Ο Sergey Novikov, Deputy Director, Global Research & Analysis Team της Kaspersky Lab μιλάει στο netweek για τους κυριότερους κινδύνους που απειλούν τις IT υποδομές σήμερα και δίνει χρήσιμες συμβουλές στους IT Managers.

netweek: Ποιοι πιστεύετε ότι είναι οι πιο σημαντικοί κρυμμένοι κίνδυνοι για ένα εταιρικό δίκτυο σήμερα;

Sergey Novikov: Μια τάση που παρατηρείται τον τελευταίο καιρό και η οποία έχει γίνει έντονη τελευταία είναι ότι οι δημιουργοί malware έχουν αλλάξει στόχους. Ετσι, από τους καταναλωτές και τους home users οι επιτιθέμενοι εστιάζουν τη δράση τους σε εταιρείες, οργανισμούς και κυβερνήσεις. Πλέον, για τους κυβερνοεγληματίες έχει πολύ μεγαλύτερο ενδιαφέρον να επιτεθούν σε συγκεκριμένους οργανισμούς και υπαλλήλους μέσα σε μια επιχείρηση. Οι πιο χαρακτηριστικές απειλές είναι οι λεγόμενες APT (Αdvanced Persistent threats), όπου μη εξουσιοδοτημένα άτομα αποκτούν πρόσβαση σε δίκτυα και παραμένουν σε αυτά κρυμμένα για μεγάλη χρονική περίοδο, χωρίς να ανιχνευτούν. Στόχος μιας επίθεσης APT είναι κυρίως η υποκλοπή δεδομένων, παρά η δημιουργία ζημιάς σε ένα δίκτυο ή σε έναν οργανισμό.

netweek: Και ποιες είναι οι πιο δύσκολες επιθέσεις που αντιμετωπίζει σήμερα ένας IT Manager;

Sergey Novikov: Οι πιο δύσκολες επιθέσεις είναι οι στοχευμένες που είναι παράλληλα και μοναδικές. Βέβαια, σε κάθε περίπτωση οι IT Managers γνωρίζουν ότι δεν μπορεί να υπάρχει μια προστασία100%. Ακόμα και αν έχουν τα καλύτερα συστήματα και λύσεις ασφαλείας, με προστασία σε πολλαπλά επίπεδα και με τη λήψη των απαραίτητων προληπτικών μέτρων. Σε καμία περίπτωση δεν μπορούν να πουν ότι είναι κατά 100% προστατευμένοι. Γιατί απλά αυτό είναι αδύνατο.

Από την άλλη, η δυσκολία με τις εξειδικευμένες επιθέσεις εντοπίζεται στο ότι είναι πράγματι μοναδικές. Επιχειρούν, πριν εξαπολυθούν, να αναγνωρίσουν την υποδομή και την περίμετρο, να εντοπίζουν ποιοι εργάζονται στην εταιρεία, τι προγράμματα έχουν εγκατασταθεί στους υπολογιστές των υποψήφιων θυμάτων κ.λπ. Συνδυάζοντας ευπάθειες zero day με τεχνικές social engineering, οι επιτιθέμενοι καταφέρνουν να εκμεταλλευτούν δύο παράγοντες, τον κοινωνικό και τον τεχνολογικό.

Αν με ρωτήσετε για το ποιος είναι ο αδύνατος κρίκος σε αυτήν την αλυσίδα, τότε θα σας απαντούσα με μεγάλη βεβαιότητα ότι είναι ο ανθρώπινος παράγοντας. Σίγουρα, για τα τεχνικά ζητήματα μπορούν να βρεθούν λύσεις, ωστόσο ο αποφασιστικός παράγοντας είναι ο ανθρώπινος. Γι’ αυτό και έχει μεγάλη σημασία να ευαισθητοποιηθούν οι υπάλληλοι μιας εταιρείας σε θέματα ασφαλείας. Αλλωστε, σήμερα, ο καθένας μπορεί να αποτελεί το θύμα μιας επίθεσης.

netweek: Συμφωνείτε ότι η προστασία είναι καλύτερη από τη θεραπεία;

Sergey Novikov: Φυσικά, σε κάθε περίπτωση. Αν μπορείς να κάνεις πολλά πράγματα για να προστατευτείς πριν ένα συμβάν, αυτό είναι πολύ καλό. Ωστόσο, όπως είπα και πριν, δεν υπάρχει 100% προστασία. Πάντα θα υπάρχει η πιθανότητα να λάβει χώρα στον οργανισμό σας μια επίθεση τύπου APT, οπότε θα χρειαστεί να γίνει η σχετική «θεραπεία». Μια καλή συμβουλή στην προκειμένη περίπτωση είναι να πηγαίνει κανείς μέχρι το τέλος και να αναλύει τα πάντα. Αυτό είναι πολύ σημαντικό. Αν μια επίθεση APT λάβει χώρα σε έναν οργανισμό μια δεδομένη χρονική στιγμή, τότε είναι πιθανό να συμβεί ξανά μετά από κάποιο συγκεκριμένο χρονικό διάστημα. Είναι σημαντικό να ξέρει κανείς τι συνέβη στην πρώτη επίθεση, ώστε να ελαχιστοποιήσει τα ρίσκα του, όταν δεχθεί ξανά επίθεση.

netweek: Ποιες είναι οι προτεραιότητες που ένας IT Manager θα πρέπει να θέσει, όσον αφορά τους μηχανισμούς προστασίας της IT υποδομής;

Sergey Novikov: Είναι δύσκολο να θέσει κανείς προτεραιότητες, ωστόσο μπορώ να δώσω στους IT Managers τρεις απλές συμβουλές. Καταρχάς, θα τους συμβούλευα να εκπαιδεύσουν τους υπαλλήλους και να αυξήσουν την ευαισθητοποίηση για την ασφάλεια μέσα στο οργανισμό τους. Αυτό κάνουμε, για παράδειγμα, στην Kaspersky Lab, καθώς πιστεύουμε ότι είμαστε μια πολύ γνωστή εταιρεία κατασκευής προγραμμάτων ασφαλείας και γι’ αυτό το λόγο μπορούμε να αποτελέσουμε στόχο.

Αυτό που κάνουμε, λοιπόν, στον οργανισμό μας είναι να διεξάγουμε συχνά εκπαιδεύσεις και σεμινάρια. Και να συζητάμε με τους υπαλλήλους μας. Ενα άλλο ζήτημα έχει να κάνει με την ταυτοποίηση του στόχου. Ποια είναι τα πρώτα θύματα; Ποιοι είναι εκείνοι μέσα σε ένα οργανισμό που θα μπορούσαν να δεχθούν επίθεση;

Οι μάνατζερ, για παράδειγμα, αποτελούν ένα πιθανό στόχο. Και αυτό διότι κατέχουν εμπιστευτική και ενδιαφέρουσα πληροφορία στους φορητούς υπολογιστές τους, διότι, συνήθως, έχουν πιο εύκολη πρόσβαση σε ευαίσθητα εταιρικά δεδομένα κ.λπ. Και ποια είναι τα άλλα υποψήφια θύματα; Σίγουρα όχι οι εργαζόμενοι στο τεχνικό τμήμα. Ισως οι εργαζόμενοι στο τμήματα προσωπικού, στο λογιστήριο, στο τμήμα μάρκετινγκ και στις πωλήσεις. Γιατί, απλά δεν διαθέτουν τις τεχνικές γνώσεις, ώστε να προφυλαχθούν από μια επίθεση.

Γι΄αυτό επαναλαμβάνω άλλη μια φορά ότι είναι σημαντικό να επενδύεις στην εκπαίδευση. Πρέπει όλοι να γνωρίζουν τι μπορούν να κάνουν και τι όχι. Mε απλά tips, όπως το να μην ανοίγουν emails από άγνωστους αποστολείς ή χρήστες. Να μην ανοίγουν attachments, να μην κάνουν κλικ σε ύποπτα links.Πρέπει όλοι οι εργαζόμενοι σε μια εταιρεία να είναι ευαισθητοποιημένοι σε θέματα ασφάλειας. Αυτό είναι σημαντικό.

Η δεύτερη συμβουλή έχει να κάνει με την ενσωμάτωση πολιτικών ασφαλείας. Πρόκειται για ένα μεγάλο θέμα που μπορεί να χωριστεί σε μικρότερα, όπως είναι ο καθορισμός σε τι μπορεί να αποκτήσει πρόσβαση ο καθένας, ποια επίπεδα πρόσβασης θα καθοριστούν. Σημαντικό είναι, επίσης, να ανανεώνονται οι πολιτικές ασφαλείας σε τακτά χρονικά διαστήματα.

Ο καθορισμός μιας πολιτικής ασφαλείας σήμερα δεν σημαίνει ότι αυτή θα είναι κατάλληλη και για αύριο. Χρειάζεται μια ανανέωση των πολιτικών ασφαλείας σε τακτά χρονικά διαστήματα. Χρειάζεται να επανεξετάζεις τι είναι αδύνατο και τι εφικτό για τους υπαλλήλους σου. Πρέπει να χρησιμοποιούν τα κοινωνικά δίκτυα; Πρέπει να χρησιμοποιούν τα instant messengers; Χρειάζεται να σκεφτεί κανείς με μεγάλη προσοχή τι μπορεί να επιτρέψει και τι όχι. Βέβαια, τα ζητήματα που σχετίζονται με την αύξηση της ασφάλειας μπορεί να μην προάγουν την επιχειρηματική δραστηριότητα.

Από την άλλη, αν σκεφτεί κανείς τους κινδύνους που υπάρχουν, αν συνειδητοποιήσει τις επιπτώσεις μιας επιτυχημένης επίθεσης, τότε τα προβλήματα που μπορούν να δημιουργηθούν μπορούν να είναι πολύ μεγαλύτερα από την όποια αρνητική επίδραση προκαλείται στην επιχειρηματική δραστηριότητα από τη λήψη αυστηρών μέτρων προστασίας. Η τρίτη συμβουλή που θα έδινα στους IT Managers είναι να ενσωματώνουν ενημερωμένες και αξιόπιστες λύσεις σε κάθε επίπεδο προστασίας.

Πρέπει να λαμβάνουν μέριμνα για τους σταθμούς εργασίας, τους servers, τα smartphones, τα tablets και τα laptops, πρέπει να προστατεύουν όλη την περίμετρο. Σήμερα, βιώνουμε μια πολύ ενδιαφέρουσα εποχή, όπου το mobility και το cloud έχουν την τιμητική τους. Γι΄αυτό οι IT Managers πρέπει να λαμβάνουν υπόψη τα προβλήματα ασφάλειας που αφορούν όλη την περίμετρο.

netweek: Η οικονομική κρίση οδηγεί τις εταιρείες να κάνουν περικοπές στα budgets τους. Πιστεύετε ότι αυτές οι περικοπές μπορούν να επηρεάσουν την πολιτική ασφαλείας που ακολουθεί μια Διεύθυνση Πληροφορικής και αν ναι, με ποιο τρόπο;

Sergey Novikov: Aν και δεν νομίζω ότι μπορώ να απαντήσω μια τέτοια ερώτηση, αυτό που ξέρω είναι ότι δεν έχουμε παρατηρήσει μια αξιοσημείωτη μείωση στα budgets που σχετίζονται με την ασφάλεια. Φαίνεται να υπάρχει μια περικοπή στα budgets του IT γενικότερα, αλλά όσον αφορά την ασφάλεια, δεν βλέπουμε κάτι αντίστοιχο. Και αυτό αποτελεί έναν καλό οιωνό, τόσο για εμάς, όσο και για ολόκληρη την αγορά γενικότερα.

Βέβαια, κατανοούμε την κατάσταση που υπάρχει σήμερα και αυτό που επιχειρούμε να κάνουμε από την πλευρά μας είναι να δίνουμε τη δυνατότητα στους πελάτες να επιλέγουν λύσεις που ταιριάζουν καλύτερα στις εκάστοτε ανάγκες τους. Τους δίνουμε τη δυνατότητα να επιλέξουν αν θέλουν μια βασική προστασία, αν θέλουν περισσότερο προχωρημένη προστασία ή τη μέγιστη δυνατή προστασία. Και τους προσφέρουμε πακέτα λύσεων για αυτές τις ανάγκες, από βασικές λύσεις έως πιο προχωρημένες. Πρόκειται για πακέτα που μπορούν να εφαρμοστούν βέλτιστα σε διαφορετικά είδη οργανισμών. Αυτή αποτελεί, κατά κάποιο τρόπο, την απάντηση μας στα μειωμένα, ένεκα της κρίσης, budgets.