Τεχνολογια - Επιστημη

Cyber Security: ένας παρεξηγημένος ορισμός

Τι πρέπει να περιλαμβάνει το χτίσιμο ενός κατάλληλου περιβάλλοντος κυβερνοασφάλειας

Παναγιώτης Α. Χριστιάς
2’ ΔΙΑΒΑΣΜΑ

Cyber security: Η κυβερνοασφάλειας, οι κυβερνοεπιθέσεις και το κλειδί για την εφαρμογή μιας ολοκληρωμένης ασπίδας προστασίας 

Πολύ λόγος γίνεται στις μέρες μας γύρω από τον όρο cyber security ή κυβερνοασφάλεια (κατά το ελληνικότερο) που σίγουρα θα μας απασχολήσει πολύ περισσότερο στο μέλλον μια που η καθημερινότητά μας θα συνδεθεί απόλυτα με την τεχνολογία.

Είναι γεγονός αναμφισβήτητο ότι όσο περισσότερο δενόμαστε με τη τεχνολογία τόσο οι κίνδυνοι που απορρέουν από αυτή αυξάνονται, με αποτέλεσμα η ανάγκη για τη δημιουργία κατάλληλου περιβάλλοντος (security framework) και σχεδιασμού κατάλληλων μέτρων προστασίας να γίνεται όλο και πιο επιτακτική για τη λειτουργία των κυβερνήσεων αλλά και πάσης φύσεως εταιριών και οργανισμών.

Όμως η έννοια της κυβερνοασφάλειας στα μάτια κυρίως των ανθρώπων που δεν έχουν ειδική σχέση με την τεχνολογία (και όχι μόνο) είναι πολλές φορές θολή έως και παρεξηγημένη.

Πολλοί πιστεύουν ότι η καλή λειτουργία των πληροφοριακών συστημάτων καθώς και των συσκευών που είναι εκτεθειμένες στο διαδίκτυο, κινδυνεύει κυρίως από αθέμιτες ενέργειες που μπορούν να προκληθούν από ανθρώπους που αποκτούν σχετική πρόσβαση επάνω τους ή στο σχετικό δίκτυο, περιορίζοντας έτσι το πρόβλημα σε αυτό που λέμε cyber attacks.

Είναι όμως μόνο οι κυβερνοεπιθέσεις (cyber attacks) το μείζον πρόβλημα για την καλή λειτουργία των πληροφοριακών συστημάτων; Χωρίς να παραγνωρίζει κανείς τον κίνδυνο που προέρχεται από τα cyber attacks υπάρχουν πολλοί ακόμη κίνδυνοι και γεγονότα που μπορεί να προκαλέσουν ίση ή και μεγαλύτερη ζημία στα πληροφοριακά συστήματα μιας χώρας ή μιας εταιρίας και κατ’ επέκταση στην ασφάλεια της χώρας ακόμη και σε καιρό ειρήνης την εθνική ανεξαρτησία πολύ δε περισσότερο στην εταιρία.

Η κακή χρήση των συστημάτων (από άγνοια ή δόλο), ο εσφαλμένος δικτυακός σχεδιασμός, η ανεπαρκής παραμετροποίηση, τα απρόβλεπτα φυσικά γεγονότα (όπως η φωτιά, ο σεισμός, ο κεραυνός, η αύξηση θερμοκρασίας/υγρασία), η αδυναμία αδιάλειπτης παροχής ρεύματος και δεδομένων (data), σφάλματα στη λειτουργία των ίδιων των εφαρμογών που υποστηρίζουν τα πληροφοριακά συστήματα (software problems), οι ανεπαρκείς δικλείδες ασφαλείας, ελλείψεις στην εκπαίδευση των εργαζομένων και στην εμπέδωση σχετικής κουλτούρας, είναι επίσης σημαντικές αιτίες που μπορούν να θέσουν σε κίνδυνο τόσο τα συστήματα και δεδομένα ενός οργανισμού, αλλά και τους ανθρώπους του και εν τέλει την ίδια την υπόστασή του.

Οι σημερινές ανάγκες επιτάσσουν το χτίσιμο ενός περιβάλλοντος (cybe rsecurity framework) σχεδιασμένο κατά τρόπο που να λαμβάνει υπόψη του όλους τους κινδύνους που μπορούν να θέσουν σε κίνδυνο τα περιουσιακά στοιχεία ενός οργανισμού (assets), που είναι οι άνθρωποι, τα συστήματά του και βέβαια τα δεδομένα που διαχειρίζεται.

Το χτίσιμο ενός κατάλληλου περιβάλλοντος κυβερνοασφάλειας πέραν της προμήθειας σχετικών συστημάτων και εφαρμογών (π.χ. παρακολούθησης της καλής λειτουργίας του δικτύου, antivirus) πρέπει να περιλαμβάνει οργανωτικά μέτρα που θα καθορίζονται από συγκεκριμένες πολιτικές και διαδικασίες και θα αφορούν τόσο την πρόληψη και αποφυγή σχετικών γεγονότων και περιστατικών, όσο και τη διαχείριση περιστατικών σε περίπτωση που αυτά εκδηλωθούν. Για να επιτευχθεί όμως κάτι τέτοιο πέραν των απαραίτητων επενδύσεων που απαιτούνται, είναι επιβεβλημένη η εμπέδωση αντίστοιχης εργασιακής κουλτούρας, τόσο στο επίπεδο του Upper Management όσο και στο σύνολο των εργαζομένων, πράγμα απολύτως ανεξερεύνητο στην Ελλάδα τόσο στο επίπεδο του δημόσιου όσο και του ιδιωτικού τομέα.

Η εμπέδωση της απαραίτητης εργασιακής κουλτούρας κυβερνοασφάλειας, αποτελεί κλειδί για την εφαρμογή μιας ολοκληρωμένης ασπίδας προστασίας του εκάστοτε οργανισμού και αποτελεί «πεδίον δόξης λαμπρόν» για το πολυδιαφημισμένο ψηφιακό κράτος.