Οι προβλέψεις που αφορούν στις τάσεις για την ασφάλεια πληροφοριών, μοιάζουν με τις προβλέψεις για τον καιρό. Πολλοί είναι αυτοί που κάνουν προβλέψεις, ακόμα περισσότεροι αυτοί που τις σχολιάζουν, αλλά ελάχιστοι αυτοί που πραγματικά κάνουν κάτι και κατευθύνουν τη δράση τους σύμφωνα με τις τάσεις και τις εκάστοτε προβλέψεις. Αυτό αποδεικνύεται και από το γεγονός ότι οι προβλέψεις για την εκάστοτε νέα χρονιά περιέχουν κατά 60% τάσεις και προβλέψεις που αφορούσαν στην προηγούμενη χρονιά.

Κάπως έτσι ξεκινήσαμε μια παρόμοια ανάλυση, δύο χρόνια πριν. Δύο χρόνια μετά, οι μετεωρολόγοι μεταλλάχθηκαν σε μάντεις του μέλλοντος, οι οποίοι αναμασούν τις ίδιες προβλέψεις, ενισχυμένες με ψήγματα από τις νέες τεχνολογίες και τις επιβαλλόμενες τάσεις. Αυτό που αποφεύγουν να μαντέψουν είναι ότι η ασφάλεια πληροφοριών ακόμα δεν έχει υλοποιήσει αποτελεσματικά τις βασικές αρχές. Αρχές απλές και κατανοητές, μα τόσο δύσκολο να γίνουν πράξεις. Η δυσκολία τους έγκειται στην ανάγκη αλλαγής εταιρικής νοοτροπίας και στην αδυναμία των επαγγελματιών της Ασφάλειας Πληροφοριών να μιλήσουν την επιχειρηματική γλώσσα και να συνεργαστούν με όλο τον Οργανισμό ώστε να αποκτήσουν την εμπιστοσύνη που απαιτείται. Στις επόμενες παραγράφους αναφέρουμε διαπιστώσεις, αναλύοντας τις κοινές συνιστώσες των πιο έγκυρων αναλύσεων για τη διετία που ακολουθεί.

Κίνδυνοι και κινδυνολογία για τη διετία που ξεκίνησε

Οι αδυναμίες και τα κενά ασφάλειας που αφορούν στις πλατφόρμες ανάπτυξης εφαρμογών για φορητές συσκευές, δίνουν έδαφος σε νέες απειλές. Παραδείγματα εχθρικού τύπου λογισμικού όπως το Perkele Trojan, καθώς και άλλων cross-platform malwares καταδεικνύουν τα σημαντικά κενά που υπάρχουν στην ασφάλεια των φορητών συσκευών.
Οι συγκεκριμένες απειλές επωφελούνται τις αδυναμίες ασφάλειας των λειτουργικών συστημάτων και των εφαρμογών που λειτουργούν στις φορητές συσκευές. Οι πληροφορίες της συσκευής αποστέλλονται σε τρίτο κακόβουλο χρήστη, ο οποίος στη συνέχεια συμπεριφέρεται ως ο ΄΄ιδιοκτήτης΄΄ της συσκευής.
Αναμένεται να δούμε μικτού τύπου απειλές μεταξύ προσωπικών υπολογιστών και φορητών συσκευών, με σκοπό την απόκτηση πρόσβασης σε σχήματα πιστοποίησης ταυτότητας με χρήση φορητών συσκευών (όπως αριθμούς επιβεβαίωσης SMS). Λόγω του ότι οι κακόβουλοι χρήστες του κυβερνοχώρου ΄΄ακολουθούν΄΄ τα κλικ των χρηστών, περιμένουμε να δούμε μια συνεχιζόμενη τάση στην επίθεση αυτών των φορητών συσκευών.
Οι απειλές ενός Οργανισμού εκ των έσω, αντιμετωπίζονται αναποτελεσματικά. Ο περιορισμός και ο ευρύτερος έλεγχος των εσωτερικών απειλών απαιτεί επιχειρησιακό σχεδιασμό και κατάλληλη προετοιμασία. Όταν ένας εργαζόμενος μοιράζεται τους κωδικούς του πρόσβασης ή πέφτει θύμα μιας κοινωνικού τύπου επίθεσης, αυτό δεν μπορεί πλέον να αποτελεί ευθύνη που ανήκει αποκλειστικά και μόνο στον τομέα Πληροφορικής & Τεχνολογίας μιας εταιρείας.  Οι εταιρείες χρειάζεται να δημιουργήσουν ομάδες οι οποίες να περιλαμβάνουν εκπροσώπους διαφόρων τμημάτων (Πληροφορική, Προσωπικό, Εσωτερική επικοινωνία, Μάρκετινγκ, Νομικό) με σκοπό να επικοινωνήσουν σε όλο το προσωπικό τους κινδύνους του κυβερνοχώρου και τους τρόπους αντιμετώπισης των κινδύνων αυτών.
Η χρήση, διακίνηση και ΄΄κατανάλωση΄΄ μεγάλου όγκου δεδομένων (Big Data) απαιτεί να επικεντρωθούμε στην ασφάλεια των πληροφοριών και όχι στην ασφάλεια των τεχνολογικών υποδομών. Η λειτουργία των περισσότερων επιχειρήσεων εξαρτάται από την αξιοπιστία των δεδομένων τους. Σύμφωνα με τη διαφαινόμενη τάση (από το 2012) ή σύμφωνα με την επιβαλλόμενη τάση, πολλές επιχειρήσεις διακινούν τα δεδομένα τους μέσω εφαρμογών, οι οποίες κάνουν χρήση υποδομών cloud. Υπάρχει ανάγκη συγκεκριμένων και αποτελεσματικών μέτρων προστασίας, τα οποία θα εξασφαλίζουν την προστασία των κρίσιμων επιχειρηματικών δεδομένων αλλά και θα δρουν ανασταλτικά σε περιπτώσεις επιθέσεων. Στις υποδομές cloud τα συμβατικά μέτρα προστασίας δεν είναι αρκετά, μιας και παραβίαση της ασφάλειας μιας συστοιχίας συστημάτων οδηγεί σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα παραπάνω του ενός Οργανισμού. Οι επιχειρήσεις χρειάζεται να επανεξετάσουν τις υποδομές και την αρχιτεκτονική ασφάλειας που χρησιμοποιούν και να ενσωματώσουν δικλείδες ασφάλειας κατάλληλες για περιβάλλοντα cloud αλλά και για να μπορούν να εκμεταλλευθούν αποτελεσματικά το μεγάλο όγκο πληροφοριών που παράγεται από τις τεχνικές δικλείδες ασφάλειας.
Η εταιρεία ερευνών IDC, πριν από λίγο καιρό προέβλεψε ότι το 70% των επικεφαλής Τμημάτων Πληροφορικής θα αυξήσει την εξάρτησή του από το σύννεφο. Ενώ οι λύσεις cloud μειώνουν το κόστος και αυξάνουν την ευελιξία των επιχειρήσεων, αυξάνουν ταυτόχρονα την έκθεσή τους στις αδυναμίες ασφάλειας. Η έρευνα σημειώνει ότι  παρόλο που η έκθεση στον κίνδυνο αυξάνει, από το 2015 το 60% των εταιρειών θα διαθέτει προϋπολογισμό πληροφορικής 30-40% μικρότερο από αυτόν που του χρειάζεται προκειμένου να μπορεί να χρηματοδοτήσει αξιολογήσεις κινδύνων σε όλο το εύρος της εταιρείας.
Αποφάσεις με γνώμονα το φόβο των αδυναμιών ασφάλειας και όχι των πραγματικών αναγκών ασφάλειας. Οι υπεύθυνοι Πληροφορικής και οι υπεύθυνοι Ασφάλειας Πληροφοριών πανικοβάλλονται από τους νέους τρόπους παρείσδυσης σε υποδομές και εφαρμογές και λαμβάνουν αποφάσεις επηρεασμένοι από το φόβο μήπως πέσουν θύματα παρεισδύσεων. Οι αποφάσεις τους δεν στηρίζονται σε αποτελέσματα των αξιολογήσεων κινδύνων και δεν λειτουργούν με γνώμονα την έκθεση του δικού τους Οργανισμού σε συγκεκριμένες απειλές. Παρατηρούμε δηλαδή, ότι ο φόβος, η αβεβαιότητα και η αμφιβολία, οδηγούν σε λήψη αποφάσεων με βάση το συναίσθημα, τρόπος ο οποίος δεν είναι ο ενδεδειγμένος για τη λήψη εταιρικών αποφάσεων.
Το εύρος έκθεσης των Οργανισμών μεγαλώνει, λόγω των πολλαπλών καναλιών επικοινωνίας και ροής δεδομένων μεταξύ, προμηθευτών, πελατών και άλλων συνεργατών. Το πρόβλημα είναι ότι δεν είναι εφικτό να υπάρχει το ίδιο επίπεδο προστασίας σε κάθε κανάλι επικοινωνίας, καθώς και σε όλο το εύρος των δεδομένων που χρειάζονται προστασία.
Εφαρμογή νέων τεχνολογιών χωρίς την απαραίτητη υποδομή και δικλείδες ασφάλειας. Οι νέες τεχνολογίες όπως το cloud computing, η πλήρης φορητότητα και το BYOD, εφαρμόζονται χωρίς να υπάρχει ο σχετικός σχεδιασμός ασφάλειας, αλλά και χωρίς να διαθέτουν οι ίδιες οι τεχνολογίες τις απαραίτητες δικλείδες ασφάλειας.
Οι στοχευμένες επιθέσεις μέσω των social media θα αντικαταστήσουν τις επιθέσεις μέσω phishing emails. Οι κακόβουλοι χρήστες του διαδικτύου θα χρησιμοποιούν ολοένα και περισσότερο τα social media προκειμένου να παρασύρουν χρήστες με σκοπό την αποκάλυψη εταιρικών μυστικών και αλίευση εταιρικών κωδικών πρόσβασης. Η χαλαρότητα της επικοινωνίας και η ευκολία που παρέχεται, καθιστούν το νέο αυτό τύπο επιθέσεων ελκυστικό στους κακόβουλους χρήστες.
Οι κακόβουλοι χρήστες θα βρουν περισσότερους τρόπους για να μη γίνονται αντιληπτοί από τα αυτοματοποιημένα συστήματα ανίχνευσης κακόβουλου λογισμικού. Το κακόβουλο λογισμικό θα ενεργοποιείται κατά τη διάρκεια της διαδικασίας επανεκκίνησης του υπολογιστή, στο κλικ του ποντικιού, στο κλείσιμο μιας εφαρμογής. Θα ενεργοποιείται δηλαδή ταυτόχρονα με τη διενέργεια κάποιων λειτουργιών του υπολογιστή, έτσι ώστε τα αυτοματοποιημένα συστήματα ανεύρεσης κακόβουλου λογισμικού να μη μπορούν να καταλάβουν ότι ταυτόχρονα με μια κανονική λειτουργία του υπολογιστή, εκτελείται/ενεργοποιείται και κάτι που δεν συνάδει με τη κανονική του λειτουργία. Παράδειγμα αποτελεί η χρήση malware λογισμικού στην Ιαπωνία και την Κορέα, όπου το κακόβουλο λογισμικό ενεργοποιήθηκε σε συγκεκριμένη χρονική στιγμή και δεν μπόρεσε να γίνει αντιληπτό.
Malware με συγκεκριμένη αποστολή
Ένα ακόμα σημείο που χρειάζεται να δώσουμε προσοχή και αφορά στο κακόβουλο λογισμικό, είναι ότι θα αναπτύσσονται τύποι malwares οι οποίοι θα στοχεύουν σε συγκεκριμένους τομείς της επιχειρηματικής αγοράς, με πρωταρχικό τους στόχο το χρηματοοικονομικό τομέα. Κύριο στόχο θα αποτελέσουν τα συστήματα/ υποδομές διαχείρισης εικονικού χρήματος.

Προετοιμαστείτε για τις νέες προκλήσεις

Οι νέες προκλήσεις που αφορούν στην ασφάλεια πληροφοριών, δεν αποτελούν κάτι πέραν των προβλεπόμενων. Το ίδιο και οι λύσεις που χρειάζονται προκειμένου να τις αντιμετωπίσουμε. Η ασφάλεια πληροφοριών χρειάζεται να αποτελέσει επιχειρηματική πρακτική και να αντιμετωπιστεί από ολόκληρο τον Οργανισμό και όχι μόνο από τον τομέα της Πληροφορικής. Η υιοθέτηση νέων τεχνολογιών που δίνουν περισσότερο έλεγχο στον επιχειρηματικό χρήστη, σε συνδυασμό με την αυξημένη on line επικοινωνία μεταξύ Οργανισμών, συνεργατών και  χρηστών που εργάζονται εκτός του εταιρικού δικτύου, επιβάλλει αποτελεσματική υλοποίηση των μέτρων προστασίας, τα οποία επιλέγονται με βάση την αξιολόγηση κινδύνων.
Στις επόμενες παραγράφους αναπτύσσονται τα κυριότερα σημεία στα οποία χρειάζεται να επικεντρωθεί η συνολική τοποθέτηση ενός Οργανισμού, σχετικά με την Ασφάλεια Πληροφοριών στην επόμενη διετία.
Εκπαίδευση των χρηστών με σκοπό την αναγνώριση των απειλών. Οι χρήστες χρειάζεται να εκπαιδευτούν αποτελεσματικά στην αναγνώριση και αποφυγή των απειλών και όχι να διενεργείται επιδερμική εκπαίδευση, με σκοπό την τυχόν κάλυψη απαιτήσεων εναρμόνισης με πρότυπα και εσωτερικές διαδικασίες. Οι χρήστες χρειάζεται να μπορούν να αναγνωρίσουν τα βασικά σημάδια μιας απειλής και να ενθαρρύνονται να καλούν για τεχνική βοήθεια στις περιπτώσεις όπου δεν είναι σίγουροι για το τι πρέπει να κάνουν. Όσο περισσότερες πληροφορίες μπορείτε να δώσετε στους χρήστες σχετικά με το τι αποτελεί απειλή και ποια τα σημάδια της, τόσο καλύτερα προετοιμασμένοι θα είναι. Ο συνδυασμός εκπαίδευσης και αποστολής υλικού που περιγράφει περιπτώσεις παραβίασης δεδομένων, είναι αποτελεσματικός.
Ελέγξτε την πληρότητα της πολιτικής ασφάλειας πληροφοριών, αλλά και το κατά πόσο εξακολουθεί να είναι επίκαιρη σε σχέση με την τεχνολογία που χρησιμοποιείται. Πολλά μπορεί να έχουν αλλάξει από την τελευταία ενημέρωση της πολιτικής. Επανεξετάστε και επικαιροποιήστε την Πολιτική και τις οδηγίες ασφάλειας και βεβαιωθείτε ότι οι νέες εκδόσεις σας καλύπτουν και είναι χρήσιμες για τους χρήστες. Για παράδειγμα, οι χρήστες κατά πάσα πιθανότητα χρησιμοποιούν προσωπικές υπηρεσίες cloud, όπως το DropBox και το Google Drive, σε μεγάλο ποσοστό. Πολιτικές και οδηγίες που να αφορούν στις νέες τεχνολογίες και τάσεις όπως BYOD και cloud, χρειάζεται να υπάρχουν.
Αναγνωρίστε τις πραγματικές αδυναμίες της ασφάλειας των δεδομένων σας. Οι απειλές που αφορούν στον κάθε Οργανισμό είναι διαφορετικές και σχετίζονται με την επιχειρηματική του δραστηριότητα και την τεχνολογία που τον υποστηρίζει.
Το προφίλ των απειλών κάθε Οργανισμού χρειάζεται να αντανακλά στην πραγματικότητά του – και για να γίνει αυτό χρειάζεται να μελετήσετε το επιχειρηματικό και τεχνολογικό περιβάλλον του Οργανισμού σας, για να αναγνωρίσετε:

  • Το επίπεδο κινδύνου στο οποίο είναι εκτεθειμένος.
  • Τα κρισιμότερα επιχειρηματικά δεδομένα, τα οποία είναι πολύτιμα για τους επίδοξους εσωτερικούς και εξωτερικούς κακόβουλους χρήστες.

Με τον τρόπο αυτό θα αναγνωρίσετε τις προτεραιότητες για προστασία, ανεξαρτήτως για ποιες είναι ή πού βρίσκονται οι τεχνικές υποδομές στις οποίες διακινούνται και επεξεργάζονται οι εταιρικές πληροφορίες.
Η δημιουργία του εταιρικού προφίλ απειλών, σας επιτρέπει να επικεντρωθείτε στις σημαντικές αδυναμίες ασφάλειας που σας αφορούν και να κατευθύνετε ανάλογα την υλοποίηση των τεχνικών και διαχειριστικών μέτρων προστασίας, χωρίς να υπάρχει σπατάλη σε πόρους και χρήματα.
Η βοήθεια από τη Διοίκηση μπορεί ακόμα να αργεί, αλλά χρειάζεται επιμονή. Είτε πρόκειται για την υλοποίηση των δικλείδων ασφάλειας είτε για την εκπαίδευση των χρηστών, τα στελέχη του Οργανισμού πρέπει να είναι ο στόχος των μηνυμάτων που θέλετε να περάσετε. Τα στελέχη αποτελούν τους κύριους ΄΄πελάτες΄΄ σας. Εάν τα στελέχη του Οργανισμού αποτελέσουν το παράδειγμα, τότε και το υπόλοιπο προσωπικό πιθανότερα θα ακολουθήσει το παράδειγμά τους.
Πέρα από αυτό, τα στελέχη του κάθε Οργανισμού είναι η ομάδα που χρειάζεται την περισσότερη ενημέρωση και εκπαίδευση, ειδικά στη σημερινή εποχή όπου οι επιθέσεις των κακόβουλων χρηστών είναι στοχευμένες και προσδοκούν συγκεκριμένα οφέλη από συγκεκριμένους επιχειρηματικούς πόρους.
Προβείτε σε εκπαιδεύσεις προσωπικού χαρακτήρα και παρουσιάστε πώς οι εκάστοτε αποφάσεις τους σχετικά με την ασφάλεια πληροφοριών, μπορούν να επηρεάσουν τη βιωσιμότητα και τα κέρδη της εταιρείας. Σχεδόν πάντα, προσπαθήστε να αποτιμήσετε σε οικονομικά μεγέθη την αρνητική επίδραση συμβάντων ασφάλειας πληροφοριών.
Κοινή αντιμετώπιση του εσωτερικού και εξωτερικού δικτύου. Ο πολλαπλασιασμός των κινητών συσκευών και τα πολλαπλά κανάλια επικοινωνίας χρηστών και συνεργατών με το εσωτερικό εταιρικό δίκτυο, μας αναγκάζει να αντιμετωπίσουμε με τον ίδιο τρόπο τόσο την ασφάλεια του εσωτερικού μας δικτύου όσο και των εξωτερικών συνδέσεων με αυτό.
Εστίαση σε προληπτικά μέτρα προστασίας. Εστιάστε περισσότερο τα επόμενα χρόνια σε προληπτικά μέτρα ασφαλείας, όπως εκπαίδευση, συχνό έλεγχο και σάρωση του δικτύου και των κρίσιμων συστημάτων σας για αδυναμίες ασφάλειας. Εστιάστε επίσης στο συνεχή έλεγχο και ανάλυση των αρχείων καταγραφής συμβάντων (log files), με σκοπό την αναγνώριση συνδυασμού κινήσεων που μπορεί να εμπεριέχουν δόλο.
Συνδυασμός διαφορετικού τύπου δικλείδων προστασίας των εταιρικών πληροφοριών. Εφαρμόστε συνδυασμό εργαλείων προστασίας που αφορούν στη χρήση των γνωστών τεχνικών και διαχειριστικών δικλείδων ασφάλειας, αλλά χρησιμοποιήστε και νομικού τύπου εργαλεία, όπως συμφωνίες με συνεργάτες και πάροχους υπηρεσιών. Βασικοί όροι σχετικά με την προστασία των εταιρικών πληροφοριών χρειάζεται να υπάρχουν στην πλειοψηφία, αν όχι σε όλες, τις εταιρικές συμφωνίες.
Ολιστική προσέγγιση που αφορά στη διακυβέρνηση των εταιρικών πληροφοριών. Χρειάζεται συνεργασία και κοινό πλαίσιο δράσης από τους εκάστοτε υπεύθυνους των λοιπών εταιρικών πλαισίων διαχείρισης που άπτονται της διακυβέρνησης των εταιρικών πληροφοριών, όπως η κανονιστική και νομική συμμόρφωση και η προστασία της ιδιωτικότητας. Απώτερος στόχος είναι η δημιουργία μιας εταιρικής στρατηγικής, που θα αφορά στη διακυβέρνηση των πληροφοριών και δεδομένων και στην αντιμετώπιση αυτών ως κρίσιμα περιουσιακά στοιχεία της εταιρείας.
Στατιστικά και στοιχεία με τα οποία ο Οργανισμός μπορεί να κατανοήσει τον κίνδυνο στον οποίο είναι εκτεθειμένος. Παλιό και επαναλαμβανόμενο, αλλά ακόμα δεν έχει κατανοηθεί η αξία του. Είναι αναγκαίο για την ασφάλεια πληροφοριών να είναι εναρμονισμένη με τους εταιρικούς στόχους. Μόνο έτσι θα αποκτήσει την προσοχή που απαιτείται. Σε δεύτερη φάση χρειάζεται να επικοινωνηθεί το πώς η ασφάλεια πληροφοριών μπορεί να συντελέσει στην αύξηση της επιχειρηματικής δραστηριότητας.
Απλοποιήστε τις λειτουργίες και δικλείδες ασφάλειας. Το συγκεκριμένο δεν άπτεται ιδιαίτερης προσοχής, παρόλο που θα έπρεπε. Το συνονθύλευμα των πολλών διαφορετικών τεχνικών εργαλείων ασφάλειας που χρησιμοποιείται και λειτουργεί, οι πολλαπλές διαδικασίες που απαιτούνται, καθώς και η έλλειψη της απαιτούμενης εξειδικευμένης γνώσης, καθιστούν δύσκολη την καθημερινότητα του επαγγελματία της Ασφάλειας Πληροφοριών. Επίσης καθιστά ακόμα δυσκολότερη την τήρηση των μέτρων προστασίας από το τελικό χρήστη. Αυτό είναι και το σημείο όπου τις περισσότερες φορές χάνεται η μάχη, λόγω έλλειψης αποτελεσματικότητας και απλότητας στην καθημερινή χρήση.
Χρειάζεται ολοκληρωμένη αρχιτεκτονική ασφάλεια όσον αφορά στα τεχνικά μέτρα προστασίας, αλλά και ολοκληρωμένη στρατηγική όσον αφορά στα διαχειριστικά μέτρα προστασίας. Το όλο οικοδόμημα χρειάζεται να έχει τριετή σχεδιασμό και να αναθεωρείται ανάλογα με τις εκάστοτε αξιολογήσεις κινδύνων και το τεχνολογικό υπόβαθρο του Οργανισμού.
Βελτίωση των μεθοδολογιών και της διεργασίας  διαχείρισης του κινδύνου. Αυτό μεταφράζεται σε αξιολόγηση και μέτρηση των κινδύνων και αδυναμιών, πρόληψη των απειλών και συνεχή επικοινωνία με τις επιχειρηματικές μονάδες.
Το πρόβλημα εδώ έγκειται στη συνεχώς μεταβαλλόμενη τεχνολογία, στις νέες απειλές που συνεπάγονται, αλλά και στο γεγονός ότι οι τεχνικές αξιολογήσεις και οι αυτοματοποιημένοι έλεγχοι αδυναμιών ασφάλειας γίνονται σε προγραμματισμένα χρονικά διαστήματα και όχι σε συνεχή βάση.
Για την αντιμετώπιση των παραπάνω, χρειάζεται πλαίσιο και τεχνολογία συνεχούς παρακολούθησης και αντιμετώπισης (Continues Diagnostics and Mitigation) των αδυναμιών ασφάλειας. Στόχος είναι η όσο το δυνατό σε πραγματικό χρόνο επίγνωση της κατάστασης σχετικά με τη δραστηριότητα του δικτύου, η οποία θα συνοδεύεται από τα δεδομένα που χρειάζονται προκειμένου για τη λήψη αποφάσεων.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com