Ο Κώστας Γκαβαρδίνας, Senior Technical Director της PRIORITY, αποτυπώνει στο NetFAX τη σημασία που έχει το cyber resilience σήμερα, αναλύει τα βήματα που πρέπει να γίνουν για μια μετάβαση σε αυτό και καταδεικνύει τα οφέλη που θα αποκομίσει μια επιχείρηση από την σωστή υλοποίησή του.

Τι είναι το cyber resilience;
Οι σύγχρονες επιχειρήσεις πρέπει να είναι προετοιμασμένες να ανταποκριθούν και να προσαρμοστούν στις διαρκώς μεταβαλλόμενες συνθήκες, προκειμένου να μπορέσουν να συνεχίσουν άμεσα τη λειτουργία τους σε περίπτωση διακοπής. Το cyber resilience αποτελεί υποσύνολο του operational resilience, εστιάζοντας στην πρόληψη, ανίχνευση και αντιμετώπιση ελλείψεων ασφαλείας πληροφοριών, οι οποίες επηρεάζουν την εύρυθμη λειτουργία.

Σε τι διαφέρει από το cyber security;
Το cyber security εστιάζει κυρίως στα πληροφοριακά συστήματα, τα δίκτυα και τα δεδομένα και επιδιώκει τη μείωση του κινδύνου παραβίασης ή καταστροφής τους. Το cyber resilience εξετάζει τις επιχειρήσεις πιο μακροσκοπικά και στοχεύει στη συνέχιση των λειτουργιών τους, αναγνωρίζοντας ότι οι κυβερνο-επιθέσεις αργά ή γρήγορα θα είναι επιτυχημένες. Με άλλα λόγια, φέρνει πιο κοντά την ασφάλεια πληροφοριών στην καθημερινή επιχειρησιακή λειτουργία.

Τι συνεπάγεται αυτό για μια επιχείρηση;
Καταρχάς την, για πολλούς, τρομακτική συνειδητοποίηση ότι η παραβίαση της ασφάλειας είναι θέμα χρόνου, ανεξαρτήτως του πόσο καλά προστατευμένη είναι η επιχείρηση ή του πόσο «ασήμαντα» θεωρεί ότι είναι τα δεδομένα της. Αυτό σημαίνει ότι η ασφάλεια πρέπει να ενσωματώνεται πλήρως σε όλες τις επιχειρησιακές δραστηριότητες και να μην αποτελεί παράπλευρη εργασία. Ο CISO πρέπει να έχει εμπλοκή σε όλες τις λειτουργίες και να είναι ρόλος πλήρους απασχόλησης με βαρύνουσα άποψη και ευθύνη.

Υπάρχουν συγκεκριμένα βήματα για την μετάβαση στο cyber resilience;
Το πρώτο βήμα είναι η υιοθέτηση ολιστικής αντιμετώπισης στη διαχείριση κινδύνων, ώστε να καλύπτει, όχι μόνο το στενό πλαίσιο της κυβερνοασφάλειας, αλλά όλα τα γεγονότα που μπορούν να πλήξουν την εύρυθμη λειτουργία της επιχείρησης. Η χρήση συστηματικής μεθοδολογίας με την υποστήριξη εργαλείων λογισμικού, επιτρέπει στο CISO να δώσει στη Διοίκηση την πλήρη εικόνα για τις απειλές κάθε φύσης και, κυρίως, να τεκμηριώσει πώς τα προτεινόμενα μέτρα (με την αντίστοιχη κοστολόγηση) θα μειώσουν την έκθεση.

Πέραν της εκτέλεσης σεναρίων προσομοίωσης, το προφίλ κινδύνου θα πρέπει να ενημερώνεται συνεχώς με βάση τα λαμβανόμενα μέτρα, τις νέες δραστηριότητες που αναπτύσσει και οι οποίες εισάγουν καινούρια attack vectors, αλλά και τα συμβάντα ασφάλειας που εκδηλώνονται καθημερινά. Έτσι η Διοίκηση εμπεριστατωμένα γνωρίζει και καθορίζει το risk appetite με το οποίο λειτουργεί η επιχείρηση.

Στη συνέχεια θα πρέπει να αξιολογήσει τις επιπτώσεις των πιθανών περιστατικών διακοπής κάθε τύπου (π.χ. κυβερνοεπίθεση, διαρροή εμπιστευτικών πληροφοριών/ προσωπικών δεδομένων, διακοπή κρίσιμων υποδομών κ.λπ.) και να καθορίσει τη στρατηγική επιχειρησιακής συνέχειας. Βάσει αυτής θα πρέπει να καταστρώσει σχέδια και να προγραμματίζει τη δοκιμαστική εφαρμογή τους.

Βάζετε τους κινδύνους μη συμμόρφωσης στην ίδια κατηγορία με τους hackers;
Το αυστηρό κανονιστικό πλαίσιο που διαμορφώθηκε (π.χ. κανονισμός GDPR, οδηγία NIS) και οι υψηλές κυρώσεις που επιφέρει η παραβίασή του μπορούν να αποδειχθούν γεγονότα το ίδιο ή και περισσότερο καταστροφικά από μια παραβίαση των δικτυακών υποδομών από hackers.

Για το λόγο αυτό η συστηματική παρακολούθηση των κανονιστικών απαιτήσεων μέσω εξειδικευμένων εργαλείων λογισμικού και η τεκμηριωμένη συμμόρφωση μέσω διαδικασιών μπορεί να κάνει τη διαφορά μεταξύ μιας απλής επίπληξης και ενός δυσβάσταχτου προστίμου, συνοδευόμενου από μια εξαιρετικά αρνητική δημοσιότητα.

Μήπως πέφτουν όλα στους ώμους του CISO τελικά;
Αναμφίβολα η ευθύνη του CISO καθίσταται μεγάλη, σε βαθμό που αναρωτιέται κανείς αν μπορεί να την αντέξει ένας άνθρωπος! Η λύση όμως είναι η εμπλοκή του συνόλου των εργαζομένων στην επίτευξη του cyber resilience. Αρχικά, η συνεχής και τεκμηριωμένη ενημέρωση της Διοίκησης με όλα τα διαθέσιμα εργαλεία, τόσο διοικητικά (risk assessment, business impact assessment, risk treatment plan κ.λπ.) όσο και τεχνικά (technical vulnerability assessment, security information and event management κ.λπ.) φωτίζει το σκοτεινό και δυσνόητο θέμα του cyber resilience.

Αντίστοιχα ή ίσως και πιο σημαντικά, η αδιάλειπτη ευαισθητοποίηση του συνόλου του προσωπικού μέσω επαναλαμβανόμενων εκπαιδευτικών δράσεων, προγραμμάτων e-learning, ασκήσεων επιχειρησιακής ετοιμότητας αλλά και εσωτερικών επιθεωρήσεων αυξάνουν την πιθανότητα να εφαρμοστούν με επιτυχία σχέδια επιχειρησιακής συνέχειας.

Η συνεργασία με εξειδικευμένα τρίτα μέρη (συμβούλους, technical experts, ανεξάρτητους ελεγκτές) θα πρέπει να θεωρείται δεδομένη για τη λήψη τεχνογνωσίας και εμπειρίας για τη διαμόρφωση των τεχνολογικών υποδομών, την κατάρτιση πολιτικών, μεθοδολογιών και σχεδίων αλλά και το συνεχή έλεγχο της αποτελεσματικής εφαρμογής τους.