«Το ερώτημα δεν είναι αν η εταιρεία σας θα πέσει θύμα κυβερνοεπίθεσης, αλλά το πότε» δήλωσε η Jaya Baloo, CISO KPN Telecoms - Global “Top 100 CISOs”, ξεκινώντας την ομιλία της στο 5ο Information Security Conference στην πρώτη ενότητα με θέμα τις τελευταίες εξελίξεις στον αγώνα κατά των κυβερνοεπιθέσεων.

Ενός αγώνα που οι ομιλητές του συνεδρίου συμφώνησαν πως τα βήματα αντιμετώπισης των απειλών είναι «prevent, detect, respond, verify» σε ένα τοπίο όπου η συχνότητα και η ευφυΐα των επιτιθέμενων αυξάνεται εκθετικά. Κι αυτό γιατί η τεχνολογία υπηρετεί τον αμυνόμενο αλλά και τον επιτιθέμενο. Με την τεχνολογία quantum computing να είναι ορατή, το μονοπάτι της κρυπτογράφησης των δεδομένων μοιάζει να μην είναι πια το ίδιο ασφαλές με το παρελθόν.

Με μια τόσο μεγάλη συχνότητα επιθέσεων, ένα σημαντικό ερώτημα που έχουν να αντιμετωπίσουν οι επιχειρήσεις είναι κατά πόσο είναι καλύτερη η δημοσιοποίηση των επιθέσεων από την αποσιώπησή τους. Όπως ανέλυσε η Lillian Ablon, Information Security Thought Leader – Κάτοχος DEFCON 21 “uber” black badge –  οι λεγόμενες zero-day ευπάθειες στο λογισμικό ονομάζονται έτσι, ακριβώς γιατί δίνουν στον αμυνόμενο μηδενικό χρόνο στην αντίδραση κατά της απειλής.

Οι εταιρείες καλούνται να προβλέψουν και να αμυνθούν στα κενά που προκύπτουν, τόσο στο επίπεδο των προγραμμάτων που δημιουργούν όσο και σε αυτό των προγραμμάτων που χρησιμοποιούν. Όμως όπως χαρακτηριστικά τόνισε ο Joshua Crumbaugh, Social Engineer/Penetration Tester, η ευθύνη του λάθους είναι στη διαχείριση και όχι στον ανθρώπινο παράγοντα. Σε μια ομιλία με τον εντυπωσιακό τίτλο «Πώς να κλέψετε μια τράπεζα από το τηλέφωνο» έδωσε ζωντανά ηχογραφημένα παραδείγματα από Penetration Tests, που αποδεικνύουν πόσο ευάλωτα μπορούν να είναι τα συστήματα ασφαλείας χρησιμοποιώντας κανόνες social engineering.

“Crime as a Service”
Η δεύτερη ενότητα με θέμα «Information Security 4.0-Machine Learning, Cloud Computing και IoT» ξεκίνησε με τον Troels Oerting, πρώην Group CISO Barclays/ EC3 Director, Europol, ο οποίος ανέλυσε γιατί πιστεύει πως τελικά θα καταφέρουμε να επιβιώσουμε στον κόσμο της τεχνολογίας, παρόλο που όλα δείχνουν σήμερα τόσο περίπλοκα. Δήλωσε, δε, πως «το επιτυχημένο ψηφιακό μας μέλλον εξαρτάται από την ασφάλεια», δίνοντας παραδείγματα επιρροής των εξελίξεων από την τεχνητή νοημοσύνη (ΑΙ) και τη μηχανική μάθηση (machine learning).

Έδωσε δε μια χιουμοριστική ονομασία στον κόσμο των κυβερνοαπειλών, χαρακτηρίζοντάς τον ως «Crime As A Service». Οι ομιλητές της ενότητας αναφέρθηκαν επίσης σε σημαντικά θέματα όπως τον ανθρώπινο παράγοντα στην ασφάλεια, την ανάγκη να προβλέπουμε σε θέματα ασφαλείας και όχι μόνο να θεραπεύουμε και τις απειλές που δημιουργούνται από την ταχύτατη εξάπλωση του cloud. Ιδιαίτερες αναφορές έγιναν και για το IoT, την ωριμότητα των συσκευών, την έλλειψη πρωτοκόλλων και την ασφάλεια των δεδομένων που παράγονται από τόσο διαφορετικές κατηγορίες συσκευών.

Το GDPR δεν είναι πανάκεια
Από ένα συνέδριο ασφάλειας δεν θα μπορούσε να λείπει το κομμάτι σχετικά με το Data Privacy, σε συνδυασμό με το επερχόμενο κανονισμό του GDPR. Η τρίτη ενότητα του συνεδρίου ασχολήθηκε με το μεγάλο δίλημμα για τις επιχειρήσεις, μεταξύ της συμμόρφωσης με τον κανονισμό και της ασφάλειας. Αναλύθηκαν οι στρατηγικές και η διαχείριση ρίσκου, αλλά και ακούστηκαν προτάσεις για μεθοδολογίες και εργαλεία αντιμετώπισης του θέματος GDPR. Το συνέδριο περιελάμβανε και ένα πάνελ υψηλόβαθμων στελεχών Ασφάλειας πληροφοριών, όπου συζητήθηκαν θέματα όπως το κόστος των ψηφιακών επιθέσεων, το αντίκτυπο για τις εταιρείες και τις παγίδες της δημοσιοποίησης τους.

Ειπώθηκαν επίσης στοιχεία που εντυπωσιάζουν, όπως ότι το 69% των επιχειρήσεων δεν κατανοούν την έκθεσή τους σε cyber-threats, όπως και την διαπίστωση ότι μέσα στα επόμενα 2 χρόνια, 1 στις 4 εταιρείες θα πέσει θύμα επίθεσης. Οι εργασίες του συνεδρίου ολοκληρώθηκαν με την εμφάνιση στην σκηνή του  Ramses Gallego, Security Strategist & Evangelist, Symantec, ο οποίος πραγματικά κέρδισε το κοινό με τις δυναμικές του ιδέες και αναλύσεις σχετικά με τον ρόλο της τεχνολογίας στην Ασφάλεια Πληροφοριών, αλλά και τις κρυμμένες «παγίδες» του ψηφιακού μετασχηματισμού.