Enterprise IT Security Conference: “Θωρακίζοντας” τους οργανισμούς, στην οικονομία των data

Στο πλαίσιο του διήμερου συνεδρίου Enterprise IT Security Conference, Έλληνες και διεθνείς CIOs και CISOs κατέδειξαν την ανάγκη ξεκάθαρης επικοινωνίας μέσα από μια κοινή, μη-τεχνική, γλώσσα με τα μέλη του Διοικητικού Συμβουλίου των οργανισμών τους, προκειμένου να γίνεται σαφής η ανάγκη προστασίας και η κοινή λήψη στρατηγικών αποφάσεων γύρω από την ασφάλεια δεδομένων.

Το διήμερο συνέδριο Enterprise IT Security Conference 2015, το οποίο πραγματοποιήθηκε στις 16 και 17 Φεβρουαρίου από το netweek και την BOUSSIAS, παρακολούθησαν πάνω από 150 υψηλόβαθμα στελέχη επιχειρήσεων, Διευθυντές Πληροφορικής και ειδικοί στην ψηφιακή ασφάλεια. Οι εργασίες του συνεδρίου άνοιξαν την πρώτη μέρα με τέσσερα εξειδικευμένα σεμινάρια (Pre-Conference Expert Sessions) σε θέματα ασφάλειας δεδομένων, ενώ η επίσημη έναρξη έγινε την επόμενη μέρα με χαιρετισμούς των Μιχάλη Σαμιωτάκη, Πρόεδρο του ISACA Athens Chapter, Κρικόρ Μαρουκιάν, Πρόεδρο του itSMF Hellas και Κώστα Παπαδάτο, Πρόεδρο του ISC2 Hellenic Chapter. Στο Συνέδριο συμμετείχε πλειάδα ομιλητών διεθνούς φήμης και διακεκριμένων ελλήνων ειδικών σε θέματα ασφάλειας. Από τις παρουσιάσεις αναδείχθηκε ο στενά συνυφασμένος ρόλος που καλείται να παίξει η ψηφιακή ασφάλεια και η αντίστοιχη στρατηγική ενός οργανισμού στη διασφάλιση της συνολικής εταιρικής αξίας και την επίτευξη υψηλότερης ανταγωνιστικότητας, μέσα από συγγενή στρατηγικά πλεονεκτήματα.

Κουλτούρα και αμυντική στρατηγική
Η Vicki Gavin, Compliance Director, Head of Business Continuity & Information Security στο Economist Group, ανέπτυξε τη μεθοδολογία της στη διαμόρφωση μιας εσωτερικής κουλτούρας για την ασφάλεια δεδομένων σε όλο το Economist Group, με έξυπνο σχεδιασμό, επικοινωνιακή στρατηγική και συμμετοχή του Διοικητικού Συμβουλίου εξαρχής. Στον αντίποδα της αμυντικής στρατηγικής τάχθηκε ο Carles Solé, CISO της LaCAIXA Bank (τρίτη μεγαλύτερη τράπεζα στην Ισπανία), ο οποίος σκιαγράφησε τις ανεπτυγμένες τεχνικές υποδομές και τεχνολογίες αιχμής που υλοποιεί η τράπεζά του, προκειμένου να αντιμετωπίσει τις επιθέσεις από τον κυβερνοχώρο.

Κάνοντας μια τομή στη στρατηγική που ακολουθεί η Royal Philips, ο Claude Vandelle, Senior Director Identity, Access and Security του οργανισμού, έδωσε μια συνοπτική εικόνα του πώς το τμήμα του παρακολουθεί τις εισερχόμενες επιθέσεις από τον κυβερνοχώρο, μαθαίνει τον τρόπο και τα βήματα που ακολουθούν οι επιτιθέμενοι και διαμορφώνει τις αλληλουχίες των κινήσεων των επιτιθέμενων. Με αυτόν τον τρόπο, όταν μια επίθεση βρίσκεται στα αρχικά της στάδια, ο οργανισμός είναι σε θέση να εφαρμόσει αντίμετρα, τα οποία μπερδεύουν τον επιτιθέμενο και αποσυντονίζουν την επίθεση πριν βρει το στόχο της.

Ο Χρήστος Βιδάκης, διευθυντής στο τμήμα Risk Consulting και Forensic Technology της KPMG, αναφέρθηκε στο μοντέλο προσομοίωσης για την κυβερνοασφάλεια που χρησιμοποιεί η KPMG παγκοσμίως, αναδεικνύοντας τις σύγχρονες διαστάσεις του cyber crime. Παράλληλα, κατέδειξε τους τρόπους που μπορεί να διεισδύσει ένας κακόβουλος χρήστης, χρησιμοποιώντας απλά, φθηνά και προσιτά μέσα, εκμεταλλευόμενος, παράλληλα, και τον ανθρώπινο παράγοντα ως αδύναμο κρίκο στην αλυσίδα ασφάλειας ενός οργανισμού.

Privacy by Design
Ο Ramses Gallego, Σύμβουλος Στρατηγικής και Ασφάλειας της Dell Software και Διεθνής Αντιπρόεδρος του ISACA, έκανε μια παραστατικότατη παρουσίαση του τρόπου που αντιλαμβάνεται ο ίδιος την αλλαγή ως το μόνο πραγματικά σταθερό μέγεθος στο χώρο της Πληροφορικής και της τεχνολογίας, όπου το χθες, το σήμερα και το αύριο συναντιούνται στο τώρα, εκεί που η προσαρμοστικότητα και η ευκολία στην απορρόφηση του νεωτερισμού ξεχωρίζει τον «πρώτο» από τον τελευταίο.

Ο Ramses Gallego ανέπτυξε, επίσης, τη θεωρία του για το Privacy by Design, σύμφωνα με την οποία η ιδιωτικότητα των χρηστών θα πρέπει να είναι βασικό μέλημα στο σχεδιασμό των εφαρμογών, ιδίως αυτών που «τρέχουν» σε φορητές συσκευές και παρέχουν συνεχή πληροφόρηση για τους χρήστες (continuous profiling) όπως για παράδειγμα το geolocation, σε τρίτους για μη- διαφανείς σκοπούς. Στο ίδιο μήκος κύματος κινήθηκε ο Axel Eissens, Senior Consultant του Software Improvement Group, ο οποίος ανέδειξε τη σημασία της υιοθέτησης βέλτιστων πρακτικών στον εξαρχής σχεδιασμό ανάπτυξης λογισμικού, προκειμένου οι τελικές εφαρμογές να αποδίδουν το μέγιστο επίπεδο χρηστικότητας, αποδοτικότητας αλλά και ασφάλειας.

Ασφάλεια παντού
Ο Αlain Pannetrat, Senior Researcher του Cloud Security Alliance, ανέφερε τις εξελίξεις που έχουν σημειωθεί στον χώρο της ασφάλειας των δεδομένων και των εφαρμογών σε περιβάλλον cloud και σημείωσε ότι υπάρχουν πλέον δυνατότητες και εργαλεία, που επιτρέπουν στον οργανισμό/χρήστη υπηρεσιών να διενεργεί έλεγχο αναφορικά με τα επίπεδα διαθεσιμότητας, ασφάλειας, κανονιστικών διατάξεων κλπ., στο πλαίσιο του ισχύοντος Service Level Agreement (SLA).

Η Μίνα Ζούλοβιτς, Partner Lawyer at Filotheidis & Partners Law Firm, ξεδίπλωσε το νομικό καθεστώς που διέπει την προστασία των δεδομένων, είτε αυτά βρίσκονται σε μια φορητή συσκευή είτε σε μία υπηρεσία στο cloud και κατέδειξε τις ασφαλιστικές νομικές δικλείδες που πρέπει να έχει ένας οργανισμός που τηρεί ή μεταφέρει δεδομένα σε διάφορες χώρες ή περιοχές του πλανήτη. O Άγγελος Κιαγιάς, επίκουρος καθηγητής, στο τμήμα Πληροφορικής & Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών στο θέμα της ασφάλειας σε περιβάλλοντα cloud, έκανε μνεία της ελλιπούς τήρησης βασικών κανόνων ασφάλειας από τους αντίστοιχους παρόχους, είτε λόγω αδυναμιών στον σχεδιασμό είτε λόγω εκχώρησης δεδομένων και προσβάσεων σε τρίτους για διαφημιστικούς ή ακόμη και λόγους εθνικής ασφάλειας – πράγμα που, εντέλει, διακυβεύει την ασφάλεια των εταιρειών και προσωπικών δεδομένων, τα οποία, σε όλο και μεγαλύτερο ποσοστό αποθηκεύονται, πλέον, στο cloud.

Αναφερόμενος στο Internet of Things (IoT), ο Δρ. Θεόδωρος Στεργίου, Security Solutions Product Manager & Cloud Security Officer της Intracom Telecom, τόνισε τη σημασία που θα έχει αυτή η ραγδαία ανάπτυξη του machine-to-machine (M2M) communication, τις χρηστικές δυνατότητες, αλλά και τους αυξημένους κινδύνους του νέου αυτού περιβάλλοντος. Ο Συμεών Καλαματιανός, Διευθυντής στο Τμήμα Συμβουλευτικών Υπηρεσιών Διοίκησης και Διαχείρισης Τεχνολογικών Κινδύνων της KPMG, παρουσίασε στοιχεία από την έρευνα CBS 2013 της KPMG, η οποία αναφέρει ότι η αγορά για το IT Outsourcing και το Business Process Outsourcing (μεγάλο μέρος των οποίων αφορά υλοποιήσεις σε περιβάλλον cloud) αυξάνει κατά 5% ετησίως.

Επιπλέον, σημείωσε τη δυνατότητα που έχει ένας cloud-enabled οργανισμός να αξιολογεί τις παρεχόμενες υπηρεσίες του παρόχου cloud, μέσω του Service Organization Center (SOC) Reporting. Από την άλλη πλευρά, ο Δρ. Ευάγγελος Ουζούνης, Head of Secure Infrastructure & Services Unit του ENISA (European Network and Information Security), παρουσίασε τις δράσεις και τις πρωτοβουλίες που παίρνονται σε ευρωπαϊκό επίπεδο για τη διασφάλιση των δεδομένων, των υπηρεσιών, αλλά και των κρίσιμων υποδομών, μιας και όλα τα ανωτέρω αποτελούν στόχους επιθέσεων σε αληθινά σενάρια κυβερνοπολέμου.

Ο Λεωνίδας Τερτίπης, IT Governance Senior Consultant της Priority, επισήμανε τη βαρύτητα στην υιοθέτηση διεθνών προτύπων και πρακτικών (best practices) – ιδίως στο σημερινό περιβάλλον όπου η έλλειψη επαρκούς χρηματοδότησης στον τομέα της ψηφιακής ασφάλειας καθιστά πολύ πιο κρίσιμη την επιλογή των κατάλληλων εργαλείων για τη διαμόρφωση μιας συνολικής προσέγγισης στη στρατηγική ασφάλειας ενός οργανισμού. Ο Δρ. Βασίλης Βλάχος, καθηγητής εφαρμογών στο τμήμα Μηχανικών Πληροφορικής Τ.Ε., στο ΤΕΙ Λάρισας, έδωσε μια πλήρη εικόνα των «εργαλείων» που έχουν, πλέον, στη διάθεσή τους οι cyber-attackers κάθε είδους και κάθε επιπέδου. Με δεδομένο το γεγονός ότι στον κυβερνοπόλεμο οι αμυνόμενοι βρίσκονται σε ασυμμετρία δυνάμεων με τους επιτιθέμενους, ο Δρ. Βλάχος ανέδειξε τη σημασία της πολυεπίπεδης συνεργασίας ώστε η αμυντική γραμμή να γίνει ισχυρότερη και αποτελεσματικότερη.

Οι «δύσκολες» επιθέσεις
Ο Πάνος Δημητρίου, Chief Technology Officer της Encode, κατέδειξε με τη σειρά του τη δυσκολία αντιμετώπισης των Advanced Persistent Threats (APTs), όπου οι επιτιθέμενοι «διαβάζουν» την άμυνα ενός οργανισμού για μακρύ χρονικό διάστημα και κατόπιν εισέρχονται μέσα από ένα αδύναμο σημείο του τείχους προστασίας και λειτουργούν εντός της περιμέτρου του δικτύου, απομυζώντας τα δεδομένα που τους ενδιαφέρουν χωρίς, να γίνουν αντιληπτοί. Πολλές φορές ο «εχθρός» είναι μέσα στην ίδια την επιχείρηση, όταν κάποιος για οποιουσδήποτε λόγους – με αμέλεια ή δόλο – διενεργεί μια διαρροή πληροφοριών εκ των έσω.

Ο Μιχάλης Μωραίτης, CIO της Nissan Νικ. Ι. Θεοχαράκης, αναφέρθηκε σε αυτόν τον συγκεκριμένο κίνδυνο και τα προληπτικά μέτρα που πρέπει να λάβει μια επιχείρηση για να αντιμετωπίσει αυτήν την εσωτερική απειλή. Το θέμα της διακοπής παροχής υπηρεσιών λόγω επίθεσης στα συστήματα ενός οργανισμού έθιξε και η Μαργαρίτα Γκολφινοπούλου, Head of Client Engagement της AIG, η οποία ανέδειξε και αποτίμησε τον κίνδυνο και τη ραγδαία αρνητική επίπτωση που μπορεί να επιφέρει στα οικονομικά αποτελέσματα του οργανισμού ένα τέτοιο γεγονός.

Ο Παναγιώτης Καλαντζής, InfoSec Consultant της διεύθυνσης Networking Solutions της Space Hellas, για να καταδείξει το μέγεθος του προβλήματος έκανε αναφορά σε ένα security brief της RSA, σύμφωνα με το οποίο το ποσοστό των των Fortune 500 εταιρειών που έχουν εμπλακεί σε botnets αγγίζει το 88%, ενώ το malware που υποκρύπτεται στο Internet υπολογίζεται σε 60 εκατομμύρια ξεχωριστές «εκδόσεις», με 20 εκατομμύρια να εξαπολύονται μόλις τον προηγούμενο χρόνο. Αυτό και μόνο καθιστά αναγκαία την ενσωμάτωση της ψηφιακής ασφάλειας στη διαμόρφωση μιας συνολικής επιχειρησιακής και στρατηγικής προσέγγισης.

Η Δρ. Βάλια Δεμέστιχα, Security Sales Leader της ΙΒΜ Ελλάδος και Κύπρου, παρουσίασε, μεταξύ άλλων, στοιχεία έρευνας της ίδιας της IBM, στα οποία αναφέρεται ότι το 61% των επιχειρήσεων θεωρούν την απώλεια δεδομένων και το Cyber-crime, ως τους μεγαλύτερους κινδύνους που αντιμετωπίζουν, ενώ σε μια άλλη έρευνα του Ινστιτούτου Ponemon, εκτιμάται ότι το μέσο κόστος από μια διαρροή δεδομένων αγγίζει τα 3,5 εκατομμύρια δολάρια. Η Αιμιλία Ορφανίδου, Marketing Manager της Odyssey Consultants, ανέλυσε εν συντομία την προσέγγιση της ψηφιακής ασφάλειας ξεχωριστά ανά κάθετες αγορές – βάσει του Information Security Continuum – για τη συνεχή διασφάλιση των δεδομένων και τη μείωση του ρίσκου. Ο Γεράσιμος Μοσχονάς, Group Information Security Officer της Alpha Bank, ανέφερε ότι και οι ελληνικές τράπεζες αποτελούν βασικούς στόχους των κυβερνοεπιθέσεων.

Ο Γεράσιμος Μοσχονάς παρουσίασε την οργανωτική δομή, τα μέτρα και το πλαίσιο ασφάλειας που ακολουθεί η τράπεζά του, αναφερόμενος ειδικότερα στην παρακολούθηση, ανίχνευση, αξιολόγηση και διαχείριση των περιστατικών ασφάλειας. Παράλληλα, κατέδειξε τη μεγάλη βαρύτητα που επιδεικνύει η τράπεζα στη συνεχή σχετική ενημέρωση και εκπαίδευση όλων των στελεχών, προκειμένου να αυξηθεί η γενική ετοιμότητα και αποτελεσματικότητα στην ανίχνευση και αναγνώριση των επιθέσεων.

Ο Γιάννης Κυπραίος, Υποδιευθυντής στη Διεύθυνση Διακυβέρνησης Πληροφορικής Ομίλου της Εθνικής Τράπεζας της Ελλάδος, δήλωσε πως θεωρεί πολύ σημαντική την μελέτη του προφίλ των κυβερνοεπιτιθέμενων, καθώς αυτή παρέχει τη δυνατότητα απόκτησης εσωτερικής πληροφόρησης και διαμόρφωσης ευφυΐας για την καλύτερη ανίχνευση, αντιμετώπιση, αλλά και πρόληψη περιπτώσεων επίθεσης στον Κυβερνοχώρο.

Ασφάλεια σε περιόδους κρίσης
Στη συζήτηση στρογγυλής τραπέζης που έκλεισε το συνέδριο και την οποία συντόνιζε ο Ramses Gallego, o Δρ. Ales Zupan, Ιnformation Governance and Management (IGM) Program Manager της Novartis International στην Ελβετία δήλωσε ότι η πρόσληψη έμπειρων τεχνικών στην ασφάλεια δεδομένων είναι πάγια πολιτική της εταιρείας, ενώ δεν γίνεται αποδεκτός ο κίνδυνος που προέρχεται από τη σύναψη σχέσεων με τρίτους (outsourcing). Επίσης, ανέφερε πως είναι προτιμότερο να κρατάει κανείς χαμηλό προφίλ στον κυβερνοπόλεμο, καθώς σε κάθε μάχη χάνουν και ο νικητής και ο ηττημένος. Ο Claude Vandelle, έδωσε έμφαση στη σημασία του συχνού δειγματισμού και ελέγχου διαμέσου δεικτών (metrics) του επιπέδου ετοιμότητας στην ψηφιακή ασφάλεια του οργανισμού.

Επίσης, αναφέρθηκε στην αποτελεσματικότητα που προσδίδει η υιοθέτηση τεχνολογιών ”Data Loss Protection”, ”Two-Factor Authentication” και” On The Fly Encryption”. O Γιάννης Κυπραίος αναφέρθηκε στην ανάγκη συνεργασίας των οργανισμών με κρατικούς φορείς, προκειμένου να επιτευχθεί μια σχετική ισορροπία δυνάμεων στις δύο πλευρές του κυβερνοπολέμου. Επίσης, ξεκαθάρισε ότι η επένδυση σε έργα ψηφιακής ασφάλειας δεν αποτελεί κόστος, αλλά, αντιθέτως, μια επένδυση με υψηλό δείκτη απόδοσης (ROI). Ο Γεράσιμος Μοσχονάς της Alpha bank δήλωσε πως δεν υπάρχει ακόμη νομοθετικό καθεστώς κατά του κυβερνοπολέμου στην Ελλάδα, γεγονός που καθιστά ακόμη πιο σημαντική τη συνεργασία με όλους τους σχετιζόμενους φορείς, εντός και εκτός συνόρων. Σε κάθε περίπτωση, όμως, όπως ξεκαθάρισε ο κ. Μοσχονάς, η τελική ευθύνη για την προστασία των δεδομένων παραμένει στον οργανισμό.

Τέλος, ο Γιώργος Κώστας, της Interamerican, ανέφερε τη δυσκολία που προκύπτει στην προσπάθεια εξισορρόπησης των κριτηρίων ασφάλειας με τη χρηστικότητα, κατά την ανάπτυξη εφαρμογών λογισμικού, γεγονός που συχνά επιτρέπει την τελική ανάληψη υπερβάλλοντος κινδύνου. Είναι δύσκολο ωστόσο να βρεθούν καλοί developers με αυξημένη εμπειρία στην ασφάλεια δεδομένων. Γι’ αυτό άλλωστε και η συνεχής εκπαίδευση των ομάδων developers στα τρέχοντα θέματα ασφάλειας αποτελεί μια συνεχή και αποδοτική επένδυση.