασμών προνομιακών χρηστών cloud είναι οι πιο κοινές απειλές. Όσες επιχειρήσεις και οργανισμοί δεν επενδύουν στην ασφάλεια των δεδομένων τους στο cloud αλλά επαφίονται στα μέτρα που εφαρμόζει ο πάροχος cloud υπηρεσιών, για την ασφάλεια των δικών του υποδομών, ενδέχεται να αντιμετωπίσουν φαινόμενα διαρροής δεδομένων. Η εκθετικά αυξανόμενη χρήση συσκευών IoT (Internet of Things) χωρίς πολλές φορές αυτά να είναι κατάλληλα διασφαλισμένα ή και ακόμη να μην συμπεριλαμβάνουν ούτε κάποια στοιχειώδη μέτρα προστασίας, έχει δημιουργήσει ένα νέο πεδίο δράσης για cyber attacks. Ο κίνδυνος μεγαλώνει καθώς για το πεδίο αυτό δεν υπάρχει επαρκή τεχνογνωσία για τα μέτρα προστασίας που πρέπει να εφαρμοστούν. Επίσης η αναμενόμενη τεχνολογία 5G σε δίκτυα κινητής τηλεφωνίας από την μία πλευρά μεν θα ενισχύσει την χρήση IoT συσκευών, από την άλλη όμως θα διευκολύνει τους επιτιθέμενους καθώς θα δώσει περισσότερους πόρους για ανίχνευση και εκμετάλλευση ευπαθειών και επιθέσεις DDOS. Λόγω της αυξανόμενης χρήσης video conference συστημάτων οι hackers χρησιμοποιούν πλέον την τεχνολογία Deepfake. Το Deepfake είναι ψεύτικο ψηφιακό πολυμέσο (video ή ήχος) όπου η εικόνα και η φωνή του ατόμου που πραγματικά συμμετέχει αντικαθίσταται με την εικόνα και την φωνή ενός ατόμου που είναι στέλεχος στην εταιρία που προσπαθούν να εξαπατήσουν. Καθώς εξελίσσεται το deepfake, οι hackers το χρησιμοποιούν για να κλέψουν μεγάλα χρηματικά ποσά και να βλάψουν τη φήμη εταιρειών και ατόμων. Παράλληλα οι επιθέσεις τύπου ransomware, social engineering attacks, inside attacks, vulnerability scan attacks κλπ. εξακολουθούν να υφίστανται και συνιστούν διαχρονικές απειλές για οποιαδήποτε επιχείρηση και οργανισμό.
netweeK • C Y BER SECU RIT Υ
Στρατηγικές και βέλτιστες πρακτικές διαχείρισης της ασφάλειας Σε μια ολοκληρωμένη και τεκμηριωμένη στρατηγική ασφάλειας είναι θεμελιώδες να προτείνεται μια προληπτική προσέγγιση αντί μιας πυροσβεστικής που μπορεί να είναι χρονοβόρα και δαπανηρή. Κατ’ αρχάς πρέπει να προσδιοριστεί τι πρέπει να προστατευτεί. Η κατανόηση των ψηφιακών περιουσιακών στοιχείων, η αξιολόγηση της κρισιμότητας του
Όσο οι επιχειρήσεις χρησιμοποιούν περισσότερες λύσεις cloud για την αποθήκευση πληροφοριών τόσο περισσότερο γίνονται δελεαστικοί στόχοι στους εγκληματίες του κυβερνοχώρου και ο τρόπος με τον οποίο συμβάλει στη λειτουργία του οργανισμού είναι σημαντική κατά την κατάρτιση της στρατηγικής ασφάλειας. Επίσης για να υπάρξει το βέλτιστο αποτέλεσμα, πρέπει να συνυπολογιστούν οι κανονιστικές υποχρεώσεις του κάθε οργανισμού. Το δεύτερο βήμα είναι ο εντοπισμός των απειλών cyber στις οποίες είναι ευάλωτος κάθε οργανισμός. Για να γίνει αυτό πρέπει να γίνει κατανοητό τόσο το περιβάλλον λειτουργίας του κάθε οργανισμού όσο και η ιστορικότητα των παραπάνω απειλών (στον ίδιο οργανισμό αλλά και σε άλλους με το ίδιο αντικείμενο εργασιών). Η υιοθέτηση ενός αναγνωρισμένου πλαισίου ασφάλειας (ISO, NIST, CIS κλπ.) βοηθάει στον καθορισμό ενός πλάνου υλοποίησης της στρατηγικής ασφάλειας που επιτρέπει την παρακολούθηση της προόδου. Παράλληλα η υιοθέτηση ενός τέτοιου πλαισίου ασφαλείας διευκολύνει τη διαμόρφωση κατάλληλων πολιτικών, διαδικασιών και μέτρων ασφάλειας για να υποστηρίζουν το
σχέδιο διαχείρισης κινδύνων cyber. Όλα τα παραπάνω βέβαια θα πρέπει να υποστηρίζονται αναλόγως από τους ανθρώπους του κάθε οργανισμού. Για το λόγο αυτό πρέπει να «διαγνωστεί» το επίπεδο γνώσης και δεξιοτήτων που διαθέτει κάθε άμεσα εμπλεκόμενη μονάδα. Στη συνέχεια, βάσει της «άσκησης» αυτής, θα πρέπει να διαμορφωθεί ένα σχέδιο κατάλληλης εκπαίδευσης για τεχνικούς ή/και να καλυφθούν τα τυχόν κενά από εξωτερικούς συνεργάτες. Επίσης στο σύνολο των εργαζομένων θα πρέπει να «τρέχει» σε σταθερή βάση ένα πρόγραμμα ενίσχυσης του επιπέδου ευαισθητοποίησης σχετικά με την ασφάλεια στον κυβερνοχώρο και ανάλογα των συμπερασμάτων να διαμορφωθούν ενέργειες βελτίωσης αυτού του επιπέδου. Η προσέγγιση του Ομίλου Ο όμιλος Eurolife FFH έχει σχεδιάσει ολοκληρωμένη στρατηγική cybersecurity και υλοποιεί σ υγκεκριμένο πλάνο βασιζόμενο σε framework που έχει υιοθετηθεί από τον μητρικό όμιλο FFH. Σε αυτό το σχεδιασμό έχει δοθεί προτεραιότητα στη βελτίωση των πολιτικών και διαδικασιών cybersecurity, ενίσχυσης του επιπέδου ευαισθητοποίησης των υπαλλήλων σε Ελλάδα & Ρουμανία και στην υλοποίηση των κατάλληλων τεχνολογικών μέτρων. Έχουν ήδη πραγματοποιηθεί επενδύσεις (και συνεχίζουν να γίνονται) ενδεικτικά σε τομείς όπως: next generation firewalls, Data Loss Preventions, Identity Access Management, Priviledge Access Managemen, Mobile Device Management, Vulnerability Management, Network Access Control κλπ. Παράλληλα έχουν συναφθεί συνεργασίες με κορυφαίους παρόχους για MSS (Managed Security Services), Penetration Tests αλλά και παροχή εξειδικευμένης τεχνογνωσίας cybersecurity. Αναφορές : 1. I SACA whitepaper “Transforming Cybersecurity” 2. New York Times Report https://www.nytimes. com/2018/11/07/business/the-mad-dash-tofind-a-cybersecurity-force.html 3. World Economic forum 2020 4. S ANS survey sponsored by Cylance 5. Cnet https://www.cnet.com/news/this-ishow-we-might-finally-replace-passwords/
Πώς η τεχνολογία των containers βοηθά στην υλοποίηση διαδικασιών DevSecOps Του Πάνου Βασιλειάδη, CEO στην ADACOM Cyber Security
Ο
ι νέες διαδικασίες ανάπτυξης λογισμικού και οι τεχνολογίες ανοικτού κώδικα, έχουν μετασχηματίσει το τοπίο της ασφάλειας των ψηφιακών υποδομών για τις επιχειρήσεις μετατοπίζοντας σημαντικό μέρος της ευθύνης της ασφάλειας στην πλευρά των προγραμματιστών. Αυτή η μετατόπιση της ασφάλειας αντικατοπτρίζεται στην ενσωμάτωση και εναρμόνιση των διαδικασιών ασφαλείας με τις ταχείς διαδικασίες ανάπτυξης και λειτουργίας (DevOps) των εφαρμογών. Η υλοποίηση διαδικασιών DevSecOps, όπως ονομάζεται το νέο μοντέλο, και η συμπερίληψη μέτρων ασφαλείας στον κύκλο ζωής ανάπτυξης λογισμικού (SDLC) από το πρώτο βήμα, είναι ιδιαίτερα σημαντική για όλους τους οργανισμούς.
Advertorial
Ευέλικτες πρακτικές και ασφάλεια Οι ευέλικτες πρακτικές στην ανάπτυξη και λειτουργία των εφαρμογών, υποχρεώνουν τη σταδιακή δημιουργία νέων δυνατοτήτων, την ταχύτητα παράδοσης και ανάπτυξης και την ταχεία ανταπόκριση στις αλλαγές. Η δημιουργία μικρών παραδοτέων οδηγεί σε ταχύτερο ρυθμό ανάπτυξης λογισμικού, σε τακτά, σταθερά χρονικά διαστήματα. Δυστυχώς, δίνοντας προτεραιότητα στην κυκλοφορία νέων εκδόσεων με νέα χαρακτηριστικά, η ασφάλεια συχνά παραμελείται. Δεν είναι λίγες οι φορές που οι ομάδες ανάπτυξης λογισμικού, αντιλαμβάνονται την ύπαρξη θεμάτων ευπάθειας ασφαλείας κατά τη διάρκεια των τελικών ελέγχων και αφού έχει ολοκληρωθεί όλο το έργο. Αυτό μπορεί να οδηγήσει σε δαπανηρές και χρονοβόρες καθυστερήσεις στην παράδοση.
τα «αριστερά», δηλαδή, στον κύκλο ανάπτυξης του λογισμικού. Επειδή οι ενημερωμένες εικόνες container μπορούν να ελεγχθούν διεξοδικά πριν από την ανάπτυξή τους, υπάρχει μικρότερη πιθανότητα εισαγωγής ενός σφάλματος ασφαλείας στη φάση της παραγωγής. Με άλλα λόγια, τα containers δημιουργούν ένα περιβάλλον που συμβάλλει στην αύξηση της συνέπειας και την προβλεψιμότητα του φόρτου εργασίας των προγραμματιστών, των επιχειρήσεων και της ασφάλειας, διευκολύνοντας την ομαλότερη συνεργασία μεταξύ όλων όσων εμπλέκονται στη συνεχή παράδοση εφαρμογών. Επιπλέον, οι κακόβουλοι “δράστες”, είναι πιο δύσκολο να μεταβάλλουν την υποδομή των containers. Τα containers είναι από τη φύση τους εφήμερες δομές. Εάν οι επιτιθέμενοι προσπαθήσουν να εγκαταστήσουν κακόβουλο κώδικα μέσα σε ένα περιβάλλον containers, αυτός θα καταστραφεί στην επόμενη ενημέρωση της έκδοσης του container. Βέβαια, όπως οτιδήποτε άλλο στον ψηφιακό κόσμο, τα containers παρουσιάζουν και αυτά προκλήσεις στην εξασφάλιση της ασφαλούς λειτουργίας τους. Τέτοιες προκλήσεις είναι η ταυτοποίηση όλων των χρησιμοποιούμενων containers, η χρήση «μολυσμένων» ή παραποιημένων εικόνων, η απεριόριστη επικοινωνία μεταξύ των containers, και η απομόνωση των containers από τις πλατφόρμες που τα φιλοξενούν ώστε να αποφευχθεί η διασπορά μιας ενδεχόμενης επίθεσης. Οι οργανισμοί μπορούν να χρησιμοποιήσουν πληθώρα εργαλείων διαχείρισης (π.χ. Kubernetes) και ασφάλειας των containers προκειμένου να ελαχιστοποιήσουν τους κινδύνους και να επωφεληθούν από τις δυνατότητες αυτών, ώστε η ασφάλεια να αποτελεί αναπόσπαστο μέρος της συνεχούς παράδοσης, και όχι κάτι που εξετάζεται μετά την ανάπτυξη του λογισμικού στην παραγωγή.
Τα containers ως λύση στο δίλημμα “ταχύτητα ή ασφάλεια” Η εκτεταμένη χρήση των containers και της τεχνολογίας των μικρο-υπηρεσιών φαίνεται ότι αποτελεί τη λύση για ασφαλή και ευέλικτη ανάπτυξη λογισμικού. Τα containers “συσκευ- Είτε αυτά τα containers βρίσκονται στις εγκαταστάσεις ενός άζουν” μια εφαρμογή μαζί με όλες τις εξαρτήσεις της με τη οργανισμού είτε στο σύννεφο, η ADACOM παρέχει μέσω μορφή εικόνας, επιτρέποντας τη φορητότητα σε οποιοδήποτε ολοκληρωμένης πλατφόρμας και υπηρεσιών: λειτουργικό περιβάλλον. Οι ομάδες ανάπτυξης λογισμικού δι- • Διαχείριση ευπαθειών • Συμμόρφωση • Τμηματοποίηση Διαχωρίζουν τα προγράμματα σε τμήματα που ενσωματώνονται κτύου • Δημιουργία Προφίλ Κινδύνου • Διαχείριση Διαμόρσε containers και επιτρέπουν την ανάπτυξη και τον έλεγχο φωσης • Ανίχνευση Απειλών • Αντιμετώπιση Συμβάντων σε προσομοιωμένα περιβάλλοντα, που μιμούνται σε μεγάλο σε αυτό τον καινούριο και δυναμικά εξελισσόμενο χώρο της βαθμό το τελικό περιβάλλον παραγωγής. εποχής του ψηφιακού μετασχηματισμού. Η τεχνολογία των containers συντελεί στην υλοποίηση διαδικασιών DevSecOps μέσω της υλοποίησης γρήγορων, ADACOM S.A. επαναλαμβανόμενων κύκλων ανάπτυξης και λειτουργίας 25 Kreontos str. 10442, εφαρμογών, εντός ενός ασφαλούς πλαισίου.. Τα containers Athens, Greece είναι αμετάβλητα και δεν επιδιορθώνονται ποτέ στο χρόνο Τ: 210 5193740 εκτέλεσης, μετατοπίζοντας τους ελέγχους ασφαλείας προς W: www.adacom.com
C Y BER SECU RIT Y • netweeK
23
VIEWPOINT
24
O χρήστης το νέο ψηφιακό σύνορο Η προστασία των δεδομένων των συστημάτων και των προσωπικών δεδομένων αποτελεί σημαντική προτεραιότητα στον Όμιλο Olympia. Oι επιθέσεις γίνονται περισσότερο έξυπνες ενώ οι ανάγκες των επιχειρήσεων απαιτούν οι εργαζόμενοι να χρησιμοποιούν συσκευές και εφαρμογές εντός και εκτός του εταιρικού περιβάλλοντος, με πολλούς και νέους τρόπους. Kώστας Παπαχριστοφής
Σ
τρατηγική του Ομίλου μας είναι η αξιοποίηση των πλεονεκτημάτων που παρέχει το cloud με γνώμονα τη λειτουργικότητα και την ασφάλεια. Επενδύουμε επίσης στον ψηφιακό μετασχηματισμό, αλλά και σε τεχνολογικές εξελίξεις όπως 5G, AI, cloud computing και IoT. Οι κυβερνοεπιθέσεις είναι ο δεύτερος μεγαλύτερος παγκόσμιος κίνδυνος σε ότι αφορά την πιθανότητα πραγματοποίησης και o τέταρτος σε ότι αφορά τις επιπτώσεις, που θα απασχολήσει οργανισμούς και επιχειρήσεις την επόμενη δεκαετία. Η συνολική ασφάλεια μιας εταιρείας είναι τόσο ισχυρή
netweeK • C Y BER SECU RIT Υ
Του Κώστα Παπαχριστοφή, (MSc, MBA, cDPO, CEH, CISM, ISO27001-LA),Group Information Security, Olympia Group
όσο ο πιο αδύναμος κρίκος της. Στη νέα ψηφιακή εποχή, οι επιχειρήσεις προσαρμόζουν συνεχώς τα μέτρα στον τομέα της κυβερνοασφάλειας, ανάλογα με τον αυξανόμενο αριθμό και την πολυπλοκότητα των απειλών που καλούνται να αντιμετωπίσουν. Απαιτείται ενδυνάμωση των μέτρων ασφάλειας λόγω του ψηφιακού μετασχηματισμού και της πανδημίας Ειδικά η τελευταία ανέτρεψε τα σχέδια και τις προτεραιότητες όλων των εταιρειών παγκοσμίως και οδήγησε σε επαναπρογραμματισμό των έργων.
Αποτέλεσε ένα stress-test των διαδικασιών του cybersecurity. Βοήθησε να ξαναδούμε κάποια πράγματα εκ νέου, να πάρουμε καλύτερες αποφάσεις και να εφαρμόσουμε τεχνολογίες που αρνούμασταν στο παρελθόν. Ευτυχώς οδηγούμαστε ξανά στην κανονικότητα, αλλά πλέον σε μια νέα κανονικότητα. Οι σοβαρότερες απειλές, που ευθύνονται για τις μεγαλύτερες απώλειες είναι γνωστές: Malware, phishing, credentials reuse/ theft, DoS, WebApp and Databases attacks. Όσο όμως οι επιτιθέμενοι μαθαίνουν και αξιοποιούν το ΑΙ, τόσο θα αυξηθούν οι επιθέσεις με χρήση έξυπνων αυτοματισμών. Στην προ-
σπάθεια για την προστασία των πληροφοριών, όπου και αν αυτές βρίσκονται, ως βασικό μέτρο θεωρούμε το multifactor authentication, σε συνδυασμό με άλλα μέτρα. Μηχανισμοί όπως, antimalware, sandboxing, threat extraction, UEBA (User and Entity Behavior Analytics) και EDR (Endpoint Detection and Response) αποτελούν νέους συμμάχους στον αγώνα αυτό. Αυτό που ονομάζουμε Cyber Hygiene επίσης μπορεί να βοηθήσει στην αντιμετώπιση κίνδυνων. Τέλος, ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, ώστε να διαχειριστούμε τον υπολοιπόμενο κίνδυνο που δεν μπορούμε να μειώσουμε με τη χρήση διαδικασιών και πολιτικών διαχείρισης. Λόγω του remote working, του cloud και του shadow IT, βλέπουμε το χρήστη ως τον πιο σημαντικό παράγοντα ρίσκου. Ο αυξανόμενος αριθμός αλληλεπιδράσεων των χρηστών με τον έξω κόσμο, παρακάμπτει τη δικτυακή εταιρική περίμετρο μαζί με τους μηχανισμούς ασφαλείας. Ο νέος τρόπος εργασίας αποτελεί εφιάλτη για τα τμήματα κυβερνοασφάλειας. Μπορεί να συμβεί ακούσια αποκάλυψη εταιρικής πληροφορίας (π.χ. κάνοντας κλικ σε ένα σύνδεσμο ηλεκτρονικού «ψαρέματος», από αμέλεια στη χρήση μονάδων USB, μη ασφαλών WIFI ή με χρήση κακών πρακτικών κωδικού πρόσβασης). Αυτό το μεταβαλλόμενο περιβάλλον έχει ως αποτέλεσμα ο χρήστης να έχει γίνει η νέα περίμετρος ασφάλειας.
αποτροπής απειλών και προστασίας εταιρικών δεδομένων. Επενδύουμε στην ευαισθητοποίηση των εργαζομένων, αλλά ταυτόχρονα και στην εκπαίδευση του προσωπικού με εξειδίκευση στο ΙΤ και το Cybersecurity, για να ενδυναμώσουμε τις γνώσεις που απαιτούνται στην αντιμετώπιση των απειλών. Η επένδυση στους ανθρώπους μας θα μειώσει σημαντικά το ρίσκο. Σήμερα, η ομάδα της κυβερνοασφάλειας πρέπει να συνεργαστεί με πολλές εσωτερικές ομάδες, συμπεριλαμβανομένων αυτών που επιφορτί-
Συνολική η ευθύνη της ασφάλειας Στον Όμιλο Olympia θεωρούμε ότι το Cybersecurity είναι ένα ομαδικό «άθλημα». Οι χρήστες τίθενται στην πρώτη γραμμή άμυνας της ασφάλειας των εταιρειών μας. Για το λόγο αυτό ενισχύεται η προσπάθεια με ένα φιλόδοξο σχέδιο που ξεκίνησε ο όμιλος, αυτό της υλοποίησης του InfoSec Portal για security awareness. Με το κατάλληλο υλικό (presentations, newsletters, quiz), αλλά και την υλοποίηση gamification μαζί με simulated phishing, θέλουμε να μετατρέψουμε το χρήστη από αδύναμο κρίκο, σε έναν ισχυρό σύμμαχο
ζονται με τη διαχείριση κινδύνου, της νομικής διεύθυνσης, του data privacy, της διεύθυνσης επικοινωνίας και φυσικά του ΙΤ. Καθίσταται πλέον σημαντική η συνεργασία με εξωτερικές εταιρείες για την ανταλλαγή πληροφοριών σε ζητήματα που αφορούν την κυβερνοασφάλεια, όπως απειλές, βέλτιστες πρακτικές σχεδιασμού και αντιμετώπισης αυτών. Ειδικά για το τελευταίο, έχει επιλεγεί εξειδικευμένη εταιρεία που συνδράμει στις υπηρεσίες κυβερνοασφάλειας, ενδυναμώνοντας τις εταιρείες του ομίλου με δυνατότητες έγκαιρης προειδοποίησης και προσαρμοστικής απόκρισης έναντι προηγμένων απειλών.
Το Cybersecurity στον Όμιλο Olympia είναι ευθύνη όλων. Ο COVID-19 επιτάχυνε τα βήματα προς τον ψηφιακό μετασχηματισμό, από τα πιο απλά πράγματα που έχουν να κάνουν με αγορές στην καθημερινότητά μας μέχρι και τον τρόπο που πλέον θα εργαζόμαστε.
Το ερώτημα δεν είναι αν θα συμβεί μια απειλή, αλλά πότε θα συμβεί και ως εκ τούτου, πόσο καλά η εταιρεία θα διαχειριστεί αυτό το αναπόφευκτο γεγονός. Στόχος της ομάδας της κυβερνοασφάλειας είναι να βρει τη χρυσή τομή ώστε να εξισορροπήσει τις εταιρικές απαιτήσεις, με τις καθημερινές προκλήσεις. Cybersecurity και κόστος Πάντα τίθεται στις εταιρείες η ερώτηση σχετικά με τα budgets του Cybersecurity. Το Cybersecurity ROI είναι δύσκολο να τεκμηριωθεί έναντι οποιουδήποτε άλλου ROI, διότι βασίζεται στη μείωση της απώλειας και όχι στην αύξηση των εσόδων. Σίγουρα οι attackers θα εκμεταλλευτούν την κατάσταση και το γνωρίζουμε. Η Διοίκηση έχει το Cybersecurity πολύ ψηλά στη λίστα των προτεραιοτήτων. Χωρίς την κρίση της, η ομάδα της κυβερνοασφάλειας μπορεί να εστιάσει σε λάθος κατεύθυνση. Η επένδυση στην κυβερνoασφάλεια δεν θα σταματήσει όσο ο όμιλος κάνει σημαντικά βήματα προς τα εμπρός και καινοτομεί. Προσπαθούμε να αξιοποιήσουμε κάθε ευρώ που κατευθύνεται σε επενδύσεις cybersecurity, προς την κατεύθυνση που o όμιλος επιθυμεί να πάει. Οι δαπάνες στο cybersecurity παγκοσμίως κυμαίνονται στα 280-430€ ανά χρήστη, ενώ στο cyber-insurance στο 0,14%0,21% των εσόδων. Η κυβερνοασφάλεια, η καινοτομία και ο ψηφιακός μετασχηματισμός είναι άρρηκτα συνδεδεμένα μεταξύ τους για να βελτιώσουν την εμπιστοσύνη με τους πελάτες μας, τους συνεργάτες μας και τους εργαζόμενους μας. Το Cyber sec u r it y σ τον Ό μι λο Olympia είναι ευθύν η όλων. Ο COVID-19 επιτάχυνε τα βήματα προς τον ψηφιακό μετασχηματισμό, από τα πιο απλά πράγματα που έχουν να κάνουν με αγορές στην καθημερινότητά μας μέχρι και τον τρόπο που πλέον θα εργαζόμαστε. Η ευελιξία στην εργασία εισάγει νέες πολυπλοκότητες στα συστήματα ταυτοποίησης και πρόσβασης της εταιρείας. Στον Όμιλο Olympia παρακολουθούμε σοβαρά αυτές τις εξελίξεις, σχεδιάζουμε και λαμβάνουμε τα απαραίτητα μέτρα ασφαλείας για να προστατεύσουμε τα νέα ψηφιακά μας σύνορα.
C Y BER SECU RIT Y • netweeK
25
VIEWPOINT
Ψηφιακή Ασφάλεια: Αίσθηση ή Πραγματικότητα; Η ψηφιακή ασφάλεια αποτελεί πλέον αναπόσπαστο κομμάτι των σύγχρονων Οργανισμών και σταδιακά διαφαίνεται να καταλαμβάνει το στρατηγικό ρόλο και την προσοχή που τόσα χρόνια αναζητά και σίγουρα δικαιούται και αξίζει
28 Μαρία Σωτήρχου
Ο
ι νέες ψηφιακές απαιτήσεις που διαμορφώνονται τα τελευταία χρόνια και έχουν επιβληθεί πρόσφατα με την εμφάνιση της πανδημίας, αλλάζουν ταχύτατα το εργασιακό περιβάλλον, ενισχύοντας την οπτική ότι «η ψηφιακή ασφάλεια πρέπει πλέον να θεωρείται επένδυση και όχι ένα επιπρόσθετο λειτουργικό κόστος». Μπορεί να μην είναι προφανές, αλλά η ψηφιακή ασφάλεια συνδέεται άρρηκτα με την ικανοποίηση των πελατών, τη φήμη, αλλά και τη μακροβιότητα κάθε εταιρείας. Αρκεί κανείς να αφιερώσει λίγο χρόνο για να σκεφτεί τη γνώμη των πελατών του, εάν για παράδειγμα τα συστήματα της εταιρείας του δεν είναι διαθέσιμα για μερικές ώρες ή διαρρεύσουν τα δεδομένα πελατών που βρίσκονται στην κατοχή της και της επιβληθούν νομικές ή/και χρηματικές κυρώσεις. Αναμφίβολα, οι σύγχρονες εταιρείες καλούνται να αντιμετωπίσουν σε ημερήσια βάση προκλήσεις που σχετίζονται με την ψηφιακή ασφάλεια, προκειμένου να διασφαλίσουν όχι μόνο την επιβίωση και την επιχειρη-
netweeK • C Y BER SECU RIT Υ
Της Μαρίας Σωτήρχου, Data Governance & Information Security Group Manager, Eυρωπαϊκή Πίστη
σιακή τους συνέχεια, αλλά κυρίως την επιτυχία και το ανταγωνιστικό τους πλεονέκτημα. Διακριτά χαρακτηριστικά των προκλήσεων αυτών είναι η επιτακτικότητα ατην αντιμετώπιση τους και η ποικιλομορφία τους, καθώς και το ευρύ φάσμα επιρροής τους. Σίγουρα δεν είναι τυχαίο το γεγονός ότι τα περιστατικά ασφάλειας στον κυβερνοχώρο κατατάσσονται πλέον στους σημαντικότερους επιχειρηματικούς κινδύνους παγκοσμίως. Ενδεικτικά και όχι περιοριστικά, κάποιες από τις κυριότερες νέες προκλήσεις της ψηφιακής ασφάλειας σχετίζονται με τα ακόλουθα:
Σε αυτό το πλαίσιο, η διασφάλιση της απρόσκοπτης λειτουργίας και ασφάλειας του φορητού εξοπλισμού, των απομακρυσμένων συνδέσεων, της απόδοσης δικαιωμάτων πρόσβασης, των τηλεφωνικών επικοινωνιών και των τηλεδιασκέψεων, αποτελούν τις μεγαλύτερες προκλήσεις. Η Εταιρεία μας, έχοντας προβλέψει και επενδύσει σε νέες τεχνολογίες, έχει υιοθετήσει και εφαρμόσει διάφορες λύσεις, στις προαναφερθείσες προκλήσεις του εναλλακτικού αυτού μοντέλου εργασίας. Η φαρέτρα των μηχανισμών ασφαλείας μας περιλαμβάνει διάφορα μέτρα (controls), προληπτικά – ανιχνευτικά – επιδιορθωτικά (όπως υβριδικό μοντέΑπομακρυσμένη Εργασία λο cloud και virtual private networks), Διαφαίνεται ότι η εποχή όπου η προ- ισχυρούς μηχανισμούς αυθεντικοποίστασία της περιμέτρου και του εσω- ησης και ταυτοποίησης, αντιϊική προτερικού δικτύου ενός Οργανισμού στασία και κρυπτογράφηση φορητού εξασφάλιζε ταυτόχρονα και την ασφά- εξοπλισμού, IP τηλεφωνία, cloud λειά του, έχει παρέλθει αμετάκλητα. e-mail και πολλά ακόμη. Η ανάγκη διασποράς του εταιρικού εξοπλισμού, πέραν του ελεγχόμενου Ψηφιακός φυσικού χώρου του γραφείου, είναι Μετασχηματισμός πλέον επιτακτική λόγω της τηλεργα- Αδιαμφισβήτητα, η ενίσχυση του ψηφισίας, όπως και η ανάγκη αυξημένης ακού αποτυπώματος κάθε οργανισμού προστασίας του. στον παγκόσμιο εμπορικό χάρτη δεν
30
αποτελεί απλώς μία τάση, αλλά μια μετάβαση ζωτικής σημασίας για τη μακροβιότητα και την επιτυχία οποιασδήποτε επιχείρησης. Ωστόσο, όπως αναμενόταν, αυτός ο μετασχηματισμός ταυτόχρονα φέρνει στο προσκήνιο πολλαπλά ζητήματα ασφάλειας όπως νέα τρωτά σημεία, καινούργιους, πιο εξελιγμένους και δύσκολα ανιχνεύσιμους φορείς κινδύνων, καθώς και αύξηση της συχνότητας και της πολυπλοκότητας των κυβερνοεπιθέσεων. Υβριδικές cloud αρχιτεκτονικές, αποθήκευση δεδομένων στο cloud, τεχνολογίες ΑΙ, aaS και machine learning, πλήρως αυτοματοποιημένες διαδικασίες και πελατοκεντρικές υπηρεσίες είναι μόνο μερικές από τις καινοτομίες που έχουν προαχθεί λόγω του ψηφιακού μετασχηματισμού. Ανεξάρτητα από το εάν οι παραβιάσεις που δημοσιεύθηκαν τα τελευταία χρόνια οφείλονται αποκλειστικά και μόνο στον ψηφιακό μετασχηματισμό ή τις νέες τεχνολογίες που αυτός λανσάρει, οι κίνδυνοι ασφάλειας που σχετίζονται με αυτόν, επιβάλλεται να ληφθούν σοβαρά υπόψη. Τελικά, ποιο το νόημα των επενδύσεων στον ψηφιακό μετασχηματισμό, εάν στο τέλος δεν μπορεί να διασφαλιστεί ταυτόχρονα η ασφάλεια των πελατών, των δεδομένων, ακόμη και της ίδιας της επιχείρησης, ή διακυβεύεται το ήδη θεσπισμένο “δίχτυ ασφάλειας” της εκάστοτε επιχείρησης. Η στάση που υιοθετήθηκε από την Εταιρεία μας στην αντιμετώπιση αυτών των ζητημάτων, θεωρούμε ότι είναι απλή και ταυτόχρονα αποτελεσματική. Σταδιακή ανάπτυξη και κλιμάκωση έργων ψηφιακού μετασχηματισμού σε σιλό και με ασφάλεια. Διαδικασίες εκτίμησης και μετριασμού των κινδύνων και ίσως το πιο θεμελιώδες: Η ασφάλεια να λαμβάνεται υπόψη από την έναρξη κάθε έργου πληροφορικής και ειδικά έργων ψηφιακού μετασχηματισμού (security-by-design). Για το σκοπό αυτό, έχει συσταθεί μια επιτροπή με εκπροσώπους από κάθε βασικό πυλώνα θωράκισης της ασφάλειας (Κανονιστική Συμμόρφωση, Νομικό Τμήμα, Τμήμα Διακυβέρνησης Δεδομένων & Ασφάλειας Πληροφοριών, Διεύθυνση Πληροφορικής, DPO), όπου γνωμοδοτούν για οποιοδήποτε νέο έργο, εφαρμογή ή δράση ψηφιακού μετασχηματισμού. Είμαστε πεπεισμένοι ότι η αναδρομική προσαρμογή της ασφάλειας σε οποιο-
netweeK • C Y BER SECU RIT Υ
δήποτε ολοκληρωμένο έργο, σύστημα ή εφαρμογή, οδηγεί με μαθηματική ακρίβεια σε κενά και τρωτά σημεία της γενικής αρχιτεκτονικής ασφάλειας και θα πρέπει να αποφεύγεται. Νομοθετικοί Κανονισμοί και Προσωπικά Δεδομένα Οι επιχειρήσεις τα τελευταία χρόνια καλούνται να αντιμετωπίσουν μια νέα μεγάλη πρόκληση που σχετίζεται με την προστασία των προσωπικών δεδομένων και την ιδιωτικότητα. Ο γνωστός πλέον σε όλους μας, GDPR, έθεσε υψηλά τον πήχη και ακολούθησε ο αντίστοιχος Εθνικός Νόμος 4624/2019 καθώς και αποφάσεις,
Ο ακρογωνιαίος λίθος του στρατηγικού μας σχεδίου διαχείρισης ασφάλειας είναι η πλήρης ευθυγράμμιση των στόχων ασφάλειας με τους επιχειρηματικούς στόχους οδηγίες και δελτία τύπου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Επιπρόσθετα, η νέα κανονικότητα της τηλεργασίας σε συνδυασμό με τις προσπάθειες προστασίας της υγείας των εργαζομένων και τον εσπευσμένο ψηφιακό μετασχηματισμό που υιοθετήθηκε από αρκετές επιχειρήσεις για να ανταπεξέλθουν στις νέες συνθήκες, έχουν διευρύνει και ταυτόχρονα παρεμποδίσει τις προσπάθειες αυτής της κανονιστικής συμμόρφωσης. Στην πραγματικότητα, δημιουργήθηκαν νέες, αχαρτογράφητες ροές δεδομένων, νέες δραστηριότητες επεξεργασίας και αυξήθηκε ο όγκος της πληροφορίας που διακινείται στο διαδίκτυο με αποτέλεσμα να πρέπει να αναδιαμορφωθεί, ενισχυθεί και τελικά να εξασφαλιστεί το υπάρχον πλαίσιο προστασίας δεδομένων,
τα επίπεδα ασφάλειας των ψηφιακών υποδομών και η συμμόρφωση με τις νομοκανονιστικές απαιτήσεις. Παρά τις όποιες προκλήσεις, ο απώτερος στόχος της Εταιρείας μας εξακολουθεί να παραμένει μοναδικός: «όχι μόνο να αισθανόμαστε ότι λειτουργούμε υπό καθεστώς ασφάλειας, αλλά να διατηρούμε πράγματι ένα υψηλό επίπεδο ασφάλειας και να είμαστε όντως ασφαλείς». Για εμάς, οι εκάστοτε προκλήσεις αποτελούν ταυτόχρονα ευκαιρίες βελτίωσης, μόνιμης εξέλιξης και διαρκούς ανάπτυξης. Ο ακρογωνιαίος λίθος του στρατηγικού μας σχεδίου διαχείρισης ασφάλειας είναι η πλήρης ευθυγράμμιση των στόχων ασφάλειας με τους επιχειρηματικούς στόχους. Για αυτό και κατά τη διάρκεια των αβέβαιων καταστάσεων που βιώνουμε παγκοσμίως, προβήκαμε: • Στην υλοποίηση και στην εφαρμογή νέων έργων και δράσεων βελτιστοποίησης των προτύπων ISO 9001 και ISO 27001 με τα οποία είμαστε ήδη πιστοποιημένοι. • Επεκτείναμε τις θεσπισμένες διαδικασίες παρακολούθησης των δικτυακών μας υποδομών με το βοήθεια αξιόπιστων συνεργατών. • Αυξήσαμε το πλήθος και διευρύναμε το πλαίσιο των δοκιμών διείσδυσής (penetration test). • Καθιερώσαμε νέες διαδικασίες διακυβέρνησης και ποιότητας δεδομένων. • Αναβαθμίσαμε τις τεχνολογικές μας υποδομές. • Εμπλουτίσαμε τα σχέδια διαχείρισης κρίσεων (Crisis Management Plans), ανάκαμψης από καταστροφή (Disaster Recovery Plans) και επιχειρησιακής συνέχειας (Business Continuity Plans), με πιθανά σενάρια εκδήλωσης πανδημίας. • Δώσαμε ιδιαίτερη έμφαση στις συστηματικές ενημερώσεις και άμεσες και ταχύρρυθμες εκπαιδεύσεις του συνόλου του ανθρώπινου δυναμικού μας σε θέματα ασφάλειας και προστασίας προσωπικών δεδομένων υπό το πρίσμα του νέου, ασυνήθιστου τρόπου εργασίας. Επομένως, από την εμπειρία μας προκύπτει ότι τα καλύτερα δυνατά αποτελέσματα μπορούν να επιτευχθούν με ολιστική προσέγγιση των ζητημάτων ψηφιακής ασφάλειας και εγκαθίδρυση πολυεπίπεδων μηχανισμών ελέγχου.
Security Intelligence Center
Artificial Intelligence for Information Technology resilience & ICS / SCADA cyber protection
www.netbull.gr ΑΘΗΝΑ: Λεωφ. Ελευθερίου Βενιζέλου 16, 176 76, Καλλιθέα - Τηλ: 210 9203400 ΘΕΣΣΑΛΟΝΙΚΗ: Χάλκης 8, 555 35, Πυλαία - Τηλ: 2310 365250
VIEWPOINT
Η Κυβερνοασφάλεια στην εποχή του COVID-19 Τους τελευταίους μήνες, οι Ιδιωτικοί και Δημόσιοι Οργανισμοί δέχονται αυξημένες πιέσεις καθώς η πανδημία COVID-19 δημιούργησε τις κατάλληλες συνθήκες για μια ακραία κατάσταση κρίσης της οποίας η έκταση και η διάρκεια δεν θα μπορούσε να έχει προβλεφθεί.
32 Μιχάλη Ν. Μπερκέτη
Λ
όγω των υφιστάμενων συνθηκών όλοι οι Οργανισμοί, κλήθηκαν, σε μεγάλο ή μικρό βαθμό, να αντιμετωπίσουν μια σειρά από προκλήσεις, με βασικούς άξονες να είναι ο ψηφιακός μετασχηματισμός και παράλληλα η ψηφιακή ασφάλειά τους, διατηρώντας τον κύκλο εργασιών τους αμετάβλητο λειτουργώντας σε ένα εξαιρετικά δυναμικό περιβάλλον. Τα κύρια χαρακτηριστικά του περιβάλλοντος στο οποίο καλούνται να λειτουργήσουν σήμερα οι Οργανισμοί είναι η ταχύτητα των εξελίξεων, οι αλλαγές στις συνήθειες των ανθρώπων σε προσωπικό και επαγγελματικό επίπεδο, η ακραία δοκιμασία των σχεδίων επιχειρησιακής συνέχειας και αντιμετώπισης κρίσεων και η μεγέθυνση και η ανάδειξη προβλημάτων που προϋπήρχαν. Σημερινές Προκλήσεις Στο πλαίσιο αυτό, οι Οργανισμοί για να προσαρμοστούν στις νέες απαιτήσεις, ενσωματώνουν στη λειτουργία τους νέες τεχνολογίες όπως cloud υπηρε-
netweeK • C Y BER SECU RIT Υ
Του Μιχάλη Ν. Μπερκέτη, Information Security Officer, Συνεταιριστική Τράπεζα Χανίων
σίες, πλατφόρμες τηλεδιασκέψεων και απομακρυσμένης συνεργασίας του προσωπικού τους και αναβαθμίσεις υποδομών για να υποστηρίξουν επαρκώς τις αυξημένες τηλεπικοινωνιακές ανάγκες. Η εισαγωγή των νέων τεχνολογιών αποτελεί κρίσιμη πρόκληση για την ψηφιακή ασφάλεια καθώς χρειάζεται να ληφθούν όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα ώστε να εξασφαλιστεί η θωράκιση απέναντι σε κυβερνοαπειλές και ταυτόχρονα, τα μέτρα αυτά να συμβαδίζουν σε έκταση και ρυθμό με τον ψηφιακό μετασχηματισμό που πραγματοποιείται. Επιπλέον, οι αυξημένες ανάγκες τηλεργασίας, ακόμα και για θέσεις εργασίας που δεν υπήρχε επιχειρησιακή ανάγκη πριν την κρίση του COVID-19, αύξησε σημαντικά την περίμετρο που καλείται κάθε Οργανισμός να καλύψει, καθώς η πρόσβαση στα συστήματα και τα δεδομένα γίνεται πλέον μέσα από ποικίλα τηλεπικοινωνιακά κανάλια μεγαλώνοντας την επιφάνεια και την έκθεση τους στο διαδίκτυο. Τα παραπάνω συντελούν στην αύξηση της πολυπλοκότητας των δικτύων
και των συνδέσεων που καλούνται να διαχειριστούν και να προστατέψουν ολοκληρωμένα οι Οργανισμοί, ώστε τα δεδομένα να μεταφέρονται με ασφάλεια. Η πρόκληση της θωράκισής τους από κυβερνοεπιθέσεις μεγεθύνεται λόγω της έλλειψης εξειδικευμένων στελεχών στον τομέα της ασφάλειας. Παράλληλα, οι Οργανισμοί υποχρεούνται να διαχειριστούν τον υψηλό ρυθμό κυβερνοεπιθέσεων που πραγματοποιούνται από ομάδες οι οποίες εκμεταλλεύονται τις συνθήκες που έχουν διαμορφωθεί. Νέες Τάσεις στην Κυβερνοασφάλεια Οι προκλήσεις που έχουν προκύψει συντέλεσαν στο γεγονός, οι εταιρείες που δραστηριοποιούνται στον τομέα της κυβερνοασφάλειας και αναπτύσσουν σχετικά προϊόντα, να υιοθετήσουν με τη σειρά τους νέες μεθόδους ώστε να προστατέψουν με επάρκεια τους Οργανισμούς. Πλέον η Μηχανική Μάθηση και η Τεχνητή Νοημοσύνη είναι βασικά εργαλεία για την αποτελεσματική αντιμετώπιση
του κυβερνοεγκλήματος, ανιχνεύοντας σε σύντομο χρονικό διάστημα κακόβουλες ενέργειες με σκοπό να λαμβάνονται τα απαραίτητα μέτρα ελαχιστοποίησης των επιπτώσεων τους. Οι σύγχρονές πλατφόρμες αντλούν στοιχεία σε παγκόσμιο επίπεδο ώστε να ενημερώνονται σχεδόν σε πραγματικό χρόνο και να μπορούν να εκπαιδεύονται στα νέα attack vectors που εμφανίζονται. Επιπλέον, δημιουργούνται Security Operations Centers (SOC) τα οποία στελεχώνονται από εξειδικευμένο προσωπικό στον τομέα της κυβερνοασφάλειας και λειτουργούν σε πολλαπλά επίπεδα. Οι ομάδες SOC προσφέρουν τις υπηρεσίες τους στους Οργανισμούς, επιτηρώντας και ελέγχοντας σε 24ώρη βάση τις υποδομές και τα συστήματα από άκρη σε άκρη για τυχόν παραβιάσεις ή κακόβουλες ενέργειες και είναι έτοιμα να παρέμβουν περιορίζοντας τις συνέπειες. Σημαντικοί Κίνδυνοι και Στρατηγικές διαχείρισης της ασφάλειας Με βάση τα παραπάνω προκύπτει ότι οι Οργανισμοί καλούνται να διαχειριστούν μεγάλο πλήθος απειλών για τις υποδομές τους, τα δίκτυα και τα ψηφιακά δεδομένα που παράγουν ή/ και επεξεργάζονται και διαχειρίζονται. Οι μεγαλύτεροι κίνδυνοι που έχουν αναδειχθεί είναι η διαρροή πληροφοριών, το ηλεκτρονικό ψάρεμα, το ransomware και το κακόβουλο λογισμικό. Η διατήρηση της φήμης των Οργανισμών, η συνέχεια του κύκλου εργασιών τους και η εύρυθμη λειτουργία τους, βασίζεται στην επιτυχή αντιμετώπιση των απειλών και στον περιορισμό των επιπτώσεων τους. Συνεπώς, κάθε Οργανισμός λαμβάνει σήμερα μια σειρά από μέτρα και υιοθετεί βέλτιστες πρακτικές για να μπορέσει να ανταπεξέλθει και τελικά να διαχειριστεί ικανοποιητικά την απειλή κατά της ασφάλειάς του. Η εκπαίδευση και η συνεχής ενημέρωση του προσωπικού με στόχο την ευαισθητοποίησή του σε θέματα που άπτονται της ασφάλειας, αποτελεί ακρογωνιαίο λίθο στην άμυνα της κυβερνοασφάλειας καθώς οι περισσότερες επιθέσεις στοχεύουν στην
εκμετάλλευση και χειραγώγηση του ανθρώπινου παράγοντα. Πρόσφατο παράδειγμα αποτελεί η περίπτωση της εταιρείας Tesla [1] όπου υπάλληλος την προστάτεψε καθώς αρνήθηκε να προχωρήσει σε εγκατάσταση κακόβουλου λογισμικού στα συστήματά της. Αντίθετο παράδειγμα αποτελεί η επιτυχής εκμετάλλευση υπαλλήλου της κοινωνικής πλατφόρμας Twitter [2] από κακόβουλη ομάδα, ώστε να παρεισφρήσουν στο δίκτυο της εταιρείας και στη συνέχεια να αποκομίσουν οικονομικά οφέλη.
Η Συνεταιριστική Τράπεζα Χανίων αναγνωρίζοντας τις σημερινές προκλήσεις και απαιτήσεις προχώρησε σε μια σειρά από επενδύσεις για την αναβάθμιση της ποιότητας των υπηρεσιών της, επιτυγχάνοντας τη μέγιστη δυνατή ασφάλεια Σημαντική, επίσης, είναι η ενίσχυσή των ομάδων κυβερνοασφάλειας των Οργανισμών που πραγματοποιείται με τεχνολογίες τελευταίας γενιάς, οι οποίες αυτοματοποιούν και συμβάλουν στην έγκαιρη και έγκυρη αναγνώριση απειλών ώστε να ενεργοποιηθούν όλα τα μέτρα αποτροπής. Ενδεικτικά παραδείγματα μη έγκυρης αναγνώρισης μιας απειλής αποτελούν οι αστοχίες που αντιμετώπισαν μεγάλες εταιρίες όπως η Garmin [3] και η Travelex [4] οι οποίες απέτυχαν να ανιχνεύσουν την εγκατάσταση ransomware στα συστήματά τους με αποτέλεσμα να τεθούν υπό καθεστώς ψηφιακής ομηρίας για μεγάλο χρονικό διάστημα.
Παράλληλα, οι Οργανισμοί υιοθετούν αναγνωρισμένα και δοκιμασμένα πρότυπα ενσωματώνοντας στον τρόπο διοίκησης τους την ασφάλεια των πληροφοριακών συστημάτων βασιζόμενοι στην Αξιολόγηση και Διαχείριση Κινδύνων (ISO27005), την ενδυνάμωση και διαχείριση της συνέχειας των εργασιών τους (ISO22301) και την Ασφάλεια των Συστημάτων και Διαχείρισης των Πληροφοριών (ΙSO27001/2 και OWASP). Συγχρόνως, συνεργάζονται με Ανεξάρτητες Αρχές σε εθνικό και διεθνές επίπεδο ώστε να υπάρξει ένα καθολικό και συμπαγές σχέδιο άμυνας. Επιπρόσθετα, τους τελευταίους μήνες έχουν πυκνώσει οι αναφορές αναγνώρισης και διαχείρισης κινδύνων στον κυβερνοχώρο από διεθνείς οίκους και εξειδικευμένους Οργανισμούς, όπως η ENISA [5] και η EUROPOL [6], οι οποίοι ανάλογα με τις διαμορφούμενες συνθήκες προχωρούν σε προτάσεις προς τις επιχειρήσεις και το κοινό. Συνεταιριστική Τράπεζα Χανίων Η Συνεταιριστική Τράπεζα Χανίων αναγνωρίζοντας τις σημερινές προκλήσεις και απαιτήσεις και έχοντας ως βασικό στόχο τη διασφάλιση τόσο του κοινού και των εργαζομένων της, αλλά και την ασφάλεια των συναλλαγών, προχώρησε σε μια σειρά από επενδύσεις για την αναβάθμιση της ποιότητας των υπηρεσιών της, επιτυγχάνοντας τη μέγιστη δυνατή ασφάλεια. Συγκεκριμένα, αναδιάρθρωσε πλήρως την πλατφόρμα του e-banking της ενσωματώνοντας νέες τεχνολογίες και έθεσε σε εφαρμογή εξοπλισμό τελευταίας γενιάς που εξασφαλίζει υψηλά επίπεδα κυβερνοασφάλειας σε υφιστάμενα και νέα συστήματα καλύπτοντας τις νέες απαιτήσεις της εποχής όπως η τηλεργασία. Επιπλέον, η Τράπεζα επένδυσε σε τεχνολογίες αιχμής ώστε να επιτύχει σε υψηλό βαθμό την ασφάλεια των τηλεπικοινωνιών. Παράλληλα, παραμένει σε συνεχή επαφή με το κοινό και το προσωπικό της με περιοδικές ενημερώσεις καθώς τα μέτρα πρόληψης και προστασίας από κυβερνοεπιθέσεις δεν αφορούν μόνο τις επιχειρήσεις αλλά και τον κάθε χρήστη ξεχωριστά.
C Y BER SECU RIT Y • netweeK
33
INTERVIEW
Διαρκής η προσπάθεια για την κυβερνοασφάλεια 34 Δημήτρης Μακρής, Andriaki Shipping Co. Ltd,
Ποιες είναι οι σημαντικότερες προκλήσεις σε ό,τι αφορά την ψηφιακή ασφάλεια που αντιμετωπίζουν σήμερα οι οργανισμοί; Μία από τις σημαντικότερες προκλήσεις που αντιμετωπίζουμε σε ό,τι αφορά την κυβερνοασφάλεια είναι η διαλειτουργικότητα. Μιας και η διαλειτουργικότητα των πληροφοριακών συστημάτων των οργανισμών και των πλοίων διαρκώς αυξάνεται, είναι επιβεβλημένη η θωράκιση των συστημάτων κυβερνοασφάλειας. Όσο διάστημα τα συστήματα δούλευαν αποκομμένα από το διαδίκτυο, είχαμε την πολυτέλεια να λέμε ότι τίποτε δεν μπορεί να επηρεάσει την απρόσκοπτη λειτουργία τους. Με δεδομένη την αναβάθμιση της ταχύτητας και των υπηρεσιών επικοινωνίας μεταξύ πλοίων και γραφείου, αλλά και των διεπαφών με άλλα προγράματα και πλατφόρμες λογισμικού, σε λίγα χρόνια δεν θα υπάρχει σύστημα IT, OT ή IoT το οποίο να μην προσφέρει δυνατότητα απομακρυσμένης διαχείρισης, άρα και
netweeK • C Y BER SECU RIT Υ
O Δημήτρης Μακρής, IT Manager, Information Security Officer, Andriaki Shipping Co. Ltd, εξηγεί γιατί η διαλειτουργικότητα και ο ανθρώπινος παράγοντας είναι οι μεγαλύτερες προκλήσεις που καλείται να αντιμετωπίσει μία εταιρεία σε ό,τι αφορά την ψηφιακή ασφάλεια. Συνέντευξη στην Αγγελική Κορρέ
διασύνδεσης με το διαδίκτυο. Τότε η ανάγκη για ασφάλεια θα είναι επιβεβλημένη μιας και ένα απροστάτευτο, παλαιάς τεχνολογίας IoT σύστημα για παράδειγμα, θα μπορούσε να σταθεί αιτία διακοπής μιας νευραλγικής υπηρεσίας ή ακόμη και αιτία ενός σοβαρού ατυχήματος με ανυπολόγιστες συνέπειες. #interoperability. Ο ανθρώπινος παράγοντας επίσης είναι καθοριστικός και οι προσπάθειες πρέπει να επικεντρώνονται στην συνεχή ευαισθητοποίηση του προσωπικού της εταιρείας και του πλοίου. Δεν πρέπει να θεωρείται δεδομένο ότι όλοι οι οργανισμοί έχουν εκπαιδεύσει ή έστω έχουν ενημερώσει το προσωπικό τους για τους κινδύνους στον κυβερνοχώρο. #awareness. Στις εταιρείες που έχουν ήδη ενεργοποιηθεί, οι αρχικές κατευθυντήριες γραμμές και η αρχική ευαισθητοποίηση και εκπαίδευση δεν επαρκούν. Πλέον, είναι απαραίτητη η τακτική εφαρμογή ασκήσεων όπως «προσομοιώσεις επιθέσεων ηλεκτρονικού ψαρέματος», η συνεχής εκπαίδευση του προσωπικού των τμημάτων πληροφορικής στην αντιμετώπιση
των κυβερνοεπιθέσεων, η συνειδητοποίηση από το προσωπικό πλοίου και ξηράς ότι η κυβερνοασφάλεια είναι ευθύνη όλων και όχι μόνο των υπαλλήλων των τμημάτων πληροφορικής. #accountability Ποιες είναι οι σύγχρονες τάσεις σε θέματα κυβερνοασφάλειας; Οι σύγχρονες τάσεις στην κυβερνοασφάλεια περιλαμβάνουν μεταξύ άλλων: • Τεχνολογίες προστασίας των υπηρεσιών νέφους • Λύσεις ασφαλείας τηλεπικοινωνιακών δικτύων επόμενης γενιάς • Τεχνολογικές λύσεις οι οποίες βελτιώνουν την ορατότητα των συστημάτων πληροφορικής και των συστημάτων ασφάλειας πληροφοριών του οργανισμού και αυτοματοποιούν αντίστοιχες διαδικασίες • Τεχνολογίες προστασίας των κινητών συσκευών και των ασύρματων επικοινωνιών • Τεχνολογίες προστασίας των δεδομένων που συλλέγονται από αισθητήρες • Τεχνολογίες προστασίας των δεδομένων προσωπικού χαρακτήρα
• Τ ην ασφάλιση κατά κινδύνων στον κυβερνοχώρο • Τ ην ενσωμάτωση τεχνολογιών τεχνητής νοημοσύνης στην κυβερνοασφάλεια του οργανισμού Ποιοι είναι οι μεγαλύτεροι κίνδυνοι; Με την τεχνολογική ανάπτυξη να βρίσκεται σε ανοδική πορεία, ειδικότερα μετά την περίοδο της πανδημίας, εξελίσσεται ταχύτατα η ψηφιοποίηση καθημερινών δραστηριοτήτων, οικονομικού, επαγγελματικού ή ψυχαγωγικού χαρακτήρα. Αυτή η τάση διευκολύνει την καθημερινότητα μας αλλά παράλληλα δημιουργεί και αρκετούς κινδύνους, μερικοί από τους οποίους είναι: • Οι επιθέσεις με τεχνικές κοινωνικής μηχανικής και τεχνολογίες τεχνητής νοημοσύνης. Με την χρήση των παραπάνω, οι κυβερνοεγκληματίες μπορούν να δημιουργήσουν προγράμματα που μιμούνται γνωστές ανθρώπινες συμπεριφορές με σκοπό να αποσπάσουν προσωπικές ή οικονομικές πληροφορίες ή να αποκτήσουν παράνομα πρόσβαση σε εμπιστευτικές πληροφορίες, κινητές συσκευές, ή ακόμη και φυσική πρόσβαση σε καλά φυλασσόμενους χώρους του οργανισμού. #social engineering #deepfake #phishing #vishing #smishing #tailgating • Οι επιθέσεις που έχουν ως στόχο την παραποίηση δεδομένων που συλλέγονται από αισθητήρες, και επίσης οι επιθέσεις που έχουν ως στόχο την διακοπή ή την παραποίηση των σημάτων GPS και των ενδείξεων οργάνων πλοήγησης των πλοίων. Αυτού του τύπου οι επιθέσεις μπορούν να οδηγήσουν σε σοβαρά ναυτικά ή τροχαία ατυχήματα, ακόμη και σε απώλεια ανθρωπίνων ζωών. #GPS jamming #GPS spoofing • Η παράνομη διακίνηση, πώληση ή αλλοίωση ευαίσθητων δεδομένων προσωπικού χαρακτήρα με σκοπό τον εκβιασμό και την απόσπαση λύτρων. #data privacy #cyber extortion • Η εξέλιξη των κβαντικών υπολογιστών θα οδηγήσει στην δυνατότητα ταχύτερης αποκρυπτογράφησης κρυπ τογραφικών σ υσ τημάτων. #quantum threat
Ποιες είναι οι στρατηγιDetection/Prevention Systems, κές αυτές και οι βέλτιστες network segmentation, ζώνες DMZ, πρακτικές για τη διαχείaccess control lists, two-factor-auριση της ασφάλειας; thentication, encrypted VPN access. Οι βασικότερες στρατηγικές και βέλτι- • Τ ην τήρηση αρχείων καταγραφής στες πρακτικές διαχείρισης της ασφά- για τα κεντρικά πληροφοριακά συλειας περιλαμβάνουν μεταξύ άλλων: στήματα και τα συστήματα κυβερ• Τ ην ανάπτυξη πολιτικών και δια- νοασφάλειας, με αυτοματοποιημένο δικασιών ασφάλειας με σκοπό την εντοπισμό των επιθέσεων και άμεση προστασία των πληροφοριακών συ- απόκριση. στημάτων του οργανισμού. Οι πολι- • Πολίτικες κρυπτογραφημένων και τικές και διαδικασίες ασφάλειας θα διαβαθμισμένων αντιγράφων ασφαπρέπει να είναι συγκεκριμένες και λείας των δεδομένων του οργανισμού. κατανοητές από όλους στον οργα- • Σ χέδια έκτακτου ανάγκης και μέτρα νισμό. προστασίας και ανάκαμψης από φυσικές και άλλες απειλές ή καταστροφές. • Την αποτελεσματική κατάρτιση του προσωπικού σε θέματα κυβερνοασφάλειας, η οποία θα πρέπει να εντάσσεται ουσιαστικά στα προγράμματα ανάπτυξης ψηφιακών δεξιοτήτων του οργανισμού. Ιδανικά, θα πρέπει να περιλαμβάνονται στα προγράμματα διδασκαλίας των πανεπιστημιακών ιδρυμάτων, των επιστημονικών σχολών, και της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης.
Ένα μόνο πράγμα είναι σίγουρο: κανένας οργανισμός δεν είναι 100% ασφαλής, οπότε η προσπάθεια για βελτίωση της αποτελεσματικότητας της κυβερνοασφάλειας θα πρέπει να είναι διαρκής και συστηματική
• Τ ην χρήση ενημερωμένου λογισμικού προστασίας από κακόβουλο κώδικα με δυνατότητες κεντρικής διαχείρισης για το γραφείο, τα πλοία, τις cloud υπηρεσίες, τις συσκευές κινητής. • Τ ην δυνατότητα προγραμματισμένης εγκατάστασης των ενημερώσεων ασφάλειας στα λειτουργικά συστήματα και τις εφαρμογές πλοίων και γραφείου. • Κατάλληλες διαδικασίες ώστε η πρόσβαση σε πληροφοριακά συστήματα να περιορίζεται βάσει των ρόλων και των καθηκόντων των μελών του οργανισμού. • Τ ην εφαρμογή πολιτικής για την χρήση ισχυρών κωδικών πρόσβασης. • Τα τεχνολογικά μέτρα κυβερνοασφάλειας τα οποία θα πρέπει να περιλαμβάνουν μεταξύ άλλων και χρήση next generation firewalls, Intrusion
Πώς διαμορφώνεται η στρατηγική της εταιρείας σας; Στην στρατηγική της εταιρείας μας περιλαμβάνονται μεταξύ άλλων: • H αυτοματοποίηση διαδικασιών στα πλοία και στο γραφείο • Η εφαρμογή καινοτόμων τεχνολογιών με στόχο την πιο αποτελεσματική και ευέλικτη συνεργασία του προσωπικού πλοίων και στεριάς • Η εφαρμογή καινοτόμων τεχνολογιών με στόχο την περαιτέρω μείωση του διοικητικού φόρτου του προσωπικού πλοίων και στεριάς • H συνεχής κατάρτιση και εκπαίδευση του προσωπικού πλοίων και στεριάς Παρόλες τις προσπάθειες ενσωμάτωσης νέων πολιτικών και διαδικασιών για την κυβερνοασφάλεια στα συστήματα διαχείρισης πλοίων και γραφείου και τις συνεχείς προσπάθειες θωράκισης της κυβερνοασφάλειας της επιχείρησης, ένα μόνο πράγμα είναι σίγουρο: κανένας οργανισμός δεν είναι 100% ασφαλής, οπότε η προσπάθεια για βελτίωση της αποτελεσματικότητας της κυβερνοασφάλειας θα πρέπει να είναι διαρκής και συστηματική.
C Y BER SECU RIT Y • netweeK
35
ADAPTERA και CYBERX συνεργάζονται για την παροχή λύσεων κυβερνοασφάλειας κρίσιμων υποδομών OT/ICS
Advertorial
36
Η
νέα ψηφιακή εποχή στις επιχειρήσεις, καθώς και η ανάπτυξη του Βιομηχανικού Διαδικτύου των Πραγμάτων (ΙΙοΤ), φέρνουν κοντά τα ΙΤ δίκτυα των επιχειρήσεων με την ΟΤ τεχνολογία. Έτσι, παράλληλα με τα οφέλη που προκύπτουν, αυξάνεται αντίστοιχα και το ρίσκο για κυβερνοεπιθέσεις στις κρίσιμες υποδομές. Η Ευρωπαϊκή Ένωση, παρακολουθώντας τις εξελίξεις στις νέες τεχνολογίες, αλλά και τον αυξανόμενο αριθμό και εξειδίκευση των κυβερνοεπιθέσεων σε βιομηχανικές και κρίσιμες υποδομές, έχει εκδώσει την σχετική Οδηγία για την Ασφάλεια του Δικτύου και Πληροφοριών (NISD), oδηγία που έχει ενταχθεί στην Εθνική Νομοθεσία με τον νόμο 4577/2018, θεσπίζοντας ποινές και πρόστιμα σε όσους δεν συμμορφωθούν. Στο πλαίσιο αυτό, οι οργανισμοί και οι επιχειρήσεις που λειτουργούν κρίσιμες υποδομές θα πρέπει να προχωρήσουν στο σχεδιασμό ολοκληρωμένης στρατηγικής ασφάλειας και στη συνέχεια να υιοθετήσουν τις σχετικές τεχνολογίες και λύσεις που θα τους εξασφαλίσουν αφενός ουσιαστική άμυνα από τις κυβερνοεπιθέσεις και αφετέρου συμμόρφωση στις κατευθύνσεις που επιβάλλονται από το νέο νόμο. Η πλατφόρμα της CYBERX ενισχύει τη δυνατότητα εταιριών, φορέων και οργανισμών, που επιχειρούν σε τομείς με περίπλοκα και απαιτητικά ΟΤ και ICS περιβάλλοντα να προστατεύσουν τις κρίσιμες υποδομές τους και να εξασφαλίσουν την κανονική τους λειτουργία. Ταυτόχρονα συνεισφέρει καταλυτικά στη συμμόρφωση με την οδηγία NIS, παρέχοντας κορυφαία λειτουργικότητα στους τομείς: 1. Asset Management 2. Vulnerability Management 3. Behavior Anomaly Detection - Εντοπισμός ανωμαλιών συμπεριφοράς σε πραγματικό χρόνο 4. Π λήρως προσαρμοσμένες (pre-configured) αναφορές και data mining για root cause ανάλυση και αυτοματοποιημένη έκδοση αναφορών συμμόρφωσης 5. Automated ICS threat modelling - Πλήρως αυτοματοποιημένο μοντέλο ICS για την πρόβλεψη των πιο
netweeK • C Y BER SECU RIT Y
πιθανών απειλών στις πλέον κρίσιμες υποδομές και πόρους του δικτύου 6. ICS threat intelligence μέσω της ομάδας της CYBERX η οποία παρακολουθεί διαδικτυακές απειλές όπως malware , zero-days κ.α. 7. Secure Remote Access - Ασφαλής εξ αποστάσεως πρόσβαση 8. Native Integration με τα υπάρχοντα SOC συστήματα του οργανισμού 9. Integration με firewalls για αποτροπή επιθέσεων 10. Παροχή συμβουλευτικών υπηρεσιών σε θέματα ΟΤ προς την ομάδα του Security Operations Center του οργανισμού Η ADAPTERA διαθέτει ισχυρή εξειδίκευση και εκτενή εμπειρία στην υλοποίηση έργων ενίσχυσης της δικτυακής ασφάλειας βασισμένων σε προηγμένες τεχνολογίες network visibility καθώς και στην πλήρη ενσωμάτωσή τους στις πλατφόρμες ΝΟC/SOC. Η CYBERX (a Microsoft company) είναι παγκόσμιος ηγέτης στον χώρο του IoT/OT Security και προσφέρει μια πλήρως δοκιμασμένη ΙΙοΤ και ICS πλατφόρμα ασφαλείας η οποία καλύπτει και τις πέντε προϋποθέσεις του Πλαισίου Κυβερνοασφαλείας του Ινστιτούτου Προτύπων και Τεχνολογίας του Αμερικανικού υπουργείου Εμπορίου (NIST CSF) καθώς και τις τέσσερεις προϋποθέσεις της Προσαρμοστικής Αρχιτεκτονικής Ασφαλείας της Gartner (Gartner’s Adaptive Security Architecture) Η συνεργασία της ADAPTERA με την CYBERX εξασφαλίζει τις πλέον σύγχρονες και αποτελεσματικές λύσεις δικτυακής ασφάλειας κρίσιμων υποδομών ενέργειας, βιομηχανικών εγκαταστάσεων, μεταφορών, τηλεπικοινωνιών κτλ. ADAPTERA Εμπράρ Ερνέστου 27 Νέο Ψυχικό, 11525 Τ: 217 7770188
VIEWPOINT
Α story of cybercrime H εξέλιξη του κυβερνοεγκλήματος είναι παράλληλη με αυτή της πληροφορικής, και η ασφάλεια ένα πάγιο ζητούμενο των εταιρειών. Ο ανθρώπινος παράγοντας είναι εδώ ίσως το κρισιμότερο στοιχείο.
38
Δημήτρης Μουτζούρης-Λυγερός
Τ
Του Δημήτρη Μουτζούρη-Λυγερού, Industrial Computerized Systems Security Expert
α τοπικά δίκτυα υπολογιστών Αν κάνουμε μια αναδρομή στο παρελ- • Η δεύτερη είναι η ευχέρεια στην με τη χρήση των PCs και θόν σχετικά με τους κινδύνους στην «ανταλλαγή απόψεων και πληροτο Internet εμφανίστηκαν κυβερνοασφάλεια θα δούμε ότι ανά φοριών» μεταξύ των hackers (διότι σχεδόν μαζί στα μέσα της πενταετία σχεδόν αναφερόμαστε και αλήθεια ποιος διαχειριστής δικτύου δεκαετίας του ’90. Βέβαια και πριν σε διαφορετικούς κινδύνους. Η τε- έχει την ευχέρεια να μιλήσει ανοιτα Windows NT που έγιναν αμέσως χνολογία που αλλάζει γρήγορα και οι χτά για το δίκτυο και τα προβλήτο στάνταρντ λειτουργικό τοπικά δί- ιδέες που ξεπετάγονται και υλοποιού- ματα του σε έναν άλλο συνάδελφο κτυα στις επιχειρήσεις υπήρχαν ήδη. νται δημιουργούν νέες καταστάσεις διαχειριστή; σχεδόν κανείς σοβαρός Είτε με τη χρήση mainframes είτε και φυσικά νέους στόχους για τους τουλάχιστον). με το Netware της Novell. Τα ΝΤ κυβερνοεγκληματίες. • Η τρίτη είναι η χρονική ευχέρεια των κυριάρχησαν αμέσως και φυσιhackers. Μπορούν να επικεντρώκά και οι επόμενες εκδόσεις τους Οι «αχίλλειες πτέρνες» σουν τη σκέψη τους στο στόχο, να (2000, 2003, 2008 κα). Σήμερα τα τοπικά δίκτυα είναι συνδε- ασχοληθούν με «το πρόβλημα» τους Αντίστοιχα το Internet καθιερώθηκε δεμένα συνεχώς στο Ιnternet, η δια- όλο το 24ωρο, να πραγματοποιήσουν την ίδια περίοδο αλλά και αναπτύ- σύνδεση όλο και μεγαλώνει ειδικά δε δοκιμαστικές-ανιχνευτικές επιθέχθηκε ραγδαία. Πάντα σε επίπεδο με την ανάπτυξη του cloud. Και εκεί σεις σε κάποιον και τελικά να χτυεπιχειρήσεων αναπτύχθηκαν συ- γύρω-τριγύρω βρίσκονται όλοι κακό- πήσουν κάποιον άλλο. Όποια στιγμή στήματα, μέθοδοι και εφαρμόστηκαν βουλοι τύποι με τα εργαλεία τους. Ερ- θελήσουν. Πρωί βράδυ, καθημερινή διάφορες ιδέες επικοινωνίας, διασύν- γαλεία πάντοτε επιθετικά. Έτσι υπάρχει ή αργία, πάντα έτοιμοι απέναντι σε ένα δίκτυο που δεν εποπτεύεται σε δεσης των δικτύων επιχειρήσεων, κα. όλα τα χρόνια μια κατάσταση με όχι μία Το τρίτο σημαντικό χαρακτηριστικό αλλά τρεις «αχίλλειες πτέρνες». 24ωρη βάση ή εποπτεύεται ελλιπώς, που αναπτύχθηκε και αναπτύσσεται • Η πρώτη όπως προαναφέραμε είναι είτε διότι οι διαχειριστές ασφάλειας συνεχώς είναι το κυβερνοέγκλημα. τα εργαλεία των μεν και των δε. Τα είναι αριθμητικά λίγοι είτε διότι δεν Για το άρθρο μας ας περιλάβουμε εργαλεία των hackers είναι πάντα επι- καλύπτουν όλο το 24ωρο και που στον όρο και το hacking αλλά και το θετικά ενώ των αμυνόμενων (επιχει- στο ωράριο εργασίας τους κάνουν malware. ρήσεων ή ιδιωτών) πάντα αμυντικά. και τόσες άλλες εργασίες.
netweeK • C Y BER SECU RIT Υ
40
Σύγχρονες προκλήσεις Άρα σήμερα, το 2020 μπορούμε να πούμε ή μάλλον να βρούμε εύκολα (με τα σημερινά δεδομένα) ποιες θα είναι οι προκλήσεις που θα αντιμετωπίσουν οι επιχειρήσεις στο θέμα της κυβερνοασφάλειας. ▶ Η ανάπτυξη του cloud και η διασύνδεση των συστημάτων των εταιρειών μεταξύ τους είναι η μία. Όλο και περισσότερες επιχειρήσεις μεταβαίνουν στο cloud αλλά και όλο και περισσότερες αλληλοσυνδέονται μεταξύ τους. Η ασφάλεια του cloud επαφίεται όσον αφορά την ακεραιότητα και διαθεσιμότητα σε τρίτους, τους κατόχους των cloud servers. Πως λειτουργούν; Πόσο ιδιωτικά είναι τα data εκεί; Ας μην γίνουμε συνωμοσιολόγοι αλλά δεν πρέπει να αγνοούμε την πιθανότητα υποκλοπής τους στο μέλλον. Όσον αφορά τη διασύνδεση ο τρόπος εφαρμογής της ασφάλειας μιας επιχείρησης ακουμπά και πιθανώς επηρεάζει την ασφάλεια της άλλης. Δεν είναι λίγες οι φορές που -κακά τα ψέματα- γίνεται σκόντο στην ασφάλεια της μιας για να μπορέσει να επικοινωνήσει με την άλλη. ▶ To ransomware. Μια μέθοδος κυβερνοεπίθεσης με Ας αναφέρουμε σαν παράδειγμα μόνο την περίπτωση της MAERSK, μιας από τις πέντε μεγαλύτερες εταιρίες μεταφοράς containers παγκοσμίως. Υπήρξαν και άλλοι μεγάλοι στόχοι αλλά ας αρκεστούμε στο γεγονός ότι η εταιρία ζημιώθηκε με 300.000.000 εκατομμύρια δολλάρια από αυτή την επίθεση. Μόλις προχθές (21/9/2020) μια επίθεση ransomware σε νοσοκομείο του Ντίσελντορφ κόστισε τη ζωή μιας ασθενούς. ▶ Τα δίκτυα παραγωγής. Αυτός ο κίνδυνος αφορά τα μέχρι πριν λίγα χρόνια ανεπηρέαστα (και κατά κάποιο τρόπο «αόρατα» δίκτυα παραγωγής. Υπάρχουν τα λεγόμενα βιομηχανικά δίκτυα τα οποία αφορούν σχεδόν στο σύνολο τους τις κρίσιμες υποδομές μιας χώρας. Αναλογιστείτε: Διυλιστήρια που παράγουν καύσιμα τόσο για τις ανάγκες του εμπορίου όσο και των ενόπλων δυνάμεων. Εργοστάσια παραγωγής και διανομής
netweeK • C Y BER SECU RIT Y
ηλεκτρικού ρεύματος. Εταιρείες τηλεπικοινωνιών. Μονάδες ύδρευσης μεγαλουπόλεων. Μέχρι πριν δέκα περίπου χρόνια τα συστήματα ελέγχου παραγωγής των παραπάνω (SCADA και DCS) ήταν άγνωστα στους hackers. Χρειάστηκε να πραγματοποιηθεί η κυβερνοεπίθεση στο εργοστάσιο Natanz του Ιράν, μια μονάδα εμπλουτισμού ουρανίου για να ανακαλυφθούν οι νέοι αυτοί στόχοι. (Παρεμπιπτόντως η περίπτωση του Stuxnet θα πρέπει να διδάσκεται σαν case study στα πανεπιστήμια). Από τότε έγιναν
Η ασφάλεια του cloud επαφίεται όσον αφορά την ακεραιότητα και διαθεσιμότητα σε τρίτους, τους κατόχους των cloud servers. Πως λειτουργούν; Πόσο ιδιωτικά είναι τα data εκεί; Ας μην γίνουμε συνωμοσιολόγοι αλλά δεν πρέπει να αγνοούμε την πιθανότητα υποκλοπής τους στο μέλλον απόπειρες να χτυπηθούν εργοστάσια καθαρισμού πόσιμου νερού στη Γερμανία, χτυπήθηκαν εργοστάσια παραγωγής ηλεκτρικού ρεύματος στην Ουκρανία, στη Γαλλία, στις ΗΠΑ και αλλού. ▶ Μία περίπτωση που έχει αποδειχτεί ότι λειτουργεί αλλά δεν έχουν ακόμα σημειωθεί επιθέσεις είναι αυτή της επίθεσης στο λογισμικό των πλοίων μέσω επίθεσης στα συστήματα πλοήγησης και GPS.
Μπορεί να στείλει, να επηρεάσει την πορεία ενός πλοίου εκτρέποντας την προς επικίνδυνα νερά και καταστάσεις. ▶ Αφήνω για το τέλος την περίπτωση των ΙοΤ συσκευών για βιομηχανική χρήση. Την ψηφιοποίηση-ολική διασύνδεση-και χρήση των έξυπνων συσκευών στο σύνολο της βιομηχανικής παραγωγής (digitalizationIoT-4η βιομηχανική επανάσταση). Βέβαια η εφαρμογή τους μόλις αρχίζει και μένει να δούμε πόσο γρήγορα θα εφαρμοστεί στην πράξη για να γίνει με τη σειρά του πεδίο επιθέσεων. The human factor Ποιοι είναι οι κίνδυνοι όμως, οι αιτίες που προκαλούν τις τρωτότητες των συστημάτων ώστε να μπορούν οι χάκερς να τα καταφέρνουν κάθε φορά; Μα οι άνθρωποι που με διάφορους ρόλους συνδέονται και εργάζονται με υπολογιστές. ▶ Οι εταιρείες software που δημιουργούν ατελείωτων γραμμών κώδικες εφαρμογών που είναι επόμενο ότι θα δπεριέχουν τρύπες ασφάλειας. ▶ Ο ι εταιρίες hardware που με τη σειρά τους κάνουν λάθη, μερικές φορές παιδαριώδη. ▶ Ο ι χρήστες. Που όσα χρόνια κι αν έχουν περάσει δεν εννοούν να εφαρμόζουν τα μέτρα ασφάλειας. Υπάρχει περίπτωση ελληνικής τράπεζας που ενώ για πάνω από δέκα χρόνια στα εσωτερικά ενημερωτικά σεμινάρια και σημειώματα προς τους υπαλλήλους υπήρχε πάντα η επισήμανση για «ορφανά usb sticks» τελικά χτυπήθηκε μέσω ενός stick που βρέθηκε στο πάτωμα! Και για να γίνω κακός, δείξτε μου έναν διευθυντή πληροφορικής που να μην είναι local administrator στον υπολογιστή του! Kλείνοντας, να σημειωθεί ότι το άρθρο επικεντρώθηκε στην ασφάλεια του επιχειρηματικού τομέα ενώ υπάρχουν και άλλοι τομείς που κινδυνεύουν από κυβερνοεπιθέσεις και δεν αναλύθηκαν όπως οι επιθέσεις σε οικιακούς υπολογιστές, σε κρατικά συστήματα που δέχονται επιθέσεις από χάκερς άλλων χωρών (κυβερνοπόλεμος) κα.
Η ασφάλεια των ΙΤ υποδομών κρίσιμος επιχειρηματικός στόχος
Η
Advertorial
διατήρηση της ασφάλειας μίας IT υποδομής, αλλά και IoT, είναι ένας κρίσιμος επιχειρηματικός στόχος για κάθε οργανισμό. Οι πελάτες και οι συνεργάτες αναθέτουν στους οργανισμούς τα ευαίσθητα δεδομένα τους. Στο σημερινό συνεχώς εξελισσόμενο τοπίο ασφάλειας και απειλών, η προστασία του δικτύου - και των δεδομένων που περιέχονται σε αυτό - είναι το Α και το Ω, για πολλούς decision makers. Οι συνέπειες μιας παραβίασης της ασφάλειας ενός οργανισμού δεν είναι ποτέ ευχάριστες. Η προστασία των δεδομένων και των περιουσιακών στοιχείων γίνεται ακόμα μεγαλύτερη πρόκληση, καθώς οι οργανισμοί μεγαλώνουν και επεκτείνονται. Η πρόσληψη περαιτέρω προσωπικού, πιστοποιημένων αναλυτών ασφαλείας, ή η κατασκευή και συντήρηση του δικού τους αποκλειστικού κέντρου λειτουργίας (NOC/SOC) για τη διαχείριση και την παρακολούθηση της ασφάλειας, αλλά και της εύρυθμης λειτουργίας, δεν είναι η πιο αποδοτική λύση. Από την άλλη μεριά, το να ζητάμε από το υφιστάμενο προσωπικό ασφαλείας να αναλάβει αυτήν την ευθύνη όλο το εικοσιτετράωρο δεν είναι εφικτό, δεδομένης της τρέχουσας ευθύνης τους. Οι οργανισμοί λοιπόν, χρειάζονται έναν “Cybersecurity Partner” και όχι απλά άλλον έναν προμηθευτή! H Space Hellas είναι ένας έμπιστος “Cybersecurity Partner” με σημαντική εμπειρία, οι υπηρεσίες που παρέχει είναι 100% πελατοκεντρικές, ενώ η πρόσβαση 24x7x365 στο
Cybersecurity Operations Center και στο προσωπικό που το στελεχώνει, είναι στη διάθεση του κάθε οργανισμού που θέλει να προστατευθεί. Πρόκειται για μια προηγμένη, αλλά και ευέλικτη πρόταση υπηρεσιών, η οποία αποτελεί και τον καλύτερο τρόπο να παρέχουμε στους πελάτες μας την υποστήριξη που ανταποκρίνεται στο σημερινό και συνεχώς εξελισσόμενο πεδίο απειλών. Το σύνολο των υπηρεσιών της Space Hellas βασίζεται σε ένα πλήρως ενοποιημένο Network και Security Operations Center, σε απόλυτο συνδυασμό με το πολυδύναμο Help Desk της εταιρείας. Η υποδομή που χρησιμοποιείται για την παροχή των παραπάνω υπηρεσιών είναι μια υπερσύγχρονη, συνδυαστική πλατφόρμα, μέσω της οποίας παρέχονται ολοκληρωμένες υπηρεσίες ασφάλειας, βοηθώντας έτσι τους οργανισμούς κάθε μεγέθους να προστατεύσουν τα πάσης φύσεως IT assets, αλλά και να συμμορφωθούν με τους κανονισμούς, μειώνοντας ταυτόχρονα και το κόστος λειτουργίας τους. Πρωταρχικός στόχος της Space Hellas είναι να απαλειφθούν οι ανησυχίες των υπεύθυνων ασφάλειας και λειτουργίας των IT υποδομών των πελατών της, και του κάθε οργανισμού, παρέχοντας ολοκληρωμένες υπηρεσίες διαχείρισης του κινδύνου, των διαδικασιών βελτίωσης της ασφάλειας, καθώς επίσης και της υλοποίησης των Πολιτικών Ασφάλειας και της συμμόρφωσής τους με το εκάστοτε Νομικό και Κανονιστικό πλαίσιο. Η κορυφαία τεχνογνωσία στην τεχνολογία ασφάλειας πληροφοριών και 35 χρόνια εμπειρίας δίνουν το προβάδισμα στη Space Hellas και στον τομέα της ασφάλειας πληροφοριών. Οι εξιδεικευμένοι Cybersecurity consultants και analysts που η εταιρεία διαθέτει, μαζί με τελευταίας τεχνολογίας εργαλεία και συνεργασίες με κορυφαίους κατασκευαστικούς οίκους, μπορούν να ανταποκριθούν στην κάθε απαίτηση security assessment και defensive measures, καθώς και στην υλοποίηση των Managed Security Services και των Professional Services, μέσω του υπερσύγχρονου «Cybersecurity Center» NOC/SOC που η εταιρεία λειτουργεί αποκλειστικά για τις ανάγκες των πελατών της. Λ. Μεσογείων 312 153 41 Αγ. Παρασκευή T: 210 6504 100 www.space.gr
C Y BER SECU RIT Y • netweeK
41
VIEWPOINT
42
Cybersecurity Awareness, One Step Beyond Κατ’ αρχήν, ας ξεκαθαρίσουμε ότι το παρόν δεν αποτελεί δήλωση αποποίησης ευθύνης ως προς την αμιγώς τεχνολογική φύση του ζητήματος της Κυβερνοασφάλειας. Τουναντίον, όταν μια στοχευμένη επίθεση ηλεκτρονικού ψαρέματος μπορεί να ξεγελάσει μέχρι και εξειδικευμένους επαγγελματίες του χώρου, γίνεται προφανές ότι η αναζήτηση βιώσιμων λύσεων αναμένεται από τους «ειδικούς». Του Διονύση Κοτταρίδη, ICT Security Manager, Κέντρο Πολιτισμού Ίδρυμα Σταύρος Νιάρχος
Τ
α παραπάνω μπορεί να μοιάζουν αυτονόητα, ωστόσο παύουν να είναι τέτοια, όταν η όποια ευθύνη των τελικών χρηστών επί του θέματος ανάγεται σε εύκολη δικαιολογία, προκειμένου να καλυφθεί η προφανής αδυναμία των τεχνικών λύσεων κυβερνοάμυνας. Ή όταν οι ίδιοι χρήστες ψηφιακών υπηρεσιών καλούνται να αποδεχθούν με κάθε επισημότητα τις υποχρεώσεις/απαγορεύσεις που προκύπτουν από άλλη μια δυσνόητη πολιτική ασφάλειας. Σε τελική ανάλυση, ο στόχος παραμένει ή μάλλον οφείλει να παραμένει η διάφανη σε επίπεδο χρήστη προστασία των ψη-
netweeK • C Y BER SECU RIT Υ
φιακών υπηρεσιών και της πληρο- Η σημασία της εκπαίδευφορίας, με δεδομένο το αναπόφευ- σης στην Κυβερνοασφάκτο του ανθρώπινου λάθους. λεια Μέχρι τότε, για αυτό το μικρό αλλά Επιστρέφοντας στα (τελικά όχι και τόσο μεγάλο κενό ασφάλειας στα τόσο) αυτονόητα, η συμμετοχή στα εταιρικά περιβάλλοντα και όχι μόνο, προγράμματα εκπαίδευσης Κυβερνοδιαθέτουμε το εργαλείο της εκπαί- ασφάλειας και η ορθή εφαρμογή των δευσης/ευαισθητοποίησης σε θέ- σχετικών πρακτικών, προϋποθέτει ματα Κυβερνοασφάλειας. Το οποίο, τουλάχιστον ένα μίνιμουμ επίπεδο παρεμπιπτόντως, όσο τρεντ και να ψηφιακών δεξιοτήτων από πλευείναι, εσχάτως και στα μέρη μας, δεν ράς τελικών χρηστών, το οποίο στην παύει να έρχεται με κάποια σκληρά πράξη προφανώς και δεν είναι δεπροαπαιτούμενα. Εφόσον, βέβαια, δομένο. «Ελάτε να δημιουργήσουμε μας απασχολεί η μεγιστοποίηση της “human firewalls” με το πρόγραμμά προστιθέμενης αξίας του και δεν το εκπαίδευσής μας», διαφημίζουν τα αντιλαμβανόμαστε ως άλλο ένα τικ μάρκετινγκ των εταιρειών του χώρου, στη λίστα των υποχρεώσεων μας. ενώ κάποιοι εκ των υποψήφιων εκ-
παιδευόμενων του πελάτη (σύμφωνοι, όλο και λιγότεροι) δυσκολεύονται να βάλουν στο “mute” την τελευταία τους βιντεοκλήση. Λοιπόν, η στελέχωση μιας εταιρείας (ανεξαρτήτως αντικειμένου) με άξονα τις ατομικές ψηφιακές δεξιότητες σε πρώτη φάση και στη συνέχεια η επένδυση στην παροχή συνεχούς σχετικής εκπαίδευσης στο προσωπικό της, πέραν της διευκόλυνσης της καθημερινότητας των ίδιων των εργαζομένων, αποτελούν τα πρώτα βήματα προς την κυβερνοασφαλή εργασία. Την οποία στο κάτω-κάτω οφείλουμε πλέον να την αντιλαμβανόμαστε ως εγγενές μέρος αυτού που αποκαλούμε «παραγωγικότητα». Αλλά ας υποθέσουμε ότι αφήνουμε πίσω μας το ευρύτερο θέμα ψηφιακές δεξιότητες, αποδεχόμενοι ότι εν καιρώ θα αυτορυθμιστεί (;) τουλάχιστον σε ένα βαθμό με την είσοδο στην αγορά εργασίας των νεότερων. Για την οικονομία της συζήτησης, ας υποθέσουμε επίσης, ότι διαθέτουμε την περίφημη υποστήριξη της Διοίκησης, στην εισαγωγή ενός οργανωμένου προγράμματος Κυβερνοεκπαίδευσης για τους χρήστες. Για να περάσουμε πλέον με δόξα και τιμή από τη φάση του παραπονεμένου αρμόδιου Κυβερνοασφάλειας και των κατακερματισμών προσπαθειών του τελευταίου να ενημερώσει/εκπαιδεύσει τους συναδέλφους του, στη φάση της δομημένης παροχής εσωτερικών υπηρεσιών Κυβερνοεκπαίδευσης. Ή αν το προτιμάτε πιο πρακτικά, από τις αυτοσχέδιες παρουσιάσεις και τα συμβουλευτικά ηλεκτρονικά μηνύματα, στην λογική ένταξης της εταιρικής Κυβερνοεκπαίδευσης σε μια τύπου LMS (Learning Management System) πλατφόρμα. Και μιλάμε θεωρητικά για το πλήρες πακέτο ωριμότητας: εύκολη πρόσβαση, φιλικό προς τον χρήστη και πλούσιο περιεχόμενο με όλα τα διαδραστικά καλούδια, παρακολούθηση της προόδου των χρηστών, προσαρμογή του περιεχομένου με βάση τον ρόλο του καθενός, δυνατότητες διεξαγωγής ασκήσεων ετοιμότητας (phishing campaigns) κτλ. Πρόκειται ξεκάθαρα για άλμα προόδου, το οποίο μάλιστα πραγματοποιούν όλο και περισσότερες εταιρείες εντός συνόρων. Αλλά είναι αρκετό;
Στόχος η δημιουργία κουλτούρας Κυβερνοασφάλειας Όταν φτάνει ένα κλικ, για μια στιγμή, σε μία συσκευή (όχι ντε και καλά εταιρική), από έναν άνθρωπο, για να τρέχουν και να μην φτάνουν μηχανικοί, νομικοί, επικοινωνιολόγοι και λοιπές δυνάμεις, τότε δυστυχώς όχι δεν είναι αρκετό. Το πέρασμα από την εκπαίδευση/ ενημέρωση στην κουλτούρα Κυβερνοασφάλειας, πρωτίστως απαιτεί να πείσεις ενήλικες επαγγελματίες με ένα κάρο έννοιες και υποχρεώσεις στα μυαλό τους, για την χρησιμότητα αυτού του «πράγματος».
Το πέρασμα από την εκπαίδευση/ ενημέρωση στην κουλτούρα Κυβερνοασφάλειας, πρωτίστως απαιτεί να πείσεις ενήλικες επαγγελματίες με ένα κάρο έννοιες και υποχρεώσεις στo μυαλό τους, για την χρησιμότητα αυτού του «πράγματος» Κι η χρήση, έστω χαριτωμένου, εκπαιδευτικού υλικού, για εταιρικούς κωδικούς πρόσβασης, αντίγραφα ασφαλείας και ιομορφικό λογισμικό, χάνει εξ΄ ορισμού σε επίπεδο σύνδεσης με τον χρήστη, πέραν βεβαίως του υποχρεωτικού χαρακτήρα της που τον βάζει απ’ ευθείας σε θέση άμυνας. Την ίδια στιγμή, είναι πλέον ελάχιστοι αυτοί που δεν τους απασχολούν (έντονα) σε επίπεδο προσωπικής ζωής θέματα όπως η ασφάλεια των ηλεκτρονικών τους συναλλαγών και η ασφαλής περιήγηση τους στο Διαδίκτυο. Αν όχι των ιδίων, τότε σίγουρα αυτή των παιδιών τους. Ειδικά αυτό το τελευταίο ζήτημα, είναι πιστοποιημένα
και απόλυτα λογικά ο ευκολότερος τρόπος να κεντρίσεις το ενδιαφέρον των χρηστών σε μια συζήτηση/παρουσίαση για την Κυβερνοασφάλεια. Απείρως περισσότερο δε, όταν κατόπιν των όποιων θεωρητικών ανταλλαγών, έχεις να προτείνεις πρακτικές λύσεις σε καθημερινά προβλήματα. Ή ακόμα καλύτερα να προσφέρεις πρακτικές λύσεις σε καθημερινά προβλήματα… Σε πρώτη φάση, η επέκταση του εκπαιδευτικού περιεχομένου πέραν της αμιγώς εταιρικής θεματολογίας και μάλιστα με πιο πρακτικούς όρους (π.χ. οδηγίες χρήσης εργαλείων γονικού ελέγχου), ίσως αποτελεί έναν ιδιαιτέρως σημαντικό σύμμαχο στην ουσιαστική επιτυχία ενός προγράμματος Κυβερνοασφάλειας. Στο μεταξύ, για ευνόητους λόγους, παραδοσιακά επιχειρείται με πάσης φύσεως τεχνικά και διοικητικά μέτρα ο διαχωρισμός της επαγγελματικής από την προσωπική ψηφιακή ζωή των χρηστών, ενώ αυτές οι δυο στην πράξη όλο και περισσότερο κάθε μέρα επικαλύπτονται. Εκ των πραγμάτων, ανταλλάσσουμε εταιρική ηλεκτρονική αλληλογραφία μέσω προσωπικών συσκευών, σερφάρουμε για προσωπική ευχαρίστηση από τις εταιρικές συσκευές μας, ενώ πλέον τηλεργαζόμαστε σταθερά από το σπίτι - ενίοτε με το ρούτερ μας στις εργοστασιακές ρυθμίσεις. Βέβαια, για να φτάσουμε κάποτε να μιλάμε για κουλτούρα Κυβερνοασφάλειας, θα πρέπει να καταλάβουμε ότι αυτός που θα είναι προσεκτικός στο σπίτι κατά πάσα πιθανότητα θα είναι και στο γραφείο, και το ανάποδο, καθώς πρόκειται για τον ίδιο άνθρωπο. Γιατί, λοιπόν, να μην τον σπρώξουμε προς αυτή την κατεύθυνση, παρέχοντάς του γνώσεις και εργαλεία εκτός της εταιρικής περιμέτρου η οποία στο κάτω-κάτω τείνει να γίνει αόρατη; Όχι μόνο θεωρία, αλλά και απτά “consumer” προϊόντα/υπηρεσίες Κυβερνοασφάλειας που σε επίπεδο οικογενειακού προϋπολογισμού, ακόμα και στην περίπτωση που θα καταγραφούν ως ανάγκες, αναμενόμενα εντάσσονται στις πολυτέλειες. Τελικά, ίσως το έξτρα βήμα που απαιτείται είναι να προσεγγίσουμε την Κυβερνοασφάλεια (και) υπό το πρίσμα της εταιρικής παροχής και εν τέλει της κοινωνικής ευθύνης.
C Y BER SECU RIT Y • netweeK
43
VIEWPOINT
Καλές πρακτικές και αναγνώριση των κινδύνων το κλειδί της κυβερνοασφάλειας 44 Βάιος Ορφανιώτης
Η
σημαντικότερη πρόκληση πλέον στην κυβερνο-ασφάλεια είναι η γρήγορη αναγνώριση και η μείωση των ευκαιριών επίθεσης. Πολύ σημαντική είναι και η δημιουργία κουλτούρας ευαισθητοποίησης (Culture of Awareness). Επίσης, η άμεση συμμόρφωση με κανονιστικές διατάξεις είναι πάντα μια ευκαιρία βελτίωσης στην ασφάλεια, όπως αυτή με τον ευρωπαϊκό κανονισμό για την προστασία προσωπικών δεδομένων- GDPR η οποία ενισχύει την κυβερνοασφάλεια. Από την άλλη, όσο τα μέτρα προστασίας βελτιώνονται οι επιθέσεις νομοτελειακά γίνονται όλο και πιο έξυπνες, οπότε οι απειλές στον κυβερνοχώρο δεν εξαφανίζονται, αλλά αυξάνονται καθημερινά. Η εξωστρέφεια της Πληροφορικής έφερε επανάσταση σε πολλούς τομείς, αλλά αύξησε και τους κινδύνους. Ο ψηφιακός μετασχηματισμός έχει φέρει τρομακτικά οφέλη, όπως online διασύνδεση συστημάτων πληροφορικής και τεράστια υπολογιστική ισχύ στο cloud που όμως μας έφερε αντιμέτωπους με ένα ευρύ φά-
netweeK • C Y BER SECU RIT Υ
Η Πληροφορική έρχεται πολλές φορές να προβάλλει με εργαλεία τις μεθόδους που χρησιμοποιούσε και χρησιμοποιεί ο σύγχρονος άνθρωπος. Το ίδιο ισχύει και για την ασφάλεια στον κυβερνοχώρο. Του Βάιου Ορφανιώτη, Information Security Manager, Εlval
σμα νέων κινδύνων στους οποίους οι οργανισμοί δεν προλαβαίνουν καν να φανταστούν και άρα να προστατεύονται επαρκώς. Όσον αφορά την άμυνα στον κυβερνοχώρο, πάρα πολλοί οργανισμοί εξακολουθούν να βασίζονται σε ευάλωτα legacy συστήματα και αυτόνομες λύσεις, παρόλο που οι νέου τύπου απειλές είναι πολύπλοκες και ήδη διαδεδομένες. Η ανάγκη να γνωρίζουμε τους κινδύνους και να υιοθετούμε καλές πρακτικές - τόσο τεχνολογικές όσο και ανθρώπινες για τη βελτίωση της ασφάλειας στον κυβερνοχώρο είναι επιτακτική. Τα απαραίτητα συστατικά και ενέργειες Ελέγχουμε την κατάσταση της υγείας μας, συχνά κάνοντας εξετάσεις, για να πάρουμε ένα στιγμιότυπο του οργανισμού μας. Το ίδιο πρέπει να γίνεται και σε κάθε επιχείρηση, όσον αφορά το cyber security. Οι αποφάσεις, μετά τα assessments και penetration tests, για τον περιορισμό του ρίσκου εξαρτώνται προφανώς από παράγοντες όπως οι απαραίτητοι πόροι. Οι defacto ενέργειες δεν περιορίζονται πια
μόνο στο check-up (penetration tests κλπ) και στα firewalls ή antivirus, α λ λά πε ρι λαμ βάνουν secu r ity awareness training, Encryption, EDR, Servers hardening κλπ. που έχουν ως προϋπόθεση την καλή επικοινωνία σε όλον τον Οργανισμό. Βάζουμε σύστημα συναγερμού στο σπίτι μας για να προστατεύσουμε τα αγαθά που αποκτήσαμε. Σίγουρα έχει ένα κόστος, αλλά είναι συνάμα και κέρδος. Επίσης, αναθέτουμε την παρακολούθηση του σε κέντρο λήψης σημάτων, όπου αντίστοιχα στην ασφάλεια Πληροφοριακών συστημάτων, η παρακολούθηση των συστημάτων από Security Operation Centers είναι το ίδιο επιτακτική. Από πολλούς θεωρείται reactive ενέργεια, αλλά οι σύγχρονες προσεγγίσεις το θεωρούν proactive, καθώς περιορίζει δραματικά την εξάπλωση του προβλήματος αφού η διάγνωση γίνεται εγκαίρως. O COVID-19 που βιώσαμε μπορεί να θεωρηθεί μιας μορφής zero-day attack. Τέτοιες απειλές υπάρχουν και στον κυβερνοχώρο. H τεχνική είναι περίπου η ίδια: μέχρι να βρεθεί το αντίδοτο, εφαρμόζεται isolation, όταν
εντοπιστεί ύποπτη κίνηση -κρούσμα. Το κλειδί είναι γενικά ο κατά το δυνατόν περισσότερο προληπτικός σχεδιασμός και η γρήγορη αντίδραση, το οποίο έχει ως προϋπόθεση την καλή ορατότητα (visibility) της Επιχείρησης. Το παράδοξο είναι ότι ενώ οι κίνδυνοι πολλαπλασιάζονται, υπάρχει μεγάλη έλλειψη ειδικών στους οργανισμούς. Το κενό που δημιουργείται μπορεί να καλυφθεί εν μέρη από εξωτερικούς συνεργάτες και αυτόματα εργαλεία Ασφάλειας. Η ανάγκη ύπαρξης ειδικών ασφαλείας μέσα στους Οργανισμούς θα υπάρχει πάντα, με δεξιότητες που δεν περιορίζονται μόνο στη δικτυακή ασφάλεια (πχ firewalls) αλλά περιλαμβάνουν γ νώση πάνω σε εφαρμογές, βάσεις δεδομένων κλπ. Πέραν των ειδικών, η ανάγκη γρήγορης ανάπτυξης μας οδηγεί επίσης σε αυτοματισμούς διαδικασιών ασφάλειας (Security process automation). Τα μοντέρνα συστήματα ασφάλειας που περιλαμβάνουν Μachine Learning και Artificial Intelligence βοηθούν στη λήψη γρήγορης απόφασης και αυτό αποτελεί μια νέα τάση στην κυβερονασφάλεια, διότι βελτιώνουν σημαντικά τα αντανακλαστικά του Οργανισμού. Ο μεγαλύτερος κίνδυνος παραμένει ο εφησυχασμός και η εύκολη πρόβλεψη ότι το κακό δεν θα συμβεί και αν συμβεί δεν θα είναι μοιραίο. Οι μεγαλύτερες απειλές προφανώς προκύπτουν από την αλληλεπίδραση με την μόλυνση, όπου τα email έχουν ακόμα την πρώτη θέση. Το ηλεκτρονικό «ψάρεμα» έχει αποδειχθεί από καιρό ως ένας από τους φθηνότερους και ευκολότερους τρόπους παραβίασης, και γι’ αυτό παραμένει Νο1 φορέας επίθεσης στον κυβερνοχώρο. Καθώς το ML και AI διατίθενται ευκολότερα σε όλους, οι επιτιθέμενοι τα χρησιμοποιούν για να βελτιώσουν την πολυπλοκότητα των επιθέσεων τους. Με αυτά τα εργαλεία, οι επιθέσεις μπορούν να πολλαπλασιαστούν εξυπνότερα και το έγκλημα στον κυβερνοχώρο τελικά να φτάσει σε υψηλά επίπεδα. Βλέπουμε ήδη τα στοιχεία! Πολλές από τις πρόσφατες εκτεταμένες επιθέσεις ransomware βασίζονται σε ML/AI.
Καθώς οι εταιρείες μετακινούν τελικά όλο και περισσότερους πόρους στο «σύννεφο», η επιφάνεια επίθεσης μεγαλώνει, διευκολύνοντας έτσι τους εισβολείς να αναγνωρίσουν ευκολότερα πιθανούς στόχους. H κλασσική ασφάλεια οφείλει να προσαρμοστεί σε αυτή τη νέα πραγματικότητα. Μια λύση φαίνεται να είναι η δρομολόγηση σε cloud based security stacks, ώστε να ενισχυθεί αποτελεσματικότερα η on-premise άμυνα. Ζούμε στην εποχή του BYOD που σε συνδυασμό με την αύξηση των παρόχων SaaS στις υπηρεσίες δεδομένων,
Ο μεγαλύτερος κίνδυνος παραμένει ο εφησυχασμός και η εύκολη πρόβλεψη ότι το κακό δεν θα συμβεί. Οι μεγαλύτερες απειλές προφανώς προκύπτουν από την αλληλεπίδραση με την μόλυνση, όπου τα email έχουν ακόμα την πρώτη θέση οι χάκερ έχουν περισσότερες ευκαιρίες επίθεσης. Οι επιθέσεις σε κινητές συσκευές (πχ. Smartphones) σε συνδυασμό με τα εταιρικά δεδομένα που έχουν αποθηκευμένα αποτελούν έναν από τους μεγαλύτερους υποψήφιους για παραβίαση. Η αύξηση των επιθέσεων τα τελευταία δυο χρόνια σε mobile συσκευές δείχνουν και την ανάγκη μέτρων κατά της κλοπής εταιρικών ή προσωπικών δεδομένων ακόμη και κωδικών. Ο δια χωρισ μός ε ταιρι κών και ατομικών δεδομένων μέσα από containerized περιβάλλοντα οδηγεί σε λύσεις MDM. Τέλος, όσο προχωράμε σε 5G δίκτυα με τη χρήση ΙοΤ συσκευών να αυξάνονται, ο πονοκέ-
φαλος γίνεται εντονότερος καθώς οι συσκευές έχουν μικρή ορατότητα και απαιτητικές προδιαγραφές ασφάλειας. Αν κάτι από τα συστατικά της ασφάλειας λείπει (γνώση μαζί με προληπτικά ή κατασταλτικά μέσα), τότε ο κίνδυνος μεγαλώνει. Και ποτέ μην ξεχνάμε το τεστ του σωστού backup που είναι η τελευταία γραμμή άμυνας μας για την περιουσία που είναι τα δεδομένα του Οργανισμού. Η αρχή στην οποία βασίζεται η στρατηγική μας είναι πάντα η αναγνώριση και ο μετριασμός του ρίσκου. Η προσέγγιση της ΕΛΒΑΛ Η Ε ΛΒΑ Λ, από τα μεγα λύτερα Εργοστάσια Έλασης Αλουμινίου Παγκοσμίως, έχει σαν IT όλα τα χαρακτηριστικά ενός Οργανισμού Παροχής Υπηρεσιών μαζί με τα χαρακτηριστικά μιας μεγάλης Παραγωγικής μονάδας. Έχει την κουλτούρα να μειώνει τους operational κινδύνους με χαρακτηριστικό παράδειγμα την πρωτοπορία της σε health & safety. Η πρόκληση για τους ανθρώπους του cyber security είναι να πείθουν πάντα ότι η ασφάλεια δεν είναι κέντρο κόστους αλλά κέντρο κέρδους. Θεωρώντας ότι το ISO 27001 έχει γραφτεί από σοφούς της Πληροφορικής, θεωρείται ως «Ευαγγέλιο» πρακτικών σε όλο το φάσμα του ΙΤ και ΟΤ, ακολουθώντας έτσι την καλύτερη θεωρητική προσέγγιση. Η παραγωγική διαδικασία στην ΕΛΒΑΛ είναι 24Χ7 και κάθε disruption έχει απώλεια κέρδους. Το “security by design” σε κάθε αλλαγή μας βοηθάει αφενός να μην υπάρχουν πισωγυρίσματα και εκ των υστέρων κόστη. Κάθε προσθήκη από τη μεριά της Ασφάλειας προσπαθεί να είναι διαφανής (transparent) προς τους χρήστες, κάνοντάς τους σύμμαχους στην συνεχή διαδικασία βελτίωσης στο cyber security. Τα ‘Εργα και οι Επενδύσεις σε σχέση με την ασφάλεια μπαίνουν σε πλάνο τριετίας, προτεραιοποιήμενα με βάση το ρίσκο και την πλήρη γνώση ότι δεν σταματούν ποτέ. Άλλωστε, security is not a project is a non-stop process. Οι πολιτικές, λύσεις και awareness των χρηστών βελτιώνονται μεθοδικά με βάση και τις ανάγκες που προκύπτουν και από κάθε νέα πραγματικότητα, όπως η εργασία από το σπίτι ή η απομακρυσμένη υποστήριξη.
C Y BER SECU RIT Y • netweeK
45
Η κυβερνοασφάλεια το 2020 σε αριθμούς Η παγκόσμια αγορά Information Security προβλέπεται να φτάσει τα
$170,4 δισ.
το 2022
46
68%
των ηγετών επιχειρήσεων πιστεύουν ότι οι κίνδυνοι στον κυβερνοασφάλεια αυξάνονται
Οι παραβιάσεις δεδομένων εξέθεσαν
4,1 δισεκατομμύρια αρχεία το πρώτο εξάμηνο του 2019
(Gartner)
(Accenture)
(RiskBased)
Οι πιο επικίνδυνοι τύποι συνημμένων αρχείων στα email είναι οι .doc και .dot που αποτελούν το
Το μέσο κόστος μιας παραβίασης δεδομένων είναι
Έως το 2020, οι υπηρεσίες ασφαλείας αναμένεται να αντιπροσωπεύουν
37%. Στη δεύτερη
θέση έρχεται το .exe με 19,5%. (Symantec)
1 στις 36 φορητές συσκευές έχει εγκατεστημένες εφαρμογές υψηλού κινδύνου.
$3,92 εκ.,
το 2019.
(Security Intelligence)
Το μέσο κόστος μιας επίθεσης ransomware σε επιχειρήσεις είναι
το 50% των προϋπολογισμών για την ασφάλεια στον κυβερνοχώρο. (Gartner)
Τα πρόστιμα για μη συμμόρφωση με τον GDPR ανήλθαν
$133.000
σε $63 εκ. τον πρώτο χρόνο.
(Symantec)
(SafeAtLast)
(GDPR.eu)
Το μέσο κόστος σε χρόνο μιας επίθεσης με κακόβουλο λογισμικό είναι
Ο μέσος χρόνος για τον εντοπισμό μιας παραβίασης το 2019 ήταν
Η βιομηχανία με τον μεγαλύτερο αριθμό επιθέσεων ransomware είναι η υγειονομική περίθαλψη. Οι επιθέσεις θα
50 ημέρες.
206 ημέρες.
τετραπλασιαστούν
(Accenture)
netweeK • C Y BER SECU RIT Y
(IBM)
έως το 2020. (CSO Online)
p�lones*
Gold Unity Partner
Did your Remote Access Policy work properly?
■ ■ ■
■
i
■ ■ ■ ■ ■ ■ ■
• ■ ■ ■ :■ ■ ■ • ■ • • •••• : :::■: ■ ■ ■ ■ ■ ■■ ■■ ■ ■ ■■•• ■ • ■ ■ • • ■ ■ ■ ■■ •••• ■•■ • • ■ ■ • : ■ :· ■ • ■ ■ •- : • ■ ■ ■ •• ■ • ■ ■ :■
■
■
.
DID YOU KNOW?
.
65% of businesses have implemented expanded work from home policies 38% think those policies will be permanent
MEET THE ULTIMATE REMOTE ACCESS SOLUTION BIG-IP Access Policy Manager (APM) solution Identity aware proxy (IIAP)
Identity federation and SSO
Secure remote and mobile access
Deploys Zero Trust model validation based on granular context, securing every app access request
Federates identity, drives adaptive multifactor authentication (MFA) and supports single sign-on (SSO) to apps anywhere
Unifies identity for remote access via SSL VPN with a secure and adaptive per-app VPN
Secure and managed web access
API protection
Deskttop virtualizaation delivery
Centralizes authentication, authorization, and endpoint inspection via web app proxy
Secures authentication for REST or SOAP APIs, integrating OpenAPI (or Swagger) files
Secures and accelerates access to VDI through a single gateway
*we got IT www.pylones.gr
#pyloneshellas #f5networks #cybersecurity
Cybersecurity Center Security is embedded in Space Hellas DNA n
Holistic Cybersecurity approach
n
Managed & Professional Services
n
Red & Blue Team approach
n
35 years of excellence & know-how
www.space.gr