Μετά από τις συχνές επιθέσεις στις υποδομές IT μεγάλων εταιρειών και δημόσιων οργανισμών τα διοικητικά συμβούλια και οι διευθύνοντες σύμβουλοι απευθύνουν στα τεχνολογικά τους στελέχη την ερώτηση: «Μπορεί να συμβεί και σε εμάς;»
Σε μια εποχή που η αξία του περιεχομένου online αυξάνεται, που οι επιχειρησιακές στρατηγικές απαιτούν πιο «ανοικτά» περιβάλλοντα τεχνολογίας και οι «εισβολείς» έχουν συνεχώς περισσότερες δυνατότητες, οι επιθέσεις στις υποδομές IT είναι κάτι το αναπόφευκτο. Στην πραγματικότητα, μπορεί να έχουν ήδη συμβεί και η Διεύθυνση Πληροφορικής να μην το έχει αντιληφθεί. Αν και κάποιες ομάδες hackers παραδέχονται δημόσια τα «κατορθώματά» τους, προκαλώντας αμηχανία στα θύματά τους, κάποιοι άλλοι προσπαθούν συνεχώς να καλύψουν τα ίχνη τους.
Τα οργανωμένα «κυκλώματα» που εμπλέκονται σε διαδικτυακές απάτες δεν επιδιώκουν να «ενημερώσουν» τα θύματά τους ότι έχουν εξαπατηθεί. Γι’αυτό το λόγο η ερώτηση που θα πρέπει να απευθύνουν στους CIOs τα Διοικητικά Συμβούλια είναι η εξής: «Είμαστε έτοιμοι να αμυνθούμε σε μία online επίθεση;». Μία απερίσκεπτη «αντεπίθεση/άμυνα» θα μπορούσε να είναι πολύ πιο επιζήμια από την ίδια την επίθεση. Το αν οι πελάτες θα ακυρώσουν τους λογαριασμούς τους μετά από μία επίθεση, εξαρτάται τόσο από την ποιότητα της επικοινωνίας της εταιρείας, όσο και από τη σοβαρότητα της παραβίασης. Το πόση αξία καταστρέφεται/χάνεται από την απώλεια ευαίσθητων επιχειρησιακών δεδομένων εξαρτάται από την ικανότητα γρήγορης προσαρμογής των τακτικών αντιμετώπισης.
Δοκιμάζοντας την άμυνα
Εδώ και πολλά χρόνια οι ένοπλες δυνάμεις διεξάγουν «πολεμικά» παιχνίδια, για να δοκιμάσουν τις δυνατότητές τους, να ανακαλύψουν κενά στα σχέδιά τους και να βοηθήσουν τους ηγέτες στη λήψη αποφάσεων σε πραγματικό χρόνο. Σύμφωνα με έρευνα της McKinsey για τις ψηφιακές πρακτικές των εταιρειών, το 3% αυτών έχουν ήδη εισάγει «πολεμικές» πρακτικές για να εξασφαλίζουν την ετοιμότητά τους. Στην πραγματικότητα, η έμπνευση για πολλές τέτοιες προσπάθειες πηγάζει από τα «πολεμικά» παιχνίδια εθνικής ασφάλειας.
Ενα παιχνίδι κυβερνοπολέμου είναι πολύ διαφορετικό από τις παραδοσιακές δοκιμές διείσδυσης, κατά τις οποίες οι εταιρείες απασχολούν άμεσα ή έμμεσα επαγγελματίες hackers, που δουλειά τους είναι να βελτιώσουν την ασφάλεια ενός οργανισμού και να αναγνωρίσουν τεχνικές αδυναμίες, όπως τα «ανοιχτά» ports δικτύου ή τα εξωτερικά προγράμματα που μοιράζονται ευαίσθητες πληροφορίες μέσω του browser. Ενα τέτοιο παιχνίδι οργανώνεται γύρω από ένα επιχειρησιακό σενάριο (όπως οι online εισβολείς χρησιμοποιούν την τακτική «spear phishing» στοχεύοντας σε πελάτες «υψηλής αξίας») και είναι δομημένο έτσι ώστε να προσομοιώνει μία πραγματική ψηφιακή επίθεση. Οι συμμετέχοντες λαμβάνουν ελλιπείς πληροφορίες και πολλές φορές οι στόχοι τους δεν είναι ξεκάθαροι.
Η «προσομοίωση» αυτή είναι διατμηματική και περιλαμβάνει συμμετέχοντες, όχι μόνο από τον τομέα IT, αλλά και από τμήματα ανάπτυξης εφαρμογών, τεχνολογικής υποδομής, εξυπηρέτησης πελατών, μάρκετινγκ, διακυβέρνησης και εταιρικής επικοινωνίας. Το παιχνίδι κυβερνοπολέμου διαρκεί συνήθως λίγες ημέρες, αλλά απαιτεί εκ των προτέρων ανάλυση των στοιχείων και των πιθανών αδυναμιών ασφαλείας, ώστε το σενάριο να είναι αληθοφανές. Οι «ασκήσεις» συνήθως δεν επηρεάζουν την παραγωγικότητα των συστημάτων, αφού πολλές από τις ψηφιακές επιθέσεις αποτελούν απλά «επιτραπέζιες» ασκήσεις.
Το πιο σημαντικό είναι ότι μία τέτοια επίθεση ελέγχει για αδυναμίες σχετικά με την ικανότητα έγκαιρης αντίδρασης μιας εταιρείας, απαντώντας σε ερωτήματα σχετικά με τις δυνατότητες που χρειάζονται για μία επιτυχή αντίδραση, όπως:
• Θα εντοπίσει η ομάδα ασφαλείας εγκαίρως την παραβίαση; Ενας οργανισμός βρήκε ότι οι διαδικασίες που χρησιμοποιούσε η ομάδα ασφαλείας βασιζόταν εξ ολοκλήρου στο e-mail και στα άμεσα μηνύματα. Η ικανότητα λοιπόν του οργανισμού να «απαντήσει» σε επιθέσεις που αφορούν αυτά τα συστήματα θα ήταν περιορισμένη.
• Η ομάδα θα πάρει αποτελεσματικές αποφάσεις, ώστε να περιορίσει την παραβίαση; Μία εταιρεία ανακάλυψε ότι δεν διέθετε λειτουργικές οδηγίες για να διακόψει τμήματα της εργασίας, με αποτέλεσμα ανώτερα στελέχη να ζητούν από την ομάδα ασφαλείας να διακόψει τις εξωτερικές συνδέσεις χωρίς λόγο και επομένως να εμποδίζεται η πρόσβαση των πελατών στους λογαριασμούς τους.
• Η ομάδα θα επικοινωνήσει αποτελεσματικά την παραβίαση στους μετόχους; Σε ένα χρηματοπιστωτικό ίδρυμα, μια δοκιμή ασφαλείας απέδειξε ότι οι οδηγίες δεν είχαν διαφοροποιηθεί για την επικοινωνία με τους εκάστοτε πελάτες, των οποίων τα δεδομένα είχαν παραβιαστεί. Ως αποτέλεσμα, μεγάλης αξίας πελάτες θα είχαν λάβει ένα εντελώς απρόσωπο ενημερωτικό e-mail.
• Μπορεί η εταιρεία να προσαρμόσει τις επιχειρησιακές στρατηγικές και τακτικές μετά από μία παραβίαση; Σε μία κατασκευαστική εταιρεία, μια επίθεση αποκάλυψε ότι οι διευθυντές επιχειρήσεων δεν είχαν σκεφτεί σε βάθος το τι θα έκαναν αν οι ανταγωνιστές ή οι αντισυμβαλλόμενοι αποκτούσαν πρόσβαση σε ευαίσθητες πληροφορίες κι έτσι δεν μπόρεσαν να αλλάξουν τις στρατηγικές διαπραγμάτευσης μετά την αποκάλυψη των πληροφοριών σχετικά με τη διάρθρωση του κόστους τους.
Τα κέρδη των δοκιμών ασφαλείας
Τα παιχνίδια κυβερνοπολέμου προσφέρουν εκτενή πληροφόρηση για τα ευάλωτα σημεία σε μια υποδομή που απαιτούν προστασία, αποκαλύπτουν αδυναμίες στην ασφάλεια -που οι εισβολείς μπορεί να εκμεταλλευτούν- και αδυναμίες σχετικά με την αντίδραση μιας εταιρείας στις ψηφιακές επιθέσεις.
Η ανάλυση που απαιτείται για την ανάπτυξη σχετικών με τις ασκήσεις ασφαλείας σεναρίων διευκολύνει επίσης και τη συζήτηση μεταξύ διευθυντών και στελεχών ασφαλείας, σχετικά με τους κινδύνους και τι είδους πληροφορίες είναι πιο σημαντικές, ποιος θα ήθελε να διακινδυνεύσει αυτές τις πληροφορίες και ποιες θα μπορούσαν να είναι οι επιπτώσεις μίας επίθεσης σε σχέση με την απώλεια πνευματικής ιδιοκτησίας, την απώλεια μιας καλής φήμης, τη διακοπή των δραστηριοτήτων ή την απάτη. Αυτές οι πληροφορίες δεν είναι πάντα ξεκάθαρες.
Για παράδειγμα, ένας δημόσιος οργανισμός βρήκε πως είχε δοθεί περισσότερη μέριμνα στο να αποκρούονται οι online επιθέσεις, παρ’ όλο που ο μεγαλύτερος κίνδυνος ήταν η απώλεια εμπιστοσύνης εκ μέρους των πελατών, που θα ακολουθούσε μία «δημόσια» παραβίαση. Παρομοίως, η ανάλυση που απαιτείται για να εξασφαλιστεί ότι τα σενάρια είναι ρεαλιστικά μπορεί να υπογραμμίσει τους σημαντικότερους κινδύνους για την ασφάλεια. Για παράδειγμα, μία χρηματιστηριακή εταιρεία ανακάλυψε ότι οι περισσότερες ευαίσθητες πληροφορίες της φιλοξενούνταν σε εφαρμογές που δεν είχαν υποβληθεί σε έλεγχο ασφαλείας και χρησιμοποιούσαν ξεπερασμένους τρόπους για την ταυτοποίηση των χρηστών.
Διεξάγοντας παιχνίδια κυβερνοπολέμου
Οι περισσότερες επιχειρήσεις μπορούν να οργανώσουν και να διεξάγουν ένα παιχνίδι κυβερνοπολέμου σε περίπου 6-12 εβδομάδες, με διαχειρήσιμες επιπτώσεις στην ασφάλεια, την τεχνολογία και τον χρόνο των manager. Το πρώτο βήμα είναι ο προσδιορισμός του πεδίου εφαρμογής και των στόχων, συμπεριλαμβανομένων των σεναρίων που θα ενσωματωθούν στην επίθεση, πόσο περίπλοκες θα είναι οι ασκήσεις που θα γίνουν και πόση συμμετοχή απαιτείται από κάθε τομέα. Ετσι δημιουργούνται τα πιθανά σενάρια, λαμβάνοντας υπ’ όψιν ζωτικής σημασίας πληροφορίες και στοιχεία, τους «εισβολείς» που θα ήθελαν να τα θέσουν σε κίνδυνο, αλλά και οποιαδήποτε άλλα τρωτά σημεία της ασφάλειας.
Μετά την επιλογή των σεναρίων οι υπεύθυνοι εντοπίζουν τις αστοχίες που πρέπει να εξεταστούν και δημιουργούν μία σειρά βημάτων που πρέπει να ακολουθήσει ο μεσολαβητής κατά τη διάρκεια του παιχνιδιού. Οι διαδικασίες μπορεί να διαρκέσουν από μία μέρα έως μία εβδομάδα ή και περισσότερο, ανάλογα με την πολυπλοκότητα του σεναρίου. Κατά τη διάρκειά τους, οι μεσολαβητές θα παρέχουν στους συμμετέχοντες συνεχή ενημέρωση και νέες πληροφορίες, ενώ τα καινούρια στοιχεία που λαμβάνουν εξαρτώνται από τα βήματα που ακολουθούν. Το τελευταίο και πιο σημαντικό κομμάτι παίρνει τα αποτελέσματα που προέκυψαν και τα μετατρέπει σε βήματα που πρέπει να γίνουν για να βελτιωθεί η ικανότητα μίας επιχείρησης να αντιδράσει σε μία επίθεση (όπως υιοθέτηση εργαλείων που αυξάνουν την ικανότητα πρόβλεψης μιας επίθεσης).
Επιπλέον, αναπτύσσουν οδηγίες για τη λήψη σημαντικών αποφάσεων υπό πίεση ενώ δημιουργούν και πρωτόκολλα επικοινωνίας που μπορούν να χρησιμοποιηθούν άμεσα όταν χρειαστεί. Η διεξαγωγή ενός παιχνιδιού κυβερνοπολέμου που εξετάζει την ικανότητα μιας επιχείρησης να διαχειριστεί μία επίθεση, απαιτεί προσπάθεια και προσεκτικό σχεδιασμό. Παρ’ όλα, αυτά είναι ένας αποτελεσματικός μηχανισμός για να προσδιοριστούν οι προτεραιότητες μιας εταιρείας, να ανακαλυφθούν οι αδυναμίες και τα τρωτά της σημεία και να χτίσει μια μορφή «muscle memory» που χρειάζεται για να ληφθούν οι σωστές αποφάσεις σε πραγματικό χρόνο και με περιορισμένη πληροφόρηση.