Πλήθος στελεχών παρευρέθηκαν στο φετινό Information Security Conference που πραγματοποιήθηκε την Πέμπτη 14 Φεβρουαρίου στο Art Factory από την BOUSSIAS για 6η συνεχόμενη χρονιά. Σε έναν κόσμο που συνεχώς ψηφιοποιείται και ολοένα μεταβάλλεται, η ψηφιακή ασφάλεια αποτελεί σήμερα, περισσότερο από ποτέ, φλέγον ζήτημα για τις επιχειρήσεις.

Κορυφαίοι γνώστες, στελέχη των μεγαλύτερων επιχειρήσεων που αντιμετωπίζουν καθημερινά τις ψηφιακές απειλές, decision-makers, experts της αγοράς, ακαδημαϊκοί και ειδικοί, αποκάλυψαν, στο πλαίσιο του 6ου Information Security Conference στρατηγικές, πρακτικές και τεχνολογίες που κάνουν τη διαφορά στην ψηφιακή ασφάλεια του σήμερα. Το ψηφιακό έγκλημα δυστυχώς έχει εξελιχτεί σημαντικά, σύμφωνα με την Charlie McMurdie, πρώην Detective Superintendent με 32 χρόνια εμπειρίας στην Metropolitan Police και επικεφαλής του Economic and Cyber Crime τμήματος της Scotland Yard.

Μιλώντας για επιχειρησιακές υποθέσεις πραγματικού κόσμου που έχουν διερευνηθεί και διωχθεί, συμπεριλαμβανομένων ομάδων οργανωμένου εγκλήματος που επιτίθενται σε χρηματοπιστωτικά ιδρύματα, «γκρίζες» αγορές που διευκολύνουν το εμπόριο στον κυβερνοχώρο, ηλεκτρονικές απάτες, επιθέσεις phishing και hacktivist, η McMurdie παρουσίασε στο κοινό μια αθέατη όψη του ψηφιακού εγκλήματος.

O ανθρώπινος παράγοντας
Το ανθρώπινο λάθος, η αιτία για πάνω από το 95% των παραβιάσεων δεδομένων, αποτελεί την ασθενέστερη πτυχή της ασφάλειας στον κυβερνοχώρο σε όλους σχεδόν τους οργανισμούς, με τις περισσότερες εταιρείες να αδυνατούν, ένεκα ελλιπούς ευαισθητοποίησης για την ασφάλεια, να προετοιμάσουν σωστά τους χρήστες τους για επιθέσεις στον κυβερνοχώρο.

Πώς μπορεί, λοιπόν, να μετρηθεί με ακρίβεια η επίδραση του ανθρώπινου παράγοντα, δημιουργώντας προγράμματα αποτελεσματικά στην προετοιμασία των χρηστών για επιθέσεις; Πώς μπορούν οι επιχειρήσεις να αμυνθούν εν μέσω αυτού του «Cyber Insanity, ήτοι της επανάληψης ξανά και ξανά της ίδιας πράξης περιμένοντας διαφορετικό αποτέλεσμα», τόνισε ο Joshua Crumbaugh, Ethical Hacker, cybersecurity expert και συγγραφέας.

Γι’ αυτόν τον λόγο οφείλουμε να εξελιχτούμε αλλά συγχρόνως να θυμόμαστε πως «κάθε αλυσίδα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της». Στον καταλυτικό ανθρώπινο παράγοντα επικεντρώθηκε και η μελέτη της Lisa Forte ( Winner of “Top 100 Women In Tech” Award, International Keynote Speaker, Social Engineering & Cyber Security Expert), η οποία, μέσα από τη διήγηση μιας σύντομης αλλά πολύ παραστατικής ιστορίας παρουσίασε τις καταστροφικές επιπτώσεις που έχει το social engineering αν χρησιμοποιηθεί εις βάρος ενός οργανισμού, αλλά και τους τρόπους προφύλαξης από αυτό.

Συμμόρφωση και κανονισμοί
Ξεκινώντας με μια σύντομη νύξη για τη αδιαμφισβήτητη σημασία του ανθρώπινου παράγοντα, ο Νικήτας Κλαδάκης, Information Security Director της Netbull, επικεντρώθηκε στη συνέχεια στο ζήτημα της συμμόρφωσης με τους διεθνείς-ευρωπαϊκούς κανονισμούς και πρότυπα, όπως το GDPR. Στo θέμα των κανονιστικών πλαισίων της Ευρωπαϊκής Ένωσης, ειδικά σχετικά με την κυβερνοασφάλεια, εστίαζε, ως κατεξοχήν ειδικός πάνω στο αντικείμενο, ο  Αθανάσιος Δρούγκας, NIS Expert στην ENISA (European Union Agency for Network and Information Security) για να ακολουθήσει μια περισσότερο εξειδικευμένη προσέγγιση στο θέμα από τον Νίκο Γεωργόπουλο, Cyber Privacy Risks Insurance Advisor στην DPOAcademy, ο οποίος εξέτασε τον τρόπο επιρροής του cyber insurance από το GDPR.

Security by design
Στο χώρο της παραδοσιακής ασφάλειας εστίασε ο Γιώργος Τσινός (CISO της Εθνικής Ασφαλιστικής), μιλώντας για την «Ασφάλεια για την Ασφάλεια» και για το «πώς το insurance και το security μπορούν να βοηθήσουν το ένα το άλλο», όπως και ο Νίκος Μαρουλιανάκης (IT Manager, Head of Infrastructure, Security & Enterprise Data Management, Interamerican Group), επισημαίνοντας την αξία του proactiveness έναντι του reactiveness.

Μέσω μιας ιστορικής αναδρομής από την πρώτη καταγεγραμμένη απόπειρα hacking μέχρι σήμερα ο Ηλίας Αγγελίδης, Τεχνικός Διευθυντής Πληροφορικής και Επικοινωνιών της Algosystems, παρουσίασε στην πράξη τη χρησιμότητα του cybersecurity, ενώ η Νάντια Λιάπη (Director, Governance, Risk & Compliance Services της Space Hellas) έκανε προβλέψεις για το μέλλον, ισορροπώντας ανάμεσα στα τεχνολογικά θέματα και τη σημασία της κουλτούρας του ανθρώπινου δυναμικού.

Η ψηφιακή μετάβαση, «ο ψηφιακός Δαρβινισμός» όπως τη χαρακτήρισε πολύ εύστοχα ο Στέλιος Καβαλάρης (Technology Manager & Information Security Officer, Dixons South East Europe), εισάγουν νέους κίνδυνους ασφάλειας ή μετασχηματίζουν παλιότερους που είχαν ήδη αντιμετωπιστεί στο παρελθόν. Η νέα εποχή απαιτεί προσαρμοστικότητα, σύμφωνα με τον Σ. Καβαλάρη, ο οποίος παρουσίασε το πώς ένα σύγχρονο ΙΤ μπορεί να αντιμετωπίσει αυτές τις νέες προκλήσεις όσο και κατά πόσο είναι εφικτή η διατήρηση ισορροπίας ανάμεσα στις επιχειρηματικές ευκαιρίες που προσφέρει ο ψηφιακός μετασχηματισμός των επιχειρήσεων και του νέου εξελιγμένου μοντέλου ασφάλειας που αυτός επιβάλλει.

Εργαλεία (και τεχνολογίες) της νέας ψηφιακής εποχής
Η νέα «περίμετρος» είναι πλέον oι εφαρμογές, οι νέοι κίνδυνοι είναι τα ThinkBots και αυτοί που «συνοδεύουν» τον ψηφιακό μετασχηματισμό. Σε αυτό το περιβάλλον επιτυχημένες θεωρούνται όχι μόνο εκείνες οι εταιρείες που εκμεταλλεύονται σωστά τον ψηφιακό μετασχηματισμό αλλά κι εκείνες που καταφέρνουν να αντιμετωπίσουν τις καινούργιες απειλές, επισήμανε ο Νικόλαος Σίμος, Τεχνικός Διευθυντής της Pylones Hellas.

Στα ρίσκα της νέας ψηφιακής εποχής αναφέρθηκε και ο  Richard Meeus (Head of Security Strategy, Akamai Technologies), ενώ ο Βασίλης Μαρίτσας (Senior Manager ,Cybersecurity Advisory Services της EY) τόνισε οι τεχνολογικές εξελίξεις κρύβουν μεν κινδύνους, αλλά έχουν δημιουργήσει πολλά εργαλεία, τη χρησιμότητα των οποίων παρουσίασε. Ιδιαίτερης σημασίας βέβαια για την επιλογή της σωστής λύσης είναι η θέσπιση ξεκάθαρων στόχων από τη μεριά της επιχείρησης, υπενθύμισε ο Βασίλης Ηλιόπουλος, Major Account Manager της Fortinet.

H cybersecurity πτυχή των νέων τεχνολογιών αναλύθηκε επίσης από αρκετούς ομιλητές του συνεδρίου: O Evangelo Gazi (Chief Architect Security, Internet of Things, Security Solution Planning & Architecture Design Department, Products & Solutions Department της Huawei) ανέλυσε την IoT οπτική της, ο Άκης Γιούχας (Senior Manager, Accenture Greece) μελέτησε τις δυνατότητες της ψηφιακής ασφάλειας εντός των cloud οικοσυστημάτων, ενώ ο Γιώργος Κανελλόπουλος, Cyber Defense Operations Manager της Coca-Cola HBC, επεξήγησε πώς μπορεί να στηθεί σωστά και έξυπνα ένα Security Operation Center (SOC) αξιοποιώντας τις.

Προκλήσεις και αντιμετώπισή τους
Οι προκλήσεις βέβαια δεν παύουν να υπάρχουν στον χώρο του cybersecurity, γι’ αυτό είναι ιδιαίτερα χρήσιμο να αναγνωριστούν εκ των προτέρων ανέφερε ο Λευτέρης Νταντούμης, IT Governance Consultant της Priority, αναλύοντας μερικές εκ των βασικότερων. Ο Θεόδωρος Στεργίου (PhD, CEng, CPMM, CISM Διευθυντής, Cyber Security & Risk Consulting της KPMG Greece) επισήμανε τους τρεις βασικότερους πυλώνες της ασφάλεια στην ψηφιακή εποχή, ενώ το γεγονός πως οι απειλές δεν βρίσκονται πάντα εκτός των τειχών υπενθύμισε στην ομιλία του ο Felix Martos (Security Channel Manager, HPE Aruba, Southern Europe).

Ο Βασίλης Νικολόπουλος (Security Engineer Team Leader – Greece, Cyprus, Romania & Bulgaria της Check Point) ανέλυσε κάποιες προτεινόμενες στρατηγικές ψηφιακής ασφάλειας, για να ακολουθήσει ο Άρης Χατζηπαπάς (Chief Security Compliance Auditor, Security & Monitoring Services Division στην Cosmos Business Systems) ο οποίος επικεντρώθηκε στη στρατηγική της ολιστικής προσέγγισης. Ιδιαίτερης αναφοράς χρήζει βέβαια και η επόμενη ημέρα, ήτοι τι ακολουθεί ένα περιστατικό παραβίασης της ασφάλειας, ένα θέμα που παρουσίασε διεξοδικά ο Κώστας Βούλγαρης, Financial Lines & Casualty Manager της AIG.

Η θέση του CISO στην ελληνική αγορά
Το συνέδριο ολοκληρώθηκε με ένα πάνελ, το οποίο συνίστατο από μέλη της οργανωτικής επιτροπής: τους Γιώργο Διαμαντόπουλο (Director OTE Group – Information Security & Telecom Fraud Prevention Department), Κώστα Παπαδάτο ( Πρόεδρο του (ISC)2 Hellenic Chapter), Χρήστο Συγγελάκη (CISO / DPO, Group Motor Oil Hellas), Γιώργο Σωτηρόπουλο (Cyber Security Officer Praxia Bank), Γιάννη Τζάνο (Group Corporate Security Officer, Eurobank). Ο συντονισμός της συζήτησης έγινε από τον Χρήστο Ξενάκη, Καθηγητή ΠΑΠΕΙ και Διευθυντή Μεταπτυχιακού Ψηφιακής Ασφάλειας Συστημάτων.

Στο πάνελ συζητήθηκαν θέματα όπως οι αρμοδιότητες, τα πιθανά conflict και το επίπεδο συνεννόησης και συνεργασίας που μπορεί να υπάρχει μεταξύ των νέων ρόλων των CISO, CSO και DPO. Επίσης προβλημάτισε τους παρευρισκόμενους το νέο πλαίσιο της κυβερνοασφάλειας, τόσο για τους επιτιθέμενους όσο και για τους αμυνόμενους, λόγω των νέων τεχνολογιών όπως η τεχνητή νοημοσύνη, το machine learning, το blockchain και φυσικά το IoT.