Γράφει ο Αναστάσιος Αραμπατζής*
Ο Οκτώβριος είναι ο μήνας ευαισθητοποίησης για την κυβερνοασφάλεια. Η πρωτοβουλία αυτή έχει ως στόχο να βοηθήσει τους πολίτες (αλλά και τις επιχειρήσεις) να προστατεύσουν τους εαυτούς τους από τους διάφορους κινδύνους που ελλοχεύουν στο διαδίκτυο.
Στο πλαίσιο των δράσεων για την αύξηση της ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας σε εθνικό και παγκόσμιο επίπεδο, οι κυβερνήσεις και οι επιχειρήσεις συνεργάζονται υπό την καθοδήγηση του ENISA στην Ευρωπαϊκή Ένωση και της Εθνικής Συμμαχίας για την Κυβερνοασφάλεια (National Cybersecurity Alliance, NCA), καθώς και του Οργανισμού για την Ασφάλεια στον Κυβερνοχώρο και την Ασφάλεια των Υποδομών (CISA) στις Ηνωμένες Πολιτείες.
Τα συνθήματα για τις φετινές εκστρατείες είναι “Think Before U Click” και “See Yourself in Cyber“. Αυτά καταδεικνύουν ότι παρόλο που η ασφάλεια στον κυβερνοχώρο μπορεί να είναι ένα περίπλοκο, τεχνικό θέμα, τελικά έχει να κάνει με τους ανθρώπους.
Ο καθένας μας έχει ένα ρόλο να παίξει στην κυβερνοασφάλεια, ανεξάρτητα από τη θέση που κατέχουμε.
-
- Οι πολίτες μπορούν να λάβουν απλές προφυλάξεις για να διασφαλίσουν την ψηφιακή τους ιδιωτικότητα και τις πληροφορίες τους.
- Οι πωλητές και οι προμηθευτές μπορούν να διασφαλίσουν τη φήμη της εταιρείας τους θέτοντας σε εφαρμογή ισχυρά μέτρα κυβερνοασφάλειας, ώστε να βοηθήσουν στην αποτροπή ενός περιστατικού είτε στην εταιρεία τους είτε στην εφοδιαστική αλυσίδα.
- Οι ιδιοκτήτες και οι φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας μπορούν να μάθουν πώς η εταιρεία τους συμβάλλει στη συνολική κυβερνοασφάλεια του οικοσυστήματος αλλά και του κράτους.
Ο μήνας ευαισθητοποίησης για την κυβερνοασφάλεια χρησιμεύει ως υπενθύμιση σε όλους ότι υπάρχουν πολυάριθμοι τρόποι για να διασφαλίσετε τα δεδομένα σας. Ακόμη και η εκμάθηση των βασικών αρχών της κυβερνοασφάλειας μπορεί να έχει σημαντικό αντίκτυπο.
Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων
Όλοι συμφωνούν ότι η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (multi-factor authentication, MFA) είναι η καλύτερη προφύλαξη για τον μετριασμό των επιθέσεων με χρήση κωδικών πρόσβασης.
Μια οδηγία του CISA υπογραμμίζει ότι “ο MFA είναι μια από τις σημαντικότερες πρακτικές κυβερνοασφάλειας για τη μείωση του κινδύνου εισβολής. Σύμφωνα με σχετική έρευνα, οι χρήστες που ενεργοποιούν τον MFA έχουν έως και 99% λιγότερες πιθανότητες να παραβιαστεί ένας λογαριασμός”.
Επομένως, είναι σημαντικό να ενεργοποιείται ο MFA όπου αυτό είναι δυνατό, υπογραμμίζει μία άλλη αναφορά του ENISA. Αυτό αφορά τόσο λογαριασμούς σε μέσα κοινωνικής δικτύωσης όσο και πιο ευαίσθητες εφαρμογές, όπως εφαρμογές τραπεζών.
Ένα λάθος που κάνουν ορισμένες επιχειρήσεις είναι ότι προστατεύουν με έλεγχο ταυτότητας πολλαπλών παραγόντων μόνο τους προνομιούχους λογαριασμούς τους, όπως οι διαχειριστές IT, και τους απομακρυσμένους χρήστες τους. Ωστόσο, κάθε εργαζόμενος και κάθε άτομο αποτελούν δυνητικό στόχο για τους επίδοξους hackers.
Ως εκ τούτου, ο MFA θα πρέπει να είναι ενεργοποιημένος για κάθε εργαζόμενο, ώστε να μειωθεί η πιθανότητα να παραβιάσουν οι επιτιθέμενοι έναν λογαριασμό.
Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για ισχυρούς, μοναδικούς κωδικούς πρόσβασης
Τα κλειδιά του ψηφιακού σας κάστρου είναι οι κωδικοί πρόσβασής σας. Θέλετε να λάβετε κάθε δυνατή προφύλαξη για να διατηρήσετε τους κωδικούς πρόσβασής σας ασφαλείς, όπως ακριβώς θα κάνατε και με τα κλειδιά του σπιτιού σας.
Όλοι οι κωδικοί πρόσβασης θα πρέπει να δημιουργούνται σύμφωνα με τρεις κατευθυντήριες αρχές, ανεξάρτητα από τους λογαριασμούς που προστατεύουν: μακρύς, μοναδικός, σύνθετος.
Εάν ο κωδικός πρόσβασής σας είναι μακρύς, ξεχωριστός και σύνθετος, η συμβουλή είναι να μην τον αλλάξετε ποτέ, εκτός εάν παρατηρήσετε ότι κάποιος άλλος χρησιμοποιεί τον συγκεκριμένο λογαριασμό χωρίς την άδειά σας ή ότι ο κωδικός πρόσβασης εκλάπη κατά τη διάρκεια παραβίασης δεδομένων. Οι πιο πρόσφατες οδηγίες του Εθνικού Ινστιτούτου Επιστημών και Τεχνολογίας (NIST) των ΗΠΑ υποστηρίζουν αυτή τη σύσταση.
Στην πραγματικότητα, αν αλλάζετε συχνά τους κωδικούς πρόσβασής σας, κινδυνεύετε να επαναλάβετε τους παλιούς ή να αναπτύξετε «ανθυγιεινές» συνήθειες, όπως η χρήση πανομοιότυπων ή αδύναμων κωδικών πρόσβασης.
Καθώς η ζωή μας έχει γίνει όλο και περισσότερο ψηφιακή και κάνουμε περισσότερα πράγματα στο διαδίκτυο, μπορεί πλέον να (δια)χειριζόμαστε πάνω από 100 κωδικούς πρόσβασης. Η δημιουργία, η αποθήκευση και η απομνημόνευση όλων αυτών των κωδικών πρόσβασης μπορεί να είναι μια μεγάλη ταλαιπωρία.
Ωστόσο, οι κωδικοί πρόσβασης αποτελούν την πρώτη γραμμή άμυνάς σας έναντι των κακόβουλων δρώντων και των παραβιάσεων δεδομένων. Οι φιλικοί προς το χρήστη διαχειριστές κωδικών πρόσβασης (password managers) μπορούν να κάνουν τη διαχείριση των κωδικών σας πιο απλή από ποτέ.
Ένας διαχειριστής κωδικών πρόσβασης παρέχει τον ευκολότερο τρόπο για τη δημιουργία και τη διατήρηση ισχυρών κωδικών πρόσβασης για τον αυξανόμενο αριθμό διαδικτυακών λογαριασμών στους οποίους συνδεόμαστε.
Με τη χρήση ενός διαχειριστή κωδικών πρόσβασης, μπορείτε να αποφύγετε τη χρήση ενός ακατάστατου αυτοκόλλητου σημειώματος στην οθόνη του υπολογιστή σας με τους πιο σημαντικούς κωδικούς πρόσβασης ή ενός περίπλοκου σημειωματάριου χωμένου σε ένα συρτάρι. Το μόνο που χρειάζεται να θυμάστε για να αποκτήσετε πρόσβαση στο θησαυροφυλάκιο του διαχειριστή κωδικών πρόσβασης είναι ένας ισχυρός κωδικός πρόσβασης.
Να ενημερώνετε πάντα το λογισμικό σας
Η ενημέρωση του λογισμικού και των εφαρμογών σας είναι ένας από τους απλούστερους τρόπους για να διατηρείτε τις πληροφορίες σας ασφαλείς. Οι ενημερώσεις λογισμικού είναι μια απλή μέθοδος για να είστε ένα βήμα μπροστά από τους κακούς, επειδή μπορείτε να είστε σίγουροι ότι πάντα αναζητούν νέους τρόπους πρόσβασης στα δεδομένα σας μέσω ευάλωτου λογισμικού.
Ορισμένοι σημαντικοί λόγοι προκειμένου να ενημερώσετε άμεσα το λογισμικό σας είναι οι ακόλουθοι:
-
- Κλείνετε τα κενά ασφαλείας. Οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή σας εξαιτίας ελαττωμάτων του λογισμικού. Οι κυβερνοεγκληματίες θεωρούν αυτά τα ελαττώματα ως ξεκλείδωτες πόρτες που τους παρέχουν πρόσβαση για να μολύνουν τα συστήματα με κακόβουλο λογισμικό. Οι ενημερώσεις ασφαλείας λογισμικού κλείνουν αυτές τις ανοιχτές πύλες.
- Διασφαλίζετε τα δεδομένα σας. Ένας επιτιθέμενος που αποκτά πρόσβαση μέσω ενός κενού ασφαλείας λογισμικού θα αναζητήσει εμπιστευτικά έγγραφα, κωδικούς πρόσβασης και άλλα προσωπικά δεδομένα, όπως οικονομικές πληροφορίες. Τα δεδομένα σας προστατεύονται καλύτερα όταν το λογισμικό ενημερώνεται για την αντιμετώπιση των κενών ασφαλείας.
Όταν κατεβάζετε και εγκαθιστάτε ενημερώσεις, οι ακόλουθες συμβουλές μπορεί να φανούν χρήσιμες:
-
- Κατεβάζετε ενημερώσεις λογισμικού αποκλειστικά από την πηγή που τις παρήγαγε. Ποτέ μην χρησιμοποιείτε λογισμικό που έχει σπάσει, είναι πειρατικό ή έχει χρησιμοποιηθεί χωρίς άδεια χρήσης (ακόμη και αν σας το έδωσε φίλος/φίλη σας). Αυτά συχνά έχουν ιούς και δημιουργούν περισσότερα προβλήματα από όσα διορθώνουν.
- Αυτοματοποιήστε τη διαδικασία. Η δυνατότητα αυτόματης ενημέρωσης του προγράμματός σας προσφέρεται συνήθως ως προεπιλογή από λογισμικό αξιόπιστων προμηθευτών. Μην αλλάξετε αυτή τη ρύθμιση.
Αναγνωρίστε phishing μηνύματα
Το ηλεκτρονικό “ψάρεμα” (phishing) είναι μια δημοφιλής τακτική των κυβερνοεγκληματιών, αλλά δεν χρειάζεται να την πατήσετε. Στην πλειονότητα των επιθέσεων στον κυβερνοχώρο, οι εγκληματίες χρησιμοποιούν την κοινωνική μηχανική και το κάνουν επειδή είναι αποτελεσματική.
Ο καθένας μπορεί να πέσει θύμα του σωστού «δολώματος» τη λάθος στιγμή. Εκτός από πολλές άλλες επιχειρήσεις, όπως το Twitter, η Sony και η Google, η κοινωνική μηχανική έχει επίσης χρησιμοποιηθεί για να θέσει σε κίνδυνο ανθρώπους και οικογένειες.
Οι εγκληματίες του κυβερνοχώρου είναι όλο και πιο πειστικοί σε πολλές από τις απόπειρες phishing. Σύμφωνα με την Jessica Barker, ένας από τους λόγους που η κοινωνική μηχανική είναι τόσο αποτελεσματική είναι ότι θα χειραγωγήσει τα συναισθήματά μας για να διαστρεβλώσει την κρίση μας. Τα πάντα εξαρτώνται από το πώς προσλαμβάνουμε τις πληροφορίες.
Σύμφωνα με τη θεωρία της συμπεριφοράς, υπάρχουν δύο τρόποι με τους οποίους ο καθένας μας επεξεργάζεται τις πληροφορίες: γρήγορα και αργά. Όταν σκεφτόμαστε αργά, είμαστε συγκροτημένοι, σκεπτόμενοι και λογικοί. Οι εγκληματίες του κυβερνοχώρου θέλουν να σκεφτόμαστε διαφορετικά.
Θέλουν να μας αναγκάσουν να σκεφτόμαστε γρήγορα, ώστε να είμαστε ευάλωτοι, συναισθηματικοί και εύκολα ελεγχόμενοι. Ως εκ τούτου, οι εγκληματίες του κυβερνοχώρου χειρίζονται τα συναισθήματά μας για να μας πείσουν να κάνουμε κλικ σε αμφισβητήσιμους συνδέσμους, να κατεβάσουμε επικίνδυνα συνημμένα αρχεία και να αποκαλύψουμε τα διαπιστευτήριά μας.
Αφιερώστε μερικά δευτερόλεπτα για να βεβαιωθείτε ότι το μήνυμα ηλεκτρονικού ταχυδρομείου ή το μήνυμα SMS προέρχεται από τον παραλήπτη που φαίνεται να το έστειλε, προτού κάνετε κλικ σε συνδέσμους ή κατεβάσετε τα συνημμένα αρχεία. Ακολουθούν ορισμένες σύντομες οδηγίες για την αναγνώριση ενός μηνύματος phishing:
-
- Περιέχει μια προσφορά που φαίνεται πολύ καλή για να είναι αληθινή;
- Χρησιμοποιεί απειλητική, τρομακτική ή επείγουσα γλώσσα;
- Ζητάει την αποστολή προσωπικών πληροφοριών;
- Υπάρχει η αίσθηση του επείγοντος να ανοίξετε έναν άγνωστο σύνδεσμο ή συνημμένο αρχείο;
- Πρόκειται για ένα περίεργο επαγγελματικό αίτημα;
- Ταιριάζει η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα με την επιχείρηση από την οποία προέρχεται; Δώστε προσοχή σε μικρά ορθογραφικά λάθη όπως Anazon.com ή Pavpal.com.
Η αναγνώριση ενός μηνύματος που αποτελεί μέρος της εκστρατείας ηλεκτρονικού “ψαρέματος” είναι το δύσκολο κομμάτι. Το μόνο που απομένει να κάνετε είναι να το αναφέρετε. Αναφέρετε το μήνυμα ηλεκτρονικού ταχυδρομείου το συντομότερο δυνατό στον υπεύθυνο πληροφορικής ή στον υπεύθυνο ασφαλείας, αν βρίσκεστε στον χώρο εργασίας σας και έχει σταλεί στη διεύθυνση ηλεκτρονικού ταχυδρομείου της εργασίας σας.
Εάν το μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη στην προσωπική σας διεύθυνση ηλεκτρονικού ταχυδρομείου, μην ακολουθήσετε τις οδηγίες. Μην απαντήσετε στο μήνυμα ηλεκτρονικού ταχυδρομείου και μην κάνετε κλικ σε κανένα σύνδεσμο.
Πατήστε απλώς το κουμπί διαγραφής. Μπορείτε να ενισχύσετε την ασφάλειά σας μπλοκάροντας τη διεύθυνση αποστολής από το πρόγραμμα ηλεκτρονικού ταχυδρομείου σας.
Όλοι έχουν δικαίωμα σε ένα ασφαλές διαδίκτυο, οπότε ας θυμόμαστε: #BeCyberSmart.
*Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.