Γράφει o Ιωάννης Βασιλάκης*

Τα αγαθά των εταιρειών ως στόχος των επιτιθέμενων

Οι επιχειρήσεις διαχειρίζονται πολύτιμες πληροφορίες που πρέπει να προστατεύονται από επιθέσεις. Εταιρικά δεδομένα, επιχειρηματικά σχέδια με τεχνική μοναδικότητα, προσωπικά στοιχεία πελατών, συμβάσεις εμπιστευτικού χαρακτήρα, στρατηγικά πλάνα και κάθε άλλο «περιουσιακό στοιχείο» που συμβάλλει στην επιτυχία της επιχείρησης, αποτελεί στόχο των επιτιθέμενων.

Στο επίκεντρο των κυβερνοεπιθέσεων, είναι συχνά και οι υποδομές πληροφορικής των εταιρειών, μέσω των οποίων πραγματοποιείται η διαχείριση και η φύλαξη των δεδομένων και η λειτουργία των οργανισμών. Στην περίπτωση αυτή, αντικείμενο επίθεσης είναι τα δίκτυα και ο σχετικός εξοπλισμός, τα συστήματα διαχείρισης βάσεων δεδομένων, τα λειτουργικά συστήματα, οι εταιρικές ιστοσελίδες  κ.λπ.

Είδη απειλών και επιπτώσεις των επιθέσεων

Οι επιχειρήσεις και οι εργαζόμενοι βρίσκονται αντιμέτωποι με ποικίλες και εξελισσόμενες κυβερνοαπειλές που χρησιμοποιούν διάφορες μεθόδους, όχι απαραίτητα τεχνικές.

• Το «social engineering» (κοινωνική μηχανική), είναι η ευρύτερη πρακτική της χειραγώγησης ανθρώπων για την αποκάλυψη εμπιστευτικών πληροφοριών.
• Το «phishing» αποτελεί μία τεχνική «social engineering», όπου με χρήση ηλεκτρονικών μηνυμάτων που δείχνουν έμπιστα, οι επιτιθέμενοι προσπαθούν να αποσπάσουν ευαίσθητες πληροφορίες (κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών) ή να πείσουν τους χρήστες να επιτρέψουν την εγκατάσταση κακόβουλου λογισμικού (malware).
• Το «malware» μπορεί να έχει διάφορες μορφές, ανάλογα με το είδος της επίθεσης και το στόχο του επιτιθέμενου. Η κλοπή δεδομένων ή η καταστροφή τους, η καταγραφή των δραστηριοτήτων τού χρήστη εν αγνοία του, η κρυπτογράφηση εταιρικών αρχείων και η αξίωση καταβολής λύτρων (ransomware), είναι μερικά από τα πιο διαδεδομένα είδη επιθέσεων.

Οι επιπτώσεις μιας επιτυχούς επίθεσης μπορεί να είναι καταστροφικές για τον οργανισμό και εξαρτώνται από παράγοντες όπως: η φύση και η έκταση της επίθεσης, το μέγεθος του οργανισμού και ο κλάδος που δραστηριοποιείται, η ικανότητα ανάκαμψης κ.λπ.

Οι βασικότερες επιπτώσεις μιας κυβερνοεπίθεσης περιλαμβάνουν:

• Διατάραξη ή και διακοπή της λειτουργίας του οργανισμού.
• Αμφισβήτηση της αξιοπιστίας με αντίκτυπο στις μείωση των πωλήσεων, την πτώση της μετοχής και τη διακοπή εταιρικών συνεργασιών
• Επιβολή διοικητικών προστίμων από κρατικές αρχές
• Αξιώσεις αποζημίωσης από θιγόμενους (παραβίαση προσωπικών δεδομένων, απώλεια κερδών κ.λπ.)
• Κόστος ανάκαμψης μετά την επίθεση

Αντιμετώπιση Απειλών

Η αποτελεσματική αντιμετώπιση των κυβερνοαπειλών, προϋποθέτει τη συντονισμένη προσπάθεια από πλευράς οργανισμού αλλά και υπαλλήλων. Είναι απαραίτητο να εφαρμόζονται συνδυαστικά, οργανωτικά και τεχνικά μέτρα, στα οποία συνίσταται να περιλαμβάνονται τα ακόλουθα:

Εξειδικευμένο προσωπικό σε κομβικές θέσεις – Διαρκής εκπαίδευση

Η επιλογή του κατάλληλου προσωπικού σε κρίσιμους ρόλους κυβερνοασφάλειας, ανήκει στον πυρήνα της αποτελεσματικής στρατηγικής έναντι των κυβερνοαπειλών. Η συνεχής εκπαίδευση των εμπλεκομένων, ώστε να γνωρίζουν το ισχύον θεσμικό πλαίσιο, τις τρέχουσες τάσεις και απειλές, τις νέες δυνατότητες των εργαλείων προστασίας κ.λπ., αποτελεί αυτονόητη απαίτηση.

Βεβαίως, στις περιπτώσεις που υπάρχει αναγκαιότητα για βαθιά γνώση ειδικών θεμάτων, η συνεργασία με έμπιστους εξωτερικούς συμβούλους (λ.χ penetration testers, ειδικοί αναλυτές) αποτελεί επίσης επιλογή, ειδικά για τους μεγάλους οργανισμούς.

Εφαρμογή κατάλληλων τεχνικών μέτρων

Ως τεχνικά μέτρα, αναφέρονται ενδεικτικά τα εξής που καλύπτουν ένα ευρύ φάσμα τομέων:

• Χρήση firewall, για προστασία του δικτύου από εξωτερικές απειλές.
• Εγκατάσταση λογισμικού ανίχνευσης ιών και κακόβουλου λογισμικού.
• Κρυπτογράφηση δεδομένων
• Δημιουργία αντιγράφων ασφαλείας
• Πρόσβαση στα συστήματα, μόνο από εξουσιοδοτημένα άτομα.
• Τακτική ενημέρωση των λογισμικών και επιδιόρθωση ευπαθειών
• Υποχρέωση χρήσης ισχυρών κωδικών πρόσβασης και λειτουργία διπλής επαλήθευσης (2 factor authentication)
• Παρακολούθηση και αξιολόγηση των αρχείων καταγραφής
• Εφαρμογή Virtual Private Network (VPN), για τους εργαζόμενους που απαιτείται να έχουν εξ αποστάσεως πρόσβαση στους εταιρικούς Η/Υ.

Ευαισθητοποίηση εργαζομένων – «Ανθρώπινο Firewall»

Λαμβάνοντας υπόψη ότι η συντριπτική πλειοψηφία των κυβερνοεπιθέσεων εκκινεί από ανθρώπινα σφάλματα (ακούσιες ενέργειες ή παραλείψεις), εύκολα γίνεται αντιληπτό ότι παρά τα προηγμένα τεχνικά μέτρα ασφάλειας, η ευαισθητοποίηση των εργαζομένων παραμένει η σημαντικότερη παράμετρος στην προστασία ενός οργανισμού.

Οι εργαζόμενοι μπορούν να λειτουργήσουν ως ένα «Ανθρώπινο Firewall», αποτελώντας τη βασικότερη γραμμή άμυνας κατά των κυβερνοεπιθέσεων. Όπως ήδη αναφέρθηκε, οι επιτιθέμενοι συχνά εκμεταλλεύονται -μέσω χειραγώγησης- τις ανθρώπινες αδυναμίες (ευπιστία, άγνοια, κόπωση κ.λπ.), προκειμένου να πετύχουν το σκοπό τους. Ως εκ τούτου, η εκπαίδευση των υπαλλήλων για την αναγνώριση και αποφυγή ανάλογων απειλών, είναι επιβεβλημένη.

Ειδικότερα, είναι απαραίτητο να αναπτυχθεί μια ισχυρή κουλτούρα κυβερνοασφάλειας, η οποία να προωθεί τη διαρκή ευαισθητοποίηση και την υιοθέτηση σε ατομικό επίπεδο καλών πρακτικών όπως:

• Συμμόρφωση με τις πολιτικές του οργανισμού (αυτονόητο)
• Άμεση ενημέρωση του ΙΤ της εταιρείας, για ασυνήθεις συμπεριφορές του Η/Υ
• Διατήρηση της εμπιστευτικότητας των διαπιστευτηρίων
• Ορθή χρήση του λογαριασμού email (έλεγχος αξιοπιστίας αποστολέα, επιφυλακτικότητα με τα συνημμένα και την επίσκεψη υπερσυνδέσμων κ.λπ.)
• Ελαχιστοποίηση χρήσης δεδομένων (όχι περιττές αποθηκεύσεις και διαβιβάσεις)
• Αποσύνδεση από τα συστήματα, κατά την απομάκρυνση από το γραφείο
• Προστασία των ιδιωτικών μέσων (Laptop, Tablet κ.λπ.), ειδικά εάν η εταιρεία έχει υιοθετήσει πολιτική BYOD (Bring Your Own Device)
• Αποφυγή δημοσιοποίησης εταιρικών πληροφοριών στα Κοινωνικά Δίκτυα

Σχέδιο διαχείρισης των περιστατικών ασφαλείας

Ανεξάρτητα με το επίπεδο ετοιμότητας, είναι πάντα πιθανό ένας οργανισμός να αποτελέσει θύμα επίθεσης. Ως εκ τούτου, είναι απαραίτητο να υπάρχει εκ των προτέρων σχέδιο διαχείρισης συμβάντων, με στόχο την αντιμετώπιση της επίθεσης, την ελαχιστοποίηση των συνεπειών και την ταχεία ανάκαμψη. Το σχέδιο θα πρέπει να περιλαμβάνει τόσο τεχνικά ζητήματα (λ.χ. αναγνώριση απειλής, μέθοδος απομόνωσης κακόβουλου λογισμικού, αξιοποίηση backup), όσο και οργανωτικά (ενεργοποίηση εμπλεκομένων, επικοινωνιακή διαχείριση, συνεργασία με κρατικές αρχές κ.λπ.)

Υιοθέτηση προτύπων

Η συμμόρφωση του οργανισμού με διεθνή πρότυπα ασφάλειας πληροφοριών, πέραν του τυπικού οφέλους (αξιοπιστία, ανταγωνιστικό πλεονέκτημα κ.λπ.), παρέχει και ουσιαστικά πλεονεκτήματα.

Ειδικότερα, προκειμένου ο οργανισμός να εναρμονιστεί με το εκάστοτε πρότυπο, υποχρεούται να υιοθετήσει συγκεκριμένες πρακτικές και μέτρα, ενισχύοντας έτσι τη συνολική του προστασία. Η διαδικασία αυτή, νομοτελειακά, οδηγεί τον οργανισμό να αναθεωρήσει και να βελτιώσει πολιτικές, να ενισχύσει τα  τεχνολογικά του μέσα, συμβάλλοντας σε μια πιο οργανωμένη και αποδοτική λειτουργία, που τελικά αναβαθμίζει οριζόντια όλες τις δομές του.

Πολιτική Ασφάλειας – Προστασία της Ιδιωτικότητας

Η εκπόνηση και εφαρμογή πολιτικής ασφάλειας, αποτελεί το βασικό πλαίσιο προστασίας του οργανισμού. Περιλαμβάνει όλα τα αναγκαία οργανωτικά και τεχνικά μέτρα, τις αρχές που τηρεί ο οργανισμός, τις αρμοδιότητες των εμπλεκομένων και την απόδοση ευθυνών, τα αγαθά που απαιτείται να προστατεύονται και ό,τι άλλο αναγκαίο για να εξασφαλίζεται η απαραίτητη προστασία. Η δέσμευση της διοίκησης έναντι των στόχων της πολιτικής, αποτελεί καθοριστικό παράγοντα καθώς έτσι εξασφαλίζεται η επιτυχής εφαρμογή της.

Ταυτόχρονα, η πολιτική ασφάλειας θα πρέπει να εγγυάται ότι η εφαρμογή των μέτρων προστασίας, δεν λειτουργεί εις βάρος των ατομικών δικαιωμάτων και της ιδιωτικότητας των εργαζομένων. Είναι απαραίτητο να τηρούνται οι αρχές της αναλογικότητας και της νομιμότητας, ώστε τα μέτρα ασφαλείας να μην παραβιάζουν τις προσωπικές ελευθερίες των υπαλλήλων του οργανισμού.

Η πολιτική ασφάλειας, δεν είναι ένα στατικό έγγραφο. Είναι αναγκαία η συνεχής αξιολόγηση και βελτίωση, προκειμένου να καλύπτει τις σύγχρονες απαιτήσεις, ακολουθώντας τις εξελίξεις στην τεχνολογία, τις αλλαγές στις επιχειρηματικές δραστηριότητες και τα νέα είδη απειλών.

Επίλογος

Η ισχυρή άμυνα έναντι των αυξανόμενων κυβερνοεπιθέσεων αποτελεί απαραίτητη προϋπόθεση για την ανθεκτικότητα των οργανισμών. Η επένδυση στην κυβερνοασφάλεια εγγυάται την αδιάλειπτη λειτουργία, την προστασία των δεδομένων και την αξιοπιστία του οργανισμού στον ανταγωνιστικό χώρο.

*Ο Ιωάννης Βασιλάκης είναι απόφοιτος της Σχολής Ικάρων, του Τμήματος Πληροφορικής του ΕΑΠ και μεταπτυχιακός φοιτητής στο ΠΜΣ «Ψηφιακή Καινοτομία και Διοίκηση” του Πανεπιστημίου Πατρών. Εργάζεται ως Αξιωματικός Πληροφορικής στην Πολεμική Αεροπορία.

Γράφει η Νίκη Γεωργακοπούλου*

Σήμερα έχει τελικό μπασκετ και θα μαζευτούμε μεγάλη παρέα στο σπίτι. Αύριο είναι ο τελικός του αγαπημένου μου μουσικού διαγωνισμού και θέλουμε να το γιορτάσουμε . Μέσα σε όλα αυτά έχει πολλή ζέστη και  στη δουλειά τελειώνουμε πολύ αργά. Ωστόσο δεν αγχώνομαι για τις προμηθειες και για τα ποτά γιατί έχω έξυπνες συσκευές στο σπίτι  και τις έχω συγχρονίσει με το email μου όλες. Το ψυγείο ξέρει τις προτιμήσεις μου και μάλιστα εντοπίζει τις προσφορές στο internet και κάνει την αντίστοιχη παραγγελία για εμένα. Επομένως δεν αγχώνομαι ιδιαίτερα. Θα χρειαστεί να το ενημερώσω μόνο ότι θα έρθει και η παρέα μου για να υπολογίσει ανάλογα την παραγγελία.

Αυτό δεν είναι ένα σενάριο επιστημονικής φαντασίας αλλά πραγματικότητα…

Η ιδέα των έξυπνων συσκευών εκφράστηκε για πρώτη φορά το 1990 με τον όρο Internet of Things (IoT).   Ο όρος “things” αναφέρεται στα πράγματα εν ευρεία εννοία και δεν αφορά κάποιο συγκεκριμένο προϊόν. Ενδεικτικά μπορεί να είναι αυτοκίνητο με συνδεδεμένους αισθητήρες, ψυγείο, κλιματιστικό , φώτα και πολλά άλλα προϊόντα τεχνολογίας. Η βασική ιδέα του ΙοΤ είναι η διασύνδεση και η επικοινωνία  ποικίλων συσκευών είτε σε τοπικό είτε σε παγκόσμιο δίκτυο, δηλαδή το διαδίκτυο. Η τεχνολογία αυτή αποσκοπεί στον χειρισμό των περισσότερων συσκευών από μία κεντρική συσκευή, το κινητό ή τον υπολογιστή του χρήστη. Η τεχνολογία αυτή είναι αδιαμφισβήτητα γοητευτική, ωστόσο, εγείρονται και κάποιοι προβληματισμοί, οι οποίοι θα αναφερθούν παρακάτω.

Τι είναι και Πώς  λειτουργεί το ΙοΤ

Το IoT (Internet of Things) αναφέρεται λοιπόν  σε ένα δίκτυο συνδεδεμένων συσκευών, μέσω του οποίου επιτυγχάνεται η  επικοινωνία μεταξύ των συσκευών αυτών στο διαδίκτυο και κυρίως αξιοποιώντας τεχνολογίες και υπηρεσίες Cloud. Η χρήση τεχνολογιών Cloud εξυπηρετεί στην ανταλλαγή και αποθήκευση δεδομένων προκειμένου να βελτιώσει την εμπειρία του χρήστη.

Τα πράγματα αυτά είναι προϊόντα που φέρουν αισθητήρες (sensors), έχουν εγκατεστημένο  λογισμικό και έχουν πρόσβαση στο διαδίκτυο (internet) προκειμένου να επιτευχθεί η επικοινωνία με τις άλλες συσκευές αλλά και τα κεντρικά συστήματα μέσω των οποίων διαχέεται η πληροφορία.

Πιο συγκεκριμένα,  οι έξυπνες συσκευές συνδέονται με το internet ή σε τοπικό δίκτυο και εν συνεχεία μπορούν να χρησιμοποιήσουν ποικίλα πρωτόκολλα επικοινωνίας (Wi-Fi,Bluetooth, Zigbee, 5G) για την επικοινωνία με τον χρήστη. Στη συνέχεια, συλλέγουν δεδομένα του χρήστη και τα αποστέλλουν στο Cloud προκειμένου να επεξεργαστούν. Στο στάδιο της επεξεργασίας γίνεται η συλλογή, η ανάλυση και η ερμηνεία των δεδομένων για την εξαγωγή ουσιαστικών πληροφοριών. Παράλληλα με την διαδικασία συλλογής δεδομένων του χρήστη, οι αισθητήρες (sensors) που είναι ενσωματωμένοι στις συσκευές ΙοΤ συλλέγουν συνεχώς δεδομένα από το περιβάλλον τους.

Έπειτα, τα δεδομένα που έχουν  συλλεχθεί μεταδίδονται μέσω δικτύου στο Cloud, επεξεργάζονται, αναλύονται και η έξυπνη συσκευή “προσαρμόζεται” στην αντίστοιχη συνθήκη και εκτελείται μία συγκεκριμένη εργασία. Αξίζει να σημειωθεί ότι σε κάθε στάδιο, ο χρήστης μπορεί να αλληλεπιδρά με την έξυπνη συσκευή μέσω μιας εφαρμογής που έχει εγκαταστήσει στο smartphone του και έχει πραγματοποιήσει εγγραφή με το email του.

Πόσα ξέρουν οι συσκευές για τους χρήστες τους;

Οι αισθητήρες των έξυπνων συσκευών  “διαβάζουν” τις συνθήκες του περιβάλλοντος ώστε να δοθεί η αντίστοιχη εντολή για την κατάλληλη ενέργεια. Για παράδειγμα, οι αισθητήρες ενός έξυπνου κλιματιστικού  “διαβάζουν” τη θερμοκρασία του χώρου, την υγρασία καθώς και την έκταση του, προκειμένου να προσαρμόσουν το πρόγραμμα του κλιματιστικού αναλόγως. Επιπλέον, το έξυπνο αυτό κλιματιστικό, ο χρήστης μπορεί να το χειρίζεται απομακρυσμένα από το κινητό του τηλέφωνο μέσω της εγκατεστημένης εφαρμογής στο κινητό του, ώστε να διαμορφώσει το ιδανικό περιβάλλον για την επιστροφή του στο χώρο.

Η έξυπνη συσκευή  χρησιμοποιώντας διάφορες τεχνολογίες (NLP, deep learning και τεχνητή νοημοσύνη), “μαθαίνει¨ και αποθηκεύει τις προτιμήσεις του χρήστη στο Cloud, ώστε την επόμενη φορά το κλιματιστικό να δημιουργήσει το τέλειο περιβάλλον για τον χρήστη. Περαιτέρω, το email που χρησιμοποιεί ο χρήστης,  μπορεί να αποκαλύψει το διαδικτυακό προφιλ του και το υλικο αυτό να αποτελέσει υλικό εκπαίδευσης της έξυπνης συσκευής, προκειμένου το κλιματιστικό να “προσαρμοστεί” στις ανάγκες του.

Αντίστοιχο παράδειγμα έξυπνης συσκευής αποτελεί το ψυγείο. Οι ειδικοί ενσωματωμένοι αισθητήρες διαβάζουν τα barcodes και άλλες πληροφορίες των τροφίμων και των ποτών, ώστε να γνωρίζει τι προϊόντα προτιμά ο χρήστης, τι ποσότητες που  καταναλώνει, την ημερομηνία λήξης των προϊόντων,  ώστε να  προειδοποιεί για έγκαιρη κατανάλωση. Περαιτέρω, το ψυγείο μπορεί να μάθει τις διατροφικές ανάγκες του χρήστη και σε συνδυασμό με κάποια στοιχεία υγείας, να προτείνει διαιτολόγιο. Επιπλέον, ο χρήστης μπορεί απομακρυσμένα να ελέγξει τι έχει στο ψυγείο του και να κάνει μια αντίστοιχη παραγγελία στο super market. Όλες αυτές οι πληροφορίες συγχρονίζονται με το email του χρήστη, αποθηκεύονται στο Cloud, προκειμένου ο χρήστης να έχει πρόσβαση σε όλες αυτές τις πληροφορίες ανά πάσα στιγμή.

Προβληματισμοί

Αδιαμφισβήτητα πρόκειται για μια πολύ γοητευτική τεχνολογία που εύκολα μπορεί να συναρπάσει το χρήστη με τις δυνατότητες και τις διευκολύνσεις που προσφέρονται. Ωστόσο εγείρονται ενδιαφέροντα ερωτήματα.

Μπορούν οι κατασκευαστές των έξυπνων συσκευών να μάθουν πράγματα για εμάς τους χρήστες; Τι μάθαινουν για εμάς; Πού αποθηκεύεται αυτή η πληροφορία; Με ποιο τρόπο επεξεργάζονται όλα αυτά τα δεδομένα και τι συμπεράσματα βγάζουν για εμάς; Πού βρίσκονται οι κατασκευαστές όλων αυτών των συσκευών και πού αποθηκεύονται όλες αυτές οι πληροφορίες για εμάς; Συνάγεται λοιπόν πώς το απόρρητο και η ασφάλεια των δεδομένων μας τίθενται υπό συζήτηση. Η διασφάλιση της ασφάλειας των συσκευών IoT και η προστασία των δεδομένων όλων ημών των χρηστών αποτελούν μείζον θέμα.

Επιπλέον, η διαχείριση ενός μεγάλου αριθμού συνδεδεμένων συσκευών μπορεί να είναι πολύπλοκη καθώς όλες αυτές οι διαφορετικές συσκευές και πλατφόρμες πρέπει να συνεργάζονται απρόσκοπτα και να αλληλεπιδρούν χωρίς διακοπές. Σήμερα, είναι τεχνολογικά εφικτό κάτι τέτοιο; Τι σημαίνει αυτό για τον χρήστη;

Επίλογος

Το IoT αποτελεί  μια σημαντική τεχνολογική πρόοδο, συνδέοντας τον φυσικό και τον ψηφιακό κόσμο για τη δημιουργία εξυπνότερου  και πιο ευέλικτου περιβάλλοντος.  Ο άνθρωπος βελτιώνει τη ζωή του και εξοικονομεί πολύτιμο χρόνο. Ποιο είναι όμως το κόστος για την κατάκτηση και χρήση αυτών των τεχνολογίων; Με ποιο τρόπο εξαγοράζεται αυτή η εξοικονόμηση χρόνου; Πόσο πολύτιμα είναι τα δεδομένα όλων ημών των χρηστών και πώς αξιοποιούνται από τις εταιρείες; Οι εταιρείες αυτές μοιράζονται τα δεδομένα μας με τρίτες εταιρείες, ξένες προς εμάς; Ποιος είναι ο σκοπός της ανταλλαγής των δεδομένων μας;

*Η Νίκη Γεωργακοπούλου είναι απόφοιτη της Νομικής Σχολής του ΕΚΠΑ και κάτοχος MSc “Δικαιο και Πληροφορική” του ΠΑΜΑΚ. Στη διπλωματική της εργασία ασχολήθηκε με το Βlockchain και τα Smart Legal Contracts.