Το Netweek συνομιλεί με την Johnnie Konstantas, Senior Director της Microsoft σχετικά με τις τεχνολογικές, αλλά κυρίως τις επιχειρησιακές τάσεις που αναμορφώνουν τη λειτουργία της Ασφάλειας Πληροφοριών, αλλά και, τον ρόλο του Ιnformation Security Officer.

NW: Υπό το πρίσμα των vulnerabilities που ήρθαν στο φως πρόσφατα, ποιο είναι, κατά την άποψή σας, το πιο συνηθισμένο «τυφλό σημείο» στην Ασφάλεια Πληροφοριών, το οποίο καθιστά ακόμα και μεγάλους και εξελιγμένους οργανισμούς ευάλωτους σε ψηφιακές επιθέσεις;

Johnnie Konstantas: Το κυβερνοέγκλημα επηρεάζεται από τον ψηφιακό μετασχηματισμό, όπως και οι νόμιμες επιχειρήσεις: η εξέλιξη της τεχνολογίας προάγει το έγκλημα στον κυβερνοχώρο. Οι απειλές αναπτύσσονται και γίνονται όλο και πιο πολύπλοκες. Εντούτοις, εξακολουθούν να επικρατούν οι μέθοδοι κοινωνικής μηχανικής (social engineering) για την πρόσβαση στις συσκευές. Το 92% του συνόλου των επιθέσεων στον κυβερνοχώρο ξεκινάει από επιτυχημένο phishing. Οι περισσότεροι οργανισμοί δεν ξέρουν ότι τους έχουν επιτεθεί μέχρι να είναι πολύ αργά. Αυτό αναδεικνύει την ανάγκη για περισσότερη εκπαίδευση, σε καταναλωτές, εργαζόμενους σε μεγάλες εταιρείες και κυβερνητικές υπηρεσίες. Η εκπαίδευση των χρηστών σχετικά με την ασφάλεια στον κυβερνοχώρο και τον εντοπισμό κακόβουλων συνδέσεων, μπορεί να συμβάλλει σε μεγάλο βαθμό στη μείωση του κινδύνου.

Η κατάρτιση πρέπει να συνδυαστεί με προηγμένες τεχνολογίες για την ανίχνευση κακόβουλων συνδέσμων ή μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing emails), πριν οι χρήστες πέσουν θύματα σε τέτοιες περιπτώσεις απάτης. Η ανάπτυξη ελέγχου ταυτότητας δύο επιπέδων, διαδραματίζει επίσης σημαντικό ρόλο στο να μην γίνουν οι κλεμμένοι κωδικοί ο εύκολος τρόπος πρόσβασης του χάκερ σε βασικές εφαρμογές. Τέλος, το phising «εκ των έσω», με τη διεξαγωγή δοκιμών στους υπαλλήλους μιας επιχείρησης, μπορεί να βοηθήσει στον εντοπισμό των κινδύνων και στη βελτίωση των προγραμμάτων κατάρτισης. Σε ο,τι αφορά την τεχνολογία, δεσμευόμαστε να παρέχουμε στους πελάτες λύσεις που προστατεύουν από γνωστές και άγνωστες απειλές. Η ασφάλεια είναι end-to-end ενσωματωμένη στις προσφορές μας, από τη διαχείριση ταυτότητας στην προβολή πληροφοριών έως τα analytics και τη διαχείριση απειλών. Πέρα από την αξιοποίηση των «έξυπνων» λειτουργιών ασφάλειας, ενθαρρύνουμε όλους τους πελάτες να χρησιμοποιούν τις τελευταίες εκδόσεις λογισμικού και να δημιουργούν αντίγραφα ασφαλείας για τα σημαντικά αρχεία στο σύννεφο, ώστε να διασφαλίζουν ότι παραμένουν ασφαλείς και προστατευμένοι.

Πώς πρέπει η Ασφάλεια Πληροφοριών να προσαρμοστεί στην άνοδο της Τεχνητής Νοημοσύνης;

Η τεχνητή νοημοσύνη (AI) «υπόσχεται» πιο ευέλικτες και αποτελεσματικές τεχνολογίες ασφάλειας πληροφοριών. Με την εφαρμογή τεχνολογιών machine learning και AI, ενισχύουμε τις άμυνές μας, αναβαθμίζοντας την πρόληψη και την ανίχνευση με ακριβή πρόβλεψη. Το machine learning υλοποιεί ήδη αυτή την υπόσχεση, καθώς πολλές τεχνολογίες ασφάλειας τη χρησιμοποιούν για να συντονίζουν τις δυνατότητες ανίχνευσης. Η AI μπορεί να αυτοματοποιήσει τη διαδικασία μετριασμού ή τη λήψη διορθωτικών μέτρων μόλις εντοπιστεί ή προβλεφθεί μια απειλή. Κάτω από την ανθρώπινη εποπτεία, επιταχύνει τον χρόνο αντίδρασης σε απειλές και αυξάνει την πιθανότητα να σταματήσει ο επιτιθέμενος πριν συμβεί οποιαδήποτε πραγματική βλάβη (πχ. κλοπή δεδομένων).

Ποια είναι η γνώμη σας για τα πλεονεκτήματα και τα μειονεκτήματα του blockchain;

Το blockchain μπορεί να μετασχηματίσει τα επιχειρησιακά μοντέλα, εξορθολογογίζοντας τις συναλλαγές και μειώνοντας την ανάγκη για ενδιάμεσους. Όπως κάθε νέα τεχνολογία, οι υποσχέσεις της έχουν επίσης κάποιο κίνδυνο ασφάλειας, που μειώνεται με την πάροδο του χρόνου καθώς διαμορφώνονται και βελτιώνονται οι βέλτιστες πρακτικές εφαρμογής της. Προς το παρόν, όσοι θέλετε να δημιουργήσετε εφαρμογές blockchain, χρησιμοποιήστε αξιόπιστες πηγές (για παράδειγμα το Azure της Microsoft παρέχει τις βασικές δομικές μονάδες για blockchain) και όλα τα διαθέσιμα εργαλεία για την επαλήθευση της ασφάλειας αυτών των εφαρμογών.


Πώς βλέπετε την εξέλιξη του ρόλου του CISO, στο πλαίσιο του πιο αυστηρού σύγχρονου ρυθμιστικού πλαισίου που εφαρμόζεται στο Data Privacy:

Ο ρόλος των υπευθύνων ασφάλειας πληροφοριών στους οργανισμούς εξελίσσεται και αποκτά μεγαλύτερο κύρος. Είναι χαρακτηριστικό ότι ο ρόλος με τα χαρακτηριστικά του CISO είναι εξέλιξη της τελευταίας δεκαετίας. Σήμερα, είναι ζωτικής σημασίας οι οργανισμούνα αναγνωρίσουν την ανάγκη εδραίωσης της λειτουργίας Ασφάλειας Πληροφοριών.

Ο ρόλος του CISO είναι στρατηγικός: είναι υπεύθυνος για την αποτελεσματική ενημέρωση του Διευθύνοντα Συμβούλου, του senior management και του Διοικητικού Συμβουλίου για τους ψηφιακούς κινδύνους,καθώς και την αξιολόγηση των βέλτιστων πρακτικών ασφαλείας και των στρατηγικών μετριασμού των κινδύνων. Η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) σημαίνει ότι ο CISO πρέπει να συνεργαστεί στενά με τη νομική υπηρεσία, το τμήμα Κανονιστικής Συμμόρφωσης και το ΙΤ, ώστε να διασφαλίσει την τήρηση της ιδιωτικότητας και να υπάρχει πλήρης διαφάνεια όσον αφορά τον τρόπο με τον οποίο τα δεδομένα των πελατών χρησιμοποιούνται και αποθηκεύονται.

Θεωρείτε ότι υπάρχει αντίφαση στη φύση της Ασφάλειας Πληροφοριών (που ενδεχομένως περιλαμβάνει έντονη παρακολούθηση) και την Προστασία Δεδομένων; Πως αυτό θα διαμορφώσει την κουλτούρα των εταιρειών στο μέλλον;

Η ψηφιακή ασφάλεια και ο έλεγχος της δραστηριότητας των χρηστών, όπως, για παράδειγμα, στη χρήση εφαρμογών, προϋποθέτει την ύπαρξη ικανού όγκου δεδομένων ώστε να κατανοήσουμε πότε η συμπεριφορά των χρηστών εμφανίζει ανωμαλίες ή δημιουργεί τρωτά σημεία για ψηφιακές επιθέσεις. Σε πολλές περιπτώσεις, οι πληροφορίες αυτές συγκεντρώνονται και αναλύονται αυτόματα, χωρίς την επέμβαση ανθρώπων και, συνήθως, μόνο η ειδοποίηση κοινοποιείται στον διαχειριστή ασφαλείας.

Στις περισσότερες περιπτώσεις, τα δεδομένα χρήστη που καταγράφονται στα αρχεία ελέγχου ψηφιακής ασφάλειας αφορούν σε πληροφορίες για τον κακόβουλο κώδικα ή τις μεθόδους του επιτιθέμενου, και όχι τα προσωπικά δεδομένα του χρήστη που έγινε στόχος ψηφιακής επίθεσης.

Για να κατανοήσουν οι επιχειρήσεις πώς οι πρακτικές ψηφιακής ασφάλειας που εφαρμόζουν επηρεάζονται από τη συμμόρφωση με το GDPR, θα πρέπει να:

  1. Προσδιορίσουν τις μεθόδους συλλογής, αποθήκευσης, κοινοποίησης και ανάλυσης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των διαδικασιών και τεχνολογιών security monitoring.
  2. Ενημερώσουν τους τελικούς χρήστες σχετικά με αυτές τις μεθόδους.
  3. Εφαρμόσουν πλαίσιο ελέγχου για τα δεδομένα αυτά, ώστε να μπορούν να γίνουν ανώνυμα ή να διαγραφούν.

Η τρέχουσα συγκυρία αποτελεί ευκαιρία για τους ηγέτες των επιχειρήσεων να επανεξετάσουν την προσέγγισή τους στα δεδομένα και να εξασφαλίσουν ότι τα χρησιμοποιούν ως πραγματικό παράγοντα ανάπτυξης.

Είναι δεδομένο ότι η χρήση του cloud θα εδραιωθεί απόλυτα, μέσω της αύξησης των δωρεάν εφαρμογών και των υπηρεσιών που διατίθενται σε shared infrastructure.. Προκειμένου οι επιχειρήσεις να ανταποκριθούν στις προσδοκίες των πελατών και των πολιτών, θα πρέπει να προσφέρουν απόλυτη διαφάνεια και «εκδημοκρατισμό» του ελέγχου των δεδομένων. Η ίδια η έννοια της εμπιστοσύνης ανάμεσα στα άτομα, τις εταιρείες και τους cloud providers θα επαναπροσδιοριστεί, υπό το πρίσμα των κοινών ευθυνών και στόχων σχετικά με την προστασία της ιδιωτικότητας. Η υιοθέτηση του cloud και των σύγχρονων τεχνολογιών ανάλυσης δεδομένων προσφέρουν σε κάθε οργανισμό νέες αναπτυξιακές ευκαιρίες.

Η στρατηγική χρήση των δεδομένων θα αποτελέσει καταλύτη για μια σειρά επιχειρησιακών θεμάτων, από την ενίσχυση του customer engagement μέχρι τις διαδικασίες ανάπτυξης προϊόντων και υπηρεσιών. βοηθώντας τις εταιρείες να επεκταθούν, να καινοτομήσουν και να αποκτήσουν ανταγωνιστικά πλεονεκτήματα, σε έναν ”cloud-first” κόσμο.