του κ. Βασίλη Μπάρμπα, IT Director της Globalsat, για την AXIA CERT
Ο Ανθρώπινος Παράγοντας: Ένας Μεγάλος Κίνδυνος / Η Μεγαλύτερη Ευπάθεια στην Ασφάλεια Πληροφοριών
Η ψηφιακή ασφάλεια αποτελεί έναν από τους σημαντικότερους τομείς ενδιαφέροντος για κάθε σύγχρονο οργανισμό. Παρά τα τεχνικά και οργανωτικά μέτρα που λαμβάνονται για την προστασία από κυβερνοεπιθέσεις, ο ανθρώπινος παράγοντας παραμένει μία από τις μεγαλύτερες ευπάθειες. Οι εργαζόμενοι, χωρίς πρόθεση, μπορεί να αποτελέσουν την πύλη εισόδου για επιθέσεις, κυρίως λόγω απροσεξίας, έλλειψης εκπαίδευσης και απουσίας τεχνικών και οργανωτικών μέτρων.
Ας αναλύσουμε τους βασικούς κινδύνους και τις λύσεις που μπορούν να εφαρμοστούν.
Κοινά Ανθρώπινα Λάθη:
Χρήση Αδύναμων Κωδικών:
Οι αδύναμοι κωδικοί σε εταιρικούς & προσωπικούς λογαριασμούς είναι μια από τις πιο κοινές ευπάθειες. Εργαζόμενοι χρησιμοποιούν συχνά εύκολα προβλέψιμους ή κοινούς κωδικούς, όπως “123456” ή “password”. Αυτοί οι κωδικοί μπορούν να παραβιαστούν εύκολα με τη χρήση τεχνικών brute force ή dictionary attacks. Η χρήση μοναδικών, σύνθετων κωδικών με συνδυασμό αριθμών, γραμμάτων και συμβόλων είναι απαραίτητη για την ενίσχυση της ασφάλειας.
Κλικ σε Κακόβουλα Emails (Phishing):
Οι επιθέσεις phishing έχουν εξελιχθεί και γίνονται όλο και πιο πειστικές. Μάλιστα με την χρήση ΑΙ η επίθεση είναι αρκετά ποιο εξελιγμένη σε όλα τα επίπεδα. Οι επιτιθέμενοι δημιουργούν emails που φαίνονται να προέρχονται από αξιόπιστες πηγές, οδηγώντας τους χρήστες να αποκαλύψουν ευαίσθητες πληροφορίες ή να κατεβάσουν κακόβουλο λογισμικό. Η εκπαίδευση των εργαζομένων στην αναγνώριση τέτοιων emails είναι κρίσιμη για την αποφυγή αυτών των επιθέσεων.
Αποτυχία Ενημέρωσης Λογισμικού στις Εταιρικές Συσκευές (Software updates/Patches):
Οι ενημερώσεις λογισμικού περιλαμβάνουν επιδιορθώσεις για γνωστές ευπάθειες. Η αμέλεια στην εγκατάσταση αυτών των ενημερώσεων μπορεί να αφήσει τα συστήματα εκτεθειμένα σε επιθέσεις. Οι οργανισμοί πρέπει να εφαρμόζουν μια αυστηρή πολιτική ενημερώσεων για να διασφαλίζουν ότι όλα τα συστήματα είναι ενημερωμένα.
Αποτυχία Ενημέρωσης Λογισμικού στις Προσωπικές Συσκευές (Software updates/Patches) :
Οι προσωπικές συσκευές που χρησιμοποιούνται για επαγγελματικούς σκοπούς πρέπει επίσης να ενημερώνονται τακτικά. Η μη ενημέρωση αυτών των συσκευών μπορεί να δημιουργήσει κενά ασφαλείας που οι επιτιθέμενοι μπορούν να εκμεταλλευτούν. Σημειώνεται ότι πολιτικές BYOD είναι απαραίτητες σε εταιρικό περιβάλλον.
Αποτυχία Ενημέρωσης Λογισμικού στις Οικιακές Συσκευές IoT (Software updates/Patches):
Οι οικιακές συσκευές IoT συνδέονται στο διαδίκτυο και συχνά παραμελούνται όσον αφορά την ασφάλεια. Αυτές οι συσκευές μπορούν να αποτελέσουν πύλη για επιθέσεις αν δεν ενημερώνονται τακτικά με τις τελευταίες επιδιορθώσεις ασφαλείας.
Number of incidents of data breaches in Greece from 1st quarter 2020 to 4th quarter 2023(in 1,000s)
Πρόγραμμα Ευαισθητοποίησης & Εκπαίδευσης σε Όλους τους Εργαζόμενους
Η συνεχής εκπαίδευση των εργαζομένων είναι κρίσιμης σημασίας για την προστασία ενός οργανισμού από κυβερνοεπιθέσεις. Η εφαρμογή ενός προγράμματος ευαισθητοποίησης ασφάλειας μπορεί να βοηθήσει τους εργαζόμενους να αναγνωρίζουν και να αντιμετωπίζουν πιθανές απειλές.
Οι οργανισμοί πρέπει να επενδύουν σε τακτικά σεμινάρια και εκπαιδευτικά προγράμματα που να καλύπτουν:
Αναγνώριση Απειλών:
Οι εργαζόμενοι πρέπει να εκπαιδεύονται στην αναγνώριση κακόβουλων emails, ύποπτων συνδέσμων και άλλων μορφών επιθέσεων. Η κατανόηση των σημείων που δείχνουν μια πιθανή απειλή είναι ζωτικής σημασίας για την πρόληψη.
Οδηγίες για τη Δημιουργία και Διαχείριση Ισχυρών Κωδικών:
Η εκπαίδευση στη δημιουργία σύνθετων κωδικών και η χρήση διαχειριστών κωδικών μπορεί να μειώσει τον κίνδυνο παραβίασης λογαριασμών. Οι εργαζόμενοι πρέπει να κατανοούν τη σημασία της μη επαναχρησιμοποίησης κωδικών και της τακτικής αλλαγής τους.
Ενημέρωση για τις Τελευταίες Απειλές και τις Βέλτιστες Πρακτικές Ασφάλειας:
Η ενημέρωση για τις τελευταίες εξελίξεις στον τομέα της κυβερνοασφάλειας και τις βέλτιστες πρακτικές βοηθά τους εργαζομένους να είναι προετοιμασμένοι και ενημερωμένοι για νέες απειλές.
Ανάλυση Σεναρίων:
Η ανάλυση πραγματικών σεναρίων επιθέσεων και η συμμετοχή σε ασκήσεις προσομοίωσης μπορεί να βοηθήσει τους εργαζομένους να αντιδρούν αποτελεσματικά σε πραγματικές επιθέσεις.
Ασφαλής Χρήση των Τεχνολογικών Πόρων:
Η εκπαίδευση στη σωστή χρήση των τεχνολογικών πόρων της εταιρείας, όπως η χρήση VPN, η κρυπτογράφηση δεδομένων και η ασφαλής περιήγηση, μπορεί να μειώσει τις πιθανότητες επιτυχημένων επιθέσεων.
Αξιολόγηση Δεξιοτήτων:
Η τακτική αξιολόγηση των δεξιοτήτων των εργαζομένων μέσω ανώνυμων τεστ και quizzes μπορεί να βοηθήσει στην αναγνώριση κενών γνώσεων και στην ενίσχυση των εκπαιδευτικών προγραμμάτων.
Ενδυνάμωση και Παροχή Κινήτρων:
Η ενίσχυση της συμμετοχής των εργαζομένων και η καλλιέργεια μιας κουλτούρας ασφάλειας μπορεί να γίνει μέσω παροχής κινήτρων και αναγνώρισης της προσπάθειάς τους. Οι εργαζόμενοι πρέπει να αισθάνονται υπεύθυνοι και να έχουν την αυτοπεποίθηση να αναφέρουν ύποπτες δραστηριότητες χωρίς φόβο επιπτώσεων.
Βασικά Σημεία ενός Προγράμματος Cyber Security Awareness
Για την υλοποίηση ενός επιτυχημένου προγράμματος ευαισθητοποίησης στην κυβερνοασφάλεια, οι οργανισμοί πρέπει να περιλαμβάνουν τα εξής:
Simulation – Phishing Emails:
Η αποστολή εικονικών phishing emails μπορεί να εκπαιδεύσει τους εργαζομένους στην αναγνώριση και την αποφυγή τέτοιων επιθέσεων. Η ανάλυση των αποτελεσμάτων μπορεί να δείξει τα σημεία που χρειάζονται βελτίωση.
Εσωτερικές Ενημερώσεις/Παρουσιάσεις:
Με την καθιέρωση συγκεκριμένων ημερών ενημέρωσης, με σύντομες και περιεκτικές παρουσιάσεις, διάρκειας 15-20 λεπτών, μπορούν να κρατήσουν τους εργαζόμενους ενημερωμένους για τις τελευταίες εξελίξεις και πρακτικές ασφαλείας.
Ενημερωτικό Κοινόχρηστο Blog (Intranet):
Ένα blog στο εσωτερικό δίκτυο της εταιρείας μπορεί να χρησιμεύσει ως πλατφόρμα για την κοινοποίηση πληροφοριών ασφάλειας, άρθρων και ανακοινώσεων σχετικά με την κυβερνοασφάλεια.
Δραστηριότητες κατά τον Παγκόσμιο Μήνα Κυβερνοασφάλειας (Οκτώβριος):
Η διοργάνωση εκδηλώσεων και δραστηριοτήτων κατά τον Παγκόσμιο Μήνα Κυβερνοασφάλειας μπορεί να αυξήσει την ευαισθητοποίηση και την εμπλοκή των εργαζομένων.
Μηνιαία Εταιρική Ανάλυση (Cyber Security KPIs):
Η παρακολούθηση και ανάλυση των βασικών δεικτών απόδοσης της κυβερνοασφάλειας (KPIs) μπορεί να δείξει την πρόοδο και τα σημεία που χρειάζονται βελτίωση.
Συμμετοχή της Διοίκησης:
Η συμμετοχή και η υποστήριξη της διοίκησης είναι κρίσιμη για την επιτυχία του προγράμματος. Όταν οι ηγέτες του οργανισμού συμμετέχουν ενεργά και δείχνουν το παράδειγμα, αυτό μπορεί να ενισχύσει την αφοσίωση και την προσοχή των εργαζομένων στην κυβερνοασφάλεια.
Με την ενσωμάτωση αυτών των στοιχείων, οι οργανισμοί μπορούν να δημιουργήσουν ένα αποτελεσματικό πρόγραμμα ευαισθητοποίησης στην κυβερνοασφάλεια που θα συμβάλει σημαντικά στην προστασία από κυβερνοαπειλές.
Κουλτούρα Ασφάλειας
Η καλλιέργεια μιας κουλτούρας ασφάλειας όπου η κυβερνοασφάλεια θεωρείται ευθύνη όλων μπορεί να μειώσει σημαντικά τις πιθανότητες επιτυχίας μιας κυβερνοεπίθεσης. Οι εργαζόμενοι πρέπει να αισθάνονται υπεύθυνοι και να έχουν την αυτοπεποίθηση να αναφέρουν ύποπτες δραστηριότητες χωρίς φόβο επιπτώσεων. Με τη σωστή εκπαίδευση και κουλτούρα, οι οργανισμοί μπορούν να μετατρέψουν την αδυναμία αυτή σε δύναμη, ενισχύοντας την συνολική τους άμυνα απέναντι στις κυβερνοεπιθέσεις.
Τεχνικά και Οργανωτικά Μέτρα:
Τα τεχνικά και οργανωτικά μέτρα που θεωρούνταν πριν μερικά χρόνια πολυτέλεια, τώρα αποτελούν αναπόσπαστο κομμάτι κάθε οργανισμού που θέλει να προστατέψει το εργασιακό του περιβάλλον. Μερικά βασικά μέτρα περιλαμβάνουν:
Καταγεγραμμένες Βάσει Προτύπου Πολιτικές & Διαδικασίες: Η δημιουργία και η τήρηση πολιτικών και διαδικασιών σύμφωνα με πρότυπα ασφαλείας, όπως το ISO 27001, μπορεί να προσφέρει έναν σαφή οδηγό για την ασφάλεια των πληροφοριών.
Backup :
Τα τακτικά αντίγραφα ασφαλείας (backup) των δεδομένων είναι απαραίτητα για την ανάκτηση των πληροφοριών σε περίπτωση απώλειας ή επίθεσης ransomware.
Κρυπτογράφηση (Δεδομένων & Συσκευών):
Η κρυπτογράφηση δεδομένων και συσκευών διασφαλίζει ότι οι πληροφορίες παραμένουν προστατευμένες ακόμη και αν πέσουν σε λάθος χέρια.
Εγκατάσταση & Παραμετροποίηση Firewall:
Η εγκατάσταση και η σωστή παραμετροποίηση των firewalls μπορούν να αποτρέψουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της εταιρείας.
Ενημερωμένο Antivirus σε Όλες τις Συσκευές:
Η χρήση ενημερωμένου antivirus σε όλες τις συσκευές μπορεί να προστατεύσει από κακόβουλο λογισμικό και ιούς.
Security Awareness Program:
Η εφαρμογή ενός προγράμματος ευαισθητοποίησης ασφάλειας για τους εργαζομένους είναι απαραίτητη για την προστασία του οργανισμού από κυβερνοεπιθέσεις.
MFA (Multi-Factor Authentication) σε Όλα τα Accounts:
Η χρήση πολλαπλών παραγόντων αυθεντικοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς χρηστών.
EDR (End Point Detection and Response) σε Όλες τις Συσκευές:
Τα συστήματα EDR μπορούν να ανιχνεύσουν και να ανταποκριθούν σε απειλές σε πραγματικό χρόνο, προστατεύοντας τις συσκευές του οργανισμού.
Vulnerability Assessment:
Οι τακτικές αξιολογήσεις ευπαθειών (vulnerability assessments) βοηθούν στον εντοπισμό και την αντιμετώπιση αδυναμιών στα συστήματα.
Penetration Tests:
Τα tests ανάλυσης & κακόβουλης παραβίασης/δραστηριότητας (penetration tests) προσομοιώνουν επιθέσεις στον οργανισμό για να εντοπίσουν και να διορθώσουν κενά ασφαλείας.
Υπηρεσία SOC (Security Operations Center):
Η ύπαρξη μιας υπηρεσίας SOC είναι κρίσιμη για την παρακολούθηση, την ανάλυση και την αντιμετώπιση των κυβερνοαπειλών σε πραγματικό χρόνο. Το SOC λειτουργεί ως το κεντρικό σημείο διαχείρισης της ασφάλειας, συνδυάζοντας τεχνολογίες, διαδικασίες και ανθρώπινο δυναμικό για να διασφαλίσει την συνεχή προστασία των πληροφοριακών συστημάτων του οργανισμού. Η υπηρεσία αυτή μπορεί να εντοπίζει ανωμαλίες και να ανταποκρίνεται άμεσα σε περιστατικά ασφάλειας, μειώνοντας τον χρόνο αντίδρασης και περιορίζοντας τις επιπτώσεις των επιθέσεων.
Πιστοποίηση σύμφωνα με διεθνή πρότυπα ISO 27001, ISO 22301, κ.α.:
Η υιοθέτηση διεθνών προτύπων, όπως τα ISO 27001 για τη διαχείριση της ασφάλειας των πληροφοριών και ISO 22301 για τη διαχείριση επιχειρησιακής συνέχειας, βοηθά στη διασφάλιση μιας ολοκληρωμένης προσέγγισης στην ασφάλεια.
Συνοψίζοντας, η συνεχής εκπαίδευση και η καλλιέργεια μιας κουλτούρας ασφάλειας μπορούν να μετατρέψουν τον ανθρώπινο παράγοντα από τη μεγαλύτερη ευπάθεια σε μια από τις μεγαλύτερες και ισχυρότερες δυνάμεις ενός οργανισμού, ενισχύοντας την άμυνα απέναντι στις κυβερνοεπιθέσεις. Τα τεχνικά και οργανωτικά μέτρα που θεωρούνταν πριν 3-4-5 χρόνια πολυτέλεια (nice to have), τώρα πλέον είναι απαραίτητα και αποτελούν αναπόσπαστο κομμάτι κάθε σύγχρονου οργανισμού που επιδιώκει να προστατέψει το εργασιακό περιβάλλον.