Το συνεχώς μεταβαλλόμενο επιχειρηματικό και τεχνολογικό οικοσύστημα οδηγεί στην αντιμετώπιση της φυσικής ασφάλειας και της ασφάλειας πληροφοριών ως ενιαίων και αλληλένδετων διεργασιών
Του Νότη Ηλιόπουλου
MSc InfoSec, MSc MBIT, CISA, CISM, ISO27001 LA
Η σύγκλιση του ψηφιακού, του εικονικού και του πραγματικού επιχειρηματικού περιβάλλοντος, παρέχει όχι μόνο τη δυνατότητα αλλά και τα κατάλληλα εργαλεία, ώστε να μεγιστοποιηθεί η αποτελεσματικότητα και η αποδοτικότητα των λειτουργιών, των διαδικασιών, καθώς και των παρεχομένων υπηρεσιών. Ταυτόχρονα ωστόσο, διευρύνονται οι κίνδυνοι ασφάλειας στους οποίους εκτίθενται οι επιχειρηματικοί πόροι και οι οποίοι μπορεί να οδηγήσουν, μεταξύ άλλων, σε περιστατικά απώλειας πνευματικής ιδιοκτησίας, μη εξουσιοδοτημένης πρόσβασης, καθώς και τροποποίησης κρίσιμων πληροφοριών ή απώλειας εσόδων, αλλά και σε περιστατικά που άπτονται της φυσικής προστασίας των επιχειρηματικών πόρων.
Είναι γεγονός ότι η σύγχρονη εποχή χαρακτηρίζεται από ολοένα αυξημένη τεχνολογική διασυνδεσιμότητα και αυτοματισμό και προσφέρει τεράστιες ευκαιρίες για ανάπτυξη του επιχειρηματικού περιβάλλοντος, για οικονομίες κλίμακας και για ενίσχυση της καινοτομίας. Ωστόσο, χωρίς την κατάλληλη προστασία του ευρύτερου ψηφιακού, εικονικού και φυσικού περιβάλλοντος, τόσο οι έξυπνες υποδομές, όσο και οι διασυνδεδεμένες συσκευές, τα συστήματα και οι εφαρμογές του λογισμικού, είναι ευάλωτα σε απειλές που αφορούν την ευρύτερη ασφάλειά τους.
Είναι επίσης γεγονός ότι μια συνδυασμένη επίθεση στο σύνολο των υποδομών ενός Οργανισμού μέσω της εκμετάλλευσης αδυναμιών τους στο επίπεδο τόσο της φυσικής όσο και της ψηφιακής τους ασφάλειας μπορεί να προκαλέσει ανυπολόγιστη ζημία στον Οργανισμό. Αρκεί να αναλογιστεί κανείς την απειλή που συνιστά για τη λειτουργία ενός Οργανισμού η χρήση των παρανόμως κτηθέντων επιχειρηματικών πληροφοριών, για να αντιληφθεί τις πιθανές συνέπειες μιας τέτοιας επίθεσης.
Κατόπιν των ανωτέρω, προκύπτει αβίαστα η ανάγκη σύγκλισης των ρόλων του υπευθύνου φυσικής ασφάλειας και του υπευθύνου ασφάλειας πληροφοριών (Chief Security Officer και Chief Information Security Officer). Η εν λόγω σύγκλιση έχει ως συνέπεια τη συγκέντρωση πολλών από τις δραστηριότητες που απαντώνται στον ευρύτερο τομέα της ασφάλειας στο χώρο των επιχειρήσεων και βασίζεται σε μεγάλο βαθμό στην ικανότητα διασύνδεσης ευρύτερων πτυχών της ασφάλειας, με στόχο την ολιστική διαχείριση των κινδύνων και των περιστατικών ασφάλειας.
Η ανάγκη για σύγκλιση των διαφορετικών πτυχών της ασφάλειας και οι απαιτήσεις που δημιουργεί
Όπως προαναφέρθηκε, η αυτοματοποίηση και ο ψηφιακός μετασχηματισμός έχουν ως αποτέλεσμα τη δημιουργία νέων κινδύνων που σχετίζονται πρωτίστως, με την ασφάλεια των ψηφιακών πόρων, στους οποίους ολοένα και περισσότερο βασίζονται οι λειτουργικές διεργασίες ενός Οργανισμού, συμπεριλαμβανομένων και εκείνων της φυσικής ασφάλειας.
Χαρακτηριστικές περιπτώσεις τέτοιων κινδύνων είναι οι ακόλουθες:
- Παραβίαση των συστημάτων επιτήρησης (video surveillance) – οικακόβουλοι χρήστες εκμεταλλευόμενοι πιθανές αδυναμίες της ασφάλειας των ψηφιακών συστημάτων και του λογισμικού που χρησιμοποιούνται για τη λειτουργία τους επιχειρούν να θέσουν εκτός λειτουργίας ή να ελέγξουν τα συστήματα επιτήρησης.
- Μη εξουσιοδοτημένη πρόσβαση και πρόκληση βλάβης σε συστήματα που αυτοματοποιούν κρίσιμες λειτουργικές εργασίες, καθώς και σε συστήματα φυσικής ασφάλειας – οι κακόβουλοι χρήστες επιχειρούν να αποκτήσουν πρόσβαση και να επηρεάσουν τη λειτουργία των συστημάτων ελέγχου ανελκυστήρων, ελέγχου των πυλών ή ελέγχου του συστήματος ισχύος.
- Μη εξουσιοδοτημένος έλεγχος των διασυνδεδεμένων έξυπνων συσκευών και αισθητήρων – οι κακόβουλοι χρήστες επιχειρούν να θέσουν υπό τον έλεγχό τους συσκευές, όπως οι αισθητήρες κίνησης, για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή να χρησιμοποιήσουν τις εν λόγω συσκευές ως μέσο πρόσβασης στο εσωτερικό δίκτυο ενός Οργανισμού.
- Απενεργοποίηση συστημάτων θέρμανσης ή ψύξης σε ευαίσθητους κλάδους, όπως φαρμακευτικές μονάδες ή μονάδες επεξεργασίας τροφίμων. Σε άλλου τύπου οργανισμό θα μπορούσε να δημιουργήσει σημαντική επιχειρηματική αναστάτωση και μείωση της παραγωγικότητας λόγω μη καταλλήλότητας των συνθηκών εργασίας.
- Απενεργοποίηση λειτουργιών διαχείρισης θερμοκρασίας ή διαχείρισης ηλεκτρικής ενέργειας για ένα Υπολογιστικό Κέντρο (Data Center), καταστροφή εξοπλισμού πληροφορικής και απώλεια της διαθεσιμότητα των κρίσιμων για την επιχείρηση εφαρμογών λογισμικού.
- Μη εξουσιοδοτημένη πρόσβαση σε σύστημα φυσικής ασφάλειας που συνδέεται με το διαδίκτυο με σκοπό να μη μπορέσει να καταγράψει μη εξουσιοτοτημένη φυσική πρόσβαση ή να τεθεί εκτός λειτουργίας.
Οι επίδοξοι εισβολείς προτιμούν να προβούν σε μια υβριδική εισβολή μεικτού τύπου, δηλαδή να εκμεταλευτούν αδυναμίες ασφάλειας της ψηφιακής υποδομής και ταυτόχρονα να εκμεταλευτούν αδυναμίες που αφορούν στη φύλαξη και φυσική προστασία του χώρου.
Για παράδειγμα, ένας εισβολέας, αντί να προσπαθήσει να διεισδύσει μέσω ενός φράκτη ή μιας πύλης, μπορεί να αναλάβει μια σειρά από δράσεις που είναι εξίσου αποτελεσματικές, όπως:
- Εξουδετέρωση του συστήματος συναγερμών & ειδοποιήσεων μη εξουσιοδοτημένης φυσικής πρόσβασης.
- Δημιουργία ψευδών αντιλήψεων– πάγωμα των εικόνων που καταγράφονται από ψηφιακά καταγραφικά μέσα (IP cameras & videos) ή εκπομπή ήδη καταγεγραμμένων λήψεων στις οθόνες παρακολούθησης & ελέγχου του προσωπικού φύλαξης.
- Δημιουργία πλαστών ταυτοτήτων- αναπαραγωγή κάρτας φυσικής πρόσβασης.
- Μη εξουσιοδοτημένη πρόσβαση σε συστήματα που αυτοματοποιούν κρίσιμες λειτουργικές διεργασίες, καθώς και σε συστήματα φυσικής ασφάλειας μέσω τεχνικών hacking προκαλώντας πρόβλημα στην ηλεκτροδότηση, , στους ανελκυστήρες, στους συναγερμούς πυρκαγιάς, ή ακόμη και προξενώντας βλάβη στα συστήματα βιομηχανικής παραγωγής.
Τρόποι εξουδετέρωσης των δικλείδων ασφάλειας των ψηφιακών συστημάτων, μέσω της εκμετάλλευσης αδυναμιών φυσικής ασφάλειας και φύλαξης των φυσικών πόρων – Από τη στιγμή που ένας εισβολέας καταφέρνει ν’ αποκτήσει φυσική πρόσβαση στο εσωτερικό ενός Οργανισμού, δυνητικά μπορεί να πλήξει και τη ψηφιακή του υποδομή. Τα παρακάτω παραδείγματα αποτελούν συνήθεις πρακτικές που βασίζονται στην εκμετάλλευση των αδυναμιών και της αναποτελεσματικότητας των υφιστάμενων μέτρων φυσικής ασφάλειας και φύλαξης των φυσικών πόρων και έχουν, σκοπό να θέσουν σε κίνδυνο την ασφάλεια της ψηφιακής υποδομής ενός Οργανισμού:
- Ένας μολυσμένος με ιό φορητός δίσκος USB τοποθετείταισε έναν εταιρικό χώρο στάθμευσης, σ’ ένα χώρο υποδοχής κλπ., από όπου και περισυλλέγεται από εργαζόμενο, ο οποίος στη συνέχεια τον χρησιμοποιεί και με το τρόπο αυτό ο ιός εξαπλώνεται στο εταιρικό δίκτυο.
- Ένας εισβολέας εισέρχεται σε ένα υπολογιστικό κέντροκαι εγκαθιστά συσκευές υποκλοπής δεδομένων.
- Η γραμμή διασύνδεσης του Οργανισμού με το διαδίκτυο είναι προσβάσιμηαπό το εξωτερικό μέρος του κτιρίου, επιτρέποντας σε κάποιον να υποκλέψει δεδομένα ή να κόψει εντελώς τη γραμμή.
- Ένας εισβολέας προσποιείται ότι είναι εργαζόμενος στον Οργανισμό και εκμεταλλεύεται την ευγένεια ενός πραγματικού εργαζομένου να κρατήσει την πόρτα ανοιχτή γι’ αυτόν καθώς εισέρχονται μαζί στο κτίριο.
- Ένας εργαζόμενος και ταυτόχρονα εξουσιοδοτημένος χρήστης πληροφοριακών συστημάτων, κρυφοκοιτάζει την ώρα που κάποιος συνάδελφός του, με αυξημένα προνόμια πρόσβασης, πληκτρολογείτους κωδικούς πρόσβασης σε ένα πληροφοριακό σύστημα.
Προκειμένου να προκληθούν εκτεταμένες ζημιές ή να αποκτηθεί παράνομη πρόσβαση σε κρίσιμα δεδομένα και πληροφορίες, δεν είναι καν απαραίτητο να παρεισφρήσει ο επίδοξος εισβολέας στον χώρο διατήρησης των διακομιστών ενός Οργανισμού. Εάν π.χ. καταφέρει να εισέλθει στο κτίριο και να αποκτήσει πρόσβαση σε έναν Η/Υ του τμήματος Ανθρώπινου Δυναμικού, θα μπορεί να έχει πρόσβαση σε αρχεία προσωπικού και να αντιγράψει αρχεία υπαλλήλων που περιέχουν προσωπικά δεδομένα, ενδεχομένως και ευαίσθητα. Παρά την πιθανή προστασία του συνόλου των Η/Υ με μηχανισμούς ψηφιακής ασφάλειας, μια πιθανή τους αδυναμία μπορεί να επιτρέψει σε έναν εισβολέα να τις παρακάμψει.
Τρόποι εξουδετέρωσης των δικλείδων φυσικής ασφάλειας και φύλαξης των φυσικών πόρων, μέσω της εκμετάλλευσης αδυναμιών ασφάλειας των ψηφιακών συστημάτων – Με στόχο την απόκτηση πρόσβασης σε συστήματα που περιέχουν εμπιστευτικά δεδομένα, ο εισβολέας μπορεί να εισέλθει φυσικά στον χώρο που τον ενδιαφέρει, τροποποιώντας ή απενεργοποιώντας τους μηχανισμούς φυσικής ασφάλειας μέσω της εκμετάλλευσης αδυναμιών ασφάλειας των ψηφιακών συστημάτων που χρησιμοποιούνται για τη λειτουργία των εν λόγω μηχανισμών. Ο συγκεκριμένος τύπος ψηφιακής επίθεσης είναι ιδιαίτερα επικίνδυνος σε περιβάλλοντα βιομηχανικής παραγωγής, καθώς και σε εργοστασιακές μονάδες.
Τα παρακάτω αποτελούν παραδείγματα για το πώς οι αδυναμίες της ασφάλειας του ψηφιακού κόσμου μπορούν να χρησιμοποιηθούν με σκοπό την αποδυνάμωση των μέτρων και των μηχανισμών φυσικής ασφάλειας:
- Ο επιτιθέμενος απενεργοποιεί τις συνδεδεμένες με το εταιρικό δίκτυο (ή το διαδίκτυο) κάμερες ασφαλείας, έτσι ώστε να μην είναι δυνατός ο εντοπισμός των μη εξουσιοδοτημένων φυσικών προσβάσεων στο χώρο. Εναλλακτικά, ο επιτιθέμενος διαγράφει το εικονικό στιγμιότυπο της μη εξουσιοδοτημένης φυσικής πρόσβασης στον χώρο.
- Ο επιτιθέμενος αποκτά μη εξουσιοδοτημένη πρόσβαση στο σύστημα διαχείρισης της φυσικής πρόσβασης και δύναται ως εκ τούτου να παραχωρήσει ή να καταργήσει τη φυσική πρόσβαση άλλου στο κτίριο.
- Ο επιτιθέμενος διακόπτει τη λειτουργία ή αποκτά μη εξουσιοδοτημένη πρόσβαση σε συστήματα ελέγχου βιομηχανικής παραγωγής που διασυνδέονται μέσω του εταιρικού δικτύου με σκοπό να βλάψει την παραγωγική διαδικασία ή να προκαλέσει περιστατικό , φυσικής ασφάλειας.
- Ο επιτιθέμενος χρησιμοποιεί λογισμικό τύπου malware στο σύστημα της κατανάλωσης ηλεκτρικής ενέργειας, ώστε να προκληθεί υπερθέρμανση, ή να διακοπή της ρευματοδότησης.
- Ο επιτιθέμενος χρησιμοποιεί λογισμικό τύπου ransomware στο δίκτυο ενός νοσοκομείου, ώστε να εμποδίσει το ιατρικό και νοσηλευτικό προσωπικό από την πρόσβαση στα αρχεία των ασθενών και συνακόλουθα από την παροχή της απαραίτητης ιατρικής φροντίδας.
Το νέο μοντέλο – Η σύγκλιση της φυσικής και της ψηφιακής ασφάλειας
- Σύγκλιση ως προς τις διαδικασίες – Η σύγκλιση αφορά εν προκειμένω τον τρόπο ολιστικής διαχείρισης των κινδύνων που άπτονται της ασφάλειας, αλλά και τον τρόπο αντιμετώπισης των περιστατικών ασφάλειας.
Σταδιακά γίνεται αντιληπτό ότι πρόκειται για διαδικασίες με αρκετά κοινά χαρακτηριστικά με αποτέλεσμα να μην είναι πάντα εφικτή η διάκριση μεταξύ φυσικών, εικονικών και ψηφιακών περιστατικών ασφάλειας, ενώ και ο τρόπος αντιμετώπισής τους εμφανίζει εν πολλοίς κοινά χαρακτηριστικά.
Το πρωταρχικό ερώτημα που τίθεται σε περίπτωση εμφάνισης κινδύνου ως προς την ασφάλεια είναι εάν αυτός έχει αντίκτυπο ή επηρεάζει το προσωπικό, τα περιουσιακά στοιχεία, την εμπορική φήμη ή την εφοδιαστική αλυσίδα του πληττόμενου Οργανισμού. Εάν το ερώτημα απαντηθεί καταφατικά, το επόμενο βήμα είναι η μετάβαση στη σύγκλιση φυσικής και ψηφιακής ασφάλειας.
Πολλοί Οργανισμοί δημιουργούν κέντρα διαχείρισης περιστατικών ασφάλειας, τα οποία έχουν τη δυνατότητα να χειριστούν τόσο περιστατικά φυσικής όσο και ψηφιακής ασφάλειας. Αυτό αποτελεί το πρώτο βήμα σύγκλισης φυσικής και ψηφιακής ασφάλειας, καθώς επιτυγχάνεται η συνεργασία, η ανταλλαγή μεθοδολογιών και γνώσης μεταξύ των δύο φαινομενικά ετερόκλητων κόσμων. Οι Οργανισμοί που επιλέγουν τη δημιουργία κέντρων ολιστικής διαχείρισης των περιστατικών ασφάλειας αποκτούν την ικανότητα αποτελεσματικού εντοπισμού και αντιμετώπισης κάθε είδους συμβάντος ασφάλειας, έχοντας παράλληλα πλήρη εικόνα των αλληλεξαρτήσεων αλλά και των κινδύνων που θα μπορούσαν να οδηγήσουν σε ένα επόμενο περιστατικό. Επιπλέον τα εν λόγω κέντρα , αποτελούν κεντρικό σημείο διαχείρισης και των απειλών ασφάλειας, πριν εξελιχθούν σε περιστατικό.
Σε ψηφιακό επίπεδο χρησιμοποιούνται τεχνολογίες προκειμένου να είναι δυνατή η συνεχής παρακολούθηση και συλλογή στοιχείων για πιθανές επιθέσεις ψηφιακής ασφάλειας εναντίον ενός Οργανισμού. Έτσι, η ψηφιακή υποδομή προστατεύεται σε πραγματικό χρόνο καθιστώντας άμεσα ανιχνεύσιμη μια πιθανή επίθεση, ανεξάρτητα από την προέλευσή της. Ο εμπλουτισμός της υποδομής αυτής με στοιχεία ως προς την φυσική ασφάλεια, τα οποία μπορούν να συλλέγονται από αντίστοιχους μηχανισμούς (όπως η βάση δεδομένων του ελέγχου φυσικής πρόσβασης, αρχεία από βίντεο παρακολούθησης κτλ) είναι προφανές ότι μπορεί να οδηγήσει σε μια μεγάλη βελτίωση της αποτελεσματικότητας της διαχείρισης της ασφάλειας του συνόλου των περιουσιακών πόρων ενός Οργανισμού.
Εξίσου σημαντική με τη προστασία των περιουσιακών πόρων ενός οργανισμού, είναι και η προστασία των δεδομένων που παράγονται, συλλέγονται και επεξεργάζονται από συστήματα και διεργασίες ασφάλειας. Για παράδειγμα, ένας μη εξουσιοδοτημένος χρήστης που αποκτά πρόσβαση σε πληροφορίες και αρχεία δεδομένων ασφαλείας, θα μπορούσε ενδεχομένως να διαγράψει οποιαδήποτε ένδειξη παραβίασης της ασφάλειας.
- Σύγκλισηστον τομέα της τεχνολογίας ασφάλειας – Οι οργανωτικές μονάδες που διαχειρίζονται τις τεχνολογίες φυσικής ασφάλειας είναι συνήθως ξεχωριστές από εκείνες που διαχειρίζονται τις τεχνολογίες ψηφιακής ασφάλειας και συχνά δεν συνεργάζονται μεταξύ τους. Το γεγονός ότι πλέον παρατηρείται μια ολοένα και αυξανόμενη σύγκλιση τεχνολογιών, ενώ παράλληλα υιοθετούνται κοινά τεχνολογικά πρωτόκολλα επικοινωνίας καθιστά τον ως άνω διαχωρισμό όχι μόνο ξεπερασμένο, αλλά και ικανό να επιφέρει δυσμενείς συνέπειες στη συνολική ασφάλεια ενός Οργανισμού.
Είναι σύνηθες φαινόμενο οι τεχνολογίες που χρησιμοποιούνται για τη φυσική ασφάλεια, να μην ακολουθούν τις βέλτιστες πρακτικές ψηφιακής ασφάλειας. Ο αριθμός των ψηφιακών συσκευών που συνδέονται στο Διαδίκτυο αναμένεται να φθάσει τα 22 δισεκατομμύρια έως το 2021. Στον αριθμό αυτό περιλαμβάνονται επίσης όλοι οι αισθητήρες φυσικής ασφάλειας, οι κάμερες και οι ψηφιακές συσκευές που χρησιμοποιούνται στην ασφάλεια και διαχείριση ανελκυστήρων, κλιματισμού κτλ. Ως εκ τούτου, η κοινή διαχείριση των συστημάτων φυσικής και ψηφιακής ασφάλειας συνιστά πλέον αναμφισβήτητη αναγκαιότητα, τόσο ως προς την παραμετροποίηση και λειτουργία βάσει των βέλτιστων πρακτικών ψηφιακής ασφάλειας, όσο και ως προς τη χρήση της τεχνολογίας για την αποτελεσματική ασφάλεια και προστασία των πόρων ενός οργανισμού.
Εξίσου σημαντική είναι επίσης η αποτελεσματική επεξεργασία και ανάλυση των πληροφοριών που συλλέγονται έτσι ώστε οι τεχνολογίες ασφάλειας να δρουν συμπληρωματικά η μία με την άλλη και να εξάγονται χρήσιμα συμπεράσματα. Π.χ. ο φωτισμός ενός κτηρίου δεν πρέπει να ενεργοποιείται όταν δεν υπάρχουν εργαζόμενοι στο χώρο, ή πρέπει να απαγορεύεται η φυσική πρόσβαση σε διαβαθμισμένες περιοχές όταν δεν υπάρχει επόπτης.
Ένα ακόμα σημαντικό πεδίο εφαρμογής των ανωτέρω αποτελεί η διαδικασία διαχείρισης των προσβάσεων σε φυσικό και ψηφιακό επίπεδο.
Συμπερασματικά, μια ολιστική προσέγγιση προϋποθέτει και τη σύγκλιση των τεχνολογιών της φυσικής και της ψηφιακής ασφάλειας προκειμένου η εφαρμογή της να είναι αποτελεσματική.
- Σύγκλιση ως προς τους ρόλους και τις δομές – Βασικό προαπαιτούμενο της προτεινόμενης σύγκλισης είναι η τροποποίηση της οργανωτικής δομής, ώστε να τεθούν υπό την ίδια σκέπη οι μονάδες που διαχειρίζονται τη φυσική και την ψηφιακή ασφάλεια αντίστοιχα, με παράλληλη δημιουργία κέντρου ολιστικής διαχείρισης των περιστατικών ασφάλειας. Με το τρόπο αυτό ξεκινά η ζύμωση με σκοπό την σύγκλιση των διακριτών αυτών ομάδων, αφού και ο σκοπός της επιχειρηματικής τους λειτουργίας είναι ο ίδιος. Τα τελευταία χρόνια είναι απτά τα παραδείγματα Οργανισμών οι οποίοι προβαίνουν σε τέτοιες κινήσεις, με χαρακτηριστικές τις περιπτώσεις δύο πολυεθνικών εταιρειών που δραστηριοποιούνται στον τομέα της ασφάλισης και της υγειονομικής περίθαλψης αντίστοιχα.
Εναλλακτικά, προτείνεται η θέσπιση μιας οργανωτικής δομής που θα επέτρεπε, αρχικά, την εικονική συνεργασία μεταξύ αυτών των διακριτών αυτών μονάδων, με σκοπό τη δημιουργία κοινών δράσεων, τη σύγκλιση των διαδικασιών διαχείρισης περιστατικών ασφάλειας, αλλά και της αξιολόγησης κινδύνων που αφορούν γενικά την ασφάλεια
Ιδιαίτερα σημαντική είναι επίσης η ανάπτυξη μιας τυποποιημένης, κοινής γλώσσας εντός του Οργανισμού για την επικοινωνία επί των ζητημάτων ασφάλειας. Μια τέτοια γλώσσα καθιστά πολύ πιο εύκολη, αλλά και αποτελεσματική τη συνεννόηση και την επικοινωνία τόσο κατά το στάδιο του σχεδιασμού της στρατηγικής, όσο και κατά τη διαχείριση μιας κρίσης ασφάλειας.
Όπως εύκολα γίνεται αντιληπτό από τα ως άνω, η σύγκλιση σε επίπεδο ρόλων και δομών αποτελεί αναπόσπαστη προϋπόθεση, αλλά και μέρος της γενικότερης σύγκλισης στον τομέα της ασφάλειας σε αντιστοιχία και με τις επιθέσεις, οι οποίες βασίζονται στις αδυναμίες ασφάλειας του ψηφιακού, εικονικού και φυσικού κόσμου συνολικά, χωρίς να μπορεί καν να γίνει διαχωρισμός στις επιμέρους όψεις του.
Έτσι, στο πλαίσιο αυτό, ιδιαίτερα σημαντικός αναδεικνύεται ο ρόλος του Υπεύθυνου Ασφάλειας (Chief Security Officer) που θα τεθεί επικεφαλής της προσπάθειας για τη σύγκλιση στον χώρο της ασφάλειας με διεύρυνση του πεδίου ευθύνης του, το οποίο θα εκτείνεται πλέον από τη διαχείριση των κινδύνων, την κανονιστική συμμόρφωση, μέχρι τη φυσική και την ψηφιακή ασφάλεια, αλλά και την ασφάλεια πληροφοριών. Οι υπεύθυνοι για την φυσική ασφάλεια καθώς και για την ασφάλεια των πληροφοριών θα εξακολουθούν να υφίστανται, θα βρίσκονται όμως σε στενότερη συνεργασία και επικοινωνία μεταξύ τους, αλλά και με τον Υπεύθυνο Ασφάλειας.
Προτεινόμενα βήματα για την επίτευξη της σύγκλησης
Αφού γίνει κατανοητό από τον Οργανισμό ότι η σύγκλιση της φυσικής και της ψηφιακής ασφάλειας αποτελεί ουσιαστικά αναπόδραστη συνέπεια της σύγκλισης και των κινδύνων, αλλά και της επαπειλούμενης από αυτούς ζημίας (εξίσου σημαντικός είναι ο κίνδυνος που προκύπτει από έναν Οργανισμό από μια επίθεση στο δίκτυο πληροφορικής του ή από την εισαγωγή κακόβουλου κώδικα σε λογισμικό, με την κλοπή διακομιστή ή φορητού υπολογιστή με κρίσιμες πληροφορίες από μέλος του συνεργείου καθαριότητας) και τεθούν οι βάσεις για την υλοποίησή της, θα πρέπει να αντιμετωπιστούν οι αναφυόμενες με αυτήν προκλήσεις, οι σημαντικότερες από τις οποίες είναι οι ακόλουθες:
- Έλλειψη προτύπων, δεδομένου ότι τα υφιστάμενα αφορούν κυρίως τη σύγκλιση των τεχνολογιών ασφάλειας
- Ανάγκη για την απόκτηση νέων δεξιοτήτων και συνεχή ενημέρωση, καθώς και συνδυαστικής σκέψης. Δεδομένου ότι το γνωστικό αντικείμενο των δύο χώρων δεν ταυτίζεται, τα στελέχη πρέπει να εντρυφήσουν στις ιδιαιτερότητες του καθενός από αυτούς και να καλύψουν τα όποια κενά προκύψουν.
- Καθορισμός σαφών διακρίσεων αρμοδιοτήτων και ανάθεση ρόλων και ευθυνών με σκοπό την επίτευξη της σύγκλισης
Οι θετικές πάντως επιπτώσεις μια τέτοιας προσέγγισης, αναμένεται να είναι ενδεικτικά οι ακόλουθες:
- Οι παραδοσιακές οργανωτικές διαχωριστικές γραμμές θα αρχίσουν να εξαφανίζονται, π.χ. εκείνες που υφίστανται μεταξύ ψηφιακής ασφάλειας, φυσικής ασφάλειας και ασφάλειας πληροφοριών.
- Η διαχείριση της πιστοποίησης της ταυτότητας του εκάστοτε εργαζόμενου θα γίνεται κεντρικά και θα αφορά όλους τους τύπους προσβάσεων (όχι μόνο στις φυσικές εγκαταστάσεις, αλλά και σε συστήματα και εφαρμογές), καθώς και τις εταιρικές διεργασίες που θα είναι εξουσιοδοτημένος να εκτελεί.
- Προσεγγίσεις όπως η χρήση Καρτών Κοινής Πρόσβασης που χρησιμοποιούνται σήμερα για την υποστήριξη της φυσικής πρόσβασης, θα χρησιμοποιούνται και για την πρόσβαση στο εταιρικό ψηφιακό δίκτυο, καθώς και για την κρυπτογράφηση των μηνυμάτων του ηλεκτρονικού ταχυδρομείου.
- Οι έξυπνες τεχνολογίες ανάλυσης των συμβάντων από τα συστήματα φυσικής ασφάλειας θα χρησιμοποιούνται σε συνδυασμό με σχετικές αναλύσεις των αντίστοιχων μηχανισμών της ψηφιακής ασφάλειας. Με τον τρόπο αυτόν θα καθίσταται δηλαδή δυνατή η συλλογή π.χ. συμβάντων φυσικής ασφάλειας που θα ανιχνεύονται από τις κάμερες παρακολούθησης και ο συσχετισμός τους με συστήματα πληροφορικής και εφαρμογές
Ο κίνδυνος, ανεξάρτητα από το αν προέρχεται από φυσική, λογική ή ψηφιακή αδυναμία της ασφάλειας, θα πρέπει, να εκφράζεται με όρους που γίνονται κατανοητοί για τις διοικήσεις των Οργανισμών. Για παράδειγμα, η παραβίαση της ασφάλειας, ανεξάρτητα από το τρόπο με τον οποίο επιτεύχθηκε, μπορεί να οδηγήσει σε απάτη, μείωση της παραγωγικότητας, κλοπή πνευματική ιδιοκτησίας, κλοπή κρίσιμων εταιρικών πληροφοριών και αυτοί είναι οι κίνδυνοι από τους οποίους χρειάζεται να προστατέψουμε έναν Οργανισμό ανεξάρτητα από τη πηγή προέλευσης των εν λόγω κινδύνων.
Η αντιμετώπιση της φυσικής ασφάλειας και της ασφάλειας πληροφοριών ως ενιαίων και αλληλένδετων διεργασιών (και η τοποθέτησή τους κάτω από την ίδια οργανωτική δομή), δημιουργεί μια κουλτούρα ευαισθητοποίησης και λογοδοσίας σε θέματα ασφάλεια. Σε κάθε περίπτωση πρέπει να γίνει κατανοητό ότι κάθε τομέας της ασφάλειας πρέπει να κατανοήσει και να υιοθετήσει τα εργαλεία του άλλου (τεχνολογία, διαδικασίες, λογική προσέγγιση), προκειμένου να καταστεί δυνατή η ανάπτυξη ολοκληρωμένων δυνατοτήτων πρόληψης και ταυτοποίησης των περιστατικών, αλλά και αντίδρασης σε αυτά και αποτελεσματικής αντιμετώπισής τους, λαμβάνοντας πάντα υπόψη και τις ανάγκες και την πολυπλοκότητα του σύγχρονου εταιρικού περιβάλλοντος, με απώτερο σκοπό όχι μόνο την ίδια την ολιστική αντιμετώπιση της ασφάλειας, αλλά τη μέσω αυτής προστασία του Οργανισμού και των εργαζομένων του.