Ενόψει της 3ης διοργάνωσης του AthCon που θα πραγματοποιηθεί φέτος 3 & 4 Μαΐου στην Αθήνα, ο ένας εκ των δυο ιδρυτικών μελών, κ. Χρήστος Παπαθανασίου, ο οποίος εργάζεται ως υπεύθυνος Ασφάλειας πληροφοριών στην Royal Bank of Scotland, μας απαντάει σε σημαντικά και επίκαιρα ερωτήματα που απασχολούν τους επαγγελματίες του χώρου της ασφάλειας πληροφοριών.
Με βάση την εμπειρία σας, θα μπορούσατε να ιεραρχήσετε τους μεγαλύτερους κινδύνους που απειλούν σήμερα την ασφάλεια των πληροφοριών και γενικότερα τα δίκτυα των Οργανισμών στο χρηματοοικονομικό τομέα;
Ο τραπεζικός τομέας είναι ένας τομέας που σε σχέση με άλλους επενδύει παραδοσιακά σ’ αυτό που ονομάζεται ασφάλεια πληροφοριακών συστημάτων. Οι επενδύσεις αυτές είναι σε επίπεδο προσωπικού, διαδικασιών και τεχνολογίας.
Οι απειλές είναι ορατές και το νομοθετικό/ ρυθμιστικό πλαίσιο που καλύπτει τα χρηματοοικονομικά ιδρύματα σε μεγάλο βαθμό επιβάλλει να λαμβάνονται οι σωστές προφυλάξεις και να τοποθετούνται οι σωστές δικλείδες ασφαλείας. Επιβάλλεται επίσης αυτές οι δικλείδες ασφαλείας να ελέγχονται σε τακτά χρονικά διαστήματα για να διαπιστωθεί η αποτελεσματικότητά τους.
Τα τελευταία χρόνια παρατηρείται το φαινόμενο των phishing scams. Αυτές οι απάτες στοχεύουν να υποκλέψουν τα στοιχεία της πιστωτικής κάρτας των καταναλωτών και μετέπειτα να τα χρησιμοποιήσουν για να αγοράσουν online ηλεκτρονικές συσκευές μεγάλης αξίας. Οι ‘crackers’ εχουν αλλάξει δηλαδή την τακτική τους – από το να πηγαίνουν στην τράπεζα με ‘όπλο’ και να ζητάνε τα χρήματα από την ταμία με κίνδυνο να τους δει το κύκλωμα κλειστής τηλεόρασης CCTV, να τους συλλάβει ο φύλακας κ.λπ., στο να τη στήνουν απέξω και να κλέβουν τους πελάτες καθώς εισέρχονται, μακριά απ’ όλες αυτές τις δικλείδες ασφαλείας. Θα μπορούσαμε κάλλιστα να το θεωρήσουμε σαν ένα αντάρτικο, το οποίο με ασύμβατα μέσα, στην πραγματικότητα επιτυγχάνει ακριβώς το ίδιο αποτέλεσμα.
Ποιες είναι λοιπόν οι προκλήσεις που έχουν να αντιμετωπίσουν όσοι εργάζονται στα τμήματα IT ασφάλειας των τραπεζικών Οργανισμών – και όχι μόνο;
Τι τεχνολογικά μέσα έχουν στη διάθεσή τους για να προστατεύσουν τα κρίσιμα δεδομένα και ποιες είναι οι βασικές πολιτικές που πρέπει να εφαρμόζουν;
Οι προκλήσεις επικεντρώνονται γύρω από δύο κολώνες – η μία είναι ο Οργανισμός να είναι σύμφωνος με όλα τα νομικά και ρυθμιστικά διατάγματα στα οποία υπόκειται, π.χ. PCI DSS, Sarbanes Oxley, Gramm Leach Bliley, Data Protection act κ.λπ.
Η δεύτερη πρόκληση είναι να προστατεύεις τον Οργανισμό σου από ένα συνεχώς μεταβαλλόμενο τοπίο απειλών. Σήμερα αυτό συμπεριλαμβάνει ένα πολύ ευρύ φάσμα ενεργειών, που στόχο έχουν να αποτρέψουν μια τέτοια ενέργεια. Οι τράπεζες πλέον δημιουργούν εσωτερικές υπηρεσίες πληροφοριών, οι οποίες διεξάγουν έρευνα (open source intelligence) και παρακολουθούν από πολύ κοντά τα διάφορα blogs, IRC, pastebin κ.λπ., όπου θα μπορούσε να αναφερθεί το όνομά τους ως στόχος μιας επικείμενης επίθεσης. Στήνονται εσωτερικές ομάδες ‘Penetration Testing’ οι οποίες ελέγχουν όλα τα websites του Οργανισμού για τρωτά σημεία ασφάλειας, που θα μπορούσαν να βοηθήσουν έναν cracker να αλλοιώσει μία σελίδα ή να αποκτήσει πρόσβαση στο εσωτερικό δίκτυο της τράπεζας. Μετέπειτα αυτά τα τρωτά σημεία διορθώνονται τυχαία και έτσι ελαττώνεται η έκθεση του Οργανισμού σε κίνδυνο.
Γίνονται εσωτερικά σεμινάρια/ εκπαίδευση και ευαισθητοποίηση στους εργαζόμενους, σχετικά με τις πολιτικές ασφάλειας του Οργανισμού και συνεχής αξιολόγηση και επανεπιμόρφωση αν έχουν ξεχαστεί οι πολιτικές ή όχι.
Όπως όλοι παρακολουθούμε, οι επιθέσεις hacking των Anonymous αυξάνονται διαρκώς. Το φαινόμενο μπορεί να έχει και κοινωνική διάσταση, αλλά ταυτόχρονα αποτελεί και μεγάλο μπελά για τα τμήματα ασφάλειας μεγάλων κρατικών Οργανισμών. Ποια είναι τα χαρακτηριστικά των συγκεκριμένων επιθέσεων και γιατί σχεδόν πάντα βρίσκονται ένα βήμα μπροστά από τους ανθρώπους της ασφάλειας;
Σχεδόν πάντα βρίσκονται ένα βήμα μπροστά, επειδή σαν επαγγελματίες της ασφάλειας συνήθως δεν έχουμε άλλη επιλογή από το να προστατεύουμε με το ένα χέρι πίσω από την πλάτη – όχι επειδή δεν γνωρίζουμε πώς να αποτρέψουμε τέτοιου είδους επιθέσεις, αλλά επειδή δεν μπορούμε να κάνουμε προσπάθειες διείσδυσης χρησιμοποιώντας τις ίδιες τεχνικές, καθώς επιβάλλονται περιορισμοί από τους ίδιους τους Οργανισμούς που προστατεύουμε.
Αυτοί οι περιορισμοί έχουν να κάνουν π.χ. με τη διαθεσιμότητα των συστημάτων που ελέγχουμε, με διαθέσιμα κονδύλια, με πολιτικές του τμήματος ανθρώπινου δυναμικού, π.χ. σε πολλούς Οργανισμούς δεν επιτρέπεται να γίνουν δοκιμές αν ο Οργανισμός είναι προστατευμένος εναντίον social engineering attacks, γιατί ευλόγως υπάρχουν ευαισθησίες στο να στέλνονται δοκιμαστικά mail σε καίρια πρόσωπα της επιχείρησης, προσπαθώντας να τους υποκλέψουν τους κωδικούς. Όμως, αν δεν κάνουμε εμείς αυτές τις δοκιμές – που η δουλειά μας είναι να προστατέψουμε την επιχείρηση από τέτοιου είδους επιθέσεις – αφήνονται κενά, τεράστια κενά όχι μόνο από τεχνολογικής άποψης, αλλά και από πλευράς επίγνωσης (awareness) και από πλευράς ασφαλούς διαχείρισης τέτοιου είδους περιστατικών.
Οι τεχνικές που χρησιμοποιούν οι Anonymous είναι βασικές από τεχνικής πλευράς, αλλά στοχεύουν αυτά τα κενά που προανέφερα, όπου πολλοί Οργανισμοί δεν θέλουν ή δεν μπορούν για τον άλφα ή βήτα λόγο να προστατέψουν. Πάντα διαλέγουν τους στόχους τους για να μεγαλοποιούν το PR στα media που θα αποφέρει κάθε επίθεση και δημιουργούν ένα είδος ψυχολογικού πολέμου. Βέβαια, αυτό μετέπειτα οδηγεί και ταράζει τα λιμνάζοντα νερά και επιτυγχάνει μία ώθηση να αποδεσμευτούν κονδύλια, να γίνουν τέτοιου είδους δοκιμασίες σε στυλ ‘Anonymous’ και να τοποθετηθούν οι κατάλληλες δικλείδες ασφαλείας – αλλά το σωστό θα ήταν αυτό να γινόταν προαιρετικά, παρά αντιδραστικά, για να μη φτάνουμε ως εδώ.
Στις 3 & 4 Μαΐου θα διεξαχθεί για ακόμα μία φορά στην Αθήνα, το AthCon, του οποίου είστε ένα από τα δύο ιδρυτικά μέλη. Τι μπορούμε να περιμένουμε από τη φετινή εκδήλωση;
Φέτος σαν 3η συνεχή χρονιά που διεξάγεται το AthCon, καταφέραμε και θα φέρουμε κορυφαίους ερευνητές του IT Security, όπως για παράδειγμα τον Nikolao Rango ή αλλιώς kingcope, έναν από τους πιο διάσημους ερευνητές παγκοσμίως, που θα μας μιλήσει για 0day exploit development. Ο σκοπός του AthCon είναι να ενημερώνουμε τους Έλληνες ΙΤ security managers και επαγγελματίες του χώρου, για τις πραγματικές απειλές που αντιμετωπίζουν.
Συνέντευξη με τον Χρήστο Παπαθανασίου