Διαχείριση Κινδύνου στον Ψηφιακό Κόσμο - Αγγαρεία ή Αναγκαιότητα;

Γράφει o Ιωάννης Ντόκος*

“Τίποτα στη ζωή δεν είναι βέβαιο παρά μόνο ο θάνατος και οι φόροι”, είπε κάποτε ο Benjamin Franklin (ή κάποιος προκάτοχός του). Η φράση όμως θα μπορούσε κάλλιστα να περιλαμβάνει ακόμα μία συνιστώσα, τον κίνδυνο. “Death, taxes and risk”. Στον ψηφιακό κόσμο, οι εκάστοτε κίνδυνοι είναι μία σταθερά που πρέπει μονίμως να λαμβάνουμε υπόψιν, είτε ως πολίτες, χρήστες προϊόντων ή υπηρεσιών, ή ως ειδήμονες στον κλάδο της διαχείρισης κινδύνων. Ας δούμε πώς η σωστή διαχείριση κινδύνου μπορεί να προσφέρει βεβαιότητα και ασφάλεια στον ψηφιακό χώρο.

Τί σημαίνει κίνδυνος, και γιατί χρήζει προσοχής;

Ο ψηφιακός κόσμος αλλάζει γρήγορα, καθημερινά. Η έννοια του κινδύνου, ωστόσο, είναι σχετικά στατική: κάθε σύστημα, κάθε πρόγραμμα, κάθε άνθρωπος που χρησιμοποιεί τεχνολογία δημιουργεί ένα “άνοιγμα”, ένα τρωτό σημείο. Αυτά τα ανοίγματα δεν είναι από μόνα τους επικίνδυνα, αλλά είναι ευάλωτα σε απειλές που μπορούν να τα εκμεταλλευτούν.  Σκέψου, για παράδειγμα, ένα ελάττωμα σε ένα υπολογιστικό σύστημα μιας μονάδας επεξεργασίας πυρηνικής ενέργειας, μία ελλιπή διαδικασία πρόσβασης σε ευαίσθητα δεδομένα, ένα κακό “σετάρισμα” ενός διακόπτη δικτύου. Το καμπανάκι κινδύνου ηχεί.

Ο κίνδυνος υπάρχει πριν κάνεις οτιδήποτε, είναι “εγγενής”. Είναι εκεί by default, χωρίς να λαμβάνει υπόψη τυχόν μέτρα προστασίας. Όταν οδηγείς ένα ποδήλατο, η οδήγηση και μόνο ενέχει κίνδυνο. Στον ψηφιακό κόσμο, ο εγγενής κίνδυνος προκύπτει από πράγματα όπως η ανθρώπινη απροσεξία, η πολυπλοκότητα των συστημάτων ή η αξία των δεδομένων που μοιράζεσαι με άλλους. Από μόνος του ο κίνδυνος είναι μια βεβαιότητα, μια σταθερά της ζωής. Αυτό δε σημαίνει ότι τον αγνοούμε.

Ωραία ως εδώ. Το γεγονός ότι περνάω το κατώφλι της πόρτας κάθε πρωί είναι μια επικίνδυνη κατάσταση, θεωρητικά. Τί νόημα έχει οποιαδήποτε δράση αν ο κίνδυνος είναι ούτως ή άλλως εκεί; Η επόμενη φάση είναι να αναγνωρίσεις ποιοι κίνδυνοι χρήζουν προσοχής και δράσης. Εδώ χρειάζεται ψυχρή παρατήρηση και λογική σκέψη. Κάποιοι κίνδυνοι είναι πιο σημαντικοί από άλλους, επομένως πρέπει να περάσουν από το “κόσκινο” της διαχείρισης.

Υπολογισμός του κινδύνου

Στην πιο απλή του μορφή, ο κίνδυνος (ψηφιακός και μη) είναι απλά μια συνάρτηση πιθανότητας και αντίκτυπου. Ο εκάστοτε κίνδυνος επιφέρει (αρνητικές) συνέπειες (αντίκτυπος) με κάποια συχνότητα (πιθανότητα). Έχοντας τη δυνατότητα, με τρόπο ποσοτικό (με τη χρήση ακριβών και εμπεριστατωμένων αριθμών, συνήθως νομισματικών για τον αντίκτυπο και μονάδων ετήσιου ποσοστού εμφάνισης για την πιθανότητα) ή ποιοτικό (με πιο αυθαίρετους υπολογισμούς, συνήθως με χρήση κλίμακας από το 1 ως το 5) να υπολογίσουμε τις μεταβλητές της πιθανότητας και του αντικτύπου, μας φέρνει πιο κοντά στον υπολογισμό του κινδύνου.

 

 

Στο παράδειγμα της οδήγησης ποδηλάτου, ένας κίνδυνος είναι η αιφνίδια συνάντησή μου με μία καφέ αρκούδα (και οι δυσάρεστες συνέπειες που θα ακολουθήσουν). Η πιθανότητα να συμβεί αυτό αλλάζει ανάλογα με την περίσταση - εάν οδηγώ το ποδήλατό μου σε κάποια περιοχή του Κορυδαλλού, οι πιθανότητες να συναντήσω την αρκούδα αγγίζουν το μηδέν. Εάν πάλι έχω πάει για ποδηλασία στα βουνά της Πίνδου, η κατάσταση αλλάζει άρδην. Ο αντίκτυπος της συνάντησης με την αρκούδα αλλάζει επίσης. Εάν κουβαλάω σπρέι για αρκούδες ή έχω παρακολουθήσει πολλά βίντεο σχετικά με το πώς να αντιμετωπίσεις μια καφέ αρκούδα (ο υποφαινόμενος έχει παρακολουθήσει ουκ ολίγα τέτοια βίντεο), μπορεί να τη γλιτώσω με μώλωπες και γρατζουνιές (ή ένα σπασμένο ποδήλατο). Εάν πάλι στερούμαι γνώσης και εργαλείων, τα πράγματα δυσκολεύουν.

Εδώ διαφαίνεται και η σημασία των μέτρων προστασίας και η μετάβαση από τον εγγενή στον υπολειμματικό κίνδυνο. Μέσω των μέτρων προστασίας στη διάθεσή μου (σπρέι), μπορώ να χαμηλώσω τον αντίκτυπο της συνάντησης από τον βέβαιο θάνατο, στην εισαγωγή στο νοσοκομείο για ράμματα. Ο υπολειμματικός κίνδυνος είναι ο κίνδυνος που απομένει αφού πάρουμε μέτρα προστασίας κατά αυτού! Τα μέτρα προστασίας είναι αναπόσπαστο κομμάτι της διαχείρισης του κινδύνου.

Τρόποι διαχείρισης κινδύνου

Υπάρχουν τέσσερις ενδεδειγμένοι τρόποι αντιμετώπισης ενός κινδύνου, αφού γίνει αυτός αντιληπτός (και αφού υπολογιστεί ποσοτικά ή ποιοτικά). Οι επιλογές αυτές είναι: αποδοχή, μεταβίβαση, μείωση ή εξάλειψη.

Αποδοχή σημαίνει ότι καταλαβαίνεις τον κίνδυνο και τον κρατάς, όχι παθητικά ή με άγνοια, αλλά με λογική. Κάποιοι κίνδυνοι είναι τόσο μικροί που κοστίζει περισσότερο να τους αντιμετωπίσεις παρά να τους αποδεχτείς. Εάν οδηγώ το ποδήλατό μου στο κέντρο της πόλης, αποδέχομαι την απειροελάχιστη πιθανότητα (0.00001%) να μου επιτεθεί αρκούδα, και απολαμβάνω τη βόλτα μου.

Μεταβίβαση είναι η μετάθεση του κινδύνου σε άλλον (συνήθως μέσω ασφάλειας). Ο κίνδυνος δεν εξαφανίζεται, απλά αλλάζει χέρια. Η ευθύνη παραμένει σε αυτόν που υπόκειται στον κίνδυνο, απλά υπάρχει κάλυψη σε περίπτωση ζημίας λόγω του κινδύνου. Στο σενάριο με την αρκούδα ελπίζω η ασφάλειά μου να καλύπτει τέτοιες επιθέσεις, ή τουλάχιστον η οικογένειά μου να λάβει ένα χρηματικό ποσό (μέσω της ασφάλειας ζωής μου) σε περίπτωση που το σπρέι δε με βοηθήσει.

Μιας και μιλάμε για το σπρέι, αυτό είναι μέθοδος μείωσης του κινδύνου! Μείωση σημαίνει ότι περιορίζεις την πιθανότητα ή τον αντίκτυπο, και πρόκειται για την πιο συνηθισμένη μέθοδο αντιμετώπισης κινδύνων. Εδώ περιλαμβάνεται κάθε μορφή προληπτικής προστασίας. Κάθε μέτρο προστασίας που λαμβάνω στοχεύει στη μείωση του κινδύνου. Εάν έχω πάει για ποδηλασία στα βουνά της Πίνδου με 10 άλλους φίλους, οι πιθανότητες να επιτεθεί η αρκούδα σε εμένα αντί σε έναν από αυτούς μειώνονται ριζικά!.

Εξάλειψη είναι η πιο απόλυτη επιλογή, καθώς απομακρύνεσαι από τον κίνδυνο και την πηγή του. Η εξάλειψη είναι το τελικό ξεκαθάρισμα: η αναγνώριση ότι κάτι δεν επιδέχεται “μπαλώματα”. Υπάρχουν πολλές πεινασμένες αρκούδες στο βουνό που σκοπεύω να επισκεφτώ; Επιλέγω θάλασσα αντί για βουνό και έχω το κεφάλι μου ήσυχο!

Ενώ οι παραπάνω τρόποι αντιμετώπισης κινδύνου είναι όλοι δόκιμοι, υπάρχει μια αντίδραση που δεν είναι θεμιτή - η άγνοια κινδύνου. Το να γνωρίζουμε τον κίνδυνο και να επιλέγουμε συνειδητά να τον αγνοήσουμε θα οδηγήσει αναπόφευκτα σε αρνητικά αποτελέσματα!

Η αντιμετώπιση κινδύνου στον ψηφιακό κόσμο

Κίνδυνοι παρόμοιοι με την τυχαία συνάντηση με την αρκούδα υπάρχουν στον ψηφιακό και διαδικτυακό χώρο, μόνο που αντί για πεινασμένα τετράποδα, συναντούμε χάκερς, κακοστημένες πλατφόρμες, χρήση τεχνητής νοημοσύνης που προσβάλλει τα ανθρώπινα δικαιώματα και ελαττωματικούς εξοπλισμούς. Και με την ίδια λογική όπως την εκδρομή μας στο δάσος, οι κίνδυνοι αυτοί χρήζουν ειδικής μεταχείρισης, λαμβάνοντας υπόψη τις παρακάτω βασικές αρχές:

  1. Η διαχείριση κινδύνου δεν είναι μεμονωμένο συμβάν, αλλά κύκλος. Εντοπίζεις, αξιολογείς, ενεργείς, επανεξετάζεις τακτικά. Ο ψηφιακός κόσμος μεταβάλλεται συνεχώς, πράγμα που  σημαίνει ότι η εικόνα του κινδύνου μεταβάλλεται εξίσου. Ό,τι ήταν ασφαλές το πρωί μπορεί να είναι τρωτό το βράδυ. Η τεχνολογία δεν περιμένει κανέναν - και οι σχετικοί κίνδυνοι πρέπει συνεχώς να καταγράφονται και να αντιμετωπίζονται.
  2. Η ολιστική αντιμετώπιση κινδύνων είναι κρίσιμη. Ένα κενό είναι αρκετό να προκαλέσει ριζικές βλάβες σε πολίτες, χρήστες, επιχειρήσεις. Η μερική προστασία δημιουργεί μια ψευδή αίσθηση ασφάλειας. Στον ψηφιακό χώρο, το αδύναμο σημείο συχνά δεν είναι το πιο εμφανές. Μπορεί να είναι το ξεχασμένο αρχείο, ο ανεπαρκής κωδικός, ο εξωτερικός συνεργάτης που χρησιμοποιεί μια εύθραυστη εφαρμογή. Απαιτείται επομένως συνολική θεώρηση.
  3. Χρειάζεται επίσης κατανόηση ότι ο κίνδυνος δεν είναι μόνο τεχνικός, αλλά και οργανωτικός, ανθρώπινος, ή διαδικαστικός. Στην πράξη, οι περισσότερες ζημιές προκύπτουν από λάθη, παραλείψεις, ή ασυνεννοησία. Η τεχνολογία απλώς οξύνει τις συνέπειες. Επομένως είναι απαραίτητο να τον αντιμετωπίζουμε από πολλές διαφορετικές πλευρές.
  4. Η επίγνωση και εκπαίδευση σε θέματα προστασίας πληροφοριών και δεδομένων είναι κλειδί στη μείωση κινδύνων. Όσο κι αν οργανωθείς, πάντα θα υπάρχει κάποιος να γράψει τους κωδικούς του σε κοινή θέα, να ανοίξει το λάθος αρχείο, να πατήσει κατά λάθος «διαγραφή». Το ανθρώπινο στοιχείο δεν εξαλείφεται.
  5. Πάντα η πρόληψη είναι φθηνότερη από την αποκατάσταση. Για τον απλό χρήστη, η διαχείριση κινδύνων ίσως μοιάζει με αγγαρεία, η πραγματικότητα όμως είναι ότι ο κόσμος της τεχνολογίας έχει μεγαλώσει τόσο, που η άγνοια κινδύνου κοστίζει. Όπως κανείς δεν περιμένει να βάλει συναγερμό αφού γίνει διάρρηξη, έτσι και η διαχείριση κινδύνου λειτουργεί καλύτερα πριν συμβεί το κακό.

Η ουσία της διαχείρισης κινδύνου είναι η στοχευμένη καθαρότητα: παρόλο που η απόλυτη ασφάλεια δεν είναι εφικτή, επιδιώκουμε την σταθερότητα προσπαθώντας να αποφύγουμε τα σημαντικά λάθη. Όταν καταλάβεις αυτό, η διαχείριση κινδύνου παύει να είναι βάρος. Γίνεται οργανωμένη και συντονισμένη προσπάθεια, και μετά συνήθεια. Ένα είδος νοητικού τεστ όπου ρωτάς: “Τι μπορεί να πάει στραβά; Πόσο με νοιάζει; Τι κάνω για αυτό;”. Όχι ως άσκηση φόβου, αλλά ως άσκηση καθαρού συλλογισμού και προστασίας. Ο κίνδυνος πάντα θα υπάρχει. Η διαχείρισή του είναι συνειδητή επιλογή, και η επίγνωσή του εργαλείο.

* Ο Ιωάννης Ντόκος είναι ειδικός διαχείρισης κινδύνου τεχνολογιών πληροφορίας (IT), προστασίας πληροφοριών και διαχείρισης κινδύνου τρίτων μερών, ενώ έχει γνώσεις στην προστασία προσωπικών δεδομένων. Ειδικεύεται στον ISO27001, NIST, NIS2 και τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Στον ελεύθερό του χρόνο προσφέρει συμβουλές σταδιοδρομίας σε θέματα διακυβέρνησης πληροφορικής, κινδύνου και συμμόρφωσης μέσω του καναλιού του στο YouTube.

by Homo Digitalis