Η ασφάλεια αποτελεί κορυφαία φροντίδα για τις επιχειρήσεις, καθώς αγγίζει όλα τα κρίσιμα στοιχεία τους και την πολυδιαφημισμένη μετάβαση στον ψηφιακό κόσμο. Οι κυβερνοαπειλές έχουν εξελιχθεί, η μετάβαση στο cloud είναι ένα ακόμη μεγάλο βήμα και η εφαρμογή του GDPR βάζει νέους κανόνες στη στρατηγική τους.

Όλα τα παραπάνω αποτέλεσαν αντικείμενο συζήτησης και ενημέρωσης στο 5ο Information Security Conference, που έγινε τον προηγούμενο μήνα, με σημαντικές παρουσίες και ομιλητές από τον ελληνικό αλλά και διεθνή χώρο. «Το ερώτημα δεν είναι αν η εταιρεία σας θα πέσει θύμα κυβερνοεπίθεσης, αλλά το πότε» δήλωσε η Jaya Baloo, CISO KPN Telecoms – Global “Top 100 CISOs” ξεκινώντας την ομιλία της στο 5ο Information Security Conference και στην πρώτη ενότητα με θέμα τις τελευταίες εξελίξεις στον αγώνα κατά των κυβερνοεπιθέσεων. Ενός αγώνα που οι ομιλητές του συνεδρίου συμφώνησαν πως τα βήματα αντιμετώπισης των απειλών είναι «prevent, detect, respond, verify» σε ένα τοπίο όπου η συχνότητα και η ευφυΐα των επιτιθέμενων αυξάνεται εκθετικά. Κι αυτό γιατί η τεχνολογία υπηρετεί τον αμυνόμενο αλλά και τον επιτιθέμενο. Με την τεχνολογία quantum computing να είναι ορατή, το μονοπάτι της κρυπτογράφησης των δεδομένων μοιάζει να μην είναι πια το ίδιο ασφαλές με το παρελθόν. Με μια τόσο μεγάλη συχνότητα επιθέσεων, ένα σημαντικό ερώτημα που έχουν να αντιμετωπίσουν οι επιχειρήσεις είναι κατά πόσο είναι καλύτερη η δημοσιοποίηση των επιθέσεων ή η αποσιώπηση τους. Όπως ανέλυσε η Lillian Ablon, Information Security Thought Leader – Κάτοχος DEFCON 21 “uber” black badge, οι λεγόμενες Zero-day ευπάθειες στο λογισμικό ονομάζονται έτσι, ακριβώς γιατί δίνουν στον αμυνόμενο μηδενικό χρόνο στην αντίδραση κατά της απειλής. Οι εταιρείες έχουν να προβλέψουν και να αμυνθούν στα κενά που προκύπτουν, τόσο στο επίπεδο των προγραμμάτων που δημιουργούν όσο και σε αυτό των προγραμμάτων που χρησιμοποιούν. Όμως όπως χαρακτηριστικά τόνισε ο Joshua Crumbaugh, Social Engineer/Penetration Tester, η ευθύνη του λάθους είναι στη διαχείριση και όχι στον ανθρώπινο παράγοντα. Σε μια ομιλία με τον εντυπωσιακό τίτλο «Πώς να κλέψετε μια Τράπεζα από το τηλέφωνο» έδωσε ζωντανά ηχογραφημένα παραδείγματα από Penetration Tests, που αποδεικνύουν πόσο ευάλωτα μπορούν να είναι τα συστήματα ασφαλείας χρησιμοποιώντας κανόνες social engineering.

Η δεύτερη ενότητα με θέμα «Information Security 4.0-Machine Learning, Cloud Computing και IoT» ξεκίνησε με τον Troels Oerting, πρώην Group CISO Barclays/ EC3 Director, Europol, ο οποίος ανέλυσε γιατί πιστεύει πως τελικά θα καταφέρουμε να επιβιώσουμε στον κόσμο της τεχνολογίας, παρόλο που όλα δείχνουν σήμερα τόσο περίπλοκα. Δήλωσε δε πως «το επιτυχημένο ψηφιακό μας μέλλον εξαρτάται από την ασφάλεια», δίνοντας παραδείγματα επιρροής των εξελίξεων από την τεχνητή νοημοσύνη (ΑΙ) και τη μηχανική μάθηση (machine learning). Έδωσε δε μια χιουμοριστική ονομασία στον κόσμο των κυβερνοαπειλών, χαρακτηρίζοντάς τον ως «Crime As A Service».

Οι ομιλητές της ενότητας αναφέρθηκαν επίσης σε σημαντικά θέματα όπως τον ανθρώπινο παράγοντα στην ασφάλεια, την ανάγκη να προβλέπουμε σε θέματα ασφαλείας και όχι μόνο να θεραπεύουμε και τις απειλές που δημιουργούνται από την ταχύτατη εξάπλωση του cloud. Ιδιαίτερες αναφορές έγιναν και για το IoT, την ωριμότητα των συσκευών, την έλλειψη πρωτοκόλλων και την ασφάλεια των δεδομένων που παράγονται από τόσο διαφορετικές κατηγορίες συσκευών.

Από ένα συνέδριο ασφάλειας δεν θα μπορούσε να λείπει το κομμάτι σχετικά με το Data Privacy, σε συνδυασμό με το επερχόμενο κανονισμό του GDPR. Η τρίτη ενότητα του συνεδρίου ασχολήθηκε με το μεγάλο δίλημμα για τις επιχειρήσεις, μεταξύ της συμμόρφωσης με τον κανονισμό και της ασφάλειας. Αναλύθηκαν οι στρατηγικές και η διαχείριση ρίσκου, αλλά και ακούστηκαν προτάσεις για μεθοδολογίες και εργαλεία αντιμετώπισης του θέματος GDPR. Το συνέδριο περιελάμβανε και ένα πάνελ υψηλόβαθμων στελεχών Ασφάλειας πληροφοριών, όπου συζητήθηκαν θέματα όπως το κόστος των ψηφιακών επιθέσεων, το αντίκτυπο για τις εταιρείες και τις παγίδες της δημοσιοποίησης τους. Ειπώθηκαν επίσης στοιχεία που εντυπωσιάζουν, όπως ότι το 69% των επιχειρήσεων δεν κατανοούν την έκθεσή τους σε cyber-threats, όπως και την διαπίστωση ότι μέσα στα επόμενα 2 χρόνια, 1 στις 4 εταιρείες θα πέσει θύμα επίθεσης.

Οι εργασίες του συνεδρίου ολοκληρώθηκαν με την εμφάνιση στην σκηνή του Ramses Gallego, Security Strategist & Evangelist, Symantec, ο οποίος πραγματικά κέρδισε το κοινό με τις δυναμικές του ιδέες και αναλύσεις σχετικά με τον ρόλο της τεχνολογίας στην Ασφάλεια Πληροφοριών, αλλά και τις κρυμμένες «παγίδες» του ψηφιακού μετασχηματισμού.


Η Lillian Ablon, Information Security Thought Leader –
Κάτοχος DEFCON 21 “uber” black badge, έχει ερευνητική θητεία στον τομέα των λεγόμενων zero-day τρωτών σημείων ασφαλείας και μας εξηγεί τον τρόπο λειτουργίας και αντιμετώπισής τους.

    Οι χαρακτηριζόμενες ως zero-day ευπάθειες, είναι η εξειδίκευσή σας στον τομέα της ασφάλειας. Ποια είναι τα βασικά στοιχεία που πρέπει να προσέξουμε, πώς να προετοιμαστούμε αλλά και να αντιδράσουμε σε μια τέτοια επίθεση;

Τα τρωτά σημεία ασφάλειας που χαρακτηρίζονται ως zero-day, υπάρχουν στο λογισμικό και οι εταιρείες αλληλεπιδρούν με το λογισμικό με δύο τρόπους. Υπάρχει to λογισμικό που αναπτύσσεται από τις εταιρείες και το λογισμικό που χρησιμοποιείται από αυτές. Στο λογισμικό που αναπτύσσεται, η εταιρεία έχει τον έλεγχο των τρωτών σημείων που υπάρχουν και προσπαθεί να τα διορθώσει. Και αυτό αποτελείται από ένα φάσμα διαφορετικών πραγμάτων. Ο κύκλος ζωής ανάπτυξης της ασφάλειας είναι ένα από τα καλύτερα εργαλεία που διαθέτει κάθε οργανισμός για να επιλέξει τα βήματα που πρέπει να κάνει. Ένα από αυτά τα βήματα είναι η εκπαίδευση και ειδικότερα η κατάρτιση των προγραμματιστών. Τις περισσότερες φορές δεν είναι εκπαιδευμένοι στο το πώς να παράγουν κώδικα με ασφάλεια και υπάρχουν εταιρείες που μπορούν να βοηθήσουν σε αυτό και είναι μια επένδυση υψηλής απόδοσης που μπορεί να κάνει μια επιχείρηση. Το άλλο μισό του προβλήματος είναι το λογισμικό που χρησιμοποιείται από τις εταιρείες. Σε αυτό το λογισμικό η εταιρεία δεν έχει πρόσβαση στον κώδικα και έτσι δεν μπορούν να είναι σίγουροι που είναι το τρωτό σημείο ασφαλείας. Όταν όμως συμβαίνει ένα περιστατικό, πρέπει να έχουν εκπαιδεύσει τους ανθρώπους τους ώστε να κατανοήσουν την απειλή και να αντιδράσουν, να μην κάνουν κλικ σε ύποπτους συνδέσμους, να γνωρίζουν για την τεχνική phishing, την παρακολούθηση ή την ενημέρωση εκδόσεων των προγραμμάτων. Οι εταιρείες σε όλο τον κόσμο θα πρέπει να σκεφτούν το λογισμικό σαν μια οντότητα και πώς αλληλεπιδρούν με αυτή, έχοντας μια ολοκληρωμένη προσέγγιση, μια πολυεπίπεδη προσέγγιση άμυνας.

    Πέρα από το λογισμικό υπάρχει και το hardware στο οποίο υπάρχουν επίσης σημαντικά θέματα ασφάλειας. Πως πρέπει να αντιμετωπίσουμε τις απειλές ασφαλείας σε επίπεδο υλικού;

Οι περιπτώσεις ασφαλείας με το hardware είναι εξίσου σημαντικές και σε πολλές περιπτώσεις δυσκολότερες να εντοπιστούν ή να αξιολογηθούν. Όμως ο πραγματικός κίνδυνος είναι στο software. Από εκεί θα προέλθουν οι μεγαλύτερες απειλές και εκεί πρέπει να εστιάσουν οι εταιρείες τα βασικά πλανά ασφαλείας τους. Όχι ότι δεν υπάρχει κίνδυνος από το hardware αλλά είναι σημαντικά μικρότερος από αυτόν που μπορεί να προέλθει μέσα από τη χρήση των προγραμμάτων. Οι πρακτικές αντιμετώπισης που χρειάζονται δεν διαφέρουν από όσα ισχύουν για το software.

    Υπάρχουν όμως απειλές και τρωτά σημεία ασφαλείας στα οποία πρέπει να αντιδράσουμε, δεν αρκεί η πρόληψη. Ποια είναι τα στοιχεία που πρέπει να δώσουμε προτεραιότητα σε τέτοιες περιπτώσεις;

Αποτροπή, ανίχνευση, απόκριση (prevent, detect, respond) είναι τα τρία στοιχεία της στρατηγικής που πρέπει να έχουμε. Παρόλα αυτά δίνεται μεγάλο βάρος στην αποτροπή και ανίχνευση και πολύ λιγότερη σημασία στην απόκριση. Κάνουμε λοιπόν όλες τις απαραίτητες διαδικασίες για αποτροπή και ανίχνευση μιας απειλής με firewalls, monitoring tools, anti-virus και άλλα εργαλεία. Τι γίνεται όμως όταν υπάρξει χτύπημα; Οι εταιρείες πρέπει να έχουν εξίσου επενδύσει και στα τρία στοιχεία της ασφάλειας, αλλιώς είναι σαν μια καρέκλα με το ένα πόδι κοντύτερο από τα άλλα. Και αυτό στην περίπτωση της απόκρισης σημαίνει να έχουμε πλάνο για το πώς θα αντιδράσουμε σε περίπτωση ενός συμβάντος. Να έχουμε προετοιμάσει το σύστημα αλλά και τους ανθρώπους, για να αντιμετωπίσουν το πρόβλημα και κυρίως να απαντήσουν με σχέδιο. Όταν ο WannaCry χτύπησε την Βρετανία, οι εργαζόμενοι σε ένα νοσοκομείο έπρεπε να κρατούν αρχεία χειρόγραφα για αρκετές ημέρες, αλλά ήταν προετοιμασμένοι για ένα τέτοιο ενδεχόμενο . Άρα η εκπαίδευση και προετοιμασία του ανθρώπινου παράγοντα για μια τέτοια περίπτωση είναι σημαντική στην αντιμετώπιση και την αντίδραση στην εισβολή.


H Jaya Baloo, CISO KPN Telecoms –
Global “Top 100 CISOs”, μας μιλάει για την εμπειρία της στον κόσμο της ασφάλειας και τα κρίσιμα σημεία που θα κερδίσουν τη μάχη ενάντια σε κάθε μορφής εισβολέα.

    Στη χώρα σας (Ολλανδία) την τελευταία πενταετία έχετε κάνει μεγάλα βήματα στην κατανόηση του προβλήματος της ασφάλειας. Ποια είναι τα πρώτα απαραίτητα βήματα που προτείνετε στους έλληνες εκπροσώπους των επιχειρήσεων για να κινηθούμε με ανάλογη ταχύτητα, έστω ξεκινώντας από σήμερα.

Όλα ξεκίνησαν και σε εμάς με μεγάλα περιστατικά ασφαλείας που είχαμε να αντιμετωπίσουμε και αυτά μας έδωσαν την ώθηση να προχωρήσουμε με αυτή την ταχύτητα. Η αλήθεια είναι πως ποτέ δεν αισθάνεσαι ότι είσαι εντάξει με την ασφάλεια, είναι ένας συνεχής αγώνας εξέλιξης και μόνο αν το κάνεις αυτό θα είσαι μπροστά από τις εξελίξεις. Πρέπει όμως να ξεκινήσεις κατανοώντας τι πρέπει να ασφαλίσεις και από ποιόν. Και πολλοί λίγοι οργανισμοί έχουν πλήρη εικόνα των πληροφοριακών και περιουσιακών στοιχείων τους, συνήθως δεν ξέρουν τι έχουν. Άρα ξεχάστε την προσπάθεια να βρείτε που πονάει το σύστημα και που πρέπει να βελτιωθεί και βάλτε προτεραιότητες, φτιάξτε έναν χάρτη με τα στοιχεία σας και δείτε την μεγάλη εικόνα. Όταν το κάνετε αυτό, τότε ψάξτε για τα σημεία που δείχνουν ευάλωτα από τα τμήματα των δεδομένων δικτύου ή της αλυσίδας εφοδιασμού που μπορείτε να βελτιώσετε. Όταν αναγνωρίσετε αυτές τις ευπάθειες προσπαθήστε να υπολογίσετε τον χρόνο που χρειάζεται για την αντιμετώπιση αυτών των σημείων. Αν λύσετε τα γνωστά σημεία του προβλήματος μετά μπορείτε να προχωρήσετε σε άλλα λιγότερο γνωστά σημεία. Μεγάλο μέρος του προβλήματος προέρχεται από την αδυναμία μας να εντοπίσουμε τις ευπάθειες του συστήματος και τις νέες απειλές. Έτσι πρέπει να κινούμαστε στο μέλλον, αναζητώντας τις απειλές και εκπαιδεύοντας τις ομάδες ασφαλείας μας σε μια διαρκή μάχη κατά των εισβολέων. Να αλλάξουμε τον τρόπο που βλέπουμε το πρόβλημα και να ανακαλύψουμε νέους τρόπους αντιμετώπισης. Αυτό είναι κρίσιμο για το μέλλον. Γιατί δεν πρόκειται να βρούμε αυτό που δεν αναζητούμε.

    Πως πιστεύετε πως θα επηρεάσει η εφαρμογή του GDPR τον παράγοντα της ασφάλειας;

Ο χώρος των τηλεπικοινωνιών ήταν πάντα δύσκολος, γιατί είχε αυστηρούς κανόνες και αυτό είναι καλό γιατί είναι συνηθισμένοι σε τέτοιες καταστάσεις και καταλαβαίνουν πως η συμμόρφωση είναι το ελάχιστο που πρέπει να κάνουν και είναι η βάση όχι το ταβάνι. Αν θέλεις να έχεις ασφάλεια πρέπει να κάνεις περισσότερα από απλά να είσαι συμμορφωμένος με τους κανόνες. Αυτό που φοβάμαι σχετικά με το GDPR και ίσως αυτό είναι το χειρότερο σενάριο, είναι πως οι εταιρείες θα το αντιμετωπίσουν σαν μια άσκηση επί χάρτου όπου θα κάνουν τα απαραίτητα, αλλά δεν θα βελτιώσουν την ασφάλεια. Γι αυτό πρέπει να πείσουμε τους υψηλά ιστάμενους στις εταιρείες να αντιμετωπίσουν την υλοποίηση του GDPR με μεγάλη σοβαρότητα και να την αναβαθμίσουν. Από την άλλη περιμένω κάποιες συμπληρωματικές οδηγίες ασφάλειας πάνω σε θέματα hardware αλλά και λογισμικού. Νομίζω ότι μας λείπει ακόμη ένα μεγάλο κομμάτι του πάζλ, γιατί αν συνεχίσουμε όλοι να χρησιμοποιούμε τα ίδια προγράμματα και τα ίδια παλιά πρωτόκολλα, δεν θα έχουμε ποτέ το αποτέλεσμα ασφάλειας που αναζητούμε.

    Πείτε μας για τους κβαντικούς υπολογιστές και τον τρόπο με τον οποίο πιστεύετε ότι θα επηρεάσουν την ασφάλεια στο μέλλον.

Υπάρχουν διάφοροι τύποι κβαντικών υπολογιστών και σε όλη την Ευρώπη εργάζονται πάνω στην εξέλιξή τους. Μεταξύ των εργαστηρίων που κάνουν έρευνα υπάρχουν διαφορετικά επίπεδα ωριμότητας και προόδου . Όσον αφορά τον τομέα της ασφάλειας, η ωριμότητα είναι χαμηλή. Δεν υπάρχει η εξέλιξη με τον τρόπο που την χρειαζόμαστε για να την εκμεταλλευτούμε στην ασφάλεια. Άλλωστε οι κβαντικοί υπολογιστές δεν πρόκειται να αντικαταστήσουν τους οικιακούς μας υπολογιστές. Η τεχνολογία τους είναι εκμεταλλεύσιμη σε πολύ συγκεκριμένα προβλήματα, δεν είναι υπολογιστικές συσκευές γενικής χρήσης. Ο τρόπος με τον οποίο θα αλλάξουν τη ζωή μας είναι συνάρτηση των προβλημάτων που θα μπορέσουν να λύσουν μόλις φτάσουν σε πλήρη ταχύτητα. Αυτά περιλαμβάνουν πραγματικά δύσκολα επιστημονικά προβλήματα που φιλοδοξούν να βελτιώσουν δραματικά την ποιότητα ζωής μας όπως την ξέρουμε.