Βρεθήκαμε στο Λονδίνο, στο μεγαλύτερο ραντεβού των επαγγελματιών της Ασφάλειας των Πληροφοριών, παρακολουθήσαμε άκρως ενδιαφέρουσες παρουσιάσεις και ομιλίες, συνομιλήσαμε με σημαντικούς ανθρώπους του χώρου και θα προσπαθήσουμε να μοιραστούμε μαζί σας τα συμπεράσματά μας, στο ρεπορτάζ που ακολουθεί
Στην επαγγελματική διαδρομή κάθε δημοσιογράφου υπάρχουν σίγουρα κάποιες στιγμές που θεωρούνται ξεχωριστές όσον αφορά στη συλλογή εμπειριών γύρω από το αντικείμενο στο οποίο ειδικεύεται. Μία από αυτές, ήταν σίγουρα για μας η συμμετοχή στο RSA CONFERENCE EUROPE 2009 που διεξήχθη από 20 έως 22 Οκτωβρίου στο Λονδίνο.
Πρόκειται για ένα κορυφαίο συνέδριο με αντικείμενο την Ασφάλεια των Πληροφοριών, που κάθε χρόνο προσελκύει εκατοντάδες επαγγελματίες από όλο τον κόσμο, οι οποίοι για τρεις μέρες έχουν την ευκαιρία να παρακολουθήσουν δεκάδες παρουσιάσεις και ομιλίες από σημαντικούς ανθρώπους του χώρου, να συζητήσουν για όλες τις εξελίξεις στο κρίσιμο αυτό αντικείμενο της προστασίας των πληροφοριών, καθώς και να εξετάσουν προοπτικές εμπορικών συνεργασιών.
Το RSA CONFERENCE, την ευθύνη διοργάνωσης του οποίου έχει η RSA – εταιρεία που αποτελεί το τμήμα εφαρμογών ασφάλειας της EMC – έχει ιστορία 19 χρόνων. Συγκεκριμένα, ξεκίνησε το 1991σαν ένα Φόρουμ επαγγελματιών της κρυπτογραφίας, όπου οι συμμετέχοντες συζητούσαν και αναδείκνυαν την τεχνογνωσία γύρω από τη συγκεκριμένη επιστήμη και τις εφαρμογές της. Στην πορεία όμως, μετεξελίχθηκε σε ένα κορυφαίο παγκόσμιο ραντεβού των επαγγελματιών στον τομέα της Ασφάλειας των Πληροφοριών, το οποίο, δεν θα ήταν υπερβολή να ισχυριστούμε ότι καθορίζει σε μεγάλο βαθμό την ατζέντα των θεμάτων και των εξελίξεων που συμβαίνουν στο χώρο.
Το συνέδριο διεξάγεται 2 φορές κάθε χρόνο, μία στις Ηνωμένες Πολιτείες (RSA CONFERENCE USA) και μία στην Ευρώπη – και συγκεκριμένα στο Λονδίνο (RSA CONFERENCE EUROPE). Ταξιδέψαμε λοιπόν στο Λονδίνο και μέσα από τις επόμενες σελίδες θα προσπαθήσουμε να μεταφέρουμε τις εντυπώσεις μας, καθώς και κάποια σημαντικά στοιχεία από τη φετινή εκδήλωση. Ενώ παράλληλα δημοσιεύουμε τρεις συνεντεύξεις από σημαντικά στελέχη της RSA, που είχαμε την ευκαιρία να συναντήσουμε κατά την παραμονή μας στην πρωτεύουσα της Αγγλίας.
Καταρχήν, από την πρώτη κιόλας επαφή με το χώρο του συνεδρίου, που ήταν το ξενοδοχείο Hilton London Metropole, αντιλαμβανόμαστε ότι τα ποσοτικά και ποιοτικά χαρακτηριστικά είναι τελείως διαφορετικά από όλα τα events τεχνολογίας που έχουμε παρακολουθήσει στην Ελλάδα, χωρίς να θέλουμε σε καμία περίπτωση να υποτιμήσουμε τις φιλότιμες προσπάθειες που γίνονται και στη χώρα μας. Απλά, τα μεγέθη είναι σίγουρα πολύ διαφορετικά σε όλα τα επίπεδα. Από οργανωτικής άποψης και εξυπηρέτησης των συμμετεχόντων αλλά και των ανθρώπων του Τύπου, όλα ήταν ιδανικά και αυτό ήταν αποτέλεσμα του πολύ μεγάλου αριθμού ανθρώπων που εργάζονταν σε αυτόν τον τομέα, προκειμένου όλα να είναι στην εντέλεια, καθώς και του άψογου επαγγελματισμού που τους διακρίνει.
Ας παραθέσουμε όμως συνοπτικά, κάποια βασικά σημεία όλων όσα παρακολουθήσαμε κατά τη διάρκεια των εκδηλώσεων του συνεδρίου. Η έναρξη, αλλά και οι βασικές ομιλίες του συνεδρίου πραγματοποιήθηκαν στην κεντρική μεγάλη αίθουσα του ξενοδοχείου, χωρητικότητας 1600 ατόμων (King’s Suite).
Κάθε διοργάνωση του RSA CONFERENCE ήταν αφιερωμένη σε ένα θέμα που αντλείται από κάποιο ιστορικό παράδειγμα ή πρόσωπο, που έχει διαχρονικά επηρεάσει με κάποιον τρόπο την έννοια της Ασφάλειας των Πληροφοριών. Η φετινή εκδήλωση λοιπόν, ήταν αφιερωμένη στον Edgar Allan Poe (1809-1849), διάσημο συγγραφέα που είχε πάθος με την κρυπτογραφία, την οποία μάλιστα χρησιμοποιούσε στην αρθρογραφία και στα λογοτεχνικά του έργα. Άλλωστε, σε ένα από τα γνωστότερα μυθιστορήματά του με τίτλο «Χρυσός Σκαραβαίος» επικεντρώνεται στην επίλυση ενός γρίφου που αποκαλύπτει έναν κρυμμένο θησαυρό. Στην έναρξη λοιπόν του συνεδρίου προβλήθηκε ένα βίντεο – αφιέρωμα στο σπουδαίο αυτό συγγραφέα και το πώς το έργο του και οι εν γένει δραστηριότητές του, επηρέασαν ιστορικά την εξέλιξη της κρυπτογραφίας.
Η εναρκτήρια ομιλία του συνεδρίου έγινε από τον Αντιπρόεδρο της EMC και Πρόεδρο της RSA, Art Coviello (φωτογραφία 1) που περιέγραψε συνοπτικά την επιρροή της τεχνολογίας της πληροφορικής παγκοσμίως, σήμερα, αναδεικνύοντας τον κρίσιμο ρόλο της ασφάλειας. Χαρακτηριστικά, ανέφερε ότι αυτήν τη στιγμή πάνω από 15 δισεκατομμύρια υπολογιστικά συστήματα επικοινωνούν μεταξύ τους, ενώ υπήρχε πρόβλεψη ότι οι χρήστες του facebook μέχρι τέλος του 2009 θα ανέρχονταν στα 300 εκατομμύρια, αποδεικνύοντας έτσι έμπρακτα την αποδοχή που γνωρίζουν τα μέσα κοινωνικής δικτύωσης. Επιπρόσθετα επισήμανε ότι όλες πλέον οι πληροφορίες ψηφιοποιούνται είτε στο αρχικό τους στάδιο είτε λίγο αργότερα, ενώ καθαρά σε εταιρικό περιβάλλον η υιοθέτηση ΙΤ υπηρεσιών μέσω cloud computing θα αυξάνεται συνεχώς και πολύ πιθανόν τα επόμενα χρόνια να καλύψει πάνω από το 25 % του συνολικού κόστους για ΙΤ υποδομές. Κλείνοντας την ομιλία του, ο Art Coviello τόνισε ότι η βιομηχανία της Ασφάλειας των Πληροφοριών έχει να αντιμετωπίσει μία μεγάλη πρόκληση, που είναι να ενδυναμώσει όλες αυτές τις διαφορετικές ΙΤ υπηρεσίες, έτσι ώστε να δημιουργηθεί ένα κλίμα εμπιστοσύνης από όλες τις πλευρές.
Το λόγο στη συνέχεια πήρε ο Αντιπρόεδρος της RSA, Chris Young, που μίλησε για την ανάγκη επαναπροσδιορισμού των πολιτικών ασφάλειας, λαμβάνοντας υπόψη το νέο τοπίο έτσι όπως διαμορφώνεται μέσα από τις νέες οικονομικές, κοινωνικές και πολιτικές συνθήκες. Έδωσε βάση στην αλλαγή φιλοσοφίας της υλοποίησης των υποδομών, με την υιοθέτηση των virtual data centres και τις αυξημένες ανάγκες προστασίας. Αναφέρθηκε, στην ανάγκη για μία στρατηγική προσανατολισμένη στα συστήματα, έτσι ώστε όλα τα προϊόντα που αποτελούν μια ΙΤ πλατφόρμα να μπορούν να λειτουργούν αρμονικά.
Ο επόμενος ομιλητής, Herbert Thompson, Ph.D (Επικεφαλής Στρατηγικού Σχεδιασμού Ασφάλειας, People Security) ξεχώρισε ιδιαίτερα για τον εντυπωσιακά επικοινωνιακό τρόπο της παρουσίασής του και αναφέρθηκε στην ευρύτητα των κινδύνων που υπάρχουν από τα εκτεθειμένα προσωπικά δεδομένα στο διαδίκτυο και σε άλλες πηγές. Για να στοιχειοθετήσει το μέγεθος του προβλήματος, αναφέρθηκε σε συγκεκριμένα παραδείγματα που αφορούσαν και δημοφιλή πρόσωπα, των οποίων πολλά προσωπικά δεδομένα βρίσκονται δημοσιοποιημένα σε ιστοσελίδες όπως το Wikipedia. Σύμφωνα με τον Herbert Thompson υπάρχουν μερικοί τύποι στοιχείων που κάποιοι μπορούν να θεωρήσουν ότι δεν έχουν καμία αξία, όπως το αγαπημένο χρώμα ή το όνομα του κατοικίδιου ζώου της παιδικής ηλικίας τους. Πολλοί μπορούν να δώσουν τα στοιχεία αυτά ελεύθερα, μέσω των δικτύων κοινωνικής συνεύρεσης, χωρίς να αντιλαμβάνονται ότι αυτά τα στοιχεία μπορούν να αποτελέσουν πύλη για πρόσβαση σε κρισιμότερες πληροφορίες.
Στο ίδιο μήκος κύματος, δηλαδή την ανάγκη προάσπισης της ιδιωτικότητας στο διαδίκτυο, κινήθηκε και η πρώτη βασική ομιλήτρια της δεύτερης μέρας του συνεδρίου, Amy Barzdukas (φωτογραφία 2) General Manager, Internet Explorer and Consumer Security, Microsoft Corp. η οποία ανέλυσε τις δυνατότητες και το ρόλο που καλούνται να παίξουν οι browsers στην online ασφάλεια. Παράλληλα, αναφέρθηκε στην έννοια «consumerization», ένα νεολογισμό που επινοήθηκε προκειμένου να περιγράψει την τάση που επικρατεί σε πολλές επιχειρήσεις τεχνολογίας να παρέχουν νέες καινοτομικές τεχνολογίες απευθείας στην καταναλωτική αγορά, προτού απευθυνθούν σε επιχειρηματικές αγορές. Με ιδιαίτερο ενδιαφέρουν παρακολουθήσαμε στη συνέχεια την ομιλία του Keith Mularski, ειδικού πράκτορα του FBI για θέματα ηλεκτρονικού εγκλήματος, ο οποίος ιεράρχησε τους κινδύνους που υπάρχουν στο διαδίκτυο, κατηγοριοποιώντας τα botnets και επισημαίνοντας την έξαρση του φαινόμενου των πλαστών προγραμμάτων antivirus. Επίσης τόνισε ιδιαίτερα την ανάγκη διεθνούς συνεργασίας για την ανταλλαγή πληροφοριών μεταξύ όλων των υπηρεσιών που ασχολούνται με το ηλεκτρονικό έγκλημα, αλλά και των επιχειρήσεων, προκειμένου να μειωθεί ο χρόνος των ερευνών κάθε υπόθεσης και να αυξηθούν οι πιθανότητες διαλεύκανσης.
Κατά το τριήμερο του RSA CONFERENCE EUROPE 2009, εκτός από τις βασικές ομιλίες έλαβάν χώρα πάνω από 70 παρουσιάσεις από 10 θεματικές ενότητες με τεχνολογική και εμπορική απήχηση, από ομιλητές που προέρχονταν από το στελεχιακό δυναμικό εταιρειών του χώρου, αλλά και ανεξάρτητων Οργανισμών.
Οι βασικές θεματικές ενότητες κάλυπταν αντικείμενα όπως: Εφαρμογές & Ανάπτυξη, Επιχειρηματικότητα της Ασφάλειας, Στρατηγικές, Έρευνες και Τάσεις, Κυβερνητικές Πολιτικές, Τεχνολογικές Εξελίξεις, Υπηρεσίες Ασφάλειας κ.ά. Παρακολουθώντας ορισμένες από αυτές τις παρουσιάσεις, μπορέσαμε να βγάλουμε συμπεράσματα για το ποιες είναι οι τάσεις που επικρατούν σήμερα και το πού κατευθύνεται η αγορά της πληροφορικής – και ειδικότερα η ασφάλεια. Αυτό που εύκολα θα μπορούσε να συμπεράνει κάποιος, είναι ότι οι τάσεις που προωθούνται περισσότερο είναι το cloud computing και το virtualization, για τις οποίες η παράμετρος της ασφάλειας είναι πολύ σημαντική, προκειμένου να διασφαλιστεί η εμπιστοσύνη όλων όσοι αποφασίσουν να στραφούν σταδιακά προς αυτές. Ιδιαίτερη έμφαση δίνεται παράλληλα από πολλές πλευρές και στο SaaS (Securtity-as-a-Service), που προβλέπει την online υλοποίηση πολιτικών και εφαρμογών ασφάλειας, με δυνατότητα απομακρυσμένης παραμετροποίησης. Η εξέλιξη αυτή αποτέλεσε αντικείμενο συζήτησης σε πολλές ενότητες, επισημαίνοντας τις ευοίωνες προοπτικές που υπάρχουν.
Εκτός όμως από την τεχνολογία, πολλοί ήταν οι ομιλητές που έδωσαν έμφαση στον ανθρώπινο παράγοντα, εστιάζοντας κυρίως στον κρίσιμο ρόλο που καλούνται να παίξουν οι υπεύθυνοι των τμημάτων IT σε ένα σύγχρονο εταιρικό περιβάλλον. Πολλοί από αυτούς επεσήμαναν παράλληλα την αναγκαιότητα χάραξης νέων πολιτικών και κυρίως την ανάγκη καλλιέργειας νοοτροπίας για τη σημαντικότητα που λαμβάνει η διασφάλιση των δεδομένων από όλους όσοι εργάζονται σε μία επιχείρηση, δημιουργώντας – όπως χαρακτηριστικά ανέφερε ένας ομιλητής – ένα “ανθρώπινο firewall”. Τα δίκτυα κοινωνικής συνεύρεσης αλλά και οι διάφοροι τρόποι δράσης των νέων ηλεκτρονικών απατεώνων βρέθηκαν στο επίκεντρο αρκετών ομιλητών, που μέσα από συγκεκριμένα παραδείγματα ανέδειξαν ότι το ηλεκτρονικό έγκλημα εξελίσσεται με πολύ γρήγορους ρυθμούς.
Εκτός όμως από τις καθαρά συνεδριακές εκδηλώσεις, στο RSA CONFERENCE EUROPE 2009 οι συμμετέχοντες είχαν τη δυνατότητα να επισκεφθούν συγκεκριμένες ώρες τη μεγάλη αίθουσα του Conference Central (φωτογραφία 3) όπου υπήρχαν τα περίπτερα των χορηγών-εταιρειών του συνεδρίου, όπως οι Microsoft, RSA, Qualys, Sophos, CA, CISCO κ.ά., ενώ παράλληλα στον ίδιο χώρο διοργανώθηκαν γεύματα για τους επισκέπτες και «στρογγυλά τραπέζια» συζητήσεων ανά γεωγραφική περιοχή. Κατά την επίσκεψή μας εκεί, συνομιλήσαμε με αρκετά στελέχη των εταιρειών-χορηγών του συνεδρίου, αλλά και Οργανισμών με διεθνή δραστηριότητα που παραβρέθηκαν, πολλά από τα οποία έδειξαν ενδιαφέρον για μια εντονότερη παρουσία τους στην ελληνική αγορά, θεωρώντας ότι αποτελεί μία αναπτυσσόμενη αγορά στον τομέα της Ασφάλειας των Πληροφοριών, που τους δίνει την ευκαιρία να δραστηριοποιηθούν δυναμικά.
Όπως προαναφέραμε, κατά την τριήμερη επίσκεψή μας στο RSA CONFERENCE EUROPE 2009 συναντήσαμε τρία σημαντικά στελέχη της RSA και πήραμε αντίστοιχες θεματικές συνεντεύξεις, οι οποίες και δημοσιεύονται στις επόμενες σελίδες.
Ο ρόλος της Ασφάλειας των Πληροφοριών στην επιχειρηματική καινοτομία, αποτέλεσε το θέμα της συνέντευξης με τον αντιπρόεδρο της RSA, Chris Young.
Πώς μπορούμε να αξιοποιήσουμε την Ασφάλεια Πληροφοριών με σκοπό να ενισχύσουμε τις διαδικασίες που συνεισφέρουν στην εξέλιξη της καινοτομίας ενός Οργανισμού και ποιες είναι οι λύσεις που προσφέρει η RSA προς αυτήν την κατεύθυνση;
Είναι γεγονός ότι πολλές εταιρείες σήμερα επιχειρούν να ενισχύσουν τις διαδικασίες καινοτομίας μέσα από την αξιοποίηση τεχνολογιών νέας γενιάς, έτσι ώστε να μπορούν να κινούνται γρήγορα, να είναι ευέλικτες, να μειώσουν τις δαπάνες τους για IT και να είναι πιο αποτελεσματικές. Για παράδειγμα, πολλές επιχειρήσεις χρησιμοποιούν τα δίκτυα κοινωνικής συνεύρεσης για να πετύχουν ταχύτερη μετάδοση πληροφοριών και αξιοποιούν τις τεχνολογίες virtualization και cloud computing για μείωση κόστους και γρηγορότερο σχεδιασμό στην ανάπτυξη των εφαρμογών. Σε όλες αυτές τις ενέργειες που προάγουν την καινοτομία σε μια επιχείρηση, η ασφάλεια είναι ένας βασικός παράγοντας – και σε αυτά τα πλαίσια η RSA συμβάλλει μέσα από συγκεκριμένους τρόπους. Ένας από αυτούς είναι ο σχεδιασμός της ασφάλειας μέσα ακριβώς στην ΙΤ υποδομή. Οι δυνατότητες που υπάρχουν ειδικά στα virtual περιβάλλοντα είναι πολλές και έχουμε την ευκαιρία πλέον να ενσωματώσουμε όλες τις εφαρμογές ασφάλειας μέσα στις virtual μηχανές. Συγκεκριμένα, έλεγχος πρόσβασης, αυθεντικοποίηση, αποτροπή απώλειας δεδομένων, event monitoring και άλλες εφαρμογές μπορούν να ενσωματωθούν στο «virtual machine layer». Όλες αυτές οι διαδικασίες υλοποιούνται σε συνεργασία με την Vmware, την κορυφαία εταιρεία στο χώρο του virtualization. Μία τάση που έχει πλέον διεισδύσει στο 15 % στις εταιρικές υποδομές παγκοσμίως, ενώ προβλέπεται να αυξηθεί ακόμα περισσότερο τα επόμενα χρόνια, αγγίζοντας ακόμα και το 80%. Επίσης, η ευρεία χρήση των δικτύων κοινωνικής συνεύρεσης αλλά και φορητών συσκευών έχει ενισχύσει την καινοτομία και παράλληλα έχει καταστήσει το θέμα της διαχείρισης ταυτότητας (identity management) ως ιδιαίτερα κρίσιμο. Ο συγκεκριμένος τομέας αποτελεί ένα πεδίο δράσης στο οποίο η RSA είναι ιδιαίτερα γνωστή, παρέχοντας τα ισχυρής αυθεντικοποίησης ID tokens και προστατεύοντας αυτήν τη στιγμή πάνω από 250 εκατομμύρια online λογαριασμούς. Επεξεργαζόμαστε δισεκατομμύρια συναλλαγές κάθε χρόνο, συνεργαζόμαστε με κυβερνήσεις και πολλές εταιρείες, έχοντας πάντα στόχο να εξασφαλίζουμε απόλυτο βαθμό αυθεντικοποίησης. Όλα τα παραπάνω δείχνουν ότι είμαστε σε θέση να βοηθήσουμε τους πελάτες μας να καινοτομούν με ασφαλή τρόπο.
Ποια είναι η άποψη της RSA σε σχέση με την προσέγγιση του Information Centric Security (Κεντρική Διαχείριση Ασφάλειας Πληροφοριών); Υιοθετείτε αυτήν την τάση κατά τη σχεδίαση των νέων προϊόντων σας;
Η έννοια του Information Centric Security είναι πλέον ζωτικής σημασίας σε μια γενική πολιτική ασφάλειας. Για το λόγο αυτό, στην RSA σχεδιάζουμε προϊόντα που όχι μόνο θα επιτελούν μια συγκεκριμένη δουλειά, όπως κρυπτογράφηση, διαχείριση ταυτότητας ή αποτροπή απωλειών, αλλά παράλληλα θα λαμβάνουν υπόψη μια γενικότερη πολιτική ασφάλειας και συμμόρφωσης σε συγκεκριμένα πρότυπα. Αυτό είναι άλλωστε κάτι το οποίο πλέον ενδιαφέρει πάρα πολύ τους πελάτες μας. Συγκεκριμένα, τα προϊόντα της RSA προσφέρουν καταρχήν δυνατότητα ταξινόμησης και διαβάθμισης των πληροφοριών, καθώς πολλές εταιρείες δεν μπορούν να διαχειριστούν “αυτό που δεν καταλαβαίνουν”. Αν δεν μπορείς να καταλάβεις δηλαδή τι είδους πληροφορίες έχεις ακριβώς, είναι πολύ δύσκολο να τις διαχειριστείς. Αναφορικά με το DLP παρέχουμε λύσεις με δυνατότητα προγραμματισμού, ώστε ο Οργανισμός να μπορεί να επιλέγει κάθε φορά, για παράδειγμα, τι είδους πληροφορίες θέλει να κλειδώνει, να κρυπτογραφεί ή να απαγορεύει την εκτύπωσή τους. Η ευελιξία αυτή διαβάθμισης των πληροφοριών δίνει την ευκαιρία στους πελάτες να υλοποιούν κεντρικές πολιτικές ασφάλειας, ανάλογα με τις απαιτήσεις τους.
Αξίζει να αναφέρω ότι πρόσφατα ανακοινώσαμε τη συνεργασία με την εταιρεία First Data Corporation, που θεωρείται η μεγαλύτερη εταιρεία επεξεργασίας πληρωμών στον κόσμο, αφού επεξεργάζεται κάθε χρόνο περίπου 1,5 τρις συναλλαγών με πιστωτικές κάρτες και συνεργάζεται με περίπου 5.400.000 εμπορικές επιχειρήσεις. Στα πλαίσια της συνεργασίας προσφέραμε μία υπηρεσία που λέγεται “safe proxy”, η οποία επιτρέπει στις συναλλαγές των πελατών με τις εμπορικές επιχειρήσεις να μην καταχωρούνται στοιχεία των πιστωτικών καρτών, που αναπόφευκτα θα κατέληγαν στα συστήματα των επιχειρήσεων. Πιο συγκεκριμένα, όταν γίνεται μία συναλλαγή, τα στοιχεία της κάρτας με την οποία γίνεται η πληρωμή αντικαθίστανται από ένα “safe proxy” ή token, έτσι ώστε η επιχείρηση να μην μπορεί να αποθηκεύει στο σύστημά της ευαίσθητα δεδομένα των καρτών, τα οποία η First Data κρατάει προστατευμένα.
Τι είδους καινοτομίες απαιτούνται σήμερα στον τομέα της ασφάλειας; Είναι κυρίως θέμα δυνατοτήτων ή αναζήτησης νέων τροπών παροχής υπηρεσιών και λύσεων;
Καταρχήν πιστεύω ότι η ασφάλεια πρέπει να ενσωματώνεται στην υποδομή του συστήματος και να αποτελεί μέρος του συστήματος, καθώς κανένας προμηθευτής λύσεων ασφάλειας δεν μπορεί να τα κάνει όλα μόνος του. Πρέπει επίσης να είναι “αόρατη” για τον τελικό χρήστη, όπως στο παράδειγμα της First Data. Οι απειλές που αντιμετωπίζουμε σήμερα προέρχονται από ηλεκτρονικούς απατεώνες, που είναι πιο δημιουργικοί, πιο δυναμικοί, πιο προσαρμοστικοί και πιο έξυπνοι και εστιασμένοι στο κέρδος. Η πρόκληση λοιπόν που καλείται να αντιμετωπίσει η βιομηχανία της ασφάλειας είναι να είμαστε εμείς πιο ευέλικτοι, πιο δημιουργικοί και πιο προσαρμοστικοί από τους ηλεκτρονικούς απατεώνες, για να προστατευτούμε από αυτούς. Μία καινοτομία που αξιοποιεί επιτυχημένα η RSA, είναι η διαχείριση συσχετιζόμενων γεγονότων, που προβλέπει τον εντοπισμό πρότυπων απειλών, έτσι ώστε αυτές να αναλύονται κάθε φορά που εμφανίζονται, πολύ γρήγορα και να λαμβάνονται άμεσα αποφάσεις. Οι διαδικασίες αναγνώρισης, εντοπισμού και ανάλυσης των απειλών, υλοποιούνται πολύ πιο αποτελεσματικά και γρήγορα σε ένα έξυπνο virtual περιβάλλον.
Θέματα που σχετίζονται με την έννοια του DLP (Data Loss Prevention) και συνολικότερα την ασφαλή διαχείριση δεδομένων, ανέλυσε στη συνέντευξη που μας παραχώρησε ο Brian Fitzgerald, Αντιπρόεδρος του τμήματος Marketing της RSA.
Ποιες είναι οι προϋποθέσεις για έναν Οργανισμό προκειμένου να ενσωματώσει αποτελεσματικά μία DLP λύση;
Η πρώτη πρόκληση που καλείται να αντιμετωπίσει ένας Οργανισμός κατά την υλοποίηση μιας DLP λύσης, είναι να κατανοήσει απόλυτα ποιες πληροφορίες είναι ευαίσθητες, πού βρίσκονται αυτές οι ευαίσθητες πληροφορίες και σε ποιες πληροφορίες βασίζονται οι επιχειρηματικές τους δραστηριότητες. Η εταιρεία που αναλαμβάνει την υλοποίηση πρέπει να έχει πλήρη γνώση των πολιτικών και των κανόνων που εφαρμόζονται στο εσωτερικό της επιχείρησης, καθώς και να γνωρίζει τις απαιτήσεις που έχουν οι πελάτες της. Όλα αυτά δεν σχετίζονται άμεσα με την τεχνολογία, αλλά με στρατηγικές επιλογές της επιχείρησης ως προς το ποιες πληροφορίες είναι σημαντικές και τι επίπεδο ελέγχου επιθυμούμε. Τότε, μόνο το DLP μπορεί να αποτελέσει ένα καλό εργαλείο, που θα βοηθήσει στην προστασία των δεδομένων. Χωρίς την αποσαφήνιση των πολιτικών, δεν μπορούμε να πάρουμε αποφάσεις για το τι θέλουμε να προστατέψουμε. Επίσης πρέπει να αντιληφθούμε ότι υπάρχει μεγάλο ρίσκο όταν διαφορετικές πηγές πληροφοριών συνδυάζονται μεταξύ τους. Για παράδειγμα, μπορεί να υπάρχει ένα αρχείο που να βρίσκεται ο αριθμός μιας πιστωτικής κάρτας και ένα διαφορετικό αρχείο με άλλα στοιχεία του κατόχου. Από μόνα τους, τα δύο αυτά αρχεία ίσως να μη μπορούν να προκαλέσουν κάποιο πρόβλημα, αν όμως και τα δύο μαζί έλθουν σε γνώση κάποιου, τότε αυξάνεται σημαντικά το ρίσκο. Είναι πολύ σημαντικό δηλαδή να υπάρχει μια προεργασία για να κατανοηθεί πλήρως το πώς κάθε πληροφορία αλληλεπιδρά. Η πιο σημαντική προϋπόθεση λοιπόν, είναι η γνώση της σημασίας που έχει κάθε πληροφορία για την επιχείρηση και τον πελάτη.
Είναι στα πλάνα της RSA να αναπτύξει single και end point λογισμικό, ώστε να καλύψει τις ανάγκες απώλειας δεδομένων;
Αυτό που μπορώ να σας πω είναι ότι βρισκόμαστε κοντά στο να ανακοινώσουμε μια ολοκληρωμένη desktop λύση, ενώ ήδη σε κάποια προϊόντα DLP έχουμε ενσωματώσει λειτουργίες end point και σκοπεύουμε να συνεχίσουμε να επενδύουμε σε τέτοιες λύσεις. Όμως, για πολύ ισχυρό επίπεδο κρυπτογράφησης σε end point προτιμούμε να συνεργαζόμαστε με τη Vmware προτείνοντας λύσεις virtualization, αφού έτσι και αλλιώς η τάση που υπάρχει είναι αντί να υπάρχουν κρίσιμες πληροφορίες αποθηκευμένες σε endpoint, με ό,τι ρίσκο συνεπάγεται αυτό, οι πληροφορίες αυτές να βρίσκονται στο data centre και ο κάθε χρήστης IT να έχει πρόσβαση σε αυτές έπειτα από μια διαδικασία αυθεντικοποίησης. Άρα, αυτό που σκοπεύουμε όσον αφορά στην πρόσβαση στα δεδομένα, είναι να ενισχύουμε τις τεχνολογίες ασφάλειας του virtual περιβάλλοντος που διαμορφώνεται, μιας και πιστεύουμε πως το τοπίο όσον αφορά στα endpoint αλλάζει. Άρα, αναβαθμίζουμε ό,τι έχουμε, αλλά παράλληλα δείχνουμε έντονο ενδιαφέρον και για νέες τεχνολογίες, όπως του virtual desktop.
Μπορείτε να μας ιεραρχήσετε κάποια σημαντικά βήματα που πρέπει να λαμβάνει υπόψη του ένας Οργανισμός κατά τη διαδικασία υλοποίησης του DLP;
Το πρώτο βήμα όπως προείπαμε, είναι η απόλυτη κατανόηση του ποια πληροφορία είναι σημαντική. Το δεύτερο βήμα είναι η χρήση του DLP προκειμένου να εντοπιστεί το πού βρίσκεται η πληροφορία στο data centre ή στο endpoint. Άρα, πρέπει πρώτα να εξετάζουμε κάθε πληροφορία, μετά να βλέπουμε το πού “κινείται” μέσα στην επιχείρηση και μετά να προχωρούμε στο τρίτο βήμα που είναι η καθεαυτή υλοποίηση του DLP. Έπειτα πρέπει να καθορίζουμε και να υλοποιούμε πολιτικές και κανόνες με σαφήνεια, που θα προβλέπουν για παράδειγμα περιπτώσεις όπως οι εξής: «.όταν βλέπω τα δεδομένα μιας πιστωτικής κάρτας, δεν πρέπει να τα μεταφέρω οπουδήποτε αλλού .ή, μπορώ να τα μεταφέρω μόνο στο εσωτερικό δίκτυο της επιχείρησης και όχι οπουδήποτε αλλού εκτός της επιχείρησης .ή, μπορεί να τα στείλω με e-mail αλλά πρέπει να είναι κρυπτογραφημένο». Η φιλοσοφία μας, που αποτελεί και το δυνατό σημείο των λύσεων που προσφέρουμε, είναι να αρχίζουμε πάντα από το data centre και να κατευθυνόμαστε προς τα έξω, γιατί αν καταφέρουμε να αποτρέψουμε τα δεδομένα να φτάσουν σε endpoint, ήδη έχει γίνει ένα σημαντικό βήμα εξάλειψης του ρίσκου προτού προκληθούν σημαντικά προβλήματα. Αν προσπαθήσει κάποιος να διαχειρισθεί απευθείας τα endpoint, τότε τα πράγματα δυσκολεύουν σημαντικά – γι’ αυτό και η στρατηγική μας είναι να αρχίζουμε από το data centre, να πραγματοποιούνται εκεί οι απαραίτητοι έλεγχοι, να ελέγχουμε το δίκτυο για το πού διακινούνται οι πληροφορίες και στο τέλος να πραγματοποιούνται έλεγχοι σε endpoint σημεία.
Στις πτυχές γύρω από την εφαρμογή των νέων τάσεων του cloud computing και του virtualization περιστράφηκε η συνέντευξη με τον Eric Baize, Διευθυντή του Τμήματος Προϊόντων Ασφάλειας.
Πώς οι διαθέσιμες τεχνολογίες ανταποκρίνονται στα ρίσκα που σχετίζονται με το virtualization και το cloud computing;
Το virtualization δεν είναι κάτι παραπάνω από μία νέα τεχνολογία, όπως για παράδειγμα το web στα πρώτα του βήματα. Είναι μία νέα τεχνολογία που επιτρέπει το διαμερισμό πληροφοριών όπως και πολλές άλλες τεχνολογίες, άρα δεν αυξάνει τα ρίσκα που ήδη υπάρχουν. Όταν το web άρχισε να αναπτύσσεται ευρέως στις αρχές του 1990, χρειάστηκαν αρκετά χρόνια μέχρι οι άνθρωποι του χώρου της Ασφάλειας Πληροφοριών να αναπτύξουν το SSL ώστε να διασφαλίσουν τις διαδικασίες. Και αυτό, γιατί κάποιος εφηύρε το browser αλλά ξέχασε να ενσωματώσει λειτουργίες κρυπτογράφησης, κάτι που έγινε αρκετά αργότερα με την ανάπτυξη του SSL. Το καλό όμως στην περίπτωση του virtualization και του cloud, είναι ότι από την πρώτη στιγμή της ανάπτυξής τους, έχει ληφθεί υπόψη το θέμα της ασφάλειας και όσες εταιρείες οδηγούν τις εξελίξεις σε αυτόν τον τομέα, όπως η CISCO και η EMC έχουν φροντίσει να δημιουργήσουν τις απαραίτητες συνθήκες που θα διασφαλίσουν τις εφαρμογές οι οποίες θα τρέχουν σε αυτά τα περιβάλλοντα. Αυτό που απαιτείται είναι να υιοθετήσουμε ένα μοντέλο, όπου η ασφάλεια θα ενσωματώνεται στη virtual υποδομή. Θα λέγαμε πως όταν μιλάμε για virtualization security, δεν είναι κάτι διαφορετικό από την ασφάλεια σε άλλα περιβάλλοντα, μάλιστα θα λέγαμε ότι σε πολλές περιπτώσεις η λογική του virtualization μπορεί να βοηθήσει στην ενίσχυση της ασφάλειας, μιας και μας παρέχει δυνατότητες που δεν έχουμε με τις «φυσικές υποδομές».
Πώς μπορούμε όμως πραγματικά να προστατέψουμε τον Οργανισμό μας έναντι απειλών με δίκτυα συστημάτων αγνώστου administrator που υπάρχουν κάπου στο «σύννεφο»;
Είναι κάτι αντίστοιχο με τη δημιουργία λογαριασμού σε μια τράπεζα και τη χρήση ηλεκτρονικών συναλλαγών, όπου κάποιος IT administrator μπορεί και διαχειρίζεται κρίσιμες πληροφορίες. Πολλές διαδικασίες σε αυτήν την περίπτωση βασίζονται αποκλειστικά στην εμπιστοσύνη απέναντι στον Οργανισμό που είμαστε πελάτες. Έτσι και στην περίπτωση του cloud, κομβικό σημείο είναι η εμπιστοσύνη ανάμεσα στον πελάτη και τον πάροχο των λύσεων αυτών. Επίσης, παρόλο που δεν υπάρχουν φυσικές υποδομές, δεν αλλάζει κάτι σημαντικά σε σχέση με τις πολιτικές ασφάλειας που αναπτύσσονται. Οι IT auditors δεν θα πάνε για διακοπές, απλά και μόνο επειδή τώρα είμαστε στο «σύννεφο». Πρέπει συνεχώς να αποδεικνύουμε τη συμμόρφωση στις πολιτικές ασφάλειας και επιπλέον να συνεργαζόμαστε με τον πάροχο του cloud, προκειμένου να μας παρέχει τις αναφορές που χρειαζόμαστε κάθε φορά. To μόνο που τελικά διαφοροποιείται είναι μία κάπως παραπάνω πολυπλοκότητα, αλλά όσον αφορά στο θέμα της ασφάλειας, πραγματικά δεν φαίνεται να υπάρχει κάτι το κακό.
Ποια θα είναι η συμβολή της RSA στο cloud και virtualization security;
Καταρχήν η RSA προσφέρει ασφάλεια ως υπηρεσία cloud εδώ και πάρα πολύ καιρό, προτού ακόμα η τάση αυτή ονομαστεί έτσι. Ενδεικτικά, μπορούμε να αναφέρουμε τι έχουμε κάνει για το online banking security, όπου ενσωματώσαμε λειτουργίες αυθεντικοποίησης σε cloud περιβάλλον. Πολλοί πάροχοι cloud υπηρεσιών χρησιμοποιούν ήδη προϊόντα μας, για να ενισχύουν το επίπεδο ασφάλειας. Στα πλαίσια της στρατηγικής μας και ως τμήμα των εφαρμογών ασφάλειας της EMC, συνεργαζόμαστε άμεσα με τη Vmware και την CISCO, με σκοπό τη σχεδίαση της ασφάλειας ως βασικό συστατικό σε ένα cloud σύστημα ή virtual περιβάλλον. Ενδεικτικά, να αναφέρουμε την παρουσίαση DLP λύσεων που λειτουργούν κάτω από virtual δίκτυο ή την ανάπτυξη τεχνολογιών από την RSA, που θα αξιοποιούνται για τη διασφάλιση των δεδομένων κατά την επικοινωνία μεταξύ virtual μηχανών. Στόχος μας είναι να έχουμε ηγετική θέση στην ασφάλεια των εικονικών data centres.
Βλάσης Αμανατίδης