“Οι ελληνικές επιχειρήσεις δεν μπαίνουν στην ουσία της κυβερνοασφάλειας”

του Άρη Χατζηπαπά, Cyber & ICT Security Consultant, CCO, DPO, BU Managed Services for Infrastructure της Cosmos Business Systems

Ο ψηφιακός μετασχηματισμός των επιχειρήσεων, η μεταφορά των εφαρμογών στο cloud και η αύξηση της απομακρυσμένης εργασίας έχουν ως αποτέλεσα την αύξηση των απειλών της κυβερνοασφάλειας. Νέες απειλές εμφανίζονται συνεχώς, δυσκολεύοντας την προστασία των εταιρικών δεδομένων, δημιουργώντας ανασφάλεια σε θέματα security ανάμεσα στους επαγγελματίες όλων των κλάδων. 

Οι βασικότεροι ψηφιακοί κίνδυνοι που αντιμετωπίζουν σήμερα οι επιχειρήσεις διαχωρίζονται σε 2 πυλώνες:

1. Τις απειλές στην επιχειρησιακή συνέχεια (Availability & Business Continuity Threads) με πλαίσιο και οδηγό το αντίστοιχο ISO22301, το οποίο αναπτύσσει με μεγάλο βάθος τη διαδικασία επιχειρησιακής συνέχειας, με στόχο τη συνέχιση της επιχειρηματικότητας μέσα από απειλές ή καταστροφές.
2. Τις επιπτώσεις από διαρροή εταιρικών και προσωπικών δεδομένων (Confidentiality Risks-GDPR) με βάση και τα πρόστιμα που επιβάλλονται από τον κανονισμό GDPR, ειδικά σε ειδικού ενδιαφέροντος υπηρεσίες και φορείς δημόσιου ή ιδιωτικού τομέα (νοσοκομεία, σχολεία, ΜΚΟ, ναυτιλιακές κ.λπ.). Οι απειλές δεν πρέπει να περιορίζονται στη νομική και μόνο διάσταση, αλλά οφείλουν να συμπεριλαμβάνουν και μελέτες Infrastructure Security και Privacy Risk με τη συμμετοχή Cybersecurity συμβούλου στην ομάδα του DPO. Οι DPIA (μελέτες επίπτωσης ιδιωτικότητας) πρέπει να γίνουν πιο διαδεδομένες, ιδίως στην τηλεκπαίδευση, την τηλεργασία και τις ιατρικές εφαρμογές.

Η ψηφιακή ασφάλεια των ελληνικών επιχειρήσεων περιορίζεται σε μεγάλο βαθμό κυρίως στα γνωστά και κλασικά εργαλεία Penetration Test & SOC, χωρίς να μπαίνουμε στην ουσία της κυβερνοασφάλειας (έλλειψη εκπαίδευσης, έλλειψη εσωτερικών διαδικασιών και ελέγχων, μη παρακολούθηση μετρήσεων κ.ά.). 

Συνήθως ο χρήστης δεν γνωρίζει πώς θα ξεχωρίσει το κακόβουλο λογισμικό στις phishing καμπάνιες. Το backup της βάσης δεδομένων δεν έχει δοκιμαστεί ποτέ αν λειτουργεί. Η δωρεάν κρυπτογράφηση των Windows 10 laptop και δίσκων δεν χρησιμοποιείται όσο θα έπρεπε. Τα μισά εταιρικά δεδομένα μεταφέρονται ελεύθερα στα προσωπικά gmail/dropbox των χρηστών και οι developers κρατούν αντίγραφα των databases εκτός εταιρείας.

 Η βέλτιστη πρακτική για τη συνολική παρακολούθηση του βαθμού εταιρικής προστασίας είναι τα διάφορα metrix, Key Performance Indicators & Key Risk Indicators. Ο κύκλος του Plan-Do-Check-Act υποστηρίζεται από τις απαραίτητες αυτές μετρήσεις σε κάθε βήμα ως οδηγός αυτοβελτίωσης. 

Έτσι, δηλώσεις εφησυχασμού όπως «είμαστε καλά στο security» ή «έχω antivirus & firewall, δεν χρειάζομαι κάτι άλλο», «είμαι στο cloud, άρα είμαι ασφαλής» προφανώς δεν ισχύουν εξ ορισμού, αλλά και στον βαθμό που αληθεύουν, θα πρέπει να συνοδεύονται με τις κατάλληλες μετρήσεις. Αυτές θα πρέπει στην πορεία 12 μηνών να δείχνουν σαφώς τη θετική κατεύθυνση ως τεκμήριο για τα επόμενα βήματα. 

Επιπρόσθετη σημαντική πρακτική θα ήταν η ανάλυση της ασφάλειας με βάση τα ρίσκα και όχι τα προϊόντα (Risk-Based Security Assessment). Πώς θα αποφύγω τη μαζική μόλυνση αρχείων στον file server; Πώς θα αποφύγω τη διαρροή προσωπικών δεδομένων αν κλαπεί το laptop του λογιστηρίου; Πώς θα λειτουργήσω αν το Rack στο computer room πάψει να λειτουργεί, λόγω μικρής διαρροής νερού από την οροφή ή μικρής τοπικής φωτιάς; Κάθε ρίσκο απαιτεί συνδυασμό δράσεων, προϊόντων και διαδικασιών και δεν αντιμετωπίζεται σε καμία περίπτωση μονοσήμαντα.

Πηγή: ΠΕΡΙΟΔΙΚΟ ΧΡΗΜΑ