H αγορά Security as a Service είναι η δεύτερη μεγαλύτερη μετά την IaaS στην “οικογένεια” XasS. Σε σχέση όμως με τα άλλα “μέλη” της οικογένειας, είναι αυτό που ο “γονιός” δυσκολότερα από το άλλα θα επιλέξει να αποχωριστεί.

Η έκφραση “πετάω στα σύννεφα” χαρακτηρίζει το μη ρεαλιστικό και άρα ένα σχέδιο που έχει μεγάλο ρίσκο να αποτύχει. Ωστόσο, η εναπόθεση της ασφάλειας των πληροφοριακών συστημάτων στο cloud, θεωρείται πλέον μια πολύ ρεαλιστική επιλογή, η οποία διαμόρφωσε μια αγορά περίπου 5,9 δις δολαρίων το 2017 και θα την αναπτύξει στα 9 δισεκατομμύρια δολάρια μέχρι το 2020 (Πηγή: Gartner).

Η ασφάλεια των υπηρεσιών email, των web sites και του access management, παραμένουν οι τρεις κορυφαίες προτεραιότητες των εταιρειών που αναζητούν λύσεις στον τομέα του Security as a Service (SECaaS). Οι περισσότεροι πελάτες προέρχονται από τον τομέα των μικρομεσαίων επιχειρήσεων, οι οποίες δεν είναι εύκολο να αποκτήσουν και να διαχειριστούν ιδιόκτητες υποδομές. Τον περασμένο Ιανουάριο, το CIO.com παρέθετε τους λόγους που θα ωθούσαν το SECaaS σε απογείωση. Ο βασικότερος συνοψίζονταν στην πρώτη παράγραφο του άρθρου. “Υπάρχει μια διαρκώς αυξανόμενη έλλειψη σε πόρους που σχετίζονται με το cybersecurity, ενώ παράλληλα οι απειλές αυξάνονται. Το συνολικό αποτέλεσμα είναι ότι οι εταιρείες είναι διπλάσια εκτεθειμένες σε σχέση με μια δεκαετία πριν”. Σε αυτό το περιβάλλον δεν έχει υπολογιστεί ακόμα ο παράγοντας αλλαγής που θα επιφέρει η ευρύτερη διάδοση των τεχνολογιών IoT. Πρακτικά, καθένας από τους τρισεκατομμύρια αισθητήρες ενός IoT δικτύου, είναι και μια πόρτα που θα μπορούσε να παραβιαστεί.

Δεν φταίω εγώ, αυτός φταίει
Μπορεί η δικαιολογία να λειτουργούσε κάποιες φορές στα σχολικά χρόνια, αλλά όσον αφορά τις επιχειρήσεις, συνεχίζουν να έχουν την πλήρη υπευθυνότητα απέναντι στους πελάτες τους, οι οποίοι δε νοιάζονται αν για αυτήν καθώς συνήθως φροντίζει κάποιος service provider. Πριν η επιχείρηση αποφασίσει ποιες “περιοχές” θα αναθέσει σε κάποιον τρίτο, θα πρέπει προηγουμένως να έχει διαχωρίσει την “περίμετρο” της σε λιγότερο και περισσότερο ευαίσθητα σημεία. Σε αυτήν την κατηγορία μέτρων ανήκει το networking segmentation και το software defined security.

Αυτή, καθώς και άλλες διαδικασίες, απαιτούν εξειδικευμένο εργατικό δυναμικό, το οποίο, αναλογικά, διαρκώς μειώνεται. Σύμφωνα με μια περσινή έρευνα της Cisco, σε παγκόσμιο επίπεδο, 1 εκατομμύριο θέσεις εργασίας στον τομέα του cybersecurity έμειναν κενές λόγω έλλειψης εξειδικευμένων εργαζόμενων. Το πρόβλημα γίνεται ένας από τους κρίκους της αλυσίδας που οδηγεί στο επόμενο. Περίπου το 35% έως 40% του προϋπολογισμού ασφάλειας ξοδεύεται στην ασφάλεια δικτύου. Η διαχείριση της ασφάλειας δικτύου από μη εξειδικευμένο προσωπικό, έχει συνήθως ως αποτέλεσμα καθυστερήσεις στη μεταφορά πληροφοριών μεταξύ εφαρμογών και τελικά σε καθυστερήσεις λειτουργικών διαδικασιών.

Θεωρητικά, όλα τα προβλήματα λύνονται όταν ο επιτιθέμενος βρει μπροστά του ένα σύστημα ασφάλειας που είναι σωστά ρυθμισμένο, εποπτεύεται αποτελεσματικά και είναι ενημερωμένο με τις πιο “φρέσκες” ενημερώσεις. Αυτό ακριβώς συνέβη όταν πριν από μερικούς μήνες, κάποιοι ξεκίνησαν μια επίθεση στον οργανισμό Github και βρήκαν μπροστά τους ένα προηγμένο σύστημα συναγερμού που έκανε εκτροπή της ενέργειας που εκτόξευσαν στο cloud της ΑΚΑΜΑΙ.

Το GDPR ανεβάζει το alert level σε RED
Η ESG δημοσίευσε μια έρευνα, στην οποία γίνεται ξεκάθαρη η πρόθεση των επιχειρήσεων να αξιοποιήσουν υπηρεσίες τρίτων για να προστατεύσουν το ταμείο τους από ένα πρόστιμο που θα μπορούσε να τους επιβληθεί μετά το τέλος Μαΐου, οπότε ξεκίνησε και τυπικά η εφαρμογή του κανονισμού GDPR. Σύμφωνα με την έρευνα, το 50% των εταιρειών χρησιμοποιούν ήδη κάποιον προμηθευτή για υπηρεσίες endpoint security. Το 23% θα αξιοποιήσει κάποιον προμηθευτή τους ερχόμενους 24 μήνες και το 12% θα κάνει το ίδιο σε μεγαλύτερο βάθος χρόνου. Μεταξύ των διαθέσιμων υπηρεσιών, κάποιες ξεχωρίζουν έχοντας μεγαλύτερη ζήτηση. Data loss prevention και enterprise risk management είναι δύο από τις υπηρεσίες που αξιοποιεί ή σκοπεύει να αξιοποιήσει το 38% των εταιρειών που απάντησαν στην έρευνα. Το 37% χρησιμοποιούν ή σκοπεύουν να χρησιμοποιήσουν υπηρεσίες προστασίας από malware. Πρόκειται για εταιρείες που είτε δεν έχουν τη δυνατότητα, είτε τη διάθεση να μεταβούν από το antivirus λογισμικό που χρησιμοποιούν ήδη σε πιο εξελιγμένες μεθόδους αντιμετώπισης απειλών. Αυτά δεν είναι καλά νέα για εταιρείες όπως οι Kasperksy, McAfee και Symantec, οι οποίες θα πρέπει να μετασχηματιστούν ή να βρουν συνεργάτες για να επιβιώσουν στο νέο περιβάλλον.


Ποιοι θα προστατεύσουν τις κρατικές υποδομές;
H έλλειψη εξειδικευμένου προσωπικού θα είναι πολύ μεγαλύτερο πρόβλημα για τους κρατικούς οργανισμούς σε σχέση με τους ιδιωτικούς. Οι μισθοί που πληρώνουν, λόγω μειωμένης προσφοράς, οι ιδιωτικές εταιρείες, είναι πολύ πιο δελεαστικοί από μια θέση σε κυβερνητική υπηρεσία. Οπότε, οι κυβερνητικοί οργανισμοί θα χρειαστεί να βρουν μια ισορροπία ανάμεσα στην ανάγκη για προστασία και την ανάθεση κρίσιμων υποδομών σε τρίτους.

Σε κάποιες περιπτώσεις, οι legacy υποδομές θα κρίνουν το αποτέλεσμα, δεδομένου ότι η ανανέωσή τους δεν είναι εύκολη επιλογή, ειδικά σε κράτη, όπως η Ελλάδα, που τα οικονομικά τους δεν αφήνουν πολλά περιθώρια για ριζικές αλλαγές. Έργα, όπως το G-Cloud θα μπορούσαν να θεωρηθούν παραδείγματα προς μίμηση, αλλά η υλοποίησή τους είναι χρονοβόρα, κυρίως λόγω εύρεσης χρηματικών πόρων. Υπηρεσίες υγείας, ΔΕΚΟ και υπηρεσίες προστασίας του πολίτη είναι εκτεθειμένες σε ένα νέο περιβάλλον απειλών, για τις οποίες δεν είναι προετοιμασμένες. Η ψηφιοποίηση λειτουργιών στους κρατικούς μηχανισμούς, χωρίς την κατάλληλη περίμετρο ασφάλειας, είναι πιθανό να οδηγήσει σε μεγάλου μεγέθους απώλειες ευαίσθητων δεδομένων πολιτών, αλλά και σε σκόπιμη δυσλειτουργία κρίσιμων υποδομών.

SECaaS ή Cloud based security
Στην πρώτη περίπτωση, κάποιος αναλαμβάνει τη “φροντίδα” της εταιρείας, ενώ στη δεύτερη η εταιρεία βγάζει από πάνω της το κόστος αγοράς εξοπλισμού, αλλά θα πρέπει να φροντίσει μόνη τον εαυτό της. Προμηθευτές virtual security appliances, όπως οι Barracuda, Fortinet και Cisco χρησιμοποιούν ως unique selling point τη δυνατότητα της εταιρείας να διατηρήσει τον έλεγχο της ασφάλειας, μειώνοντας το συνολικό της κόστος. Παράλληλα, πολλοί από τους προμηθευτές υποδομών έχουν δημιουργήσει το πλέγμα ασφάλειας που θα χρειαστεί μια εταιρεία καθώς κάνει τη μετάβασή της στο cloud.

Στην άλλη όχθη, οι προμηθευτές SECaaS αναλαμβάνουν ένα σημαντικό ποσοστό της backend επεξεργασίας και ζητούν από την εταιρεία να τρέχει ένα ελαφρύ agent σε κάθε VM. Το σύνηθες πρόβλημα με προμηθευτές SECaaS είναι η εξειδίκευσή τους σε συγκεκριμένους τομείς ασφάλειας. Η οικονομοτεχνική ανάλυση σε συνδυασμό με την πολιτική της εταιρείας όσον αφορά το μέγεθος ¨εμπιστοσύνης” που θα δείξει, θα καθορίσει την τελική επιλογή. Μέχρι στιγμής, αυτό που βλέπουμε συνηθέστερα είναι υβρίδια. Εξαγορές και συγχωνεύσεις έχουν ως στόχο την παροχή ολιστικών λύσεων, οι οποίες ήδη έχουν την προτίμηση των μεγάλων εταιρειών και αναμένεται να είναι διαθέσιμες και στις μικρομεσαίες εταιρείες.

Artificial Intelligence και Machine Learning
Οι δύο τεχνολογικοί όροι, παρότι είναι γνωστοί για δεκαετίες, τώρα φαίνεται πως έφτασε η ώρα να αποκτήσουν τη βαρύτητα που τους αρμόζει. Πολλοί μεγάλοι κατασκευαστές δίνουν προτεραιότητα στην ενσωμάτωση στοιχείων ΑΙ και ML στα προϊόντα και τις συσκευές τους. Πολλοί επαγγελματίες στον τομέα της ασφάλειας των τμημάτων IT αναζητούν τρόπους αξιοποίησης της τεχνητής νοημοσύνης (AI) και του machine learning (ML) για να βελτιώσουν την ψηφιακή τους ασφάλεια. Αν και ακόμα πρόκειται για εξελισσόμενες τεχνολογίες το AI και το ML επιδεικνύουν τη δυνατότητα εκμάθησης βάσει προηγούμενων γεγονότων, πρόβλεψης καθώς και αποτροπής ψηφιακών επιθέσεων σε πραγματικό χρόνο.

Σύμφωνα με την παγκόσμια έρευνα σχετικά με το cybersecurity από την εταιρία Webroot, περίπου το 99% των επαγγελματιών ψηφιακής ασφάλειας στις ΗΠΑ πιστεύουν ότι η τεχνητή νοημοσύνη μπορεί συνολικά να βελτιώσει την ψηφιακή ασφάλεια των οργανισμών τους. Στον τομέα αυτό είναι βέβαιο ότι τα επόμενα χρόνια θα δούμε εντυπωσιακές υλοποιήσεις και αλλαγές.

Blockchain
Το Blockchain εφαρμόζεται πλέον σε πολλούς χώρους, συμπεριλαμβανόμενων και αυτών της ψηφιακής ασφάλειας. Η τεχνολογία που επιτρέπει την πραγματοποίηση ψηφιακών συναλλαγών με ένα διαμοιρασμένο και αποκεντρωμένο τρόπο, στο τομέα της ασφάλειας μπορεί να αξιοποιηθεί στην αναγνώριση ύποπτων συμπεριφορών online, στον εντοπισμό ενδεχόμενης εξαπάτησης ή και σφαλμάτων, τη στιγμή που αυτά συμβαίνουν. Επιπλέον το σύστημα ασφαλείας της επιχείρησης μπορεί να χρησιμοποιήσει αρχιτεκτονικές δημόσια διαμοιραζόμενων κλειδιών για να επιβεβαιώσει την ταυτότητα συσκευών και χρηστών.


IoT και botnets
Η ανάπτυξη της βιομηχανίας του internet of things (IoT) έχει δημιουργήσει νέους τρόπους αλληλεπίδρασης και ανταλλαγής δεδομένων μεταξύ των διασυνδεδεμένων συσκευών. Συγχρόνως έχει προσφέρει νέες ευκαιρίες στους hacker να εκμεταλλευτούν αυτή την κατάσταση. Δεδομένου ότι αρκετές από τις συσκευές που συνδέονται μέσω internet στερούνται των βασικών χαρακτηριστικών ασφαλείας, δεν είναι δύσκολο για τους hacker να αποκτήσουν πρόσβαση σε αυτές. Ως αποτέλεσμα είναι η αύξηση των botnets που αποτελούνται από ομάδες συσκευών μολυσμένων από κακόβουλο λογισμικό. Σε πολλές περιπτώσεις χρησιμοποιούνται από hackers για να εκτελέσουν επιθέσεις DDoS (Distributed-Denial-of-Service), να κλέψουν δεδομένα, να στείλουν spam, καθώς και για άλλους σκοπούς. Τα botnets αποτελούν μια από τις μεγαλύτερες προκλήσεις που αντιμετωπίζει σήμερα η ασφάλεια δικτύων και θα συνεχίσει να μαστίζει τις διασυνδεδεμένες συσκευές όσο υπάρχει απουσία δραστικών μέτρων και τεχνολογιών ψηφιακής ασφάλειας.

Η απειλή του Ransomware
Οι ransomware επιθέσεις δημιουργούν όλο και περισσότερα προβλήματα. Ένα είδους κακόβουλου λογισμικού που κρυπτογραφεί τους φακέλους του χρήστη και του απαγορεύει την πρόσβαση στο υπολογιστικό του σύστημα. Οι hackers χρησιμοποιούν ransomware ώστε να κρατήσουν “όμηρο” το σύστημα του χρήστη μέχρι εκείνος να πληρώσει λύτρα. Μια επίθεση ransomware που συζητήθηκε πολύ συνέβη τον περασμένο Μάιο όπου το κακόβουλο λογισμικό με το όνομα WannaCry επηρέασε περίπου 200.000 ανθρώπους σε 150 χώρες. Ανάμεσα στις πιο βαριά πληγείσες χώρες ήταν η Ρωσία, η Ταιβάν, η Ουκρανία και η Ινδία. Είναι αβέβαιο κατά πόσο οι οργανισμοί έχουν πλέον διδαχθεί από τις προηγούμενες κακόβουλες επιθέσεις. Αυτού του είδους οι απειλές μπορούν να μειωθούν σημαντικά με την τήρηση πρωτοκόλλων ασφαλείας. Είναι όμως σίγουρο πως ο ακήρυκτος αυτός πόλεμος θα συνεχιστεί καθώς και οι δύο αντιμαχόμενες παρατάξεις εξελίσσουν συνεχώς τα όπλα τους.

O CISO στο C-level της επιχείρησης
Λέγεται πως οι αδυναμίες στην ψηφιακή ασφάλεια δεν ξεκινάνε από το τμήμα IT αλλά προέρχονται από τις αποφάσεις και τις προτεραιότητες των διευθυντικών στελεχών της επιχείρησης. Η ψηφιακή ασφάλεια και η προσαρμοστικότητα είναι μείζονος επιχειρηματικής σημασίας και ο ρόλος ενός Chief Information Security Officer (CISO) είναι ζωτικός. Ο CISO πρέπει να είναι εξουσιοδοτημένος με επαρκές κύρος, χρηματοδότηση και με σαφή στόχο τη διατήρηση των συστημάτων και τον δεδομένων ασφαλή εκ των προτέρων. Οι περισσότεροι νέοι κανονισμοί όπως το GDPR και τα πρότυπα NIST SP 800- 171 απαιτούν ειδική γνώση και βαθιά τεχνική εξειδίκευση. Ένας εμπειρογνώμον, με δεξιότητες στην ασφάλεια, το privacy και τα θέματα compliance αποτελεί ένα πολύτιμο μέλος του C-level διοίκησης μιας εταιρείας ή οργανισμού. Εκπαιδευτικά μαθήματα για διευθυντικά στελέχη όπως το CISO Certificate στο Heinz School of Executive Education στο Carnegie Mellon αναγνωρίζουν την ανάγκη παροχής ενός ολιστικού προγράμματος, που να βοηθάει τους CISO να δράσουν ως αποτελεσματικοί ψηφιακοί ηγέτες.

«Στο εκπαιδευτικό μας πρόγραμμα για διευθυντικά στελέχη CISO, δουλεύουμε με τους μαθητές μας ώστε να μεταστραφεί η οπτική σχετικά με την ψηφιακή ασφάλεια από καθαρά τεχνική και επικεντρωμένη στη διαδικασία, σε επιχειρηματικά τεκμηριωμένη και με έμφαση στην εκτίμηση κινδύνου.

Καθώς οι επιθέσεις διευρύνονται, λόγο του αυξανόμενου επιπέδου ψηφιοποίησης, με κλίση προς την συλλογή και αποθήκευση δεδομένων και καθώς οι τρόποι εκμετάλλευσης γίνονται όλο και πιο επιτηδευμένοι, ο ρόλος της ασφάλειας αποκτά περισσότερη στρατηγική σημασία» λέει ο Ari Lightman, Director, CISO Certificate Program, Carnegie Mellon University. Η δημιουργία της θέσης του CISO δεν πρόκειται για πλεονασμό καθώς η παρουσία του βοηθάει στην εδραίωση αυτοπεποίθησης και δημιουργεί θετικό ROI βοηθώντας να ολοκληρωθούν συμφωνίες, αποπνέοντας κύρος και εμπιστοσύνη στους συνεργάτες και τους πελάτες. «έχουμε ολοκληρώσει επιτυχώς συμφωνίες με μεγάλους πελάτες από το Fortune 1000 λόγω της ισχυρής στάσης μας στο τομέα του cybersecurity καθώς και στοχευμένων επενδύσεων που μας έχουν δώσει ανταγωνιστικό πλεονέκτημα.» δηλώνει στέλεχος μεγάλης εταιρείας που έχει επενδύσει σε ανεξάρτητες λειτουργίες ψηφιακής ασφάλειας και management capability για να ικανοποιήσει την ανάγκη τον πελατών του σε σίγουρες, στιβαρές και ασφαλείς υποδομές.