Στις ημέρες μας, η ασφάλεια των πληροφορικών συστημάτων είναι περισσότερο επίκαιρη από ποτέ. Το ηλεκτρονικό έγκλημα πλέον, έχει απόκτηση “επαγγελματικό” χαρακτήρα και πραγματοποιείται στοχευμένα.
Για την ισχυροποίηση της ασφάλειας των πελατών των υπηρεσιών Cloud, Τηλεπικοινωνιακών διασυνδέσεων, Internet, κ.α η Mediterranean Nautilus Greece έχει δημιουργήσει και εφαρμόσει ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ – ISMS) σύμφωνα με τις απαιτήσεις του διεθνούς προτύπου ISO 27001, με το οποίο η Εταιρεία είναι πιστοποιημένη (πλέον της πιστοποίησης σύμφωνα με το πρότυπο ISO 9001). Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αποτελείται από τις κατάλληλες Πολιτικές, Διαδικασίες, Οδηγίες καθώς και από το κατάλληλα εκπαιδευμένο ανθρώπινο δυναμικό και τις κατάλληλες τεχνολογίες ασφαλείας.
Για την παρακολούθηση και τον έλεγχο φυσικής πρόσβασης εκτός από την 24×7 φύλαξη των εγκαταστάσεων από εξειδικευμένη εταιρεία, έχουν εγκατασταθεί πολλαπλά συστήματα ασφαλείας όπως CCTV, Access control, Biometric Systems και στα 3 ιδιόκτητα Data Center της Mediterranean Nautilus Greece (2 στην Αττική και ένα στα Χανιά, συνολικής επιφάνειας 8000 τ.μ.).
Η λογική ασφάλεια των συστημάτων της εταιρίας βασίζεται σε μια πολύ-επίπεδη αρχιτεκτονική, σκοπός της οποίας είναι να θέτει πολλαπλά σημεία προστασίας και ελέγχου ανάμεσα σε πιθανούς εισβολείς και στα συστήματα των πελατών.
Για την εφαρμογή αυτής της αρχιτεκτονικής και βάση των αποτελεσμάτων της Ανάλυσης Επικινδυνότητας, έχουν ήδη εγκατασταθεί μηχανισμοί ασφάλειας όπως : Firewalls, VPN, Intrusion Prevention/Detection, Denial of Service Protection, Antivirus, Advance Threat Detection ,Strong Authentication και Access Control (π.χ. Radius/Tacacs, Administrators Session Control).
Όλα τα δίκτυα της εταιρείας είναι απομονωμένα. Η απομόνωση πραγματοποιείται βάση της κρισιμότητας της κάθε υπηρεσίας. Ειδικότερα δίκτυα που φιλοξενούν υπηρεσίες προς τους πελάτες, είναι απομονωμένα από τα υπόλοιπα δίκτυα της Εταιρείας και από το διαδίκτυο. Η πρόσβαση από και προς σε αυτά ελέγχεται τόσο με συστήματα firewall όσο και με την εγκατεστημένη IPS/IDS υποδομή.
Όλα τα δίκτυα πελατών είναι μεταξύ τους επίσης απομονωμένα εκτός εάν διαφορετικά ορίζεται σύμφωνα με απαίτηση του Πελάτη. Πρόσβαση σε αυτά τα δίκτυα επιτρέπεται μόνο μετά από έγκριση του Υπευθύνου Ασφαλείας.
Όλες οι συνδέσεις με εξωτερικά δίκτυα (π.χ. Συνεργάτες) τοποθετούνται σε απομονωμένες λογικές ζώνες (π.χ. DMZ) ώστε η πρόσβαση που θα έχουν προς τα εσωτερικά δίκτυα της εταιρείας, αλλά και η τυχόν μεταξύ τους πρόσβαση να είναι πλήρως ελεγχόμενη.
Τα συστήματα προστασίας δικτύου παρέχουν μηχανισμούς έγκαιρης ενημέρωσης (real-time alert loging). Το σύστημα διαχείρισης και ανάλυσης Security Information and Event Management (SIEM) που χρησιμοποιεί η ομάδα ασφάλειας, μας δίνει την δυνατότητα άμεσης επέμβασης πραγματοποιώντας αυτόματα συσχετισμούς των συμβάντων ασφάλειας που εντοπίζονται στα συστήματα της ενέργειας. Ακολουθώντας τις διατάξεις της Ελληνικής Νομοθεσίας όλα τα συμβάντα ασφάλειας αναλύονται και όλες οι πληροφορίες για αυτά αποθηκεύονται με ασφαλείς διαδικασίες.
Τα συστήματα που χρησιμοποιούνται για τη διαχείριση των Δικτύων της MedNautilus είναι λογικά εγκατεστημένα σε απομονωμένες ζώνες . Πρόσβαση σε αυτές τις ζώνες έχουν μόνο οι Διαχειριστές και μόνο από συγκεκριμένες λογικές τοποθεσίες υπό την προϋπόθεση της χρήσης ασφαλών πρωτοκόλλων επικοινωνίας (SSH, HTTPS, sFTP, SSL). Όλες οι διαχειριστικές προσβάσεις καταγράφονται και παρακολουθούνται.
Τέλος, σημειώνεται ότι για την ενδυνάμωση της ασφάλειας των δικτύων σε τακτά χρονικά διαστήματα, βάση του Πλάνου Ελέγχων, διενεργούνται τεχνικοί έλεγχοι ασφάλειας από τον Υπεύθυνο Ελέγχων και τον Υπεύθυνο Ασφάλειας χρησιμοποιώντας διεθνείς πρακτικές και αυτοματοποιημένα συστήματα ελέγχων (π.x Vulnerability Scanning and Management Systems , Configuration Audit) .
Νίκος Κωνσταντινίδης
Technical Director
Μed Nautilus