Οι επιχειρήσεις απαιτείται να µελετούν διαρκώς τις αλλαγές που διαδραµατίζονται στο εξωτερικό και εσωτερικό τους περιβάλλον και να προσαρµόζονται σε αυτές διαµορφώνοντας ανάλογα τις συνθήκες και τον τρόπο λειτουργίας τους. Ταυτόχρονα, οι επιχειρήσεις έρχονται αντιµέτωπες µε τους κινδύνους που κρύβει ο Κυβερνοχώρος. Οι κίνδυνοι αυτοί αυξάνονται, εξελίσσονται ή/και µετασχηµατίζονται συνεχώς και οι επιχειρήσεις θα πρέπει να τους αντιµετωπίσουν άµεσα και αποτελεσµατικά για να προστατέψουν τα δεδοµένα, τους πελάτες και τη φήµη τους. Για την επιτυχή αντιµετώπιση των κινδύνων αυτών χρειάζεται πρώτιστα µια ολοκληρωµένη αξιολόγηση των κινδύνων και ένα ολοκληρωµένο σχέδιο Κυβερνοασφάλειας.
ΤΑ ΠΡΩΤΑ ΒΗΜΑΤΑ
Ένα σηµαντικό µέρος της εφαρµογής του πλαισίου Κυβερνοασφάλειας σε µια επιχείρηση είναι η δηµιουργία ενός Συστήµατος ∆ιαχείρισης Κινδύνων (Risk Management System). Το σύστηµα αυτό χρησιµοποιείται για την αποτίµηση του επιπέδου της επικινδυνότητας που διατρέχει η επιχείρηση και αποτελείται από ένα σύνολο διαδικασιών και µεθοδολογιών που στοχεύουν στη µείωση του σχετικού κινδύνου. Η µείωση αυτή επιτυγχάνεται µέσω της δηµιουργίας, επιλογής και εφαρµογής των κατάλληλων µέτρων ασφάλειας.
Για παράδειγµα, η ανάπτυξη µιας ορθής Πολιτικής ∆ηµιουργίας Συνθηµατικών (Password Creation Policy), σε συνδυασµό µε το σύστηµα που τεχνικά υποστηρίζει τη δηµιουργία των συνθηµατικών αυτών, αποτελεί ένα επαρκές µέτρο προστασίας για τον κίνδυνο επιλογής ενός ασθενούς συνθηµατικού, που είναι επιρρεπές σε αντίστοιχες επιθέσεις παραβίασης. Παρόµοιου είδους τεχνικές διαχείρισης κινδύνων προτείνονται τόσο από τις διεθνείς πρακτικές και πρότυπα ασφάλειας (π.χ. ISO 27001) όσο και από τα αντίστοιχα νοµοθετικά πλαίσια (π.χ. GDPR). Αξίζει όµως να σηµειωθεί ότι η επιλογή ενός κατάλληλου µέτρου προστασίας δεν επαρκεί από µόνη της, αλλά χρειάζεται να γίνει µετέπειτα έλεγχος κατά πόσο το συγκεκριµένο µέτρο έχει υλοποιηθεί και αν χρησιµοποιείται µε αποτελεσµατικό τρόπο.
Η διαδικασία δηµιουργίας του Συστήµατος ∆ιαχείρισης Κινδύνων αποτελείται από διακριτά βήµατα, τα οποία πρέπει να εκτελεστούν σωστά για να διασφαλιστεί η αποτελεσµατική διαχείριση των κινδύνων. Αρχικά απαιτείται να οριστεί το σχετικό πλαίσιο ανάλυσης, που περιλαµβάνει την καταγραφή των αναγκών και των στόχων που έχουν τεθεί. Η ενέργεια αυτή, βασιζόµενη στην εφαρµογή διεθνών πρακτικών, χρειάζεται ως βάση πληροφορίες που διέπουν το προφίλ κινδύνου της επιχείρησης, και στοχεύει στο να καθορίζει τις προτεραιότητες των ενεργειών που απαιτούνται να εκτελεστούν σε µετέπειτα επίπεδο. Αφού δηµιουργηθεί το οργανωτικό πλαίσιο, απαιτείται η πλήρης αναγνώριση των πόρων που συνθέτουν το περιβάλλον της επιχείρησης, όπως ανθρώπινο δυναµικό, συσκευές δικτύου, εξυπηρετητές, laptops, τηλεφωνικές συσκευές, δεδοµένα πελατών/υπαλλήλων, έγγραφα, υπηρεσίες κτλ.
ΑΝΑΓΝΩΡΙΣΗ ΚΙΝΔΥΝΩΝ
Στη συνέχεια, πρέπει να αναγνωριστούν οι κίνδυνοι που απειλούν αυτούς τους πόρους και οι σχετικές ιδιότητές τους, όπως για παράδειγµα η κρισιµότητα και η συχνότητα εµφάνισής τους. Παράλληλα, υπολογίζεται και η επίπτωση που µπορεί να επιφέρουν στην εµπιστευτικότητα, ακεραιότητα και διαθεσιµότητα του εκάστοτε πόρου. Η διαδικασία αυτή ονοµάζεται ανάλυση επικινδυνότητας και εκτελείται τουλάχιστον µία φορά τον χρόνο ή και πιο συχνά, σε περίπτωση που υπήρχε κάποια σηµαντική αλλαγή στην επιχείρηση που επηρεάζει τον τρόπο λειτουργίας της. Αξίζει να σηµειωθούν οι παρακάτω όροι για να κατανοηθεί πλήρως ο τρόπος µε τον οποίο ένας κίνδυνος µπορεί να επιδράσει σε έναν πόρο (π.χ. πληροφορία, υπηρεσία, συσκευή):
• Η παραβίαση της εµπιστευτικότητας ορίζεται ως η προσπέλαση ενός πόρου από µη εξουσιοδοτηµένη οντότητα.
• Η παραβίαση της ακεραιότητας περιλαµβάνει την αλλοίωση ενός πόρου από µη εξουσιοδοτηµένη οντότητα.
• Η παραβίαση της διαθεσιµότητας αφορά στην περίπτωση όπου το αγαθό/υπηρεσία δεν είναι διαθέσιµο/η όταν µια εξουσιοδοτηµένη οντότητα χρειάζεται να το/την προσπελάσει.
Ένα παράδειγµα για να κατανοηθεί ο τρόπος ανάλυσης ενός κινδύνου, είναι η προστασία των δεδοµένων µισθοδοσίας που τηρεί το Τµήµα Ανθρώπινου ∆υναµικού και το Λογιστήριο. Για να προστατευτεί η επιχείρηση από τον κίνδυνο απώλειας των δεδοµένων αυτών, θα πρέπει να υλοποιήσει το µέτρο δηµιουργίας αντιγράφων ασφάλειας (back-up control). Συνεπώς, αν τα δεδοµένα δεν είναι διαθέσιµα (παραβίαση της διαθεσιµότητας), θα χρησιµοποιηθούν τα σχετικά αντίγραφα.
Οµοίως, ενδέχεται να υπάρξει αλλοίωση των δεδοµένων αυτών, που µπορεί να είναι είτε ηθεληµένη είτε αποτέλεσµα ενός ανθρώπινου ή συστηµικού λάθους. Σε αυτή την περίπτωση, ένα αποδοτικό µέτρο ασφάλειας είναι µια διαδικασία που θα ορίζει τον έλεγχο των σχετικών στοιχείων από τουλάχιστον έναν επιπλέον υπάλληλο (4-eyes principle), ώστε να εντοπιστεί έγκαιρα το λάθος και να διορθωθεί.
Αφού λοιπόν αναγνωριστούν και αναλυθούν όλοι οι σχετικοί κίνδυνοι, η επιχείρηση καλείται να υλοποιήσει τα µέτρα ασφάλειας που έχουν επιλεγεί. Όµως, στην πλειονότητα των περιπτώσεων, δεν είναι δυνατόν να δηµιουργηθούν όλα αυτά τα µέτρα, καθώς η υλοποίησή τους είναι µια διαδικασία που επηρεάζεται από διάφορους παράγοντες. Για παράδειγµα, δεδοµένου πως ενδέχεται να υπάρξει οικονοµικό κόστος (π.χ. αγορά ενός εξειδικευµένου λογισµικού), θα πρέπει η επιχείρηση να το λάβει υπόψη στον σχετικό προϋπολογισµό.
Έτσι, καθορίζονται οι προτεραιότητες ανάλογα µε την κρισιµότητα των µέτρων αυτών, σε σχέση µε τα αγαθά/υπηρεσίες που προστατεύουν. Παράλληλα, απαιτείται να καθοριστεί η διάθεση ανάληψης κινδύνων (risk appetite), στην οποία απεικονίζεται ο κίνδυνος τον οποίο µπορεί να «ανεχτεί» η επιχείρηση χωρίς να υλοποιήσει κανένα µέτρο προστασίας. Οι σχετικές τιµές υπολογίζονται στο επίπεδο επίπτωσης, π.χ. οικονοµικές ζηµιές, λειτουργικές ζηµιές, επίπτωση στην υστεροφηµία της επιχείρησης κλπ.
ΕΝΑΛΛΑΚΤΙΚΕΣ ΛΥΣΕΙΣ
Συνεπώς, στο παραπάνω παράδειγµα της προστασίας των δεδοµένων µισθοδοσίας, υπάρχουν και άλλες εναλλακτικές λύσεις που θα µπορούσαν να εφαρµοστούν. Η αντιµετώπιση των σχετικών κινδύνων µέσα από την εφαρµογή µέτρων µετριασµού/µείωσης (risk mitigation/reduction) είναι η πιο συχνή επιλογή, τουλάχιστον για τα περισσότερα αγαθά/υπηρεσίες της επιχείρησης. Αυτή ήταν και η επιλογή που επιλέχθηκε στο παραπάνω παράδειγµα.
Εναλλακτικά, η επιχείρηση ενδεχοµένως να αποφάσιζε πως δεν χρειάζεται πλέον το αγαθό/υπηρεσία αυτό/ή και δεν αξίζει να υλοποιήσει τα σχετικά µέτρα προστασίας για να µετριάσει τον σχετικό κίνδυνο. Σε αυτή την περίπτωση, αποφασίζεται η µη χρήση του συγκεκριµένου αγαθού/υπηρεσίας (risk avoidance) και η αφαίρεσή του/της από το ενεργητικό της επιχείρησης. Οµοίως, θα µπορούσε να γίνει µεταφορά του κινδύνου (risk transfer), συνήθως µέσω της χρήσης ασφαλιστικών υπηρεσιών, ή αποδοχή του κινδύνου (risk acceptance) χωρίς να υλοποιηθεί οποιοδήποτε µέτρο προστασίας. Η τελευταία επιλογή είναι άρρηκτα συνδεδεµένη µε τη διάθεση ανάληψης κινδύνων (risk appetite) της επιχείρησης, που αναλύθηκε παραπάνω.
ΔΙΑΡΚΗΣ ΠΑΡΑΚΟΛΟΥΘΗΣΗ
Το τελευταίο βήµα της διαδικασίας διαχείρισης κινδύνων είναι η διαρκής παρακολούθηση, συντήρηση και βελτίωση του σχετικού συστήµατος. Το σύνολο αυτών των ενεργειών θα πρέπει να εκτελείται ανά τακτά χρονικά διαστήµατα και έχει ως στόχο τη συνεχή βελτίωση του συστήµατος, µε γνώµονα τις αλλαγές που διέπουν τη λειτουργία της επιχείρησης και τους σχετικούς κινδύνους.
Η διαδικασία αυτή απαιτεί την ορθή εκτέλεση όλων των βηµάτων που απαιτούνται, για να µπορέσει η επιχείρηση να διασφαλίσει ότι έχει αναπτύξει ένα επαρκές πλαίσιο προστασίας από τους κινδύνους που εντοπίζονται στο περιβάλλον της Κυβερνοασφάλειας. Ένα σύνηθες σφάλµα που γίνεται, είναι η λανθασµένη αποτίµηση των κινδύνων και πιο συγκεκριµένα η εκτίµηση της πιθανότητας του κινδύνου να πραγµατοποιηθεί – όσο απίθανο και αν είναι να πραγµατοποιηθεί ένας κίνδυνος, αυτό δεν σηµαίνει πως δεν πρέπει να υπάρχουν αντίστοιχα µέτρα ασφάλειας. Η κρισιµότητα και η πιθανότητα πραγµατοποίησης ενός κινδύνου, οι οποίες καθορίζονται στο στάδιο της ανάλυσης επικινδυνότητας, επηρεάζουν τον τρόπο µε τον οποίο θα αντιµετωπιστεί ο κίνδυνος.
Για παράδειγµα, αν το ιστορικό ενός κινδύνου παρουσιάζει ότι εµφανίζεται σπάνια και παράλληλα έχει µικρή επίπτωση, τότε ενδεχοµένως να επιλεγεί ένα λιγότερο ισχυρό µέτρο προστασίας ή ακόµα και να γίνει αποδοχή του συγκεκριµένου κινδύνου, χωρίς λήψη οποιουδήποτε µέτρου προστασίας. Αντιθέτως, αν ο κίνδυνος έχει µέτρια συχνότητα και αντίστοιχη επίπτωση, τότε θα πρέπει να γίνει προεργασία για το πώς θα αντιµετωπιστεί. Οι παραπάνω περιπτώσεις, συµπεριλαµβανοµένων και όλων των πιθανών συνδυασµών, είναι στοιχεία που υπολογίζονται κατά την ανάλυση επικινδυνότητας. H αντιµετώπιση των κινδύνων µιας επιχείρησης θα πρέπει να γίνεται µεθοδικά, από ειδικούς εµπειρογνώµονες που έχουν την απαιτούµενη τεχνογνωσία, για να επιτευχθεί το καλύτερο δυνατό αποτέλεσµα.
ΥΠΟΧΡΕΩΣΗ ΤΗΣ ΕΠΙΧΕΙΡΗΣΗΣ Η ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ
Είναι εµφανές πως η εφαρµογή ενός αποδοτικού Συστήµατος ∆ιαχείρισης Κινδύνων Κυβερνοασφάλειας θα ωφελήσει και θα ενισχύσει την προστασία του περιβάλλοντος λειτουργίας της επιχείρησης. Καταρχήν, καλύπτει τις απαιτήσεις των βέλτιστων πρακτικών ασφάλειας, καθώς και της σχετικής νοµοθεσίας (π.χ. GDPR). Η επιχείρηση είναι υποχρεωµένη να προστατεύσει τα δεδοµένα τόσο των υπαλλήλων της όσο και των πελατών και συνεργατών της. Συνεπώς, απαιτείται να αναλύσει επαρκώς τους σχετικούς κινδύνους και να εφαρµόσει τα κατάλληλα µέτρα προστασίας.
Παράλληλα, αιτιολογείται επαρκώς το κόστος της επένδυσης στην επιλογή των απαραίτητων µέτρων προστασίας, καθώς, όπως αναφέρθηκε, ο προϋπολογισµός της επιχείρησης κατέχει σηµαντικό ρόλο και επηρεάζει σε µεγάλο βαθµό τη λήψη των σχετικών αποφάσεων.
Πέρα από τα πιο πάνω άµεσα ωφελήµατα, υπάρχουν και αρκετά έµµεσα, τα οποία αφορούν στη λειτουργία της επιχείρησης. Αρχικά, ενισχύεται το στοιχείο της επικοινωνίας και της κατανόησης του εσωτερικού περιβάλλοντος, δεδοµένου ότι το πλαίσιο απαιτεί τη συνεργασία όλων των τµηµάτων, µε στόχο την αποτελεσµατική αντιµετώπιση των κινδύνων που απειλούν την επιχείρηση.
Επίσης, δηµιουργείται µια ανεπτυγµένη κουλτούρα/νοοτροπία που προωθεί διεθνείς βέλτιστες πρακτικές διαχείρισης κινδύνων και ενισχύει την επαγγελµατική θέση της επιχείρησης.
Όλες οι επιχειρήσεις αντιµετωπίζουν διάφορους κινδύνους που απειλούν τις δραστηριότητες και τα αγαθά/υπηρεσίες που προσφέρουν. Για τον λόγο αυτό, είναι απαραίτητο να αναπτύξουν ένα αποτελεσµατικό σύστηµα αντιµετώπισης κινδύνων, ώστε να ελαχιστοποιήσουν τις επιπτώσεις από αυτούς. Αν αποτύχουν σε αυτό, τότε θα έρθουν αντιµέτωπες µε σοβαρές επιπτώσεις/συνέπειες, για τις οποίες θα πρέπει να µοχθήσουν αρκετά, προτού καταφέρουν να επιστρέψουν στην αρχική τους κατάσταση.
H δηµιουργία συστήµατος αντιµετώπισης κινδύνων αποτελείται από συγκεκριµένα, εύκολα βήµατα, που, αν εκτελεστούν σωστά, θα επιφέρουν το καλύτερο δυνατό αποτέλεσµα σχετικά µε τη λήψη αποφάσεων για το ποια αγαθά/υπηρεσίες πρέπει να προστατευτούν και µε ποιον τρόπο. Επιπλέον, κατά τη διαδικασία της δηµιουργίας συστήµατος αντιµετώπισης κινδύνων, η επιχείρηση θα κερδίσει πολλαπλά ωφελήµατα, αφού µέσα από αυτήν θα καταφέρει να ωριµάσει, τόσο τεχνικά όσο και οργανωτικά, και θα δηµιουργήσει µια επαγγελµατική κουλτούρα/νοοτροπία που θα υποστηρίζει και θα προωθεί την Κυβερνοασφάλεια.
Πέρα όµως από τις πιο πάνω βέλτιστες πρακτικές, οι επιχειρήσεις θα πρέπει να εισαγάγουν και τεχνολογίες ασφάλειας για την προστασία των υποδοµών πληροφορικής και επικοινωνίας. Εξειδικευµένοι κατασκευαστές τεχνολογιών ασφάλειας, όπως η Cisco Systems, προσφέρουν µια ολιστική προσέγγιση στην ασφάλεια των υποδοµών πληροφορικής και επικοινωνίας για τις επιχειρήσεις. Τέτοιες λύσεις είναι η ευρεία γκάµα της Cisco Systems για Quick Prevention καθώς και η γκάµα λύσεων για Advanced Prevention.
ΑΠΟΔΟΤΙΚΟ ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ
Σύµφωνα µε τον διεθνή οργανισµό προτύπων NIST, η εφαρµογή ενός αποδοτικού Συστήµατος ∆ιαχείρισης Κινδύνων Κυβερνοασφάλειας πρέπει να έχει τα εξής χαρακτηριστικά:
1. Διαρκή καθοδήγηση από τη διοίκηση της επιχείρησης.
2. Υποστήριξη και συµµετοχή του τµήµατος πληροφορικής.
3. Ικανή οµάδα διαχείρισης κινδύνων.
4. Ευαισθητοποίηση και συνεργασία όλων των υπαλλήλων.
5. ∆ιαρκή ανάλυση των σχετικών κινδύνων.
WHO IS WHO
Ο Νίκος Τσάλης ανήκει στο Τµήµα Συµβουλευτικών Υπηρεσιών (Business Consulting Services - BCS) της Logicom Solutions και είναι υπεύθυνος των υπηρεσιών ασφάλειας πληροφοριακών συστηµάτων. Το Τµήµα αυτό στοχεύει στην παροχή υψηλής ποιότητας συµβουλευτικών υπηρεσιών σε σχέση µε την Κυβερνοασφάλεια και γενικά την ψηφιακή αναβάθµιση των οργανισµών. Στο παρελθόν, εργάστηκε ως εσωτερικός ελεγκτής πληροφοριακών συστηµάτων σε τραπεζικό ίδρυµα στην Κύπρο και ως εξωτερικός σύµβουλος ασφάλειας στην Οµάδα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιµων Υποδοµών του Οικονοµικού Πανεπιστηµίου Αθηνών στην Ελλάδα. Παράλληλα, ασχολήθηκε µε την εκπαίδευση σε θέµατα ασφάλειας πληροφοριακών συστηµάτων σε δηµόσια και ιδιωτικά τριτοβάθµια εκπαιδευτικά ιδρύµατα σε Ελλάδα και Κύπρο. Κατέχει BSc στην Πληροφορική από το Οικονοµικό Πανεπιστήµιο Αθηνών στην Ελλάδα, MSc στον τοµέα του Information Security από το Royal Holloway University of London στο Ην. Βασίλειο και PhD στην Ασφάλεια Πληροφοριακών Συστηµάτων από το Οικονοµικό Πανεπιστήµιο Αθηνών στην Ελλάδα. Επιπλέον, είναι κάτοχος επαγγελµατικών τίτλων από τους οργανισµούς Offensive Security και ISACA, σχετικά µε τον έλεγχο ασφάλειας πληροφοριακών συστηµάτων και υποδοµών.
n.tsalis@logicom.net
www.logicomsolutions.com.cy
ΛΥΣΕΙΣ ΠΡΟΛΗΨΗΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΕΝΑΝΤΙΑ ΣΤΟ RANSOMWARE ΑΠΟ ΤΗ LOGICOM SOLUTIONS
Η καλύτερη προστασία από κακόβουλο λογισµικό τύπου Ransomware ή/και Malware θεωρείται η έγκαιρη πρόληψη των κυβερνο-απειλών. H Logicom Solutions, ως Cisco Gold Certified Partner, προσφέρει άµεσες και γρήγορες λύσεις πρόληψης και προστασίας ενάντια στο Ransomware. Λύσεις όπως τα Cisco Cloud Email Security, Cisco Umbrella και Cisco Advanced Malware Protection for Endpoints βασίζονται σε τεχνολογίες Cloud και προσφέρονται για άµεση πρόληψη (Cisco Quick Prevention) από επιθέσεις Ransomware.
Επίσης, η λύση Cloud Email Security της Cisco αποτρέπει την πρόσβαση του Ransomware µέσω κακόβουλων emails. Μέσω της λύσης Cisco Umbrella, o χρήστης είναι προστατευµένος και εντός και εκτός δικτύου, καθώς εµποδίζεται η είσοδος του Ransomware από όλες τις πιθανές διαδικτυακές διόδους. Τέλος, η λύση Cisco Advanced Malware Protection for Endpoints προστατεύει τον υπολογιστή από το να τεθεί σε οµηρία από κακόβουλο λογισµικό. Πέρα από την άµεση πρόληψη, η Cisco προσφέρει και υψηλή προστασία από κυβερνο-επιθέσεις µέσω των λύσεων Advanced Protection, µε µια σειρά λύσεων και υπηρεσιών που διασφαλίζουν υψηλή κυβερνο-ασφάλεια. Παραδείγµατα τέτοιων λύσεων που εντοπίζουν και αποτρέπουν επιθέσεις είναι τα Cisco Next Generation Firewall, Cisco Identity Services Engine, Cisco TrustSec και Cisco StealthWatch.