cybersecurity: Το μεταβαλλόμενο τοπίο της κυβερνοασφάλειας

Η πανδημία αποτέλεσε σημείο αναφοράς και στον ευαίσθητο τομέα της κυβερνοασφάλειας, με το Διαδίκτυο να έχει μετατραπεί σε ένα ιδιαίτερα ασαφές και επικίνδυνο μέρος. Σύμφωνα με τα αποτελέσματα πρόσφατης μελέτης (Hiscox Cyber Readiness Report 2022), σχεδόν οι μισές επιχειρήσεις και οργανισμοί (48%) στις ΗΠΑ και την Ευρώπη υπέστησαν κάποιας μορφής κυβερνοεπίθεση κατά το τελευταίο δωδεκάμηνο!

Ακόμη πιο ανησυχητικό είναι ότι αυτές οι επιθέσεις λαμβάνουν χώρα παρά το γεγονός ότι οι επιχειρήσεις διπλασιάζουν τις δαπάνες τους για την κυβερνοασφάλεια…

Σήμερα, αποτελεί κοινό τόπο πως η κυβερνοασφάλεια βρίσκεται σε ένα σημείο καμπής, όπου πέντε βασικές τάσεις καθιστούν το πεδίο των απειλών πιο επικίνδυνο, ακόμη πιο περίπλοκο και σίγουρα σε επίπεδο διαχείρισης απαιτούνται επιπλέον δαπάνες σε σχέση με ό,τι ίσχυε.

Προκειμένου να κατανοηθεί καλύτερα το εύρος του κινδύνου παρατίθενται συνοπτικά οι τάσεις. Συγκεκριμένα:

1. Τα πάντα είναι και γίνονται ψηφιακά 

Η πρωτόγνωρη εξέλιξη σε ό,τι αφορά τη συνδεσιμότητα έχει επιταχύνει τον ψηφιακό μετασχηματισμό για κυβερνήσεις και επιχειρήσεις κατά σχεδόν επτά χρόνια, σύμφωνα με όσα υποστηρίζονται σε σχετι-
κή έκθεση της McKinsey. Με την υποδομή και τις σχετικές υπηρεσίες να καθίστανται προσβάσιμες στο Διαδίκτυο σε σχέση με ό,τι συνέβαινε πριν ενσκήψει ο COVID-19, οι επιτιθέμενοι έχουν αποκτήσει άπειρες
πλέον ευκαιρίες να θέτουν σε κίνδυνο τους απομακρυσμένους χρήστες, τα «ευάλωτα» συστήματα και τις άμυνες.

Την ίδια ώρα, η πανδημία ανάγκασε τους εργαζομένους να γίνουν περισσότερο «ψηφιακά εξαρτημένοι», με αποτέλεσμα λ.χ. σχεδόν 25% των θέσεων εργασίας στις ΗΠΑ να είναι απομακρυσμένες, με τις προβλέψεις να κάνουν λόγο για ακόμη υψηλότερα ποσοστά το 2023, σύμφωνα με έκθεση της Ladders. Αποτέλεσμα; Η εταιρική περίμετρος που… παραδοσιακά προστάτευε τους εργαζομένους σε ένα περιβάλλον γραφείου, σήμερα να θεωρείται ή να έχει μετατραπεί δευτερευούσης σημασίας. Κάτι που εξηγείται από το γεγονός πως οι
εργαζόμενοι διαθέτουν πρόσβαση σε εταιρικούς πόρους από προσωπικές συσκευές, χρησιμοποιώντας μη ασφαλή δημόσια δίκτυα Wi-Fi.

Γεγονός που αυτομάτως θέτει τους οργανισμούς σε αυξημένο κίνδυνο παραβιάσεων και επιθέσεων στον κυβερνοχώρο.

2. Οι οργανισμοί μετατρέπονται σε οικοσυστήματα 

Οι επιχειρήσεις, πλέον, έχουν «ανοίξει» την υποδομή και τους εν γένει εταιρικούς πόρους τους σε ένα εκτεταμένο σώμα κατασκευαστών, προμηθευτών εφοδιαστικής αλυσίδας και συνεργατών προκειμένου να μοιραστούν πληροφορίες και να κάνουν τα εμπορικά εμπόδια λιγότερο ενοχλητικά. Τέτοιες αλλαγές εγκυμονούν κινδύνους στον κυβερνοχώρο για τους οργανισμούς, καθώς οι τελευταίοι καθιστανται δύσκολο να διαχειριστούν, να ασφαλίσουν και να ρυθμίσουν ένα ολόκληρο οικοσύστημα που είναι πέρα από τον έλεγχο της επιχείρησης. Οι κυβερνοεπιθέσεις στην εφοδιαστική αλυσίδα αυξήθηκαν κατά 51% πέρυσι, σύμφωνα με όσα προκύπτουν από πρόσφατη μελέτη που διενήργησε ο όμιλος NCC.

3. Ο φυσικός και ψηφιακός κόσμος συγκρούονται 

Καθώς ο φυσικός και ο ψηφιακός κόσμος αλληλοεπικαλύπτονται, είναι σχεδόν βέβαιο πως πρόκειται να αναδυθεί ένα υβριδικό τοπίο απειλών, στο οποίο οι επιθέσεις στον κυβερνοχώρο θα έχουν επιπτώσεις και στον φυσικό κόσμο (και αντίστροφα). Αυτό μπορεί να εμφανιστεί με τη μορφή επιχειρηματικών διαταραχών, φυσικής ασφάλειας και ασφάλειας της υποδομής, κλοπής ή απώλειας εμπιστευτικών δεδο-
μένων, δικαστικών διαφορών, ακόμη και απώλειας ζωής. Η Gartner προβλέπει ότι οι επιτιθέμενοι στον κυβερνοχώρο αναμένεται να θέσουν στο στόχαστρό τους την επιχειρησιακή τεχνολογία (λ.χ. οικονομικά συστήματα, αγωγούς καυσίμων ή φυσικού αερίου, δίκτυα ηλεκτρικής ενέργειας, παροχή νερού, υγειονομική περίθαλψη ή το
ίδιο το Διαδίκτυο) προκειμένου να αυξήσουν τις επιπτώσεις της βλάβης που δύναται να προκαλέσουν.

4. Οι νέες τεχνολογίες οδηγούν και σε καινούριους κινδύνους!

Η εμφάνιση τεχνολογιών όπως το Internet of Things (IoT), το multicloud, το 5G και το edge computing θα δημιουργήσει δεκάδες δισεκατομμύρια συσκευές που μπορούν να παραβιαστούν και κατ’ επέκταση ακόμη περισσότερα σημεία εισόδου, τα οποία με τη σειρά τους θα είναι σε θέση να εκμεταλλευτούν παντοιοτρόπως οι πάσης φύσεως εισβολείς. Μάλιστα, μόνο ως σενάριο επιστημονικής φαντασίας δεν
μπορεί να εκληφθεί η περίπτωση κατά την οποία η τεχνητή νοημοσύνη (ΑΙ) θα υπόκειται σε χειραγώγηση που μπορεί ακόμη και να δρα μεροληπτικά, με αποτέλεσμα να προβαίνει σε άδικες ή ακόμα και ανασφαλείς κρίσεις. Όσο περισσότερη συνδεσιμότητα έχει ο κόσμος τόσο πιο
διαδεδομένη είναι η πιθανότητα μιας επιβλαβούς διακοπής…

5. Οι κανονισμοί γίνονται ολοένα και πιο περίπλοκοι 

Η μαζική αύξηση των κυβερνοεπιθέσεων και των παραβιάσεων δημιουργεί μια επείγουσα ανάγκη για τις κυβερνήσεις να ρυθμίσουν τις
δραστηριότητες στον κυβερνοχώρο. Σχεδόν κάθε μεγάλη χώρα θεσπίζει νομοθεσία περί προστασίας δεδομένων ή ιδιωτικού απορ-
ρήτου. Οι κανονισμοί εξελίσσονται γρήγορα και ανάλογα με το πλήθος των γεωγραφικών περιοχών στις οποίες δραστηριοποιείται
μια επιχείρηση, η παρακολούθηση και η εφαρμογή ρυθμιστικών εντολών ενδέχεται να αποτελούν μια πολύπλοκη διαδικασία. Η μη συμμόρφωση μπορεί να εκθέσει τις επιχειρήσεις σε παγίδες, συμπεριλαμβα-
νομένων λειτουργικών αστοχιών, δαπανηρών προστίμων και κυρώσεων και απώλειας της εμπιστοσύνης των πελατών.

Βέλτιστες πρακτικές που πολλαπλασιάζουν την απόδοση της κυβερνοασφαλειας

Οι επιχειρήσεις και οργανισμοί μπορούν να ακολουθήσουν μία σειρά από βέλτιστες πρακτικές προκειμένου να ενισχύσουν την απόδοση της κυβερνοασφάλειας. Ως τέτοιες μπορούν να θεωρηθούν:

> Προσδιορισμός, ιεράρχηση και εφαρμογή ελέγχων γύρω από τους κινδύνους. Αξιολογήστε την ωριμότητα των τίτλων σε τακτική βάση.

> Υιοθετήστε ένα συμπαγές πλαίσιο. Οι οργανισμοί που ακολουθούν μια οργανωμένη προσέγγιση για την ασφάλεια εντοπίζουν
γρηγορότερα τις παραβιάσεις και ξεπερνούν τους άλλους σε βασικές μετρήσεις ασφάλειας στον κυβερνοχώρο.

> Αναπτύξτε την ασφάλεια στον κυβερνοχώρο με ανθρώπινο επίπεδο. Αξιολογήστε τα αντανακλαστικά, τις συμπεριφορές και τα πρότυπα του προσωπικού για να δημιουργήσετε μια κουλτούρα των εργαζομένων που είναι προσαρμοσμένη στις αξίες και τους κινδύνους της κυβερνοασφάλειας.

> Ενισχύστε την αλυσίδα εφοδιασμού σας. Εκτελείτε τακτικά αξιολογήσεις κινδύνου της εφοδιαστικής αλυσίδας, επικεντρωθείτε στους σημαντικούς προμηθευτές σας, παρακολουθήστε την έκθεσή σας στον κίνδυνο και εφαρμόστε μια διαδικασία τερματισμού προμηθευτών που δεν πληρούν τα πρότυπα ασφαλείας σας.

> Αποφύγετε τη χρήση πολλών εργαλείων. Ακολουθήστε μια προσέγγιση πλατφόρμας αντί να αναπτύξετε μια ομάδα διαφορετικών τεχνολογιών. Βεβαιωθείτε ότι η ασφάλειά σας είναι πολυεπίπεδη με την ίδια εστίαση στους ανθρώπους, τις διαδικασίες και την τεχνολογία.

> Δώστε προτεραιότητα στην προστασία των κρίσιμων περιουσιακών στοιχείων. Λάβετε υπόψη τη ζημιά που θα μπορούσαν να προκαλέσουν πιθανές επιθέσεις στην κρίσιμη υποδομή σας.

> Αυτοματοποίηση, αυτοματοποίηση και πάλι… αυτοματοποίηση. Τα ταλέντα στον τομέα της κυβερνοασφάλειας είναι ήδη σε έλλειψη και η παρακολούθηση ολόκληρης της έκτασης της απειλής λαμβάνει
ιδιαίτερα εντυπωσιακή, μα και έντονα προβληματικά μορφή. Είναι πάντα καλή ιδέα να επενδύετε σε εργαλεία κυβερνοασφάλειας που αξιοποιούν την τεχνητή νοημοσύνη και τη μηχανική μάθηση
για να συμπληρώσουν την ανθρώπινη προσπάθεια και να επιταχύνουν τον εντοπισμό απειλών και τους χρόνους απόκρισης.

> Τι αποκαλύπτουν οι μετρήσεις ασφαλείας. Παρακολουθήστε τακτικά τις μετρήσεις ασφαλείας για να βοηθήσετε τους ηγέτες επιχειρήσεων να αποκτήσουν πληροφορίες σχετικά με την αποτελεσματικότητα της ασφάλειας, τη συμμόρφωση με τους κανονισμούς και τα επίπεδα ευαισθητοποίησης για την ασφάλεια στον οργανισμό.

> Η κυβερνοασφάλεια ουδέποτε τελειώνει ή σταματά. Ως «κλειδί» για την  αποτελεσματική διαχείριση κινδύνου ανάγεται η προληπτική ορατότητα και το πλαίσιο σε ολόκληρη την επιφάνεια της επίθεσης.

Αυτό βοηθά να κατανοήσουμε ποιες ευπάθειες, εάν αξιοποιηθούν, μπορούν να προκαλέσουν τη μεγαλύτερη ζημιά στην επιχείρηση.

Δεν μπορούν να μετριαστούν όλοι οι κίνδυνοι. Ορισμένοι θα πρέπει να γίνουν αποδεκτοί και να προβούμε σε διαπραγματεύσεις για συμβιβασμό.

Τί σημαίνει η κυβερνοασφάλεια για την επιχείρησή σας; 

Η κυβερνοασφάλεια αποτελεί ένα επιχειρηματικό πρόβλημα που παρουσιάζεται ως τέτοιο στις αίθουσες συσκέψεων εδώ και χρόνια, εντούτοις όμως η ευθύνη εξακολουθεί να ανήκει κυρίως στα στελέχη της πληροφορικής, υπό τους CIOs/CTOs.

Αρκεί να αναφερθεί πως σε πρόσφατη μελέτη της Gartner, το 88% των μελών διοικητικών συμβουλίων επιχειρήσεων και οργανισμών σε ολόκληρο τον κόσμο ταξινόμησε την ασφάλεια στον κυβερνο-
χώρο ως «επιχειρηματικό κίνδυνο».

Αντιθέτως, μόλις το 12% το χαρακτήρισε «τεχνολογικό κίνδυνο». Ωστόσο, μια έρευνα του 2021 κατέδειξε πως ο CIO, ο επικεφαλής ασφάλειας πληροφοριών (CISO) ή ο αντίστοιχος υπεύθυνος ήταν αρμόδιος για την ασφάλεια στον κυβερνοχώρο στο 85% των οργανισμών.

Οι εταιρείες έχουν γίνει πολύ πιο ευάλωτες στις κυβερνοαπειλές, καθώς αναμφίβολα οι ψηφιακές πληροφορίες και η τεχνολογία είναι πλέον τόσο πολύ ενσωματωμένες στην καθημερινή εργασία. Αλλά οι ίδιες οι επιθέσεις, που στοχεύουν τόσο τις πληροφορίες όσο και τις κρίσιμες υποδομές, γίνονται επίσης πολύ πιο εξελιγμένες.

Τα περιστατικά κινδύνου στον κυβερνοχώρο μπορεί να έχουν λειτουργικές, οικονομικές και στρατηγικές συνέπειες για έναν οργανισμό, τα οποία όλα έχουν σημαντικό κόστος. Αυτό καθιστά τα υπάρχοντα μέτρα λιγότερο αποτελεσματικά και σημαίνει ότι οι περισσότεροι οργανισμοί πρέπει να αναβαθμίσουν το ρόλο τους στον
κυβερνοχώρο.

Τί είναι οι έλεγχοι κυβερνοασφάλειας και η άμυνα στον κυβερνοχώρο;

Μία σειρά τομέων ελέγχου πληροφορικής και συστημάτων πληροφοριών αποτελούν την τεχνική γραμμή άμυνας κατά των κυβερνοεπιθέσεων. Αυτά περιλαμβάνουν:

Ασφάλεια δικτύου και περιμέτρου

Μια περίμετρος δικτύου οριοθετεί το όριο μεταξύ του ενδοδικτύου ενός οργανισμού και του εξωτερικού Διαδικτύου ή του δημόσιου Διαδικτύου. Τα τρωτά σημεία δημιουργούν τον κίνδυνο οι εισβολείς να μπορούν να χρησιμοποιήσουν το Διαδίκτυο για να επιτεθούν σε πόρους που συνδέονται με αυτό.

Ασφάλεια end points

Τα end points είναι συσκευές συνδεδεμένες στο δίκτυο, όπως φορητοί υπολογιστές, κινητά τηλέφωνα και διακομιστές. Η ασφάλεια τελικού σημείου προστατεύει αυτά τα στοιχεία και, κατ’ επέκταση, δεδομένα, πληροφορίες ή στοιχεία που συνδέονται με αυτά από κακόβουλους
παράγοντες ή καμπάνιες.

Ασφάλεια εφαρμογής

Προστατεύει δεδομένα ή κώδικα εντός των εφαρμογών που βασίζονται σε cloud όσο και παραδοσιακά, πριν και μετά την ανάπτυξη
των εφαρμογών.

Ασφάλεια δεδομένων

Περιλαμβάνει τις διαδικασίες και τα σχετικά εργαλεία που προστατεύουν ευαίσθητα περιουσιακά στοιχεία πληροφοριών, είτε κατά τη μεταφορά είτε σε κατάσταση ηρεμίας. Οι μέθοδοι ασφάλειας δεδομένων περιλαμβάνουν την κρυπτογράφηση, η οποία διασφαλίζει τη διαγραφή ευαίσθητων δεδομένων και τη δημιουργία αντιγράφων ασφαλείας δεδομένων.

Διαχείριση ταυτότητας και πρόσβασης (IAM)

Το IAM δίνει τη δυνατότητα στα κατάλληλα ή εξουσιοδοτημένα πρόσωπα να έχουν πρόσβαση στους σωστούς πόρους την κατάλληλη στιγμή για τους ενδεδειγμένους λόγους.

Αρχιτεκτονική μηδενικής εμπιστοσύνης

Καταργεί την έμμεση εμπιστοσύνη («Αυτός ο χρήστης βρίσκεται εντός της περιμέτρου ασφαλείας μου») και την αντικαθιστά με προσαρμοστική, ρητή εμπιστοσύνη («Αυτός ο χρήστης έχει πιστοποιηθεί με έλεγχο ταυτότητας πολλαπλών παραγόντων από εταιρικό φορητό υπολογιστή με λειτουργική σουίτα ασφαλείας»).

Θα πρέπει να τονιστεί πως οι έλεγχοι τεχνολογίας δεν είναι η μόνη γραμμή άμυνας έναντι των κυβερνοεπιθέσεων. Οι κορυφαίοι οργανισμοί εξετάζουν κριτικά την κουλτούρα κινδύνου και την ωριμότητα
των σχετικών λειτουργιών για να επεκτείνουν την άμυνά τους στον
κυβερνοχώρο. Αυτό περιλαμβάνει την οικοδόμηση της ευαισθητοποίησης των εργαζομένων και τις ασφαλείς συμπεριφορές.

Υπάρχουν KPIS κυβερνοασφάλειας και ποιες πρέπει να αξιοποιήσετε;

Οι περισσότερες μετρήσεις κυβερνοασφάλειας που χρησιμοποιούνται σήμερα αποτελούν δείκτες παραγόντων που δεν ελέγχει ο οργανισμός (λ.χ. «Πόσες φορές δεχθήκαμε επίθεση την περασμένη
εβδομάδα;»). Αντίθετα, χρήσιμο θα ήταν να εστιάσετε σε μετρήσεις που σχετίζονται με συγκεκριμένα αποτελέσματα που αποδεικνύουν ότι το πρόγραμμα ασφάλειας στον κυβερνοχώρο είναι αξιόπιστο και
σίγουρα μπορεί να αντέξει.

Η Gartner αναμένει ότι έως το 2024, το 80% του μεγέθους των προστίμων που επιβάλλουν οι ρυθμιστικές αρχές έπειτα από παραβίαση της ασφάλειας στον κυβερνοχώρο θα προκύψει από την αποτυχία να αποδειχθεί ότι τηρήθηκε το καθήκον της δέουσας προσοχής, σε αντίθεση με τον αντίκτυπο της παραβίασης.

Πλειάδα επιχειρήσεων και οργανισμών ακολουθούν ένα ευρύτερο μοντέλο μετρήσεων που βασίζονται στο αποτέλεσμα (ODMs). Ποιους παράγοντες περιλαμβάνει;

Συνέπεια. Οι μετρήσεις συνέπειας αξιολογούν εάν τα στοιχεία ελέγχου
λειτουργούν με συνέπεια με την πάροδο του χρόνου σε έναν οργανισμό.

Επάρκεια. Οι μετρήσεις επάρκειας αξιολογούν εάν οι έλεγχοι είναι ικανοποιητικοί και αποδεκτοί σύμφωνα με τις επιχειρηματικές ανάγκες.

Λογική. Οι εν λόγω μετρήσεις αξιολογούν εάν οι έλεγχοι είναι κατάλληλοι, δίκαιοι και ήπιοι.

Αποτελεσματικότητα. Οι μετρήσεις αποτελεσματικότητας αξιολογούν εάν οι έλεγχοι είναι επιτυχείς ή/και αποτελεσματικοί στην παραγωγή ενός επιθυμητού ή επιδιωκόμενου αποτελέσματος.

Πόσα πρέπει να διαθέσω για την ασφάλεια στον κυβερνοχώρο;

Το budget που δαπανάτε για την ασφάλεια στον κυβερνοχώρο δεν αντικατοπτρίζει το επίπεδο προστασίας σας, ούτε αυτό που ξοδεύουν οι άλλοι σημαίνει κάτι για το επίπεδο προστασίας σας σε σύγκριση με
το δικό τους.

Εξάλλου, η προσπάθεια για την αποτύπωση σε αυστηρά οικονομοτεχνικά κριτήρια και όρους του κινδύνου και της ετοιμότητας ασφάλειας ούτε αξιόπιστη ούτε ακριβής δύναται να θεωρηθεί. Μάλιστα, δεν
υποστηρίζουν την καθημερινή λήψη αποφάσεων που σχετίζονται με
προτεραιότητες και επενδύσεις στην κυβερνοασφάλεια.

Υπό αυτό το πρίσμα, ίσως θα πρέπει να χρησιμοποιήσετε μετρήσεις με γνώμονα τα αποτελέσματα προκειμένου να επιτρέψετε πιο αποτελεσματική διακυβέρνηση στις προτεραιότητες και τις επενδύσεις στον
κυβερνοχώρο. Τα ODM δεν μετρούν, αναφέρουν ή επηρεάζουν τις επενδύσεις κατά τύπο απειλής, ενώ βρίσκονται εκτός του ελέγχου σας να ευθυγραμμίσετε τις δαπάνες για την αντιμετώπιση ransomware και επιθέσεων. Αντίθετα, ευθυγραμμίστε τις επενδύσεις με τους ελέγχους που αντιμετωπίζουν αυτές τις απειλές.

Για παράδειγμα, ένας οργανισμός δεν μπορεί να ελέγξει εάν θα υποστεί επίθεση ransomware, αλλά μπορεί να ευθυγραμμίσει τις επενδύσεις σε τρία κρίσιμα στοιχεία ελέγχου: Τη δημιουργία αντιγράφων ασφαλείας και ανάκτησης, τη διασφάλιση της επιχειρηματικής συνέχειας και την εκπαίδευση σε ζητήματα phishing. Τα ODM αυτών των τριών στοιχείων ελέγχου αντικατοπτρίζουν πόσο καλά προστατεύεται ο οργανισμός από ransomware και ποιο είναι το κόστος αυτού του επιπέδου προστασίας.

Σημειώστε ότι ένας έλεγχος μπορεί να είναι οποιοσδήποτε συνδυασμός ατόμων, διαδικασίας και τεχνολογίας που κατέχετε, διαχειρίζεστε και αναπτύσσετε για να δημιουργήσετε ένα επίπεδο προστασίας για
τον οργανισμό. Χρήσιμο θα ήταν να ακολουθήσετε μια προσέγγιση βελτιστοποίησης κόστους για να αξιολογήσετε το κόστος (επένδυση), την αξία (όφελος) και το επίπεδο διαχειριζόμενου κινδύνου για κάθε έλεγχο. Γενικά, η καλύτερη προστασία (λιγότερος κίνδυνος) θα είναι και περισσότερο ακριβή…