Όταν είσαι στον κλάδο της κυβερνοασφάλειας, τότε αναγκαστικά αποκτάς ορατότητα και σε πολύ αρνητισμό. Και αυτό περιλαμβάνει πράγματα όπως είναι μία επίθεση λυτρισμικού (ransomware) σε έναν υψηλού προφίλ οργανισμό, μια παραβίαση που εξέθεσε δημοσίως έναν γελοίο αριθμό ταυτοτήτων ή η εμφάνιση μίας νέας κυβερνοεγκληματικής οργάνωσης. Παρόλο που στις συζητήσεις γύρω από τον τομέα της κυβερνοασφάλειας επικρατεί ο αρνητισμός, διάφοροι παράγοντες όπως είναι η εκπαίδευση και η συνεργασία μαζί με μία αλλαγή στις προτεραιότητες μας δίνουν βάσιμους λόγους να αισθανόμαστε αισιόδοξοι για το μέλλον του κλάδου.
Η εκπαίδευση κλείνει το χάσμα δεξιοτήτων στην κυβερνοασφάλεια
Δεν είναι μυστικό ότι υπάρχει έλλειμμα στο εργατικό δυναμικό και ο αριθμός που τακτικά βλέπουμε να φιγουράρει σε μέσα ενημέρωσης και έρευνες είναι ότι υπάρχουν περίπου 3 με 4 εκατομμύρια θέσεις εργασίας στον τομέα της κυβερνοασφάλειας που δεν έχουν καλυφθεί παγκοσμίως. Σύμφωνα με τη μελέτη ISC2 2022, ο αριθμός αυτός είναι 3,4 εκατομμύρια αντιπροσωπεύοντας μία αύξηση της τάξης του 26,2% σε σχέση με το προηγούμενο έτος. Αυτό σημαίνει ότι σε παγκόσμιο επίπεδο, το χάσμα διευρύνεται.
Αν ωστόσο προχωρήσουμε σε περαιτέρω ανάλυση, μπορούμε να δούμε παραδείγματα όπου παρατηρείται πλήρη κάλυψη αυτού του χάσματος σε «ταλέντα» με την εκπαίδευση να παίζει σημαντικό ρόλο σε αυτό. Για παράδειγμα, η αγορά LATAM κάλυψε το κενό στην έλλειψη εργατικού δυναμικού κατά 26,4%, κάτι που σε μεγάλο βαθμό οφείλεται στα ειδικά για την κυβερνοασφάλεια μεταδευτεροβάθμια εκπαιδευτικά προγράμματα που εφαρμόστηκαν τα τελευταία χρόνια. Και αυτό δεν είναι το μοναδικό παράδειγμα.
Κυβερνοασφάλεια και STEM εισάγονται σε προγράμματα εκπαίδευσης για μικρότερες ηλικίες, ακόμα και σε δημοτικά σχολεία. Επομένως, τα παιδιά ξεκινούν εκπαίδευση σε θεμελιώδη στοιχεία. Η ενίσχυση των γνώσεων τους κατά τη διάρκεια των σχολικών τους χρόνων θα συμβάλει στη δημιουργία πολιτών και επαγγελματιών με επίγνωση της ασφάλειας όταν με το καλό εισέλθουν στο εργατικό δυναμικό. Αυτό το επίπεδο ευαισθητοποίησης θα μειώσει επίσης τις επιτυχημένες επιθέσεις κοινωνικής μηχανικής και «ηλεκτρονικού ψαρέματος» (phishing) τα επόμενα χρόνια.
Η τριτοβάθμια εκπαίδευση αγκαλιάζει επίσης την ασφάλεια στον κυβερνοχώρο. Οι προμηθευτές συνεργάζονται με κολέγια και πανεπιστήμια στις Ηνωμένες Πολιτείες αλλά και σε άλλα μέρη του κόσμου για τη δημιουργία προγραμμάτων και ευκαιριών πρακτικής άσκησης που προσμετρώνται στην απόκτηση πτυχίου. Αυτή η στέρεη βάση μαθημάτων και εμπειρίας είναι επιθυμητή για τους εργοδότες, καθώς οι φοιτητές αυτοί θα μπορούν να προχωρήσουν και να προσαρμοστούν γρήγορα.
Τέλος, κυβερνήσεις και διακρατικά ιδρύματα έχουν επίσης ξεκινήσει σημαντικές πρωτοβουλίες για την εκπαίδευση του εργατικού δυναμικού τους. Η Ευρωπαϊκή Επιτροπή εγκαινίασε την Ακαδημία Δεξιοτήτων Κυβερνοασφάλειας και η κυβέρνηση των Ηνωμένων Πολιτειών παρουσίασε την Εθνική Στρατηγική Εκπαίδευσης του Εργατικού Δυναμικού στον Κυβερνοχώρο. Αναμένεται και άλλες περιοχές να ακολουθήσουν το παράδειγμα και θα επενδύσουν σε παρόμοια προγράμματα ανάπτυξης εργατικού δυναμικού για να αντιμετωπίσουν το κενό που υπάρχει στον κυβερνοχώρο και τις εξελισσόμενες κυβερνοαπειλές.
Μια κουλτούρα συνεργασίας
Πριν από μερικά χρόνια, ο Antonio Sanchez, Principal Cybersecurity Evangelist, είχε το προνόμιο να συνεργαστεί με δύο πρώην CISOs, ο ένας από ένα μεγάλο χρηματοπιστωτικό ίδρυμα και ο άλλος από μια μεγάλη εταιρεία τηλεπικοινωνιών. Όπως λέει ο ίδιος, έμαθε πολλά από αυτούς, και αυτό που του έκανε τη μεγαλύτερη εντύπωση ήταν ότι και οι δύο συνεργάζονταν με συναδέλφους τους από αντίπαλες εταιρείες. Στην αρχή, κράτησε όπως λέει επιφυλακτική στάση, καθώς σκεφτόταν ότι η συνεργασία με ανταγωνιστές ήταν αντιφατική, δεδομένου ότι όλοι ανταγωνίζονταν για το ίδιο κοινό και τις ίδιες επιχειρήσεις.
Ωστόσο, όπως λέει ο ίδιος, του εξήγησαν ότι παρόλο που οι εταιρείες τους ανταγωνίζονταν σε εμπορική βάση, αντιμετώπιζαν τις ίδιες απειλές και προκλήσεις στον τομέα της κυβερνοασφάλειας. Ο CISO από το χρηματοπιστωτικό ίδρυμα ανέφερε ότι πραγματοποιούσε σε μηνιαία βάση συναντήσεις με CISOs από άλλα χρηματοπιστωτικά ιδρύματα. Ο CISO από την εταιρεία τηλεπικοινωνιών ανέφερε ότι είχε επίσης παρόμοια συνεργασία με τους ομολόγους του και ότι αυτού του είδους η συνεργασία βελτίωσε σημαντικά τη συνολική στάση ασφαλείας όλων τους.
Και φτάνουμε στο φετινό συνέδριο RSA, του οποίου το βασικό θέμα ήταν «Stronger Together» (Ισχυρότεροι Μαζί). Υπήρχαν πολλές συνεδρίες γύρω από τη συνεργασία με νέους τρόπους, η οποία ορισμένες φορές μπορεί να είναι άβολη ωστόσο είναι απαραίτητη καθώς όλοι πολεμάμε τους ίδιους αντιπάλους στον κυβερνοχώρο. Για παράδειγμα, η Fortra συνεργάστηκε με τη μονάδα ψηφιακών εγκλημάτων της Microsoft και το Health-ISAC στις αρχές της περασμένης χρονιάς για να βοηθήσει στην εξουδετέρωση κακόβουλων παραγόντων και φορέων. Κάθε οργανισμός εργαζόταν ανεξάρτητα για την καταπολέμηση των συμμοριών ransomware σε όλο τον κόσμο. Ωστόσο, ενώνοντας τις δυνάμεις τους, οι εταιρείες εντόπισαν και εξουδετέρωσαν την κακόβουλη υποδομή που χρησιμοποιούν αυτές οι συμμορίες για τη διανομή ransomware.
Όπως σημειώνει και ο Josh Davies, Επικεφαλής Τεχνικός Διευθυντής της Fortra, «η ασφάλεια δεν είναι μια πρόκληση που μπορεί να επιλυθεί μεμονωμένα. Όλοι μας αντιμετωπίζουμε κοινές απειλές και κάθε επιτυχημένη παραβίαση μπορεί να οδηγήσει στην επανεπένδυση των παράνομα αποκτηθέντων κερδών, καθιστώντας την αντιμετώπιση της απειλής ακόμα πιο δύσκολη. Η συνεργασία είναι το κλειδί, και τόσο οι οργανισμοί όσο και οι προμηθευτές/ ειδικοί σε θέματα ασφάλειας έχουν κάνει θετικά βήματα στην ανταλλαγή πόρων, εμπειριών, πληροφοριών και βέλτιστων πρακτικών».
Πηγαίνοντας πέρα από την ασφάλεια: Ανθεκτικότητα στην κυβερνοασφάλεια
Είναι γνωστό στην κοινότητα του κυβερνοχώρου ότι δεν υπάρχει 100% πρόληψη. Ωστόσο, επενδυτές, ιδιοκτήτες και στελέχη στον τομέα των επιχειρήσεων δυσκολεύονται να κατανοήσουν αυτή την έννοια. Με την αυξανόμενη αναγνώριση της κυβερνοασφάλειας ως αξιόπιστου επιχειρηματικού ρίσκου και ως κορυφαίας προτεραιότητας για όλα τα μέλη των διοικητικών συμβουλίων, οι ηγέτες επιχειρήσεων πλέον δείχνουν να έχουν συνειδητοποιήσει ότι οι οργανισμοί οφείλουν να είναι προετοιμασμένοι για το αναπόφευκτο. Και αυτό σημαίνει ότι οι εταιρείες πρέπει να είναι σε θέση να αντέξουν και να ανακάμψουν γρήγορα από μια επίθεση.
Ως αποτέλεσμα, οι οργανισμοί έχουν αρχίσει να μετατοπίζουν το κέντρο εστίασης τους από την προσπάθεια να κρατήσουν όλες τις απειλές μακριά -με την ελπίδα ότι οι πρακτικές πρόληψης έχουν αποδώσει- στη δημιουργία στρατηγικών εντοπισμού και ανταπόκρισης, οι οποίες μπορούν να τους βοηθήσουν να ανιχνεύσουν μία παραβίαση πριν αυτή εξελιχθεί σε μία διαρροή ή κλοπή δεδομένων που θα βρει τον δρόμο της στις επικεφαλίδες των ειδησεογραφικών ιστοσελίδων ή σε έναν εκβιασμό με τη χρήση λυτρισμικού (ransomware).
Αυτή η ευρύτερη αποδοχή φαίνεται σε νομοθεσίες και κανονισμούς όπως είναι η νομοθετική πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORΑ), η οποία περιγράφει την ανθεκτικότητα ως την ικανότητα να αντέχεις όσο και να ανακάμπτεις γρήγορα από μια επιτυχημένη επίθεση.
Στην πραγματικότητα, οι οργανισμοί με ένα ώριμο πρόγραμμα εντοπισμού και ανταπόκρισης μπορούν πράγματι να βγουν από μια παραβίαση σχεδόν αλώβητοι (με ελάχιστες απώλειες ή επιπτώσεις) και με ισχυρότερη στάση ασφαλείας μετά την εκτέλεση των μετριασμών, και τελικά να καταλήξουν να είναι ασφαλέστεροι από ότι ήταν πριν από την παραβίαση.
Η πράξη της Ευρωπαϊκής Ένωσης για την Αλληλεγγύη στον Κυβερνοχώρο (Cyber Solidarity Act) είναι ένα άλλο παράδειγμα που αποσκοπεί στην αντιμετώπιση αυτού του ζητήματος, δημιουργώντας διασυνοριακά κέντρα επιχειρήσεων ασφαλείας σε ολόκληρη την Ευρωπαϊκή Ένωση. Τα κέντρα αυτά θα εντοπίζουν και θα ανταποκρίνονται σε επιθέσεις μεγάλης κλίμακας, διευκολύνοντας τις επιχειρήσεις να ανακάμψουν από τέτοιου είδους περιστατικά.