«Η κυβερνοασφάλεια είναι ένας ασύμμετρος ‘πόλεμος’. Οι ‘αμυνόμενοι’ πρέπει να αντιμετωπίσουν κάθε κίνδυνο και κάθε ευπάθεια, ενώ οι επιτιθέμενοι χρειάζονται μόνο μια δίοδο για να επιτύχουν». O Στέλιος Καβαλάρης, Technology Manager & Information Security Officer της Dixons South East Europe, συνεχίζει τον κύκλο των καθημερινών συνεντεύξεων του NetFAX με τα διευθυντικά στελέχη του cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Ποια είναι τα καθήκοντα και οι αρμοδιότητες σας στον Οργανισμό; Ποιες είναι οι κυριότερες προκλήσεις που αντιμετωπίζετε;
Ο ρόλος του IΤ Security Officer είναι ένας πολυσχιδής και απαιτητικός ρόλος. Ξεκινάει από τον σχεδιασμό και την υλοποίηση ασφαλών υποδομών και υπηρεσιών και εκτείνεται σε όλο το εύρος της Πληροφορικής, όπως τα συστήματα, τα δίκτυα και το λογισμικό αλλά και πέρα από αυτό, αφού εμπερικλείει την εξασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας όχι μόνο συστημικά αλλά και λειτουργικά.

Έτσι σε κάθε επιχειρησιακή ανάγκη, είναι μέρος των καθηκόντων μου να φροντίζω ώστε κάθε υπηρεσία που παρέχουμε να είναι επαρκώς ασφαλής, διατηρώντας την ευχρηστία, τη λειτουργικότητα και την εμπειρία προς τον τελικό χρήστη. Αυτό εκτείνεται παραπέρα στη δημιουργία δράσεων και ενεργειών, ώστε όλα τα έργα να παραμένουν ασφαλή με την αντιμετώπιση ή τον μετριασμό των κινδύνων που προκύπτουν είτε από εγγενείς παράγοντες είτε από νέες απειλές.

Mαζί με την ομάδα που με πλαισιώνει, βρισκόμαστε πάντα σε εγρήγορση για τις νέες απειλές ή τις νέες τάσεις απειλών. Είναι απαραίτητο να μεταφέρουμε την τεχνογνωσία αυτή με τρόπο κατανοητό προς τη Διοίκηση, ώστε να αντιλαμβάνονται τον αντίκτυπο των απειλών σε επιχειρηματικό επίπεδο.
Εξίσου σημαντική είναι όμως και η καθημερινότητα.

Η παρακολούθηση της ασφάλειας μέσα από κατάλληλες υπηρεσίες, η εξασφάλιση σωστών προσβάσεων σύμφωνα με το ρόλο κάθε χρήστη (Identity  & Access Management)  και η ορθή χρήση των δεδομένων με βάση τις εταιρικές πολιτικές αλλά και το ρυθμιστικό και κανονιστικό πλαίσιο. Ο ρόλος του IT Security Officer δεν έχει μόνο τεχνική διάσταση, αλλά επεκτείνεται πέρα από κανόνες στο Firewall ή τα δίκτυα και τους servers, Πολιτικές Ορθής Χρήσης  των πόρων και υπηρεσιών και παρακολούθηση ή διερεύνηση περιστατικών ασφάλειας.

Είναι η αιχμή του δόρατος σε ότι αφορά τη στρατηγική ασφάλειας πληροφοριών και συστημάτων, ο εξειδικευμένος αξιόπιστος σύμβουλος της επιχείρησης που ανεξάρτητα από δεδομένους και περιορισμούς -όπως budget, πόροι και προτεραιότητες- φροντίζει για την ενσωμάτωση της Ασφάλειας των Πληροφοριακών Συστημάτων και της Πληροφορίας, σε όλες τις εκφάνσεις της εταιρείας.

Οι προκλήσεις του ρόλου, είναι νομίζω εμφανείς καθώς θα πρέπει σε κάθε στιγμή η ομάδα του Information Security να είναι πάντα ενημερωμένη, μπροστά από τις εξελίξεις και δίπλα στις ανάγκες της εταιρείας με σωστή προτεραιοποίηση των δράσεων και αξιολόγηση του ρίσκου που προκύπτει κάθε φορά. Ταυτόχρονα η αδιάλειπτη ουσιαστική παρακολούθηση μέσω κατάλληλων μηχανισμών και εργαλείων είναι εξίσου σημαντική καθώς εξασφαλίζει υψηλότερη εξασφάλιση. 

Πόσο σας έχει απασχολήσει το πρόβλημα της έλλειψης εξειδικευμένων στελεχών και με ποιο τρόπο πιστεύετε ότι θα μπορούσε αυτό να επιλυθεί;
Ναι, το πρόβλημα αυτό είναι μια πραγματικότητα. Ο χώρος του Information Security απαιτεί καθετοποιημένη γνώση, πολύ υψηλά επίπεδα εκπαίδευσης και εξειδίκευσης αλλά και συνεχή προσπάθεια και εξάσκηση για τους μηχανικούς Ασφάλειας. Η κυβερνοασφάλεια είναι ένας ασύμμετρος «πόλεμος». Οι «αμυνόμενοι» πρέπει να ασφαλίσουν κάθε κίνδυνο και κάθε ευπάθεια, ενώ οι επιτιθέμενοι χρειάζονται μόνο μια δίοδο για να επιτύχουν.

Κατά την προσωπική μου θέση και άποψη το πρόβλημα  ξεκινάει από την ίδια την αγορά εργασίας. Λόγω του μικρότερου μεγέθους τους, πολλές επιχειρήσεις αντιμετωπίζουν την ασφάλεια ως πολυτέλεια, ως extra. Η  ασφάλεια για αυτούς ακούγεται υπερβολική ως ότου δεν είναι αρκετή.  Ως αποτέλεσμα του παραπάνω καταλήγουμε, να μην υπάρχουν εξειδικευμένα στελέχη, αφού οι ίδιες οι επιχειρήσεις δεν ψάχνουν τόσο εξειδικευμένους ρόλους.

Για την επίλυση αυτού του ζητήματος δεν υπάρχει κάποια μαγική συνταγή. Είναι μια σειρά από δράσεις που κατά περίπτωση μπορούν να λύσουν την έλλειψη των εξειδικευμένων στελεχών και κατά προέκταση το πρόβλημα της ουσιαστικής ασφάλειας στις επιχειρήσεις και τους Οργανισμούς. Θα πρέπει να αντιληφθούν ότι όπως σε κάθε ειδικότητα, έτσι και στο Information Security θα πρέπει να περάσουν σε ένα στάδιο ωρίμανσης όπου θα υπάρχει κουλτούρα που θα αντιλαμβάνεται το Information Security ως απαραίτητη διάσταση.

Μέσα από τη θέσπιση διαδικασιών, με τη δημιουργία και την εμπλοκή της ομάδας Information Security στις επιχειρηματικές δράσεις, με συνεχείς δοκιμές ασφάλειας (Pentesting, Blue Team – Red Team actions), ανατροφοδότηση και πλάνο, θα μπορούσε να ξεχωρίσει και να προαχθεί  η ανάγκη για εξειδικευμένα στελέχη.  In house, outsourced σε εξειδικευμένους συνεργάτες ή σε μικτό μοντέλο ανάλογα με το μέγεθος και το budget.

Ας το σκεφτούμε ανάλογα με τον αναλογικό κόσμο. Δεν θα αφήναμε ποτέ το σπίτι ή το αυτοκίνητό μας ξεκλείδωτο ή με ανοιχτή πόρτα. Γιατί να κάνουμε κάτι τέτοιο στα πληροφοριακά μας συστήματα. Ειδικά όταν σε αυτά δεν χρειάζεται «ο κλέφτης» να έρθει φυσικά εκεί που θα έχουμε τα απροστάτευτα συστήματα μας.

Με ποια τμήματα στον Οργανισμό συνεργάζεστε για την επίτευξη των στόχων σας; Πόσο σημαντική είναι η ευθυγράμμιση του cyber security με τους επιχειρηματικούς στόχους και πώς το επιτυγχάνετε αυτό;
Προφανώς με όλα τα τμήματα καθώς υπάρχουν προεκτάσεις παντού. Το cyber security πρέπει κάθε στιγμή να είναι ευθυγραμμισμένο με τους επιχειρηματικούς στόχους, αλλιώς είναι καταδικασμένο να αποτύχει . Το security πρέπει να διατηρεί την λεπτή ισορροπία ανάμεσα στο ρίσκο που δημιουργείται και την επιχειρηματική δραστηριότητα. Θα πρέπει να παρεμβαίνει με τέτοιο τρόπο που να μην καταστρέφει τη χρηστικότητα και την εμπειρία του πελάτη.

Ούτε όμως και να παραβλέπει κινδύνους που θα μπορούσαν να βλάψουν την επιχείρηση. Αυτή είναι και η βάση της επίτευξης. Η δημιουργία πλάνου και η συνεργασία με τη διοικητική ομάδα, εξηγώντας την πιθανότητα των κινδύνων που προκύπτουν και τις συνέπειες τους και ή την απαίτηση  για κάποια μέτρα μέσα από το εκάστοτε ρυθμιστικό και κανονιστικό πλαίσιο.

Κατά την άποψη σας, ποια είναι τα σημαντικότερα συστατικά της επιτυχίας για ένα διευθυντικό στέλεχος του cyber security σήμερα;
Κατ’αρχήν χρειάζεται αποτελεσματική επικοινωνία με τη διοίκηση, συνεργασία με όλα τα τμήματα της επιχείρησης και την καλλιέργεια κουλτούρας απέναντι στην κυβερνοασφάλεια. Κατά τα άλλα δεν διαφέρει από οποιοδήποτε άλλο διευθυντικό στέλεχος, ευέλικτο, επικεντρωμένο στο αποτέλεσμα που κατανοεί την οικονομική διάσταση των πραγμάτων και αποτελεί παράδειγμα για την ομάδα και τους συναδέλφους του.

Παρότι αυτό συμβαίνει και με άλλους ρόλους και ειδικότητες θα μπορούσαμε επίσης να διακρίνουμε ότι ο IT Security Μanager έχει αυξημένες ανάγκες συνεχούς ενημέρωσης και εκπαίδευσης ώστε να μπορεί να βρίσκεται πάντα δίπλα  στις εξελίξεις (αν όχι μπροστά από αυτές)  

Πόσο πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO; Tι επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο Οργανισμός σας στην ασφάλεια;
Ναι σαφώς και είναι πρόβλημα. Όχι όμως το μεγαλύτερο. Άλλωστε  τα μέτρα προστασίας και το budget για την ασφάλεια πρέπει να είναι ανάλογα αυτού που προστατεύουμε.  Προσωπικά θεωρώ μεγαλύτερο εμπόδιο την έλλειψη κουλτούρας και την απουσία συνεργασίας των διοικητικών ομάδων για το Cyber Security. Δεν είναι κάτι «εξωτικό». Είναι πραγματικότητα, καθημερινότητα και θα πρέπει να το αντιληφθούμε και να το αντιμετωπίζουμε με αυτή τη θεώρηση.

Ως Οργανισμός, έχοντας ένα πολύ υψηλό επίπεδο ωρίμανσης που προέρχεται από την πολυεθνική μας παρουσία, έχουμε ξεπεράσει τις παραδοσιακές επενδύσεις σε συσκευές και λογισμικό (όπως Firewalls, IPS,IDS DLP MDM, SIEM  και άλλες τεχνολογίες που αποτυπώνονται με συντμήσεις!). Επικεντρωνόμαστε στη δημιουργία ασφαλών νέων υπηρεσιών, στην παρακολούθηση και δράση μέσα από τα καθημερινά συμβάντα,  τον καθορισμό και την εποπτεία σωστών ρόλων και δικαιωμάτων, καθώς και την εκπαίδευση και ενημέρωση των στελεχών μας. 

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα, ειδικά, δε, στο χώρο των επιχειρήσεων;
Είμαστε ήδη στην τροχιά του ψηφιακού μετασχηματισμού, της μετάβασης στο cloud, της αλλαγής από servers σε services, αλλά και των Big Data, Data Mining, Analytics, Machine Learning και του GDPR. Από την άλλη πλευρά σύμφωνα με το περιοδικό “The Economist”, τα δεδομένα ξεπερνούν πλέον σε αξία το πετρέλαιο. Έτσι οι κυβερνοεγκληματίες δεν καταστρέφουν πλέον. «Απαγάγουν» δεδομένα και ζητούν λύτρα.

Και παρέχουν υπηρεσίες υποστήριξης(!) προκειμένου να εισπράξουν χρήματα με μορφή κρυπτονομισμάτων. Και δυστυχώς δεν υπάρχουν ακόμα αρκετά εξειδικευμένα στελέχη ασφάλειας. Ούτε σε πλήθος, ούτε σε δεξιότητες. Ειδικά στο χώρο των επιχειρήσεων, οι επιχειρησιακές ανάγκες προβάλλουν όλες τις παραπάνω τεχνολογίες ως εργαλεία για τη μετάβαση των επιχειρήσεων στην επόμενη ημέρα (με την εξαίρεση του cloud σε κάποιες περιπτώσεις, όπου εμφανίζεται έντονη φοβία), χωρίς ικανό ή χωρίς κανένα πλάνο για το cyber security.

Οι περισσότερες επιχειρήσεις επικεντρώνονται στην ενημέρωση και εκπαίδευση (awareness) ως πλάνο αλλά και το κανονιστικό όπως αυτό προκύπτει από τον GDPR. Καλά είναι και τα δύο, αλλά όχι αρκετά. Ξέρω ότι δεν ακούγεται αισιόδοξο, αλλά ας το λάβουμε όλοι ως μήνυμα για να δώσουμε στην κυβερνοασφάλεια τη βαρύτητα που της αρμόζει.

Who’s Who
Ο Στέλιος Καβαλάρης είναι Πτυχιούχος Μηχανικός Πληροφορικής και κάτοχος MSc στην Ασφάλεια Πληροφορικών Συστημάτων και την Ηλεκτρονική Εγκληματολογία. Έχει 25ετή επαγγελματική εμπειρία στο χώρο της Πληροφορικής και για περίπου 20 χρόνια έχει εργαστεί σε πολυεθνικό περιβάλλον ως επαγγελματίας με ευρύ πεδίο γνωστικών αντικειμένων, όπως η αρχιτεκτονική συστημάτων και δικτύων, ο σχεδιασμός και η διαχείριση μηχανογραφικών κέντρων, κέντρων ανάκαμψης και επιχειρηματικής συνέχειας, αλλά και σε άλλες υποδομές πληροφορικής ενώ στο παρελθόν έχει πιστοποιηθεί για πλήθος προϊόντων και τεχνολογιών.

Έχει εργαστεί ως Διαχειριστής Συστημάτων και Δικτύων, Υπεύθυνος Υποδομών Πληροφορικής με τωρινό ρόλο αυτόν του Technology Manager & Information Security Officer στην Dixons South East Europe (Κωτσόβολος). Ταυτόχρονα δραστηριοποιείται ως ερευνητής στο χώρο της Ασφάλειας Πληροφοριακών Συστημάτων, με δημοσιευμένες έρευνες, ενεργή δράση αλλά και συμμετοχή μέσω διαλέξεων και παρουσιάσεων.