H αξία της επικοινωνίας στον τομέα της κυβερνοασφάλειας, η σημασία του Threat Modeling, Η συμμόρφωση με την οδηγία NIS 2 και η επίδραση της Τεχνήτης Νοημοσύνης αποτελούν τα βασικά σημεία της συνέντευξης που μας παραχώρησες ο Υπεύθυνος Επικοινωνίας και Μέλος τη Δ.Σ. του ISC2 Hellenic Chapter, Νίκος Δαμουλιάνος

 

Συνέντευξη με τον Νίκο Δαμουλιάνο

Communications Officer και Μέλος του Δ.Σ. του  ISC2 Hellenic Chapter

 

 

 

Είναι αλήθεια ότι τα τελευταία χρόνια έχουν γίνει βήματα προόδου ως προς την εξωστρέφεια του τομέα του cyber security. Πως εσείς ως υπεύθυνος επικοινωνίας του ISC2 Hellenic Chapter προσεγγίζετε τη προώθηση των θεμάτων που σχετίζονται με την ασφάλεια; Ποια είναι η στρατηγική σας σε αυτόν τον τομέα και πόσο ωφελούν την ευαισθητοποίηση και επιμόρφωση της κοινότητας των επαγγελματιών οι ενημερώσεις από διάφορα κανάλια, τα events και άλλες δράσεις;

Με χαρά εισπράττουμε κι εμείς αυτήν την πρόοδο της κυβερνοασφάλειας στην εξωστρέφεια. Ως ISC2 Hellenic Chapter εργαζόμαστε καθημερινά προκειμένου να ενισχύσουμε περαιτέρω αυτή την τάση, προωθώντας τη σημασία της κυβερνοασφάλειας και χτίζοντας γέφυρες επικοινωνίας μεταξύ των επαγγελματιών, των οργανισμών και της κοινωνίας.

Είναι αλήθεια ότι οι επικοινωνίες σε κάθε οργανισμό είναι ένα ιδιαίτερα νευραλγικό κομμάτι και φυσικά το ISC2 Hellenic Chapter δεν θα μπορούσε να αποτελέσει εξαίρεση. Όλες μας οι δραστηριότητες -είτε πρόκειται για συμμετοχές μας σε συνέδρια και επαγγελματικές εκπαιδεύσεις, είτε για εθελοντικές πρωτοβουλίες ή τις τακτικές μας συναντήσεις- περνούν μέσα από το πρίσμα της επικοινωνίας.

Τα κοινωνικά μέσα, το ηλεκτρονικό ταχυδρομείο και η ιστοσελίδα μας είναι βασικά εργαλεία που μας επιτρέπουν να προβάλουμε τις δραστηριότητές μας. Όμως από μόνα τους δεν είναι αρκετά. Η στρατηγική μας βασίζεται σε τρεις πυλώνες: Το μέτρο, την καινοτομία και τη συμμετοχικότητα.

Πρώτον, επιδιώκουμε να επικοινωνούμε με στοχευμένο και αποτελεσματικό τρόπο, σε κατάλληλες χρονικές στιγμές και με συχνότητα που δεν κουράζει το κοινό μας. Με αυτόν τον τρόπο, κάθε μήνυμά μας γίνεται αντιληπτό ως ουσιαστικό και σημαντικό, χωρίς να προσθέτει «θόρυβο» στις ήδη πολύβουες ηλεκτρονικές γραμματοθυρίδες μας ή στα social media.

Δεύτερον, ενισχύουμε την παρουσία μας μέσα από την καινοτομία. Χρησιμοποιούμε δημιουργικές λύσεις όπως posters, videos, infographics, gifs, κλπ., προκειμένου να προσελκύσουμε την προσοχή του κοινού μας και να μεταδώσουμε το μήνυμά μας με τρόπο που αφήνει θετική εντύπωση. Αυτές οι μέθοδοι μας βοηθούν να ξεχωρίσουμε από τη σωρεία πληροφοριών που δέχεται το κοινό καθημερινά.

Τρίτον, δίνουμε μεγάλη έμφαση στη συμμετοχικότητα. Η γλώσσα που χρησιμοποιούμε είναι απλή, οικεία και προσκαλεί τους επαγγελματίες του χώρου να γίνουν μέρος της κοινότητάς μας ή, όπως συχνά λέμε, της «παρέας μας». Μέσα από αυτήν την προσέγγιση, δημιουργούμε ένα έδαφος ανταλλαγής γνώσεων, εμπειριών και ιδεών, ενισχύοντας τη συνεργασία και τη δικτύωση μεταξύ των επαγγελματιών της κυβερνοασφάλειας στην Ελλάδα.

Προσπαθώντας να παρέχουμε περιεχόμενο προσαρμοσμένο στις ανάγκες του κοινού μας, εστιάζοντας τόσο σε γενικές εξελίξεις όσο και σε τοπικές ή κλαδικές προκλήσεις, στόχος μας είναι να ενισχύουμε συνεχώς την ευαισθητοποίηση γύρω από την κυβερνοασφάλεια και να παρέχουμε ουσιαστική υποστήριξη στους επαγγελματίες του χώρου. Με αυτόν τον τρόπο, δεν συμβάλλουμε μόνο στην ανάπτυξη του κλάδου, αλλά και στην προστασία του κοινωνικού συνόλου απέναντι στις συνεχώς εξελισσόμενες απειλές.

 

Γνωρίζουμε ότι ως επαγγελματίας στο χώρο, ειδικεύστε μεταξύ άλλων στη μεθοδολογία του “threat modeling”. Γιατί είναι σημαντική αυτή η πρακτική; Ποια είναι τα βασικά χαρακτηριστικά της σημερινής εξέλιξης του και σε πως μπορεί να εφαρμοστεί με επιτυχία σε διαφορετικές κάθετες αγορές;

Στις μέρες μας το Threat Modeling αποτελεί έναν από τους ακρογωνιαίους λίθους της ασφάλειας λογισμικού και συστημάτων γενικότερα. Ο στόχος του βασίζεται στην αρχή ότι η πρόληψη είναι σαφώς προτιμότερη από την θεραπεία. Αυτό λοιπόν το επιτυγχάνουμε εντοπίζοντας πιθανές απειλές και ευπάθειες, δίνοντας τη δυνατότητα στις ομάδες ανάπτυξης να εφαρμόσουν τα κατάλληλα μέτρα προστασίας ήδη από τα πρώτα στάδια σχεδιασμού.

Η σημασία του Threat Modeling έγκειται στο γεγονός ότι προάγει μια προληπτική προσέγγιση, μειώνοντας τους κινδύνους και το κόστος αντιμετώπισης επιθέσεων. Γιατί όπως είναι φυσικό, όσο το συντομότερο εντοπίσουμε τις ευπάθειες, τόσο πιο εύκολα, οικονομικά αλλά και με σωστό τρόπο θα τις περιορίσουμε.

Βασικό χαρακτηριστικό της σημερινής εξέλιξης του Threat Modeling είναι η αυξανόμενη χρήση αυτοματισμών και εξειδικευμένων εργαλείων που επιτρέπουν τη δημιουργία δυναμικών threat models. Η ενσωμάτωση των issue trackers στις Threat Modeling πλατφόρμες υποστηρίζει το μοντέλο DevSecOps, προσφέροντας στις επιχειρήσεις τη δυνατότητα να εφαρμόσουν τη μεθοδολογία γρήγορα και με συνέπεια. Παράλληλα, διευκολύνεται η συνεχής παρακολούθηση της προόδου στην υλοποίηση μέτρων ασφαλείας σε πραγματικό χρόνο. Αυτή η προσέγγιση μειώνει το κόστος, αυξάνει την αποδοτικότητα και προάγει μια πιο ολιστική κουλτούρα ασφάλειας στον κύκλο ζωής του λογισμικού.

Σύμφωνα με τον συγγραφέα και κορυφαίο Threat Modeling Expert, Adam Shostack, η μεθοδολογία του Threat Modeling βασίζεται σε τέσσερις απλές αλλά και ταυτόχρονα θεμελιώδεις ερωτήσεις που καθοδηγούν τη διαδικασία:

  1. Πάνω σε τί εργαζόμαστε;
    Αφορά την κατανόηση του συστήματος, της αρχιτεκτονικής του, των δεδομένων και των ροών τους. Είναι κρίσιμο να έχουμε σαφή εικόνα για αυτό που χτίζουμε ή διαχειριζόμαστε.
  2. Τί μπορεί να πάει λάθος;
    Αυτή η ερώτηση μας βοηθά να εντοπίσουμε πιθανές απειλές και ευπάθειες, λαμβάνοντας υπόψιν τις μεθόδους επίθεσης και τις απειλές που είναι πιο σχετικές με τον συγκεκριμένο τομέα.
  3. Τί θα κάνουμε για αυτό;
    Πρόκειται για την απόφαση σχετικά με τα μέτρα προστασίας που θα ληφθούν, στοχεύοντας τη μείωση ή εξάλειψη των ευπαθειών και ελαχιστοποίησης της πιθανότητας υλοποίησης των απειλών.
  4. Κάναμε αρκετά καλή δουλειά;
    Είναι απαραίτητο να επανεξετάσουμε τη διαδικασία για να διασφαλίσουμε ότι όλες οι πιθανές απειλές αντιμετωπίστηκαν, τα μοντέλα επικαιροποιήθηκαν και ότι οι λύσεις είναι επαρκείς.

Η σαφήνεια και η συστηματικότητα των βημάτων αυτής της προσέγγισης εξασφαλίζουν μια αποτελεσματική εφαρμογή του Threat Modeling. Το πιο ισχυρό της σημείο είναι η ευελιξία της, καθώς μπορεί να προσαρμοστεί εύκολα σε οποιοδήποτε λογισμικό ή σύστημα, ανεξαρτήτως τομέα ή κλάδου. Αυτό την καθιστά ιδανική για εφαρμογή σε διαφορετικές κάθετες αγορές, όπως ο χρηματοπιστωτικός τομέας, η υγεία ή οι μεταφορές, όπου οι ανάγκες ασφάλειας και οι απειλές διαφέρουν σημαντικά.

 

Στη κορυφή της ατζέντας των συζητήσεων στο χώρο μας αυτή την περίοδο βρίσκεται η επιτακτική ανάγκη κατανόησης της οδηγίας NIS2 και η συμμόρφωση με τις απαιτήσεις που τη συνοδεύουν. Ποια βήματα πρέπει να ακολουθήσουν οι Υπεύθυνοι Ασφάλειας Πληροφοριών μέσα στις επιχειρήσεις, προκειμένου να καθοδηγήσουν σωστά την ανώτατη διοίκηση να πάρει τις σωστές αποφάσεις, αλλά και να καταφέρουν το σύνολο του οργανισμού να ευθυγραμμιστεί με τις ανάγκες που προκύπτουν;

Η συμμόρφωση με την οδηγία NIS 2 αποτελεί πλέον κρίσιμο ζήτημα, με δεδομένο ότι έχει ως στόχο να ενισχύσει το επίπεδο κυβερνοασφάλειας της ΕΕ απέναντι στην αύξηση των κυβερνοεπιθέσεων, καθώς και στην αντιμετώπιση αναδυόμενων απειλών και στην επικοινωνία μεταξύ των κρατών-μελών σχετικά με αυτές τις επιθέσεις ή απειλές. Η οδηγία αναμένεται να λειτουργήσει σαν πρότυπο παγκόσμιας εμβέλειας, συμπληρωματικό θα λέγαμε του GDPR στον τομέα της ιδιωτικότητας.

Οι επιχειρήσεις πρέπει να αξιοποιήσουν εποικοδομητικά τον πολύτιμο χρόνο που έχουν στη διάθεσή τους μέχρι την πλήρη επιβολή των απαιτήσεων της οδηγίας και οι Υπεύθυνοι Ασφάλειας Πληροφοριών (CISOs) διαδραματίζουν κεντρικό ρόλο σε αυτήν τη διαδικασία. Για να καθοδηγήσουν λοιπόν αποτελεσματικά την ανώτατη διοίκηση και να διασφαλίσουν ότι ο οργανισμός ευθυγραμμίζεται με τις απαιτήσεις της NIS 2, μπορούν να ακολουθήσουν τα εξής βήματα:

  1. Ενημέρωση και ευαισθητοποίηση της ανώτατης διοίκησης
    Ο CISO θα πρέπει αρχικά να παρουσιάσει την οδηγία και τις επιπτώσεις της με τρόπο κατανοητό στη διοίκηση, συνδέοντας τη συμμόρφωση με στρατηγικούς στόχους όπως η επιχειρησιακή συνέχεια, η φήμη της εταιρείας και η αποφυγή προστίμων. Είναι απαραίτητο να διασφαλιστεί ότι η ανώτατη διοίκηση κατανοεί τις νομικές της ευθύνες, καθώς η NIS 2 καθιστά υπεύθυνα τα ανώτερα στελέχη για τυχόν παραλείψεις.
  2. Εκτίμηση της τρέχουσας κατάστασης (Gap Analysis)
    Μια ολοκληρωμένη ανάλυση της υφιστάμενης κατάστασης σε σχέση με τις απαιτήσεις της NIS 2, είναι ένα πολύ σημαντικό βήμα για την κατανόηση των κενών. Αυτό περιλαμβάνει την αξιολόγηση πολιτικών ασφαλείας, διαδικασιών, τεχνολογιών και της ωριμότητας του οργανισμού σε θέματα κυβερνοασφάλειας. Ιδιαίτερη έμφαση πρέπει να δοθεί στα άρθρα 20, 21 και 23 της οδηγίας που καθορίζουν τα οργανωτικά και τεχνικά μέτρα που θα πρέπει να ληφθούν.
  3. Ανάπτυξη ενός στρατηγικού σχεδίου συμμόρφωσης
    Θα πρέπει να σχεδιαστεί ένα ολοκληρωμένο πλάνο, βασισμένο στα ευρήματα του Gap Analysis που μόλις αναφέραμε, το οποίο να περιλαμβάνει:
  • Διεξαγωγή Risk Assessments και δημιουργία συγκεκριμένου πλαισίου σχετικά με το Risk Management με βάση υπάρχοντα πρότυπα και οδηγίες (ISO, NIST κ.λπ.).
  • Δημιουργία ή επικαιροποίηση πολιτικών ασφάλειας πληροφοριών που να καλύπτουν τις απαιτήσεις της οδηγίας (επιχειρησιακή συνέχεια, ασφάλεια δικτύων και επικοινωνιών, SDLC, έλεγχος προσβάσεων, διαχείριση πληροφοριακών αγαθών και γενικά υλοποίηση και εφαρμογή βέλτιστων πρακτικών κυβερνοασφάλειας, τις οποίες η οδηγία ονομάζει «basic cyber hygiene practices»).
  • Εφαρμογή τεχνικών και οργανωτικών μέτρων όπως multi-factor authentication, κρυπτογράφηση, διαδικασίες παρακολούθησης και ανίχνευσης συμβάντων και περιστατικών ασφάλειας, καθώς και την υιοθέτηση πολιτικών, διαδικασιών και εκπαιδευτικών προγραμμάτων
  • Ανάπτυξη διαδικασιών διαχείρισης περιστατικών ασφάλειας που να διασφαλίζουν την αναφορά των περιστατικών εντός των χρονικών προθεσμιών της οδηγίας.
  1. Εκπαίδευση προσωπικού

Η δημιουργία μιας κουλτούρας εντός της επιχείρησης που να ενισχύει την επίγνωση και την ευαισθητοποίηση του προσωπικού σε θέματα κυβερνοασφάλειας είναι εξαιρετικά κρίσιμη. Πρέπει όλο το προσωπικό της εταιρείας (σε όποιο επίπεδο της ιεραρχίας και αν ανήκει) να ενταχθεί σε προγράμματα εκπαίδευσης, εστιάζοντας τόσο στις τεχνικές όσο και στις μη τεχνικές πτυχές της κυβερνοασφάλειας, αλλά και με έμφαση στη συνεχή εκπαίδευση που προσαρμόζεται στις εξελισσόμενες απειλές και τεχνολογίες.

  1. Συνεργασία με τους εταίρους της αλυσίδας εφοδιασμού
    Η NIS 2 απαιτεί ιδιαίτερη προσοχή στη διαχείριση κινδύνων της αλυσίδας εφοδιασμού και συγκεκριμένα αυτό αποτελεί μια νέα και πολύ σημαντική προσθήκη που έγινε στην παρούσα οδηγία σε σχέση με την προκάτοχό της. Ο CISO πρέπει να διασφαλίσει ότι όλοι οι προμηθευτές και συνεργάτες συμμορφώνονται με αντίστοιχα μέτρα ασφαλείας που προτείνονται από την οδηγία και με όλες τις απαιτήσεις που προτάσσονται από την εταιρεία του.
  2. Προσομοιώσεις και αξιολόγηση αποτελεσματικότητας
    Περιοδικές δοκιμές (π.χ., tabletop exercises, walkthroughs, simulations) είναι απαραίτητες για την αξιολόγηση της ετοιμότητας του οργανισμού. Επίσης, εσωτερικοί και εξωτερικοί έλεγχοι μπορούν να διασφαλίσουν την αποτελεσματικότητα των εφαρμοζόμενων μέτρων.
  3. Συνεχής επικοινωνία και ενημέρωση
    Στο τελευταίο από τα ενδεικτικά βήματα, πρέπει να λάβουμε υπόψιν ότι οι κανονισμοί όπως και οι απειλές εξελίσσονται διαρκώς. Ο CISO πρέπει να δημιουργήσει μηχανισμούς συνεχούς επικοινωνίας τόσο με τη διοίκηση όσο και με τις επιχειρησιακές μονάδες για τη διατήρηση τόσο της συμμόρφωσης όσο και της ασφάλειας.

Η επιτυχής συμμόρφωση με την NIS 2 δεν αφορά μόνο την εφαρμογή τεχνικών μέτρων, αλλά και την ενσωμάτωση της ασφάλειας στις στρατηγικές αποφάσεις και στη συνολική κουλτούρα του οργανισμού. Έτσι, οι Υπεύθυνοι Ασφάλειας Πληροφοριών μπορούν να διασφαλίσουν ότι ο οργανισμός θα είναι ανθεκτικός στις σύγχρονες προκλήσεις κυβερνοασφάλειας.

 

Ας ολοκληρώσουμε τη συνέντευξη με κάτι που απασχολεί εξίσου έντονα όλη τη παγκόσμια κοινότητα του cyber security και δεν είναι άλλο από την επίδραση του AI & ML. Πως βλέπετε να διαμορφώνεται το πεδίο των απειλών αλλά και το αμυντικό οπλοστάσιο αξιοποιώντας όλα αυτά τα εργαλεία που φέρνει η τεχνητή νοημοσύνη σε όλες τις εκφάνσεις της;

Η τεχνητή νοημοσύνη (AI) και η μηχανική μάθηση (ML) διαμορφώνουν ριζικά το τοπίο της κυβερνοασφάλειας, εγκαινιάζοντας μια νέα εποχή και επηρεάζοντας τόσο το πεδίο των απειλών όσο και τις αμυντικές στρατηγικές. Η διττή τους φύση, ως μέσο για την ενίσχυση των κυβερνοεπιθέσεων αλλά και την ανάπτυξη καινοτόμων εργαλείων άμυνας, θέτει νέα δεδομένα για τον κλάδο.

Από την πλευρά των απειλών, το AI έχει ήδη δείξει τα δείγματα γραφής του και πιθανότατα αυτά είναι απλώς «τροχιοδεικτικά» της πορείας του. Αξιοποιείται ήδη από κακόβουλους παράγοντες για την αυτοματοποίηση, επιτάχυνση ή ενίσχυση των επιθέσεων. AI-powered επιθέσεις όπως αυτές του phishing και γενικότερα του social engineering, χρησιμοποιούν εξελιγμένους αλγορίθμους για την αναγνώριση στόχων, την ανάπτυξη εξατομικευμένων και αληθοφανών σεναρίων, καθώς και τη δημιουργία ψευδούς περιεχομένου, όπως βίντεο, εικόνες ή ηχητικά deepfakes, προκειμένου να πείσουν τα θύματα να εκτελέσουν συγκεκριμένες ενέργειες, όπως μεταφορές χρημάτων ή χορήγηση πρόσβασης. Επίσης το weaponization του AI, όπως η χρήση κακόβουλων GPT μοντέλων για τη δημιουργία εξελιγμένου κακόβουλου λογισμικού, ενισχύει τη δυνατότητα των επιτιθέμενων να παρακάμπτουν ανιχνευτικά συστήματα. Αν και πολλά από αυτά βρίσκονται ακόμα σε αναδυόμενο στάδιο, η δυναμική τους είναι ανησυχητική.

Στον αντίποδα, το AI και το ML προσφέρουν ισχυρά εργαλεία για την ενίσχυση της κυβερνοασφάλειας. Οι τεχνολογίες αυτές επιτρέπουν την προγνωστική ανάλυση και τον εντοπισμό απειλών, αναλύοντας τεράστιους όγκους δεδομένων σε πραγματικό χρόνο και εντοπίζοντας ανωμαλίες στη συμπεριφορά. Παράλληλα, προσφέρουν δυνατότητες αυτοματοποιημένης ανταπόκρισης σε περιστατικά, μειώνοντας τον χρόνο αντίδρασης. Οι οργανισμοί μπορούν επίσης να χρησιμοποιούν την AI για προσομοίωση επιθέσεων, βελτιώνοντας την ανθεκτικότητα των συστημάτων τους.

Και εδώ θα επιστρέψω για λίγο στην προηγούμενη ερώτησή σας και θα ήθελα να αναφέρω ότι το AI φέρνει επανάσταση και στο Threat Modeling, αυτοματοποιώντας τη διαδικασία εντοπισμού πιθανών αδυναμιών, προσφέροντας προβλέψεις για πιθανούς κινδύνους και προτείνοντας στοχευμένα μέτρα προστασίας. Ωστόσο, ο ανθρώπινος παράγοντας παραμένει ακόμα κρίσιμος για την αξιολόγηση και την εφαρμογή αυτών των προτάσεων.

H ανάπτυξη του ΑΙ και του ML συνοδεύεται από ηθικές και ρυθμιστικές προκλήσεις. Είναι απαραίτητο να καθοριστεί ένα σαφές ρυθμιστικό πλαίσιο που θα διασφαλίζει τη σωστή χρήση αυτών των τεχνολογιών, αποτρέποντας την κατάχρησή τους. Έχουν ήδη αρχίσει ήδη να γίνονται βήματα προς αυτή την κατεύθυνση, όπως είναι ο κανονισμός για την ΤΝ της ΕΕ (EU AI Act), που αποτελεί το πρώτο νομοθέτημα για την τεχνητή νοημοσύνη παγκοσμίως.

Συνολικά, η τεχνητή νοημοσύνη αναμένεται να αποτελέσει καταλύτη για την εξέλιξη της κυβερνοασφάλειας. Ωστόσο, οι δυνατότητες που παρέχει μπορούν να γίνουν εξίσου επικίνδυνες αν χρησιμοποιηθούν από κακόβουλους παράγοντες. Η ισορροπία μεταξύ των δύο αυτών δυνάμεων, σε συνδυασμό με τη συνεργασία δημόσιου και ιδιωτικού τομέα, θα καθορίσει το μέλλον. Οι οργανισμοί που θα επενδύσουν έγκαιρα στην εκπαίδευση, στη διαχείριση κινδύνων και στην αξιοποίηση αυτών των εργαλείων θα αποκτήσουν σημαντικό στρατηγικό πλεονέκτημα στον κυβερνοχώρο.

 

*Φωτογραφίες : Ηλιοστάλακτη Μεγαλιού.