Αναπόσπαστο στοιχείο μίας σύγχρονης στρατηγικής κυβερνοασφάλειας
Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr
Οργανισμοί και επιχειρήσεις δαπανούν τεράστια χρηματικά ποσά για συμβουλευτικές υπηρεσίες και εργαλεία κυβερνοασφάλειας σε ετήσια βάση. Εργαλεία όπως το τείχος προστασίας, το λογισμικό προστασίας από ιούς ή το σύστημα διαχείρισης πληροφοριών και συμβάντων (SIEM) είναι απαραίτητα και εξαιρετικά χρήσιμα, ωστόσο οι κωδικοί πρόσβασης, ακόμα και στα πιο προηγμένα εταιρικά περιβάλλοντα εξακολουθούν να χρησιμοποιούνται και συχνά είναι το μοναδικό στοιχείο που προστατεύει τα επιχειρηματικά σχέδια, τη πνευματική ιδιοκτησία, τα περιουσιακά στοιχεία, τις επικοινωνίες, τη δικτυακή πρόσβαση και τα δεδομένα υπαλλήλων και πελατών.
Αδύναμος κρίκος
Αν και εξαιρετικά πολύτιμο εργαλείο για την επιχειρηματική λειτουργία και συνέχεια, οι κωδικοί πρόσβασης (passwords) είναι συχνά ο αδύναμος κρίκος για την κυβερνοασφάλεια κυρίως εξαιτίας του ανθρώπινου λάθους, της αμέλειας, της παράλειψης ή απλώς της έλλειψης γνώσης κ.ά. Αντιμετωπίζοντας αποτελεσματικά αυτά τα ζητήματα, θα καταφέρετε να ενισχύσετε σημαντικά την άμυνα του οργανισμού σας. Πως; Με τη χρήση μίας ισχυρής λύσης διαχείρισης κωδικών πρόσβασης. Δεν είναι πάντως μόνο το ανθρώπινο λάθος που μπορεί να οδηγήσει στην διαρροή ή στην κλοπή ενός κωδικού πρόσβασης, κάτι που θα μπορούσε να έχει καταστροφικές συνέπειες για τη λειτουργία μίας επιχείρησης. Οι κυβερνοεγκληματίες χρησιμοποιούν διάφορες μεθόδους και τακτικές για την κλοπή διαπιστευτηρίων και κωδικών πρόσβασης.
Mόνο το 2022, περισσότεροι από 44 εκατομμύρια άνθρωποι επηρεάστηκαν στις ΗΠΑ από 1802 παραβιάσεις δεδομένων. Ένας συνηθισμένος τρόπος για το «σπάσιμο» κωδικών είναι η μέθοδος του brute force, δηλαδή μέσω τυχαίας εκτίμησης ή μαντεύοντας το συνθηματικό αφού πρώτα έχουν διερευνήσει τα ψηφιακά αποτυπώματα του χρήστη. Ένας άλλος τρόπος είναι η υποκλοπή κωδικών μέσω παρακολούθησης του θύματος να πληκτρολογεί τον κωδικό πίσω από την πλάτη του, το λεγόμενο «shoulder surfing». Τέλος, με κάποιο malware ή keylogger (πολλές φορές συνδυαστικά με ηλεκτρονικό ψάρεμα), μέσω κοινωνικής μηχανικής (social engineering), με επιθέσεις man-in-the-middle ή ψηφιακό ψάρεμα, οι μέθοδοι που χρησιμοποιούν οι κυβερνοεγκληματίες για την κλοπή κωδικών πρόσβασης είναι πολλές και δύσκολες στην αντιμετώπιση τους.
Μία λύση διαχείρισης κωδικών πρόσβασης, είναι κρίσιμης σημασίας για τη στρατηγική κυβερνοασφάλειας κάθε οργανισμού, ανεξαρτήτως μεγέθους. Από τη δημιουργία ισχυρών κωδικών πρόσβασης μέχρι τη παρακολούθηση των πολιτικών και των πρακτικών ασφαλείας, οι λύσεις διαχείρισης κωδικών πρόσβασης προστατεύουν τις εταιρείες από τις απειλές στον κυβερνοχώρο και βελτιώνουν σημαντικά την παραγωγικότητα των εργαζομένων. Ακριβώς για αυτόν τον λόγο πρέπει να αποτελούν βασικό στοιχείο της στρατηγικής κυβερνοασφάλειας κάθε οργανισμού. Η στρατηγική κυβερνοασφάλειας είναι με απλά λόγια το σχέδιο που έχει «καταστρώσει» ένας οργανισμός για να διασφαλίσει την προστασία των περιουσιακών του στοιχείων (π.χ. πνευματική ιδιοκτησία, οικονομικά στοιχεία, δεδομένα πελατών κ.ά.), να ελαχιστοποιήσει τις πιθανότητες να πέσει θέμα κυβερνοεπίθεσης και να προστατευτεί από κάθε τύπο απειλής στον κυβερνοχώρο. Συνήθως, μία ισχυρή άμυνα περιλαμβάνει πολλαπλά επίπεδα στα οποία έχουν εφαρμοστεί διαφορετικές λύσεις κυβερνοασφάλειας.
Χαράξτε τη σωστή στρατηγική
Το πρώτο βήμα σε σχεδόν κάθε στρατηγική κυβερνοασφάλειας είναι να κάνετε μια απογραφή των περιουσιακών στοιχείων σας και στη συνέχεια να προσδιορίσετε τον κίνδυνο να εκτεθεί η να διαρρεύσει καθένα από αυτά. Δεδομένου ότι οι κωδικοί πρόσβασης αποτελούν αναπόσπαστο μέρος οποιασδήποτε πολιτικής ελέγχου πρόσβασης, πρέπει να τεθούν σε εφαρμογή και οι αντίστοιχες πολιτικές ασφάλειας. Μια αποτελεσματική πολιτική ασφαλείας κωδικών πρόσβασης περιλαμβάνει τη δημιουργία ισχυρών κωδικών πρόσβασης και την απαγόρευση της επαναχρησιμοποίησής τους σε πολλαπλούς λογαριασμούς, την ασφαλή τους φύλαξη μόνο σε εξουσιοδοτημένες συσκευές της εταιρείας και την εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για την απαίτηση μίας ή περισσότερων πρόσθετων μορφών ελέγχου ταυτότητας. Όπως είναι κατανοητό από τα παραπάνω μία αποτελεσματική στρατηγική κυβερνοασφαλείας είναι απαραίτητο να ξεκινά από τους υπαλλήλους σας.
Στην πλειονότητα των περιπτώσεων, το τμήμα ασφάλειας ή πληροφορικής έχει περιορισμένη ορατότητα στις πρακτικές δημιουργίας ή κωδικών πρόσβασης των υπαλλήλων τους, γεγονός που αυξάνει σημαντικά τους κινδύνους. Οι απλοϊκοί κωδικοί πρόσβασης μπορούν εύκολα να «σπάσουν» αποτελώντας έναν από τους μεγαλύτερους κινδύνους για την εσωτερική ασφάλεια μίας επιχείρησης. Έχει παρατηρηθεί ουκ ολίγες φορές ότι οι εργαζόμενοι αποθηκεύουν κωδικούς πρόσβασης σε αυτοκόλλητα χαρτάκια σημειώσεων (σε φυσική ή ψηφιακή μορφή), σε αρχεία απλού κειμένου ή σε υπολογιστικά φύλλα και σε άλλα μη κρυπτογραφημένα ηλεκτρονικά έγγραφα. Μία άλλη μη ασφαλή πρακτική είναι να χρησιμοποιούνται «απλοϊκοί» κωδικοί. Γενικότερα, οι δημιουργία ασφαλών κωδικών πρόσβασης αποτελεί πρόκληση για τους υπαλλήλους και γενικότερα για τους χρήστες.
Έχει παρατηρηθεί να χρησιμοποιούνται ημερομηνίες γενεθλίων, διευθύνσεις, ονόματα κατοικίδιων ή άλλοι αριθμητικοί συνδυασμοί που μπορεί εύκολα να μαντέψει ένας επιτιθέμενος, ειδικά αν έχει προηγουμένως κάνει την έρευνα του ή έχει χρησιμοποιήσει τεχνικές κοινωνικής μηχανικής. Ακόμα και αν κάποιος υπάλληλος φροντίσει να δημιουργήσει ισχυρούς κωδικούς πρόσβασης, μετά από λίγο καιρό – ακόμα και μετά την πρώτη ειδοποίηση αλλαγής κωδικού- εγκαταλείπει τη προσπάθεια απομνημόνευσης τους και καταλήγει να χρησιμοποιεί τον ίδιο κωδικό πρόσβασης ή κάποια παραλλαγή του, σε πολλούς διαφορετικούς διαδικτυακούς λογαριασμούς, κάτι που βεβαίως αποτελεί επικίνδυνη πρακτική. Η επαναχρησιμοποίηση κωδικών πρόσβασης εγκυμονεί τεράστιους κινδύνους καθώς στην περίπτωση που παραβιαστεί ένας λογαριασμός, οι κυβερνοεγκληματίες θα έχουν την ευκαιρία να προσπαθήσουν να αποκτήσουν πρόσβαση και σε άλλους λογαριασμούς. Οι παραπάνω μη ασφαλείς πρακτικές είναι συχνές και οφείλονται στη δυσκολία απομνημόνευσης ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό που χρησιμοποιείται.
Εκπαίδευση και σωστά εργαλεία
Ο ευκολότερος τρόπος για να βοηθήσετε τους υπαλλήλους σας να ακολουθήσουν τη σωστή πρακτική είναι μέσω της ευαισθητοποίησης, της εκπαίδευσης και της βελτίωσης της κριτικής τους ικανότητας σχετικά με τη χρήση των κωδικών πρόσβασης και βεβαίως επιβάλλοντας από μέρους σας τη συμμόρφωση με τη πολιτική της εταιρείας σε ότι αφορά τη χρήση των κωδικών πρόσβασης. Η δυνατότητα επιβολής ελέγχων, καθορισμού ρόλων πρόσβασης και περιορισμού της κοινής χρήσης των κωδικών πρόσβασης είναι κρίσιμης σημασίας για την ασφαλή διαχείριση των κωδικών πρόσβασης μίας επιχείρησης. Ο περιορισμός της πρόσβασης διασφαλίζει ότι οι εργαζόμενοι μπορούν να χρησιμοποιούν εταιρικούς πόρους και στοιχεία σύνδεσης μόνο όταν τους χρειάζονται και τη στιγμή που τους χρειάζονται. Συνιστάται επίσης ανεπιφύλακτα να ορίσετε έναν εξουσιοδοτημένο διαχειριστή που να παρακολουθεί τακτικά, να παρέχει και να καταργεί όταν είναι απαραίτητο την πρόσβαση στους χρήστες βάσει του ρόλου τους.
Οι λύσεις διαχείρισης κωδικών πρόσβασης μπορούν να βοηθήσουν τους υπαλλήλους σας να δημιουργήσουν ισχυρούς, μοναδικούς κωδικούς πρόσβασης που θα έχουν αποθηκευμένους σε ένα κρυπτογραφημένο ψηφιακό θησαυροφυλάκιο (vault) στο οποίο μπορούν να έχουν πρόσβαση από οποιαδήποτε συσκευή χρησιμοποιούν. Οι λύσεις του είδους καταργούν το βάρος της απομνημόνευσης πολλών κωδικών πρόσβασης και εξαλείφουν τον κίνδυνο να επαναχρησιμοποιηθεί κάποιος αδύναμος ή όμοιος κωδικός πρόσβασης σε πολλαπλούς διαδικτυακούς λογαριασμούς.
Τι είναι ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης;
Ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης, Password Management, θα βοηθήσει τους υπαλλήλους σας να δημιουργούν και να χρησιμοποιούν μοναδικούς και ισχυρούς κωδικούς πρόσβασης τους οποίους θα έχουν αποθηκευμένους με ασφάλεια σε ένα κρυπτογραφημένο ψηφιακό θησαυροφυλάκιο. Έτσι, δεν είναι απαραίτητο πλέον να βασίζονται στη μνήμη τους ή σε μη ασφαλή μέσα αποθήκευσης για να έχουν ανά πάσα στιγμή πρόσβαση στους κωδικούς πρόσβασης για τους λογαριασμούς τους. Ο μοναδικός κωδικός πρόσβασης που χρειάζεται να απομνημονεύσουν είναι ο κύριος κωδικός πρόσβασής/κλειδί για την είσοδο στο κρυπτογραφημένο θησαυροφυλάκιο τους. Όπως όλα τα προγράμματα, ιστοσελίδες ή πλατφόρμες, δεν είναι όλοι οι διαχειριστές κωδικών πρόσβασης ίδιοι.
Επομένως, είναι απαραίτητο να προχωρήσετε απαραίτητα σε μία έρευνα αγοράς για να επιλέξετε την ιδανικότερη και ασφαλέστερη λύση διαχείρισης κωδικών πρόσβασης. Σε κάθε περίπτωση, να θυμάστε ότι οι διαχειριστές κωδικών πρόσβασης αποτελούν βέλτιστη πρακτική κυβερνοασφάλειας και η χρήση τους προτείνεται από όλους τους ειδικούς και εμπειρογνώμονες από τον χώρο της κυβερνοασφάλειας. Η κατανόηση της αρχιτεκτονικής ασφαλείας του διαχειριστή κωδικών πρόσβασης μπορεί να σας διαβεβαιώσει ότι οι κωδικοί πρόσβασής σας είναι ασφαλείς. Λάβετε υπόψη σας το εξής, ένας πραγματικά καλός διαχειριστής κωδικών πρόσβασης προστατεύει τα δεδομένα σας σε κάθε σενάριο και εννοείται και στο χειρότερο.
Αναπόσπαστο στοιχείο της σύγχρονης στρατηγικής κυβερνοασφάλειας
Οι περισσότερες επιχειρήσεις έχουν περιορισμένη ορατότητα στις πρακτικές κωδικών πρόσβασης των υπαλλήλων τους, γεγονός που αυξάνει σημαντικά τους κινδύνους. Ένα καλό πρόγραμμα διαχείρισης κωδικών πρόσβασης παρέχει στους οργανισμούς την απαραίτητη ορατότητα στην «υγιεινή» των κωδικών πρόσβασης καθώς και στους παράγοντες κινδύνου που μπορούν να οδηγήσουν σε κάποια παραβίαση ή διαρροή δεδομένων. Παρακάτω παρατίθενται ορισμένα από τα οφέλη της χρήσης ενός προγράμματος διαχείρισης κωδικών πρόσβασης:
- Ασφαλής διαμοιρασμός. Με μία τέτοια λύση, οι υπάλληλοι σας μπορούν να μοιράζονται εύκολα και με ασφάλεια αρχεία και κωδικούς πρόσβασης με άλλα μέλη της ομάδας τους χωρίς να εκτίθενται ονόματα χρήστη ή κωδικοί πρόσβασης (και πάντα με τη δυνατότητα να ανακαλέσετε τη πρόσβαση ανά πάσα στιγμή). Οι κοινόχρηστες πληροφορίες είναι πλήρως κρυπτογραφημένες όταν βρίσκονται σε κατάσταση ηρεμίας καθώς και κατά τη μεταφορά τους. Επομένως, δεν θα βρεθούν εκτεθειμένες σε οποιαδήποτε κατάσταση και αν βρίσκονται.
- Αύξηση παραγωγικότητας. Καθώς εξαλείφονται κοινότυπα ζητήματα απώλειας χρόνου που σχετίζονται με τους κωδικούς πρόσβασης, όπως ο υπερβολικός χρόνος εύρεσης ή επαναφοράς κωδικού πρόσβασης ή ακόμα και η επικοινωνία με το γραφείο υποστήριξης για την επαναφορά κάποιου κωδικούς, οι εφαρμογές διαχείρισης κωδικών πρόσβασης αυξάνουν την παραγωγικότητα των εργαζομένων σας. Έτσι, επιτρέπουν στους υπαλλήλους σας να έχουν τον έλεγχο των κωδικών πρόσβασής τους και να χρησιμοποιούν έναν μοναδικό, τυχαίο και ισχυρότατο κωδικό πρόσβασης για κάθε ιστοσελίδα, σύστημα ή εφαρμογή που χρησιμοποιούν.
Επιπλέον, καθένας από αυτούς έχει στη διάθεσή του ένα ψηφιακό θησαυροφυλάκιο που βασίζεται στο νέφος (cloud) για την αποθήκευση κωδικών πρόσβασης και άλλων κρίσιμης σημασίας πληροφοριών και δεδομένων όπως κλειδιών κρυπτογράφησης και ψηφιακών πιστοποιητικών. Επιπλέον, μία τέτοια εφαρμογή μπορεί να δημιουργεί ισχυρούς, τυχαίους κωδικούς πρόσβασης και να τους συμπληρώνει αυτόματα για τους χρήστες σε πλατφόρμες και ιστοσελίδες, γεγονός που εξοικονομεί χρόνο και βοηθάει στο να μην χρειάζεται οι κωδικοί να απομνημονεύονται ποτέ.
- Βελτίωση διαδικασίας onboarding και offboarding. Με τις επιχειρήσεις να αλλάζουν ασταμάτητα το εργατικό δυναμικό τους (νέοι υπάλληλοι ξεκινούν εργασία και άλλοι υποχωρούν ή μετακινούνται σε άλλα τμήματα) είναι αδύνατο για τις ομάδες ασφάλειας ή πληροφορικής να ενσωματώνουν, να συντηρούν και να καταγράφουν χειροκίνητα όλες τις διαδικασίες και τις δραστηριότητες που απαιτούνται για τη διατήρηση της ασφάλειας των εταιρικών συστημάτων και τη συμμόρφωση με τα όποια πρότυπα και πολιτικές. Μία λύση διαχείρισης κωδικών πρόσβασης ωστόσο, διατηρεί ενημερωμένη την πρόσβαση συμπεριλαμβανομένου και του κλειδώματος ενός λογαριασμού κατά την αποχώρηση ενός υπαλλήλου και τη δυνατότητα μεταφοράς του θησαυροφυλακίου κωδικών του σε έναν αξιόπιστο διαχειριστή.
- Βελτιώνει τις λύσεις SSO. Ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης μπορεί να βελτιώσει το Single Sign-On (SSO) καλύπτοντας κενά, όπως εφαρμογές παλαιού τύπου ή πλατφόρμες που δεν λειτουργούν με τη λύση SSO ενός οργανισμού.
- Βοηθά στη συμμόρφωση με πολιτικές και κανονισμούς. Οι λύσεις διαχείρισης κωδικών πρόσβασης όπως το Keeper Password Manager, αποτελούν κλειδί για να είστε καλυμμένοι με τα παγκόσμια πρότυπα συμμόρφωσης και την τήρηση των βέλτιστων πρακτικών για ισχυρές πολιτικές κυβερνοασφάλειας. Τα ισχυρά συστήματα διαχείρισης κωδικών πρόσβασης αποτελούν αναπόσπαστο μέρος της πολιτικής ασφάλειας οποιασδήποτε εταιρείας, ανεξάρτητα από το μέγεθος ή τον κλάδο.
Ποια είναι η ασφαλέστερη λύση;
Μία αποδεδειγμένα εξαιρετικά ασφαλής και αξιόπιστη λύση διαχείρισης κωδικών πρόσβασης είναι το Keeper Password Manager καθώς σχεδιάστηκε με γνώμονα την απόλυτη ασφάλεια. Αξιοποιώντας τα μοντέλα κρυπτογράφησης Zero-Trust και Zero-Knowledge (χρησιμοποιούνται οι πλέον προηγμένες μέθοδοι κρυπτογράφησης όπως οι PBKDF2, TLS and AES-256), το Keeper Password Manager διασφαλίζει ότι το περιεχόμενο και όλα τα δεδομένα στο θησαυροφυλάκιο ενός χρήστη προστατεύονται με πολλαπλά επίπεδα προστασίας και κρυπτογράφησης.
Επιπλέον, πρόκειται για την πλέον πιστοποιημένη, δοκιμασμένη και ελεγμένη πλατφόρμα ασφαλείας κωδικών πρόσβασης καθώς κατέχει τις μακροβιότερες πιστοποιήσεις SOC 2 και ISO 27001 στον κλάδο. Το σύστημα κρυπτογράφησης πολλαπλών επιπέδων είναι ένα χαρακτηριστικό που δεν διαθέτουν όλες οι υπόλοιπες πλατφόρμες κωδικών πρόσβασης, με όλα τα περιεχόμενα στο ψηφιακό θησαυροφυλάκιο να κρυπτογραφούνται (είτε φυλάσσονται ή μεταφέρονται) συμπεριλαμβανομένων διευθύνσεων URL και άλλων μεταδεδομένων.
To Keeper Password Manager είναι μία λύση διαχείρισης κωδικών πρόσβασης μηδενικής γνώσης και αυτό σημαίνει ότι όλες οι πληροφορίες που είναι αποθηκευμένες στο κρυπτογραφημένο ψηφιακό θησαυροφυλάκιο του είναι προσβάσιμες μόνο από τον τελικό χρήστη. Για πρόσβαση σε αυτές τις πληροφορίες, οι χρήστες πρέπει να εισάγουν τον κύριο κωδικό πρόσβασής (Master Password), τον μοναδικό δηλαδή κωδικό πρόσβασης που πρέπει να απομνημονεύσουν.
Μία καλή λύση διαχείρισης κωδικών πρόσβασης βοηθά τους διαχειριστές του τμήματος ασφάλειας ή πληροφορικής με την επιβολή πολιτικών και διαδικασιών. Με το Keeper Password Manager, οι διαχειριστές ΙΤ μπορούν:
- Να διασφαλίσουν ότι οι εργαζόμενοι χρησιμοποιούν έναν ισχυρό κύριο κωδικό πρόσβασης για την προστασία του λογαριασμού τους.
- Λήξη κύριου κωδικού πρόσβασης: Να προγραμματίζουν ενημερώσεις για τους κύριους κωδικούς πρόσβασης.
- Να διαμοιράζονται με ασφάλεια κωδικούς πρόσβασης και να επιτρέπουν τη χρήση τους από τους υπαλλήλους αλλά να αποτρέπουν την προβολή ή την αντιγραφή τους (το Keeper Password Manager συμπληρώνει αυτόματα κωδικούς όπου χρειάζεται χωρίς να τους αποκαλύπτει).
- Να εφαρμόζουν ή να επιβάλλουν τη χρήση βιομετρικών στοιχείων όταν είναι δυνατόν.
- Να καθορίζουν ποιες μεθόδους ελέγχου ταυτότητας (π.χ. MFA) μπορούν να χρησιμοποιηθούν για την πρόσβαση στους λογαριασμούς Keeper Security.
- Να καθορίζουν συγκεκριμένες πλατφόρμες που επιτρέπεται να έχουν πρόσβαση στους λογαριασμούς Keeper Security (π.χ. να επιτρέπουν έναν συγκεκριμένο browser).
- Να ορίζουν δικαιώματα ομάδας και να καθορίζουν την οργανωτική δομή για την κοινή χρήση κωδικών πρόσβασης και φακέλων καθώς και να ελέγχουν την εξαγωγή περιεχομένου από το ψηφιακό θησαυροφυλάκιο.
- Να αποτρέπουν τους υπαλλήλους από το να έχουν πρόσβαση στον λογαριασμό τους αν βρίσκονται εκτός του γραφείου (IP Whitelisting).
- Να ορίζουν χρονοδιακόπτες αποσύνδεσης σε συγκεκριμένες πλατφόρμες για υπαλλήλους.
Μην αφήσετε τις «χαλαρές» πρακτικές κωδικών πρόσβασης να θέσουν σε κίνδυνο τη φήμη και τις λειτουργίες της εταιρείας σας. Προτιμήστε την καλύτερη λύση διαχείρισης κωδικών πρόσβασης σήμερα κιόλας και βελτιώστε άμεσα τη στάση ασφαλείας του οργανισμού σας.