Τι σημαίνει η έννοια κανονικότητα ή νέα πραγματικότητα, στο περιβάλλον όπως αυτό διαμορφώνεται σήμερα στην ασφάλεια πληροφοριών;
Του Νότη Ηλιόπουλου
MSc InfoSec, MSc MBIT, CISA, CISM, ISO27001 LA
Κανονικότητα και νέα πραγματικότητα: βαρύγδουπες, πολυσυζητούμενες, αλλά ουσιαστικά αόριστες έννοιες, οι οποίες χρησιμοποιούνται για να προσδιορίσουν και ταυτόχρονα να περιορίσουν την υπό συνεχή διαμόρφωση, σύγχρονη πραγματικότητα. Ενίοτε οι ως άνω έννοιες γίνονται εργαλείο στα χέρια επιτήδειων που προσπαθούν να οικειοποιηθούν κατευθύνσεις και λύσεις.
Αυτό ισχύει συχνά και στον ευρύτερο χώρο της Ασφάλειας Πληροφοριών, όρος που με τη σειρά του αντικαταστάθηκε από τον όρο Ασφάλεια Δικτύων και Συστημάτων, για να μετονομαστεί στη συνέχεια στην αμφισβητούμενης ορθότητας ισχύουσα Κυβερνοασφάλεια. Στη σύγχρονη εποχή ωστόσο, υπάρχουν λόγοι που επιβάλλουν να επιστρέψουμε στην αρχική έννοια της Ασφάλειας Πληροφοριών και ταυτόχρονα να την εξελίξουμε, προκειμένου να διαμορφώσουμε αποτελεσματικότερα τα μοντέλα και τις μεθοδολογίες εφαρμογής της.
Κατ’ αρχάς πρέπει να επισημανθεί ότι η ίδια η έννοια της κανονικότητας δεν υφίσταται πραγματικά, είτε λόγω της διαρκώς μεταβαλλόμενης ροής των δρώμενων σε παγκόσμιο επίπεδο. Ζούμε και θα συνεχίσουμε να ζούμε σε ένα περιβάλλον που αλλάζει διαρκώς και διέπεται από τις ακόλουθες διαπιστώσεις, που επηρεάζουν όχι μόνο τον τρόπο χρήσης της τεχνολογίας και των πληροφοριών, αλλά και τον τρόπο που οι άνθρωποι αντιλαμβάνονται την έννοια της Ασφάλειας των Πληροφοριών, αλλά και της ίδιας της Ασφάλειας εν γένει:
- Προσπάθεια για διαφοροποίηση με εφαλτήριο την καινοτομία σε συνδυασμό με την αυξημένη χρήση της τεχνολογίας
- Πολυφωνία και ελεύθερη έκφραση ιδεών
- Παγκόσμια οικονομική ύφεση και νέα γεωπολιτική αναδιάταξη ισορροπιών και συμμαχιών
- Συνεχής μάχη για τον έλεγχο της παραγωγής και της διακίνησης των πρώτων υλών, με αυξημένη χρήση νέων τεχνολογιών
- Παραπληροφόρηση και προπαγάνδα μέσω των πλατφορμών κοινωνικής δικτύωσης, αλλά και ευρείας έκταση διασπορά ψευδών ειδήσεων
- Έλλειψη ηγεσίας και αποτελεσματικής διακυβέρνησης
- Προσπάθεια για την επίτευξη στόχων και αποτελεσμάτων με τη λιγότερη δυνατή προσπάθεια
Το δυναμικά μεταβαλλόμενο επιχειρηματικό και τεχνολογικό περιβάλλον
Σε Επιχειρηματικό επίπεδο, η σύγκλιση του ψηφιακού, του εικονικού και του πραγματικού περιβάλλοντος, καθώς και η αυξημένη ψηφιακή διασυνδεσιμότητα και ο αυτοματισμός, διευρύνουν το πεδίο εφαρμογής των κινδύνων που άπτονται της Ασφάλειας και στους οποίους εκτίθενται οι επιχειρηματικοί πόροι. Το περιβάλλον αυτό, αναπόσπαστο μέρος του οποίου αποτελεί πλέον και η εξ’ αποστάσεως εργασία, με τη χρήση των απαιτούμενων για την υλοποίησή της διεργασιών και τεχνολογιών, είναι ξεκάθαρο ότι θα εδραιωθεί ως η νέα πραγματικότητα του μέλλοντος.
Τα βασικά χαρακτηριστικά του περιβάλλοντος αυτού σε σχέση με την Ασφάλεια Πληροφοριών, η οποία θα πρέπει να προσαρμοστεί, προκειμένου να τα αντιμετωπίσει αποτελεσματικά, είναι τα ακόλουθα:
- Ψηφιακός μετασχηματισμός και αυξημένη ψηφιακή διασυνδεσιμότητα
- Καινοτομία και ανάπτυξη, κυρίως μέσω του ψηφιακού μετασχηματισμού
- Οικονομία χωρίς σύνορα μέσω πλατφορμών και συνεργασιών για την από κοινού ανάπτυξη υπηρεσιών/προϊόντων
- Κουλτούρα επιχειρηματικής βιωσιμότητας και ανθεκτικότητας (enterprise resilience),
- Αυτοματοποίηση λειτουργικών και παραγωγικών επιχειρηματικών διεργασιών μέσω της χρήσης ψηφιακών τεχνολογιών
- Ευέλικτα, ελαστικά μοντέλα εργασίας και υιοθέτηση της εξ αποστάσεως εργασίας
- Ευέλικτα επιχειρηματικά μοντέλα με κυρίαρχο το μοντέλο της συνεργατικής και οικονομίας
Μη αποτελεσματική υλοποίηση σημαντικών δικλείδων ασφάλειας
Από τα παραπάνω γίνεται κατανοητό, ότι η σύγχρονη εποχή προσφέρει τεράστιες ευκαιρίες για ανάπτυξη του επιχειρηματικού περιβάλλοντος, για οικονομίες κλίμακας και για ενίσχυση της καινοτομίας. Ωστόσο, χωρίς την κατάλληλη προστασία του ευρύτερου ψηφιακού, εικονικού και φυσικού περιβάλλοντος, τόσο οι έξυπνες υποδομές, όσο και οι διασυνδεδεμένες συσκευές, τα συστήματα και οι εφαρμογές του λογισμικού, είναι ευάλωτα σε απειλές που αφορούν την ευρύτερη ασφάλειά τους.
Παρά το γεγονός ότι η ασφάλεια αποτελεί, συνειδητά πλέον, σημαντικό κομμάτι της επιχειρηματικής ανθεκτικότητας και βιωσιμότητας, διαπιστώνεται έλλειψη αποτελεσματικής εφαρμογής της. Τα παρακάτω αποτελούν παραδείγματα σημαντικών θεμάτων ασφάλειας, τα οποία πολλοί Οργανισμοί αποφεύγουν να λάβουν υπ’ όψη τους με τις εκ του γεγονότος αυτού αναπόφευκτες αρνητικές συνέπειες:,
- Εξωγενείς κίνδυνοι, οι οποίοι υφίστανται σε παγκόσμιο επίπεδο και επηρεάζουν άμεσα ή έμμεσα τον τρόπο διαχείρισης και εφαρμογής της ασφάλειας:
- Ασταθές γεωπολιτικό σκηνικό το οποίο περιλαμβάνει νέες ισορροπίες και συμμαχίες.
- Κίνδυνοι που απειλούν την οικονομική σταθερότητα και την κοινωνική συνοχή.
- Κλιματικές απειλές και ταχεία απώλεια βιοποικιλότητας.
- Συνέπειες του ψηφιακού κατακερματισμού, όπως ο άνισος καταμερισμός της δυνατότητας πρόσβασης στο διαδίκτυο, η έλλειψη ενός παγκόσμιου πλαισίου διακυβέρνησης της τεχνολογίας και οι αδυναμίες ασφάλειας στον κυβερνοχώρο.
- Ανεπάρκεια των υφιστάμενων συστημάτων υγείας. Οι ευπάθειες που προκύπτουν από την αλλαγή των κοινωνικών, περιβαλλοντικών, δημογραφικών και τεχνολογικών μοντέλων απειλούν τη δυνατότητα των υφιστάμενων συστημάτων υγείας να ανταποκριθούν στις ανάγκες που δημιουργούνται, σε συνδυασμό με την έλλειψη εμβολίων και φαρμάκων προς αντιμετώπιση των πανδημιών.
- Συγκεκριμένες απειλές ασφάλειας που αφορούν σε κάθε επαγγελματικό τομέα π.χ. Ναυτιλία, Υγεία, Τουρισμός, ώστε η αντιμετώπιση να επικεντρώνεται στους ξεχωριστούς για κάθε τομέα κινδύνους.
- Αναποτελεσματικότητα των μεθόδων ενημέρωσης και εκπαίδευσης του προσωπικού σε θέματα προστασίας των πληροφοριών που διαχειρίζονται.
- Έλλειψη πρόβλεψης στα πλάνα επιχειρηματικής συνέχειας των διεργασιών που θα επέτρεπαν στους Οργανισμούς να λειτουργήσουν για μεγάλο χρονικό διάστημα με προσωπικό ασφαλείας ή μέσω τηλεργασίας. Κίνδυνοι της ψηφιακής ασφάλειας που συνεπάγονται απειλές και στα συστήματα και τους μηχανισμούς φυσικής ασφάλειας, αλλά και αντίστροφα, αδυναμίες μηχανισμών και διαδικασιών φυσικής ασφάλειας πουεπηρεάζουν την ασφάλεια των πληροφοριών και των ψηφιακών υποδομών.
- Τα Συστήματα Ελέγχου Βιομηχανικής Παραγωγής (ICS), δεν ακολουθούν τους ίδιους κανόνες Ασφάλειας Πληροφοριών, σε σχέση με τις υπόλοιπες ψηφιακές υποδομές ενός Οργανισμού
- Διαχείριση περιστατικών που απειλούν την ασφάλεια και την επιχειρησιακή συνέχεια ενός οργανισμού μέσω ξεχωριστών διαδικασιών και δίχως κεντρικό συντονισμό
- Ψηφιακός μετασχηματισμός δίχως αναδιαμόρφωση των διεργασιών που αυτοματοποιούνται, παρά απλή μεταφορά των υπαρχουσών διεργασιών στο ψηφιακό περιβάλλον
- Μη αποτελεσματική διαχείριση της ιδιωτικότητας και της ασφάλειας των προσωπικών δεδομένων.
- Κανονιστική συμμόρφωση με τη λιγότερη δυνατή προσπάθεια και δίχως να ενσωματωθεί στις λειτουργικές διεργασίες του Οργανισμού.
- Απουσία συγκροτημένης και ολιστικής διαδικασίας διαχείρισης των κινδύνων ασφάλειας.
- Προσδιορισμός των ιδιαίτερα σημαντικών εκείνων σημείων (διαδικασίες, εργαζόμενοι, τεχνολογίες) που μπορούν να επηρεάσουν την επιχειρηματική συνέχεια του Οργανισμού σε περίπτωση δυσλειτουργίας ή απώλειας του επιθυμητού επίπεδου ασφάλειας.
- Πρόβλεψη και συγκεκριμένος τρόπος δράσης αναφορικά με διεργασίες οι οποίες δεν είναι εφικτό να πραγματωθούν με εξ’ αποστάσεως εργασία.
Σε περιόδους απότομων και δραστικών αλλαγών στο εκάστοτε λειτουργικό περιβάλλον, τα παραπάνω δρουν εκθετικά, επιβαρύνοντας ακόμη περισσότερο την κατάσταση και προσθέτουν επιπλέον κινδύνους οι οποίοι είναι θέμα χρόνου να εκδηλωθούν. Πολλά ήταν τα σχετικά παραδείγματα κατά τη διάρκεια των τελευταίων μηνών με αφορμή την πανδημία και την αυξημένη ανάγκη για συνεχόμενη λειτουργία και εξ αποστάσεως εργασία. Τα πραγματικά, ωστόσο, αποτελέσματα και οι επιπτώσεις που αφορούν στην ασφάλεια και την επιχειρησιακή συνέχεια θα γίνουν πλήρως αντιληπτά το επόμενο διάστημα .
Κίνδυνοι ασφάλειας συνυφασμένοι με την εξ’ αποστάσεως εργασία
Το καθεστώς της εξ’ αποστάσεως εργασίας, είναι εξ’ ορισμού συνυφασμένο με κινδύνους που αφορούν στην ασφάλεια των δεδομένων και των ψηφιακών υποδομών, στη φυσική ασφάλεια, αλλά και στην επιχειρηματική συνέχεια ενός Οργανισμού.
Οι παρακάτω παράμετροι είναι σκόπιμο να λαμβάνονται υπ’ όψη κατά τη διαδικασία αξιολόγησης κινδύνων:
- Μεγάλο μέρος του προσωπικού το οποίο εργάζεται εξ αποστάσεως, ενδέχεται να μην είναι εξοικειωμένο με τη χρήση της νέας τεχνολογίας και μάλιστα για τόσο μεγάλο χρονικό διάστημα.
- Η ανάγκη αύξησης του εύρους ζώνης του δικτύου (bandwidth), ενδέχεται να απαιτεί από τους Οργανισμούς την απενεργοποίηση κάποιων τεχνικών μέτρων ασφάλειας του δικτύου τους. Επαναπροσδιορισμός του τι θεωρείται ασυνήθιστη δραστηριότητα τόσο σε επίπεδο ψηφιακών συστημάτων όσο και σε επίπεδο φυσικής πρόσβασης (εξ αποστάσεως εργασία, διαφορετικά ωράρια εργασίας, κτλ).
- Ελαστικότητα και μεγαλύτερη ανοχή στα μέτρα ασφάλειας για τις ς φορητές ηλεκτρονικές συσκευές, μιας και αρκετοί εργαζόμενοι χρησιμοποιούν τις προσωπικές τους συσκευές.
- Προσαρμογή και αναθεώρηση των πολιτικών που αφορούν στη χρήση καμερών και μικροφώνων, λόγω της αύξησης των τηλεδιασκέψεων .
- Συνεργασία με μεγαλύτερο του συνηθισμένου αριθμό εξωτερικών συνεργατών, οι οποίοι δεν έχουν προηγουμένως δοκιμασθεί στη παροχή των υπηρεσιών τους σε συνεχή βάση.
- Μεγάλο μέρος του προσωπικού ενδέχεται να τεθεί αναγκαστικά σε άδεια, που μπορεί να προκαλέσει δυσαρέσκεια και μη αναμενόμενη συμπεριφορά,
- Μειωμένης αξιοπιστίας και ασφάλειας συνδέσεις στο Διαδίκτυο
- Επιθέσεις μέσω χρήσης τεχνικών κοινωνικής μηχανικής κατά εργαζομένων και μελών της οικογένειάς τους.
- Λάθη που προκύπτουν κατά τη καθημερινή εργασία λόγω των νέων και άγνωστων μέχρι τώρα, ροών εργασίας.
- Η εξ αποστάσεως εκτέλεση ορισμένων διεργασιών συνεπάγεται, λόγω της φύσης τους, αυξημένη επικινδυνότητα. Ως εκ τούτου, απαιτείται να έχουν ρητά προσδιοριστεί ποιες διεργασίες μπορούν να ενταχθούν στο καθεστώς της απομακρυσμένης εργασίας, ποιοι είναι οι κίνδυνοι που προκύπτουν εκ του λόγου αυτού και ποιοι τελικά από αυτούς γίνονται αποδεκτοί από τη Διοίκηση του Οργανισμού.
Ολιστική προσέγγιση στη διαχείριση κινδύνων και δικλείδων ασφάλειας
Στο νέο διασυνδεδεμένο περιβάλλον, στο οποίο επιτυγχάνεται η σύγκλιση του ψηφιακού, εικονικού και φυσικού κόσμου, οι απειλές που αφορούν στην ασφάλεια των πληροφοριών υπερβαίνουν τις τυπικές απειλές που προκύπτουν από τη λειτουργία των πληροφοριακών συστημάτων. Κατ’ επέκταση, η πληροφορία αντιμετωπίζεται πλέον ως πραγματικό περιουσιακό στοιχείο και ως σημαντικό συστατικό της καινοτομίας και της ανάπτυξης. Ταυτόχρονα, η ασφάλεια των ψηφιακών υποδομών είναι αναγκαία για τη μεγιστοποίηση της αξιοπιστίας των ψηφιακών μηχανισμών που υποστηρίζουν λειτουργικές διεργασίες, αλλά και διεργασίες φυσικής ασφάλειας. Είναι επίσης γεγονός ότι μια συνδυασμένη επίθεση στο σύνολο των υποδομών ενός Οργανισμού μέσω της εκμετάλλευσης αδυναμιών τους στο επίπεδο τόσο της φυσικής όσο και της ψηφιακής τους ασφάλειας, μπορεί να προκαλέσει ανυπολόγιστη ζημία στον Οργανισμό.
Είναι αναγκαίο να μετεξελιχθεί η Ασφάλεια σε μία ολιστική διεργασία διαχείρισης αφενός των κινδύνων που απειλούν την προστασία των πληροφοριών, όπου και αν αυτές βρίσκονται και την αξιοπιστία του ψηφιακού λειτουργικού περιβάλλοντος, και αφετέρου των κινδύνων που άπτονται της φυσικής ασφάλεια και της επιχειρηματικής συνέχειας. Ο κίνδυνος, ανεξάρτητα από το αν προέρχεται από φυσική, λογική ή ψηφιακή αδυναμία της ασφάλειας, θα πρέπει να εκφράζεται με κατανοητούς όρους και να γίνεται αντικείμενο ολιστικής διαχείρισης.
Σύγκλιση διεργασιών ασφάλειας και επιχειρηματικής συνέχειας
Η εν λόγω προσέγγιση – σύγκλιση ψηφιακής, φυσικής ασφάλεια και της επιχειρηματικής συνέχειας – έχει ως συνέπεια τη συγκέντρωση πολλών από τις δραστηριότητες που απαντώνται στον ευρύτερο τομέα της ασφάλειας και της επιχειρηματικής συνέχειας και βασίζεται σε μεγάλο βαθμό στην ικανότητα διασύνδεσης ευρύτερων πτυχών τους, με στόχο την ολιστική διαχείριση των κινδύνων και των περιστατικών ασφάλειας.
Πρόκειται ουσιαστικά για δραστηριότητες με αρκετά κοινά χαρακτηριστικά με αποτέλεσμα να μην είναι πάντα εφικτή η διάκριση μεταξύ φυσικών, εικονικών και ψηφιακών περιστατικών ασφάλειας και απειλής της επιχειρηματικής συνέχειας, ενώ και ο τρόπος αντιμετώπισής τους ομοίως εμφανίζει εν πολλοίς κοινά χαρακτηριστικά.
Η αντιμετώπιση της φυσικής ασφάλειας και της ασφάλειας πληροφοριών ως ενιαίων και αλληλένδετων διεργασιών, σε συνδυασμό και με την επιχειρηματική συνέχεια και η τοποθέτησή τους κάτω από την ίδια οργανωτική δομή, δημιουργεί μια κουλτούρα ευαισθητοποίησης και λογοδοσίας στα θέματα αυτά. Σε κάθε περίπτωση, πρέπει να γίνει κατανοητό ότι κάθε τομέας μπορεί και πρέπει να κατανοήσει και να υιοθετήσει τα εργαλεία του άλλου (τεχνολογία, διαδικασίες, λογική προσέγγιση), προκειμένου να καταστεί δυνατή η ανάπτυξη ολοκληρωμένων δυνατοτήτων πρόληψης και ταυτοποίησης των περιστατικών, αλλά και αποτελεσματικής αντιμετώπισής τους, λαμβάνοντας πάντα υπόψη τις ανάγκες και την πολυπλοκότητα του σύγχρονου εταιρικού περιβάλλοντος.
Νέα προσέγγιση με γνώμονα την αποτελεσματικότητα
Στο ψηφιακό περιβάλλον η έννοια της κανονικότητας είναι τελικά άγνωστη, αφού οι εξελίξεις είναι ραγδαίες και δίχως κανόνες, ενώ καλούμαστε να υπηρετήσουμε συνεχώς μεταβαλλόμενες επιχειρηματικές απαιτήσεις. Το ίδιο ισχύει, σε παγκόσμιο επίπεδο, και για τους κινδύνους οι οποίοι επηρεάζουν τη λειτουργία και τη βιωσιμότητα των Οργανισμών που χρησιμοποιούν με αυξανόμενους ρυθμούς την τεχνολογία ως μέσο επίτευξης των στόχων τους.
Ο επιβαλλόμενος ψηφιακός μετασχηματισμός διαμορφώνει ένα περιβάλλον, στο οποίο οι κύριες λειτουργικές διεργασίες ενός Οργανισμού είτε αυτοματοποιούνται πλήρως είτε διενεργούνται κάνοντας αυξημένη χρήση της τεχνολογίας. Κατ’ αυτόν τον τρόπο, οι ευρύτεροι κίνδυνοι που αφορούν στη βιωσιμότητα ενός Οργανισμού, σχετίζονται, σε μεγάλο βαθμό με την εκμετάλλευση των αδυναμιών της τεχνολογίας. Ταυτόχρονα, χρειάζεται ιδιαίτερη προσοχή στη διαχείριση των κινδύνων που προέρχονται από εξωγενείς απειλές, αφού στο επιχειρηματικό λειτουργικό περιβάλλον, ο φυσικός, ο εικονικός και ο ψηφιακός κόσμος αλληλεπιδρούν, προκαλώντας αυξημένη πολυπλοκότητα.
Η εφαρμογή της νέας προσέγγισης απαιτεί τη δημιουργία ενός πλαισίου ολιστικής προσέγγισης για την ασφάλεια και την επιχειρηματική συνέχεια. Το πώς ο κάθε οργανισμός θα δομήσει το συγκεκριμένο πλαίσιο που θα καλύπτει τις δικές του ανάγκες, εξαρτάται από το επιχειρηματικό και τεχνολογικό περιβάλλον στο οποίο έχει επιλέξει να λειτουργεί, αλλά και από τον βαθμό ωριμότητας, την κουλτούρα και την προσέγγιση που υιοθετεί απέναντι στην Επιχειρηματική βιωσιμότητα και την ανθεκτικότητα. Οι παράγοντες αυτοί καθορίζουν τελικά και το πότε ο Οργανισμός θα είναι έτοιμος για το επόμενο βήμα, το οποίο αφορά στη σύγκλιση των διεργασιών Φυσικής Ασφάλειας, Ψηφιακής Ασφάλειας, Ασφάλειας Πληροφοριών (Security Resilience) και Επιχειρηματικής Συνέχειας, ώστε οι κίνδυνοι που αφορούν την ασφάλεια και τη συνέχιση των εργασιών, να ελέγχονται και να αντιμετωπίζονται ολιστικά.