Σε έναν ψηφιακό κόσµο που οι κυβερνο-επιθέσεις και οι απειλές γίνονται συνεχώς σοβαρότερες, ως προς τον αντίκτυπο και την αντιµετώπισή τους, οι πιο σύγχρονες πρακτικές προφύλαξης και ασφάλειας αποτελούν ακρογωνιαίους λίθους κάθε επιχειρησιακής λειτουργίας.

Οι κύριες τάσεις στον τομέα της ψηφιακής ασφάλειας, οι γνώσεις και οι βέλτιστες πρακτικές βρέθηκαν στο επίκεντρο της θεματολογίας του 7ου Information Security Conference που πραγματοποιήθηκε στο Ίδρυμα Ευγενίδου στις 19 Φεβρουαρίου, από το περιοδικό netweek της BOUSSIAS σε συνεργασία με κορυφαία στελέχη και αναλυτές του κλάδου που αποτέ-λεσαν την οργανωτική επιτροπή του συνεδρίου.

Για έβδομη χρονιά, στο συνέδριο των InfoSec experts, κορυφαίοι γνώστες σε θέματα cyber security από την Ελλάδα και το εξωτερικό, τοποθετήθηκαν στα φλέγοντα ζητήματα της ασφάλειας, αντάλλαξαν απόψεις, κατέθεσαν την εμπειρία τους και μοιράστηκαν λύσεις που βασίζονται στην και-νοτομία και την τεχνολογία.

Το συνέδριο χαιρέτισαν οι Στέλλα Τσιτσούλα, Σύμβουλος επικοινωνίας και Managing Partner της RED Communications και ο Δρ. Αθανάσιος Στάβερης-Πολυκαλάς, ειδικός σύμβουλος ψηφιακής ασφάλειας στο Υπουργείο Ψηφιακής Διακυβέρνησης, ο οποίος στην ομιλία του επισήμανε τις κύριες δράσεις του Υπουργείου και τους ρόλους της Γενικής Διεύθυνσης Κυ-βερνο-ασφάλειας, αναλύοντας τις δομές κυβερνο-ασφά-λειας που υπάρχουν στο κράτος. Τόνισε επίσης πως βασικό μέλημα αποτελεί η ενημέρωση των πολιτών, ώστε να είναι σε θέση να κατανοούν καλύτερα τους κινδύνους και να προφυλάσσονται από αυτούς.

Νέες τεχνολογίες και τάσεις
Η 1η ενότητα πραγματεύτηκε θέματα όπως τις προκλή-σεις της ασφάλειας στο cloud, το IoT και την επικοινωνία μεταξύ των συστημάτων, τις κυβερνο-απειλές που κάνουν χρήση της τεχνητής νοημοσύνης, καθώς και τις προηγμέ-νες τεχνολογίες της δομής blockchain. Η ενότητα ξεκίνησε με την keynote ομιλία του Marc Polymeropoulos, Former National Security Official των ΗΠΑ, ο οποίος μέσα από δύ-σκολες και επικίνδυνες αποστολές που κλήθηκε να φέρει σε πέρας στη διάρκεια της καριέρας του κατάφερε να προσδιο-ρίσει τα εννιά δομικά συστατικά της ηγεσίας.

Ο Αργύρης Μα-κρυγέωργου, Head of Managed Cyber Security Services της Algosystems, στην παρουσίαση του μίλησε για το integration και πως μπορεί να επιτευχθεί το μέγιστο δυνατό αποτέλεσμα με την ελάχιστη αναταραχή για την επιχειρηματική μονάδα. Εν συνεχεία ανέλυσε τις λειτουργίες του DevNet, καθώς και τα οφέλη της συγκεκριμένης προσέγγισης.

«1 τρις δολάρια θα ξοδευτεί στον τομέα της κυβερνο-α-σφάλειας παγκοσμίως από το 2017, έως το 2021 σύμφωνα με έρευνα της Gartner» επισήμανε ο Γιώργος Πατσής, Διευθύ-νων Σύμβουλος και Ιδρυτής της Obrela Security Industries. Παρόλο όμως που τα ποσά που επενδύονται στον τομέα της ψηφιακής ασφάλειας συνεχώς και αυξάνονται, οι επιθέσεις δεν μειώνονται.

Ο λόγος που συμβαίνει αυτό είναι πως η κυβερνοασφάλεια αποτελεί ένα περίπλοκο πρόβλημα, ενώ τείνει να αντιμετωπίζεται ως ένα πολύπλοκο θέμα, δήλωσε χαρακτηριστικά ο Γ. Πάτσης αποσαφηνίζοντας τη σημασία και τις διαφορές των δύο όρων. Κατόπιν ο Λευτέρης Τζελέ-πης, Technology & Digital / IT Security Team Director του ΟΠΑΠ, παρουσίασε τις στρατηγικές που οφείλει να ακολου-θήσει μια εταιρεία ώστε να επιτύχει μια υιοθέτηση του cloud που εμπεριέχει το ελάχιστο δυνατό ρίσκο, αναλύοντας τις συνήθεις παγίδες που συναντώνται, καθώς και τις επιχειρη-σιακές πολιτικές που υποστηρίζουν την μετάβαση στο cloud computing. Παράγοντας κλειδί για όλα τα θέματα ασφαλείας είναι ο άνθρωπος.

Καθώς ο ανθρώπινος εγκέφαλος μπορεί να ξεγελαστεί πολύ εύκολα, το social engineering και το «human hacking» αποτελούν εδώ και χρόνια ένα μέσω χειραγώγησης των ανθρώπων. Πλέον όμως στην εποχή του IoT, όπου όλα και όλοι είναι διασυνδεδεμένα μεταξύ τους, ξεγελώντας έναν μόνο άνθρωπο και παραβιάζοντας έναν κρίκο της αλυσίδας, μπορούν να καταρρεύσουν ολόκληρα επιχειρησιακά συστή-ματα.

Μέσα σε αυτό το πλαίσιο, ο Henrik Pallin, Curator and expert on people’s network usage και συγγραφέας του βιβλίου «The battle for screen time», στην παρουσίαση του ανέλυσε τις πέντε βασικότερες τάσεις του social engineering το 2020. Εν συνεχεία ο Γιώργος Κατσαούνης, Information Security Consultant της Space Hellas, εμβάθυνε στις τεχνικές ασφαλείας που οφείλουν να συνοδεύουν τη μετάβαση στο cloud. Ιδιαίτερη αναφορά έγινε στην χρήση του SIG (Secure Internet Gateway) και στα πλεονεκτήματα του.

Οι τεχνικές εξαπάτησης και το social engineering, μέσω της χρήση των νέων τεχνολογιών και της τεχνητής νοημοσύ-νης, μετεξελίσσονται και γίνονται όλο και πιο περίτεχνες και μαζικές. Συγκεκριμένα, στο φαινόμενο των DeepFakes εμβά-θυνε ο Δημήτρης Πατσός, Πρόεδρος ICS(2) Hellenic Chapter και Cyber security Expert, αναλύοντας την έκταση που έχουν πάρει και τους τρόπους που μπορούν να εντοπιστούν. Όμως η χρήση της τεχνητής νοημοσύνης στην παραβίαση συστημάτων δεν σταματάει εκεί. Από την αυτοματοποίηση του hacking, στα smart botnets και τα AI malware οι νέες απειλές γίνονται όλο και πιο επικίνδυνες.

Στην παρουσίαση του ο Νικήτας Κλαδάκης, Information Security Director της Netbull, αναφέρθηκε τόσο στους κινδύνους, όσο και σε λύσεις που μέσω της χρήσης της τεχνητής νοημοσύνης μπο-ρούν να προφυλάξουν τις επιχειρήσεις από τις προηγμένες αυτές μορφές επιθέσεων. «Για να προετοιμαστούμε για το αύριο, πρέπει να προκαλέσουμε αναταράξεις στο σήμερα» επισήμανε ο Παναγιώτης Παπαγιαννακόπουλος, Associate Partner Advisory Services Cybersecurity, Data Protection & Privacy and Technology Services Ernst & Young Business Advisory Solutions S.A. Ιδιαίτερη έμφαση δόθηκε στην ασφά-λεια των συστημάτων OT και στα οφέλη του OT SOC καθώς όπως χαρακτηριστικά δήλωσε, βρισκόμαστε σε μια εποχή σύγκλισης του IT και του OT κόσμου.

Στο κλείσιμο της 1ης ενότητας διεξήχθη το πρώ-το πάνελ συζήτησης με τους Marco Pereira, Head of Commercial Sales for EMEA της BitSight, Χαρά Βασιλειάδου, Commercial Director της Census, Αντώνη Σταματόπουλο, Commercial Director Value Added Distribution της Info Quest Technologies και Νίκο Σίμο, Τεχνικό Διευθυντή στους Pylones Hellas. Συντονιστής του πάνελ ήταν ο Γεράσιμος Μοσχονάς, Information Security & Data Protection Advisor, ο οποίος έδωσε τη δυνατότητα στους ομιλητές του πάνελ να τοποθετηθούν σε μια σειρά ερωτημάτων που αφορούσαν θέματα όπως ο ψηφιακός μετασχηματισμός, η ασφάλεια στο cloud, οι εξωτερικοί και οι εσωτερικοί κίνδυνοι που αντιμε-τωπίζουν οι επιχειρήσεις, το Shadow IT.

Η εξέλιξη των κυβερνο-απειλών και των τεχνικών άµυνας
Στη διάρκεια της 2ης ενότητας του συνεδρίου παρου-σιάστηκαν θέματα όπως η ψηφιακή ταυτότητα και η ψη-φιακή υπογραφή, οι τρόποι άμυνας των κρατών απέναντι στις κυβερνο-επιθέσεις, η βιομηχανική ασφάλεια και οι προκλήσεις του IoT. Η Εσθονία αποτελεί ένα από τα πρω-τοπόρα κράτη στο θέμα του ψηφιακού μετασχηματισμού.

Συγκεκριμένα, πλέον έχει διαθέσιμα 3000 e-services, το 95% των φόρων δηλώνεται online, το ένα τρίτο των ψή-φων καταχωρείται online και πλέον μόνο μια από κάθε 50 ιατρικές συνταγές γίνεται σε χαρτί. Η Piret Urb, Head of International Relations Information System Authority (RIA) Republic of ESTONIA, παρουσίασε τις βασικές υποδομές του συστήματος e-government της Εσθονίας και τις τεχνικές κυβερνο-ασφάλειας που εφαρμόζονται για να διατηρούν τα συστήματα ασφαλή ενάντια σε επιθέσεις.

Ο Θεόδωρος Στεργίου, Διευθυντής Cyber Security & Risk Consulting στην KPMG αναφέρθηκε και αυτός με τη σειρά του στο φλέγον ζήτημα του social engineering, αναζητώντας τους λόγους για τους οποίους επιτυγχάνουν κάποιες από αυτές τις επιθέσεις. «Οι επιθέσεις κοινωνικής μηχανικής εκμεταλλεύονται την ανθρώπινη φύση μας και τις γνωσιακές μας προκαταλήψεις» επισήμανε, αναδεικνύοντας τη σημασία του ανθρώπινου παράγοντα στην πρόληψη και την αποφυγή των κακόβουλων επιθέσεων

Ακολούθησε το δεύτερο πάνελ συζήτησης με τους Σπύρο Λαθούρη, Head of IT & Cyber Risks Expert, Matrix Insurance & Reinsurance Broker At Lloyd’s, Μάνο Γαβριήλ, Head of cyber security operations στην Neurosoft, Λάμπρο Κα-τσώνη, Presales & Technical Manager στην Panda Security και Jason Clark, Security Engineer – Enterprise Emerging Markets στην Tenable Network Security. Συντονιστής του πάνελ ήταν ο Χρήστος Ξενάκης, καθηγητής ψηφιακής ασφάλειας στο Πανεπιστήμιο Πειραιώς.

Οι συμμετέχοντες του πάνελ είχαν τη δυνατότητα να τοποθετηθούν σε θέματα σχετικά με τους τρόπους ανίχνευσης μιας επίθεσης, τη χρήση της τεχνητής νοημοσύνης τόσο από τη γραμμή άμυνας όσο και από τους επιτιθέμενους, τους βέλτιστους τρόπους διαχείρισης των περιστατικών και τις μεθόδους εκτίμησης του ρίσκου. Στις 17 Ιανουαρίου του 2019 περίπου 773 εκατομμύρια emails και περισσότερα από 21,2 εκατομμύρια κωδικοί πρόσβασης διέρρευσαν και πλέον βρίσκονται σε μια συλλογή που φέρει την ονομασία “Collection #1”, σύμφωνα με τον Χρίστο Τόπα-κα, Senior Director Group IT Security & Control του Ομίλου Τράπεζας Πειραιώς.

Μέσα από την παρουσίαση του έδωσε έμφαση στα βασικότερα ζητήματα για τα οποία οφείλει να έχει επίγνωση το προσωπικό κάθε επιχείρησης, ώστε να μπορεί να προφυλαχτεί καταλλήλως. Αυτά τα ζητήματα πε-ριλαμβάνουν απειλές όπως οι τεχνικές Phishing, οι επιθέσεις DDoS, τα διάφορα είδη ransomware και οι ποικίλες μορφές social engineering. Η 2η ενότητα του συνεδρίου έκλεισε με την παρουσίαση του Στέλιου Καβαλάρη, Information Security Officer – Dixons South-East Europe & Information Security Lecturer – AMC Metropolitan College.

Μέσα από την ομιλία του έδωσε ιδιαίτερη έμφαση στις προκλήσεις που υπάρχουν για την ψηφιακή ασφάλεια των συστημάτων IoT και στον κίνδυνο που παρουσιάζουν τα απροστάτευτα Big Data. Οι εξελίξεις διαδέχονται η μια την άλλη με ραγδαίους ρυθμούς και οι επαγγελματίες του IT προσπαθούν σκληρά να προσαρμοστούν σε αυτόν τον συνεχώς μεταβαλλόμενο κόσμο και παράλληλα να προετοιμαστούν για το μέλλον που θα ακολουθήσει.

Πολιτικές, νόµοι και διακυβέρνηση
Στην 3η ενότητα του συνεδρίου συζητήθηκαν θέματα σχετικά με το κυβερνητικό πλαίσιο ασφαλείας σύμφωνα με τον NIS, τα οφέλη μιας καλοσχεδιασμένης GRC στρατηγι-κής, το ζήτημα των ψηφιακών εκλογών και της ψηφιακής δημοκρατίας. Ο Κωνσταντίνος Κακαβούλης, Co-Founder and Board Member της Homo Digitalis στην παρουσίαση του επικεντρώθηκε στην σπουδαιότητα εκμάθησης των βασικών κανόνων ψηφιακής ασφαλείας στην καθημερινότητα.

Για την αντιμετώπιση αυτών των απειλών λαμβάνονται δράσεις και σε επίπεδο Ευρωπαϊκής Ένωσης. Στην ομιλία του ο Δρ. Αθανάσιος Δρούγκας, NIS Expert, Secure Infrastructures and Services Unit του ENISA, αναφέρθηκε σε θέματα όπως οι περιοχές δράσεις του ENISA, οι εξελίξεις του κανονιστικού πλαισίου σχετικά με την κυβερνο-ασφάλεια στην ΕΕ, ενώ παράλληλα ανέλυσε τη θεματολογία του Cybersecurity Act και του EU Cybersecurity Certification Framework.

Ο Γιώργος Δρίβας, Head of the National Cyber Security Authority, General Secretariat for Telecommunications & Post, Ministry of Digital Governance, εμβάθυνε σε θέματα όπως η Εθνική Στρατηγική Κυβερνο-ασφάλειας, η Ενιαία Πολιτική Ασφά-λειας και οι Διεθνείς Δείκτες Αξιολόγησης. Ανέφερε επίσης πως η Ελλάδα βρίσκεται στην 1η θέση ανάμεσα σε 152 χώρες, σύμφωνα με τους Διεθνείς Δείκτες Αξιολόγησης (NCSI-eGA,CGI-ITU).

Ο ψηφιακός μετασχηματισμός δημιουργεί νέες ανάγκες και νέες απαιτήσεις ασφαλείας και είναι εμφα-νής η αναγκαιότητα αλλαγής του μοντέλου διακυβέρνησης, από ένα σκληρό και ιεραρχικό μοντέλο σε ένα ευέλικτο και ομαδοσυνεργατικό. Τις απαιτήσεις συμμόρφωσης με την Ευρωπαϊκή Οδηγία NIS 2016 και το Νόμο 4577/2018 πα-ρουσίασε στην ομιλία του ο Δημήτρης Ξερνός, Technology Manager της Priority.

Η οδηγία αυτή αφορά σε μια ενιαία πολιτική ασφαλείας με συγκεκριμένες διαδικασίες ελέγχου και αντίστοιχες κυρώσεις. Εν συνεχεία πραγματοποίησε μια εκτενή ανάλυση των δράσεων που καλείται να λάβει ο κάθε οργανισμός βάση αυτής της οδηγίας και των οφελών που προσφέρει η ύπαρξη ενός τέτοιου πλαισίου. Την αυλαία της 3ης ενότητας έκλεισε με την keynote ομιλία του ο Ramsés Gallego, Security, Risk & Governance International Director with Micro Focus, ο οποίος ανέλυσε τους 4 τύπους μηχανικής μάθησης, τόσο από τεχνικής σκοπιάς όσο και σχετικά με το κοινωνικό αντίκτυπο που έχει η ανάπτυξη τους.

Η αξία της κυβερνο-ασφάλειας σε όλες τις πτυχές των επιχειρήσεων, αλλά και των κρατών, αποτελεί κύριο μέλημα στην εποχή που διανύουμε, σύμφωνα με τις τοποθετήσεις των ομιλητών του 7ου Information Security Conference.