«Γιατί ο CISO πρέπει να περπατά συνεχώς σε ένα τεντωμένο σκοινί προσπαθώντας να εξισορροπήσει ανάμεσα στην αλαζονεία και την ηττοπάθεια; Πώς μπορεί να διαχειριστεί αποτελεσματικότερα τις απειλές του σήμερα και να θωρακίσει αποτελεσματικά τα πληροφοριακά συστήματα της επιχείρησής του;». Ο Στέλιος Βαλτζής, Global Information Security Officer της SaarGummi δίνει τις απαντήσεις, συνεχίζοντας το μαραθώνιο των καθημερινών δημοσιεύσεων του NetFAX για το cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Τα τελευταία δύο χρόνια παρατηρήθηκαν κάποιες από τις πιο σοβαρές επιθέσεις στον κυβερνοχώρο που καταγράφηκαν ποτέ σε επιχειρήσεις διαφόρων βιομηχανιών. Το να ισχυριστεί κάποιος ότι είναι απόλυτα ασφαλής και προστατευμένος από επιθέσεις ή ότι όσο κι αν προσπαθήσει δεν θα μπορέσει ποτέ να δημιουργήσει ένα ασφαλές περιβάλλον, σημαίνει ότι πατάει και με τα δύο πόδια στη μια πλευρά μιας πολύ λεπτής διαχωριστικής γραμμής που ξεχωρίζει την αλαζονεία από την ηττοπάθεια. Η σωστή τοποθέτηση είναι ακριβώς στη μέση.

Ένας CISO πρέπει να ακροβατεί ανάμεσα στο βέλτιστο μέγεθος επενδύσεων στην κυβερνοασφάλεια και στον κίνδυνο. Πρέπει να εκτιμά διαρκώς την επίπτωση που μπορεί να έχει στην ομαλή λειτουργία της επιχείρησης ένας τύπος απειλής και να αξιολογήσει πότε το ρίσκο είναι μεγάλο και άρα πρέπει οπωσδήποτε να αντιμετωπισθεί και πότε το ρίσκο μπορεί να είναι αποδεκτό. Αν και δεν μπορούμε να προβλέψουμε την εμφάνιση νέων απειλών, μπορούμε να δούμε την τάση τους και να εκτιμήσουμε το μέλλον.

Πολύ πρόσφατα, η Tesla προσέφυγε στα δικαστήρια εναντίον πρώην εργαζομένων της, διότι ανέβασαν τμήματα του κώδικα αυτόνομης οδήγησης σε λογαριασμούς cloud τα οποία, όπως ισχυρίζεται η Tesla, κατέληξαν στα χέρια ανταγωνιστών στην Ασία. Αυτό που έχει μεγάλο ενδιαφέρον είναι ότι φαινομενικά αθώες υπηρεσίες μπορούν να αποτελέσουν τους μεγαλύτερους κινδύνους στην ασφάλεια των πληροφοριών.

Μπορεί κανείς να ισχυριστεί ότι οι μεγάλοι κατασκευαστές αυτοκινήτων, που επενδύουν τεράστια ποσά στη θωράκιση των πληροφοριακών τους συστημάτων, δεν είναι ασφαλείς; Το παράδειγμα της Tesla αποτελεί ένα απτό παράδειγμα της λεπτής διαχωριστικής γραμμής ανάμεσα στην αλαζονεία (έχω επενδύσει εκατομμύρια, άρα είμαι ασφαλής) και την ηττοπάθεια (ό,τι κι αν κάνω, πάντα θα υπάρχουν κενά στην ασφάλεια πληροφοριών).

O CISO πρέπει να περπατήσει σε ένα τεντωμένο σχοινί που λέγεται Business Impact Assessment and Risk Analysis (εκτίμηση των επιπτώσεων στην επιχείρηση και ανάλυση ρίσκου). Για να μπορέσει να δημιουργηθεί ένας τέτοιος μηχανισμός, είναι απαραίτητο η επιχείρηση να γνωρίζει τι πληροφορίες έχει στη διάθεσή της και πώς αυτές ταξινομούνται, ως προς την Εμπιστευτικότητα (Confidentiality), τη Διαθεσιμότητα (Availability) και την Ακεραιότητα (Integrity).

Σε περιβάλλοντα με πολύ υψηλές απαιτήσεις ασφάλειας, χρειάζεται η ταξινόμηση και ως προς την Ιχνηλασιμότητα (Traceability).  Όταν η επιχείρηση γνωρίζει τις κατηγορίες πληροφοριών που διαχειρίζεται, τις απαιτήσεις τους ως προς τις τρεις ή τέσσερις κατηγορίες (C-I-A triad και T), μπορεί να διεξάγει ικανοποιητικές αναλύσεις επιπτώσεων από τα διάφορα ρίσκα και να επικεντρωθεί στην αντιμετώπιση εκείνων των ρίσκων που έχουν τη μεγαλύτερη επίπτωση.

Με τον τρόπο αυτό σχοινοβατεί στη διάβαση της λεπτής διαχωριστικής γραμμής, ισορροπώντας ανάμεσα στις υπέρογκες και άσκοπες επενδύσεις, στην αγνόηση του κινδύνου από κάποιο τύπο επίθεσης και στη δημιουργία ενός αποτελεσματικού πλέγματος ασφάλειας πληροφοριών.Τα πιο συνηθισμένα ρίσκα που μπορεί κανείς να αξιολογήσει ώστε να αποτιμήσει την ανάγκη αντιμετώπισης τους συνοψίζονται στις ακόλουθες κατηγορίες:
  
Ransomware
Σε περιβάλλοντα με ανεπτυγμένες υποδομές IoT και SCADA το ρίσκο μιας επίθεσης ransomware είναι αρκετά υψηλό. Μια τέτοια επίθεση μπορεί να σταματήσει την παραγωγική διαδικασία με τεράστιες επιπτώσεις στην αξιοπιστία, τη φήμη και τα οικονομικά αποτελέσματα της επιχείρησης. Η επίθεση ransomware δεν εκδηλώνεται τη στιγμή που οι υπολογιστές κλειδώνονται.

Ξεκινάει αρκετά νωρίτερα με τη μόλυνση του στόχου από τον κώδικα του ransomware. Τα κυριότερα αίτια μιας μόλυνσης είναι ανεπαρκής μηχανισμός patching, end-of-support λειτουργικά συστήματα, ελλιπής εκπαίδευση του προσωπικού σε θέματα phishing, μη ολοκληρωμένη στρατηγική προστασίας από malware κ.α.

Η πιθανότητα (likelihood) να δεχθεί κάποιος επίθεση ransomware είναι αρκετά μεγάλη. Μην πατήσετε την μπανανόφλουδα και πιστέψετε ότι η επιχείρησή σας δεν είναι σημαντική για να γίνει στόχος – μπορεί να βρεθείτε στο στόχαστρο μιας τέτοιας επίθεσης γιατί πέσατε θύμα phishing. Φροντίστε να μην πληρώσετε λύτρα και εξασφαλίστε ότι έχετε αναπτύξει μια συνεκτική στρατηγική backup, που θα διανθίζεται με συχνά δοκιμαστικά restores.

Cryptojacking
Σε σχέση με το ransomware, το cryptojacking είναι πιο δημοφιλής επίθεση γιατί φαίνεται ότι είναι περισσότερο προσοδοφόρα για τους κυβερνοεγκληματίες. Για παράδειγμα, στους 100 servers που έχουν μολυνθεί από ransomware, ο hacker θα εισπράξει για 2, 3 το πολύ 4 από αυτούς. Με το Cryptojacking θα εισπράξει από το σύνολο των 100 μολυσμένων servers. Δεν υπάρχει κάποια αξιόπιστη εκτίμηση του συνολικού κόστους αυτού του τύπου ρίσκου, ωστόσο είναι διαρκώς αυξανόμενα τα κρούσματα.

Η πιθανότητα να δεχθεί κάποιος τέτοια επίθεση είναι πολύ υψηλή. Η επίθεση μπορεί να εκδηλωθεί μέσω phishing ή μέσω web injection. Για να προστατευθείτε, ενσωματώστε το cryptojacking στο πρόγραμμα εκπαίδευσης του προσωπικού σε θέματα ασφάλειας πληροφοριών και αποκλείστε τις διαφημίσεις από τις ιστοσελίδες που επισκέπτονται οι εργαζόμενοι.

Phishing emails
Όπως αναφέρθηκε ήδη, τα phishing emails είναι η συνηθέστερη μέθοδος εκδήλωσης μιας επίθεσης. Εκπαιδεύετε συχνότατα το προσωπικό στην αναγνώριση αυτών των επιθέσεων. Εάν σας το επιτρέπει ο CFO, οργανώστε μια καμπάνια phishing με τη βοήθεια μιας τρίτης, εξειδικευμένης εταιρείας – τα αποτελέσματα θα είναι εξαιρετικά. Το προσωπικό αντιλαμβάνεται καλύτερα τους κινδύνους μέσω μιας τέτοιας οργανωμένης καμπάνιας επικοινωνίας.

Ακούσια Διαρροή Πληροφοριών
Έχετε στείλει ποτέ email σε λάθος παραλήπτη; Ρητορικό το ερώτημα, προφανώς και το έχετε κάνει. Ακουσίως, διαρρεύσατε πληροφορίες. Αν τυχόν αναρωτιέστε γιατί ένα τέτοιο λάθος είναι σημαντικό για έναν CISO, ξαναδιαβάστε το άρθρο από την αρχή και δώστε προσοχή στην ταξινόμηση των πληροφοριών ως προς την Εμπιστευτικότητα. Εάν έχετε οργανώσει τις πληροφορίες της επιχείρησης σας και έχετε ορίσει Information Owners, Risk Owners, Asset Owners, το επόμενο βήμα σας θα πρέπει να είναι να υλοποιήσετε ένα σύστημα Data Loss Prevention.

Με αυτά τα συστήματα μπορείτε να ελέγξετε την ταξινόμηση των πληροφοριών που περιέχονται σε ένα μήνυμα, ανεξάρτητα από το κανάλι επικοινωνίας (ftp, email, Internet κ.λπ.) και να ορίσετε πολιτικές που μπορούν να αποτρέψουν την αποστολή ενός μηνύματος με εμπιστευτικές πληροφορίες σε λάθος παραλήπτη. Ασφαλώς αυτές οι 4 κατηγορίες δεν καλύπτουν το σύνολο των ρίσκων, είναι όμως οι πλέον συνηθισμένες επιθέσεις.

Στο πλαίσιο της αντιμετώπισης των κινδύνων αυτών ίσως είναι χρήσιμο να αξιολογήσει κανείς και τις δυνατότητες που προσφέρονται από σύγχρονες λύσεις εντοπισμού ανώμαλων συμπεριφορών (anomalous behavior detection). Πρόκειται για χαμηλού σχετικά κόστους λύσεις βασισμένες σε αλγορίθμους τεχνητής νοημοσύνης, που παρακολουθούν τις συνήθεις συμπεριφορές συστημάτων και σε πραγματικό χρόνο εντοπίζουν οτιδήποτε είναι εκτός των συνηθισμένων.

Καλύπτουν μεγάλο εύρος πιθανών προβλημάτων, από εντοπισμό άγνωστων συσκευών, μέχρι τον εντοπισμό μη εγκεκριμένης απόπειρας πρόσβασης εμπιστευτικών πληροφοριών από κάποια οντότητα.

Who’s Who
Ο Στέλιος Βαλτζής αποτελεί τον Global Information Security Officer του γερμανικού Ομίλου SaarGummi. Στα καθήκοντα του, καθώς ασκεί παράλληλα και το ρόλο του Global IT Director, περιλαμβάνονται ο ψηφιακός μετασχηματισμός και η ανάπτυξη ενός σύγχρονου συστήματος ασφαλείας πληροφοριών στο σύνολο του Ομίλου, καθώς και ο εκσυγχρονισμός των πληροφοριακών και τηλεπικοινωνιακών υποδομών. Ως διευθυντικό στέλεχος αναφέρεται στο Διοικητικό Συμβούλιο του Ομίλου.

Ο Όμιλος SaarGummi είναι βασικός προμηθευτής στεγανωτικών ελαστικών των μεγαλύτερων αυτοκινητοβιομηχανιών της Γερμανίας, της Αμερικής και της Ασίας. Με παραγωγικές υποδομές σε 12 χώρες και εγκαταστάσεις σε συνολικά 22 σημεία, ο Όμιλος συνεργάζεται με τις γνωστότερες αυτοκινητοβιομηχανίες στην έρευνα και ανάπτυξη στεγανωτικών ελαστικών, καθώς και στην παραγωγή και διάθεση των προϊόντων σε παγκόσμια κλίμακα.

Στο αναπτυξιακό πλάνο του Ομίλου περιλαμβάνεται η ενσωμάτωση τεχνολογιών αιχμής, όπως το blockchain, η τεχνητή νοημοσύνη, τα Big Data, ο αυτοματισμός της παραγωγικής διαδικασίας, καθώς και η ενεργειακή και περιβαλλοντική αποδοτικότητα των λειτουργιών του. Ο Σ. Βαλτζής είναι ηλεκτρονικός μηχανικός με ειδίκευση στο blockchain και τον ψηφιακό μετασχηματισμό. Έχει ιδρύσει την εταιρεία Taenaron Labs με έδρα στην Εσθονία με αντικείμενο τον ψηφιακό μετασχηματισμό μικρομεσαίων επιχειρήσεων, αξιοποιώντας τεχνολογίες cloud και blockchain.