Οι κυβερνο-εγκληματίες εκμεταλλεύονται τα κενά ασφαλείας που παρουσιάζονται τόσο λόγω ελλιπούς κατανόησης των νέων τεχνολογιών από την επιχείρηση όσο και ελλιπούς πληροφόρησης στους εργαζόμενους-χρήστες από την επιχείρηση για τις νέες μορφές ψηφιακής παραπλάνησης
Το Παρατηρητήριο Ψηφιακού Μετασχηματισμού του ΣΕΒ με τη συνεργασία της Deloitte, προτείνει ένα πλέγμα 35 καλών πρακτικών κυβερνοασφάλειας. Επιπλέον, περιέχει έναν οδικό χάρτη προετοιμασίας για την αντιμετώπιση ψηφιακών επιθέσεων, ώστε οι επιχειρήσεις να αναβαθμίσουν την ασφάλειά τους μέσα από την απάντησή τους σε 10 κρίσιμα ερωτήματα:
Επίγνωση: περιλαμβάνει την κατανόηση και αξιολόγηση του κινδύνου και τις απαραίτητες δομές και πόρους ψηφιακής προστασίας
1. Ποιος έχει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO); Έχει η θέση επαρκείς διοικητικές αρμοδιότητες για το σχεδιασμό και εποπτεία της κυβερνοασφάλειας;
2. Διατίθεται επαρκής προϋπολογισμός και ανθρώπινοι πόροι για θέματα κυβερνο-προστασίας;
Προστασία: λειτουργίες και συστήματα που προστατεύονται με καλές πρακτικές και δικλείδες ασφαλείας
3. Ποιες διαδικασίες της επιχείρησης βασίζονται καταλυτικά σε ψηφιακά συστήματα και πως επηρεάζεται η καθημερινή λειτουργία της επιχείρησης από προβλήματα στα συστήματα αυτά;
4. Ποια είναι τα κρίσιμα προϊόντα / υπηρεσίες / πληροφορίες / γραμμές παραγωγής / ΤΠΕ που χρήζουν προστασίας;
5. Ποιοι είναι οι νέοι κίνδυνοι που αναπτύσσονται στον κυβερνοχώρο για τις κρίσιμες διαδικασίες και συστήματα της επιχείρησης;
6. Ποιο είναι το υφιστάμενο και ποιο το επιθυμητό επίπεδο κυβερνοασφάλειας στις διαδικασίες και στα συστήματα της επιχείρησης;
Ανθεκτικότητα: με αρχιτεκτονική ψηφιακής ασφάλειας και συνεχείς προληπτικούς ελέγχους
7. Ποια πρότυπα ασφαλείας πρέπει να χρησιμοποιήσει η επιχείρηση;
8. Ποιες είναι οι προτεραιότητες για την κυβερνοπροστασία της επιχείρησης, με μεσοπρόθεσμο (1 έτος) και μακροπρόθεσμο ορίζοντα (5 έτη);
9. Πως υιοθετείται μια κουλτούρα ασφαλούς χρήσης ψηφιακών συστημάτων από όλους τους εργαζόμενους;
10. Κάθε πότε γίνονται δοκιμές ανθεκτικότητας της προστασίας και κάθε πότε επικαιροποιείται η στρατηγική;
Οι απαντήσεις κάθε επιχείρησης στις παραπάνω ερωτήσεις θα τη βοηθήσουν να αποτρέψει σημαντικούς κινδύνους κυβερνοασφάλειας, εφόσον στο επόμενο στάδιο συνοδεύονται και από την εφαρμογή ενός αντίστοιχου σχεδίου, προσαρμοσμένου στις ανάγκες της. Μια τέτοια προσέγγιση, πέρα από αυξημένο επίπεδο ασφάλειας κατά τη λειτουργία της επιχείρησης, προσφέρει και ένα σημαντικό ανταγωνιστικό πλεονέκτημα, τόσο μέσω της διασφάλισης της εμπιστοσύνης μετόχων και πελατών στη διοίκηση της επιχείρησης, όσο και μέσα από τη μεγιστοποίηση του οφέλους των τεχνολογιών της 4ης Βιομηχανικής Επανάστασης.
Κυβερνοασφάλεια στο έξυπνο εργοστάσιο
Η βιομηχανία συγκαταλέγεται στους κλάδους που απειλούνται περισσότερο από κυβερνοεπιθέσεις, στην εποχή της 4ης Βιομηχανικής Επανάστασης. Επομένως, η μετάβαση μιας επιχείρησης στο «έξυπνο» εργοστάσιο δεν μπορεί να πραγματοποιηθεί χωρίς την ανάλογη προστασία.
Η κυβερνοασφάλεια στη βιομηχανία δεν αφορά μόνο συγκεκριμένες λειτουργίες ή τμήματα / εργαζομένους. Αντιθέτως, σχετίζεται με όλα τα επίπεδα και στάδια της βιομηχανικής μονάδας.
Πρέπει να ληφθεί υπόψη ότι στην εποχή της διασύνδεσης κάθε εργαζόμενος, ηλεκτρονική συσκευή, μηχάνημα ή τελικό προϊόν, από τη στιγμή που αποτελεί μέρος ενός διασυνδεδεμένου δικτύου, αποτελεί ταυτόχρονα και πιθανό στόχο κυβερνοεπίθεσης.
Μια βιομηχανία, προκειμένου να μεταβεί στο «έξυπνο» εργοστάσιο, πρέπει να ενοποιήσει τα συστήματα πληροφορικής και τεχνολογίας παραγωγής (ΙΤ και ΟΤ αντίστοιχα), γεγονός που συνεπάγεται μεγαλύτερη έκθεση του τομέα ΟΤ στον κυβερνοχώρο και επομένως αυξημένη πιθανότητα στοχοποίησης.
Ο συγκερασμός όμως του φυσικού και ψηφιακού μέρους του εργοστασίου αποτελεί ένα σύνθετο εγχείρημα, καθώς ενδέχεται να προκύπτουν σημαντικές διαφορές σε επίπεδο τεχνολογιών, διαδικασιών και δεξιοτήτων. Μια από τις παραμέτρους που μπορεί να δυσχεράνει τη μετάβαση σε ένα πετυχημένο μοντέλο μιας κυβερνοφυσικής μονάδας, είναι οι διαφορετικές τεχνολογίες / μηχανισμοί ασφάλειας που εφαρμόζονται στα συστήματα ΟΤ και ΙΤ. Το γεγονός αυτό, οδηγεί συχνά σε σημαντικές τροποποιήσεις, ώστε να γίνει δυνατή η υποστήριξη των μηχανισμών αυτών από τις υπάρχουσες υποδομές πληροφορικής. Όμως η διαδικασία ενοποίησης της ασφάλειας των ΙΤ και ΟΤ, ενέχει σημαντικούς κινδύνους και εμπόδια, που μπορούν να προκύψουν από:
• τον υψηλό βαθμό δυσκολίας για τη σύγκλιση των συστημάτων ΙΤ και ΟΤ (π.χ. κάποιες κρίσιμες λειτουργίες μπορεί να έχουν ανατεθεί με outsourcing σε εξωτερικούς συνεργάτες),
• το διαφορετικό τρόπο διαχείρισης κινδύνων και λειτουργίας μηχανισμών ασφαλείας,
• την προβληματική ενημέρωση του λογισμικού,
• τα απαρχαιωμένα συστήματα ΟΤ, τα οποία έχουν μεγάλο κύκλο ζωής,
• την έλλειψη σταθερότητας των υποδομών (π.χ. προβληματική λειτουργία των υφιστάμενων δικτύων και αρχιτεκτονικών στις αυξημένες ροές δεδομένων),
• λειτουργικούς περιορισμούς (π.χ. ενδεχόμενη προσωρινή παύση της γραμμής παραγωγής προκειμένου να γίνουν αλλαγές στα συστήματα ΟΤ).
Αν δεν διευθετηθούν τα παραπάνω ζητήματα, το «έξυπνο» εργοστάσιο, όντας μια μονάδα που ενσωματώνει διαφορετικά περιβάλλοντα και τεχνολογίες (μηχανολογικά – ψηφιακά), μπορεί να εμφανίσει σημαντικές ευπάθειες / αδύναμα σημεία, σε τομείς όπως: μοντέλα σχεδιασμού παραγωγής, συστήματα προγραμματισμού ποσότητας υλικών (MRP), τεχνολογίες 3D printing, διαδικασίες Robotic Process Automation, προληπτική συντήρηση, κ.ά.
10 βήματα για ένα ολιστικό σχέδιο κυβερνοασφάλειας
Η επιχείρηση πρέπει να λάβει υπόψη τις ευκαιρίες, αλλά και τους κινδύνους που ενδέχεται να προκύψουν από την υιοθέτηση disruptive τεχνολογιών. Στα πλαίσια αυτά, αφενός πρέπει να σταθμίσει τις ανάγκες υιοθέτησης καινοτομιών που είναι απαραίτητες για την ανάπτυξή της και αφετέρου να προσδιορίσει τις ανάγκες προστασίας που θα προκύψουν, τόσο από τις υπάρχουσες, όσο και τις επερχόμενες απειλές. Επομένως, χρειάζεται να καταρτίσει ένα ολιστικό σχέδιο κυβερνοασφάλειας, ακολουθώντας τα εξής βασικά βήματα:
1. Κατανομή ρόλων και δημιουργία ομάδας για την κατάρτιση του σχεδίου. Αρχικά, η επιχείρηση πρέπει να θεσπίσει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO), ο οποίος αποτελεί μέλος της Διοίκησης, αλλά και σύμβουλο της Εκτελεστικής Διοίκησης σε θέματα τεχνολογίας και ασφάλειας πληροφοριών και δεδομένων. Ακολούθως, σχηματίζεται μια ομάδα η οποία θα αναλάβει το σχεδιασμό και εποπτεία του πλάνου κυβερνοασφάλειας της επιχείρησης, με τη συμμετοχή της Εκτελεστικής Διοίκησης (C-Suite), του Υπεύθυνου Ασφάλειας Πληροφοριών και στελεχών του τμήματος ΙΤ (π.χ. Υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων (ΙΤ Security Officer)). Τέλος, δημιουργείται το τμήμα κυβερνοασφάλειας, το οποίο ο CISO στελεχώνει με τις κατάλληλες δεξιότητες.
2. Εξέταση του μοντέλου λειτουργίας. Η ομάδα σχεδιασμού ξεκινάει την κατάρτιση του πλάνου κυβερνοασφάλειας με την καταγραφή και κατανόηση του τρόπου με τον οποίο λειτουργεί η επιχείρηση, των διαδικασιών που χρησιμοποιεί και των στόχων που έχουν τεθεί.
3. Αξιολόγηση του υφιστάμενου επιπέδου κυβερνοασφάλειας. Για κάθε μια από τις διαδικασίες που καταγράφονται στο προηγούμενο βήμα, προσδιορίζεται ο βαθμός προστασίας τους από επιθέσεις και επομένως η ωριμότητα του τωρινού επιπέδου κυβερνοασφάλειας της επιχείρησης. Με τον τρόπο αυτό, εντοπίζονται πιθανά κενά (breaches) στην ασφάλεια του οργανισμού, και γενικότερα τομείς για βελτίωση του επιπέδου προστασίας.Το βήμα αυτό, μπορεί να υλοποιηθεί είτε ενδοεπιχειρησιακά, είτε από εξωτερικούς εξειδικευμένους συμβούλους.
4. Διερεύνηση και αξιολόγηση των υφιστάμενων και αναπτυσσόμενων κινδύνων και απειλών στον κυβερνοχώρο. Απαραίτητη προϋπόθεση κατάρτισης της στρατηγικής για μια αποτελεσματική κυβερνοασφάλεια, αποτελεί η εξέταση του εξωτερικού περιβάλλοντος, με τον εντοπισμό των απειλών στον κυβερνοχώρο και των συνεπειών που ενδέχεται να έχουν στην επιχείρηση. Για να αποτυπωθεί σωστά ο χάρτης με τις πηγές προέλευσης και τη φύση των κινδύνων και απειλών, πρέπει να διερευνηθεί προσεκτικά το περιβάλλον στο οποίο λειτουργεί η επιχείρηση. Ενδεικτικά, να καταγραφούν / προσδιοριστούν: οι πελάτες, οι προμηθευτές, διάφοροι τρίτοι με τους οποίους έχουν καταρτιστεί συνεργασίες, οι κυριότεροι ανταγωνιστές, οι απειλές που αντιμετωπίζουν οι ανταγωνιστές ή τους έχουν επηρεάσει στο παρελθόν, ποιοι θα μπορούσαν να επωφεληθούν από μια επίθεση στα συστήματα της επιχείρησης και τη διακοπή της λειτουργίας της, οι μέθοδοι που χρησιμοποιούν κυρίως οι επιτιθέμενοι, τα κίνητρά τους, κ.λπ.
5. Προσδιορισμός των αγαθών στρατηγικής σημασίας που πρέπει να προστατευθούν. Η ομάδα κυβερνοπροστασίας καθορίζει ποια είναι τα σημαντικότερα αγαθά (assets) της επιχείρησης που είναι περισσότερο έκθετα σε κυβερνοεπιθέσεις, ή επιθέσεις εκ των έσω, και επομένως προκύπτουν ανάγκες προστασίας τους. Τα αγαθά είναι: διαδικασίες, πληροφοριακά συστήματα, συσκευές, τεχνολογικός & μηχανολογικός εξοπλισμός, ανθρώπινο δυναμικό που εργάζεται σε ενδεχομένως στοχοποιημένες θέσεις ευθύνης, πληροφορίες και δεδομένα.
6. Ανάπτυξη πλαισίου και προτύπων διαχείρισης της κυβερνοασφάλειας. Πριν την κατάρτιση του στρατηγικού σχεδίου, η ομάδα κυβερνοπροστασίας καθορίζει το υποστηρικτικό πλαίσιο διαχείρισης της κυβερνοασφάλειας που θα χρησιμοποιηθεί. Πρόκειται για τις μεθοδολογίες και πρότυπα που χρησιμοποιούνται για την αξιολόγηση της ανθεκτικότητας ενός οργανισμού σε θέματα κυβερνοασφάλειας και τη διαχείριση των κινδύνων που προκύπτουν. Τα πιο γνωστά πρότυπα που εφαρμόζονται διεθνώς είναι τα ISO 2700x, NIST και IRAM2.
7. Κατάρτιση στρατηγικής κυβερνοασφάλειας. Μετά τη χαρτογράφηση του εσωτερικού και εξωτερικού περιβάλλοντος και την επιλογή του πλαισίου διαχείρισης, καταρτίζεται η στρατηγική κυβερνοασφάλειας, με τη συμμετοχή της Διοίκησης, σε συμφωνία όμως με τη γενικότερη επιχειρησιακή στρατηγική και το μοντέλο λειτουργίας της επιχείρησης. Λαμβάνεται υπόψη το υφιστάμενο επίπεδο ωριμότητας της ασφάλειας, αλλά και το επίπεδο που θέλει να φτάσει η επιχείρηση. Προτείνεται η κατάρτιση στρατηγικής με δύο χρονικούς ορίζοντες: μεσοπρόθεσμα (1 έτος) και μακροπρόθεσμα (5 έτη). Περιέχονται: διαδικασίες, πόροι, τεχνολογίες, στόχος (σε ποιο επίπεδο κυβερνοασφάλειας επιθυμεί η επιχείρηση να φτάσει), προϋπολογισμός.
8. Υιοθέτηση κουλτούρας κυβερνοασφάλειας. Η ομάδα σχεδιασμού κυβερνοπροστασίας, στα πλαίσια της εφαρμογής της στρατηγικής, αναλαμβάνει την υλοποίηση προγραμμάτων ευαισθητοποίησης, ώστε όλα τα επίπεδα της επιχείρησης να είναι ενήμερα σε θέματα κυβερνοπροστασίας και σε ετοιμότητα. Π.χ. πρόγραμμα εκπαίδευσης του προσωπικού, υιοθέτηση ρόλων και αρμοδιοτήτων σε κάθε τμήμα.
9. Ανάπτυξη και εφαρμογή σχεδίου ανθεκτικότητας. Το σχέδιο ανθεκτικότητας περιλαμβάνει συστηματικές δοκιμές σε ελεγχόμενο περιβάλλον, για να αξιολογείται η αποτελεσματικότητα των συστημάτων ασφάλειας και να βελτιώνεται συνεχώς το επίπεδο προστασίας. Περιλαμβάνει: σχεδιασμό σεναρίων για επιθέσεις που ενδέχεται να συμβούν και ενεργειών αντιμετώπισής τους, δοκιμαστικά σχέδια αντιμετώπισης περιστατικών, π.χ. προσομοίωση περιστατικών ασφάλειας (war gaming), προσομοίωση ρεαλιστικών επιθέσεων από ανεξάρτητη εταιρεία, χωρίς τη γνώση της ομάδας αντιμετώπισης (red teaming). Κατά τη διεξαγωγή των προσομοιώσεων, συμμετέχουν τα μέλη της ομάδας κυβερνοασφάλειας που ασχολούνται με τη διαχείριση κρίσεων.
10. Περιοδικός έλεγχος. Το σχέδιο ανθεκτικότητας πρέπει να ελέγχεται και να επικαιροποιείται τουλάχιστον μια φορά το χρόνο, ώστε να διαπιστώνεται ο βαθμός αποτελεσματικής λειτουργίας του. Λαμβάνονται υπόψη τόσο οι αλλαγές στο περιβάλλον της επιχείρησης, όσο και νέοι κίνδυνοι ή απειλές που ενδέχεται να έχουν προκύψει.