Οι εξελίξεις στην κυβερνοασφάλεια στη φάση της πανδημίας, η επόμενη ημέρα των απειλών, οι τεχνολογικές πτυχές και ο ανθρώπινος παράγοντας καθώς φυσικά και η προσέγγιση της Accenture Security για το τι πρέπει να κάνουν οι επιχειρήσεις σήμερα προκειμένου να οικοδομήσουν ένα ασφαλέστερο περιβάλλον, αποτέλεσαν τα βασικά σημεία της συνέντευξης που μας παραχώρησε ο Κωνσταντίνος Βουζοπλής, Senior Manager, Επικεφαλής Accenture Security για την Ελλάδα.
Συνέντευξη με τον Κωνσταντίνο Βουζοπλή,
Senior Manager, Επικεφαλής Accenture Security για την Ελλάδα
Τι μας δίδαξε η πανδημία για την κυβερνοασφάλεια; Ποιο είναι το σημαντικότερο μάθημα που πήραμε;
Αναμφίβολα η πανδημία άλλαξε ριζικά τον τρόπο που ζούμε και εργαζόμαστε και προφανώς επηρέασε σημαντικά τον επιχειρηματικό κόσμο, δημιουργώντας πληθώρα προκλήσεων σε θέματα ασφάλειας. Με τον τρόπο αυτό αντιληφθήκαμε όλοι το πόσο κρίσιμο είναι για τους οργανισμούς να έχουν σε πραγματικό χρόνο την ικανότητα αλλά και την ευελιξία να ανταπεξέλθουν σε κυβερνοεπιθέσεις.
Οι hackers αναζήτησαν άμεσα τρόπους να επωφεληθούν από την αβεβαιότητα που δημιούργησε ο COVID-19, δεδομένου ότι οι οργανισμοί στράφηκαν σε τηλεργασία πολύ γρήγορα και σε μεγάλη κλίμακα, βάζοντας τους CIOs και CISOs στο προσκήνιο καθώς έπρεπε να διατηρήσουν την ασφαλή λειτουργία των επιχειρήσεών τους. Επομένως θα λέγαμε ότι η πανδημία υπογράμμισε τη σημασία της αποτελεσματικής ασφάλειας στον κυβερνοχώρο, τις δυσκολίες που συνεπάγεται καθώς επίσης τα δυνατά και τα αδύνατα σημεία των μέχρι τώρα πρακτικών ασφάλειας.
Οι διοικητικές ομάδες των επιχειρήσεων βλέποντας και διαβάζοντας καθημερινά το πως η πανδημία εξαπλώθηκε σε όλο τον κόσμο και το πώς επηρεάζει τα οικονομικά, κοινωνικά, πολιτικά και τα επιχειρηματικά συστήματα, συνειδητοποίησαν σε βάθος την πολυπλοκότητα που βιώνουμε και το πως αυτή συνδέεται με την ψηφιακή επιχείρηση και την κυβερνοασφάλεια. Συνεπώς η πανδημία αποτέλεσε το έναυσμα προκειμένου τα διοικητικά στελέχη να είναι περισσότερο αφοσιωμένα, επικεντρωμένα και ενημερωμένα σε θέματα κυβερνοασφάλειας και να συνειδητοποιήσουν τη σπουδαιότητα του ρόλου των CIOs και CISOs στον σύγχρονο ψηφιακό κόσμο.
Καθώς βλέπουμε σταδιακά «φως στο τούνελ» της κρίσης, ποια είναι η επόμενη μέρα;
Οι CEOs και τα διοικητικά συμβούλια έχουν ξεκινήσει να σκέφτονται και να σχεδιάζουν τα πλάνα τους στη μετά-covid εποχή. Όμως, διαπιστώνοντας πόσα από τα συστήματά τους απέτυχαν στη διάρκεια της πανδημίας, συνειδητοποιούν ότι χρειάζονται σημαντικές διαρθρωτικές μεταρρυθμίσεις, οι οποίες όμως δε θα είναι πλέον αποκλειστικά και μόνο δική τους απόφαση και επιλογή, αλλά ολοένα και περισσότερο θα υπαγορεύονται από εξωγενείς παράγοντες, όπως αλλαγές στη συμπεριφορά των καταναλωτών, το ρυθμιστικό πλαίσιο και τον ανταγωνισμό.
Αυτό αποτελεί μια ευκαιρία και παράλληλα ένα μεγάλο ρίσκο. Γιατί σε περιόδους μεγάλου disruption αυξάνονται πάντα και οι ευκαιρίες για τους κυβερνοεγκληματίες. Νέοι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο θα συνεχίσουν να εμφανίζονται, και οι αμυντικές δυνατότητες των οργανισμών οφείλουν διαρκώς να ενισχύονται. Με άλλα λόγια, η επιχειρηματική αξία που δημιουργούν τα ψηφιακά επιχειρηματικά συστήματα είναι άμεσα συνδεδεμένη με τις απειλές στον κυβερνοχώρο. Χαρακτηριστικά να αναφέρω ότι σε συναντήσεις με πελάτες μας συχνά λαμβάνουμε την εξής ερώτηση “Επενδύουμε το κατάλληλο budget για την ασφάλεια;”. Για εμάς η ερώτηση θα έπρεπε να τεθεί ως εξής “Τι πρέπει να προστατεύσουμε, ποια είναι η αξία του και πόσο ασφαλές είναι με βάση αυτά που επενδύουμε;”
Τι θα συμβουλεύατε λοιπόν έναν CEO ή ένα υψηλόβαθμο διοικητικό στέλεχος;
Καταρχάς, θεωρώ ότι η επιτυχία ή η αποτυχία στον ψηφιακό κόσμο ξεκινά από την κορυφή. Τα Δ.Σ. έχουν ένα εξαιρετικά σημαντικό και κρίσιμο ρόλο να διαδραματίσουν τόσο στην επιβίωση όσο και στο ψηφιακό μέλλον των εταιρειών τους, συμπεριλαμβανομένης της ασφάλειας.
Συνεπώς, είναι απαραίτητο η ευρύτερη διοικητική ομάδα να στελεχωθεί με άτομα που κατανοούν το εύρος της πολυπλοκότητας στα ψηφιακά επιχειρηματικά συστήματα και κατ’ επέκταση της ασφάλειας, που προτεραιοποιούν κατάλληλα και ολοκληρώνουν τις σχετικές υλοποιήσεις. Και φυσικά η διαρκής ενημέρωση και εκπαίδευση όλων των εργαζομένων θεωρείται δεδομένη και επιβεβλημένη.
Μιλώντας για το μέλλον, ένας βασικός πυλώνας είναι το cloud. Ωστόσο, ο αντιλαμβανόμενος κίνδυνος ασφάλειας στο cloud συχνά αποτελεί αποτρεπτικό παράγοντα. Ποια η άποψή σας;
Οι οργανισμοί πλέον πρέπει να δώσουν προτεραιότητα σε μια “cloud-first” προσέγγιση προκειμένου να επιτρέψουν στις εταιρείες τους να μετασχηματίζονται με ταχύτητα και σε μεγάλη κλίμακα. Η πράξη όμως δείχνει ότι ενώ το cloud προσφέρει νέες ευκαιρίες για εκσυγχρονισμό υπηρεσιών και μετασχηματισμό λειτουργιών, μόλις ~40% των εταιρειών επιτυγχάνει την πλήρη αναμενόμενη αξία από τις επενδύσεις στο cloud. Όπως σωστά είπατε, ο κίνδυνος ασφάλειας και συμμόρφωσης παραμένει το μεγαλύτερο εμπόδιο στην υιοθέτηση cloud. Το γεγονός αυτό, σε συνδυασμό με την έλλειψη σχετικών δεξιοτήτων, συχνά αποτελεί τροχοπέδη στη διαδικασία μετάβασης στο cloud.
Η ασφάλεια λοιπόν όντως θεωρείται συχνά ως ο μεγαλύτερος αποτρεπτικός παράγοντας για την υιοθέτηση του cloud, αλλά στην πραγματικότητα μπορεί να είναι ο μεγαλύτερος επιταχυντής της.
Σύμφωνα με την εμπειρία μας, στην Ελλάδα και στο εξωτερικό, τα ακόλουθα τέσσερα βήματα μπορούν να καθοδηγήσουν οποιαδήποτε μετάβαση στο cloud, με επιτυχία και ασφάλεια. Καταρχάς, απαιτείται σαφής προσδιορισμός των κενών ασφαλείας και δημιουργία μιας αρχιτεκτονικής και ενός οδικού χάρτη για την επίτευξη ασφάλειας στο cloud που βελτιστοποιεί τις τρέχουσες τεχνολογικές επενδύσεις. Δεύτερον, πρέπει να αξιοποιηθούν οι εγγενείς μηχανισμοί ασφαλείας που έχουν ενσωματώσει οι πάροχοι υπηρεσιών cloud στα συστήματά τους. Τρίτον, να δοθεί μεγάλη βαρύτητα σε θέματα συμμόρφωσης, βελτιστοποιώντας και ομαλοποιώντας τις λειτουργίες ασφάλειας και τέταρτον χρειάζεται στενή και αποτελεσματική παρακολούθηση, χρησιμοποιώντας εργαλεία ασφαλείας για την αντιμετώπιση εξελισσόμενων απειλών και τη διαχείριση σύνθετων κανονιστικών απαιτήσεων.
Μιλώντας για «εξελισσόμενες απειλές», σε πρόσφατη μελέτη σας -το Cyber Threatscape 2020– αναφέρεται ότι το Ransomware βρίσκεται σε έξαρση. Ποιες είναι οι τάσεις;
Το Ransomware εξελίχθηκε γρήγορα σε ένα εξαιρετικά επικερδές επιχειρηματικό μοντέλο τον περασμένο χρόνο, με τους εγκληματίες του κυβερνοχώρου να «αναβαθμίζουν» τους διαδικτυακούς εκβιασμούς τους, απειλώντας τα θύματά τους με τη δημοσιοποίηση των κλεμμένων δεδομένων τους ή την πώληση των δεδομένων τους και την δημοσιοποίηση των ονομάτων τους σε ιστότοπους στο διαδίκτυο.
Επιπλέον, είδαμε την εμφάνιση του LockBit Ransomware, το οποίο έχει κερδίσει την προσοχή λόγω της ικανότητας αυτό-διάδοσής του, μολύνοντας έτσι γρήγορα άλλους υπολογιστές που βρίσκονται στο εταιρικό δίκτυο. Τα κίνητρα πίσω από το LockBit φαίνεται να είναι και οικονομικά. Οι αναλυτές μας έχουν εντοπίσει εγκληματίες σε Dark Web Forums να διαφημίζουν ενημερώσεις και βελτιώσεις του Ransomware και ενεργά να προσλαμβάνουν νέα μέλη, υποσχόμενοι ποσοστό από τα λύτρα που θα λάβουν.
Η επιτυχία αυτών των μεθόδων εκβιασμού, ειδικά απέναντι σε μεγαλύτερους οργανισμούς, σημαίνει ότι πιθανότατα θα πολλαπλασιαστούν στο μέλλον. Συμπερασματικά, οι εταιρείες θα πρέπει να αναμένουν μια περισσότερο προκλητική συμπεριφορά από τους εγκληματίες του κυβερνοχώρου καθώς οι ευκαιρίες και τα κέρδη πληθαίνουν εκθετικά και επομένως οφείλουν να προετοιμαστούν κατάλληλα.
Στα θέματα ασφάλειας όμως, τελικά ο ανθρώπινος παράγοντας παραμένει ακόμα κομβικής σημασίας.
Με μια φράση θα σας έλεγα ότι οι άνθρωποι, οι εργαζόμενοι ενός οργανισμού, μπορούν να είναι ο μεγαλύτερος θεματοφύλακας ασφάλειας και παράλληλα ο μεγαλύτερος κίνδυνος.
Στην πανδημία, είδαμε ότι οι εγκληματίες εκμεταλλεύτηκαν γρήγορα τις «ευκαιρίες» που τους παρουσιάστηκαν. Χαρακτηριστικό είναι ότι οι επιθέσεις «phishing» αυξήθηκαν κατά 600% τις πρώτες εβδομάδες της πανδημίας. Από την πλαστογράφηση μηνυμάτων από τον Παγκόσμιο Οργανισμό Υγείας έως την παρότρυνση τραπεζικών πελατών να «δράσουν τώρα» πριν το κλείσιμο λογαριασμών λόγω COVID-19, οι εγκληματίες έχουν επωφεληθεί από το φόβο και την αβεβαιότητα που προκλήθηκε. Θα περιέγραφα γλαφυρά ότι δε μιλάμε απλά για hackers υπολογιστών, αλλά για hackers «καρδιάς και μυαλού».
Βάσει συμπεριφορικών ερευνών βλέπουμε ότι το άγχος αυξάνει την τάση των ανθρώπων να αναλαμβάνουν κινδύνους, να σκέφτονται λιγότερο ορθολογικά και να εμπιστεύονται πιο εύκολα τους απατεώνες. Επίσης, το άγχος συχνά οδηγεί σε δυσαρέσκεια απέναντι στις πολιτικές ασφάλειας, το οποίο με τη σειρά του ενθαρρύνει πιο «απρόσεκτες» συμπεριφορές. Επιπλέον, πρόσφατα δεδομένα δείχνουν ότι η κόπωση των εργαζομένων λόγω της τηλεργασίας μειώνει την τήρηση πολιτικών ασφαλείας, ενώ η αυξημένη φυσική απόσταση μεταξύ των υπαλλήλων δημιουργεί μια αίσθηση μειωμένης εποπτείας, που συχνά ανοίγει την πόρτα για κακόβουλες δραστηριότητες. Πρέπει επίσης να συνυπολογίσουμε ότι, σύμφωνα με έρευνα της Accenture, μόνο το 29% των εργαζομένων έχουν πρόσβαση σε νέα ψηφιακά εργαλεία για αποτελεσματική τηλεργασία, και πάνω από το 33% αναμένεται να χρησιμοποιούν τις δικές τους προσωπικές συσκευές.
Ως Accenture τώρα, εφαρμόζουμε εσωτερικά ένα πρόγραμμα το οποίο συνδυάζει καμπάνιες ευαισθητοποίησης με ασκήσεις που εξοπλίζουν τους ανθρώπους μας με τις κατάλληλες γνώσεις και εργαλεία αναφορικά με τις βέλτιστες πρακτικές και τον τρόπο αντίδρασης σε απειλές. Ο στόχος είναι να ενσωματωθούν οι κατάλληλες συμπεριφορές ασφάλειας πληροφοριών σε ό, τι κάνουμε, έτσι ώστε οι συμπεριφορές να είναι φυσικές και να μην «επιβάλλονται» απλά. Με το πρόγραμμα αυτό, οι 500.000+ συνάδελφοί μας, που εξυπηρετούν πελάτες σε περισσότερες από 120 χώρες, παραμένουν διαρκώς ενήμεροι σχετικά με τις κατάλληλες συμπεριφορές ασφάλειας για την προστασία της Accenture και των πελατών μας.
Παράλληλα όσον αφορά τους πελάτες μας έχουμε αναπτύξει ένα διαγνωστικό εργαλείο το οποίο ονομάζουμε Cyber Security Behavior Assessment (CyBA), το οποίο βοηθά στον εντοπισμό τομέων υψηλού κινδύνου βάσει δεδομένων συμπεριφοράς. Έτσι, ανοίγει ο δρόμος για στοχευμένες ανθρωποκεντρικές στρατηγικές, χρησιμοποιώντας μια εργαλειοθήκη τεχνικών επιστημονικής συμπεριφοράς για την υποστήριξη της προληπτικής παρέμβασης.
Με βάση τα όσα είπαμε έως τώρα, τι θεωρείτε ότι πρέπει να κάνουν οι επιχειρήσεις;
Η Accenture έχει εντοπίσει τέσσερις βασικούς πυλώνες για την επιτυχία στον κυβερνοχώρο. Αρχικά λοιπόν μιλάμε για την καλλιέργεια μιας κουλτούρας με έμφαση στην ασφάλεια. Όπως είπαμε και νωρίτερα ο ανθρώπινος παράγοντας είναι κλειδί επιτυχίας για την οικοδόμηση ενός ασφαλούς περιβάλλοντος. Πέρα από τον άνθρωπο όμως, πρέπει να δώσουμε προσοχή σε θέματα ασφαλούς πρόσβασης στο δίκτυο μέσω συνεχών penetration tests και αναβάθμισης του intelligence για απειλές. Στην κατεύθυνση αυτή οι οργανισμοί οφείλουν να δημιουργούν ασφαλή εργασιακά περιβάλλοντα, μέσω της διαρκούς αναβάθμισης των τεχνολογικών υποδομών και της αξιοποίησης των δυνατοτήτων του cloud. Τέλος, έχουμε τον πυλώνα ασφαλούς συνεργασίας, όπου οι ομάδες διαθέτουν κατάλληλα εργαλεία για την αντιμετώπιση των κινδύνων κυβερνοασφάλειας.
Στο σημείο αυτό, αξίζει να αναφέρουμε μια σειρά πρακτικών συμβουλών ασφάλειας, που εξυπηρετούν τις σημερινές και μελλοντικές ανάγκες των οργανισμών:
- Η λογική του “οποτεδήποτε, οπουδήποτε”
Οι επιχειρήσεις οφείλουν να φροντίσουν για την ασφάλεια όλων των χρηστών, συσκευών και διακίνησης πληροφορίας με τον ίδιο βαθμό αποτελεσματικότητας, ανεξάρτητα από το πού βρίσκονται.
- Διαφάνεια
Οι οργανισμοί πρέπει να δίνουν πρόσβαση στους χρήστες σε ό,τι χρειάζονται όταν το χρειάζονται, με τρόπο διαφανή και αποτελεσματικό.
- Απλοποίηση
Οι εταιρείες οφείλουν διαρκώς να αξιολογούν τις διάφορες υπηρεσίες και να τις αυτοματοποιούν όπου υπάρχει νόημα και αξία. Έχει αποδειχθεί ότι η απόκριση σε συμβάντα ασφαλείας, η ανάπτυξη εργαλείων και η διαχείριση κανόνων ενισχύονται σημαντικά από την αυξημένη χρήση της τεχνολογίας και τον περιορισμό της ανθρώπινης παρέμβασης.
- Ανθεκτικότητα
Καθώς οι οργανισμοί αρχίζουν να αναδύονται από την κρίση, τα επιχειρηματικά σχέδια συνέχειας και διαχείρισης κρίσεων πρέπει να αναπτυχθούν κατάλληλα. Κλειδί επιτυχίας αποτελεί εδώ η στρατηγική σχέση με ικανούς συνεργάτες στο σχεδιασμό, την προετοιμασία και τη διαρκή εξάσκηση για μεγαλύτερη ανθεκτικότητα στον κυβερνοχώρο, με την υποστήριξη φυσικά των κατάλληλων πόρων και επενδύσεων.
Κλείνοντας τη συνέντευξή μας, μιλήστε μας για την ομάδα και τις υπηρεσίες που προσφέρετε;
H Accenture Security βοηθά τους οργανισμούς να προετοιμαστούν, να προστατευτούν, να ανιχνεύσουν και να ανταποκριθούν σε όλα τα ζητήματα ασφαλείας. Στο πλαίσιο αυτό προσφέρουμε ολοκληρωμένες υπηρεσίες στους τομείς της προηγμένης ασφάλειας στον κυβερνοχώρο, εφαρμοσμένων λύσεων ασφάλειας και managed security services. Πρόσθετα, δεδομένου ότι οι προκλήσεις στην ασφάλεια είναι διαφορετικές για κάθε επιχείρηση και σε κάθε κλάδο, έχουμε αναπτύξει και διαρκώς εξελίσσουμε λύσεις προσαρμοσμένες στις ανάγκες κάθε επιχείρησης, καλύπτοντας ολόκληρη την αλυσίδα αξίας. Η ομάδα μας αποτελείται από έμπειρα στελέχη τα οποία αξιοποιώντας το παγκόσμιο δίκτυο, την εμπειρία και την τεχνογνωσία της Accenture βοηθούν τις επιχειρήσεις να καινοτομούν με ασφάλεια, να ενισχύουν την ανθεκτικότητά τους στον κυβερνοχώρο και να αναπτύσσονται με αυτοπεποίθηση.