Η κατανόηση των τάσεων για την επόμενη 5-ετία στο θέμα της ασφάλειας των πληροφοριών, καθώς και το τι πρέπει να προσέξουμε στο 2009, θα βοηθήσουν τους διαχειριστές των πληροφοριακών υποδομών των επιχειρήσεων να αντιμετωπίσουν με επιτυχία τις προκλήσεις που έρχονται.

Στις επόμενες παραγράφους θα προσδιορίσουμε τις νέες προκλήσεις που αφορούν στην Ασφάλεια Πληροφοριών, από πού αυτές προκύπτουν αλλά και τι πρέπει να προσέξουμε προκειμένου να είμαστε όσο το δυνατόν καλύτερα προετοιμασμένοι για να τις αντιμετωπίσουμε. Πρώτα όμως να δούμε πώς αλλάζει και μετατρέπεται το σύγχρονο επιχειρηματικό – και κατ’ επέκταση, τεχνολογικό περιβάλλον, έτσι ώστε να κατανοήσουμε από πού προέρχονται οι νέες απειλές ασφάλειας πληροφοριών, καθώς και τη μορφή που αυτές θα έχουν.

Αλλαγή του Επιχειρηματικού & Τεχνολογικού τοπίου
Το σύγχρονο Επιχειρηματικό τοπίο χαρακτηρίζεται από έντονο ανταγωνισμό και από μια συνεχή διαδικασία εύρεσης ενός ανταγωνιστικού πλεονεκτήματος, το οποίο θα βοηθήσει στην αύξηση της κερδοφορίας. Η διαχείριση της καινοτομίας και η προσπάθεια για ελαχιστοποίηση του λειτουργικού κινδύνου, είναι επιπλέον χαρακτηριστικά του νέου επιχειρηματικού περιβάλλοντος.
Οι Επιχειρηματικοί εκείνοι παράγοντες που επηρεάζουν άμεσα την τεχνολογία είναι οι ακόλουθοι:

  • Η σύγχρονη ψηφιακή οικονομία (knowledge based economy), στηρίζεται στην αποτελεσματική διαχείριση της πληροφορίας με σκοπό την αύξηση της ανταγωνιστικότητας.
  • Δυναμικό & ανοιχτό περιβάλλον συνεργασίας και διασύνδεσης των οργανισμών, οι οποίοι μοιράζονται πληροφορίες & πόρους. Το νέο αυτό περιβάλλον πρέπει να εξασφαλίζει ασφάλεια & εμπιστοσύνη μεταξύ των συνεργαζόμενων οργανισμών.
  • Νέες Νομικές & Θεσμικές απαιτήσεις που αφορούν στην προστασία των προσωπικών δεδομένων, αλλά και στη συνεχή διαχείριση των κινδύνων ασφάλειας των επιχειρηματικών πληροφοριών.
  • Διαχείριση του Λειτουργικού κινδύνου, με στόχο την αύξηση του κέρδους μέσω της μείωσης του λειτουργικού κινδύνου.
  • Διαχείριση της καινοτομίας. Η καινοτομία συνεπάγεται τον κάθε μορφής νεωτερισμό που θα προωθηθεί και θα πετύχει στην αγορά. Ανάγκη για τη διαχείριση των πληροφοριών που έχουν σχέση με την εκάστοτε καινοτομία, η οποία μπορεί να δώσει το ζητούμενο ανταγωνιστικό πλεονέκτημα στον οργανισμό.

Οι παραπάνω παράγοντες του επιχειρηματικού περιβάλλοντος αλληλεπιδρούν με τις τεχνολογικές εξελίξεις και επηρεάζουν, αλλά και επηρεάζονται από το νέο τεχνολογικό τοπίο.
Τα κύρια χαρακτηριστικά του νέου τεχνολογικού τοπίου συνοψίζονται στα ακόλουθα:

  • Εύκολη πρόσβαση στη γνώση των νέων τεχνολογιών, αλλά και των εκκολαπτόμενων τεχνολογικών καινοτομιών.
  • Επικράτηση των προτύπων, που μεταφράζεται σε κοινά πρωτόκολλα ανάπτυξης & επικοινωνίας, συνεπώς και αυξημένη πιθανότητα εύρεσης των αδυναμιών που αφορούν στην ασφάλεια των πληροφοριών. Κάθε αδυναμία ασφάλειας θα έχει ευρύ πεδίο εκμετάλλευσης.
  • Νέες αρχιτεκτονικές & δομές, οι οποίες υιοθετούν αρχιτεκτονικές πολλαπλών επιπέδων (n-tier architecture), οι οποίες διαθέτουν περισσότερα σημεία πιθανής παρείσδυσης, άρα δίνουν και περισσότερες πιθανότητες παρείσδυσης.
  • Σύγκλιση των τεχνολογιών επικοινωνιών, πληροφορικής, περιεχομένου.

Μέσα στο νέο τεχνολογικό και επιχειρηματικό περιβάλλον, η έννοια της ασφάλειας πληροφοριών στην κλασική της μορφή (Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα) δεν μας καλύπτει πλήρως. Η έννοια της ασφάλειας Πληροφοριών χρειάζεται να εμπλουτισθεί με συνιστώσες, όπως η εμπιστοσύνη και η αξιοπιστία των πληροφοριών. Και σε όλο το παραπάνω περιβάλλον, οι επαγγελματίες της Ασφάλειας Πληροφοριών θα πρέπει να βρουν τη χρυσή τομή μεταξύ Ασφάλειας Πληροφοριών & προστασίας της Ιδιωτικότητας.

Νέες Προκλήσεις & Απειλές Ασφάλειας Πληροφοριών
Φορητότητα & Σύγκλιση Τεχνολογιών
Ολοένα και περισσότερο οι εταιρείες προωθούν την έννοια του tele-working αλλά και γενικότερα τη δυνατότητα σύνδεσης σε δεδομένα της εταιρείας από απομακρυσμένη σύνδεση, με σκοπό τη μείωση των λειτουργικών εξόδων και την ταυτόχρονη αύξηση της παραγωγικότητας. Απομακρυσμένοι χρήστες μπορούν να κάνουν χρήση κάθε λογής φορητής συσκευής, με σκοπό να συνδεθούν στο εταιρικό δίκτυο. Οι περισσότερες από αυτές τις συσκευές, είτε δεν έχουν τη δυνατότητα να ακολουθήσουν την εταιρική πολιτική για απομακρυσμένη πρόσβαση είτε δεν είναι γνωστό στην εταιρεία ότι χρησιμοποιούνται. Η εκτεταμένη απομακρυσμένη πρόσβαση σημαίνει πολλαπλά σημεία παρείσδυσης, διεύρυνση της περιμέτρου, συνεπώς και περισσότερες ευκαιρίες στους επίδοξους κακόβουλους χρήστες.
Διαρροή Επιχειρηματικών Πληροφοριών
Το ανταγωνιστικό πλεονέκτημα κάθε σύγχρονης εταιρείας, πηγάζει από την αποτελεσματική διαχείριση των πληροφοριών που έχει στη κατοχή της. Η αδυναμία επιβολής δικλείδων προστασίας των επιχειρηματικών πληροφοριών, έχει οδηγήσει (και θα συνεχίσει να οδηγεί) στη διαρροή κρίσιμων εταιρικών πληροφοριών. Η μη αποτελεσματικά ελεγχόμενη πρόσβαση & διακίνηση των εταιρικών πληροφοριών, είναι η κυριότερη αδυναμία που οδηγεί στη διαρροή των εταιρικών πληροφοριών.
Ηλεκτρονικό έγκλημα & ηλεκτρονική απάτη
Η ευκολία με την οποία κάποιος διαπράττει ένα ηλεκτρονικό έγκλημα, αλλά και η αδυναμία της αποτελεσματικής επιβολής του Νομικού πλαισίου, συντείνουν στη συνεχόμενη άνοδο των σχετικών κρουσμάτων. Σε αντίθεση με ότι ίσχυε 2 – 3 χρόνια πριν, το ηλεκτρονικό έγκλημα είναι πλέον οργανωμένο και οι επιθέσεις διεκπεραιώνονται μέσω στοχευμένων ενεργειών – και σε πολλές περιπτώσεις υπάρχει συμμετοχή εκ των έσω. Απώτερος σκοπός το κέρδος και η κατοχή κρίσιμων πληροφοριών και όχι απλά το να καταγραφεί και να δημοσιοποιηθεί η περίπτωση της επιτυχημένης παρείσδυσης σε κάποιον Οργανισμό. Το ηλεκτρονικό έγκλημα δεν έχει την απαιτούμενη προσοχή από τα διάφορα κράτη, με αποτέλεσμα να μη σημειώνεται και η απαιτούμενη πρόοδος καταπολέμησής του. Τα διακρατικά θέματα που υφίστανται από τους διαφορετικούς Νόμους που υπάρχουν, καθυστερούν την καθολική αντιμετώπιση του θέματος. Η επιβολή των Νομικών απαιτήσεων σε κάθε επίπεδο δεν γίνεται αποτελεσματικά, με αποτέλεσμα το ηλεκτρονικό έγκλημα να υφίσταται και να μην αντιμετωπίζεται άμεσα.
Ασφάλεια Λογισμικού
Τα κενά ασφάλειας του κάθε λογής λογισμικού, ήδη πρωταγωνιστούν και αποτελούν την κυριότερη απειλή παρείσδυσης των διαφόρων sites που διαθέτουν ελκυστικού τύπου δεδομένα, όπως προσωπικά δεδομένα, καθώς και στοιχεία πιστωτικών καρτών. Οι κύριες αιτίες ανάπτυξης μη ασφαλούς λογισμικού είναι οι ακόλουθες:

  • Η αρχιτεκτονική πολλαπλών επιπέδων (n-tier architecture) παρέχει πολλαπλά σημεία παρείσδυσης
  • Ύπαρξη κακόβουλου λογισμικού, το οποίο εκμεταλλεύεται την πολυπλοκότητα & την αδυναμία ανάπτυξης ασφαλούς λογισμικού.
  • Η ανάπτυξη του πηγαίου κώδικα δεν ακολουθεί μεθοδολογίες ή πρότυπα ανάπτυξης ασφαλούς κώδικα. Επιπροσθέτως, δεν υπάρχουν κοινά αποδεκτά πρότυπα ασφαλούς ανάπτυξης εφαρμογών. Ακόμα και αν αυτά υπάρξουν, τότε θα πρέπει να επιβληθεί η τήρησή τους, προκειμένου να εφαρμοστούν από όλους.

Στη σημερινή πραγματικότητα, ιδιαίτερα κρίσιμες εφαρμογές, όπως εφαρμογές του χώρου των τηλεπικοινωνιών, δεν τηρούν τις ελάχιστες απαιτήσεις ασφάλειας λογισμικού, έτσι όπως αυτές προσδιορίζονται ακόμα και από μη εξειδικευμένα πρότυπα για λογισμικό, όπως το ISO27001. Τέλος, να σημειωθούν και οι ημιτελείς δοκιμές – έλεγχοι που πραγματοποιούνται πριν το κάθε λογισμικό διατεθεί προς χρήση. Εδώ θα πρέπει να σημειωθεί ότι δεν υπάρχουν αυτοματοποιημένα αποτελεσματικά εργαλεία ελέγχου αδυναμιών ασφάλειας πηγαίου κώδικα.
Νομικές & Θεσμικές Απαιτήσεις – Συμμόρφωση με Πρότυπα
Μέχρι σήμερα, το μεγαλύτερο πρόβλημα που αφορά στο θέμα της συμμόρφωσης ήταν η κατανόηση των απαιτήσεων συμμόρφωσης με το Νομικό πλαίσιο πρωτίστως και δευτερευόντως με τα διάφορα πρότυπα (που συνήθως οι απαιτήσεις συμμόρφωσης είναι πιο ξεκάθαρες). Όσο το θέμα της συμμόρφωσης μετατρέπεται από αναγκαιότητα σε καθημερινή πρακτική, συνειδητοποιούμε ότι το πραγματικό πρόβλημα είναι η υλοποίηση των εκάστοτε απαιτήσεων σε τεχνικό επίπεδο (μετάφραση των απαιτήσεων σε κανόνες λειτουργίας και ανάπτυξης συστημάτων και εφαρμογών).
Το πλήθος των Νομικών και Θεσμικών απαιτήσεων, καθώς και το πλήθος των προτύπων, είναι επιπρόσθετος παράγοντας δυσκολίας στα παραπάνω. Εδώ φυσικά χρειάζεται να ασχοληθούμε περισσότερο με την ωριμότητα των διαφόρων ‘Σοφών’ σε ακαδημαϊκό και θεσμικό επίπεδο, που εφευρίσκουν νέες απαιτήσεις συμμόρφωσης και νέα πρότυπα, τα οποία δεν διαφέρουν ιδιαίτερα από τα ήδη υπάρχοντα.
Εξίσου σημαντικό είναι και το πρόβλημα του να αποδεικνύεται στην πράξη, τόσο εσωτερικά στον κάθε Οργανισμό όσο και στους εκάστοτε εξωτερικούς ελεγκτές – επιθεωρητές, η τήρηση των απαιτήσεων συμμόρφωσης. Το πρόβλημα αυτό είναι ιδιαίτερα μεγάλο σε επίπεδο συστημάτων και εφαρμογών.
Η ανάγκη αυτοματοποίησης της διαδικασίας ελέγχου που αφορά στη συμμόρφωση με πρότυπα και κανόνες είναι επιτακτική, αφού οι έλεγχοι συμμόρφωσης ιδιαίτερα με Νομικές απαιτήσεις αρχίζουν να διενεργούνται σε βάθος και χρειάζεται συνεχής παρακολούθηση της συμμόρφωσης. Εργαλεία ελέγχου συμμόρφωσης σε επίπεδο συστημάτων φαίνεται να έχουν ιδιαίτερη ζήτηση τα επόμενα χρόνια και τα προβλήματα ωριμότητας τέτοιων εργαλείων να μας απασχολούν επίσης.

Κατοχή Προσωπικών Δεδομένων τρίτων, χωρίς προηγούμενη γνώση του ιδιοκτήτη τους
H έλλειψη ενημέρωσης και κουλτούρας που αφορά στην ασφάλεια πληροφοριών, λειτουργεί αρνητικά και πολλές φορές δίνουμε προσωπικά μας δεδομένα και προσωπικά στοιχεία πρόσβασης σε τρίτους, αγνοώντας τον κίνδυνο. Η αυξανόμενη διασπορά κακόβουλου λογισμικού, σε συνδυασμό με την έλλειψη ενημέρωσης και κουλτούρας των χρηστών πληροφοριακών συστημάτων, έχει ως αποτέλεσμα την απόσπαση κρίσιμων δεδομένων από τους χρήστες, μέσω χρήσης κακόβουλου λογισμικού.
Εξάρτηση Κρίσιμων Υποδομών από την τεχνολογία
Ολοένα και περισσότερο, οι κρίσιμες υποδομές μιας χώρας εκτίθενται σε κινδύνους που αφορούν στην ασφάλεια πληροφοριών.
Αυτό είναι αποτέλεσμα κυρίως δύο παραγόντων:

  • Διασύνδεση των κρίσιμων υποδομών στο Internet και παροχή υπηρεσιών στους πολίτες μέσω αυτού. Με τον τρόπο αυτό, δίνεται η δυνατότητα στους κακόβουλους χρήστες να προσπαθήσουν να διεισδύσουν σε περιβάλλοντα που μέχρι τώρα χαρακτηρίζονταν ως κλειστά. Ο κακόβουλος χρήστης, εκτός από τα προσωπικά και άλλα κρίσιμα δεδομένα που θα προσπαθήσει να θέσει στην κατοχή του, θα επιδιώξει να έχει πρόσβαση σε εφαρμογές ελέγχου και διαχείρισης των κρίσιμων υποδομών.
  • Αδυναμίες ασφάλειας σε συστήματα βιομηχανικού ελέγχου. Το κλειστό περιβάλλον λειτουργίας των συστημάτων βιομηχανικού ελέγχου, αρχίζει να ανοίγει σε προκλήσεις παρείσδυσης. Οι λόγοι έχουν να κάνουν με τη δυνατότητα απομακρυσμένης διαχείρισης σε τέτοιου είδους συστήματα, καθώς και τη διακίνηση πληροφοριών μεταξύ των διαφόρων υποσυστημάτων με χρήση δικτύων ΙΡ.

Να σημειωθεί ότι και ο τρόπος ελέγχου αδυναμιών ασφάλειας των συστημάτων βιομηχανικού ελέγχου δεν έχει ωριμάσει, βρίσκεται ακόμα στην αρχή του. Η δημιουργία εργαλείων αυτοματοποιημένου ελέγχου αδυναμιών ασφάλειας σε συστήματα SCADA είναι αναγκαία. Οι εταιρείες κατασκευής τέτοιων συστημάτων επενδύουν στο σχεδιασμό ασφαλών συστημάτων.

Virtualization- fabric computing – cloud computing
Είναι η τεχνολογία που συνδυάζει τη χρήση ισχυρών Servers με προηγμένες δυνατότητες δικτύωσης, οι οποίοι ‘εικονικά’ λειτουργούν σαν μια ενιαία δομή. Στην πραγματικότητα, αποτελείται από αναδιαρθρώσιμες διατάξεις ηλεκτρονικών υπολογιστών, δικτύων, επικοινωνιών και μέσων αποθήκευσης, τα οποία χαρακτηρίζονται από υψηλή διαθεσιμότητα και δυνατότητα μεγάλης κλιμάκωσης.
Με την παραπάνω προσέγγιση, οι διαθέσιμοι προς χρήση πόροι δεν είναι άμεσα συνδεδεμένοι με συγκεκριμένο σύστημα, αλλά οι χρήστες εξυπηρετούνται μέσω συστοιχιών συστημάτων, τα οποία παραμετροποιούνται ανάλογα με το σκοπό για τον οποίο χρησιμοποιούνται. Ο τελικός χρήστης δεν ασχολείται με το πού βρίσκονται τα πληροφοριακά συστήματα, αλλά επικεντρώνεται στη χρήση των υπηρεσιών που αυτά προσφέρουν. Το cloud computing είναι τεχνολογία στην οποία oι πληροφορίες βρίσκονται μόνιμα αποθηκευμένες σε διακομιστές στο Διαδίκτυο και στη συνέχεια αποθηκεύονται προσωρινά (cashing) στα τελικά σημεία χρήσης των συγκεκριμένων πληροφοριών, τα οποία περιλαμβάνουν επιτραπέζιους & φορητούς υπολογιστές, entertainment centres, κάθε μορφής φορητού μολυμέσου, αισθητήρες, οθόνες κ.λπ.
Το cloud computing είναι μια γενική έννοια, η οποία ενσωματώνει το λογισμικό ως υπηρεσία (s/w as a service), τεχνολογία Web 2.0 και άλλες νέες τεχνολογικές τάσεις, κοινός παρονομαστής των οποίων είναι η εξάρτησή τους από το Διαδίκτυο, για την ικανοποίηση των αναγκών των χρηστών των προσφερόμενων υπηρεσιών.
Γίνεται κατανοητό ότι όσον αφορά στα θέματα ασφάλειας πληροφοριών, οι παραπάνω τεχνολογίες μοιράζονται πανομοιότυπες αδυναμίες αλλά και απαιτήσεις.

  • Σημείο (Single point of failure).
  • Έλεγχος Πρόσβασης με αυξημένες απαιτήσεις, αφού πρέπει να εξασφαλίσουμε στους χρήστες πρόσβαση μόνο στα δεδομένα – υπηρεσίες για τα οποία είναι εξουσιοδοτημένοι.
  • Δικλείδες ασφαλείας για τους διαχειριστές των συστημάτων, αφού πλέον δεν μπορούμε να διαχωρίσουμε την πρόσβασή τους ανά εφαρμογή, μιας και όλες οι εφαρμογές και δεδομένα μοιράζονται την ίδια τεχνική υποδομή, σαν να λειτουργούσαν σε ένα σύστημα.
  • Αδυναμίες λειτουργικού συστήματος, παραμετροποίησης, επιβολής κανόνων ασφάλειας, έχουν επίπτωση στο σύνολο των εφαρμογών που λειτουργούν στο ίδιο περιβάλλον και όχι σε μεμονωμένες εφαρμογές.
  • Διαχωρισμός των δεδομένων διαφορετικών εφαρμογών – υπηρεσιών, έτσι ώστε σε περίπτωση μη εξουσιοδοτημένης πρόσβασης σε δεδομένα μιας υπηρεσίας, να είναι αδύνατη η πρόσβαση σε δεδομένα άλλης εφαρμογής.
  • Ανάγκη για κρυπτογραφημένη αποθήκευση και διακίνηση των δεδομένων.
  • Τήρηση θεσμικού πλαισίου προστασίας της ιδιωτικότητας αλλά και των ευαίσθητων προσωπικών δεδομένων.
  • Ανάγκη για τήρηση προτύπων για την ασφάλεια πληροφοριών, ειδικά όταν μιλάμε για υπηρεσίες outsourcing που κάνουν χρήση των παραπάνω τεχνολογιών.

Social networks & social software – Web mashups
Σύμφωνα με τις τάσεις που διαμορφώνονται στο χώρο της ανάπτυξης επιχειρηματικών εφαρμογών πληροφορικής, φαίνεται ότι υιοθετείται λειτουργικότητα, η οποία αυτή τη στιγμή χρησιμοποιείται σε εφαρμογές κοινωνικών δικτύων (social networks, π.χ. MySpace & Facebook) και αναμένεται να αλλάξει και τον πατροπαράδοτο τρόπο με τον οποίο λειτουργούμε στο καθημερινό επιχειρηματικό περιβάλλον. Οι νέες εφαρμογές δανείζoνται μερικά από τα χαρακτηριστικά που υπάρχουν σε εφαρμογές κοινωνικής δικτύωσης, όπως το MySpace & Facebook, με σκοπό να προωθούνται πληροφορίες από τους καταναλωτές, καθώς και από τους εργαζόμενους μιας εταιρείας.
Επίσης, η χρήση τεχνολογίας Web mashups με την οποία εύκολα μπορούν να συνδυαστούν η λειτουργικότητα μιας εφαρμογής με κοινά διαθέσιμες πληροφορίες από διάφορες πηγές, θα γίνει ο κυρίαρχος τρόπος για να δημιουργηθούν οι νέες εταιρικές εφαρμογές. Με τον τρόπο αυτό, μια εφαρμογή συνδυάζει στοιχεία από περισσότερες από μία πηγές (ή άλλες εφαρμογές) σε ένα ενιαίο ολοκληρωμένο αποτέλεσμα. Ένα παράδειγμα είναι η χρήση των χαρτογραφικών στοιχείων από το Google Maps για να προσθέσετε πληροφορίες θέσης σε ένα υφιστάμενο χάρτη.
Σε ένα τέτοιο περιβάλλον, οι προκλήσεις που πρόκειται να αντιμετωπίσουμε είναι συνυφασμένες με το επίπεδο εμπιστοσύνης που πρέπει να έχουμε στα δεδομένα, τα οποία θα μπορεί ο καθένας να επικοινωνήσει με τους υπόλοιπους χρήστες της κάθε εφαρμογής, αλλά και με τις πηγές από τις οποίες οι εφαρμογές θα εμπλουτίζουν τη λειτουργία τους.
Μερικοί από τους τρόπους προστασίας από τις νέες απειλές, αναφέρονται στη συνέχεια:

  • Συμμόρφωση με πρότυπα και κανόνες.
  • Πιστοποιήσεις σε πρότυπα ασφάλειας.
  • Διαχωρισμός δεδομένων και πηγαίου κώδικα των διαφόρων πηγών άντλησης πληροφοριών.
  • Ελεγχόμενη ανταλλαγή δεδομένων μέσω ενός ασφαλούς καναλιού επικοινωνίας.
  • Ασφάλεια & διαχωρισμός δεδομένων διαφορετικών εφαρμογών / οργανισμών.
  • Κρυπτογράφηση δεδομένων.
  • Ενίσχυση της ασφάλειας που προσφέρουν οι υπάρχοντες web browsers.
  • Ενίσχυση των εργαλείων προγραμματισμού, με περισσότερες δυνατότητες ανάπτυξης ασφαλούς πηγαίου κώδικα.

Τάσεις & Προκλήσεις στην Ασφάλεια Πληροφοριών για το 2009
Οι προτεραιότητες που θέτουν για την ασφάλεια πληροφοριών οι Οργανισμοί για τη χρονιά που διανύουμε, αντικατοπτρίζονται στα στοιχεία που παρατίθενται από τις παρακάτω έρευνες.
Οι παρακάτω προτεραιότητες αποτελούν την κοινή συνιστώσα δύο σχετικών ερευνών, της έρευνας The Global State of InfoSec [CIO, PWC] & της έρευνας 10th Annual Ernst & Young Global InfoSec Survey.
Σύμφωνα με τα στοιχεία των παραπάνω ερευνών, το 2009 τα κύρια θέματα ασφάλειας πληροφοριών είναι τα ακόλουθα:

  • Έμφαση στηn προστασία των επιχειρηματικών δεδομένων.
  • Εναρμόνιση κυρίως με Νομικό & Κανονιστικό πλαίσιο.
  • Αξιολογήσεις κινδύνων.
  • Κίνδυνοι και απειλές από υιοθέτηση τεχνολογίας Virtualization.
  • Αυτοματοποίηση της διαδικασίας ελέγχου τήρησης των εσωτερικών κανόνων ασφάλειας.
  • Διαβάθμιση Πληροφοριών.
  • Διαχείριση πρόσβασης.

Ενδιαφέρον παρουσιάζουν και τα στοιχεία που προκύπτουν από έρευνα του ISACA (Information Systems Audit and Control Association), που αφορά στα σημαντικότερα θέματα τεχνολογίας που αντιμετωπίζουν σήμερα οι Oργανισμοί.
Είναι εντυπωσιακό ότι στηn κορυφή της λίστας υπάρχουν τρία θέματα που αφορούν στην ασφάλεια πληροφοριών .
ISACA, 2008 Top Business/Technology Issues Survey Results

  • Regulatory compliance.
  • Enterprise-based IT management and IT governance.
  • Information security management.
  • Disaster recovery/business continuity.
  • IT value management.
  • Challenges of managing IT risks.
  • Compliance with financial reporting standards.

Για το 2009 θα πρέπει να υπολογίσουμε και έναν ακόμα παράγοντα που χρειάζεται να αντιμετωπίσουν οι Οργανισμοί, την οικονομική ύφεση. Η ασφάλεια πληροφοριών μπορεί να αποτελέσει την εύκολη λύση για τη μείωση των λειτουργικών εξόδων. Πρέπει να υπάρχει σωστός προγραμματισμός για το τι θεωρείται απαραίτητο να υλοποιηθεί σε ό,τι αφορά στην Ασφάλεια Πληροφοριών. Σημαντικό ρόλο θα παίξει η σύνδεση των απαιτήσεων ασφάλειας πληροφοριών, με τους κινδύνους που μπορεί να προκληθούν σε επιχειρηματικό επίπεδο και κυρίως σε ό,τι αφορά στις κρίσιμες δραστηριότητες ενός Οργανισμού. Χρειάζεται ορθή κρίση πρώτα από τους επαγγελματίες του χώρου και στη συνέχεια από τις Διοικήσεις.
Αποτελεσματική Αντιμετώπιση Απειλών Ασφάλειας
Οι τεχνολογίες καθώς και τα διάφορα επιχειρηματικά μοντέλα θα μεταβάλλονται μέσα στο χρόνο ανάλογα με το σκοπό που καλούνται να εξυπηρετήσουν κάθε εποχή. Αυτό σημαίνει ότι οι επαγγελματίες της ασφάλειας πληροφοριών πρέπει να είναι έτοιμοι να καλύψουν τις εκάστοτε απαιτήσεις ασφάλειας πληροφοριών, ανεξάρτητα από τις τάσεις της τεχνολογίας. Για το λόγο αυτό, θα πρέπει να υιοθετήσουν ένα πλαίσιο επιλογής των κατάλληλων προληπτικών δικλείδων ασφαλείας, οι οποίες θα διέπονται από τις παρακάτω αρχές:

  • Σχεδιασμός Στρατηγικής για την Ασφάλεια Πληροφοριών και επικοινωνία αυτής.
  • Επιβολή στρατηγικής από τη Διοίκηση.
  • Αλλαγή φιλοσοφίας: Στο Επίκεντρο η πληροφορία. Έλεγχος & προστασία και εκτός των επιχειρησιακών φυσικών ορίων.
  • Η Ασφάλεια Πληροφοριών μέρος των καθημερινών επιχειρησιακών διεργασιών.
  • Οι δικλείδες ασφαλείας να καλύπτουν εξίσου τη Διαχείριση, τη Λειτουργία και την Τεχνολογική υποδομή του Οργανισμού.
  • Η αύξηση των αδυναμιών ασφάλειας θα συνεχίσει να υφίσταται, το κύριο μέλημά μας θα πρέπει να είναι η μείωση της αρνητικής τους επίδρασης στον Οργανισμό μας.
  • Έγκαιρος προσδιορισμός & διαχείριση των κινδύνων.
  • Προστασία βασισμένη σε συμπληρωματικές δικλείδες ασφαλείας και όχι σε δικλείδες ασφαλείας, οι οποίες υιοθετούνται σε ad hoc βάση.
  • Παραμετροποίηση των πληροφοριακών πόρων βάσει των ελάχιστων απαιτήσεων ασφάλειας. Πολλαπλά επίπεδα ασφάλειας, δίχως δικλείδες ασφαλείας που επικαλύπτονται.
  • Συμμόρφωση με το κανονιστικό πλαίσιο από την έναρξη υλοποίησης νέων συστημάτων και υπηρεσιών.
  • Εναρμόνιση των στόχων της ασφάλειας πληροφοριών με τους επιχειρηματικούς στόχους.
  • Πάντα να λειτουργούμε με το σκεπτικό ότι η ασφάλεια πληροφοριών δεν είναι αυτοσκοπός, αλλά εργαλείο επέκτασης των επιχειρηματικών
  • ραστηριοτήτων κάθε Οργανισμού και σε καμία περίπτωση δεν πρέπει να αποτελέσει ανασταλτικό παράγοντα.
  • Στόχος πρέπει να είναι η μεγιστοποίηση της αξιοπιστίας των Επιχειρηματικών Πληροφοριών.

Συνοψίζοντας … Ξέρουμε τι πρέπει να κάνουμε, αλλά δεν το υλοποιούμε
Στόχος του άρθρου ήταν να παρουσιάσει τις τάσεις και τις προκλήσεις που αφορούν στην ασφάλεια πληροφοριών, όπως αυτές αναμένεται να διαμορφωθούν τα επόμενα χρόνια. Οι τεχνολογικές εξελίξεις αλλά και η αλλαγή των επιχειρηματικών μοντέλων φαίνεται ότι επηρεάζουν και διαμορφώνουν τις εκάστοτε απειλές ασφάλειας πληροφοριών.
Το ποσοστό του εκάστοτε νέου οικοσυστήματος που πραγματικά επηρεάζει τις απειλές που αφορούν στην ασφάλεια πληροφοριών, είναι μικρότερο από αυτό που φαίνεται από μια γρήγορη θεώρηση της πραγματικότητας – ή αν θέλετε, μικρότερο από αυτό που προσπαθούν να επιβάλουν οι τεχνολογικές τάσεις του χώρου της Ασφάλειας Πληροφοριών. Τεχνολογικές τάσεις, οι οποίες χρησιμοποιούν πλέον ως σημαία τους τον όρο Καινοτομία (innovation), αλλά και την προβολή της νέας (αλλά στην πραγματικότητα πολύ παλιάς) θεώρησης της ασφάλειας πληροφοριών, που αφορά στη θεώρηση ότι το Κέντρο Προστασίας είναι η πληροφορία (Ιnformation Centric Security). Φυσικά, αυτό δεν είναι κάτι καινοτόμο ούτε επαναστατικό, είναι η βασική αρχή της ασφάλειας πληροφοριών, η οποία αφορά στην προστασία των πληροφοριών ενός Οργανισμού, ανεξαρτήτως τεχνολογικού περιβάλλοντος. Επιστροφή στις βασικές Αρχές της Ασφάλειας Πληροφοριών, λοιπόν, ή ξαφνικά συνειδητοποιήσαμε τι είναι η ασφάλεια πληροφοριών;
Προσωπικά, πιστεύω ότι ισχύουν και τα δύο.
Επιστροφή στις βασικές Αρχές της Ασφάλειας Πληροφοριών, διότι παρατηρούμε ότι αυτό που λείπει είναι η αποτελεσματική υλοποίηση των αρχών της ασφάλειας πληροφοριών. Δηλαδή, γνωρίσουμε τι πρέπει να κάνουμε και απλά δεν το κάνουμε. Είτε περιμένουμε κάποιος να μας το επιβάλει είτε δεν μπορούμε να πείσουμε το περιβάλλον στο οποίο κινούμαστε είτε υπερβάλουμε, με αποτέλεσμα να χάνουμε την αξιοπιστία μας.
Ξαφνικά συνειδητοποιήσαμε τι είναι η ασφάλεια πληροφοριών; Ίσως να είναι αλήθεια, αλλά όχι για τους επαγγελματίες του χώρου της ασφάλειας πληροφοριών. Ισχύει περισσότερο για τις εταιρείες ανάπτυξης λογισμικού και συστημάτων ασφάλειας. Οι περισσότερες από τις εταιρείες αυτές διαθέτουν προϊόντα τα οποία επιλύουν μέρος του προβλήματος και όχι ολόκληρο το πρόβλημα. Με τη λογική αυτή ΄γέμισαν’ τους Οργανισμούς με εργαλεία που αφορούν στην Ασφάλεια Πληροφοριών, για κάθε πρόβλημα και ένα εργαλείο που χρειάζεται διαχείριση, συνεχή παρακολούθηση και εξειδίκευση για τη χρήση του. Τα εργαλεία έγιναν πολλά και οι Οργανισμοί ακόμα δεν μπορούν να καταλάβουν σε τι επίπεδο ασφάλειας βρίσκονται, μιας και τα εργαλεία αυτά δεν μπορούν να επικοινωνήσουν μεταξύ τους για να αντιμετωπίσουν ένα πρόβλημα ασφάλειας. Επίσης, κάποιοι από τους προμηθευτές δεν είχαν ποτέ ασχοληθεί με την ασφάλεια πληροφοριών και δεν είχαν τη σχετική κουλτούρα, απλά είδαν μία νέα αγορά και επένδυσαν.
Η απαίτηση των Οργανισμών για ολοκληρωμένο τρόπο αντιμετώπισης των θεμάτων ασφάλειας πληροφοριών, ανάγκασε τις εταιρείες ανάπτυξης λογισμικού και συστημάτων ασφαλείας να συνειδητοποιήσουν τι πραγματικά είναι η ασφάλεια πληροφοριών και ποια η βοήθεια που χρειάζεται η κάθε εταιρεία, για την αντιμετώπιση των απειλών ασφάλειας που αφορούν στα εταιρικά δεδομένα. Χρειάζονται λύσεις, οι οποίες αντιμετωπίζουν ολόκληρο το εκάστοτε πρόβλημα ασφάλειας, συνδυάζοντας διαφορετικές και διαδραστικές ενέργειες, με κοινή διαχείριση και κοινό τεχνολογικό υπόβαθρο. Οι τελευταίες εξαγορές των μικρότερων εταιρειών από μεγαλύτερες, είναι υπό το παραπάνω σκεπτικό.
Κλείνοντας, θα ήθελα να αναφερθώ σε ορισμένους τομείς της Ασφάλειας Πληροφοριών που χρήζουν περισσότερης έρευνας και προσοχής την επόμενη 5-ετία.
Η ανθεκτικότητα (resiliency) των συστημάτων πληροφοριακή & τηλεπικοινωνιών στις επιθέσεις & αδυναμίες ασφάλειας, πρέπει να υιοθετηθεί ως μέρος του σχεδιασμού των συστημάτων. Θα πρέπει να υπάρχει η δυνατότητα αντιμετώπισης των αδυναμιών & επιθέσεων ασφάλειας πληροφοριών, χωρίς να τίθενται σε κίνδυνο οι πληροφορίες που υπάρχουν σε κάθε σύστημα. Σε επόμενη φάση, το σύστημα θα μπορεί να αυτο-προστατεύεται από επιθέσεις και αδυναμίες ασφάλειας, τροποποιώντας από μόνο του τις παραμέτρους που πρέπει. Πρότυπα για ανάπτυξη ασφαλούς λογισμικού, χρειάζεται να συμφωνηθούν και να υιοθετηθούν από τους κατασκευαστές συστημάτων και λογισμικού. Οι περισσότερες απώλειες κρίσιμων δεδομένων συμβαίνουν λόγω της εκμετάλλευσης αδυναμιών ασφάλειας λογισμικού. Τα πρότυπα ανάπτυξης ασφαλούς λογισμικού, πρέπει να επιβληθούν στις εταιρείες ανάπτυξης κάθε λογής λογισμικού. Οι επιθέσεις παρείσδυσης με σκοπό την αποκάλυψη ή τροποποίηση κρίσιμων πληροφοριών σε Οργανισμούς, θα συνεχίσουν να είναι στοχευμένες. Αναμένεται να δούμε περισσότερες προσπάθειες επίθεσης σε βιομηχανικά συστήματα ελέγχου (SCADA) και αυτό σημαίνει ότι τα επόμενα χρόνια θα χρειαστεί επένδυση σε υλοποίηση εργαλείων ανίχνευσης αδυναμιών ασφάλειας σε τέτοιου είδους συστήματα.
Η ασφάλεια πληροφοριών, πλέον, δεν μπορεί να αγνοηθεί από τους Οργανισμούς. Ολοένα και περισσότερο γίνεται μέρος της καθημερινής επιχειρηματικής δραστηριότητας. Δεν είναι μακριά η εποχή όπου η ασφάλεια πληροφοριών θα ταυτιστεί με τις εταιρικές διεργασίες και θα αλλάξει ο τρόπος διαχείρισής της από τους Οργανισμούς!

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.

Παραπομπές

  • Information Assurance Technology Forecast, ΙΕΕΕ Security & Privacy
  • 2009 security predictions: Deja vu all over again, Jaikumar Vijayan, Computerworld
  • 7 Infosec Trends for 2009, Rich Mogull, CSO
  • Fearless New Year’s prediction: Computer crime gets worse, Roger A. Grimes, InfoWorld
  • Disruptive Technologies Reshape IT Landscape, IEEE ITPro
  • Top 9 Network Security Threats in 2009, Kevin Prince, CSO
  • Security FutureWatch – Pete Lindstrom, Research Director