Δεν αποτελεί μυστικό πως ο ανθρώπινος παράγοντας θεωρείται ως ένας από τους πλέον “αδύνατους” όσο και “εύθραυστους” κρίκους σε ότι έχει να κάνει με τον τομέα της ΙΤ ασφάλειας. Μάλιστα, τελευταία, δεν είναι λίγοι εκείνοι που ισχυρίζονται πως έφτασε το πλήρωμα του χρόνου να εφαρμοστεί μια εντελώς διαφορετική προσέγγιση, που θα μεταβάλει τον ρόλο και την βαρύτητα της εμπλοκής του ίδιου του χρήστη.
Πριν από ελάχιστους μήνες, το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) της Μεγάλης Βρετανίας προχώρησε σε μια κίνηση που ελάχιστοι -ενδεχομένως και κανένας, είναι αλήθεια- περίμενε. Για την ακρίβεια, (προσ)κάλεσε τους υπεύθυνους και τα εν γένει στελέχη των επιχειρήσεων που είναι επιφορτισμένοι με την παρακολούθηση και διατήρηση της ΙΤ ασφάλειάς τους να εγκαταλείψουν μια… κακή τους συνήθεια. Ποιας; Μα το να αποκαλούν τους χρήστες-υπαλλήλους των επιχειρήσεων και οργανισμών ως τους πλέον “αδύναμους κρίκους” σε ότι αφορά την συμπεριφορά τους που άπτεται της ΙΤ ασφάλειας στην καθημερινή πρακτική τους. Μάλιστα, τους προτείνει να τους αντιμετωπίζουν ως τον πλέον “ισχυρό κρίκο” και τον πιο σημαντικό τμήμα στην συνολικότερη άμυνα μιας εταιρείας ή οργανισμού. Όμως, δεν έμεινε σε αυτό, αλλά αντιθέτως τους προέτρεψε να σχεδιάσουν πολιτικές ασφαλείας που θα εργάζονται υπέρ και όχι εναντίον των εργαζομένων και υπαλλήλων τους, ενώ την ίδια στιγμή αυτοί θα πρέπει να θεωρούνται ως καίριας σημασίας κομμάτια προκειμένου η ΙΤ ασφάλεια να είναι λειτουργική και να λάβει “σάρκα και οστά”. ‘
Περίπλοκες διαδικασίες για ελάχιστα αξιοποιήσιμες λειτουργίες
Σε διεθνές επίπεδο ολοένα και πιο έντονα καταγράφεται το χαρακτηριστικό της σύγχυσης και μιας ευρύτερης ασάφειας εκ μέρους των υπαλλήλων των επιχειρήσεων σε ότι έχει να κάνει με την ακολουθούμενη πολιτική περί της εταιρικής ασφάλειας. Μάλιστα, πολλαπλασιάζονται τα μέλη ενός -άτυπου- “κινήματος” που ισχυρίζεται πως η ασφάλεια των πληροφοριακών συστημάτων κυριαρχείται από κανόνες και πολιτικές που τείνουν να έχουν διαμορφωθεί δίχως να λαμβάνουν υπόψη τους το γεγονός ότι η κύρια εργασία της συντριπτικής πλειοψηφίας των εργαζομένων κάθε επιχείρησης δεν έχουν κάποιου είδους σχέση με την ΙΤ ασφάλεια!
Παράλληλα, αποσπά σημαντικό τμήμα από τον χρόνο και την προσοχή των χρηστών-εργαζομένων, καθώς αυτοί καταβάλλουν φιλότιμες όσο και αγωνιώδεις προσπάθειες προκειμένου να συμμορφωθούν με τις προαναφερθείσες πολιτικές. Διαδικασία που όχι μόνο τους προκαλεί σύγχυση, αλλά τους αναγκάζει να αναζητήσουν εναλλακτικές λύσεις που χαρακτηρίζονται από ιδιαίτερα υψηλό ρίσκο. Την ίδια στιγμή, επηρεάζεται ως ένα βαθμό και το επίπεδο της παραγωγικότητας και της αποτελεσματικότητάς τους, κάτι που αποτυπώνεται στο… ταμείο της ίδιας της επιχείρησης.
Έτσι, λοιπόν, το NCSC σε μια ευρύτερη προσπάθεια επαναπροσδιορισμού και εφαρμογής μιας νέας προσέγγισης, πρότεινε την αλλαγή του σκεπτικού που διέπει τα εταιρικά passwords και την ευρύτερη πολιτική που τα διακρίνει. Συγκεκριμένα, προτρέπει τους οργανισμούς να εγκαταλείψουν τις πολύπλοκες όσο και αρκούντως απαιτητικές διαδικασίες, καθώς επίσης και την λογική των συχνών αλλαγών. Το μεν πρώτο ανάγει σε πραγματική… οδύσσεια της σωστή πληκτρολόγηση των εταιρικών passwords, ενώ αμφότερα δυσκολεύουν την διαδικασία να τα θυμάται κάποιος εργαζόμενος.
Αν μη τι άλλο, η κίνηση του Εθνικού Κέντρου Κυβερνοασφάλειας της Μεγάλης Βρετανίας καταδεικνύει μια προφανή αλλαγή σε ότι αφορά την κουλτούρα των επαγγελματιών της ΙΤ ασφάλειας, οι οποίοι μέχρι πρότινος πρότασσαν τις τεχνολογικές τους γνώσεις και όχι τα διαπροσωπικά “soft” skills τους. Πλέον, το διακύβευμα περί της ΙΤ ασφάλειας είναι το πώς επιτυγχάνεται η ομαλή διαχείριση του ρίσκου στον εργασιακό χώρο. Εξάλλου, το γεγονός ότι έχουν να συνεργαστούν τόσο στενά με τον ανθρώπινο παράγοντα -που αποτελεί και το σημαντικότερο περιουσιακό τους στοιχείο- θα πρέπει να τους ωθήσει να αναπτύξουν και να μετέλθουν μιας πιο προσιτής, ευέλικτης, όσο και πιο λειτουργικής λύσης διαχείρισης του ρίσκου. Πόσο, μάλλον, από τη στιγμή κατά την οποία ο τομέας της ΙΤ ασφάλειας διαπνέεται από μια κουλτούρα που χαρακτηρίζεται περισσότερο από την λογική του “command & control”.
Προσέγγιση 2.0!
Στον κόσμο των επιχειρήσεων κάθε σκέψη για αλλαγή αντιμετωπίζεται με καχυποψία, ενώ τέτοιου είδους προσπάθειες στην συντριπτική τους πλειοψηφία αποτυγχάνουν όταν οι εργαζόμενοι δεν τις πιστεύουν ή υποστηρίζουν. Πρωτίστως δε, απαιτείται σημαντική μεταβολή σε ότι έχει να κάνει με το όλο σκεπτικό και την αντίστοιχη νοοτροπία που τους διέπει. Στοιχεία άκρως απαραίτητα κατά την διαδικασία ανάπτυξης μιας καλύτερης όσο και αποδοτικότερης κατανόησης και του εντοπισμού των προβλημάτων. Σήμερα, για παράδειγμα, οι συνήθεις προσεγγίσεις περιλαμβάνουν όρους όπως είναι η εκπαίδευση αναφορικά με την επίγνωση και τον αυξημένο βαθμό προσοχής, το phishing κ.ά. προκειμένου να “βελτιώσουν” τους ίδιους τους χρήστες. Ωστόσο, η νέα σχολή σκέψης προκρίνει την βελτίωση και επίλυση των υφιστάμενων προβλημάτων, όπως λ.χ. το φαινόμενο της αύξησης του μέσου όρου ηλικίας του πληροφοριακού εξοπλισμού σε τέτοιο σημείο ώστε να καθίσταται αυτομάτως “ευάλωτος” ή τον περιορισμό του άγχους και της υπερβολικής καταπόνησης του ανθρώπινου δυναμικού, τα οποία με τη σειρά τους θα οδηγήσουν σε δραστική μείωση των λαθών.
Μιλώντας για αυτή τη νέα σχολή σκέψης, έλαβαν χώρα μια σειρά από μελέτες και έρευνες στον τομέα της ΙΤ ασφάλειας. Αυτές, κατέδειξαν δύο κύρια προβλήματα που είναι συνυφασμένα με την “παλαιότερη” προσέγγιση. Η πρώτη, ότι τα στελέχη περί της ασφάλειας των πληροφοριακών συστημάτων έχουν την τάση να εκλαμβάνουν τον χρόνο των χρηστών-εργαζομένων ως κάτι δίχως περιορισμούς και όρια, που είναι αποκλειστικά δικός τους και στην διακριτική τους ευχέρεια να την διαχειριστούν κατά το δοκούν! Το έτερο συμπέρασμα είναι πως ένα σημαντικό κομμάτι των συμβουλών για την ΙΤ ασφάλεια είναι περιττό…
Αρκεί να αναλογιστείτε το εξής: Πρόσφατα, ρωτήθηκαν 250 ειδήμονες περί της ασφάλειας των πληροφοριακών συστημάτων να προσδιορίσουν τα 3 κορυφαία tips για αυτήν. Συνολικά, παρήγαγαν 152 μοναδικές συμβουλές! Όπως επεσήμαναν στελέχη της αγοράς, το πρόβλημα βρίσκεται σε αυτό ακριβώς το σημείο και χαρακτηριστικό. Συγκεκριμένα, τα γεγονός ότι αυτοί που έχουν επιφορτιστεί με το βάρος να σχεδιάσουν μηχανισμούς ΙΤ ασφαλείας που στην πράξη απαιτούν ιδιαίτερο κόπο προκειμένου να εφαρμοστούν και αποδεικνύονται άκρως αναποτελεσματικοί αδυνατούν να συνεννοηθούν μεταξύ τους σχετικά με τις μεθόδους και πρακτικές που πρέπει να ακολουθηθούν.
Σεβασμός στον χρόνο,
το περιεχόμενο και στο τι κρίνεται ως σημαντικό Υπό αυτό το πρίσμα, τα στελέχη που ασχολούνται με την ασφάλεια των πληροφοριακών συστημάτων οφείλουν να μάθουν να σέβονται το γεγονός ότι ορισμένες φορές αυτό που σταθμίζουν ως σημαντικό κάποιοι είναι εντελώς διαφορετικό σε σχέση με ότι έχουν στο δικό τους μυαλό.
Ένα ακόμη στοιχείο που προσθέτει ένα επίπεδο πολυπλοκότητας έχει να κάνει με το γεγονός ότι τα ΙΤ συστήματα έχουν έντονο το “ανθρώπινο αποτύπωμα”. Από το Α έως και το Ω! Μάλιστα, όπως χαρακτηριστικά υποστηρίζεται, μπορεί πάντοτε ο ανθρώπινος παράγοντας να αποτελεί τον πλέον αδύναμο κρίκο, εντούτοις όμως αυτό δεν σημαίνει απαραίτητα πως “φωτογραφίζει” τους χρήστες, αλλά τους σχεδιαστές και κατασκευαστές των τεχνολογικών συστημάτων. Για αυτό και τελευταία δείχνει να κερδίζει… έδαφος η αντιμετώπιση της λειτουργίας της ΙΤ ασφάλειας οργανώνοντας αντίστοιχα το επίπεδο της εξυπηρέτησης και προσεγγίζοντας την υπόλοιπη εταιρεία με την λογική “βρισκόμαστε εδώ για να σας βοηθήσουμε να κάνετε ότι πρέπει με έναν ασφαλή τρόπο που παράλληλα ταιριάζει με τον βαθμό της ανοχής ρίσκου καθενός ξεχωριστά”.
Ένα ακόμη ζήτημα που προκύπτει συχνά-πυκνά στην επιχειρηματική καθημερινότητα έχει να κάνει με την έκδοση πολλαπλών “προειδοποιήσεων” αναφορικά με την ύπαρξη ή την εμφάνιση τεχνολογικών προβλημάτων τα οποία οι ίδιοι οι χρήστες αδυνατούν να επιλύσουν! Για παράδειγμα, αναλογιστείτε τι συμβαίνει με τις προειδοποιήσεις σχετικά με την έκδοση ποικίλων πιστοποιητικών. Η πλειοψηφία των χρηστών που καλούνται να τις αντιμετωπίσουν βλέπουν -μόλις- δύο επιλογές: Να προχωρήσουν ότι κι εάν συμβεί ή να εγκαταλείψουν την όποια προσπάθεια. Μάλιστα, συνήθως, επικρατεί η δύναμη της συνήθειας που… μεταφράζεται στο να αγνοούν κάθε προειδοποίηση ανεξαρτήτως του βαθμού σοβαρότητάς της! Για αυτό και ολοένα και περισσότερα στελέχη της αγοράς θεωρούν πως οι σχεδιαστές των πληροφοριακών συστημάτων, αλλά και της ΙΤ ασφάλειας συγκαταλέγονται μεταξύ όσων προκαλούν τα προβλήματα! Υποστηρίζουν δε, πως ο τελικός χρήστης δεν πρέπει να ψέγεται σε ορισμένες περιπτώσεις, καθώς η ευθύνη “βαραίνει” τον ίδιο τον κύκλο ζωής. Βέβαια, από το… κάδρο δεν λείπουν και αρκετοί κατασκευαστές που αντιμετωπίζουν τη νέα προσέγγιση ως ευκαιρία. Κι αυτό, καθώς εκτιμούν πως η τεχνολογία που διαθέτουν δύναται να προστατεύσει τις επιχειρήσεις από τους ίδιους τους χρήστες-υπαλλήλους της.
Υπάρχει… τρίτος δρόμος;
Στην όλη υπόθεση δεν λείπουν και όσοι είναι υπέρμαχοι μιας περισσότερο συγκαταβατικής προσέγγισης η οποία δείχνει να κινείται στο ενδιάμεσο των δύο κυρίαρχων -πλέον- σχολών σκέψης. Στο επίκεντρό της βρίσκεται η “χρυσή” ισορροπία. Τέτοια, ώστε από την μια πλευρά να εφαρμοστούν οι απαραίτητοι όσο και αναγκαίοι έλεγχοι και διαδικασίες ΙΤ ασφαλείας, και από την άλλη πλευρά οι χρήστες-εργαζόμενοι να κατανοήσουν και αντιληφθούν συνάμα τους λόγους για τους οποίους πρέπει να τους ακολουθήσουν, αλλά και γιατί είναι σημαντικοί. Εάν δε, αυτό αποδεικνύεται στην πράξη αδύνατο ή τους δυσκολεύει σε αφόρητο βαθμό την καθημερινή λειτουργία τους στους κόλπους του οργανισμού, τότε αμφότερες οι πλευρές θα πρέπει να συνεργαστούν προκειμένου να κατασταλάξουν στο κατάλληλο “μείγμα”.
Ένα ακόμη ζήτημα που συναντάται με μεγάλη συχνότητα στον κόσμο των επιχειρήσεων έχει να κάνει με την λογική και το πνεύμα από το οποίο διαπνέεται η διαδικασία της εκπαίδευσης. Κι αυτό, καθώς πολλές εταιρείες είναι προσκολλημένες στο… δόγμα του φόβου που θα οδηγήσει νομοτελειακά -περίπου- τον χρήστη να συμπεριφέρεται με τον κατάλληλο τρόπο και να ακολουθεί πιστά τις ανάλογες οδηγίες. Στον ίδιο λανθασμένο δρόμο κινείται και η εκπαιδευτική διαδικασία που καταδεικνύει στους χρήστες μια σειρά από κανόνες σχετικά με το τι δεν πρέπει να κάνουν! Αντιθέτως, οι ειδικοί περί του business coaching επιμένουν πως πρέπει να λέγεται στα στελέχη και τους εργαζομένους τι οφείλουν να κάνουν, εξηγώντας τους ταυτόχρονα την σημαντικότητά τους. Μάλιστα, επισημαίνουν πως αυτή η προσέγγιση συνήθως οδηγεί τους εμπλεκόμενους στο να αντιληφθούν και κατ’ επέκταση να εφαρμόσουν τις ανάλογες διαδικασίες, λειτουργίες ή ακόμη και εντολές. Χαρακτηριστικά, δεν λείπουν και όσοι κάνουν μια ευθεία αντιπαραβολή με την διαδικασία εκμάθησης της οδήγησης ενός αυτοκινήτου. Ουδείς δάσκαλος οδήγησης μαθαίνει στους μαθητές του πώς να αποφύγουν διαφορετικούς τρόπους σύγκρουσης του οχήματός τους! Πάντοτε είναι πιο ασφαλές όταν τους μάθουν να το οδηγούν υπακούοντας σε κανόνες και στην κοινή λογική.
Πόσο μπορεί να βοηθήσει η τεχνολογία;
Η σκέψη πως μια σειρά από τεχνολογικά επιτεύγματα νέας… κοπής, όπως λ.χ. η τεχνητή νοημοσύνη, το machine learning και η διαδικασία της αυτοματοποίησης θα μπορέσουν να επιλύσουν αποτελεσματικά τα όποια προβλήματα σχετίζονται με την ΙΤ ασφάλεια, περιορίζοντας στον μέγιστο βαθμό την επίδραση και εν γένει εμπλοκή των χρηστών φαντάζει ως ιδιαίτερα δελεαστική. Βέβαια, δεν έχετε παρά να αναλογιστείτε πως τα προαναφερθέντα αποτελούν δημιουργήματα των ίδιων των ανθρώπων, που χαρακτηρίζονται και (εν πολλοίς) επικρίνονται για τα λάθη τους!
Η λογική πως οι άνθρωποι τείνουν να εμπιστεύονται περισσότερο τις μηχανές έναντι του ανθρώπινου παράγοντα εκκινεί από εξίσου λανθασμένη βάση, καθώς οι ίδιοι άνθρωποι προγραμματίζουν τις εν λόγω μηχανές…
Ενδεχομένως η λύση να βρίσκεται στην τοποθέτηση τεχνικών λύσεων στα “ευαίσθητα” όσο και ευάλωτα τμήματα των ίδιων τω πληροφοριακών συστημάτων. Στο εγγύς μέλλον, το AI και το machine learning ενδέχεται να παράσχουν καινούριες λύσεις, αλλά και νέες απειλές, ωστόσο απαιτείται αρκετή προσπάθεια με την υφιστάμενη τεχνολογία που χρησιμοποιούμε σήμερα!