Information Security: Περνώντας στο προσκήνιο της κυβερνοασφάλειας

Καθώς η ποσότητα, η ποιότητα και κρισιμότητα των δεδομένων αυξάνουν διαρκώς και εκθετικά τα τελευταία χρόνια, η ασφάλεια των πληροφοριών περνά στο προσκήνιο και από τμήμα της γενικότερης στρατηγικής κυβερνο-ασφάλειας γίνεται όλο και συχνότερα το επίκεντρο της.

Μπορεί να το αποδώσει κανείς στην κλιμάκωση της ψηφιοποίησης της πληροφορίας του αναλογικού κόσμου, ή στο όλο και μεγαλύτερο κύμα μεταφοράς δεδομένων προς το cloud. Στην όλο και μεγαλύτερη εξάρτηση μας από τα big data streams ή τις αμέτρητες πια μικρές πηγές από όπου αναβλύζουν. Ή απλώς στο πόσο χρυσοφόρα αποδείχθηκε η πληροφορία ως «λάφυρο» στις κυβερνο-επιθέσεις των τελευταίων χρόνων. Όπως και αν το δει κανείς, όμως, το «Infosec» -όπως μορφοποιήθηκε εσχάτως ο όρος γύρω από το Information Security- έγινε σημαντικό σε βαθμό που πολλοί να το ταυτίζουν με το ευρύτερο cybersecurity, παρότι για χρόνια ήταν απλώς ένα τμήμα του.

«Oι έννοιες Information και Cyber Security είναι άρρηκτα συνδεδεμένες. Ωστόσο, πολύ συχνά, υπάρχει σύγχυση ως προς την ερμηνεία τους, αλλά και τα πεδία εφαρμογής τους», μας εξηγεί ο Παναγιώτης Δημόγιωργας, MSc,CISM,CISA, Cyber Security Operations Manager του Ομίλου ΕΛΛΗΝΙΚΑ ΠΕΤΡΕΛΑΙΑ ΑΕ. «Ο κλάδος του Cyber Security σχετίζεται με την προστασία συστημάτων -Πληροφοριακών (ΙΤ) ή Λειτουργικών (ΟΤ)- από τις απειλές του Κυβερνοχώρου με τη χρήση τεχνολογικών μέσων. Η έννοια του Information Security αφορά στην προστασία της Πληροφορίας για ολόκληρο τον κύκλο ζωής της, ακολουθώντας βέλτιστες πρακτικές, πρότυπα διακυβέρνησης και αποτίμησης ρίσκου. Συμπερασματικά θα μπορούσε κάποιος να πει πως το InfoSec είναι το άνω «άυλο» επίπεδο προστασίας της πληροφορίας και το CyberSec το χαμηλότερο «απτό» επίπεδο, χωρίς αυτός ο διαχωρισμός να υποδεικνύει διαφοροποίηση στην σημαντικότητα του κάθε επιπέδου».

«Ως γνωστόν, οι οροί κυβερνοασφάλεια και ασφάλεια των πληροφοριών είναι οι δυο κυρίαρχοι τίτλοι, από τους οποίους εκπορεύεται η προσπάθεια προστασίας των οργανισμών, από οποιαδήποτε ενέργεια που μπορεί να βλάψει τις υποδομές, τα δεδομένα τους και κατ’ επέκταση την εύρυθμη λειτουργία και φήμη τους», μας εξηγεί ο Νικόλαος Γρηγοριάδης Information Security Officer της Archirodon NV. «Όμως από τη σκοπιά ενός απλού ανθρώπου παρατηρείται συχνά το φαινόμενο, ο όρος κυβερνοασφάλεια (cybersecurity), να συγχέεται συχνά με την ασφάλεια των πληροφοριών (information security ή InfoSec)» συνεχίζει.

«Και ενώ η βασική αρχή είναι παρόμοια, η συνολική εστίαση και η εφαρμογή τους διαφέρουν σημαντικά. Υπάρχει μια ξεκάθαρη διαδρομή και για τους δύο τομείς, οι οποίοι διαμορφώνονται εξ ορισμού τους.
Η ασφάλεια στον κυβερνοχώρο είναι η δραστηριότητα της προστασίας των συστημάτων υπολογιστών, των δικτύων και των εφαρμογών από κάθε είδους επιθέσεις στον κυβερνοχώρο.
Η ασφάλεια πληροφοριών αναφέρεται στις διαδικασίες και πρακτικές που χρησιμοποιούνται από τις εταιρείες για την προστασία των δεδομένων τους καλύπτοντας ένα μεγαλύτερο αντιληπτικό εύρος από αυτό της κυβερνοασφάλειας. Θα μπορούσαμε να πούμε ότι η κυβερνοασφάλεια είναι ένα υποσύνολο της ασφάλειας των πληροφοριών το οποίο εστιάζει στους ανωτέρω σκοπούς».

Αυτή η νέα «αναβάθμιση» της σημασίας της ασφάλειας της πληροφορίας δεν είναι τυχαία. Πολλοί θα δουν σε αυτή μια μετατόπιση του σημείου εστίασης των στρατηγικών ασφαλείας του ΙΤ που τα τελευταία χρόνια εξελίσσεται, μέσα από ένα διαρκές crash test που επανακαθορίζει τις προτεραιότητες.
Και άλλοι την επιστροφή σε αυτό που έχει την πρωταρχική σημασία, στο ευρύτερο οικοσύστημα της ασφάλειας. Άλλωστε αν πάει κανείς πίσω στην ιστορία του information security θα ανακαλύψει ότι προϋπήρχε των τεχνολογιών ΙΤ, τις οποίες κατά κάποιο τρόπο και εξέλιξε.

Το multi-tier classification system για παράδειγμα πρωτο-συστάθηκε και χρησιμοποιήθηκε σε κλίμακα για την διαβάθμιση και διασφάλιση των συστημάτων πληροφοριών του στρατού στον Πρώτο Παγκόσμιο Πόλεμο. Και προηγήθηκε κατά τρεις περίπου δεκαετίες του πρώτου μεγάλου hack, με το οποίο ο Alan Turing -με ένα δικό του υπολογιστικό σύστημα, από τα πρώτα της σύγχρονης ιστορίας- αποκρυπτογράφησε τους κωδικούς Enigma των Ναζί, κρίνοντας -τουλάχιστον εν μέρη- την μοίρα του Δεύτερου Παγκόσμιου Πολέμου.
Η ίδια η σημειολογία της «διαβάθμισης» και υποκλοπής της πληροφορίας σηματοδοτεί έτσι την εξέλιξη της. Καθώς ο πόλεμος μπήκε στη βιομηχανική εποχή, η ίδια η απαίτηση για ασφάλεια της πληροφορίας (πρωτο-ψηφιακής ή αναλογικής) ακολουθεί και αμέσως μετά γίνεται απαραίτητη σε κλίμακα βιομηχανική.
Και από τότε κάθε φορά -και ειδικότερα σε κάθε περίοδο κρίσης- αναβαθμίζεται μαζί με τις ανάγκες κάθε εποχής για ασφάλεια.

Σε αυτό το σημείο της εξελικτικής πορείας, η οπτική ενός παίκτη από μια άλλη πλευρά της σκακιέρας της κυβερνοασφάλειας, όπως ο Νικήτας Κλαδάκης, Γενικός Διευθυντής της Netbull, για το πώς διαφοροποιείται το Information Security μέσα στο γενικότερο cybersecurity, σήμερα, είναι πολύτιμη.
«Η ασφάλεια των πληροφοριών είναι μόνο μια πτυχή της συνολικής ασφάλειας στον κυβερνοχώρο. Εξ΄ ορισμού το information security αφορά στην προστασία των πληροφοριών από μη εξουσιοδοτημένους χρήστες, την πρόσβαση και την τροποποίηση ή κατάργηση δεδομένων προκειμένου να παρέχεται εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα, ενώ cybersecurity είναι η πρακτική της προστασίας των δεδομένων στο διαδίκτυο.

Οι παράγοντες που διαφοροποιούν τις δύο έννοιες είναι:
Η προστασία: Το information security ασχολείται με την προστασία δεδομένων από κάθε μορφή απειλής, ενώ το cybersecurity με την ικανότητα προστασίας της χρήσης του κυβερνοχώρου από κυβερνοεπιθέσεις.
Το αντικείμενο: Το information security αφορά πληροφορίες ανεξάρτητα από το πεδίο, ενώ το cybersecurity στην προστασία οτιδήποτε είναι σ’ αυτό.
Η απειλή: Το information security αντιμετωπίζει την προστασία των δεδομένων από κάθε μορφή απειλής, ενώ το cybersecurity αντιμετωπίζει τον κίνδυνο στον κυβερνοχώρο.
Οι επιθέσεις: Το information security βρίσκεται αντιμέτωπο σε μη εξουσιοδοτημένη πρόσβαση, τροποποίηση αποκάλυψης και διακοπή, ενώ το cybersecurity αντιμετωπίζει εγκλήματα και απάτες στον κυβερνοχώρο και την επιβολή του νόμου.
Οι επαγγελματίες: Οι επαγγελματίες ασφάλειας του information security αποτελούν το θεμέλιο της ασφάλειας δεδομένων και όσοι συνδέονται με αυτήν είναι υπεύθυνοι για πολιτικές, διαδικασίες και οργανωτικούς ρόλους και ευθύνες που διασφαλίζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, ενώ οι επαγγελματίες του cybersecurity ασχολούνται με την πρόληψη των ενεργών απειλών ή των προηγμένων επίμονων απειλών (APT).
Ο χειρισμός: Το information security ασχολείται με πληροφορίες. Την ακεραιότητα, την εμπιστευτικότητα και την διαθεσιμότητα των asset της πληροφορικής, ενώ το cybersecurity ασχολείται με τις απειλές που μπορεί να υπάρχουν ή να μην υπάρχουν στον κυβερνοχώρο, όπως η προστασία του λογαριασμού σας στα μέσα κοινωνικής δικτύωσης, των προσωπικών σας πληροφοριών κλπ».

Εποχή Info Security Προκλήσεων και …CIA
Όχι αυτή που νομίζετε. Σε λιγότερο από έναν αιώνα, από το hack του Turing, το info ή data security αρχίζει να μπαίνει πάλι στο προσκήνιο. Διαφοροποιείται στρατηγικά από το γενικό καθεστώς κυβερνοασφαλείας και αναπτύσσεται γύρω από τους τρεις άξονες που εικονικά αναφέρονται ως CIA: εκ του «Confidentiality- Integrity- Availability».
Όπου το «Confidentiality» ή Εμπιστευτικότητα, εστιάζει στο ποιος έχει την πρόσβαση στην πληροφορία και ποιος όχι, το «Integrity» ή Αξιοπιστία, στο πόσο πλήρη και αξιόπιστα μπορούν να παραμένουν τα δεδομένα και «Availability» ή Διαθεσιμότητα, που ανακλά πόσο διαθέσιμη μπορεί να είναι η πληροφορία χωρίς να χάνει σε τίποτα από τα παραπάνω κατά την διαδικασία.

Μπορεί να φαίνεται απλό, αλλά καθώς η ασφάλεια της πληροφορίας έρχεται πια να καλύψει τεράστια data centers και ροές δεδομένων αναγκάζεται να επικεντρώνεται σε όλες τις διαδικασίες και εργαλεία που αναπτύσσονται εκεί έξω για να προστατεύσουν ευαίσθητες πληροφορίες από παραποίηση, καταστροφή, μη εξουσιοδοτημένη πρόσβαση, αντιγραφή ή/και παράνομη διαχείριση της πρόσβασης σε αυτές. Σε μια περίοδο που ο ρυθμός μετανάστευσης στην επικράτεια του ψηφιακού συχνά αφήνει όλο και περισσότερα τμήματα του κόσμου «ακάλυπτα» σε επιθέσεις κάθε είδους.
«Στην σημερινή ψηφιακή εποχή, ένα φαινομενικά απλό ανθρώπινο λάθος είναι ικανό να καλλιεργήσει τις κατάλληλες συνθήκες τόσο για την εκμετάλλευση ευπαθειών/τρωτών σημείων σε καίρια συστήματα ασφάλειας της εταιρείας, όσο και την υποκλοπή διαπιστευτηρίων των υπαλλήλων της. Οι επιπτώσεις διαφοροποιούνται αναλόγως τους στόχους αλλά και το μέγεθος της επίθεσης» εξηγεί χαρακτηριστικά ο Κώστας Τσίτσης Information Security & Networks Manager, Lamda Development SA. «Ειδικότερα, μία επίθεση στα κεντρικά συστήματα μιας εταιρείας θα μπορούσε να επιφέρει σημαντικές επιπτώσεις, όπως υποκλοπή ευαίσθητων δεδομένων, οικονομική ζημία, δυσφήμιση, παύση λειτουργίας, νομικές συνέπειες (GDPR) κ.α».

Όπως μας αναφέρει, σύμφωνα και με την μελέτη του WEF (Global Risks Report 2022), το 95% των περιστατικών ασφαλείας προκύπτουν από ανθρώπινο λάθος. «Η αύξηση της τηλεργασίας σε παγκόσμιο επίπεδο και η έλλειψη ορατότητας των ομάδων πληροφορικής στα ιδιωτικά δίκτυα, που συνδέονται οι υπολογιστές αλλά και τα κινητά των εργαζομένων, καθιστά ακόμα πιο επιτακτική την ανάγκη για επαγρύπνηση των ιδίων αλλά και των εταιρειών. Στις περισσότερες περιπτώσεις, το τοπικό-ιδιωτικό δίκτυο δεν παρέχει τις απαραίτητες διασφαλίσεις για την προστασία των εταιρικών δεδομένων. Αντίθετα, το εταιρικό δίκτυο θεωρείται ασφαλές λόγω της περιμέτρου που το προστατεύει.
Συνεπώς, η χρήση οποιουδήποτε μη εταιρικού δικτύου, αυξάνει κατακόρυφα το ρίσκο παραβίασης ασφαλείας».

Γι αυτό όπως προσθέτει και ο Νικόλαος Γρηγοριάδης «τα τελευταία δυο χρόνια και με την έλευση της πανδημίας, οι νέες προκλήσεις και οι κίνδυνοι, παράλληλα με τη μεγιστοποίηση των υπαρχόντων, έχουν εντείνει την ανάγκη προστασίας των οργανισμών από τις ηλεκτρονικές απειλές, καθιστώντας την πρώτη προτεραιότητα όπως αναφέρουν και αρκετά βαρόμετρα παραγόντων εταιρικής επικινδυνότητας.

Επιγραμματικά οι κύριες προκλήσεις που αντιμετωπίζουν οι επαγγελματίες του χώρου είναι:

1. Οι αυξανόμενες επιθέσεις λόγω της τηλεργασίας. Πλέον η επιχειρησιακή και λειτουργική βάση των επιχειρήσεων είναι στο σπίτι των εργαζομένων και βασίζεται σε άγνωστες και ελλιπώς προστατευμένες υποδομές. Αυτό εκθέτει τα εταιρικά δεδομένα σε επιπλέον κινδύνους λόγω της έκθεσης τους σε άγνωστα περιβάλλοντα.

2. Οι κίνδυνοι από την χρήση ιδίων συσκευών και κινητών συσκευών με πρόσβαση σε εταιρικά δεδομένα. Οι ανάγκες της χρήσης δυναμικότερων εργασιακών μοντέλων, εγκυμονούν κινδύνους από την χρήση συσκευών που δεν είναι διαχειρίσιμες από τον οργανισμό ενώ όμως έχουν πρόσβαση σε εταιρικά συστήματα και δεδομένα.

3. Η αδυναμία αναγνώρισης του βαθμού του κινδύνου που αντιμετωπίζει ο κάθε οργανισμός. Οι οργανισμοί αδυνατούν ακόμα να σταθμίσουν τον κίνδυνο που αντιμετωπίζουν ώστε να κινηθούν αποτελεσματικά ως προς τη μείωση του, και κατ’ επέκταση την επαρκή ασφάλεια των υποδομών και δεδομένων τους».

Συμφωνώντας και προσθέτοντας τις διεθνείς εξελίξεις στο ήδη επικίνδυνο μείγμα, ο Παναγιώτης Δημόγιωργας, θεωρεί ότι αν υπάρχει ένα κύριο στοιχείο που μπορεί να χαρακτηρίσει την τελευταία 3ετία, αυτό είναι οι αυξανόμενες προκλήσεις που κλήθηκαν να αντιμετωπίσουν οι τομείς των Information και Cyber Security, όπως άλλωστε και ολόκληρος ο κλάδος της Πληροφορικής, κυρίως λόγω της πανδημίας του Covid-19, αλλά και λόγω των παγκόσμιων γεωπολιτικών αναταράξεων που αυτή τη στιγμή είναι σε εξέλιξη.
«Η ανάγκη των οργανισμών, όλων των μεγεθών, για τον ψηφιακό μετασχηματισμό τους έγινε επιτακτική και είναι αυτή που συμπαρασύρει και τον τομέα της Ασφάλειας (Info & Cyber) σε έναν αγώνα δρόμου για τη διασφάλιση της επιχειρησιακής συνέχειας, αλλά και την ανθεκτικότητα (resilience), στις τωρινές αλλά και μελλοντικές προκλήσεις», επισημαίνει και εξηγεί πως λόγω της έντονης και ταχείας ψηφιοποίησης αυτομάτως διευρύνθηκε και το πεδίο απειλών που καλείται να αντιμετωπίσει ο κάθε οργανισμός. «Εδώ ευχάριστα παρατηρούμε την ταυτόχρονη εξέλιξη των τεχνολογιών προστασίας (Cyber Security) με μηχανισμούς ΑΙ, Machine & Deep Learning, SOAR κ.ο.κ, που παρέχουν αυξημένη και βέλτιστη αυτοματοποίηση στην αντιμετώπιση των απειλών.

Ωστόσο ο ανθρώπινος παράγοντας παίζει ακόμη τον σημαντικότερο ρόλο, είτε αφορά τους χρήστες/πελάτες είτε τους επαγγελματίες Ασφάλειας Πληροφοριών. Η πρόκληση έχει διττό χαρακτήρα: ως προς την κατηγορία των χρηστών/ πελατών η κουλτούρα ασφάλειας στη χώρα μας δείχνει να υπολείπεται, παρά το γεγονός ότι τον τελευταίο χρόνο με τη δημοσιοποίηση κάποιων μεγάλων σε έκταση περιστατικών ασφαλείας, καθώς και με τα νομικά πλαίσια που τέθηκαν από την ΕΕ (βλ. GDPR, NIS, DORA κλπ.) υπάρχει μια ευαισθητοποίηση, τόσο σε εταιρικό όσο και σε ιδιωτικό επίπεδο».

Από την πλευρά του Νικήτα Κλαδάκη η πρόσβαση στις συνθήκες ασφαλείας της ευρύτερης αγοράς μας δίνει μια πιο σφαιρική όσο και έντονη εικόνα. «Καθώς ο ψηφιακός μετασχηματισμός των επιχειρήσεων αυξάνεται ολοένα και περισσότερο, ο ρυθμός των κυβερνοεπιθέσεων αυξάνεται δραματικά και οι επιπτώσεις που μπορεί να επιφέρει μια επιτυχημένη κυβερνοεπίθεση στις υποδομές τους μπορεί να προκαλέσουν σημαντική απώλεια χρημάτων, χρόνου ακόμη και ζωών» μας αναφέρει. «Η επιτάχυνση της υιοθέτησης από τις επιχειρήσεις του cloud και των υπηρεσιών του, λόγω του νέου περιβάλλοντος ‘εργασία από οπουδήποτε’ έχει εξαπλώσει τις επιχειρηματικές εφαρμογές πέραν του φυσικού κέντρου δεδομένων, εξαλείφοντας την έννοια της περιμετρικής ασφάλειας και των παραδοσιακών μηχανισμών προστασίας. Η ασφαλής σύνδεση των χρηστών στο κέντρο δεδομένων και στο cloud από οπουδήποτε, έχει αυξημένες και πιο περίπλοκες απαιτήσεις καθώς η υιοθέτηση μοντέλων απομακρυσμένης και υβριδικής εργασίας εφαρμόζεται ολοένα και περισσότερο σε επιχειρήσεις σε όλο τον κόσμο» εξηγεί πριν προσθέσει και άλλο ένα σημείο εστίασης. Ακόμα αν και το Διαδίκτυο των Πραγμάτων (Internet of Things – IoT) αποτελεί ένα από τα μεγαλύτερα τεχνολογικά επιτεύγματα και καθημερινά κερδίζει όλο και περισσότερο έδαφος στην αποδοτική λειτουργία των επιχειρήσεων, λόγω σχεδιασμού είναι εκτεθειμένο στους κυβερνοεγκληματίες. Ακόμη και στην βιομηχανία, η διασύνδεση των συστημάτων βιομηχανικού ελέγχου (ICS) με την επιχειρησιακή τεχνολογία (OT), αντιμετωπίζει σημαντικά ζητήματα ασφαλείας που περιορίζουν την ευρεία υιοθέτησή του».

InfoSec: Η νέα «παρτίδα» στο παχνίδι της Κυβερνοασφάλειας
Με όλους αυτούς τους παράγοντες να μετατοπίζουν διαρκώς το κέντρο βάρους της κυβερνοασφάλειας, προκύπτει όπως μας λέει και ο Νικόλαος Γρηγοριάδης η ανάγκη διαμόρφωσης μια δυναμικής στρατηγικής ώστε να αναγνωριστούν οι ελλοχεύοντες κίνδυνοι και να προληφθούν ή να αντιμετωπιστούν σε ικανοποιητικό βαθμό. «Μια τέτοια στρατηγική θα μπορούσε να περιλαμβάνει την εντατικοποίηση της εκπαίδευσης των χρηστών ώστε να καλλιεργηθεί η ιδέα του ‘human firewall’, ώστε ο κάθε εργαζόμενος με την προσοχή και την προσήλωση του στην προστασία της εταιρείας να αναγνωρίσει απειλές οι οποίες, μπορεί να έχουν διεισδύσει από τα υπάρχοντα τεχνικά μέτρα. Το ανθρώπινο λάθος είναι μακράν ο μεγαλύτερος κίνδυνος για μια επιτυχημένη κυβερνοεπίθεση. Την υιοθέτηση της στρατηγικής του ‘multi-vendor’ όπου παράλληλα τεχνικά μέτρα για τον ίδιο σκοπό επικαλύπτουν και συνεργάζονται το ένα με το άλλο ώστε να αποτρέπουν κακόβουλες ενέργειες εν τη γενέσει τους. Μια αποτελεσματική στρατηγική θα πρέπει να περιλαμβάνει το τρίπτυχο εκπαιδευμένων ανθρώπων, πολλαπλών τεχνικών μέτρων και κεντρικής εποπτείας τους ώστε να επιτυγχάνεται ο συγκερασμός των γεγονότων και η δυνατότητα γρήγορης αντιμετώπισης και διαχείρισης των περιστατικών».

Από την πλευρά του ο Κώστας Τσίτσης ξεκινά από την παραδοχή ότι τα συστήματα ασφαλείας καθώς και η εφαρμογή πολιτικών που εφαρμόζει η εκάστοτε εταιρεία για την αποτροπή κακόβουλων επιθέσεων, δεν είναι πάντα επαρκή. «Υπάρχει πάντοτε η πιθανότητα να διεισδύσει ένα email με κακόβουλο φορτίο. Σε αυτή την περίπτωση όλες αυτές οι ‘ακριβοπληρωμένες’ λύσεις δεν επαρκούν. Η τελευταία και σημαντικότερη γραμμή άμυνας μιας εταιρείας είναι το ανθρώπινο δυναμικό της. Πλέον ο ίδιος ο εργαζόμενος πρέπει να κρίνει και να αποφασίσει εάν ένα εισερχόμενο email έχει κακόβουλο περιεχόμενο. Μία απόφαση δευτερολέπτων ενδέχεται να κρίνει εάν η εταιρεία θα συνεχίσει την κανονική της λειτουργία ή όχι, λόγω κρυπτογράφησης των δεδομένων της από ένα ransomware».

Όπως μας εξηγεί και ο Παναγιώτης Δημόγιωργας για να επιτευχθεί η ισορροπία της ταχείας εξέλιξης με την Ασφάλεια είναι σημαντικό να δοθεί βαρύτητα στους εξής τομείς:
«Ευαισθητοποίηση κι επιμόρφωση στα θέματα Ασφάλειας: πρέπει να είναι ξεκάθαρο πως όσο προηγμένα τεχνικά μέσα προστασίας κι αν εφαρμόζονται, ο ανθρώπινος παράγοντας εν τέλει καθορίζει την αποτελεσματικότητα τους. Είναι σημαντικό να αποσαφηνιστεί ότι ο απώτερος στόχος της προστασίας των πληροφοριακών συστημάτων είναι η προστασία της ίδιας της ανθρώπινης ζωής και της ποιότητάς της και ειδικά τώρα που η τεχνολογία είναι αναπόσπαστο κομμάτι της επαγγελματικής αλλά και προσωπικής καθημερινότητας.
Security by Design: Είναι εξαιρετικά κρίσιμο να εφαρμόζονται εξαρχής οι βέλτιστες πρακτικές ασφάλειας σε οποιοδήποτε σύστημα προς υλοποίηση, με όποιο κόστος σε χρόνο ή χρήμα. Η πράξη έχει αποδείξει πως η εκ των υστέρων διασφάλιση είναι πιο κοστοβόρα, πολύ περισσότερο αν υπάρξει ενδιάμεσα κάποια παραβίαση ασφαλείας».

Στη διαμόρφωση αυτών των στρατηγικών προστασίας της πληροφορίας οι κυρίαρχες τάσεις, όπως μας τις αναλύει ο Νικήτας Κλαδάκης εστιάζουν στα εξής σημεία:
• Στην προστασία των διασυνδέσεων των κέντρων δεδομένων, που φιλοξενούν μέσω υβριδικών μοντέλων φιλοξενίας, συστήματα, εφαρμογές και δίκτυα στο νέφος
• Στην ασφαλή διασύνδεση των απομακρυσμένων χρηστών /εργαζομένων με πολλαπλά επίπεδα αυθεντικοποίησης του τελικού σημείου
• Στον περιορισμό της επιφάνειας επίθεσης και το εύρος των ευκαιριών για την πραγματοποίηση νέων πολύπλοκων και εξελιγμένων κυβερνοεπιθέσεων, με χρήση υπηρεσιών έγκαιρης προειδοποίησης και τεχνολογιών μηχανικής εκμάθησης και τεχνητής νοημοσύνης.

Διαβάζοντας το νέο τοπίο των απειλών
Αναπόφευκτα μπαίνει και στην υπόθεση του Information Security το πάντα αναδυόμενο ερώτημα για το αν και κατά πόσο υπάρχει στο ελληνικό περιβάλλον μια εταιρική κουλτούρα γύρω από τη διαχείριση και ασφάλεια της πληροφορίας και των δεδομένων -προσωπικών αλλά και εταιρικών- και τι την διαμορφώνει.
Λαμβάνοντας υπόψιν όλα τα παραπάνω, ο Κώστας Tσίτσης υπογραμμίζει ότι η συνεχής εκπαίδευση και ευαισθητοποίηση των εργαζομένων σε θέματα ασφαλείας είναι το κλειδί για την διασφάλιση των δεδομένων της εταιρείας. «Συνεπώς είναι απαραίτητη η τακτική εκπαίδευση των εργαζομένων στις βέλτιστες πρακτικές για την αντιμετώπιση των κύριων επιθέσεων κοινωνικής μηχανικής. Παράλληλα, κρίνεται αναγκαία η διεύρυνση της εταιρικής κουλτούρας, τόσο στον τομέα της εκπαίδευσης, όσο και της ενθάρρυνσης της έκφρασης των ανησυχιών και προβληματισμών των εργαζομένων» μας λέει και καταλήγει ότι «…για να διαπιστωθεί η ισχύς των παραπάνω και η αποτελεσματικότητα της εκπαίδευσης, οι εργαζόμενοι θα πρέπει να υποβληθούν σε μη προγραμματισμένες εξομοιώσεις επιθέσεων για να διασφαλιστεί η επάρκεια των γνώσεων τους σε σχέση με την προστασία των εταιρικών δεδομένων. Έτσι, είναι δυνατή η προβολή ενδεχόμενων λαθών και ελλείψεων, με επακόλουθη την αποτελεσματικότερη προσέγγιση και αντιμετώπιση τυχών αστοχιών».

Από την πλευρά του ο Νικήτας Κλαδάκης θεωρεί ότι ο ανθρώπινος παράγοντας είναι η κινητήρια δύναμη κάθε οργανισμού αλλά και το καθοριστικότερο συστατικό ώστε όλες οι επιχειρηματικές δραστηριότητες να εκτελούνται με συνέπεια και ακρίβεια. «Η δημιουργία μιας ενιαίας εικόνας και αντίληψης γύρω από τα θέματα της ασφάλειας εταιρικών και προσωπικών δεδομένων, ή αλλιώς μια ενιαίας ‘κυβερνο-κουλτούρας’ απαιτεί συνεχή και επίπονη προσπάθεια, έχοντας απέναντί της ν’ αντιμετωπίσει την αδιαφορία, την αμάθεια ή πολύ χειρότερα την ημιμάθεια των στελεχών της επιχείρησης. Η εκπαίδευση του προσωπικού των περισσότερων επιχειρήσεων σε θέματα κυβερνοασφάλειας είναι ελλιπής» τονίζει και προειδοποιεί.

«Αυτό είναι κάτι που οι περισσότεροι κυβερνοεγκληματίες το γνωρίζουν και το εκμεταλλεύονται κατά το πρώτο κύμα επιθέσεων τους, το οποίο έχει και πολύ υψηλό δείκτη επιτυχίας. Επιθέσεις κοινωνικής μηχανικής (social engineering), κυρίως μέσω ηλεκτρονικού ταχυδρομείου, είναι αυτές που έχουν θέσει σε κίνδυνο την επιχειρηματική δραστηριότητα μερικών από τους μεγαλύτερους οργανισμούς σε εθνικό αλλά και διεθνές επίπεδο. Είναι επιτακτική λοιπόν η ανάγκη όλο το προσωπικό να εκπαιδεύεται και να ενημερώνεται σε θέματα κυβερνοασφάλειας, με στόχο τη δημιουργία της εταιρικής κουλτούρας κυβερνοασφάλειας στον οργανισμό, ώστε να τον καταστίσει πιο αποτελεσματικό στην διαχείριση και αντιμετώπιση προκλήσεων και τεχνασμάτων κυβερνοεγκληματιών, όντας σε θέση να αναγνωρίσει κυβερνοαπειλές για την παραβίαση πληροφοριών και δεδομένων εταιρικού και προσωπικού περιεχομένου».

Νικήτας Κλαδάκης, Γενικός Διευθυντής, NETBULL
Tα δυνατότερα εργαλεία διαμόρφωσης περιβάλλοντος Information Security

«Για να αντιμετωπίσουν πλέον οι επιχειρήσεις αποτελεσματικά τις προηγμένες επιθέσεις, θα πρέπει να αναπτύξουν μία στρατηγική ασφάλειας πληροφοριών η οποία θα βασίζεται σε ένα διεθνές πλαίσιο και θα αντιμετωπίζει ολιστικά όλα τα θέματα της κυβερνοασφάλειας, από τον ανθρώπινο παράγοντα μέχρι τις τεχνολογίες και τα θέματα διακυβέρνησης. Οι βασικές αρχές / εργαλεία στις οποίες ένας οργανισμός θα πρέπει να αναπτύξει την στρατηγική του είναι:
• Ασφάλεια κατά τον Σχεδιασμό: Οι απειλές και η επικινδυνότητα να παρακολουθούνται και να αντιμετωπίζονται σε συνεχή βάση.
• Άμυνα σε βάθος: Η δημιουργία μίας πολυεπίπεδης προστασίας με σκοπό την ασφάλεια και την ανθεκτικότητα του οργανισμού.
• Εφαρμογή τεχνολογιών αιχμής: Τεχνολογίες όπως η μηχανική εκμάθηση, τα μοντέλα συμπεριφοράς και η τεχνητή νοημοσύνη θα αποτελέσουν την βάση για το περιβάλλον κυβερνοάμυνας.
• Υιοθέτηση αρχιτεκτονικής μηδενικής εμπιστοσύνης: Μια αρχιτεκτονική που δεν βασίζεται στην θεμελιώδη αρχή «ρητή επαλήθευση» προκειμένου να γεφυρώσει το χάσμα μεταξύ της επιχειρηματικής δραστηριότητας, της πληροφορικής και της κυβερνοασφάλειας, θα βοηθήσει στην αποτροπή παραβιάσεων της ασφάλειας, εξαλείφοντας την έννοια της εμπιστοσύνης από έναν οργανισμό.
• Ενημέρωση και ευαισθητοποίηση (Cybersecurity Awareness): Στοχευμένη και τακτική εκπαίδευση και ευαισθητοποίηση των στελεχών /χρηστών σε θέματα κυβερνοασφάλειας και αντιμετώπισης των ψηφιακών απειλών τόσο για τα εργασιακά δεδομένα τους, όσο και για τις προσωπικές τους ψηφιακές συναλλαγές.

Μέσω αυτής της ολιστικής εργαλειοθήκης θα αναγνωρισθούν οι πραγματικές απειλές καθώς και ο αντίκτυπος τους για κάθε οργανισμό/επιχείρηση. Τα εργαλεία αυτά θα πρέπει να δομηθούν με τέτοιο τρόπο, ώστε να ορίζονται και συγκεκριμένοι στρατηγικοί δείκτες παρακολούθησης της ασφάλειας των πληροφοριών του οργανισμού στο σύνολό του».