O Άγγελος Bαρθαλίτης CIO και CISO στην ολλανδική Transdev δίνει τη δική του οπτική για τα τεκταινόμενα στο χώρο του cyber security, συνεχίζοντας το μαραθώνιο των καθημερινών συνεντεύξεων του NetFAX με Έλληνες και διεθνείς CISOs, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Πόσο πολύπλοκος και απαιτητικός είναι ο ρόλος ενός CISO σήμερα; Ποιες είναι οι κυριότερες προκλήσεις που καλείται να διαχειριστεί; Ποιες πιστεύετε ότι θα πρέπει να είναι οι προτεραιότητές του;
O CISO είναι ένας σχετικά νέος ρόλος που προστέθηκε στο C-Level management, κάτι το οποίο αποδεικνύει την κρισιμότητα, αλλά και τη στρατηγική θέση που έχει η ασφάλεια μέσα στις επιχειρήσεις. Δυστυχώς, ακόμη και σήμερα, δεν έχει αναγνωριστεί όσο θα έπρεπε η προστιθέμενη αξία που φέρνει σε μια επιχείρηση η κυβερνοασφάλεια – ταυτόχρονα θεωρείται, σε κάποιες περιπτώσεις, ακόμα και κέντρο κόστους για την επιχείρηση.

Πιστεύω ότι η κυβερνοασφάλεια δεν αποτελεί μόνο θέμα της Πληροφορικής. Έχοντας ασκήσει το ρόλο του CIO και του CISO σε εταιρείες στο εξωτερικό, αλλά και στην Ελλάδα, τολμώ να πω ότι η κυβερνοασφάλεια σχετίζεται άμεσα με τον κλάδο δραστηριοποίησης μιας εταιρείας. Κατ’ επέκταση οι προκλήσεις που αντιμετωπίζει ένα CISO σχετίζονται με το core business της εταιρείας.

Η μεγαλύτερη πρόκληση που καλείται να αντιμετωπίσει ένας CISO – εκτός από το να αποδείξει την προστιθέμενη αξία που προσφέρει η κυβερνοασφάλεια στην επιχειρηματική δραστηριότητα – είναι ο ανθρώπινος παράγοντας (human factor). Για παράδειγμα, μια εταιρεία μπορεί να έχει λάβει όλα τα απαιτούμενα φυσικά και τεχνικά μέσα προστασίας για την αναγνώριση και αντιμετώπιση των κυβερνοαπειλών, αλλά όλα αυτά καταρρέουν όταν, για παράδειγμα, ένας εργαζόμενος κολλάει με post-it στην οθόνη του τον κωδικό πρόσβασης στον υπολογιστή του ή όταν κρατά όλους τους κωδικούς του σε ένα απροστάτευτο αρχείο του Excel.

Για μένα, λοιπόν, προτεραιότητα είναι το awareness (επίγνωση/ ευαισθητοποίηση) του εργαζομένου σε θέματα ασφαλείας και η αναγνώριση της ασφαλείας ως ενός πρόσθετου παράγοντα βελτιστοποίησης της ποιότητας του προϊόντος προς τον πελάτη, αλλά και των εργαζομένων εσωτερικά.

Πόσο πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO; Αναγνωρίζει η διοίκηση πλέον την ανάγκη επένδυσης σε υποδομές για τη θωράκιση της εταιρείας από τις σύγχρονες απειλές;
Είναι αλήθεια ότι λόγω της οικονομικής κρίσης γενικότερα, η διάθεση ποσών για την ανανέωση εξοπλισμού και προσθήκη νέου, αλλά κι η εκπαίδευση για την ασφάλεια ήταν αρκετά περιορισμένη. Θα πρέπει, ωστόσο, να επισημάνω ότι το GDPR άλλαξε αυτήν την κατάσταση ασκώντας την πίεση που χρειάζονταν, ώστε να κάνει τις διοικήσεις των εταιρειών να συνειδητοποιήσουν ότι η ασφάλεια κι η ιδιωτικότητα αποτελούν προτεραιότητες.

Αυτό διευκολύνει πολύ τους επαγγελματίες ασφαλείας ώστε να κάνουν τις επενδύσεις που χρειάζονται για να προστατέψουν όσο το περισσότερο δυνατόν τα δεδομένα των πελατών και των εργαζομένων τους. Δυστυχώς, για να πάρουμε τα σωστά μέτρα χρειάστηκε να υπάρχει η απειλή του νόμου και ο φόβος για την επιβολή αυστηρών προστίμων, αντί της κοινής λογικής και της αίσθησης του καθήκοντος.

Πώς θα πρέπει να διαχειρίζεται κανείς τις σύγχρονες απειλές;
Κατ’ αρχήν πρέπει να γνωρίζουμε ότι ποτέ και τίποτα δεν είναι προστατευμένο και ασφαλές έναντι των νέων απειλών. Όσα μέτρα ασφαλείας και να πάρει μια εταιρεία πάντα θα υπάρχει η πιθανότητα του να τα παρακάμψουν οι κυβερνοεγκληματίες και να κάνουν τη «δουλειά» τους. Σκοπός του CISO είναι να δημιουργεί πολιτικές ασφαλείας, υιοθετώντας βέλτιστες πρακτικές. Το πόση ασφάλεια χρειάζεται θεωρώ πως εξαρτάται από τον αντίκτυπο που θα έχει στη εταιρεία αν τα δεδομένα αυτά βγουν στο φως ή πέσουν σε λάθος χέρια.

Γι ’αυτό το λόγο έχουμε στα χέρια μας πρακτικές όπως τα Risk Assessments, Data Classification, Threat Analysis, Incident Management κ.λπ., ώστε να υπολογίσουμε τους παράγοντες κινδύνου, τα ρίσκα και τα δεδομένα που είναι σημαντικά για την εταιρεία μας και για τον τρόπο εργασίας μας. Φυσικά τα παραπάνω είναι ένα πολύ μικρό κομμάτι των πρακτικών που έχουμε στα χέρια μας, καθώς ο τομέας της κυβερνοασφάλειας είναι πολύ μεγάλος κι απαιτεί χρόνια εμπειρίας και σπουδής.

Υπάρχει κάποιο case study στο οποίο θα μπορούσατε να αναφερθείτε που θα μπορούσε να χρησιμοποιηθεί ως σημείο αναφοράς για τη διαχείριση συμβάντων σχετικά με το cyber security;
Σε μια από τις εταιρίες που εργάστηκα στο παρελθόν υπήρξε ένα περιστατικό (incident), γνωστό στον χώρο των επαγγελματιών ασφαλείας ως disgruntled employee (σε ελεύθερη μετάφραση «θυμωμένος υπάλληλος»). Στην προκειμένη περίπτωση υπήρχε ένας εργαζόμενος ο οποίος ήθελε να κάνει κακό στον προϊστάμενό του λόγω της κακής σχέσης τους, απειλώντας ότι είχε στοιχεία στα χέρια του τα οποία εάν τα πήγαινε στις αρχές ιδιωτικότητας το πρόστιμο για την εταιρεία μας θα ήταν τεράστιο και ως τούτου αξίωνε την καταβολή συγκεκριμένου ποσού ώστε να μην κάνει καταγγελία.

Με την ενημέρωση του αρμοδίου τμήματος ασφαλείας της εταιρείας κινητοποιήθηκε η διαδικασία incident management για disgruntled employees και μετά από τις κατάλληλες ενέργειες ο υπάλληλος αντιμετωπίστηκε και παραπέμφθηκε για τις ενέργειες του -τα στοιχεία που είχε στην κατοχή του άλλωστε ήταν προϊόν υποκλοπής.

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα;
Η κυβερνοασφάλεια κατά τη γνώμη μου δεν είναι έχει τάσεις . Όπως και στη φυσική ασφάλεια (προσώπων, κτηρίων, Σωμάτων Ασφαλείας) τα υλικά μας βελτιώνονται ανάλογα με το πόσο μεγιστοποιούνται κι αποκτούν πολυπλοκότητα οι απειλές. Η κυβερνοασφάλεια έχει ένα τρίπτυχο το οποίο λέγεται “CIA triad” (Confidentiality, Integrity, Availability) και πάνω σε αυτό «χτίζουμε» τις πολιτικές και τα συστήματά μας.

Κάποια λοιπόν από αυτά τα βασικά στοιχεία έχουν καθιερωθεί στην αγορά ως τάσεις, όπως τα Identity Access Management, Password Management και Vulnerability Management. Συνδεδεμένο με το IAM (Identity Access Management) είναι και το κομμάτι των βιομετρικών μέσων το οποίο το έχετε δει τελευταία να παίρνει μεγάλες διαστάσεις ειδικά με τα «κλειδιά» -tokens- με τα οποία μπορείς να έχεις 2FA (2 Factor Authentication) ή MFA (Multi-factor authentication).

Το κομμάτι του Password Management είναι κάτι που πρέπει να μας απασχολεί και προσωπικά εκτός από επαγγελματικά, διότι συνηθίζουμε να βάζουμε κωδικούς εύκολους για να τους θυμόμαστε, οι οποίοι δεν είναι καθόλου ασφαλείς. Ακριβώς το ίδιο, βέβαια, αφορά και τους εργαζόμενους των εταιρειών εκ των οποίων κάποιοι διαχειρίζονται συστήματα με κρίσιμα δεδομένα.

Τα νέα εργαλεία της αγοράς μάς βοηθούν να ομαδοποιούμε ρόλους και συστήματα με δύσκολους κωδικούς και σε συνεργασία με τα IAM συστήματα δημιουργούν ένα ασφαλές περιβάλλον διαχείρισης και πρόσβασης στα δεδομένα. Το Vulnerability Management είναι μια «τάση» που ειδικά στο εξωτερικό έχει μεγάλη αποδοχή και πλέον οι μεγάλες εταιρείες έχουν εφαρμογές οι οποίες ελέγχουν συστήματα κι ιστοσελίδες σύμφωνα με τον OWASP, ο οποίος δίνει την πρώτη κρίσιμη δεκάδα vulnerabilities ώστε να προστατευτούμε από αυτά.

Who’s Who
O Άγγελος Bαρθαλίτης ασκεί το ρόλο του CIO/CISO στην ολλανδική Transdev, μια πολυεθνική εταιρεία που δραστηριοποιείται στο χώρο των μεταφορών (Public Transport, Taxi on Demand κι ασθενοφόρα), με προσωπικό πάνω από 20.000 άτομα παγκοσμίως κι ετήσιο τζίρο 1,2 δισ. ευρώ.

Έχει επωμιστεί τον ψηφιακό μετασχηματισμό της εταιρείας στην Ολλανδία, σε τεχνολογίες και διαδικασίες, όσον αφορά το ‘day 2 day business’, τη χάραξη της στρατηγικής μετάπτωσης των συστημάτων από τα data centers στο cloud, τη μεταφορά συστημάτων σε open source OS, την ανάλυση περίπου 200 applications για τoν παροπλισμό ή/και την σύμπτυξή τους, την αλλαγή κουλτούρας από silos σε agile περιβάλλον, την αλλαγή εργαλείων κι αυτοματισμού devops, την απλοποίηση διαδικασιών κι αποφάσεων, αλλά και την ανακατανομή προσωπικού, διευθύνοντας μια ομάδα 60 ατόμων.

Επιπροσθέτως έχει αναλάβει την υλοποίηση των μέτρων ασφαλείας σε φυσικό και τεχνικό επίπεδο, ώστε να συμβαδίζει η εταιρεία του με τα στάνταρ του ISO27K και του GDPR. Ο Α. Βαρθαλίτης διαθέτει μεγάλη εμπειρία σε θέματα ψηφιακού μετασχηματισμού και διαχείρισης προσωπικού, με 18 χρόνια δραστηριοποίησης στο χώρο της Πληροφορικής, σε εταιρείες που είχαν critical services και ένα περιβάλλον εργασίας με πολυεθνική κουλτούρα.

Στο παρελθόν έχει περάσει από όλες σχεδόν τις βαθμίδες μιας Διεύθυνσης Πληροφορικής – έχοντας αναλάβει ρόλους IT support, System Engineering, ΙΤ Management και IT Director –  γνωρίζοντας τα εργαλεία, τη φιλοσοφία και τον τρόπο εργασίας της.