Xρήστος Συγγελάκης, Όμιλος Motor Oil Hellas: «Η φιλοσοφία του Prevention και Detection έχει δώσει την σκυτάλη στο Resilience»

«Δεν είναι μόνο η επιλογή του προϊόντος που θα σε προστατέψει. Η σωστή παραμετροποίηση και η κουλτούρα σωστής χρήσης φέρνουν το αποτέλεσμα. Το πρόβλημα σε καμία περίπτωση δεν είναι καθαρά οικονομικό». Ο Χρήστος Συγγελάκης, Επικεφαλής Ασφάλειας Πληροφοριακών Συστημάτων και Υπεύθυνος Προστασίας Δεδομένων του Ομίλου της Motor Oil Hellas, δίνει συνέχεια στο μπαράζ των καθημερινών συνεντεύξεων του NetFAX με CISOs και διευθυντικά στελέχη της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Πόσο πολύπλοκος και απαιτητικός είναι ο ρόλος ενός CISO σήμερα; Ποιες είναι οι κυριότερες αρμοδιότητές σας στον οργανισμό σας;
Ο CISO είναι ένας ρόλος που έρχεται σε επαφή με την τεχνολογία. Που είναι ιδιαίτερα περίπλοκη. Δεν είναι, όμως, μόνο αυτό. Ο ρόλος του CISO απαιτεί κάποιον που να καταλαβαίνει τις ανάγκες της επιχείρησης, που να γνωρίζει ποιοι είναι οι στόχοι της, πώς μπορεί να τους πετύχει και τι μέσα σκοπεύει να χρησιμοποιήσει γι’ αυτό το σκοπό. Άρα πρέπει να έχει πρόσβαση στο επίπεδο που παίρνονται οι αποφάσεις και να συμμετέχει από νωρίς στον σχεδιασμό.

Για να καταλάβει τα παραπάνω χρειάζεται να έχει πολύ καλή γνώση της επιχείρησης όσο αφορά τη δομή και τη νοοτροπία της, καθώς και του περιβάλλοντος στο οποίο αυτή κινείται, συμπεριλαμβανομένων τυχών κανονιστικών υποχρεώσεων. Όμως η πολυπλοκότητα δεν εξαντλείται σε τεχνολογικές και διοικητικές προκλήσεις, καθώς ο CISO έρχεται σε επαφή με ανθρώπους. Εκεί η πολυπλοκότητα εκτινάσσεται.

Ως εκ τούτου πρέπει να μιλάει στα ανώτερα διοικητικά κλιμάκια σε μια «γλώσσα» που καταλαβαίνουν, παρουσιάζοντας μόνο την αναγκαία πληροφορία, αφαιρώντας τεχνολογικούς όρους και κινδυνολογίες. Θα πρέπει, επίσης, να εκθέτει τις επιλογές, το ρίσκο που αυτές περικλείουν και τις εναλλακτικές προτάσεις ώστε η επιχείρηση να συνεχίσει με μειωμένο ρίσκο. Σε αυτό το επίπεδο πρέπει να συμβιβαστεί με το δεδομένο ότι η τελική απόφαση δεν του ανήκει. Είναι επιλογή της διοίκησης σε ποιο επίπεδο ασφάλειας θα φτάσει και ποιο ρίσκο θα αποδεχθεί.

Η μεγάλη δυσκολία είναι να καταφέρει να ηγηθεί και όχι να επιβληθεί στην προσπάθεια για να επιτευχθεί ο στόχος. Όμως ακόμα και η επιλογή του στόχου είναι κάτι πολύπλοκο. Ο CISO είναι μέρος ενός οργανισμού και δεν έχει αποκλειστικό στόχο την αποστειρωμένη έννοια της ασφάλειας. Αυτό πρέπει να επικοινωνηθεί σε όλα τα επίπεδα.

Δεν αρκεί μόνο να έχει αποδοχή στη διοίκηση της εταιρείας, αλλά απαιτείται η αναγνώριση και από τα υπόλοιπα, χαμηλότερα σε ιεραρχία, στελέχη του οργανισμού, που θα τον πιστέψουν και θα αποδεχτούν την ανάγκη για αυτοπεριορισμό και συνεργασία. Στόχος πρέπει να είναι η υλοποίηση αυτών που οι αρμόδιοι σκέφτονται, με ασφάλεια, ώστε να μην χρειαστεί κάποια στιγμή, υπό την πίεση πιθανών προβλημάτων, να γυρίσουμε και να διορθώνουμε πράγματα που θα μπορούσαν να είχαν στηθεί με καλύτερο τρόπο.

Χρειάζεται, λοιπόν, να κτιστεί μια σχέση εμπιστοσύνης με όλο το σύνολο του ανθρώπινου δυναμικού της εταιρείας, ώστε να δημιουργεί η κουλτούρα που απαιτείται για την προώθηση της «εθελοντικής» συνεργασίας. Αν αυτό επιτευχθεί, τα υπόλοιπα θα έρθουν με επιμονή και υπομονή.

Ποιες είναι οι κυριότητες απειλές για έναν οργανισμό όπως ο δικός σας; Πώς θα πρέπει να διαχειρίζεται κανείς τις σύγχρονες απειλές γενικότερα;
Ο οργανισμός μας είναι ιδιαίτερα μεγάλος και περίπλοκος. Επεκτείνεται σε πολλές διαφορετικές δραστηριότητες, με μεγάλη διείσδυση στους τομείς δραστηριοποίησής τους, ενώ δεν περιορίζεται στον ελλαδικό χώρο. Με βάση τα παραπάνω τολμώ να αναφέρω ότι ερχόμαστε αντιμέτωποι με όλο το σύνολο των πιθανών απειλών και η απαρίθμησή τους μάλλον δεν θα ήταν αποδοτική.

Υπάρχει η κοινός αποδεκτή λογική ότι αν θες να αντιμετωπίσεις μία απειλή πρέπει πρώτα να καταλάβεις ότι υπάρχει. Πρέπει να κατανοήσεις τι έχεις να προστατέψεις, τι αξία έχει αυτό, σε ποιες απειλές το συγκεκριμένο είναι εκτεθειμένο, ποιες συνδυαστικές καταστάσεις μπορούν να οδηγήσουν σε αυξημένο κίνδυνο, ποιες εναλλακτικές είναι διαθέσιμες για να προχωρήσεις. Αυτό ίσχυε παλιά. Αυτό ισχύει και τώρα.

Είναι μία συνεχής διαδικασία risk management στην οποία βασικό ρόλο παίζει η καταγραφή του περιβάλλοντος και των αναγκών του. Είναι η βάση για να ξεκινήσει κάποιος. Στη συνέχεια πρέπει να στηθεί μια στρατηγική για το πού θέλουμε να πάμε, να δούμε αν υπάρχουν τεχνολογικές λύσεις που θα μας βοηθήσουν, αν υπάρχουν και αν μπορούν να εφαρμοστούν “quick win” σενάρια και εν συνεχεία να προχωρήσουμε με επιμονή και κυρίως υπομονή. Ιδίως όταν απαιτούνται δομικές αλλαγές του τρόπου λειτουργίας, καθώς αυτός, εν δυνάμει, αποτελεί πρόσφορο έδαφος εκμετάλλευσης κάποιου κενού ασφάλειας.

Πόσο πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO; Αναγνωρίζει η διοίκηση πλέον την ανάγκη επένδυσης σε υποδομές για τη θωράκιση της εταιρείας από τις σύγχρονες απειλές;
Οι τεχνολογικές επενδύσεις είναι ένα κομμάτι του παζλ. Αυτό το κομμάτι είναι σημαντικό και ακριβό. Είναι ένας τομέας που ταιριάζει απόλυτα η φράση, «ότι πληρώσεις παίρνεις». Θεωρώ ότι όλοι θα θέλαμε να είχαμε μία Ferrari. Αλλά δεν έχουμε. Με βάση την οικονομική μας δυνατότητα αποφασίζει ο κάθε ένας να κλείσει τρύπες.

Η οικονομική κρίση σίγουρα περιορίζει τις επιλογές. Όμως, όπως η ύπαρξη μιας Ferrari δεν σημαίνει de facto ότι θα πας ασφαλής στον προορισμό σου, έτσι και ένα καλοσυντηρημένο Fiat μπορεί να σε πάει στην άκρη της Γης. Δεν είναι μόνο η επιλογή του προϊόντος που θα σε προστατέψει. Η σωστή παραμετροποιήση και η κουλτούρα σωστής χρήσης φέρνουν το αποτέλεσμα. Το πρόβλημα σε καμία περίπτωση δεν είναι καθαρά οικονομικό.

Η διοίκηση αναγνωρίζει την ανάγκη επενδύσεων υπό το βάρος κάποιας κακής εμπειρίας, αν υπάρχουν κανονιστικές διατάξεις που την υποχρεώνουν για ανάλογες κινήσεις ή αν έχει τη διορατικότητα να καταλάβει ότι στην εποχή μας η ασφάλεια των πληροφοριών και των συστημάτων πάνε χέρι-χέρι με την ανάπτυξη, και, μερικές φορές, με την επιβίωση του οργανισμού. Έχω την αίσθηση ότι βρίσκομαι στην τυχερή μειονότητα των CISO που εντάσσονται σε οργανισμούς με την τελευταία, τη θετική προσέγγιση.

Tι επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο οργανισμός σας στην ασφάλεια; Θα μπορούσατε να αναφερθείτε ενδεικτικά, αν το θεωρείτε σκόπιμο, σε projects που τρέξατε πρόσφατα (ή σκοπεύετε να τρέξετε στο άμεσο μέλλον);
Οι εταιρείες του Group Motor Oil Hellas τα τελευταία χρόνια έχουν κάνει σεβαστές κινήσεις στη συγκεκριμένη κατεύθυνση. Καταρχάς, υπάρχει ο συγκεκριμένος ανεξάρτητος ρόλος του CISO και η στρατηγική που έχει στηθεί για να προχωρήσουμε προς κάτι καλύτερο.

Υπήρξαν επενδύσεις σε όλα τα επίπεδα και τεχνολογίες προστασίας των γραφείων και του βιομηχανικού περιβάλλοντος. Ενδεικτικά αναφέρω την εφαρμογή σε δικτυακό επίπεδο εκτεταμένου Firewall based Network Segmentation και Sandboxing, την υλοποίηση σε επίπεδο σταθμών εργασίας Traffic Filtering, Encryption, Configuration Management, Anti-Malware και Advanced Thread Protection, την εφαρμογή σε επίπεδο monitoring Behavior Based Thread Analysis, SIEM και έλεγχου προσβάσεων των Suppliers και την υλοποίηση σε επίπεδο παρουσίας στο Internet με Web Application Firewalls, DNS Hardening, Penetration Tests και Secure Coding Practices.

Όλα αυτά σε συνδυασμό με προγράμματα security awareness, training και phishing simulation για το σύνολο του προσωπικού. Παράλληλα, τρέχουν επενδύσεις Secure Cloud Adoption, Enterprise Mobile Security, Privilege και Identity Management κ.α., ενώ περιλαμβάνουμε στα μελλοντικά μας πλάνα την αξιοποίηση Cloud Access Security Broker.

Για κάποια από τα αναφερόμενα προϊόντα ήμασταν πρωτοπόροι, όσον αφορά την εισαγωγή τους στην ελληνική αγορά. Θεωρούμε ότι η ασφάλεια του περιβάλλοντος και των πληροφοριών που περιέχονται σε αυτό είναι ένα ανταγωνιστικό πλεονέκτημα και μία πρωτοπορία που οι εταιρείες του Group Motor Oil Hellas έχουν κερδίσει.

Κατά την άποψη σας, ποια είναι τα σημαντικότερα συστατικά της επιτυχίας για ένα διευθυντικό στέλεχος του cyber security σήμερα; Τι θα πρέπει να προσέξει για να εξελίξει περαιτέρω την καριέρα του;
Ο ρόλος του CISO παραπέμπει σε ένα πολυεργαλείο, το οποίο χρειάζεται να προσθέτει συνέχεια δεξιότητες σε όλους τους τομείς (τεχνολογικούς, διοικητικούς, διαχείρισης ρίσκου, διαπροσωπικών σχέσεων κ.α). Στο πλαίσιο αυτό η συνεχής μελέτη του περιβάλλοντος στο οποίο η επιχείρηση δραστηριοποιείται, των νέων τάσεων στο τοπίο των απειλών και των τεχνολογικών «όπλων» που μπορεί να αξιοποιήσει είναι must για την επιτυχία του.

Μαζί με την εξωστρέφεια, τη συμμετοχή σε διεθνή στοχευμένα συνέδρια, την επικοινωνία και την ανταλλαγή απόψεων με συναδέλφους από όλον τον κόσμο, με απώτερο στόχο να κερδίσει εμπειρία σχετικά με τους τρόπους με τους οποίους αντιμετώπισαν προβλήματα (που εμείς ευχόμαστε να μην ζήσουμε). Φυσικά, σε όλα τα παραπάνω βοηθάνε οι καταξιωμένες πιστοποιήσεις CISSP και CISM που προσφέρουν τη διεθνή αναγνώριση, η συμμετοχή στα ελληνικά Chapter του ISC2 και ISACA για την ανταλλαγή απόψεων με επαγγελματίες Έλληνες συναδέλφους και η συνεισφορά σε εκδηλώσεις ευαισθητοποίησης και ενημέρωσης του κοινού.

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα;
Αυτό που βλέπουμε σήμερα είναι να συντελείται μια μεταστροφή. Η φιλοσοφία του Prevention και Detection έχει δώσει την σκυτάλη στο Resilience. Η προσπάθεια αποτροπής και αναγνώρισης του «εχθρού» όταν καταφέρει να περάσει τις γραμμές αμύνης είναι δεδομένη. Υπάρχει και συνεχίζει να δομείται.

Όμως είναι πλέον δεδομένο, και όσο πιο γρήγορα το καταλάβουμε τόσο καλύτερα, ότι αν κάποιος θέλει να περάσει θα περάσει. Γι’ αυτό επενδύουμε σε τεχνικές που θα μας βοηθήσουν να σηκωθούμε όσο πιο γρήγορα γίνεται ξανά στα πόδια μας, προχωρώντας με το μικρότερο δυνατό αντίκτυπο στην επιχειρηματική μας δραστηριότητα.