Homo Digitalis

Γράφει o Ιωάννης Βασιλάκης*

Τα αγαθά των εταιρειών ως στόχος των επιτιθέμενων

Οι επιχειρήσεις διαχειρίζονται πολύτιμες πληροφορίες που πρέπει να προστατεύονται από επιθέσεις. Εταιρικά δεδομένα, επιχειρηματικά σχέδια με τεχνική μοναδικότητα, προσωπικά στοιχεία πελατών, συμβάσεις εμπιστευτικού χαρακτήρα, στρατηγικά πλάνα και κάθε άλλο «περιουσιακό στοιχείο» που συμβάλλει στην επιτυχία της επιχείρησης, αποτελεί στόχο των επιτιθέμενων.

Στο επίκεντρο των κυβερνοεπιθέσεων, είναι συχνά και οι υποδομές πληροφορικής των εταιρειών, μέσω των οποίων πραγματοποιείται η διαχείριση και η φύλαξη των δεδομένων και η λειτουργία των οργανισμών. Στην περίπτωση αυτή, αντικείμενο επίθεσης είναι τα δίκτυα και ο σχετικός εξοπλισμός, τα συστήματα διαχείρισης βάσεων δεδομένων, τα λειτουργικά συστήματα, οι εταιρικές ιστοσελίδες  κ.λπ.

Είδη απειλών και επιπτώσεις των επιθέσεων

Οι επιχειρήσεις και οι εργαζόμενοι βρίσκονται αντιμέτωποι με ποικίλες και εξελισσόμενες κυβερνοαπειλές που χρησιμοποιούν διάφορες μεθόδους, όχι απαραίτητα τεχνικές.

• Το «social engineering» (κοινωνική μηχανική), είναι η ευρύτερη πρακτική της χειραγώγησης ανθρώπων για την αποκάλυψη εμπιστευτικών πληροφοριών.
• Το «phishing» αποτελεί μία τεχνική «social engineering», όπου με χρήση ηλεκτρονικών μηνυμάτων που δείχνουν έμπιστα, οι επιτιθέμενοι προσπαθούν να αποσπάσουν ευαίσθητες πληροφορίες (κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών) ή να πείσουν τους χρήστες να επιτρέψουν την εγκατάσταση κακόβουλου λογισμικού (malware).
• Το «malware» μπορεί να έχει διάφορες μορφές, ανάλογα με το είδος της επίθεσης και το στόχο του επιτιθέμενου. Η κλοπή δεδομένων ή η καταστροφή τους, η καταγραφή των δραστηριοτήτων τού χρήστη εν αγνοία του, η κρυπτογράφηση εταιρικών αρχείων και η αξίωση καταβολής λύτρων (ransomware), είναι μερικά από τα πιο διαδεδομένα είδη επιθέσεων.

Οι επιπτώσεις μιας επιτυχούς επίθεσης μπορεί να είναι καταστροφικές για τον οργανισμό και εξαρτώνται από παράγοντες όπως: η φύση και η έκταση της επίθεσης, το μέγεθος του οργανισμού και ο κλάδος που δραστηριοποιείται, η ικανότητα ανάκαμψης κ.λπ.

Οι βασικότερες επιπτώσεις μιας κυβερνοεπίθεσης περιλαμβάνουν:

• Διατάραξη ή και διακοπή της λειτουργίας του οργανισμού.
• Αμφισβήτηση της αξιοπιστίας με αντίκτυπο στις μείωση των πωλήσεων, την πτώση της μετοχής και τη διακοπή εταιρικών συνεργασιών
• Επιβολή διοικητικών προστίμων από κρατικές αρχές
• Αξιώσεις αποζημίωσης από θιγόμενους (παραβίαση προσωπικών δεδομένων, απώλεια κερδών κ.λπ.)
• Κόστος ανάκαμψης μετά την επίθεση

Αντιμετώπιση Απειλών

Η αποτελεσματική αντιμετώπιση των κυβερνοαπειλών, προϋποθέτει τη συντονισμένη προσπάθεια από πλευράς οργανισμού αλλά και υπαλλήλων. Είναι απαραίτητο να εφαρμόζονται συνδυαστικά, οργανωτικά και τεχνικά μέτρα, στα οποία συνίσταται να περιλαμβάνονται τα ακόλουθα:

Εξειδικευμένο προσωπικό σε κομβικές θέσεις – Διαρκής εκπαίδευση

Η επιλογή του κατάλληλου προσωπικού σε κρίσιμους ρόλους κυβερνοασφάλειας, ανήκει στον πυρήνα της αποτελεσματικής στρατηγικής έναντι των κυβερνοαπειλών. Η συνεχής εκπαίδευση των εμπλεκομένων, ώστε να γνωρίζουν το ισχύον θεσμικό πλαίσιο, τις τρέχουσες τάσεις και απειλές, τις νέες δυνατότητες των εργαλείων προστασίας κ.λπ., αποτελεί αυτονόητη απαίτηση.

Βεβαίως, στις περιπτώσεις που υπάρχει αναγκαιότητα για βαθιά γνώση ειδικών θεμάτων, η συνεργασία με έμπιστους εξωτερικούς συμβούλους (λ.χ penetration testers, ειδικοί αναλυτές) αποτελεί επίσης επιλογή, ειδικά για τους μεγάλους οργανισμούς.

Εφαρμογή κατάλληλων τεχνικών μέτρων

Ως τεχνικά μέτρα, αναφέρονται ενδεικτικά τα εξής που καλύπτουν ένα ευρύ φάσμα τομέων:

• Χρήση firewall, για προστασία του δικτύου από εξωτερικές απειλές.
• Εγκατάσταση λογισμικού ανίχνευσης ιών και κακόβουλου λογισμικού.
• Κρυπτογράφηση δεδομένων
• Δημιουργία αντιγράφων ασφαλείας
• Πρόσβαση στα συστήματα, μόνο από εξουσιοδοτημένα άτομα.
• Τακτική ενημέρωση των λογισμικών και επιδιόρθωση ευπαθειών
• Υποχρέωση χρήσης ισχυρών κωδικών πρόσβασης και λειτουργία διπλής επαλήθευσης (2 factor authentication)
• Παρακολούθηση και αξιολόγηση των αρχείων καταγραφής
• Εφαρμογή Virtual Private Network (VPN), για τους εργαζόμενους που απαιτείται να έχουν εξ αποστάσεως πρόσβαση στους εταιρικούς Η/Υ.

Ευαισθητοποίηση εργαζομένων – «Ανθρώπινο Firewall»

Λαμβάνοντας υπόψη ότι η συντριπτική πλειοψηφία των κυβερνοεπιθέσεων εκκινεί από ανθρώπινα σφάλματα (ακούσιες ενέργειες ή παραλείψεις), εύκολα γίνεται αντιληπτό ότι παρά τα προηγμένα τεχνικά μέτρα ασφάλειας, η ευαισθητοποίηση των εργαζομένων παραμένει η σημαντικότερη παράμετρος στην προστασία ενός οργανισμού.

Οι εργαζόμενοι μπορούν να λειτουργήσουν ως ένα «Ανθρώπινο Firewall», αποτελώντας τη βασικότερη γραμμή άμυνας κατά των κυβερνοεπιθέσεων. Όπως ήδη αναφέρθηκε, οι επιτιθέμενοι συχνά εκμεταλλεύονται -μέσω χειραγώγησης- τις ανθρώπινες αδυναμίες (ευπιστία, άγνοια, κόπωση κ.λπ.), προκειμένου να πετύχουν το σκοπό τους. Ως εκ τούτου, η εκπαίδευση των υπαλλήλων για την αναγνώριση και αποφυγή ανάλογων απειλών, είναι επιβεβλημένη.

Ειδικότερα, είναι απαραίτητο να αναπτυχθεί μια ισχυρή κουλτούρα κυβερνοασφάλειας, η οποία να προωθεί τη διαρκή ευαισθητοποίηση και την υιοθέτηση σε ατομικό επίπεδο καλών πρακτικών όπως:

• Συμμόρφωση με τις πολιτικές του οργανισμού (αυτονόητο)
• Άμεση ενημέρωση του ΙΤ της εταιρείας, για ασυνήθεις συμπεριφορές του Η/Υ
• Διατήρηση της εμπιστευτικότητας των διαπιστευτηρίων
• Ορθή χρήση του λογαριασμού email (έλεγχος αξιοπιστίας αποστολέα, επιφυλακτικότητα με τα συνημμένα και την επίσκεψη υπερσυνδέσμων κ.λπ.)
• Ελαχιστοποίηση χρήσης δεδομένων (όχι περιττές αποθηκεύσεις και διαβιβάσεις)
• Αποσύνδεση από τα συστήματα, κατά την απομάκρυνση από το γραφείο
• Προστασία των ιδιωτικών μέσων (Laptop, Tablet κ.λπ.), ειδικά εάν η εταιρεία έχει υιοθετήσει πολιτική BYOD (Bring Your Own Device)
• Αποφυγή δημοσιοποίησης εταιρικών πληροφοριών στα Κοινωνικά Δίκτυα

Σχέδιο διαχείρισης των περιστατικών ασφαλείας

Ανεξάρτητα με το επίπεδο ετοιμότητας, είναι πάντα πιθανό ένας οργανισμός να αποτελέσει θύμα επίθεσης. Ως εκ τούτου, είναι απαραίτητο να υπάρχει εκ των προτέρων σχέδιο διαχείρισης συμβάντων, με στόχο την αντιμετώπιση της επίθεσης, την ελαχιστοποίηση των συνεπειών και την ταχεία ανάκαμψη. Το σχέδιο θα πρέπει να περιλαμβάνει τόσο τεχνικά ζητήματα (λ.χ. αναγνώριση απειλής, μέθοδος απομόνωσης κακόβουλου λογισμικού, αξιοποίηση backup), όσο και οργανωτικά (ενεργοποίηση εμπλεκομένων, επικοινωνιακή διαχείριση, συνεργασία με κρατικές αρχές κ.λπ.)

Υιοθέτηση προτύπων

Η συμμόρφωση του οργανισμού με διεθνή πρότυπα ασφάλειας πληροφοριών, πέραν του τυπικού οφέλους (αξιοπιστία, ανταγωνιστικό πλεονέκτημα κ.λπ.), παρέχει και ουσιαστικά πλεονεκτήματα.

Ειδικότερα, προκειμένου ο οργανισμός να εναρμονιστεί με το εκάστοτε πρότυπο, υποχρεούται να υιοθετήσει συγκεκριμένες πρακτικές και μέτρα, ενισχύοντας έτσι τη συνολική του προστασία. Η διαδικασία αυτή, νομοτελειακά, οδηγεί τον οργανισμό να αναθεωρήσει και να βελτιώσει πολιτικές, να ενισχύσει τα  τεχνολογικά του μέσα, συμβάλλοντας σε μια πιο οργανωμένη και αποδοτική λειτουργία, που τελικά αναβαθμίζει οριζόντια όλες τις δομές του.

Πολιτική Ασφάλειας – Προστασία της Ιδιωτικότητας

Η εκπόνηση και εφαρμογή πολιτικής ασφάλειας, αποτελεί το βασικό πλαίσιο προστασίας του οργανισμού. Περιλαμβάνει όλα τα αναγκαία οργανωτικά και τεχνικά μέτρα, τις αρχές που τηρεί ο οργανισμός, τις αρμοδιότητες των εμπλεκομένων και την απόδοση ευθυνών, τα αγαθά που απαιτείται να προστατεύονται και ό,τι άλλο αναγκαίο για να εξασφαλίζεται η απαραίτητη προστασία. Η δέσμευση της διοίκησης έναντι των στόχων της πολιτικής, αποτελεί καθοριστικό παράγοντα καθώς έτσι εξασφαλίζεται η επιτυχής εφαρμογή της.

Ταυτόχρονα, η πολιτική ασφάλειας θα πρέπει να εγγυάται ότι η εφαρμογή των μέτρων προστασίας, δεν λειτουργεί εις βάρος των ατομικών δικαιωμάτων και της ιδιωτικότητας των εργαζομένων. Είναι απαραίτητο να τηρούνται οι αρχές της αναλογικότητας και της νομιμότητας, ώστε τα μέτρα ασφαλείας να μην παραβιάζουν τις προσωπικές ελευθερίες των υπαλλήλων του οργανισμού.

Η πολιτική ασφάλειας, δεν είναι ένα στατικό έγγραφο. Είναι αναγκαία η συνεχής αξιολόγηση και βελτίωση, προκειμένου να καλύπτει τις σύγχρονες απαιτήσεις, ακολουθώντας τις εξελίξεις στην τεχνολογία, τις αλλαγές στις επιχειρηματικές δραστηριότητες και τα νέα είδη απειλών.

Επίλογος

Η ισχυρή άμυνα έναντι των αυξανόμενων κυβερνοεπιθέσεων αποτελεί απαραίτητη προϋπόθεση για την ανθεκτικότητα των οργανισμών. Η επένδυση στην κυβερνοασφάλεια εγγυάται την αδιάλειπτη λειτουργία, την προστασία των δεδομένων και την αξιοπιστία του οργανισμού στον ανταγωνιστικό χώρο.

*Ο Ιωάννης Βασιλάκης είναι απόφοιτος της Σχολής Ικάρων, του Τμήματος Πληροφορικής του ΕΑΠ και μεταπτυχιακός φοιτητής στο ΠΜΣ «Ψηφιακή Καινοτομία και Διοίκηση” του Πανεπιστημίου Πατρών. Εργάζεται ως Αξιωματικός Πληροφορικής στην Πολεμική Αεροπορία.