Οι προβλέψεις που αφορούν στις τάσεις για την ασφάλεια πληροφοριών, μοιάζουν με τις προβλέψεις για το καιρό.
Πολλοί είναι αυτοί που κάνουν προβλέψεις, ακόμα περισσότεροι αυτοί που τις σχολιάζουν, αλλά ελάχιστοι αυτοί που πραγματικά κάνουν κάτι και κατευθύνουν τη δράση τους σύμφωνα με τις τάσεις και τις εκάστοτε προβλέψεις. Αυτό αποδεικνύεται και από το γεγονός ότι οι προβλέψεις για την εκάστοτε νέα χρονιά, περιέχουν κατά 60% τάσεις και προβλέψεις που αφορούσαν στην προηγούμενη χρονιά.

2009, επιβεβαιώθηκαν οι προβλέψεις;
Τη χρονιά που πέρασε οι προβλέψεις μιλούσαν για στροφή στην προστασία των δεδομένων και ταυτόχρονη αλλαγή του τρόπου σκέψης, δίνοντας έμφαση στην προστασία της πληροφορίας και όχι στην προστασία των υποδομών που αποθηκεύονται και επεξεργάζονται τις πληροφορίες. Το 2009 οι επενδύσεις σε λύσεις Data Leakage Prevention και full disk encryption επιβεβαίωσαν εν μέρει τις προβλέψεις, όχι όμως με τόσο γρήγορους ρυθμούς αποδοχής και εξάπλωσης. Στην πραγματικότητα αποτέλεσαν μέρος μιας νέας φιλοσοφίας, η οποία δεν εδραιώθηκε ακόμα.
Οι επενδύσεις στην ασφάλεια πληροφοριών αυξήθηκαν κατά 7 – 8% σε σχέση με το 2008 και το μεγαλύτερο ποσοστό των επενδύσεων απορροφήθηκε από λύσεις intrusion prevention, network access control και identity management.
Σύμφωνα με τους αναλυτές (Forester), οι επενδύσεις στην ασφάλεια πληροφοριών αποτέλεσαν το 12% των επενδύσεων στην Πληροφορική. Ταυτόχρονα, οι Οργανισμοί προσπάθησαν να συρρικνώσουν τις δαπάνες που αφορούν στην ασφάλεια πληροφοριών, όσο αυτό ήταν εφικτό. Όμως, η αναγκαιότητα για εναρμόνιση με νομικές απαιτήσεις και θεσμικό πλαίσιο, δεν άφησε περιθώρια για δραματική μείωση των δαπανών. Ταυτόχρονα, παρατηρήθηκε αύξηση των δαπανών για εκπαίδευση των επαγγελματιών που εργάζονται στον τομέα της ασφάλειας πληροφοριών, σε θεματικές ενότητες όπως: Πιστοποιήσεις ασφάλειας, πιστοποιήσεις προϊόντων ασφάλειας, forensics analysis, incident handling, auditing & security management.
Πάντως και το 2009 οι Οργανισμοί δαπάνησαν αρκετά χρήματα για μία ακόμα χρονιά σε δικτυακό εξοπλισμό ασφάλειας (network security appliances), σε λύσεις email security & web content filtering, λύσεις authentication & firewall management.
Γενικότερα, ήταν η χρονιά της υλοποίησης πολλών λύσεων ασφάλειας πληροφοριών, με χρήματα τα οποία προέρχονταν από budget του τομέα Πληροφορικής, ενώ όσον αφορά στις υπηρεσίες, έγιναν τα απολύτως απαραίτητα τα οποία είχαν σχέση με θέματα εναρμόνισης με το νομικό και θεσμικό πλαίσιο.

Τάσεις & προβλέψεις για το 2010
Στη νέα χρονιά οι δαπάνες που αφορούν στην εκπαίδευση θα συνεχιστούν, σε μια προσπάθεια των Οργανισμών για αποτελεσματικότερη αντιμετώπιση των κινδύνων, αρχικά εκ των έσω. Θα συνεχιστεί η προσπάθεια για μείωση των δαπανών, αλλά δαπάνες που έχουν σχέση με κανονιστική συμμόρφωση και συγκεκριμένα με προστασία των εταιρικών πληροφοριών, δεν θα περικοπούν.
Εκτός από την κανονιστική συμμόρφωση αναμένεται να υπάρξει αυξημένη ζήτηση υπηρεσιών / εργαλείων που αφορούν σε forensics, identity & access management, intrusion prevention, penetration testing, encryption και data leakage prevention.
Η εξάπλωση των τεχνολογιών virtual storage, virtual servers & desk tops και των αντίστοιχων εφαρμογών, θα δημιουργήσει ανάγκες για λύσεις και υπηρεσίες προστασίας της διακίνησης των δεδομένων μεταξύ των virtual πόρων, για προστασία από διαρροή εμπιστευτικών πληροφοριών. Σύμφωνα με τη Gartner, μέχρι το 2011 θα υπάρχουν 611 εκατομμύρια PCs παγκοσμίως.
Γενικότερα, θα συνεχιστεί η αναζήτηση για αποτελεσματικότερη ενσωμάτωση των διεργασιών που αφορούν στην ασφάλεια πληροφοριών στην καθημερινή λειτουργία των διεργασιών του τομέα Πληροφορικής. Στόχος παραμένει η μείωση των δαπανών για την ασφάλεια πληροφοριών, μέσω της ενσωμάτωσής τους στο ευρύτερο πλαίσιο δαπανών του τομέα της Πληροφορικής.
Ολοκληρώνοντας με τις τάσεις της αγοράς και σύμφωνα με τις προβλέψεις, οι δαπάνες για την ασφάλεια πληροφοριών δεν πρόκειται να αυξηθούν την επόμενη χρονιά, αλλά ούτε και να μειωθούν. Λύσεις που αφορούν στην τεχνολογία DLP θα παρουσιάσουν άνοδο, ενώ το κόστος τους θα αρχίσει να μειώνεται αισθητά. Μεγαλύτερη αποδοχή αναμένεται σε λύσεις και υπηρεσίες cloud data security, ενώ λύσεις που αφορούν στην κρυπτογράφηση δεδομένων σε προσωπικούς και φορητούς υπολογιστές, θα συνεχίσουν την ανοδική τους τάση.

Κύριες απειλές ασφάλειας και κίνδυνοι για το 2010
Virtualization

Προσοχή πρέπει να δοθεί στην πρόληψη διαρροής κρίσιμων πληροφοριών σε virtual περιβάλλοντα. Η εξασφάλιση της επικοινωνίας μεταξύ εικονικών servers οι οποίοι λειτουργούν στην ίδια υποδομή, είναι το κλειδί για την εξασφάλιση της εικονικής διακίνησης δεδομένων μεταξύ των servers.

Ηλεκτρονικό έγκλημα …. in the cloud
Υπηρεσίες & υποδομές τύπου cloud αναμένεται να χρησιμοποιηθούν αποτελεσματικότερα από κακόβουλους χρήστες, με σκοπό την απόκτηση πρόσβασης σε μεγαλύτερο εύρος υποδομών σε πολύ μικρό χρονικό διάστημα. Το 2009 είδαμε τη χρήση της υπηρεσίας Google’s AppEngine από κακόβουλους, οι οποίοι δημιούργησαν ένα κανάλι ελέγχου μεγάλων δικτύων, διοχετεύοντας μαζικά εντολές. Ανάλογες τάσεις θα συναντήσουμε και τη νέα χρονιά, καθώς η εξάπλωση τέτοιου είδους εφαρμογών θα συνεχιστεί.

Η χρήση Antivirus δεν είναι αρκετή
Η σημερινή τεχνολογία για antivirus δεν είναι ικανή να καλύψει κινδύνους οι οποίοι προέρχονται από πολυμορφικού τύπου ιούς και κακόβουλο λογισμικό τύπου malware. Έχουμε φτάσει σε ένα σημείο καμπής, όπου τα νέα κακόβουλα προγράμματα υλοποιούνται σε υψηλότερο ποσοστό από ό,τι άλλου τύπου προγράμματα.

Τεχνικές τύπου Social engineering σε εξάπλωση
Όλο και περισσότερο, οι κακόβουλοι χρήστες προσπαθούν να ξεγελάσουν – ακόμα και να παρακάμψουν – τον τελικό χρήστη, με σκοπό να εγκαταστήσουν ειδικό λογισμικό παρακολούθησης στον υπολογιστή του ή να του αποσπάσουν κρίσιμες εταιρικές πληροφορίες, προσποιούμενοι κάτι το οποίο ο τελικός χρήστης εμπιστεύεται.
Η δημοτικότητα του Social engineering έγκειται στο ότι η επιτυχία της επίθεσης δεν εξαρτάται από τις αδυναμίες ασφάλειας της τεχνικής υποδομής, αλλά από το πόσο εκπαιδευμένος είναι ο τελικός χρήστης. Τα επόμενα χρόνια αναμένεται έξαρση στοχευμένων προσπαθειών social engineering.

Windows 7
Οι πρώτες αδυναμίες ασφάλειας των νέων windows έχουν ήδη δημοσιευθεί. Όσο ο ανθρώπινος παράγοντας παράγει λογισμικό, τα προγραμματικά λάθη θα υπάρχουν – όσο καλός έλεγχος και να έχει γίνει για τα θέματα ασφάλειας. Επιπροσθέτως, όσο πιο πολύπλοκος είναι ο παραγόμενος κώδικας, τόσο περισσότερες και οι αδυναμίες ασφάλειας.
Το νέο λειτουργικό σύστημα της Microsoft δεν αποτελεί εξαίρεση, καθώς αποτελεί το νέο παιχνίδι που οι κακόβολοι χρήστες θα προσπαθήσουν να ανακαλύψουν άμεσα τις τυχόν αδυναμίες του.

Κακόβουλο λογισμικό malware … για εξειδικευμένη χρήση
Το 2009 είδαμε χρήση εξειδικευμένου τύπου malware, που είχε ως στόχο την εκμετάλλευση αδυναμιών των τραπεζικών ΑΤΜς.
Αναμένεται ότι αυτή η τάση θα συνεχιστεί και το 2010, δηλαδή το κακόβουλο λογισμικό θα δημιουργείται για συγκεκριμένο σκοπό και θα έχει συγκεκριμένο πεδίο δράσης.

Τάσεις πληροφορικής
Αξίζει τον κόπο να μελετήσουμε και τις τάσεις στον τομέα της πληροφορικής για την επόμενη χρονιά. Οι συγκεκριμένες τάσεις υποδεικνύουν σε μεγάλο ποσοστό σε τι πρέπει να είναι έτοιμοι οι επαγγελματίες της ασφάλειας πληροφοριών και ταυτόχρονα από πού θα προκύψουν οι περισσότερες αδυναμίες ασφάλειας.
Η συνιστώσα διαφορετικών αναλύσεων και μελετών, αναδεικνύει τα ακόλουθα:

  • Green computing
  • Social networking tools
  • Cloud computing
  • Mobile computing
  • Virtualization

Όλα τα παραπάνω εσωκλείουν διάφορες αδυναμίες ασφάλειας, τόσο σε επίπεδο σχεδίασης όσο και σε επίπεδο λογισμικού. Σύμφωνα με τη λογική αυτή, οι κακόβουλοι χρήστες θα προσπαθήσουν να αποκαλύψουν γρήγορα τις αδυναμίες ασφάλειας των παραπάνω τεχνολογικών κατευθύνσεων, έτσι ώστε να βρίσκονται και πάλι ένα βήμα μπροστά.

Συμπέρασμα
Οι παραπάνω προβλέψεις και τάσεις δίνουν τη βασική κατεύθυνση για την επόμενη χρονιά. Είναι σίγουρο ότι βρισκόμαστε σε εποχή στοχευμένων κατευθύνσεων και τάσεων, οι οποίες ακολουθούν την τάση της τεχνολογίας αλλά και τη ροή των επιχειρηματικών πληροφοριών. Οι επαγγελματίες της ασφάλειας πληροφοριών οφείλουν να είναι ενημερωμένοι για το αύριο, για τους κινδύνους που έρχονται, αλλά και για τους κινδύνους που φέρουν οι νέες τεχνολογίες. Πρέπει να είναι σε θέση να ενημερώνουν για τους νέους κινδύνους και να δρουν προληπτικά.
Καλή χρονιά σε όλους, η οποία από πλευράς ασφάλειας πληροφοριών σίγουρα δεν θα είναι απόλυτα ασφαλής – άρα θα είναι απόλυτα συναρπαστική!

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.