Με επιτυχία, αλλά και εκπλήξεις, πραγματοποιήθηκε το Enterprise IT Security Conference της BOUSSIAS και του περιοδικού netweek, στις 17 Δεκεμβρίου 2009 στο συνεδριακό κέντρο Δαΐς.
Από τη αντίδραση, στη δράση
Keynote Speaker: Charles Cresson Wood
Ο Charles Cresson Wood, Technology Risk Management Consultant της InfoSecurity Infrastructure Inc., υπογράμμισε ότι η αντιμετώπιση της ασφάλειας θα πρέπει να περάσει από τη λογική της αντίδρασης, σε εκείνη της δράσης. Πώς; Μέσα από τον καθορισμό απαιτήσεων εκ των προτέρων. Το κριτήριο που θα πρέπει να καθοδηγεί τις απαιτήσεις ασφαλείας είναι το «μην κάνετε τίποτα, εκτός αν είναι απολύτως απαραίτητο».
Επιπρόσθετα, οι απαιτήσεις θα πρέπει να είναι ξεκάθαρες και εύληπτες από όλους τους εμπλεκόμενους ενώ ουσιαστική και κρίσιμη θα πρέπει να είναι η συμμετοχή της ανώτατης διοίκησης. Η ασφάλεια είναι κάτι που είναι υπερβολικά σημαντικό για να αποτελεί αποκλειστική ευθύνη των τεχνικών. Αρκεί να αναφέρουμε τις οικονομικές απώλειες -ή και τη χρεοκοπία- που έπονται ενός σοβαρού περιστατικού ασφαλείας. Εντυπωσιακά ήταν τα στοιχεία που ανέφερε ο C. C. Wood σχετικά με την απόδοση στην επένδυση (ROI) της ασφάλειας, η οποία εκτιμήθηκε μεταξύ του 100 και 1000%.
Μιλώντας για το μέλλον της ασφάλειας, ο C. C. Wood αναφέρθηκε σε εξελίξεις όπως η αυτοματοποιημένη συνομιλία μεταξύ πρωτοκόλλων ασφαλείας, χωρίς την εμπλοκή του ανθρώπινου παράγοντα (policy handshake). Βάσει του μοντέλου αυτού, ο χρήστης ορίζει άπαξ το επίπεδο της ασφάλειας που επιθυμεί ως προς διάφορες συναλλαγές του στο διαδίκτυο ενώ το ίδιο κάνει και κάθε ενδιαφερόμενος έμπορος-πάροχος υπηρεσιών μέσω διαδικτύου. Μετά, ο σχετικός μηχανισμός ασφαλείας επιτρέπει ή μπλοκάρει τη διεκπεραίωση της συναλλαγής ανάλογα με το αν πληρούνται αμοιβαίως οι προϋποθέσεις που έχουν ορίσει και οι δύο μεριές.
Οπως λένε και οι Ινδιάνοι για το πλέξιμο…
Στον ιστό της ζωής, τα πάντα συνδέονται μεταξύ τους. Η διατύπωση αυτή, την οποία ο C. C. Wood απέδωσε στον αρχηγό κάποιας φυλής Ινδιάνων, αποδεικνύεται επίκαιρη και σχετική στον τομέα της ασφάλειας της Πληροφορικής. Κοινό πρόβλημα αποτελεί ο κατακερματισμός της ασφάλειας και η έλλειψη μιας συνολικής θεώρησης.
Ο C. C. Wood υπογράμμισε την απόλυτη ανάγκη για μια ολιστική προσέγγιση της ασφάλειας, κάτι που οι Γερμανοί αποκαλούν χαρακτηριστικά «Gestalt.» Βασική προϋπόθεση του Gestalt είναι να ξεκινά κανείς με ένα γενικό σχεδιασμό της υποδομής ασφάλειας που επιθυμεί να δημιουργήσει και όχι να κάνει αποσπασματικές κινήσεις και τα μπαλώματα που αυτές επιτάσσουν στη συνέχεια. Η δεύτερη αυτή προσέγγιση στοιχίζει άλλωστε συνήθως 10 φορές περισσότερο απ’ ότι η πρώτη.
Παράλληλα, το IS δεν θα πρέπει να αντιμετωπίζεται σαν Project αλλά σαν πεδίο που μένει πάντα «ανοικτό» και όπου απαιτείται διαρκής εξέλιξη.
Jailer’s paradox
Αλλη μια αλληγορία την οποία χρησιμοποίησε ο C. C. Wood είναι το Παράδοξο του Φυλακισμένου, βάσει του οποίου η ζωή ενός φύλακα είναι πολύ δυσκολότερη από εκείνη ενός φυλακισμένου. Ενώ ο φυλακισμένος ψάχνει να βρει μία και μόνο δίοδο για να δραπετεύσει, έχοντας στη διάθεσή του όλο το χρόνο, ο φύλακας προσπαθεί αν προβλέψει όλους τους πιθανούς τρόπους απόδρασης, με περιορισμούς από χρονικής άποψης.
Αντίστοιχα, η δραστηριότητα του οργανωμένου εγκλήματος είναι συχνά πολύ πιο εξελιγμένου επιπέδου απ’ ότι εκείνη των υπεύθυνων για την ασφάλεια Πληροφορικής. Εννοείται δε ότι ο χρόνος, οι πόροι και τα κίνητρα που έχουν στη διάθεσή τους οι πρώτοι δεν συγκρίνονται με τα αντίστοιχα των δεύτερων.
Ο αδύναμος ανθρώπινος κρίκος και το μαύρο κουτί της ασφάλειας
Ο C. C. Wood αναγνώρισε ότι η ασφάλεια εξακολουθεί να βασίζεται και να εξαρτάται σε μεγάλο βαθμό από τον ανθρώπινο παράγοντα ο οποίος, με τη σειρά του, ευθύνεται (ηθελημένα αλλά και ακούσια) για ένα μεγάλο ποσοστό των περιστατικών ασφαλείας. Προσπαθώντας να εξηγήσει κάποια από τα αίτια, ο C. C. Wood ανέφερε ότι, ακόμα και οι έξυπνοι άνθρωποι, είναι συχνά αφελείς όσον αφορά κάποια θέματα ασφάλειας.
Επιπλέον, το όλο θέμα του IS συχνά είναι κάθε άλλο παρά αυτονόητο. Ως συγκεκριμένο τρόπο αντιμετώπισης της απειλής που αποτελούν οι ίδιοι οι χρήστες, ο C. C. Wood πρότεινε τον ανασχεδιασμό των προγραμμάτων κινήτρων. Μπορεί, για παράδειγμα, σήμερα ένας πωλητής να δελεάζεται να αποκαλύψει στον υποψήφιο πελάτη του εμπιστευτικά στοιχεία επειδή λειτουργεί με κίνητρο τη μεγιστοποίηση των πωλήσεών του. Αν όμως τα κίνητρα τού αναπροσαρμοστούν κατάλληλα, θα είναι μικρότερος ο πειρασμός και οι συνεπακόλουθοι κίνδυνοι όσον αφορά την ασφάλεια. Το σκοπό αυτό θα εξυπηρετούν και οι μηχανισμοί τύπου μαύρο κουτί προς χρήση σε περιβάλλοντα υψηλού ρίσκου. Τα «μαύρα κουτιά» θα κάνουν μια πλήρη καταγραφή των συμβάντων ώστε να μπορούμε να τσεκάρουμε τι ακριβώς ειπώθηκε ή έγινε πότε και από ποιον.
Επιπρόσθετα, δεδομένου ότι ο άνθρωπος είναι από τη φύση του επιρρεπής στα λάθη, σταδιακά θα διευρύνεται η χρήση των μηχανημάτων για να τσεκάρουν και να επιβλέπουν άλλα μηχανήματα. Για παράδειγμα, εφαρμογές ασφάλειας όπως τα firewalls μπορούν πλέον να προβαίνουν σε δυναμικό reconfiguration ανάλογα με το τι συμβαίνει στο διαδίκτυο -βάσει προκαθορισμένων, πάντα, κανόνων. Απαραίτητη προϋπόθεση για αυτοματοποιήσεις όπως η παραπάνω είναι η κατανόηση των σχετικών αναγκών. Για αυτό και κρίνεται επιτακτική η απλούστευση και η διευκρίνιση των απαιτήσεων εκ μέρους της διοίκησης και των υπεύθυνων διαχείρισης.
H ασφάλεια σε έναν κόσμο που αλλάζει
«Στο Παρίσι, ένα έγκλημα γίνεται κάθε 15 λεπτά. Στη Νέα Υόρκη, κάθε 3 ½ . Κάθε 2 ½ στο Τόκυο και ανά 2 λεπτά ένα έγκλημα λαμβάνει χώρα στο Βερολίνο. Στον κυβερνοχώρο, γίνεται ένα κάθε τέταρτο του δευτερολέπτου». Με αυτά τα στατιστικά στοιχεία ξεκίνησε την ομιλία του ο Security Consultant της Symantec Hellas, Χρήστος Βεντούρης, ο οποίος στη συνέχεια επεκτάθηκε στις διαφορές ανάμεσα στα κέρδη ενός πετυχημένου χάκερ (450.000 ευρώ) συγκριτικά με το μισθό ενός τεχνικού ΙΤ (18.000), καθώς και στην ανατομία του data breach.
Οπως τόνισε, είναι τρεις οι συνήθεις ύποπτοι: ο οργανωμένος εγκληματίας, ένας καλοπροαίρετος insider που από άγνοια ή ανοησία μπορεί να χάσει το USB stick του, να ξεχάσει κάπου το laptop του ή να στείλει mail σε λάθος άνθρωπο, και η τρίτη πιθανότητα είναι αυτή ενός θυμωμένου ή δυσαρεστημένου υπαλλήλου που ενδέχεται να διοχετεύσει πληροφορίες που δεν του ανήκουν. Το 2008, η Symantec σημείωσε 5.471 «ευαισθησίες», το 80% των οποίων ήταν εύκολα εκμεταλλεύσιμες, ωστόσο το 90% των περιστάσεων θα μπορούσε να είχε αποφευχθεί εάν τα συστήματα είχαν δεχθεί σωστό patching.
Επίσης, συγκριτικά με το 2008, τα δύο προηγούμενα έτη του 2006 και 2007 μοιάζουν πολύ πιο ασφαλή, καθώς πλέον υπάρχει πολύ μεγάλη αύξηση κλεμμένων αρχείων.
H Ηila Meeler, Security Market Development Director EMEA της CA, συμφώνησε με τον C. C. Wood σχετικά με την ανάγκη για αυτοματοποίηση των διαδικασιών ασφαλείας και για υποδομή που έχει τη δυνατότητα να εντοπίζει τα προβλήματα του δικτύου και να τα διορθώνει αυτόματα. Ως κρίσιμο στοιχείο για την εξέλιξη του ΙΜ και τη σύνδεση της τεχνολογίας με το business επεσήμανε τον καθορισμό ρόλων για τους χρήστες. Ο καθορισμός, αλλά και η διαρκής αναθεώρηση, των ρόλων θα πρέπει να γίνεται με τρόπο αυτόματο.
Τέλος, όπως επιβεβαιώνει και σχετική μελέτη της Forrester, προκειμένου η διαχείριση των ρόλων να λειτουργεί σωστά, θα πρέπει να ακολουθείται μία συνεχής προσέγγιση lifecycle management.
O Zion Zatlavi, Sales Engineer της RSA για την Ανατολική Μεσόγειο, μίλησε για τον καθοριστικό ρόλο της ασφάλειας στο νέο περιβάλλον του cloud computing. Απαραίτητη, στα νέα αυτά δεδομένα, είναι η διασφάλιση της ακεραιότητας της πληροφορίας και της ασφάλειας της virtual υποδομής. Τρεις βασικοί άξονες προς την κατεύθυνση αυτή είναι 1) η εξασφάλιση της ταυτότητας, 2) η διαχείριση αλλαγών και διάρθρωσης και 3) η εξασφάλιση της συμμόρφωσης και της προστασίας των δεδομένων. Απαραίτητες είναι ακόμα η κατανόηση του ρίσκου, η εξασφάλιση των virtualized περιβαλλόντων και η αύξηση της ασφάλειας.
Ο Ιωσήφ Ι. Ανδρουλιδάκης, Senior PBX Administrator στο Πανεπιστήμιο Ιωαννίνων, μίλησε για τις προϋποθέσεις ασφάλειας και κρυπτογράφησης που εγείρει η πρακτική της τηλεργασίας. Οι απειλές υποκλοπής δεδομένων αφορούν «τόσο τη χρήση οικιακών υπολογιστών, όσο και τη λαθρανάγνωση, καθώς και τη φυσική κλοπή κινητών, PDAs, CDs, DVDs, USB flash drives». Μέσα από ένα βίντεο-μελέτη που αποδεικνύει ότι η ram μνήμη μένει ενεργή για αρκετό χρόνο αφού κλείσει ο υπολογιστής,ο Ι. Ανδρουλιδάκης τόνισε τη σημασία της σωστής διακίνησης δεδομένων (όσο και της κρυπτογράφησης) και στα φορητά μέσα αποθήκευσης.
Λεπτές ισορροπίες
Keynote Speaker: Fred Piper
Ο Fred Piper, Καθηγητής στο Royal Holloway College του University of London, αναγνώρισε τον ανθρώπινο παράγοντα ως τρίτο παίκτη στο παιχνίδι μεταξύ business και τεχνολογίας που διαδραματίζεται στο «γήπεδο» της ασφάλειας. Ο ρόλος του παίκτη αυτού δεν αφορά μόνο την καλή άμυνα. Εξίσου σημαντικό, και καθόλου αυτονόητο, είναι και το να αποφεύγει τα «αυτογκόλ».
Ο F. Piper αναφέρθηκε σε ακραίες αντιδράσεις και λανθασμένες στρατηγικές όπως η απόφαση του βρετανικού Υπουργείου Αμυνας να αποσύρει όλα τα laptops μετά από την κλοπή ενός από αυτά. Εδωσε και κάποια παραδείγματα προς μίμηση, όπως αυτό της τράπεζας Barclays η οποία δημιούργησε μια καμπάνια ευαισθητοποίησης των υπαλλήλων της, τοποθετώντας στην έξοδο των γραφείων αφίσες με την ερώτηση-σύνθημα «Do you need to take this information home?».
Με τον τρόπο αυτό, ο προβληματισμός σχετικά με το ποιες πληροφορίες είναι απαραίτητο να βγουν από το χώρο των γραφείων τίθεται στο προσωπικό σε καθημερινή βάση. Μια πολιτική ασφαλείας θα πρέπει σε κάθε περίπτωση να διασφαλίζει τη συμμόρφωση με τους απαραίτητους κανονισμούς αλλά και να είναι φιλική προς το χρήστη.
Οι εργαζόμενοι θα πρέπει να μπορούν να κατανοούν πλήρως το νόημα μιας οδηγίας ώστε να την τηρούν. Κανόνες που είναι είτε πολύ δύσκολοι είτε ακατανόητοι, «αναγκάζουν» τους χρήστες να τους παραβούν. Η απόλυτη πρόκληση για κάθε επιχείρηση είναι να δημιουργήσει μια κουλτούρα ασφάλειας όπου όλοι αποδέχονται τη σημασία της ασφάλειας, την αναγνωρίζουν σαν προσωπική τους ευθύνη και αποδέχονται τη σχετική πολιτική.
Ασφάλεια, με μέτρο
Ο F. Piper εστίασε αρκετά στην έννοια της ισορροπίας και στο χαρακτηριστικό της ρόλο στον τομέα της ασφάλειας. Ισορροπία θα πρέπει να υπάρχει μεταξύ των ανθρώπων και της τεχνολογίας, αλλά και μεταξύ των περιορισμών της ασφάλειας και των απαιτήσεων του business. Θα πρέπει ακόμα να ζυγίζουμε το κόστος της ασφάλειας, με το κόστος της «ανασφάλειας». Το πρώτο συνίσταται στο κόστος αγοράς και διαχείρισης λογισμικού ενώ το δεύτερο στις άμεσες και έμμεσες απώλειες. Στόχος της επιχείρησης και του IS Manager θα πρέπει να είναι η ελαχιστοποίηση του αθροίσματος των δύο σκελών. Σε κυβερνητικό επίπεδο, ο F. Piper σχολίασε ότι θα πρέπει να τηρείται η ισορροπία μεταξύ των ατομικών δικαιωμάτων και της ανάγκης να «προστατεύουμε» την κοινωνία.
Τέλος, ισορροπία θα πρέπει να υπάρχει και μεταξύ θεωρίας και πράξης -ιδεολογίας και ρεαλισμού. Ο F. Piper έκανε έναν εύστοχο παραλληλισμό μεταξύ της οδικής ασφάλειας και της ασφάλειας του ΙΤ. Επεσήμανε ότι, εφόσον επιθυμούμε να μετακινούμαστε με ταχύτητα (δηλαδή με ρυθμό μεγαλύτερο των 0 χλμ. ανά ώρα, αναπόφευκτα θα σημειώνονται κάποια ατυχήματα.
Κι ενώ σε θεωρητικό επίπεδο όλοι επιθυμούμε και στοχεύουμε στον εκμηδενισμό των ατυχημάτων, η πλήρης εξάλειψη αυτών δεν θα αποτελούσε ρεαλιστικό στόχο. Ακόμα και αν σε επικοινωνιακό επίπεδο ισχυριζόμαστε το αντίθετο, θα πρέπει να αναγνωρίζουμε ότι η απόλυτη ασφάλεια ταιριάζει περισσότερο στη θεωρία παρά στην πράξη.
Η ισχύς εν τη ενώσει
Την ανάγκη για μια στενότερη σχέση μεταξύ του Business και της ασφάλειας επεσήμανε και ο Θεόδωρος Στεφανίτσης, Manager Enterprise Security της PricewaterhouseCoopers. Αυτό αποτελεί άλλωστε και έναν από τους βασικούς σκοπούς που στοχεύει να εξυπηρετήσει το Information Security Forum (ISF) του οποίου το ελληνικό παράρτημα εγκαινιάζει η PwC. Το ISF παρέχει, μεταξύ άλλων, εργαλεία και μεθοδολογία που είναι απαραίτητα για τη διαχείριση των κινδύνων Πληροφορικής ενώ τα μέλη του διευρύνουν τις γνώσεις τους αντλώντας από την αντίστοιχη εξειδίκευση και εμπειρία των υπόλοιπων μελών.
Αντίστοιχα, ο Νότης Ηλιόπουλος, μέλος του ελληνικού παραρτήματος του ISACA μίλησε για αυτό το δίκτυο επαγγελματιών για την ασφάλεια. Το ISACA βασίζεται, μεταξύ άλλων, στο COBIT ως πλαίσιο που βοηθά στη κατανόηση των κινδύνων και τη διασφάλιση των πληροφοριών. Παρόλο που δεν αποτελεί πανάκεια, καθώς δεν υπάρχει κάτι τόσο ολοκληρωμένο στην ασφάλεια πληροφοριών, το COBIT security περιέχει 44 δικλείδες ασφαλείας και συνδέει τους επιχειρηματικούς στόχους με τους IT στόχους για να παρέχει ένα πλαίσιο για σωστές πρακτικές.
Κάντε τον χάκερ «φίλο» σας
Keynote Speaker: Adrian Lamo
Ο χάκερ του συνεδρίου, Adrian Lamo, έπραξε… διαφορετικά από το αναμενόμενο ακόμα και τη μέρα του συνεδρίου. Καθώς οι ΗΠΑ του αρνήθηκαν το δικαίωμα εξόδου από τη χώρα όταν προσπάθησε να επιβιβαστεί στο αεροπλάνο για Αθήνα, ο Lamo έκανε την ομιλία του μέσω τηλεδιάσκεψης. Αυτό δεν τον απέτρεψε, όμως, να δώσει αναλυτικές απαντήσεις στις ερωτήσεις που του έθεσαν οι σύνεδροι. Κατ’ αρχάς μίλησε για τις εμπειρίες του ως πρώην χάκερ.
Τα δεδομένα σας έχουν ήδη συμβιβαστεί
Ο πρώην «grey hat hacker» που έγινε γνωστός για τις εισβολές του σε μια σειρά από υψίστης ασφάλειας δίκτυα εταιρειών όπως των New York Times, της Microsoft και της Citigroup, είπε ότι «το κίνητρο είναι τα χρήματα, η ιδεολογία και μερικές φορές ο εγωισμός», για να επιλέξει κανείς τη δίοδο του εγκλήματος στον κυβερνοχώρο.
Ο ίδιος τόνισε ότι δεν υπάρχει πλήρης ασφάλεια στο διαδίκτυο, «τα δεδομένα σας έχουν ήδη συμβιβαστεί» είπε σχετικά, καθώς η πλειοψηφία του διαδυκτιακού εγκλήματος οφείλεται στο γεγονός ότι οι πληροφορίες είναι εύκολο να ανιχνευθούν. «Εχουμε πολύ λιγότερο ιδιωτικό χώρο από αυτό που μας αφήνουν να πιστεύουμε. Στο μέλλον θα έχουμε πιο ασφαλή συστήματα αλλά αυτή η ανάγκη δημιουργίας τους απαιτεί νέα τεχνολογία». Το κοινό συμμετείχε με ερωτήσεις, μια εκ των οποίων ήταν το γιατί τα συστήματα είναι failure tolerant και όχι fail safe.
O A. Lamo σχολίασε ότι ο ίδιος ξεκίνησε το hacking με μεγάλη ευκολία και μη έχοντας περισσότερη πρόσβαση «από τον πιο καινούριο περιστασιακό υπάλληλο». Ανέφερε ότι τα δίκτυα που σχεδιάζονται με στόχο να μην δεχθούν επιθέσεις, υποφέρουν εν τέλει πολύ περισσότερο από όσα είναι προετοιμασμένα για ένα breach.
«Τα δίκτυα που στόχο έχουν να είναι απόλυτα ασφαλή, υποφέρουν πολύ χειρότερα από όσα είναι προετοιμασμένα. Το πρόβλημα είναι ότι οι IS Managers πρέπει να είναι πάντοτε σωστοί στις επιλογές τους, ενώ οι εισβολείς αρκεί να είναι σωστοί μόνο μία φορά».
Σκεφτείτε σαν χάκερ
Ο A. Lamo τόνισε ότι ανάμεσα στους πιο αδύναμους κρίκους διάρρευσης πληροφοριών είναι το χαμηλά αμειβόμενο προσωπικό των call centers, καθώς έχουν μεγάλη πρόσβαση σε πληροφορίες ενώ, όσον αφορά τις γνώσεις που ο ίδιος αποκόμισε από το hacking, σχολίασε ότι οι βασικές διαφορές είναι ότι ο χάκερ βρίσκει μόνος του τις πληροφορίες, ενώ οι άνθρωποι του ΙΤ τείνουν να έχουν εκπαιδευτεί και μορφωθεί με τον ίδιο τρόπο.
«Το καλύτερο πράγμα για τους IS Managers είναι να χτίσουν μια καλύτερη σχέση με την κοινότητα των χάκερ, οι οποίοι συνήθως δεν έχουν κακούς σκοπούς. Πάντα υπάρχουν αυτοί που απλώς θέλουν το γρήγορο χρήμα, αλλά αυτό ισχύει για κάθε επαγγελματικό χώρο. Για να αναπτύξεις ασφάλεια, άλλωστε, πρέπει να λάβεις πληροφορίες από όσο το δυνατόν περισσότερες πηγές και οι χάκερ διαθέτουν την ικανότητα να επεξεργαστούν προβλήματα τα οποία οι IS Managers δεν έχουν αντιμετωπίσει. Αυτό είναι κάτι που μπορεί να εξοικονομήσει χρόνο και χρήματα για όλους».
Οταν ρωτήθηκε ποια είναι τα στοιχεία τα οποία πρέπει να έχει κανείς υπόψη του για να καταλάβει εάν κάποιος έχει εισβάλει στο σύστημά του, ανταποκρίθηκε πως η καλύτερη λύση είναι η κοινή λογική. «Εάν παρατηρείτε δραστηριότητες σε λογαριασμούς που δεν είναι σύμφωνοι με το χρόνο ζώνης, ή που δεν σχετίζονται με τον χρήστη, εάν δείτε απόπειρες αναζήτησης πληροφοριών που δεν συγκλίνουν με την θέση εργασίας ή αναζητήσεις προσωπικών αρχείων, αυτές αποτελούν τις απλούστερες ενδείξεις».
Panel Discussion: Η θέση της Ελλάδας
Η ημερίδα έκλεισε με μια συζήτηση ανάμεσα στους διεθνείς ομιλητές Charles Cresson Wood και Fred Piper, με το συντονισμό του Γεράσιμου Μοσχονά, Υπεύθυνο Ασφάλειας Πληροφοριών του Ομίλου της Alpha Bank.
Στην ερώτηση τού σχετικά με το ποιες είναι οι καλύτερες πρακτικές για ασφάλεια, ο C. C. Wood αναφέρθηκε στα background checks. «Οι διαχειριστές συστημάτων και οποιοσδήποτε βρίσκεται σε θέση να παρέχει προνόμια για κάποιον άλλο ή να κάνει αλλαγές σε πολύτιμες και σημαντικές πληροφορίες – από τους υπαλλήλους, μέχρι τις εταιρείες outsourcing και τους προσωρινούς υπαλλήλους- όλοι πρέπει να περάσουν από εκπαίδευση σχετικά με το πόσο σημαντική είναι η ασφάλεια. Πρέπει να κατανοήσουν ότι είναι μέρος μιας ομάδας που παίζει έναν γιγαντιαίο ρόλο στην επιτυχία ή αποτυχία της ασφάλειας μιας εταιρείας. Πρέπει να κατανοήσουν ότι υπάρχει τίμημα εάν δεν είναι προσεκτικοί».
Ο καθηγητής Fred Piper σχολίασε ότι πρέπει να επεκταθεί η ασφάλεια καθώς τα passwords από μόνα τους δεν αρκούν, ενώ ότι τα biometrics επίσης μπορούν να προσφέρουν ένα ανώτερο επίπεδο ασφάλειας. Το κοινό του συνεδρίου συμμετείχε στο πάνελ θέτοντας ερωτήσεις. Μια εξ αυτών αφορούσε το πώς μπορούν να εμπιστευθούν τα τεστ συστημάτων χρησιμοποιώντας πραγματικές πληροφορίες.
Με την αμερικάνικη τεχνογνωσία του, ο C. C. Wood ανέφερε την αποστείρωση των πληροφοριών εκ των προτέρων, τη δημιουργία συνθηκών τυχαιότητας με άλλα προγράμματα, το φιλτράρισμα του περιεχομένου και, τέλος, τη νέα τεχνολογία του Enterprise Rights Management που επιβλέπει τα ενδεχόμενα διαρροών μέσα από την «περικύκλωση» των πληροφοριών με κρυπτογραφημένα προγράμματα. Η συζήτηση έκλεισε με θέμα την Ελλάδα και τα δικά της συστήματα.
Οπως είπε ο C. C. Wood, «συνεχώς ακούω ότι η Ελλάδα δεν είναι έτοιμη, ότι χρειάζεται περισσότερο χρόνο. Το θέμα όμως είναι ότι και εσείς εκτίθεσθε στους ίδιους κινδύνους. Επομένως πρέπει να αντιμετωπίσετε τα ηγετικά στελέχη της εταιρείας σας και να τους κάνετε να καταλάβουν πόσο σημαντική είναι η ασφάλεια. Μπορεί να ακούγεται προκλητικό, αλλά κάντε μπροστά τους ένα breaching test. Τις χρειάζεστε τις πολιτικές ασφάλειας. Δεν είναι προαιρετικές».
Συμπληρώνοντας, ο Fred Piper υπογράμμισε τα λεγόμενα του C. C. Wood λέγοντας ότι οι χάκερ αναζητούν πάντα τον πιο αδύναμο κρίκο. «Οι εισβολείς είναι έτοιμοι. Το διαδίκτυο είναι έτοιμο. Πρέπει και εσείς να ετοιμαστείτε».