Το InfoSecurity Europe 2016, το οποίο διεξήχθη το χρονικό διάστημα 7-9 Ιουνίου στο Λονδίνο, προσέλκυσε το ενδιαφέρον της κοινότητας του IT Security, με τους 315 εκθέτες να επικεντρώνονται σε πλαίσια, μεθόδους, εργαλεία και πλατφόρμες του IT Security και τους σχεδόν 12.000 επισκέπτες να διψάνε να γνωρίζουν τις νέες τάσεις και τεχνολογίες της παγκόσμιας αγοράς του κλάδου.

Καθώς εξελίσσονται οι επιχειρήσεις, οι Chief Information Security Officers (CISOs) χρειάζεται να είναι συνεχώς ένα βήμα μπροστά, προσαρμοζόμενοι στις μεταβαλλόμενες απαιτήσεις της επιχείρησής τους, επικοινωνώντας τον κίνδυνο και τις επιπτώσεις των διαρροών της πληροφορίας με ουσιαστικό τρόπο στη διοίκησή τους.

Ταυτόχρονα, οι CISOs είναι επιφορτισμένοι με τη διασφάλιση της προστασίας των επιχειρηματικών δεδομένων, προετοιμαζόμενοι για την επόμενη απειλή, υποστηρίζοντας την ανάπτυξη της επιχείρησης και τον ψηφιακό μετασχηματισμό της. Οι ουκ ολίγες εκλεπτυσμένες παραβιάσεις ασφάλειας στις σύγχρονες επιχειρήσεις έχουν φέρει στο προσκήνιο το ρόλο του CISO στις σημερινές επιχειρήσεις, με την ικανότητά του, ωστόσο, να ωθεί και να υποστηρίζει τις αλλαγές στην επιχείρησή του να παραμένει περιορισμένη.

Την εικόνα του CISO νέας γενιάς επιχείρησαν να σκιαγραφήσουν οι ομιλητές του InfoSecurity Europe 2016, μέσα από ένα πολύ ενδιαφέρον πάνελ, στο οποίο συμμετείχαν οι Lee Barney, Head of Information Security, Marks & Spencer, Mark Hughes, CEO Security, BT, Mieke Kooij, Security Director, Trainline, Troels Oerting, Group CISO, Barclays και Cory Scott, CISO, LinkedIn, κερδίζοντας την προσοχή του κοινού.

DevSecOps & ΙΑΜ
Aνάμεσα στις νέες τάσεις που στάθηκαν πολλοί ομιλητές του συνεδρίου ήταν και ο «γάμος» των SecOps και DevOps. Τα DevSecOps στοχεύουν στο να ενισχύσουν (και να αξιοποιήσουν) τη νοοτροπία ότι «ο καθένας είναι υπεύθυνος για την ασφάλεια», με στόχο την ασφαλή διανομή των αποφάσεων ασφάλειας.

Στο φετινό InfoSec Europe δόθηκε, επίσης, έμφαση στις τεχνολογίες Identity Access Management (IAM), όπου η πρόσβαση σε οποιαδήποτε σημείο του δικτύου διασφαλίζει ότι έχει πραγματοποιηθεί με εύστοχο identity mapping και real-time ανάλυση κινδύνου ανά τύπο χρήστη. Υπήρξαν, επίσης, αναφορές στην ανθρώπινη συμπεριφορά και την κουλτούρα ασφάλειας που πρέπει να αναγάγουν οργανισμοί για να οχυρωθούν πιο αποτελεσματικά οι επιχειρήσεις.

Μια ενδιαφέρουσα διατύπωση του «Profiling the Connected Cybercriminal» παρουσίασε ο Mikko Hypponen, Chief Re-search Officer, Infosecurity Europe Hall of Fame Alumnus, ο οποίος χαρτογράφησε τα κίνητρα, τις συμπεριφορές, τις τακτικές και τις τεχνικές των κυβερνοεγκληματιών.

Απόκρυψη επιθέσεων
Μια τάση που υπάρχει σήμερα είναι ότι οι παραβιάσεις της ασφάλειας των πληροφοριών εντός των επιχειρήσεων, συχνά, δεν αναφέρονται στις αστυνομικές αρχές. Σε αυτό το σημείο στάθηκαν οι Kurt Pipal, Assistant Legal Attaché, FBI και Rik Ferguson, Advisor, Europol and Security Researcher. Όταν συμβαίνει μια παράβαση η πρώτη προτεραιότητα ενός οργανισμού είναι, συνήθως, να προστατεύσει τη φήμη του, ελαχιστοποιώντας τις επιχειρηματικές επιπτώσεις.

Ως αποτέλεσμα, η αναφορά ενός εγκληματικού περιστατικού στις αρχές μπορεί να είναι δευτερεύουσας σημασίας, ειδικά όταν η συμμετοχή των αρχών μπορεί να σημαίνει και διακοπή των επιχειρηματικών δραστηριοτήτων. Είναι αξιοσημείωτο ότι το πρώτο εξάμηνο του 2015, 246 εκατομμύρια αρχεία παραβιάστηκαν σε παγκόσμιο επίπεδο, με το 82% των παραβάσεων να έχουν χαρακτηριστεί ως βαρυσήμαντες λόγω του αριθμού των υποκλεμμένων εγγραφών.

Επιπρόσθετα, το “McAfee Quarterly Threat Report – Μάρτιος 2016”, αναφέρει ότι πάνω από 353 εκατομμύρια μολυσμένα αρχεία με ιούς κυκλοφορούν σε δίκτυα παγκοσμίως, μαζί με επιπλέον 500 εκατομμύρια malware. Συχνά, η στιγμή που ένας οργανισμός κατανοεί ότι έχει παραβιαστεί είναι όταν μια τρίτη πηγή τον ενημερώνει. Ακόμη και όταν αυτό δεν συμβαίνει, οι υποχρεώσεις κοινοποίησης των παραβιάσεων δεδομένων σημαίνει ότι οι επιχειρήσεις δεν μπορούν πάντα να παραμείνουν σιωπηρές για μια παράβαση, ενώ ασχολούνται με τις επιπτώσεις.

Είτε μια παραβίαση προέρχεται από κακόβουλους hackers, είτε από μια insider δουλειά, είτε από λάθη εργαζομένων, υπάρχουν προληπτικά μέτρα που οργανισμοί μπορούν να υιοθετήσουν για να μετριάσουν τον κίνδυνο και να αποφύγουν να γίνουν κομμάτι των στατιστικών στοιχείων παραβίασης δεδομένων του τρέχοντος έτους.


Δύο διαφορετικοί κόσμοι
Στην εναρκτήρια παρουσίαση του InfoSec Europe 2016, ο Bruce Schneier, CTO, Resilience & Infosecurity Europe Hall of Fame Alumnus, σημείωσε ότι δύο διαφορετικοί κόσμοι συγκρούονται μεταξύ τους, όταν πρόκειται για το ΙοΤ και αυτό δεν αποτελεί καλό οιωνό για την ασφάλειά μας. Ο Schneier εξήγησε πώς οι IoT συνδεδεμένες συσκευές – όπως είναι οι ιατρικές συσκευές, οι οποίες είναι σχεδόν αδύνατο να παραμείνουν ενημερωμένες με τις πιο πρόσφατες άμυνες ασφαλείας – δεν θα αποδώσουν σε εισβολείς που συνεχώς βελτιώνουν τις μεθόδους επίθεσής τους, με «καταστροφικές» συνέπειες.

«Καθώς προχωρούμε προς το ΙοΤ, όπου τα πράγματα είναι λιγότερο patchable και λιγότερο high-end, θα έχουμε προβλήματα», δήλωσε ο Schneier. Όμως ακόμα και στο διαδίκτυο, σύμφωνα με το Symantec – Internet Security Threat Report 2016, το 75% όλων των νόμιμων sites έχουν θέματα ευπάθειας (unpatched vulnerabilities), με τον αριθμό των ransomware απειλών να έχει αυξηθεί κατά 35% το τελευταίο έτος.

Τα ransomware μόλις αποκτήσουν πρόσβαση στο εταιρικό δίκτυο, κρυπτογραφούν τα όποια εταιρικά δεδομένα στα οποία έχουν πρόσβαση και τα κρατούν «αιχμάλωτα» μέχρι να πληρωθεί ένα συγκεκριμένο ποσό στους εισβολείς.

«Αυτήν τη στιγμή, ο τρόπος που θα επιδιορθώσετε το router του σπιτιού σας είναι να το πετάξετε και να αγοράσετε ένα καινούριο. Αυτός είναι ο τρόπος εφαρμογής patch για αυτού του είδους συσκευές. Και πολλά από τα συστήματά μας, όπως ένα κινητό τηλέφωνο, είναι patched όλη την ώρα, αλλά ένα μεγάλο μέρος της ασφάλειας προέρχεται από το γεγονός ότι ανανεώνουμε το κινητό μας κάθε 18 μήνες.

Έχουμε έναν νέο φορητό υπολογιστή κάθε δύο χρόνια. Αυτό μας επιτρέπει να βελτιωθούμε. Αλλά αγοράζουμε ένα νέο ψυγείο κάθε 15 χρόνια. Αγοράζουμε ένα νέο θερμοστάτη, περίπου… ποτέ. Αυτό πρόκειται να είναι ένα μεγάλο πρόβλημα. Δεν θα μπορούμε να ζήσουμε σε έναν κόσμο όπου για την ενημέρωση του βηματοδότη μας, θα πρέπει να εγχειρήσουμε το σώμα μας για να βάλουμε έναν καινούργιο – και αυτό πρόκειται να είναι άσχημο» εξήγησε ο Schneier.

Ουσιαστικά, ο Schneier περιέγραψε πώς ο κύκλος ζωής ασφάλειας για αντικείμενα όπως οικιακές συσκευές, εμφυτεύσιμες ιατρικές συσκευές και αυτοκίνητα δεν έχουν ακριβώς τον ίδιο κύκλο ζωής ασφάλειας, όπως τα καταναλωτικά ηλεκτρονικά προϊόντα. Επιπλέον, δεδομένου ότι το ΙοΤ κλιμακώνεται συνεχώς μέχρι να συμπεριλάβει σταθμούς παραγωγής ηλεκτρικής ενέργειας, κοινότητες, πόλεις, και κυβερνήσεις, ο κίνδυνος θα αυξηθεί.

Μια σχετική παρουσίαση στο InfoSec Europe πραγματοποίησε ο Ken Munro της Pen Test Partners LLP με ζωντανό hack του Wi-Fi traffic του Mitsubishi Outlander – μπόρεσε με αυτόν τον τρόπο να αναβοσβήσει τους προβολείς του αυτοκινήτου. Αργότερα σε συνομιλία μου με την ομάδα της Pen Test Partners έμαθα ότι είχε γίνει hacked και αυτοκίνητο με δυνατότητα αυτόματης στάθμευσης, με αποτέλεσμα να αποκτηθεί ο πλήρης έλεγχος οδήγησης του.

Ο Schneier εξήγησε πώς οι IoT-συνδεδεμένες συσκευές, όπως είναι οι ιατρικές συσκευές, σημαίνει ότι άνθρωποι περπατούν με life-critical συσκευές πάνω τους, οι οποίες δεν μπορούν να ενημερωθούν (ή να γίνουν patched). «Η διαδικασία δεν επιτρέπει την ενημέρωση. Η διαδικασία ήταν ότι πρέπει να είναι σωστά όλα με την πρώτη φορά. Και αν δεν είναι; Δεν έχω μια απάντηση σε αυτό» δήλωσε ο Schneier. Τα συμπεράσματα του Schneier προσβλέπουν ότι κυβερνήσεις θα επιδιώξουν να παρέμβουν στο ΙοΤ με τη ρητορική του φόβου για κυβερνοπόλεμο και κυβερνοτρομοκρατία.

Τέλος, η αυλαία του InfoSec έπεσε με την keynote ομιλία του Kevin Warwick, Επίτιμο Καθηγητή του Πανεπιστημίου του Ρέντινγκ, που αναφέρθηκε σε εμφυτεύματα στο ανθρώπινο σώμα που αναγάγουν την τεχνητή νοημοσύνη και φέρνουν τον άνθρωπο και την τεχνολογία πιο κοντά, αλλά και τα θέματα ασφαλείας που προκύπτουν με τον εαυτό του από αυτό, αποτελώντας κατά βάση ένα Cyborg.

EU GDPR

Ένα από τα θέματα που απασχόλησε τους σύνεδρους ήταν η ατζέντα του EU GDPR (General Data Protection Regulation), ήτοι του κανονισμού με τον οποίο η Ευρωπαϊκή Επιτροπή προτίθεται να ενισχύσει και να ενοποιήσει την προστασία των δεδομένων για τα άτομα εντός της Ευρωπαϊκής Ένωσης (ΕΕ). Το GDPR αφορά αναφέρεται επίσης και στους κανόνες που καθορίζουν την εξαγωγή των προσωπικών δεδομένων εκτός της ΕΕ. Ο κανονισμός εκδόθηκε στις 27 Απριλίου 2016 και πρόκειται να τεθεί σε εφαρμογή στις 25 Μαΐου 2018, μετά από μια μεταβατική περίοδο δύο ετών – και σε αντίθεση με μια οδηγία (Directive) δεν απαιτεί καμία νομοθετική παρέμβαση από κυβερνήσεις των χωρών μελών της ΕΕ.