IT Professional Security - ΤΕΥΧΟΣ 40

www.itsecuritypro.gr Μάρτιος - Απρίλιος 2015 • Τεύχος 40 • Τιμή 5€
GRC
Η αποτελεσματική
υλοποίηση
της διεργασίας
• Cyber Insurance ως εργαλείο
Διαχείρισης Κινδύνου
• Internet of Everything for Defense
ΟΤΕ Information Security
Ολοκληρωμένες υπηρεσίες ασφάλειας πληροφοριών
στη διάθεση της INTERAMERICAN

Customer
Facing
Click-stream data
Shopping cart data
Online transaction data
Outside
the network
SCADA
CDRs & IPDRs
Power consumption
RFID data
GPS data
Windows
Registry
Event logs
File system
Sysinternals
Virtualization
Hypervisor
Guest OS
Apps
Cloud
Linux/Unix
Syslog
File system
PS, iostat, top
Database
Audit/query
Logs
Tables
Schemas
Applications
Weblogs
Log4J, JMS, JMX
.NET events
Code and Scripts
SAP
Network
syslog
SNMP
Value Added Distributor
Affordable Cutting Edge
https://www.nss.gr

T4003/04.2015
Editorial
Η αξία μιας νέας οπτικής
Ένα ακόμα Infocom Security, το 5 ο κατά σειρά, μόλις ο-
λοκληρώθηκε και το συναίσθημα που κυριαρχεί σε όλους
μας στην οργανωτική επιτροπή, είναι μια βαθιά ικανοποίηση
από το θετικό αποτέλεσμα σε όλους τους τομείς. Η συνεχώς
ανοδική πορεία του συνεδρίου, αποτυπώθηκε για α-
κόμα μια χρονιά κυρίως από την πολύ μεγάλη προσέλευση
των συνέδρων, που φέτος ξεπέρασε κάθε προσδοκία, ενώ
και το ενδιαφέρον του κόσμου που μας έκανε την τιμή να
παρακολουθήσει τις περισσότερες των παρουσιάσεων, ή-
ταν ιδιαίτερα μεγάλο. Θα πρέπει φυσικά να σταθούμε και
στην πολύτιμη υποστήριξη των χορηγών εταιριών, που στη
φετινή διοργάνωση υπήρξε μεγαλύτερη από κάθε άλλη φορά,
αποδεικνύοντας την εμπιστοσύνη που δείχνει η αγορά
της ασφάλειας πληροφοριών στο συγκεκριμένο event και
γενικότερα στις δραστηριότητες της Smart Press και του
IT Security Professional. Μπορείτε να διαβάσετε περισσότερες
αναφορές και να δείτε φωτογραφικό υλικό από το
συνέδριο στο αναλυτικό ρεπορτάζ που υπάρχει στις σελίδες
του παρόντος τεύχους αλλά και στην ιστοσελίδα του συνεδρίου
www.infocomsecurity.gr.
Έχει όμως ιδιαίτερη αξία να σταθούμε σε ένα ποιοτικό χαρακτηριστικό
και της φετινής διοργάνωσης του Infocom
Security που αφορά τη συμμετοχή και το μεγάλο ενδιαφέρον
που δείχνουν για το χώρο της ασφάλειας πληροφοριών, αρκετοί
νέοι άνθρωποι, είτε βρίσκονται σε ακαδημαϊκό στάδιο,
σπουδάζοντας σε κάποια σχολή με ευρύτερο αντικείμενο την
πληροφορική, είτε είναι στο στάδιο αναζήτησης κάποιας ε-
παγγελματικής ευκαιρίας στο χώρο, είτε εργάζονται ήδη σε
κάποια εταιρία ή οργανισμό που προσφέρει ανάλογες υπηρεσίες,
είτε αποτελούν μέλη τμημάτων πληροφορικής και
ειδικότερα ασφάλειας σε κάποιο οργανισμό ή επιχείρηση.
Επιχειρώντας να ερμηνεύσουμε και να αναλύσουμε το συγκεκριμένο
στοιχείο, όχι επιφανειακά ή με καθαρά εμπορική
προσέγγιση, αλλά ουσιαστικά και μακροπρόθεσμα, μόνο
θετικά στοιχεία μπορούμε να βρούμε. Οι νέοι που σήμερα
δείχνουν αυτό το ενδιαφέρον για το τομέα της ασφάλειας
πληροφοριών, μπορούν πολύ σύντομα με τις ιδέες τους και
την φρεσκάδα των αντιλήψεων να προσφέρουν μια νέα ο-
πτική στον ευαίσθητο αυτό χώρο ως στελέχη εταιριών που
προσφέρουν υπηρεσίες και πολύ πιθανόν να αποτελέσουν
τους αυριανούς “decision maker” μέσα σε μεγάλους οργανισμούς
όπου θα καθορίζουν στρατηγικές και θα λαμβάνουν
μέρος σε σημαντικής αποφάσεις. Σε ένα τομέα όπου
οι εξελίξεις τρέχουν με ταχύτατους ρυθμούς η συνεισφορά
νέων στελεχών μπορεί να δώσει αναμφισβήτητα μια ώθηση
προς την ανάπτυξη, τη δημιουργικότητα και την ενίσχυση
παραγωγικότητας.
Βλάσης Αμανατίδης
Εκδότης
Κώστας Νόστης
Σύμβουλος Έκδοσης
Νίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
va.editor@smartpress.gr
Συνεργάτες
Σήφης Ανδρουλιδάκης
Μίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
ns.sales@smartpress.gr
DTP
Δημήτρης Τσούτσας
Διεύθυνση Events
Δημήτρης Μάσσας
Διεύθυνση Marketing
Ειρήνη Νόστη
Υπεύθυνος Ηλεκτρονικών
Μέσων
Φάνης Ζερβάκης
Υπεύθυνη Social Media
Δήμητρα Κατερέλου
Γραμματεία Εμπορικού
Έλλη Μαστρομανώλη
Φωτογράφος
Αλέξανδρος Γρυμάνης
Λογιστήριο
Ανδρέας Λουλάκης
Consulting by
SPEG
τηλ.: 2105238777,
www.speg.gr, info@speg.gr
Ιδιοκτήτης
Smart Press
Μάγερ 11, 10438, Αθήνα
Τηλ.: 210 5201500, 210
5230000, Fax: 210 5241900
Τμήμα συνδρομών
support@securitymanager.gr
www.smartpress.gr
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
support@securitymanager.gr
ΚΩΔΙΚΟΣ 01-8267
security
1

T4003/04.2015
Contents
10 30 32
1 | Editorial
4 | News
10 | Interview
10 | Η ιδιωτικότητα είναι θέμα
δικαιωμάτων άλλα και
οικονομικής ανάπτυξης
Συνέντευξη με τον Ηλία Χάντζο
- Ανώτερος Διευθυντής,
Κυβερνητικές Σχέσεις,
Προστασία Κρίσιμων Υποδομών
και Ιδιωτικότητας στην περιοχή
EMEA, Symantec
12 | Cover Issue
12 | GRC
Η αποτελεσματική υλοποίηση
της διεργασίας
16 | Issue
16 | Ασφάλεια εφαρμογών και ERP
στον κόσμο του GRC
19 | Μεγαλύτερη ευελιξία στην
υλοποίηση λύσεων ασφαλείας
σε virtualized υποδομές
20 | ΟΤΕ Information Security
Ολοκληρωμένες υπηρεσίες
ασφάλειας πληροφοριών στη
διάθεση της INTERAMERICAN
22 | Internet of Everything
for Defense
25 | ESET
Τα 5 βήματα που πρέπει να
ακολουθήσει μία εταιρεία που
έχει πέσει θύμα κυβερνοεπίθεσης
26 | Η Αξιοπιστία σύνδεσης
στο Διαδίκτυο ως πυλώνας
παραγωγικότητας
των επιχειρήσεων
28 | Πόσο ασφαλές είναι το VoIP;
30 | Αντιμετωπίζοντας το άγνωστο
32 | Cyber Insurance ως εργαλείο
Διαχείρισης Κινδύνου
Business IT
1 | 5 o Infocom Security
Mind the Risk. Be Proactive!
2 security

McAfee Advanced
Threat Defense
Προηγμένη Ανίχνευση
«κρυφών» απειλών
και zero-day malware
Η λύση Advanced Threat Defense της Intel Security εντοπίζει τις σύγχρονες «κρυφές» απειλές και τα zero-day malware με μια πρωτοποριακή
πολυεπίπεδη προσέγγιση. Η λύση αυτή, συνδυάζει μεθόδους προστασίας, βασισμένες σε υπογραφές antivirus, στη φήμη αρχείων και λογισμικού καθώς
και real-time εξομοίωση με λεπτομερή δυναμική ανάλυση στατικού κώδικα και malware (sandboxing), προκειμένου να αναλυθεί σε βάθος η πραγματική
συμπεριφορά των κακόβουλων αρχείων. Ο συνδυασμός αυτός παρέχει την πλέον ισχυρή και προηγμένη τεχνολογία anti-malware εξισορροπώντας
αποτελεσματικά την απαίτηση για ασφάλεια και υψηλή απόδοση.
Η προσθήκη της λύσης Advanced Threat Defense στα προϊόντα της Intel Security, έρχεται να καλύψει τρεις πολύ βασικές
απαιτήσεις κλειδιά για την επίλυση των προβλημάτων ασφαλείας που σχετίζονται με τα εξελιγμένα malware. Συγκεκριμένα,
η λύση εντοπίζει τα πλέον εξελιγμένα malware και σε συνδυασμό με τις λύσεις network security του ίδιου κατασκευαστή
«παγώνει» κάθε ενδεχόμενη επέκταση της απειλής, ενώ ταυτόχρονα η λύση McAfee Real Time ξεκινά τη διαδικασία διόρθωσης
και τις ενέργειες αποκατάστασης.
Εξασφαλίζοντας ανίχνευση απειλών με την μεγαλύτερη ακρίβεια
Με τη λύση McAfee Advanced Threat Defense μπορείτε να μειώσετε σε πολύ μεγάλο βαθμό κάθε πιθανότητα αποτυχίας εντοπισμού malware ή των false
positives. Η λύση αξιοποιεί προηγμένο στατικό κώδικα και δυναμική ανάλυση (sandboxing) προκειμένου να προσφέρει την πλέον λεπτομερή αξιολόγηση
και κατηγοριοποίηση των απειλών και των κακόβουλων αρχείων με τη μεγαλύτερη δυνατή ακρίβεια.
Ανταπόκριση στις απειλές ακόμα πιο γρήγορα
Η λύση McAfee Advanced Threat Defense προσφέρει ταχύτατη και απρόσκοπτη ανάλυση των εξελιγμένων malware μέσα από
μια αποτελεσματική προσέγγιση που συνδυάζει τη χρήση τεχνικών ανίχνευσης με βάση τις υπογραφές, τη φήμη αρχείων και realtime
εξομοίωση. Με αυτό τον τρόπο επιτυγχάνεται ο εντοπισμός ενός πολύ μεγάλου αριθμού κακόβουλων αρχείων, παράγοντας
άμεσα τα αποτελέσματα και μειώνοντας σημαντικά τον αριθμό των αρχείων που απαιτούν μια πιο εμπεριστατωμένη ανάλυση.
Ελαχιστοποίηση του λειτουργικού κόστους
Η κεντροποιημένη ανάπτυξη της λύσης επιτρέπει σε πολλαπλές δικτυακές συσκευές της Intel Security να διαμοιράζονται την ίδια συσκευή ανάλυσης
malware, μειώνοντας έτσι αισθητά τον αριθμό των απαιτούμενων συσκευών, απλοποιώντας το έργο των διαχειριστών και επιτυγχάνοντας με οικονομικά
αποδοτικό τρόπο την κλιμάκωση της ασφάλειας σε ολόκληρο το δίκτυο. Η λύση McAfee Advanced Threat Defense αναβαθμίζει τις ήδη υπάρχουσες
εγκατεστημένες υποδομές ασφαλείας της Intel Security, μειώνοντας την απαίτηση για επανασχεδιασμό της αρχιτεκτονικής του δικτύου, ελαχιστοποιώντας
τα λειτουργικά κόστη.
Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την ITWAY Hellas (εξουσιοδοτημένος διανομέας):
Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr

T4003/04.2015
News
Η Arbor Networks καταγράφει τη μεγαλύτερη επίθεση DDoS όλων των εποχών
στην Έκθεση DDoS για το 1ο τρίμηνο του 2015
παρυφές του δικτύου τους με σκοπό τον αποκλεισμό κίνησης
με “πλαστογραφημένη” (παραπλανητική) διεύθυνση IP.
Επιπλέον, στο Διαδίκτυο υπάρχει πληθώρα συσκευών που
χαρακτηρίζονται από ανεπαρκή ρύθμιση παραμέτρων και
από ελλειμματική προστασία, οι οποίες παρέχουν υπηρεσίες
UDP προσφέροντας ένα συντελεστή ενίσχυσης μεταξύ
ενός query που αποστέλλεται σε αυτές και της απάντησης
που παράγεται.
Η Arbor Networks, Inc. κορυφαίος προμηθευτής λύσεων
DDoS και προηγμένης προστασίας έναντι απειλών για ε-
ταιρικά δίκτυα και δίκτυα παρόχων υπηρεσιών, δημοσίευσε
τα στοιχεία επιθέσεων DDoS σε παγκόσμια κλίμακα για
το 1ο τρίμηνο του 2015 τα οποία καταδεικνύουν μια συνεχή
ροή επιθέσεων εξαιρετικά μεγάλου όγκου. Ανάμεσα σε αυτές
συμπεριλαμβάνεται η μεγαλύτερη επίθεση που κατέγραψε
ποτέ το σύστημα συλλογής πληροφοριών για απειλές
ATLAS της Arbor, μια επίθεση τάξης μεγέθους 334 Gbps
με στόχο έναν πάροχο υπηρεσιών διαδικτύου στην Ασία. Κατά
το 1ο τρίμηνο του 2015, εκδηλώθηκαν 25 επιθέσεις μεγέθους
μεγαλύτερου από 100 Gbps σε παγκόσμιο επίπεδο.
Το περασμένο έτος, η Arbor τεκμηρίωσε μια δραματική αύξηση
στο μέγεθος των επιθέσεων DDoS. Η πλειονότητα των
πρόσφατων πολύ μεγάλων επιθέσεων εκμεταλλεύεται την
τεχνική ενίσχυσης της ανάκλασης η οποία χρησιμοποιεί το
Network Time Protocol (NTP), το Simple Service Discovery
Protocol (SSDP) και τους διακομιστές DNS, με ένα μεγάλο
αριθμό σημαντικών επιθέσεων να ανιχνεύεται παντού σε ο-
λόκληρο τον κόσμο.
Η ενίσχυση ανάκλασης είναι μια τεχνική η οποία επιτρέπει
στον εκάστοτε επιτιθέμενο ταυτόχρονα να μεγεθύνει την ποσότητα
της κίνησης που έχει τη δυνατότητα να παράγει αλλά
και να αποκρύψει τις αρχικές πηγές της εν λόγω απειλητικής
κίνησης. Η συγκεκριμένη τεχνική βασίζεται σε δύο ατυχείς
πραγματικότητες: Αρχικά, ακόμη και τώρα ένας μεγάλος α-
ριθμός παρόχων υπηρεσιών δεν χρησιμοποιούν φίλτρα στις
Τα δεδομένα της Arbor συλλέγονται μέσω του συστήματος
ATLAS, το οποίο είναι προϊόν συνεργασίας περισσότερων α-
πό 330 πελατών - παρόχων υπηρεσιών, που μοιράζονται δεδομένα
ανώνυμης κίνησης με την Arbor, έχοντας ως στόχο
να προσφέρουν μια συνολική, αθροιστική εικόνα της κίνησης
και των απειλών σε παγκόσμια κλίμακα. Η ATLAS συλλέγει
στατιστικά στοιχεία τα οποία αντιπροσωπεύουν 120 Tbps Διαδικτυακής
κίνησης και παρέχει τα δεδομένα για την κατάρτιση
του Χάρτη Ψηφιακών Επιθέσεων, Το τελευταίο οπτικοποιεί
την παγκόσμια απειλητική κίνηση και δημιουργήθηκε
σε συνεργασία με την υπηρεσία Google Ideas.
Άλλα αξιοσημείωτα στατιστικά στοιχεία αναφορικά με τις ε-
πιθέσεις DDoS που σημειώθηκαν το 1ο τρίμηνο του 2015:
• Οι επιθέσεις ανάκλασης SSDP αυξάνονται γεωμετρικά από
χρόνο σε χρόνο αποτελώντας ένα εξαιρετικό παράδειγμα
του τρόπου με τον οποίο οι επιτιθέμενοι αλλάζουν διαρκώς
τις τεχνικές που χρησιμοποιούν: Το 1ο τρίμηνο του 2015
καταγράφηκαν 126.000 επιθέσεις τέτοιου τύπου ενώ το 1ο
τρίμηνο του 2014 μόλις τρείς.
• Οι επιθέσεις είναι μικρότερης διάρκειας αλλά έχουν τη
δυνατότητα να επιφέρουν ισχυρότατο πλήγμα: Η πλειονότητα
των επιθέσεων είναι βραχύβιες, περίπου 90% αυτών
διαρκούν λιγότερο από 1 ώρα
«Επιθέσεις, μεγέθους σημαντικά μεγαλύτερου από το επίπεδο
των 200Gbps, μπορεί να αποδειχθούν εξαιρετικά επικίνδυνες
για τους παρόχους δικτυακών υπηρεσιών και σίγουρα
μπορούν να προκαλέσουν παράπλευρες ζημίες στα
δίκτυα παρόχων υπηρεσιών, υπηρεσιών φιλοξενίας Cloud
και εταιρικών δικτύων», δήλωσε ο Darren Anstee, Director,
Solutions Architects της Arbor Networks.
4 security

Information
Security by
Σχεδιασμός
Πρόληψη
Παρακολούθηση
Ίαση
NetBull LTD, Λ. Ελευθερίου Βενιζέλου 16, 17676, Καλλιθέα,
Τηλ: +30 210 9203400 - 300, Fax:+30 210 9203490 - www.netbull.gr

T4003/04.2015
News
Kaspersky Lab
Κοινός ο κίνδυνος των επιθέσεων DDoS
Σύμφωνα με έρευνα της B2B International και της
Kaspersky Lab, το 32% των Ευρωπαϊκών επιχειρήσεων
που παρέχουν online υπηρεσίες (π.χ. ηλεκτρονικά καταστήματα
και διαδικτυακά μέσα μαζικής ενημέρωσης), έπεσε
θύμα επιθέσεων DDoS (Distributed Denial of Service) μέσα
στους τελευταίους 12 μήνες. Αυτό αποδεικνύει ότι οι επιθέσεις
DDoS αποτελούν κοινά κι όχι μεμονωμένα περιστατικά
για τις online επιχειρήσεις. Γι’ αυτό το λόγο, οι επιχειρήσεις
καλούνται να λάβουν μέτρα για την προστασία τους από αυτές
τις απειλές, ώστε να διασφαλίσουν την απρόσκοπτη συνέχεια
των δραστηριοτήτων τους.
Οι επιθέσεις DDoS έχουν ως στόχο να εμποδίσουν την πρόσβαση
σε ηλεκτρονικούς πόρους, υπερφορτώνοντας τους με
«ανεπιθύμητα» αιτήματα. Σήμερα, οι επιθέσεις DDoS είναι
εύκολες και φτηνές και μπορεί να τις ξεκινήσει οποιοσδήποτε.
Το κόστος είναι χαμηλό και με μια απλή αναζήτηση, ο καθένας
μπορεί να βρει κάποιον να «κάνει τη δουλειά» γι’ αυτόν.
Επιπλέον, η χρήση ηλεκτρονικών/εικονικών νομισμάτων
μπορεί να συμβάλλει στην απόκρυψη της ταυτότητας όσων
εξαπολύουν ή παραγγέλνουν αυτές οι επιθέσεις. Η ευκολία
διενέργειας αυτών των επιθέσεων σημαίνει ότι κάθε εταιρεία
με εχθρούς ή αντιπάλους βρίσκεται σε κίνδυνο.
Ωστόσο, η έρευνα δείχνει ότι οι επιχειρήσεις στον τομέα της
Πληροφορικής υποφέρουν περισσότερο από τις επιθέσεις
DDoS. Παγκοσμίως, το 49% των εκπροσώπων του κλάδου
της Πληροφορικής ανέφερε ότι έχει αντιμετωπίσει τουλάχιστον
μία επίθεση DDoS κατά το τελευταίο έτος. Ψηλά στην
κατάταξη βρίσκονται και άλλες επιχειρήσεις που στηρίζονται
στην παροχή online υπηρεσιών, όπως εταιρείες ηλεκτρονικού
εμπορίου (44%), τηλεπικοινωνιακοί οργανισμοί (44%)
και μέσα μαζικής ενημέρωσης (42%). Οι χρηματοοικονομικές
επιχειρήσεις βρίσκονται επίσης μεταξύ των οργανισμών
που δέχονται πιο συχνά επιθέσεις DDoS (39%).
Οι συνέπειες των επιθέσεων DDoS εξαρτώνται από τον τύπο
και τη διάρκειά τους, καθώς και από τον τομέα της δραστηριότητας
και τα χαρακτηριστικά της επιχείρησης-στόχου. Η
έρευνα έδειξε ότι το 13% των επιθέσεων σε παγκόσμιο επίπεδο
καθιστά τους ιστότοπους-στόχους εντελώς απρόσιτους.
Την ίδια μοίρα έχουν τις περισσότερες φορές και τα sites των
μέσων μαζικής ενημέρωσης, με το 32% να αναφέρει ότι οι
διαδικτυακοί τους πόροι είχαν εντελώς απενεργοποιηθεί
λόγω μιας επίθεσης DDoS. Αλλά ακόμη και αν οι επιτιθέμενοι
απέτυχαν να εμποδίσουν εντελώς την πρόσβαση των
χρηστών στους πόρους μιας επιχείρησης, η μερική αδυναμία
πρόσβασης αποτελεί επίσης ένα σοβαρό πρόβλημα. Για
παράδειγμα, το 29% των ερωτηθέντων ανέφερε ότι οι ίδιοι
ή οι χρήστες τους είχαν αντιμετωπίσει προβλήματα κατά τη
διεξαγωγή ηλεκτρονικών συναλλαγών ως αποτέλεσμα μιας
επίθεσης DDoS. Το πρόβλημα αυτό είναι ιδιαίτερα σημαντικό
για τις επιχειρήσεις που δραστηριοποιούνται στον τομέα
των τηλεπικοινωνιών και των logistics, καθώς αναφέρθηκε
από το 49% και το 45% αντίστοιχα.
«Το να «πέσει» ένα site ή να μπλοκαριστεί μια συναλλαγή
είναι μόνο η κορυφή του παγόβουνου. Μια επίθεση DDoS
μπορεί να οδηγήσει σε ζημίες στη φήμη μιας εταιρείας ή σε
νομικές διεκδικήσεις εναντίον της. Για να διασφαλιστεί η α-
πρόσκοπτη πρόσβαση των πελατών στις online υπηρεσίες,
οι επιχειρήσεις πρέπει να σκεφτούν έγκαιρα το ζήτημα της
κατάλληλης προστασίας τους από επιθέσεις DDoS», δήλωσε
ο Eugene Vigovsky, Επικεφαλής του Kaspersky DDoS
Protection της Kaspersky Lab.
Οι προηγμένες τεχνολογίες της Kaspersky Lab για την προστασία
από επιθέσεις DDoS είναι ενσωματωμένες στη λύση
Kaspersky DDoS Protection. Αν μια επίθεση DDoS εντοπιστεί
από έναν ειδικό αισθητήρα, το σύνολο της κίνησης που
αποστέλλεται στον client ανακατευθύνεται σε ειδικό εξοπλισμό
της Kaspersky Lab, όπου τα «ανεπιθύμητα» αιτήματα
φιλτράρονται από εξελιγμένους και εξατομικευμένους
αλγόριθμους.
6 security

T4003/04.2015
News
Νέες Τακτικές Παραπλάνησης
Προσφέρουν στους Προηγμένους Επιτιθέμενους Ελευθερία Κινήσεων στα Εταιρικά Δίκτυα
Στον σημερινό υπερσυνδεδεμένο κόσμο, δεν τίθεται πλέον
το ερώτημα αν θα δεχτούμε επίθεση - αλλά πότε. Η έκθεση
της Symantec, Internet Security Threat Report (ISTR),
Volume 20, παρουσιάζει μία αλλαγή τακτικής στη συμπεριφορά
των κυβερνοεγκληματιών: διεισδύουν στα δίκτυα και
αποφεύγουν τον εντοπισμό μέσω της παραβίασης της υποδομής
μεγάλων οργανισμών και της χρήσης της υποδομής
αυτής προς όφελος τους.
«Οι επιτιθέμενοι δεν χρειάζεται να εισβάλουν σε ένα εταιρικό
δίκτυο “ρίχνοντας την πόρτα” όταν τα κλειδιά είναι ή-
δη διαθέσιμα προς χρήση” είπε ο κ. Χρήστος Βεντούρης,
Information Security Specialist Νοτιοανατολικής Ευρώπης
για τη Symantec. “Βλέπουμε τους επιτιθέμενους να ξεγελούν
τις εταιρείες, αφού καταφέρνουν να μολυνθούν μόνες
τους από λογισμικό αναβάθμισης κοινών προγραμμάτων
που περιέχουν Τrojan, αναμένοντας υπομονετικά τους στόχους
τους και κάνουν download το συγκεκριμένο αρχείο, το
οποίο εντέλει τους παρέχει απεριόριστη πρόσβαση στο ε-
ταιρικό δίκτυο».
Οι επιτιθέμενοι Επιτυγχάνουν με Ταχύτητα και Ακρίβεια
Σύμφωνα με την έκθεση της Symantec ήταν μία χρονιά ρεκόρ
για τις zero-day ευπάθειες. Η έκθεση αναφέρει επίσης
ότι οι εταιρείες λογισμικού χρειάστηκαν 59 μέρες κατά μέσο
όρο για να δημιουργήσουν και να θέσουν σε κυκλοφορία
patches - μεγάλη άνοδο από τις τέσσερις μέρες που ήταν ο
μέσος όρος το 2013. Οι επιτιθέμενοι εκμεταλλεύτηκαν αυτήν
την καθυστέρηση και στην περίπτωση του Heartbleed, εκμεταλλεύτηκαν
την ευπάθεια εντός τεσσάρων ωρών. Υπήρξαν
24 συνολικά zero-day ευπάθειες που ανακαλύφθηκαν
το 2014, αφήνοντας ανοιχτό το πεδίο για τους επιτιθέμενους
να εκμεταλλευτούν γνωστά κενά ασφαλείας πριν δημιουργηθούν
τα αντίστοιχα patches.
Εντωμεταξύ, οι πιο προηγμένοι επιτιθέμενοι συνεχίζουν να
παραβιάζουν δίκτυα με υψηλού επιπέδου spear-phishing ε-
πιθέσεις, οι οποίες αυξήθηκαν κατά 8% το 2014. Το στοιχείο
που είναι ιδιαίτερα ενδιαφέρον είναι η ακρίβεια αυτών των
επιθέσεων, οι οποίες χρησιμοποίησαν 20% λιγότερα email
για να διεισδύσουν με επιτυχία στους οργανισμούς - στόχους
και να ενσωματώσουν περισσότερα drive-by malware
downloads και άλλα web-based exploits.
Επιπρόσθετα, η Symantec παρατήρησε τους επιτιθέμενους:
• Να χρησιμοποιούν κλεμμένους λογαριασμούς email από
ένα θύμα - εταιρεία για να βρουν νέα θύματα υψηλότερα
στην αλυσίδα
• Να εκμεταλλεύονται τα εργαλεία διαχείρισης και τις διαδικασίες
των εταιρειών για να μετακινήσουν κλεμμένα δεδομενα
πνευματικης ιδιοκτησιας εντός του εταιρικού δικτύου
πριν την έξοδο τους από αυτό
• Να δημιουργούν προσαρμοσμένο λογισμικό επίθεσης ε-
ντός του δικτύου των θυμάτων τους για να καλύψουν περαιτέρω
τις δραστηριότητες τους.
Ψηφιακός Εκβιασμός σε Άνθηση
Το email παραμένει ένας σημαντικός φορέας των επιθέσεων
των κυβερνοεγκληματιών, αλλά συνεχίζουν να πειραματίζονται
με νέες μεθόδους επίθεσης σε φορητές συσκευές και
κοινωνικά δίκτυα, με στόχο να έχουν πρόσβαση σε περισσότερα
άτομα με μικρότερη προσπάθεια.
«Οι κυβερνοεγκληματίες είναι κατά βάση τεμπέληδες. Προτιμούν
τα αυτοματοποιημένα εργαλεία και τη συμβολή των α-
δέξιων καταναλωτών να κάνουν την “δύσκολη” δουλειά” είπε
ο κ. Χρήστος Βεντούρης, Information Security Specialist
Νοτιοανατολικής Ευρώπης για τη Symantec. “Πέρσι, το 70%
των περιστατικών απάτης που διενεργήθηκαν στα κοινωνικά
δίκτυα διοχετεύθηκαν χειροκίνητα, καθώς οι επιτιθέμενοι
εκμεταλλεύτηκαν την προθυμία των χρηστών να εμπιστεύονται
περιεχόμενο που μοιράζουν οι φίλοι τους».
8 security

Cisco Meraki
Η «μαγική» λύση της Cisco για τη διαχείριση του δικτύου
H Cisco δίνει τη δυνατότητα στις επιχειρήσεις να επιταχύνουν
την ψηφιακή τους εξέλιξη και να βελτιστοποιήσουν το μοντέλο
λειτουργίας τους με το Cisco Meraki που καθιστά εφικτή
την απομακρυσμένη διαχείριση της υποδομής μέσω cloud.
Η δυνατότητα αυτή επιτρέπει στις επιχειρήσεις να δομήσουν
και να διαχειριστούν το δίκτυο, τις συσκευές, την ασφάλεια
και τις εφαρμογές τους, αλλά και να τα παραμετροποιήσουν
εύκολα και γρήγορα.
Η Cloud-managed διαχείριση έχει τα παρακάτω βασικά
πλεονεκτήματα σε σχέση με την παραδοσιακά μοντέλα διαχείρισης:
1. Αμεσότητα
Ανάπτυξη νέων εφαρμογών και τροποποιήσεις ολόκληρης
της ψηφιακής υποδομής της επιχείρησης σε μερικά μόλις
λεπτά
2. Δυνατότητα ολοκληρωμένης προβολής
Μέσα από ένα dashboard φαίνεται όλο το φάσμα του δικτύου
της επιχείρησης (εφαρμογές, χρήστες, συσκευές, δίκτυο
και υπολογιστές), συμπεριλαμβανομένων των σημαντικών
μετρήσεων LoB και IT, για αποτελεσματική λήψη αποφάσεων
και επίλυση προβλημάτων
3. Προσαρμοσμένη επεκτασιμότητα υποδομών
Εύκολη και γρήγορη δημιουργία, αναβάθμιση ή υποβάθμιση
νέων τμημάτων δικτύου χωρίς on-site υποστήριξη από μηχανικό
IT και συνεχής λειτουργία με σύνδεση ή χωρίς στο cloud
4. Χαμηλότερο κόστος
Αποτελεσματικότερη χρήση πόρων και άριστο επίπεδο υ-
πηρεσιών
Όλα τα προϊόντα που υποστηρίζουν το Cisco Meraki είναι
πλήρως και κεντρικά διαχειρίσιμα μέσω cloud. Η εύχρηστη
αρχιτεκτονική με πληθώρα χαρακτηριστικών, δίνει τη δυνατότητα
στους χρήστες του να βρίσκουν λύσεις σε προβλήματα
που αφορούν στις επιχειρήσεις τους, αλλά και να μειώνουν
τα λειτουργικά τους κόστη.
Ασύρματο LAN
Το Cisco Meraki αποτελεί μια ασύρματη λύση, που περιλαμβάνει
ένα πλήρες και πανίσχυρο σετ δυνατοτήτων. Η ρύθμισή
του απαιτεί λίγα μόνο λεπτά και η παροχή είναι πλήρως
αυτόματη.
Switches
Τα switches του Cisco Meraki (MS) συνδυάζουν τα πλεονεκτήματα
της κεντρικής διαχείρισης μέσω cloud σε μία πανίσχυρη
και απόλυτα αξιόπιστη πλατφόρμα. Η διαχείριση μέσω
cloud δίνει τη δυνατότητα στον χρήστη να ρυθμίσει και
να παρακολουθήσει άμεσα χιλιάδες θύρες switches μέσω
διαδικτύου.
Συσκευές Ασφαλείας
Οι συσκευές Cisco Meraki (MX) προσφέρουν ολοκληρωμένη
λύση δικτύωσης και ασφάλειας, αφού είναι σχεδιασμένες να
παρέχουν εξαιρετικά ασφαλή, ταχύτατα και εύκολα διαχειρίσιμα
δίκτυα. Οι συσκευές MX είναι πλήρως διαχειρίσιμες
μέσω του διαδικτυακού πίνακα ελέγχου του Cisco Meraki, με
έξυπνες ρυθμίσεις και πλήρη αυτονομία, δίνοντας τη δυνατότητα
απομακρυσμένου ελέγχου, ενεργοποίησης και υλοποίησης
εντολών χωρίς τη φυσική παρουσία μηχανικού IT.
Mobility Management
Ενοποιημένη διαχείριση και έλεγχος χιλιάδων φορητών
και επιτραπέζιων συσκευών μέσα από την απόλυτα ασφαλή
πλατφόρμα διαχείρισης του Meraki. Αποτελεσματικός χειρισμός
της στρατηγικής κάθε επιχείρησης, χάρη στην απλούστατη
προσθήκη νέων συσκευών και την αυτόματη εφαρμογή
των πολιτικών ασφαλείας.
Η λύση Cisco Meraki έχει υλοποιηθεί με επιτυχία σχεδόν
σε κάθε επιχειρηματικό κλάδο από το Λιανικό Εμπόριο και
τη Βιομηχανία έως την Υγεία και την Εκπαίδευση. Ενδεικτικά
εταιρείες που εμπιστεύτηκαν τη λύση Cisco Meraki στην
ελληνική αγορά είναι το ξενοδοχείο Life Gallery, οι εκδόσεις
Ψυχογιός, η Generali Hellas, τα cash & carry METRO
και τα καταστήματα ηλεκτρολογικού υλικού Καυκάς. Αυτή
τη στιγμή περισσότερες από 50.000 εταιρείες παγκοσμίως
έχουν υλοποιήσει τη λύση Cisco Meraki με αύξηση 108%
το τελευταίο 12μηνο.
security
9

T4003/04.2015
Interview
Η ιδιωτικότητα
είναι θέμα δικαιωμάτων
αλλά και οικονομικής ανάπτυξης
Με αφορμή την παρουσία του ως ομιλητή στο 5 ο Infocom Security, είχαμε την ευκαιρία να
συνομιλήσουμε μαζί με τον κ. Ηλία Χάντζo και να μας αναπτύξει τις παραμέτρους ενός ιδιαίτερα
κρίσιμου ζητήματος, όπως είναι αυτό της ιδιωτικότητας, με βάση μια πρόσφατη έρευνα που
διοργάνωσε η Symantec.
Πόσο σημαντική είναι η έννοια της ιδιωτικότητας στην
Ευρώπη στις μέρες μας; Ποια είναι τα σημαντικότερα
στοιχεία που προκύπτουν από πρόσφατη σχετική έρευνα;
Η Symantec έκανε πρόσφατα μια έρευνα η οποία απευθύνθηκε
στους καταναλωτές σε 7 διαφορετικές χώρες και σε
συνολικό δείγμα 7000 χρηστών. Η έρευνα με τίτλο “η κατάσταση
της ιδιωτικότητας” (state of privacy), έγινε προκειμένου
να διαπιστώσουμε τις τάσεις και τις απόψεις του κοινού
γύρω από θέματα τις ιδιωτικότητας, καθώς όπως και εσείς
γνωρίζετε, η προστασία των προσωπικών δεδομένων είναι
ένα θέμα το οποίο βρίσκεται συχνά στην επικαιρότητα. Καταρχήν,
είναι ξεκάθαρο ότι η άποψη πως η ιδιωτικότητα δεν
είναι θέμα που αφορά Αγγλοσαξωνικές χώρες, ενώ αντίθετα
έχει μεγάλη σημασία για την νότια και κεντρική Ευρώπη,
είναι μάλλον αναληθές και σε κάθε περίπτωση υπεραπλουστευμένο.
Κατά μέσο όσο πάνω από το 50% των Ευρωπαίων,
ανησυχούν για την ιδιωτικότητα τους. Σε κάποιες χώρες,
ειδικά μάλιστα με βεβαρημένο ιστορικό παρελθόν π.χ
δικτατορικά καθεστώτα, αυτή η ανησυχία είναι εντονότερη.
Συνέντευξη με τον Ηλία Χάντζο
Ανώτερος Διευθυντής, Κυβερνητικές Σχέσεις, Προστασία Κρίσιμων
Υποδομών και Ιδιωτικότητας στην περιοχή EMEA, Symantec
Σε γενικές γραμμές πάντως η ανησυχία είναι διάχυτη και
βρίσκεται πολύ κοντά ή πάνω από το 50% το δείγματος για
όλες τις χώρες. Ένα θέμα για το οποίο ενδιαφέρετε το 50%
των χρηστών, δεν είναι σε καμία περίπτωση αμελητέο. Συνεπώς,
η ιδιωτικότητα είναι και παραμένει σημαντική στις
ημέρες μας. Άλλα σημαντικά στοιχεία που προκύπτουν, είναι
σχετικά με την οικονομική αξία των δεδομένων. Το γεγονός
δηλαδή ότι οι χρήστες πιστεύουν ότι τα δεδομένα τους
έχουν οικονομική αξία και μάλιστα σημαντική. Τα δεδομένα
αυτά, οι εταιρείες τα εκμεταλλεύονται και οι χρήστες προσδοκούν
και αυτοί οικονομικό όφελος από την εκμετάλλευση
μέσω πχ της παροχής δωρεάν υπηρεσιών. Όμως, μέσα
10 security

από την οικονομική αξία των δεδομένων προκύπτει και το
λεγόμενο κενό εμπιστοσύνης. Ότι δηλαδή, οι περισσότεροι
χρήστες πιστεύουν ότι τα δεδομένα που δίνουν δεν προστατεύονται
στο βαθμό που αντιστοιχεί στην σημασία και
ευαισθησία τους. Το κενό εμπιστοσύνης ανάλογα με τον
κάτοχο των δεδομένων μικραίνει ή διευρύνεται. Μάλιστα,
το κράτος αξιολογείται σχετικά μέτρια στο βαθμό εμπιστοσύνης
του πολίτη για το πως διαχειρίζεται τα δεδομένα του.
Οι εταιρείες τεχνολογίας κατατάσσονται ακόμη χαμηλότερα
μεγιστοποιώντας το κενό.
Ποιοι είναι αυτοί που κυρίως ευθύνονται για τη προστασία
της ιδιωτικότητας;
Καταρχήν, η απλοϊκή απάντηση θα ήταν πως εφόσον είναι
δικά σου τα δεδομένα, δικιά σου είναι και η ευθύνη. Προφανώς,
αν κάποιος έχει αποφασίσει να δημοσιοποιήσει
όλη την προσωπική του ζωή στα κοινωνικά δίκτυα κανένας
νόμος και καμία τεχνολογία δεν είναι αρκετή για να τον
προστατέψουν. Η πραγματικότητα είναι πιο περίπλοκη. Δεν
μπορούμε να κάνουμε συναλλαγές χωρίς να δώσουμε δεδομένα
για τον εαυτό μας. Ο βαθμός πληροφοριών που χρειάζεται
κάθε συναλλαγή είναι διαφορετικός. Δεν χρειάζομαι
να δείξω ταυτότητα για να αγοράσω κάτι από το περίπτερο.
Το ίδιο βέβαια δεν ισχύει για τις συναλλαγές στην τράπεζα.
Ανάλογα λοιπόν με το είδος της δραστηριότητας και τον
κίνδυνο που συνεπάγεται, πρέπει να χρησιμοποιούνται και
τα δεδομένα. Όμως, ο κάθε χρήστης δεν είναι εξειδικευμένος
νομικός ή τεχνολόγος σε θέματα προσωπικών δεδομένων,
ούτε μπορεί να έχει έναν στη διάθεση του κάθε φορά
που χρησιμοποιεί το διαδίκτυο. Συνεπώς, σε μια κοινωνία
που γίνεται πληροφοριο-κεντρική και δίκτυο-κεντρική, η
σημασία της παιδείας – κουλτούρας, καθώς και του ρόλου
του κράτους και του ιδιωτικού τομέα, γίνονται όλο και μεγαλύτερες.
Το κράτος ως φύλακας της νομιμότητας και της
εφαρμογής των κανόνων για τα προσωπικά δεδομένα, έχει
να παίξει το ρόλο του, όπως αντίστοιχα ο ιδιωτικός τομέας
μέσα από την υπεύθυνη χρήση των δεδομένων για τα προϊόντα
και τις υπηρεσίες που παρέχει. Τα στοιχεία που μας
έδωσε η έρευνα ήταν εξίσου ενδιαφέροντα. Σχεδόν ομόφωνα,
η άποψη των χρηστών είναι ότι “όλοι είναι υπεύθυνοι”.
Μπορούν να δημιουργηθούν επιχειρηματικές ευκαιρίες
στην προστασία της ιδιωτικότητας; Με ποιο τρόπο;
Ξεκάθαρα ναι! Οι ευκαιρίες υπάρχουν και είναι δυο κατηγοριών.
Η μια αφορά την επιχειρηματικότητα που η νομοθεσία
της προστασίας της ιδιωτικότητας ευνοεί. Το γεγονός δηλαδή,
ότι δεν επιτρέπεται η ελεύθερη χρήση των δεδομένων
και ότι μάλιστα ορισμένες συμπεριφορές περιορίζονται σημαντικά,
όπως η στοχευμένη διαφήμιση μέσω της δημιουργίας
αυτόματου προφίλ για τον κάθε χρήστη, σημαίνει ότι σε
τεχνολογικό επίπεδο οι λύσεις που θα προσδίδουν τεχνικές
δυνατότητας που θα επιτρέπουν να γίνουν αυτές οι “προβληματικές”
δραστηριότητες χωρίς να παραβιάζεται η νομοθεσία
θα έχουν άμεσο ενδιαφέρον για την αγορά. Επιπλέον,
ακριβώς διότι η νομοθεσία επιβάλλει την χρήση τεχνολογιών
προστασίας των δεδομένων αυτή είναι μια άλλη αγορά
η οποία θα γνωρίσει άνθηση. Για παράδειγμα, πως μειώνουμε
τον κίνδυνο διαρροής δεδομένων ή πως μπορούμε
να επιβάλλουμε ή να ελέγξουμε την πολιτική προστασίας
προσωπικών δεδομένων στο υπολογιστικό νέφος. Η άλλη
κατηγορία που θα δούμε ευκαιρίες, είναι στην προστασία
των προσωπικών δεδομένων σε υπάρχοντα επιχειρηματικά
μοντέλα ως ανταγωνιστικό πλεονέκτημα. Δηλαδή, το γεγονός
ότι οι χρήστες θα προτιμήσουν να αγοράσουν από μια
εταιρεία που πιστεύουν ότι θα διαφυλάξει τα δεδομένα τους
αποτελεσματικά σε σύγκριση με μια άλλη.
Πως βλέπετε να εξελίσσεται το μέλλον της ιδιωτικότητας
στην Ευρώπης σε όλα τα επίπεδα; Τι πρέπει να κάνει
ο καθένας από τη πλευρά του για την προστασία των
δεδομένων;
Η ιδιωτικότητα θα συνεχίσει να είναι μείζον θέμα στην Ευρωπαϊκή
ατζέντα διότι εκτός από θέμα ανθρωπίνων δικαιωμάτων
και προστασίας καταναλωτή είναι και θέμα οικονομικής
ανάπτυξης.
Τεχνολογίες όπως το υπολογιστικό νέφος, τα δεδομένα μεγάλη
κλίμακας (big data) και το διαδίκτυο των πραγμάτων
(internet of things) θα μας οδηγήσουν σε μια κατάσταση ό-
που η ποσότητα των δεδομένων θα υπερπολλαπλασιαστεί,
τα τεχνολογικά προϊόντα θα είναι δικτυωμένα μεταξύ τους,
ανταλλάσοντας πληροφορίες και συχνά η επεξεργασία των
δεδομένων δεν θα γίνεται για να απαντήσει σε ερωτήσεις,
αλλά για να μας κάνει να καταλάβουμε ποιά θα πρέπει να
είναι η σωστή ερώτηση. Σε ένα τέτοιο περιβάλλον η δυσκολία
δεν θα είναι στην απόκτηση των δεδομένων, αλλά στον
εντοπισμό του “ψύλλου στα άχυρα”.Ο καθένας μας που βρίσκεται
στο χώρο της τεχνολογίας και όχι μόνο θα πρέπει να
κατανοήσει την σημασία των προσωπικών δεδομένων που
έχει στην διάθεση του και επεξεργάζεται διότι έχουν ξεκάθαρη
οικονομική αξία αλλά επιπλέον γιατί θα πρέπει να α-
ποφασίσει και να εξηγήσει πως και πόσο πολύ πρέπει να
τα προστατέψει. iTSecurity
security
11

T4003/04.2015
Cover Issue
GRC | Η αποτελεσματική υλοποίηση
της διεργασίας
Διακυβέρνηση, Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση. είναι τα στοιχεία αυτά
που συνιστούν την έννοια του Governance Risk & Compliance – GRC, που πλέον καθίσταται
ιδιαίτερα σημαντική για την ασφάλεια των εταιρικών πληροφοριών.
O
ι Επιχειρήσεις του σήμερα λειτουργούν σε
ένα ιδιαίτερα πολύπλοκο και δυναμικό περιβάλλον.
Η αναγκαιότητα τήρησης των νομικών,
κανονιστικών απαιτήσεων, η εξέλιξη
και εξάρτηση από τη τεχνολογία αλλά
και τα σύγχρονα επιχειρηματικά μοντέλα,
αυξάνουν τη πολυπλοκότητα και την έκταση των διεργασιών
που αφορούν στη Διακυβέρνηση, Διαχείριση Κινδύνων
και Κανονιστική Συμμόρφωση των εταιρικών πληροφοριών
(Governance Risk & Compliance – GRC).
Λόγω του ότι η τεχνολογία παίζει κυρίαρχο ρόλο στην επιχείρηση
αλλά και στη διαχείριση του επιχειρηματικού κινδύνου,
οι μονάδες/τμήματα πληροφορικής βρίσκονται στη μοναδική
θέση να είναι η κινητήρια δύναμη στο να είναι αρωγός στην
ευθυγράμμιση και συντονισμό των λειτουργικών απαιτήσεων
της επιχείρησης και του ταχέως μεταβαλλόμενου πλαισίου
διακυβέρνησης και κανονιστικής συμμόρφωσης.
Αποτελεσματικοί τρόποι στο να γίνει αυτό είναι οι ακόλουθοι:
• Στήριξη από την εταιρεία σχετικά με την χάραξη και υ-
λοποίηση στρατηγικής για τη συνολική αντιμετώπιση της
Διακυβέρνησης, τη Διαχείριση Κινδύνων και Κανονιστική
Συμμόρφωση των εταιρικών πληροφοριών (Governance
Risk & Compliance – GRC)
• Προώθηση και στήριξη των οργανωτικών και λειτουργικών
αλλαγών που απαιτούνται προκειμένου να διασφαλιστεί
η μακροπρόθεσμη επιτυχία της παραπάνω στρατηγικής.
• Ανάδειξη της αξίας ενός προγράμματος GRC, μέσω ενημέρωσης
για το τρόπο το εν λόγω πρόγραμμα, με τη μορφή
μιας διαρκούς διεργασίας, υποστηρίζει την επίτευξη της ε-
ταιρικής στρατηγικής και των εταιρικών στόχων.
12 security

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com
• Ενσωμάτωση των διεργασιών αξιολόγησης κινδύνου και
κανονιστικής συμμόρφωσης στης επιχειρηματικές δραστηριότητες
της επιχείρησης. Ταυτόχρονη ενημέρωση και
εκπαίδευση του προσωπικού.
• Χρήση και αξιοποίηση υφιστάμενων εργαλείων και τεχνολογιών
σχετικές με την αξιολόγηση και μέτρηση του κινδύνου,
παρακολούθηση του επιπέδου συμμόρφωσης κτλ με
σκοπό συλλογή των απαραίτητων πληροφοριών αλλά και
την αυτοματοποίηση των σχετικών διεργασιών.
• Σταδιακή και μεθοδική μετάβαση από την αποσπασματική
υλοποίηση προγραμμάτων Διακυβέρνησης, τη Διαχείριση
Κινδύνων και Κανονιστική Συμμόρφωση των εταιρικών
πληροφοριών, σε μία ενιαία και συνεχόμενη διεργασία.
Διαδικασία Αποτελεσματικής Υλοποίησης
Οι εκάστοτε απαιτήσεις που αφορούν στη Διακυβέρνηση,
Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση (GRC)
σε σχέση με την ασφάλεια πληροφοριών, πρέπει να εφαρμοστούν
και να αποτελέσουν μέρος της λειτουργίας του Οργανισμού.
Κατά τη προσπάθεια αυτή τίθενται δύο σημαντικά ζητήματα:
ο τρόπος με τον οποίο θα εφαρμοστούν στο σύνολο τους οι
απαιτήσεις μια συνεχούς διεργασίας GRC και πώς o συγκεκριμένος
τρόπος εφαρμογής θα μπορεί να λειτουργεί αποτελεσματικά
μέσα στο εταιρικό περιβάλλον.
H μεθοδολογία που ακολουθεί αποτυπώνει μια προσέγγιση
με σκοπό τη δημιουργία μιας αποτελεσματικής συνεχούς διεργασίας
GRC που αφορά στην ασφάλεια πληροφοριών και
που μακροπρόθεσμα μπορεί να συνεισφέρει στο ανταγωνιστικό
πλεονέκτημα του Οργανισμού.
1ο Βήμα: Επιλογή πλαισίου Διακυβέρνησης
Ο αριθμός των κανονιστικών απαιτήσεων που πρέπει να
πληρούν οι Οργανισμοί είναι ήδη σημαντικός και συνεχώς
αυξάνεται. Όλες όμως οι απαιτήσεις συμμόρφωσης, αποτελούν
υποσύνολο των απαιτήσεων που προσδιορίζονται από
τα διάφορα ευρέως διαδεδομένα πλαίσια διακυβέρνησης της
πληροφορικής, είτε αυτά αφορούν στην υλοποίηση δικλείδων
εσωτερικού ελέγχου, είτε ασφάλειας πληροφοριών, είτε
διαχείρισης υπηρεσιών πληροφορικής.
Ταυτόχρονα, τα παραπάνω πλαίσια Διακυβέρνησης, αναγνωρίζουν
και χρησιμοποιούν τη διαχείριση κινδύνων ως το
βασικότερο συστατικό τους για την επιλογή των τεχνικών και
διαχειριστικών δικλείδων ασφάλειας.
Πλαίσια όπως τα παρακάτω, μπορούν αν χρησιμοποιηθούν
ως η βάση της διεργασίας GRC ενός Οργανισμού.
• COSO (Committee for the Sponsoring Organizations of
the Treadway Commission) που δίνει έμφαση στην υλοποίηση
εσωτερικών δικλείδων ελέγχου
• ISO 27001 που αφορά στην διαχείριση της ασφάλειας πληροφοριών,
• ITIL (IT Infrastructure Library framework) που αφορά
στις καλές πρακτικές κατά την παροχή υπηρεσιών πληροφορικής
• COBIT (Control Objectives for Information and related
Technology) το οποίο αφορά στη διακυβέρνηση της πληροφορικής.
Οι Οργανισμοί θα επωφεληθούν από τη χρήση ενός από τα
παραπάνω πλαίσια διότι μέσα από αυτό θα αναγνωρίσουν
πολλές από τις (κοινές) απαιτήσεις που αφορούν στην ασφάλεια
πληροφοριών, οι οποίες υπάρχουν σε περισσότερες α-
πό μια κανονιστικές απαιτήσεις. Ταυτόχρονα η διεργασία της
αξιολόγησης κινδύνων θα διερευνήσει τόσο τους κινδύνους
από τη μη τήρηση των κανονιστικών απαιτήσεων, αλλά και
τους κινδύνους από τη υλοποίηση των δικλείδων που προσδιορίζονται
από το πλαίσιο διακυβέρνηση που έχει επιλεχθεί.
Τα πλεονεκτήματα από τη χρήση ενός ευρύτερου πλαισίου
με σκοπό τη διαμόρφωση μιας συνεχούς διεργασίας GRC,
είναι τα ακόλουθα:
• Δομημένη προσέγγιση η οποία είναι τεκμηριωμένη και είναι
εύκολο να ακολουθηθεί
• Η τήρηση των κανονιστικών απαιτήσεων και η συνεχής α-
ξιολόγηση κινδύνων, αποτελούν βασικές συνιστώσες των
παραπάνω πλαισίων
• Η συμμετοχή των Επιχειρηματικών οντοτήτων (εκτός πληροφορικής)
είναι αναγκαία
• Υπάρχει προηγούμενη γνώση από συνεργάτες και πελάτες
και ως εκ τούτου ευκολότερη κατανόηση των απαιτήσεων
υλοποίησης
• Υπάρχει συσσωρευμένη γνώση από άλλους οργανισμούς
με αποτέλεσμα την ευκολότερη επίλυση προβλημάτων υ-
λοποίησης μέσω ανταλλαγής παρόμοιων εμπειριών
2ο Βήμα: Επιλογή κατάλληλης μεθοδολογίας Αξιολόγησης
Κινδύνων
Η κρισιμότητα της διεργασίας αξιολόγησης και διαχείρισης
κινδύνων, απαιτεί την επιλογή της κατάλληλης μεθοδολογίας
η οποία θα μπορεί να εφαρμοσθεί στον εκάστοτε Οργανισμό.
Όσον αφορά στην αξιολόγηση κινδύνων, δεν υπάρχει
κάποια μεθοδολογία η οποία να θεωρείτε η ιδανική. Ο Κάθε
Οργανισμός πρέπει να επιλέξει ή να διαμορφώσει τη μεθοδολογία
που μπορεί να υποστηρίξει, μια μεθοδολογία ανάλογη
του λειτουργικού του περιβάλλοντος και των δυνατοτήτων
διενέργειάς της.
security
13

T4003/04.2015
Cover Issue
Η κανονιστική συμμόρφωση θα πρέπει να θεωρηθεί ως ένας
ακόμα κίνδυνος για τον Οργανισμό, που πρέπει να αντιμετωπιστεί
με τον ίδιο τρόπο που αντιμετωπίζονται και οι υπόλοιποι
κίνδυνοι που αφορούν στην Ασφάλεια Πληροφοριών.
Συνεπώς, οι κίνδυνοι από τη μη συμμόρφωση πρέπει να α-
ξιολογηθούν, να αποτιμηθεί η επίδραση της μη συμμόρφωσης
στον Οργανισμό και στη συνέχεια να ελαχιστοποιηθούν
σύμφωνα με τις επιταγές και προτεραιότητες της Διοίκησης.
Η αδυναμία εκπλήρωσης των απαιτήσεων ασφάλειας πληροφοριών
που προκύπτουν από τη μη συμμόρφωση είναι πιθανόν
να οδηγήσει σε κινδύνους, όπως:
• Περιστατικά παραβίασης της ασφάλειας και ενδεχόμενη
απώλεια της αξιοπιστίας του Οργανισμού
• Οικονομικές κυρώσεις ως αποτέλεσμα της μη συμμόρφωσης
με το κανονιστικό πλαίσιο
• Απώλεια ευκαιριών συνεργασίας με πελάτες σαν αποτέλεσμα
τη μη συμμόρφωσης με κανονιστικές και συμβατικές
απαιτήσεις με πελάτες.
3ο Βήμα: Οι Απαιτήσεις κανονιστικής συμμόρφωσης μέρος
της εταιρικής στρατηγικής
Η κανονιστική συμμόρφωση (compliance) αποτελεί μεγάλο
μέρος της διεργασίας GRC ενός Οργανισμού. Με το όρο κανονιστική
συμμόρφωση εννοούμαι το κάθε μορφής κανόνα
ή απαίτηση που μπορεί να προκύπτει τόσο από το Θεσμικό
& Νομικό πλαίσιο, όσο και από συμβάσεις που περιέχουν
όρους σχετικούς με τη προστασία των πληροφοριών. Κανένας
Οργανισμός δε μπορεί να συμμορφωθεί άμεσα με όλες
τις απαιτήσεις ασφάλειας πληροφοριών που τον αφορούν.
Για το λόγο αυτό, η συμμόρφωση πρέπει να γίνει μέρος της
εταιρικής στρατηγικής και να αποτελεί κομμάτι των ετήσιων
στρατηγικών πλάνων του Οργανισμού.
Σε αρχικό στάδιο, χρειάζεται να αποτιμηθεί το υφιστάμενο
επίπεδο συμμόρφωσης και ταυτόχρονα να προσδιορισθεί το
επιθυμητό επίπεδο συμμόρφωσης που προσδοκά ο Οργανισμός.
Το επιθυμητό επίπεδο συμμόρφωσης δε σημαίνει
απαραίτητα πλήρη συμμόρφωση.
Στο επόμενο στάδιο η συμμόρφωση γίνεται μέρος των Επιχειρηματικών
στόχων και ενσωματώνεται στη στρατηγική που
ακολουθεί ο Οργανισμός και για άλλα συστήματα Διαχείρισης,
όπως το ISO27001 & το ISO20000, ISO90001.
4ο Βήμα: Ενσωμάτωση διεργασίας GRC στο εταιρικό
πλαίσιο Διακυβέρνησης
Η αποτελεσματική διαχείριση της ασφάλειας πληροφοριών
χρειάζεται ανάπτυξη οργανωτικών δομών διαχείρισης,
καθώς και δομών ελέγχου τόσο της τήρησης των απαιτήσεων
ασφάλειας πληροφοριών, αλλά και της διαχείρισης των
σχετικών κινδύνων.
Η αποτελεσματική διακυβέρνηση της ασφάλειας πληροφοριών
αποτελεί έναν από τους κύριους παράγοντες επιτυχίας
της διεργασίας GRC.
14 security

GRC | Η αποτελεσματική υλοποίηση της διεργασίας
Αυτό που χρειάζεται να γίνει κατανοητό, είναι ότι όλα τα συστατικά
της διεργασίας GRC είναι άρρηκτα συνδεδεμένα
μεταξύ τους και αλληλεπιδρούν. Για το λόγο αυτό χρειάζεται
να αποτελέσουν μέρος της συνολικότερης στρατηγικής και
πλαισίου εταιρικής διακυβέρνησης.
5ο Βήμα : Δείκτες Μέτρησης Αποτελεσματικότητας
Η αποτελεσματική υλοποίηση της διεργασίας GRC, θα ωφεληθεί
ιδιαίτερα από τη δημιουργία υποδομής μέτρησης της
αποτελεσματικότητα της εν λόγο διεργασίας. Η μέτρηση αποτελεσματικότητας
επιτυγχάνεται με το προσδιορισμό συγκεκριμένων
δεικτών οι οποίοι αποτιμώνται ανά τακτά χρονικά
διαστήματα, ενώ ταυτόχρονα συλλέγονται στατιστικά στοιχεία
που αφορούν στους συγκεκριμένους δείκτες.
Ενδεικτικά κάποιοι από τους δείκτες μπορεί να είναι οι α-
κόλουθοι:
• Απόκλιση μεταξύ υφιστάμενου & απαιτούμενου βαθμού
συμμόρφωσης
• Μέτρηση ωριμότητας των δικλείδων ασφάλειας που αφορούν
στις απαιτήσεις συμμόρφωσης και στις απαιτήσεις
μείωσης του επίπεδου επικινδυνότητας
• Τήρηση των απαιτήσεων συμμόρφωσης από την εταιρεία
• Αξιολόγηση κινδύνων για τις περιπτώσεις μη συμμόρφωσης
και μη τήρησης των βασικών δικλείδων ασφάλειας,
όπως αυτές ορίζονται από τη πλαίσια Διακυβέρνησης της
Ασφάλειας Πληροφοριών
6ο Βήμα: Συμμετοχή των επιχειρηματικών μονάδων
Ο σκοπός της συμμετοχής των επιχειρηματικών μονάδων
είναι η κατανόηση των απαιτήσεων του εταιρικού πλαισίου
GRC και ο προσδιορισμός του τρόπου συμμετοχής τους στην
εν λόγω διεργασία. Για να γίνει αυτό χρειάζεται να ακολουθηθούν
τα παρακάτω βήματα:
• Ενημέρωση των επιχειρηματικών μονάδων για τις διαδικασίες
και απαιτήσεις Διακυβέρνησης & Συμμόρφωσης,
καθώς και για το δικό τους ρόλο στις συγκεκριμένες διαδικασίες.
• Ενημέρωση για τη σημασία της διαδικασίας συμμόρφωσης
και διαχείρισης κινδύνων για τον Οργανισμό
• Ενημέρωση για τη πρόοδο των όποιων εργασιών αφορούν
στις απαιτήσεις GRC
• Δημιουργία διαδικασίας αυτό-αξιολόγησης (της κάθε ε-
πιχειρηματικής μονάδας) σχετικά με τη τήρηση των α-
παιτήσεων συμμόρφωσης & τήρησης του πλαισίου Διακυβέρνησης
• Ενημέρωση σχετικά με υποχρεώσεις και ρόλους σε σχέση
με όλες τις διαδικασίες της διεργασίας GRC.
Απώτερος σκοπός είναι η αυτοματοποίηση της διεργασίας
GRC και η δημιουργία αντίστοιχης κουλτούρας στον Οργανισμό
που θα αφορά στην Ασφάλεια Πληροφοριών, στη συμμόρφωση
με τις κανονιστικές απαιτήσεις.
7ο Βήμα: Ενημέρωση & Εκπαίδευση
Η εταιρική κουλτούρα έχει αντίκτυπο στη επιτυχία και στο
κόστος της διεργασίας GRC. Η διαμόρφωση της κουλτούρας
ασφάλειας, συμμόρφωσης και συνεχούς διαχείρισης κινδύνων
επιτυγχάνεται μέσα από την ενημέρωση και την εκπαίδευση
του προσωπικού.
Η ενημέρωση του προσωπικού περιλαμβάνει την σημασία
της απαιτήσεων συμμόρφωσης, προστασίας των επιχειρηματικών
πληροφοριών και ελαχιστοποίησης των σχετικών
κινδύνων. για τον Οργανισμό είναι απαραίτητη διαδικασία.
Μία τέτοια ενημέρωση περιλαμβάνει και εκπαίδευση αναφορικά
με τις εταιρικές διαδικασίες & ρόλους σε θέματα GRC.
8ο Βήμα: Δημιουργία πλαισίου συνεχούς βελτίωσης
Η διεργασία που αποτυπώθηκε στα πλαίσια του συγκεκριμένου
άρθρου δεν είναι στατική και κυρίως δεν είναι δυνατόν
να υλοποιηθεί αποτελεσματικά από την αρχή της εφαρμογής
της. Χρειάζεται να βελτιώνεται συνεχώς και να ενσωματώνεται
ολοένα και περισσότερο στο λειτουργικό περιβάλλον
του Οργανισμού.
Log off ...
Οι ταχείες αλλαγές των επιχειρηματικών μοντέλων, της τεχνολογίας,
του κανονιστικού πλαισίου και οι κίνδυνοι σε σχέση
με την ασφάλεια πληροφοριών, αυξάνουν τις δυσκολίες
αποτελεσματικής υλοποίηση μια συνεχούς διεργασίας GRC.
Η υιοθέτηση μιας συνεχούς διεργασίας GRC, παρέχει ολοκληρωμένη
εικόνα για το επίπεδο συμμόρφωσης και διαχείρισης
κινδύνων αλλά και το βαθμό υλοποίηση του πλαισίου
διακυβέρνησης της ασφάλειας πληροφοριών. Ταυτόχρονα,
η μετατροπή των απαιτήσεων GRC σε μια συνεχή διεργασία,
μπορεί να αποτελέσει εργαλείο λήψης αποφάσεων και εργαλείο
αποτελεσματικής υλοποίησης των όλων των συστατικών
της διεργασίας GRC.
Για να γίνει αυτό χρειάζονται τα ακόλουθα:
• Συγκεκριμένη στρατηγική και πλαίσιο GRC το οποίο θα
συμπορεύεται με την εταιρική και τεχνολογική στρατηγική
του Οργανισμού
• Χρήση κατάλληλης τεχνολογίας με σκοπό την αυτοματοποίηση
μέρους της διεργασίας GRC
• Συνολική και όχι αποσπασματική υλοποίηση του συνόλου
της διεργασίας. iTSecurity
security
15

T4003/04.2015
Issue
Ασφάλεια εφαρμογών και ERP
στον κόσμο του GRC
Στο νέο περιβάλλον η παρακολούθηση διακίνησης των δεδομένων χωρίς την εισβολή σε
ιδιωτικές πληροφορίες είναι μια σημαντική απαίτηση. Για αυτό και μια λύση που θα παρέχει
υψηλά επίπεδα ασφάλειας, προστατεύοντας τα πολύτιμα περιουσιακά στοιχεία μιας επιχείρησης
και την ιδιωτικότητα είναι κάτι παραπάνω από ωφέλιμη.
ήμερα, σχεδόν όλες οι επικοινωνίες γίνονται
Σ
ψηφιακά, και τα δεδομένα ταξιδεύουν μέσω
διαφόρων δικτύων, μέσα από επιχειρήσεις
και οργανισμούς, διασχίζοντας διαφορετικά
κράτη και ηπείρους. Ως εκ τούτου, οι ε-
πικοινωνίες είναι πλέον ευαίσθητες αφού
μπορούν θεωρητικά να υποκλαπούν και να οδηγήσουν σε
εγκλήματα, κατασκοπεία ή τρομοκρατικές ενέργειες. Έτσι,
ενώ η ψηφιακή επικοινωνία έχει γίνει ευέλικτη και πολύ
φθηνότερη, τα προβλήματα και οι παρεμβολές που συμβαίνουν
καθημερινά στα δίκτυα, δημιουργούν μία παγκόσμια
απειλή για την οικονομία και την κοινωνία. Είναι πλέον σαφές
ότι η ασφάλεια στον κυβερνοχώρο είναι απαραίτητη για
τις επιχειρηματικές αλλά και τις προσωπικές δραστηριότητες
των πολιτών.
Τα δεδομένα που διακινούνται στα δίκτυα έχουν διαρκή αύξηση
σε όγκο και πολυπλοκότητα, και η αποτελεσματική παρακολούθηση
τους είναι πολύ σύνθετη και δύσκολη διαδικασία.
Ταυτόχρονα, όλος ο κόσμος έχει μια βασική ανάγκη για
προστασία της ιδιωτικής ζωής, αφού σε κανέναν δεν αρέσει
η ιδέα ότι κάποιος άλλος μπορεί να παρακολουθεί προσωπικές
πληροφορίες. Οι ψηφιακές επικοινωνίες αφήνουν ένα
ίχνος των κρίσιμων πληροφοριών σχετικά με το χρόνο, τον
τόπο και τις διαδρομές που έχουν ακολουθήσει. Η ουσιαστική
ανάγκη λοιπόν είναι η παρακολούθηση της συμπεριφορά
αυτής της κυκλοφορίας καταγραφής χωρίς την εισβολή σε
ιδιωτικές πληροφορίες.
μεγέθους. Η λύση αναβαθμίζει τις επιχειρησιακές δυνατότητες
μίας εταιρίας, προστατεύοντας τα πολύτιμα περιουσιακά
στοιχεία της και δίνοντας εξαιρετική πληροφόρηση σε
όλα τα επίπεδα μέσω της ενσωμάτωσης όλων των αρχείων
καταγραφής από όλα τα σημαντικά συστήματα, σε ένα ενιαίο
υπερσύνολο. Η ενσωματωμένη μηχανή ανάλυσης αρχείων
καταγραφής αυτόματα ανιχνεύει και ειδοποιεί για όλα τα
κρίσιμα περιστατικά σχετικά με τα πληροφοριακά συστήματα.
Τα κρίσιμα γεγονότα μπορεί να περιλαμβάνουν μια συνεχιζόμενη
επίθεση σε συστήματα (Advanced Persistent
Threat / APT), ένα σύστημα που βρίσκεται σε κίνδυνο, την
κατάρρευση ενός συστήματος, ζητήματα ταυτοποίησης χρηστών
και πολλά άλλα.
Το πιο σημαντικό ζήτημα που ξεχνιέται συχνά στις μεγάλες
επιχειρήσεις είναι ο έλεγχος των εφαρμογών, αφού η βασική
εστίαση είναι στο υλικό (hardware) όπως servers, firewalls,
switches, routers κλπ. Ωστόσο, οι εφαρμογές είναι πολύ σημαντικό
να συμπεριληφθούν στο πεδίο εφαρμογής της προληπτικής
παρακολούθησης της ασφάλειας. Συχνά είναι δύσκολο
για τις εταιρίες να δώσουν προτεραιότητα στην ασφάλεια
των εφαρμογών, αφού πρόκειται για διαδικασία που δεν
αποφέρει έσοδα, οπότε συχνά οι πτυχές της ασφάλειας μίας
επίθεσης σε μία εφαρμογή διαρκώς υποτιμούνται.
Μια αξιόπιστη λύση για μεγάλη πρόκληση
Η λύση SIEM της LogPoint αποσπά με έξυπνο τρόπο τις πληροφορίες
από σημαντικά γεγονότα και περιστατικά μέσα από
τα δισεκατομμύρια των αρχείων καταγραφής (log files) που
υπάρχουν σε κάθε υποδομή πληροφορικής οποιουδήποτε
16 security

Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης,
NSS
Η πρόκληση της παρακολούθησης της ασφάλειας των ε-
φαρμογών συνδέεται με την ποσότητα των πληροφοριών που
πρέπει να συλλέγονται, να αντιπαραβάλλονται, να αναλύονται,
και να συνοψίζονται έτσι ώστε να μπορεί η διοίκηση μίας ε-
πιχείρησης να χρησιμοποιεί τις πληροφορίες ως εργαλείο
για τη λήψη αποφάσεων. Για την ενεργοποίηση μιας επιτυχημένης
στρατηγικής ασφάλειας εφαρμογών, οι διαχειριστές
πρέπει να έχουν ορατότητα στις ισχύουσες πολιτικές και τις
επιθέσεις που επιχειρούνται. Το κλειδί για τη μεγιστοποίηση
του χρόνου λειτουργίας και απόδοσης μίας εφαρμογής, είναι
η κατανόηση του τι αντιπροσωπεύει μία επίθεση καθώς και
ο τρόπος λειτουργίας της.
Βέλτιστη απόδοση, μέγιστη διαθεσιμότητα
Μέσω του LogPoint μπορεί να γίνει συσχετισμός από αρχεία
καταγραφής καθώς και δομημένες πηγές δεδομένων
πχ. CMDBs, βάσεις δεδομένων Κοινωνικής Ασφάλισης, ιατρικά
αρχεία, χρηματοπιστωτικά συστήματα κ.α. Επίσης, το
LogPoint αποτελεί μια αξιόπιστη πλατφόρμα ασφαλείας υ-
ψηλού επιπέδου διαχείριση ασφάλειας σε οποιοδήποτε ε-
πιχειρησιακό περιβάλλον εφαρμογών όπως SAP, Oracle,
Microsoft κ.ά.
Τα συστήματα λογισμικού έχουν τρωτά σημεία, πόσο μάλλον
τα συστήματα ERP. Αυτό συμβαίνει αφού έχουμε τα παρακάτω
τέσσερα χαρακτηριστικά:
• Μεγάλη Προσαρμογή, αφού δεν υπάρχουν συστήματα ERP
που να είναι ακριβώς τα ίδια.
• Εξαιρετική Πολυπλοκότητα, η οποία «σκοτώνει» την α-
σφάλεια. Τα συστήματα ERP είναι τεράστια συστήματα
που περιλαμβάνουν διαφορετικές βάσεις δεδομένων, διακομιστές
εφαρμογών, συστήματα middleware, λογισμικά
frontend ΝΔ, διαφορετικά λειτουργικά συστήματα και
γενικά χρησιμοποιούν πολλές διαφορετικές τεχνολογίες.
• Μεγάλη Επικινδυνότητα, αφού τα συστήματα ERP αποθηκεύουν
και επεξεργάζονται κρίσιμα επιχειρηματικά δεδομένα.
Ακόμα και μία μικρή διακοπή συνεπάγεται σημαντικό
κόστος και η όποια επιδιόρθωση είναι επικίνδυνη. Είναι
γνωστό ότι υπάρχουν ευάλωτα λογισμικά που λειτουργούν
εδώ και χρόνια.
• Άγνωστη Δομή, αφού τα συστήματα ERP έχουν διερευνηθεί
λιγότερο διεξοδικά και στοχευμένα αλλά συχνά περιέχουν
απλά και εύκολα να ανακαλυφθούν τρωτά σημεία.
Συγκεκριμένα για τα συστήματα και τις εφαρμογές του SAP,
το LogPoint μπορεί να αναλύσει τις κρίσιμες εφαρμογές της
παραγωγής διασφαλίζοντας βέλτιστη απόδοση και μέγιστη
διαθεσιμότητα. Συγκεκριμένα, μπορεί να δώσει δυνατότητες
για πλήρη ανίχνευση ανωμαλιών, παρακολούθηση σημαντικών
αλλαγών για τον έλεγχο βασικών δεδομένων, συσχετισμούς
σχετικά με πιθανές παραβιάσεις επιχειρησιακού ε-
πιπέδου (business violations) κα. Αυτό μπορεί να γίνει χρησιμοποιώντας
έτοιμα πρότυπα που παραπέμπουν σε ειδικές
περιπτώσεις χρήσης επιχειρησιακής ασφάλειας (business
security use cases) αλλά και δημιουργία νέων με εύκολη
προσαρμογή και επέκταση. Ενδεικτικά μέσω του συστήματος
μπορεί να γίνει:
• Εντοπισμός τιμολογίων χωρίς εντολές αγοράς.
• Προσδιορισμός πωλητών όπου τα εναλλακτικά ονόματα δικαιούχου
έχει αλλάξει πριν την πληρωμή.
• Πολλαπλή χρήση της διαδικασίας των πωλητών one-time.
• Ανίχνευση των πληρωμών πάνω από την οριακή τιμή για
τους πωλητές one-time.
• Προσδιορισμός συναλλαγών όπου ο υπεύθυνος έγκρισης
αγοράς είναι ο ίδιος με τον υπεύθυνο παραλαβής.
• Προσδιορισμός συναλλαγών όπου ο υπεύθυνος έγκρισης
σειρά είναι ο ίδιος με τον υπεύθυνο έκδοσης του παραστατικού.
• Προσδιορισμός συναλλαγών στις οποίες ο υπεύθυνος δημιουργίας
της παραγγελίας είναι ο ίδιος με τον υπεύθυνο
πληρωμών.
• Προσδιορισμός εντολών αγοράς που δημιουργήθηκαν κατά
security
17

T4002/03.2015
Issue
Ασφάλεια εφαρμογών και ERP στον κόσμο του GRC
ή μετά την ημερομηνία έκδοσης του τιμολογίου.
• Εντοπισμός Τιμολογίων στα οποία τα αγαθά είναι περισσότερα
από το έγγραφο παραλαβής.
• Εντοπισμός αύξησης της αξίας για τις αγορές παραγγελίες
πάνω από ένα ορισμένο όριο.
• Έλεγχος τραπεζικών κρατήσεων που δεν έχουν υποστεί ε-
πεξεργασία με μία από τις γνωστές συναλλαγές.
• Έλεγχος ύποπτων κρατήσεων σε ασυνήθιστα ωράρια.
• Εντοπισμός τιμολογίων που έχουν διασπαστεί για να αποφευχθεί
η χρήση των ειδικών ορίων.
Υψηλά επίπεδα ασφάλειας και ελέγχου
Λόγω του ότι στο σύστημα SAP μίας εταιρίας αποθηκεύονται
συχνά οι πιο σημαντικές πληροφορίες που αναζητούν
οι κυβερνοεγκληματίες, τα συστήματα αυτά είναι ιδιαίτερα
επιρρεπή σε σαμποτάζ, απάτη και κατασκοπεία. Ορισμένα
από τα πιο κρίσιμα στοιχεία που βρίσκονται στο ERP είναι:
• Οικονομικά στοιχεία, στοιχεία οικονομικού σχεδιασμού (FI).
• Δεδομένα προσωπικού, ιδιωτικά στοιχεία επικοινωνίας
(HR).
• Εταιρικά μυστικά (PLM).
• Προσφορές Προμηθευτών (SRM).
• Λίστες πελατών (CRM).
Υπάρχουν πολλές αδυναμίες που ενδέχεται να καταστήσουν
το σύστημα SAP ευάλωτο. Εκτός από ιδιαίτερες απειλές
που ενδέχεται να προκύψουν, άλλες συνήθεις απειλές περιλαμβάνουν:
• Κώδικα που δεν είναι ασφαλής.
• Διορθώσεις ασφαλείας που δεν έχουν γίνει.
• Ανεξέλεγκτη απομακρυσμένη πρόσβαση (RFC, SOAP).
• Ενεργοί χρήστες SAP.
• Μεταφορές / ανάπτυξη λογισμικού.
• Μη εξουσιοδοτημένες αλλαγές σε προφίλ.
Η προληπτική παρακολούθηση του SAP χρησιμοποιώντας
το LogPoint μπορεί να προσφέρει μία ποικιλία από οφέλη,
όπως:
• Βελτιώσεις στην ασφάλεια & διαχείριση κινδύνου του SAP.
• Μείωση του αριθμού και του επίπεδου των κρίσιμων σημείων
που μπορούν να καταγραφούν στο πόρισμά ενός ε-
λεγκτή ασφάλειας.
• Μετασχηματισμός κινδύνων σε αποκατάσταση.
• Κανονιστική συμμόρφωση σε όλο το τοπίο του συστήματος
SAP.
• Ενσωμάτωση της ασφάλειας πολλαπλών υποσυστημάτων
του SAP μέσω μίας ολιστικής προσέγγισης σε πραγματικό
χρόνο.
Μέσω της λύσης Ανάλυσης Πληροφοριών Ασφάλειας και
Διαχείρισης Καταγραφών (SIEM) της LogPoint, μπορείτε να
παρατηρήσετε τα περιστατικά που συμβαίνουν στα πληροφοριακά
συστήματα σας, πριν αυτά να αποτελέσουν απειλή για
την επιχείρησής. Η λύση της Logpoint επιτρέπει:
• Την επισκόπηση των δεδομένων του δικτύου σε πραγματικό
χρόνο διασφαλίζοντας τις σημαντικές υπηρεσίες και δίνοντας
μία νέα εικόνα στις πληροφορίες που διακινούνται.
• Τον εντοπισμό ανεπιθύμητης συμπεριφοράς εντός του δικτύου
και τη διερεύνηση περιστατικών μέσα από τον ε-
μπλουτισμό των δεδομένων.
• Τη συμμόρφωση με κανονιστικά πρότυπα όπως ISO2700x,
SOX, HIPAA, PCI, GPG13 κλπ.
Η εταιρεία LogPoint πρόσφατα συνεργάστηκε με το τμήμα
Άμυνας, Αεροδιαστημικής και Ασφάλειας της Boeing (The
Boeing Company), με στόχο την κατάκτηση της πιστοποίησης
ποιότητας EAL-3 (Evaluation Assurance Level 3), επονομαζόμενη
και ως πιστοποίηση ποιότητας ΝΑΤΟ, για την
ομώνυμη πλατφόρμα SIEM LogPoint που κατασκευάζει. Το
πρωτοποριακό αυτό προϊόν διαθέτει στην αγορά η εταιρία
NSS, που είναι Διανομέας Προστιθέμενης Αξίας και Κέντρο
Καινοτομίας της LogPoint για τις χώρες της Νοτιοανατολικής
Μεσόγειου.
H LogPoint, εταιρεία με έδρα την Κοπεγχάγη και διεθνή παρουσία
στο χώρο της πληροφορικής, προωθεί την ομώνυμη
τεχνολογία LogPoint – μια προηγμένη πλατφόρμα SIEM
(Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών και Συμβάντων).
Η πιστοποίηση αυτή τοποθετεί την πλατφόρμα
LogPoint στην κορυφή της αγοράς, κατατάσσοντάς την
μεταξύ των σημαντικότερων λύσεων ασφαλείας SIEM για
οργανισμούς, επιχειρήσεις, μεγάλες εταιρίες ακόμη και
κυβερνητικές αρχές, επιτρέποντας στην εταιρία να είναι α-
νταγωνιστική σε παγκόσμιο επίπεδο στην ταχέως αναπτυσσόμενη
αγορά SIEM, η οποία σημειώνει σήμερα διψήφιο
ρυθμό ανάπτυξης.
Το σύστημα LogPoint διανέμεται στην Νοτιοανατολική
Ευρώπη από την εταιρία NSS, που είναι διανομέας
προστιθέμενης αξίας και κέντρο καινοτομίας για συνολικές
ή μεμονωμένες λύσεις στον τομέα της πληροφορικής.
iTSecurity
18 security

T4003/04.2015
Issue
Μεγαλύτερη ευελιξία
στην υλοποίηση λύσεων ασφαλείας
σε virtualized υποδομές
T
ο cloud computing περιλαμβάνει ένα σύνολο
από υπηρεσίες και εργαλεία τα οποία
είναι προσβάσιμα και αξιοποιήσιμα από το
χρήστη μέσω του internet. Η επαφή με αυτήν
τη νέα τεχνολογία από επαγγελματίες
που αναζητούν καινοτόμες τεχνολογικές και χαμηλού κόστους
λύσεις για τις επιχειρήσεις τους, είναι εύλογο να δημιουργεί
ερωτηματικά σε σχέση με την ασφάλεια των δεδομένων
και το βαθμό προστασίας των παρεχομένων υπηρεσιών.
Η Fortinet προσφέρει λύσεις δικτυακής ασφάλειας,
ιδανικές για την κάλυψη των αναγκών όλων των σύγχρονων
μοντέλων επιχειρήσεων. Με την προσθήκη των virtual
appliances στην γκάμα των προϊόντων της, προσφέρει περισσότερες
επιλογές και μεγαλύτερη ευελιξία στην υλοποίηση
λύσεων ασφαλείας σε υπάρχουσες virtualized υποδομές.
Οι virtual appliance εφαρμογές της Fortinet διαθέτουν όλα
τα χαρακτηριστικά των υπηρεσιών ασφάλειας και δικτύωσης
τα οποία είναι κοινά με τις παραδοσιακές hardware-based
συσκευές, δίνοντας την δυνατότητα υλοποίησης μεικτών λύσεων
και διαχείρισης τους από μια κοινή κεντρική πλατφόρμα.
Αναλυτικότερα, η οικογένεια των Virtual Appliances της
Fortinet περιλαμβάνει:
Fortigate-VM. H πολυβραβευμένη σειρά FortiGate σε
virtual form factor, αποτελείται από νέας γενιάς συστήματα
Firewall (Next Generation Firewall) που προσφέρουν ολοκληρωμένη
δικτυακή προστασία ενσωματώνοντας λειτουργίες
όπως IPS, Antivirus/Antispam, VPN, Application Control,
με εξαιρετική απόδοση και εξαιρετικά χαμηλό latency σε ι-
διαίτερα προσιτή τιμή.
FortiManager-VM. Το σύστημα FortiManager είναι μια
“single pane of glass” κονσόλα κεντρικού ελέγχου και διαχείρισης,
που επιτρέπει σε επιχειρήσεις και ISPs να διαχειρίζονται
με ευκολία μεγάλο αριθμό συσκευών FortiGate.
FortiAnalyzer-VM. Η σειρά FortiAnalyzer προσφέρει κεντρική
καταγραφή, εξάγοντας αναφορές και ειδοποιήσεις
σχετικά µε την κατάσταση όλων των συστημάτων ασφάλειας
του δικτύου.
FortiMail-VM. Η εφαρμογή FortiMail προσφέρει προηγμένες
λειτουργίες antispam και antivirus με πλήθος δυνατοτήτων,
όπως quarantine και archiving, για την ασφάλεια της
ηλεκτρονικής αλληλογραφίας.
FortiWeb-VM. H οικογένεια προϊόντων FortiWeb παρέχει
Web-based προστασία των εφαρμογών και των δεδομένων
από επιθέσεις μέσω διαδικτύου. Χρησιμοποιώντας προηγμένες
τεχνικές και αλγορίθμους θωρακίζει το δίκτυο από ε-
πιθέσεις άρνησης παροχής υπηρεσίας (DoS) και εξελιγμένες
επιθέσεις, όπως SQL injection και Cross-site scripting.
FortiRecorder-VM. Η εφαρμογή FortiRecorder, σε συνδυασμό
με Forticameras παρέχει πλήρη ασφάλεια επιτήρησης
χώρου.
FortiVoice-VM. Ένα ολοκληρωμένο Virtual IP-PBX σύστημα
επικοινωνίας
που δίνει τον απόλυτο έλεγχο κλήσεων για την άριστη εξυπηρέτηση
των πελατών και την αποδοτική συνεργασία των
εργαζομένων.
FortiAuthenticator-VM. Σε συνδυασμό με τα FortiTokens
παρέχει έλεγχο ταυτότητας και πιστοποίησης των χρηστών
ενός δικτύου, εξασφαλίζοντας 2 step verification.
FortiADC-VM. Παρέχει προηγμένες δυνατότητες load
balancing τόσο σε μικρές εγκαταστάσεις με λίγους εξυπηρετητές
όσο και σε μεγάλα κέντρα δεδομένων.
FortiCache-VM. Αυξάνει την απόδοση του δικτύου ελαχιστοποιώντας
τις καθυστερήσεις ενώ παράλληλα το FortiGuard
Web Filtering και Antimalware μπλοκάρει το ανεπιθύμητο
περιεχόμενο ιστοσελίδων.
Η LEXIS Πληροφορική (www.lexis.gr), επίσημος αντιπρόσωπος
και διανομέας των προϊόντων της Fortinet στην Ελλάδα
από το 2005, διαθέτει ισχυρή τεχνογνωσία και πολυετή
εμπειρία στον τομέα της ασφάλειας δικτύων με πλήθος ε-
γκαταστάσεων στον ιδιωτικό και τον δημόσιο τομέα, και είναι
σε θέση να σχεδιάζει και να υποστηρίζει την πλέον συμφέρουσα
λύση για κάθε εφαρμογή. iTSecurity
security
19

T4003/04.2015
Issue
ΟΤΕ Information Security
Ολοκληρωμένες υπηρεσίες ασφάλειας
πληροφοριών στη διάθεση της INTERAMERICAN
Οι επιχειρήσεις αντιμετωπίζουν καθημερινά απειλές από κακόβουλες επιθέσεις στα
πληροφοριακά τους συστήματα, που μπορεί να αποβούν εξαιρετικά καταστρεπτικές για την
εύρυθμη λειτουργία τους.
O
ι ολοένα και πιο προηγμένες επιθέσεις που
δέχονται οι επιχειρήσεις, συχνά δεν μπορούν
να αντιμετωπιστούν με τις παραδοσιακές
τεχνολογίες και τεχνικές προστασίας
όπως τις γνωρίζαμε μέχρι σήμερα, ενώ η
συνεχής κατάρτιση του προσωπικού των
επιχειρήσεων σε θέματα ασφαλείας και προστασίας των
πληροφορικών συστημάτων δεν είναι πάντα εφικτή.
Αυτήν την ανάγκη για ασφάλεια έρχεται να καλύψει ο
ΟΤΕ δημιουργώντας το κατάλληλο κάθε φορά για την ε-
πιχείρηση περιβάλλον προστασίας και τις προϋποθέσεις
εκείνες που θα οδηγήσουν στον εντοπισμό και τη βέλτιστη
αντιμετώπιση καταστάσεων έκτακτης ανάγκης. Για τον Ο-
ΤΕ είναι εξαιρετικά σημαντική η παροχή όχι απλά μεμονωμένων
λύσεων ασφαλείας υψηλού επιπέδου, αλλά και
μίας συνολικής στρατηγικής ασφάλειας που οδηγεί στην
αποτελεσματική ανίχνευση και αποτροπή των πλέον σύγχρονων
απειλών. Διαθέτοντας κατάλληλες υποδομές, εξειδικευμένο
και πιστοποιημένο δυναμικό, αλλά και πλούσια
εμπειρία σε θέματα ΙΤ, ο ΟΤΕ δραστηριοποιείται στον χώρο
του Information Security και προσφέρει ολοκληρωμένες
λύσεις ασφάλειας πληροφοριών με υψηλά επίπεδα ποιότητας
και αξιοπιστίας.
Με αυτήν την λογική η INTERAMERICAN απευθύνθηκε
στον ΟΤΕ αναζητώντας τις λύσεις Information Security
που θα καλύψουν ολοκληρωμένα τις ανάγκες της και θα
την θωρακίσουν έναντι των απειλών που μπορεί ανά πάσα
στιγμή να δεχθεί.
Οι λύσεις που υιοθέτησε αφορούν στον εντοπισμό αδυναμιών
που μπορεί να τύχουν εκμετάλλευσης από κακόβουλες
επιθέσεις μέσα από εξειδικευμένες υπηρεσίες
Vulnerability Assessment και Penetration Testing, τόσο
σε επίπεδο δικτύου όσο και σε επίπεδο εφαρμογής.
Επιπλέον, εξασφάλισε την προστασία των υποδομών της
20 security

από επιθέσεις τύπου DDoS με χρήση των πλέον σύγχρονων
ολοκληρωμένων λύσεων προστασίας, που μόνο πάροχοι
τηλεπικοινωνιακών υπηρεσιών όπως ο ΟΤΕ μπορούν
να προσφέρουν. Τέλος, πέτυχε την παρακολούθηση κρίσιμων
πληροφοριακών υποδομών, μέσω των υπηρεσιών ΟΤΕ
Managed Security Services, με στόχο την άμεση ενημέρωση
στην περίπτωση εκδήλωσης επίθεσης.
Ειδικά μέσα από τις υπηρεσίες Managed Security Services,
η INTERAMERICAN προστατεύει αποτελεσματικά τις υποδομές
της από τις πλέον εξελιγμένες επιθέσεις, ελαχιστοποιώντας
σημαντικά το κόστος τόσο σε υποδομές, όσο και
σε ανθρώπινο δυναμικό. Ο ΟΤΕ έχει αναλάβει την ευθύνη
της παρακολούθησης των κρίσιμων πληροφοριακών συστημάτων
της εταιρείας και της ενημέρωσής της για πιθανά
περιστατικά ασφάλειας σε πραγματικό χρόνο, και με
τον πλέον άμεσο και αποτελεσματικό τρόπο. Έτσι, δίνει τη
δυνατότητα στην INTERAMERICAN να αξιολογεί ανά πάσα
στιγμή το επίπεδο ασφάλειας των πληροφοριακών της υ-
ποδομών, να εντοπίζει έγκαιρα και να αποτρέπει επιθέσεις
που θα μπορούσαν να έχουν σημαντικές επιπτώσεις στην
επιχειρησιακή της λειτουργία.
Όλες οι λειτουργίες των υπηρεσιών Managed Security
Services του ΟΤΕ παρέχονται από το SOC (Security
Operations Center) του ΟΤΕ που λειτουργεί σε 24ωρη βάση,
365 μέρες το χρόνο και έχει ως βασική λειτουργία τη συνεχή
παρακολούθηση και ανάλυση των δεδομένων που συλλέγονται
με στόχο τον εντοπισμό επιθέσεων. Έτσι, σε κάθε ένδειξη
για πιθανό περιστατικό ασφάλειας, ανωμαλία στη ροή
πληροφοριών, απόπειρα μη εξουσιοδοτημένης πρόσβασης
ή οποιαδήποτε άλλη δυσλειτουργία, οι εξειδικευμένοι και
πιστοποιημένοι μηχανικοί και τα κεντρικά συστήματα ασφαλείας
του SOC αναλαμβάνουν άμεσα δράση, προκειμένου να
αναλύσουν το συμβάν, να ενημερώσουν την επιχείρηση και
να προτείνουν τα αναγκαία μέτρα για την αντιμετώπισή του.
Επιπλέον, μέσω της κεντρικής δικτυακής πύλης ασφαλείας
(ΟΤΕ Managed Security Services Web Portal) του SOC παρέχεται
στην INTERAMERICAN ένα περιβάλλον διαχείρισης
που της επιτρέπει να έχει ανά πάσα στιγμή πλήρη εποπτεία
της κατάστασης ασφάλειας των κρίσιμων υποδομών της.
Οι υπηρεσίες Managed Security Services του ΟΤΕ διακρίνονται
για την προηγμένη τεχνολογία ανάλυσης δεδομένων
και συσχέτισης πληροφοριών, καθώς μέσα από την next
generation SIEM πλατφόρμα που χρησιμοποιείται, παρέχονται
με εξαιρετική ακρίβεια κορυφαίες δυνατότητες α-
νάλυσης μεγάλου όγκου δεδομένων (big data) με ένα πολύ
ευέλικτο, εύχρηστο και γρήγορο τρόπο. Είναι σημαντικό να
σημειωθεί ότι η λειτουργία τους διέπεται από αυστηρές διαδικασίες,
ενώ το SOC του ΟΤΕ είναι πιστοποιημένο κατά
ISO 27001. Αναφορικά με το επίπεδο των προσφερόμενων
υπηρεσιών καθώς και τους χρόνους απόκρισης, προβλέπεται
αυστηρό SLA. iTSecurity
Κάλυψη σε βάση 24Χ7
Νίκος Μαρουλιανάκης,
Infrastructure & Enterprise Data
Manager της INTERAMERICAN
«Είναι αυτονόητη η ανάγκη της
εταιρείας μας για διασφάλιση
υψηλών standards ασφάλειας
στα πληροφοριακά μας
συστήματα, η οποία αντανακλάται
άμεσα στην παροχή υ-
ψηλού επιπέδου υπηρεσιών
προς τους πελάτες μας», ε-
πισημαίνει ο Νίκος Μαρουλιανάκης,
Infrastructure &
Enterprise Data Manager της
INTERAMERICAN. «Έτσι, α-
πευθυνθήκαμε στον ΟΤΕ και
διευρύναμε την υπάρχουσα ά-
ριστη συνεργασία μας, αφού βεβαιωθήκαμε ότι μας παρέχονται
τα εχέγγυα για 100% κάλυψη των αναγκών μας, σε βάση 24Χ7».
OTE Information Security
Για τις αυξημένες ανάγκες α-
σφάλειας των επιχειρήσεων, ο
ΟΤΕ προσφέρει μία σειρά ολοκληρωμένων
λύσεων αναφορικά
με την προστασία των Πληροφοριακών
Συστημάτων και Δικτύων τους προκειμένου να αντιμετωπίσουν
και να μειώσουν κινδύνους από τυχόν επιθέσεις.
Συγκεκριμένα, προσφέρει Συμβουλευτικές Υπηρεσίες (Consulting
Services) που στοχεύουν στην αξιολόγηση της ασφάλειας
των συστημάτων μίας επιχείρησης και στην παροχή προτάσεων
διαμόρφωσης στρατηγικής για τη βελτίωσή του συνολικού επιπέδου
ασφάλειας. Οι υπηρεσίες αυτές περιλαμβάνουν Vulnerability
Assessment, Penetration Testing, Regulatory Compliance Audit,
δημιουργία νέων ή αξιολόγηση των υφιστάμενων πολιτικών και διαδικασιών
ασφάλειας.
Παράλληλα, ο ΟΤΕ σχεδιάζει και υλοποιεί Ολοκληρωμένες Λύσεις
Ασφάλειας (Integrated Security Solutions) που περιλαμβάνουν
την προμήθεια, εγκατάσταση και υποστήριξη λύσεων κορυφαίων
παγκοσμίως κατασκευαστικών οίκων που εξειδικεύονται σε προηγμένες
τεχνολογίες ασφάλειας.
Τέλος, παρέχει Υπηρεσίες Managed Security Services με στόχο
την παρακολούθηση ή διαχείριση πληροφοριακών υποδομών
ασφάλειας, καθώς και την άμεση ενημέρωση για περιστατικά α-
σφάλειας. Οι υπηρεσίες αυτές βασίζονται στη λειτουργία σε 24ωρη
βάση ενός Security Operations Center (SOC), που στελεχώνεται
με εξειδικευμένους και πιστοποιημένους μηχανικούς.
security
21

T4003/04.2015
Issue
Internet of Everything for Defense
Η τάση του Internet of Everything (IoE) κερδίζει συνεχώς έδαφος και αρχίζει να εφαρμόζεται σε
πολλούς τομείς. Ένας από τους πλέον κρίσιμους τομείς εφαρμογής του Internet of Everything
που παρουσιάζει ιδιαίτερο ενδιαφέρον, είναι μεταξύ άλλων και οι στρατιωτικές επιχειρήσεις.
Τ
ο όραμα Υπηρεσιών Άμυνας για τη διαχείριση
των επιχειρήσεων στα πεδία των πολεμικών
μαχών μέσα από μια δικτυο-κεντρική
προσέγγιση ξεκίνησε το 1996 και βασίζονταν
σε 4 βασικά χαρακτηριστικά:
• Δικτύωση όλων των εμπλεκόμενων δυνάμεων με σκοπό τον
αποτελεσματικότερο διαμοιρασμό πληροφοριών
• Ανταλλαγή πληροφοριών και καλύτερη συνεργασία των δυνάμεων
μεταξύ τους με σκοπό την ενίσχυση της ποιότητας
των λαμβανόμενων πληροφοριών
• Κοινή αντίληψη της κατάστασης για την επίτευξη του ιδανικού
συγχρονισμού των δυνάμεων άμυνας
• Συνδυασμός και των τριών παραπάνω για την αναβάθμιση
της αποτελεσματικότητας των επιχειρήσεων
Το όραμα αυτό, γίνεται πλέον πραγματικότητα, μέσω του
Internet of Everything (IoE)
Το Δίκτυο και η πλατφόρμα του IoE
Η πλατφόρμα του IoE αποτελεί τη βάση για ένα δίκτυο στο
οποίο επιτυγχάνεται διασύνδεση ανθρώπων, διαδικασιών,
δεδομένων και συσκευών, προσφέροντας μια μεγάλη δυνατότητα
σύγκλισης των λειτουργιών και υποδομών security –
mobility – cloud και big data, στα πλαίσια των στρατιωτικών
επιχειρήσεων.
Έως το 2020, αναμένεται να είναι συνδεδεμένες στο IοΕ, 50
δισεκατομμύρια συσκευές, έτσι ώστε να επικοινωνούν και να
ανταλλάσσουν πληροφορίες μεταξύ τους, καθώς και να λαμβάνουν
δεδομένα από m2m αισθητήρες. Αυτού του είδους η
επικοινωνία, επιτρέπει την ανταλλαγή και την ανάλυση δεδομένων
σε πραγματικό χρόνο, καθώς και τον αποτελεσματικότερο
σχεδιασμό του τρόπου αντίδρασης και διαχείρισης κάθε
γεγονότος, προσφέροντας έτσι στο πεδίο μάχης:
• Καλύτερη προστασία του ανθρώπινου δυναμικού των στρα-
The Connected Battlefield in Action
HYBRID CLOUD
Data Center
Navigation System
Fog Nodes
COMBAT CLOUD
Sensors
COCOMs
Secure Voice
to Collaboration
Data Virtualization-
Analytic Fusion
Communications
HQ
Weapons
C2 and Sensor
Integration
Mobility Systems
Enterprise
Information Technology
Deployed Operations
Operational Technology
Secure Mission Fabric
Connected Edge
22 security

Internet of Everything for Defense
Δικτυακή Σύνδεση
μεταξύ ατόμων,
διαδικασιών, δεδομένων
και συσκευών
Ανθρώπινο Δυναμικό
Διασύνδεση ατόμων με πιο
αποτελεσματικούς τρόπους
Δεδομένα
Ευφυής χρήση των δεδομένων
για την λήψη πιο εύστοχων αποφάσεων
Διεργασίες
Παράδοση της κατάλληλης πληροφορίας
στον σωστό άνθρωπο (ή μηχανή)
στον σωστό χρόνο
Συσκευές
Αντικείμενα συνδεδεμένα στο Internet και
μεταξύ τους για την λήψη στοχευόμενων
αποφάσεων. (Internet of Things- IoT)
τευμάτων
• Παραγωγικότερες επιχειρήσεις
• Δυναμικές και καλύτερα αξιοποιήσιμες πληροφορίες
• Ικανοποιητικότερα αποτελέσματα στην έκβαση των μαχών
Αυτή η ενοποίηση των επικοινωνιών μηχανών και ανθρώπων,
επιτρέπει τη λήψη των σωστών αποφάσεων σε πραγματικό
χρόνο, κάτι είναι που είναι ζωτικής σημασίας για την έκβαση
των στρατιωτικών επιχειρήσεων.
Πιο αναλυτικά, σε στρατιωτικές επιχειρήσεις η αξιοποίηση
του IoE επιτρέπει την ενσωμάτωση αντικειμένων όπως τα
κράνη, τα οχήματα, τα όπλα και τα μη επανδρωμένα αεροπλάνα,
σε ένα ασφαλές δίκτυο επικοινωνιών ώστε να παρέχεται
το πλεονέκτημα της άμεσης πληροφόρησης.
Το σύνολο των στρατευμάτων και κυρίως οι αξιωματικοί που
λαμβάνουν τις σημαντικές αποφάσεις, μπορούν να παραμένουν
σε συνεχή επικοινωνία, αποκτώντας άμεση γνώση των
κρίσιμων πληροφοριών προκειμένου να μπορούν να ανταποκριθούν
αποτελεσματικά στις συνεχώς μεταβαλλόμενες
συνθήκες μίας μάχης.
Real time επικοινωνία στο πεδίο της μάχης
Στις μέρες μας, οι στρατιωτικές επιχειρήσεις απαιτούν μη
διακοπτόμενη επικοινωνία σε πραγματικό χρόνο, μεταξύ
των στρατευμάτων, των αξιωματικών, των διαφόρων αναλυτών
και ειδικών καθώς και των μηχανών. Η ενοποίηση των
συστημάτων C4ISR, αισθητήρων, βίντεο, συστημάτων φωνητικής
επικοινωνίας και ανάλυσης δεδομένων και φορητών
συσκευών, αυξάνει κατά πολύ τα επίπεδα ευελιξίας στο πεδίο
της μάχης. Η αξιοποίηση της τεχνολογίας Cisco® IoE
εξασφαλίζει δυνατότητες ανάλυσης μεγάλου όγκου δεδομένων,
ασφάλειας σε πολλαπλά επίπεδα, δικτύωσης SDN και
οπτικής απεικόνισης της δικτυακής δομής. Έτσι, δημιουργείται
μια αρχιτεκτονική που επιτρέπει κάθε στρατιωτική α-
ποστολή να παρακολουθείται σε πραγματικό χρόνο, να επανασχεδιάζεται
και να μπορεί να αντιμετωπίσει οποιαδήποτε
νέα απειλή τη στιγμή που αυτή ανακύπτει.
Η αρχιτεκτονική Cisco® IoE περιλαμβάνει:
• Δυνατότητες επεξεργασίας, αποθήκευσης και virtualization
των διαθέσιμων πόρων στα data center
• Κόμβους fog computing, που επεκτείνουν το ΙΡ έως τους
τελικούς χρήστες
• Βέλτιστες πολιτικές ασφαλείας μεταξύ data center και
τελικών χρηστών
• Διασύνδεση μέσω του Cisco Intercloud Fabric
• Ασφαλείς δομές για επικοινωνία φωνής και βίντεο μέσω
φορητών συσκευών
• Φορητοί αισθητήρες που μπορούν να φορεθούν στο πεδίο
της μάχης
Η κεντρική διαχείριση, σε συνδυασμό με την εξελιγμένη δικτύωση
και την παροχή ασφάλειας σε επίπεδο εφαρμογών,
βοηθούν ουσιαστικά στην προστατευμένη πρόσβαση σε ευαίσθητές
ή απόρρητες πληροφορίες και ελαχιστοποιούν τον
κίνδυνο ύπαρξης τρωτών σημείων. Αξίζει να σημειωθεί, ότι
ο σωστός σχεδιασμός της δομής του IoE και η αξιόπιστη υ-
λοποίηση του, είναι στοιχεία που θα διασφαλίσουν τη θετική
έκβαση μιας στρατιωτικής επιχείρησης.
Προστασία μέσω αισθητήρων
Η ενοποιημένη επεξεργασία των δεδομένων που προέρχονται
από τους αισθητήρες, που βρίσκονται στρατηγικά τοποθετημένοι
σε ένα πεδίο μάχης, βοηθά στην έγκυρη και έγκαιρη
ενημέρωση των στρατευμάτων για οποιοδήποτε συμβάν,
την μεταξύ τους ουσιαστική συνεργασία στις επιχειρήσεις και
κατ’ επέκταση την ενίσχυση της αποτελεσματικότητάς τους.
Επιπρόσθετα, διάφορες φορητές συσκευές, που αντλούν δεδομένα
για τις ζωτικές λειτουργίες των στρατιωτών, την θερμοκρασία
τους, τα επίπεδα ακτινοβολίας στα οποία εκτίθενται
ή την δύναμη μιας κρούσης που δέχτηκαν, βοηθούν στην
αμεσότερη αντίδραση και την παροχή ιατρικής βοήθειας κάτι
που αποδεικνύεται σωτήριο στις περισσότερες περιπτώσεις.
Ασφαλές δίκτυο στο πεδίο της μάχης.
Η δημιουργία ενός δικτύου επικοινωνίας πολλαπλών σημείων
στο πεδίο μάχης, μπορεί να επιφέρει πολλά πλεονεκτήματα
και δυνατότητες, όμως από την άλλη πλευρά, δημιουργεί
και αρκετές ανησυχίες σχετικά με την ασφάλεια και ειδικότερα
με το ενδεχόμενο μη εξουσιοδοτημένων προσβάσεων
στα κρίσιμα για τις στρατιωτικές επιχειρήσεις δίκτυα. Καθώς
security
23

T4003/04.2015
Issue
Internet of Everything for Defense
το πλήθος των διασυνδεδεμένων αισθητήρων και συσκευών
αυξάνεται και οι εφαρμογές video μεταβαίνουν σε IP δίκτυα,
η σημασία της φυσικής αλλά και δικτυακής ασφάλειας καθίσταται
ιδιαίτερα επιτακτική.
Η παλαιότερη τακτική της προστασίας των δεδομένων απλά
και μόνο με τη χρήση firewalls, δεν επαρκεί σε καμία περίπτωση,
ειδικά στις στρατιωτικές επιχειρήσεις. Σήμερα, είναι
απαραίτητο όσο ποτέ άλλοτε η προστασία των δεδομένων να
επεκταθεί σε όλες τις επιμέρους δομές μιας στρατιωτικής
επιχείρησης, στα πλαίσια ενός νέου κατανεμημένου υπολογιστικού
περιβάλλοντος, που είναι γνωστό ως FOG.
Κάθε στρατιωτικός οργανισμός, αλλά και οποιοσδήποτε οργανισμός
επιθυμεί να εκμεταλλευτεί τις δυνατότητες του ΙοΕ,
πρέπει πρωταρχικά να κατανοήσει τον τρόπο που θα μείνει
προστατευμένος και αυτό προϋποθέτει τα εξής :
Ασφάλεια των αισθητήρων και των συσκευών. Όταν χρησιμοποιούνται
αισθητήρες και συσκευές που έχουν περιορισμένο
αποθηκευτικό χώρο και δυνατότητες επεξεργασίας
για κρυπτογράφηση, πρέπει να γίνεται κρυπτογράφηση των
δεδομένων στα σημεία, αποθήκευσης, επικοινωνίας και
πρόσβασης
Ασφάλεια του Fog. Το Fog είναι ένα νέο κατανεμημένο υπολογιστικό
επίπεδο, το οποίο περιλαμβάνει αισθητήρες, συσκευές,
μηχανισμούς ανάλυσης αλλά και τελικούς χρήστες,
καθορίζοντας έτσι ένα νέο επιχειρησιακό τρόπο τέλεσης των
στρατιωτικών αποστολών, μέσω κατανεμημένου ελέγχου.
Ουσιαστικά, παρέχει τη δυνατότητα να συγκεντρώνει, να α-
θροίζει και να διαχειρίζεται τα δεδομένα που αντλεί τοπικά
και να συνδέεται με τον κεντρικό οργανισμό και άλλες cloud
υποδομές για περαιτέρω ανάλυση και χρήση των αποτελεσμάτων.
Το Fog είναι επίσης γνωστό ως Combat Cloud και
πρέπει να διατηρείται ασφαλές, με δεδομένα ακέραια και
προστατευμένα για όσο χρονικό διάστημα χρησιμοποιείται.
Ασφάλεια της αλυσίδας διανομής των δεδομένων. Τα δεδομένα
πρέπει να διατηρηθούν ασφαλή από το σημείο στο
οποίο δημιουργήθηκαν, σε όλη τη διαδρομή τους στο δίκτυο
και στον τελικό προορισμό τους στο κέντρο δεδομένων. Η α-
σφάλεια πρέπει να διατηρηθεί τόσο κατά την διανομή των δεδομένων
όσο και κατά την αντιγραφή και την ανάλυσή τους.
Το διασυνδεδεμένο πεδίο μάχης στη πράξη
Ο όραμα ενός διασυνδεδεμένου πεδίου μάχης γίνεται σήμερα
πραγματικότητα. Ο στρατιώτης στο πεδίο των επιχειρήσεων
μετατρέπεται σε μέρος ενός ευρύτερου δικτύου και
ανάγεται σε έναν επικοινωνιακό κόμβο, που μπορεί να συλλέγει
και να μεταδίδει δεδομένα από πολυάριθμες πηγές και
ποικίλους δέκτες. Εν συνεχεία, τα δεδομένα διανέμονται σε
ανώτερα στελέχη σε διάφορα επίπεδα της στρατιωτικής ιεραρχίας,
όπου αναλύονται και βοηθούν στη λήψη εξαιρετικά
εύστοχων αποφάσεων με το πλεονέκτημα της αντίδρασης σε
πραγματικό χρόνο.
Πέραν, της ανάλυσης τόσο σε πραγματικό χρόνο όσο και μεταγενέστερα,
με στόχο τον ορθότερο σχεδιασμό επιχειρήσεων,
η χρήση του ΙοΕ δεν σταματά εκεί. Εξασφαλίζει την
άμεση παροχή πόρων στο πεδίο της μάχης, όπου αυτό κρίνεται
αναγκαίο. Το Cisco IoE Connected Battlefield μπορεί
να παρέχει επικαιροποιημένες πληροφορίες για το επίπεδο
που βρίσκονται οι κρίσιμες προμήθειες, τα πυρομαχικά, το
νερό, τα τρόφιμα και τα καύσιμα και αλλάζει έτσι τελείως τον
τρόπο διαχείρισης ενός επιχειρησιακού σχεδιασμού. Το ΙοΕ
βοηθά επίσης στην αύξηση της απόδοσης και τον έλεγχο του
κόστους μέσω αυτοματοποιημένων διαδικασιών.
Η συμβολή της Cisco
Αυτό λοιπόν που μπορεί κάποτε να φάνταζε ως ταινία επιστημονικής
φαντασίας, είναι σήμερα ρεαλιστικός στόχος. Από τα
δίκτυα νέας γενιάς μέχρι τις εφαρμογές mobility και cloud,
η CISCO παρέχει πλέον μια ασφαλή και ενοποιημένη αρχιτεκτονική
που διασύνδεει ανθρώπους, διαδικασίες, δεδομένα
και συσκευές. Προσφέρει δηλαδή μια δικτυακή πλατφόρμα
ως πυλώνα παγκόσμιας επικοινωνίας και συνεργασίας που
συνδέει οργανισμούς μεταξύ τους και ενισχύει την αποτελεσματικότητα
κάθε επιχειρησιακής λειτουργίας.
Η Cisco σε συνεργασία με τις Υπηρεσίες Άμυνας μπορεί να
κάνει σήμερα πράξη το όραμα ενός δικτυο-κεντρικού πεδίου
μαχών, δημιουργώντας μια ενοποιημένη δομή στις εκάστοτε
επιχειρήσεις. iTSecurity
24 security

T4003/04.2015
Issue
ESET: Τα 5 βήματα που πρέπει
να ακολουθήσει μία εταιρεία που
έχει πέσει θύμα κυβερνοεπίθεσης
O
ι εταιρίες όλο και περισσότερο μετατρέπουν
τα περιουσιακά στοιχεία τους σε ψηφιακή
μορφή και στηρίζουν ακριβώς εκεί τη λειτουργία
και τη δραστηριότητά τους, γεγονός
που προσδίδει στην προστασία των εταιρικών
δεδομένων ακόμη μεγαλύτερη σημασία. Καθώς οι ειδικοί
εκτιμούν ότι οι κυβερνοεπιθέσεις δεν θα σταματήσουν
να υφίστανται, η ESET Hellas κατέγραψε πέντε σημαντικά
βήματα που μπορούν να ακολουθήσουν εταιρίες που έχουν
πέσει θύμα επίθεσης για να ξεπεράσουν ευκολότερα την κατάσταση
αυτή και να διαφυλάξουν την επιχειρηματική τους
συνέχεια.
1. Για αρχή, είναι σημαντικό οι εταιρίες να προβούν σε α-
ναλυτική εξέταση της επίθεσης. Με τον τρόπο αυτό, θα
μπορέσει να προσδιοριστεί καλύτερα και σωστότερα ποια
συστήματα έχουν παραβιαστεί και με ποιο τρόπο, και να
απαντηθούν σημαντικά ερωτήματα όπως: Η μόλυνση περιορίζεται
σε ένα μόνο κομμάτι του εξοπλισμού ή σε μέρος
του δικτύου; Έχουν διαρρεύσει ευαίσθητα δεδομένα;
Μιλάμε για εταιρικά ή προσωπικά δεδομένα, που αφορούν
τους εργαζομένους ή / και τους πελάτες;
2. Σε περίπτωση διαρροής πληροφοριών που θα μπορούσαν
να θέσουν σε κίνδυνο εργαζόμενους ή πελάτες, το δεύτερο
βήμα είναι η ενημέρωση για πιθανή παράβαση και η
παροχή συμβουλών να προσέξουν τυχόν ασυνήθιστες κινήσεις.
Αν υπάρχει σημαντική βλάβη του hardware, τότε
θα πρέπει να ξεκινήσουν διαδικασίες ενεργοποίησης α-
ντιγράφων ασφαλείας, ώστε να διατηρηθεί η εξυπηρέτηση
των πελατών.
3. Στη συνέχεια, θα πρέπει να γίνουν ενέργειες για τον περιορισμό
της μόλυνσης, ξεκινώντας με την απομόνωση
του εξοπλισμού που έχει παραβιαστεί. Αν διαπιστωθεί
ότι πρόκειται για κακόβουλο λογισμικό που χρησιμοποιεί
κρυπτογράφηση, θα πρέπει να γίνει προσπάθεια αντίστροφης
μηχανικής για να αποκτηθούν τα κλειδιά. Ωστόσο,
εάν η επικοινωνία λαμβάνει χώρα σε μη εμπιστευτικά
πρωτόκολλα όπως HTTP, η παρακολούθηση θα είναι πιο
εύκολη. Σε κάθε περίπτωση, θα πρέπει να δημιουργηθούν
νέοι κανόνες firewall. Δεδομένου ότι οι περισσότερες
από τις παραπάνω διαδικασίες προϋποθέτουν τη
μη αυτοματοποιημένη ανάλυση των πληροφοριών, είναι
σημαντικό να τεθεί σε εφαρμογή μια ολοκληρωμένη λύση
ασφάλειας.
4. Στο τέταρτο βήμα βρίσκονται οι πολύπλοκες διαδικασίες
απομάκρυνσης του κακόβουλου κώδικα, στις οποίες συνίσταται
η χρήση λύσεων Antivirus για ταχύτερα και καλύτερα
αποτελέσματα. Αξίζει να σημειωθεί ότι ακόμα και μετά
τον καθαρισμό, υφίσταται κίνδυνος να υπάρχει και άλλος
μολυσμένος εξοπλισμός που δεν έχει ανακαλυφθεί ενώ
λειτουργεί κανονικά. Για να αποφευχθεί αυτό, πρέπει να
ενισχυθεί η ανάλυση των πακέτων που μεταδίδονται από
το δίκτυο. Η αλλαγή των κωδικών πρόσβασης σε εταιρικά
δίκτυα είναι ένα άλλο προληπτικό μέτρο, παράλληλα με
την επικαιροποίηση των κλειδιών. Σε αυτό το σημείο, α-
ξίζει να διαπιστωθεί κατά πόσον η μόλυνση ήταν το απλό
αποτέλεσμα μίας online απροσεξίας, ή αν αποτελεί ένα
κρίκο σε μια αλυσίδα επίμονων στοχευμένων επιθέσεων.
5. Κλείνοντας, η διεξαγωγή εις βάθος έρευνας για το τι συνέβη,
θα δώσει αφορμή για τη βελτίωση των διαδικασιών
εντός του οργανισμού. Η αφαίρεση τυχόν τρωτών σημείων
ενισχύει την περίμετρο των εταιρικών δικτύων, αποδεικνύοντας
ότι πολλές φορές οι μολύνσεις δεν είναι πάντα
απολύτως αρνητικά γεγονότα για μια εταιρεία, αφού
υποδεικνύον τα σημεία που πρέπει να ενισχυθούν για ένα
καλύτερο σχεδιασμό της εταιρικής προστασίας. iTSecurity
security
25

T4003/04.2015
Issue
Η αξιοπιστία σύνδεσης
στο Διαδίκτυο ως πυλώνας
παραγωγικότητας των επιχειρήσεων
Το Διαδίκτυο αποτελεί πια ένα σημαντικό κομμάτι της καθημερινότητάς μας. Προκειμένου
να είναι οι επιχειρήσεις βιώσιμες και κατ’ επέκταση επικερδείς, η ανάγκη για όσο γίνεται
μεγαλύτερο bandwidth, αλλά ταυτόχρονα και υψηλότερη αξιοπιστία είναι παρούσα περισσότερο
από ποτέ.
ίτε αφορά τη χρήση στο εμπόριο, είτε για
Ε
την ανταλλαγή εταιρικών δεδομένων, ή για
τα ιδιαίτερα ασφαλή συστήματα πληρωμής,
ή ακόμη και για την ασφαλή διασύνδεση υ-
ποκαταστημάτων, η εργασία χωρίς Internet
είναι πλέον αδιανόητη. Εντούτοις, οι συχνές βλάβες των ε-
πίγειων γραμμών και η συμφόρηση των δικτύων κινητής τηλεφωνίας
των παρόχων, ακόμα κι αν προσφέρουν ικανοποιητικά
επίπεδα υπηρεσιών στους επιχειρησιακούς πελάτες
τους, κάνουν την επιλογή των γραμμών αυτών εξαιρετικά
δαπανηρή ενώ ταυτόχρονα η αξιοπιστία τους είναι σε πολύ
χαμηλά επίπεδα.
Λαμβάνοντας υπόψη τα παραπάνω, μια αξιόπιστη σύνδεση
με υψηλά ποσοστά διαθεσιμότητας (άνω του 99,9%)
και ικανοποιητικό bandwidth, είναι απαραίτητη για όλες
τις επιχειρήσεις προκειμένου να κινούνται με ανοδικούς
στόχους και με αποτελεσματικά κριτήρια. Για την ικανοποίηση
αυτών των απαιτήσεων, οι κίνδυνοι διακοπής λειτουργίας
πρέπει να μοιραστούν σε διαφορετικούς παρόχους, σε
διαφορετικές τεχνολογίες πρόσβασης και σε διαφορετικές
backbone υποδομές. Για να επιτευχθεί κάτι τέτοιο υπάρχουν
διάφορες προσεγγίσεις: load balancing, performancebased
routing και WAN bonding τις οποίες αναλύουμε
παρακάτω.
Load balancing
Με το Load balancing, μπορείτε να ισορροπείτε την κυκλοφορία
των δεδομένων σας σε διαφορετικές τεχνολογίες δικτύων.
Κατά συνέπεια, οι εφαρμογές διανέμονται (π.χ. σε
μια round-robin προσέγγιση) στις διαφορετικές συνδέσεις,
Με αυτόν τον τρόπο, χρησιμοποιώντας το εύρος ζώνης των
μεμονωμένων συνδέσεων ταυτόχρονα, η εφαρμογή Ένα ταξιδεύει
στη σύνδεση ένα, η εφαρμογή Δυο στη σύνδεση δύο,
και ούτω καθ’ εξής. Αυτή η προσέγγιση έχει διάφορες ανεπάρκειες:
• Οι εφαρμογές μπορούν να εκμεταλλευτούν το bandwidth
μιας μεμονωμένης σύνδεσης και όχι το bandwidth όλων
των συνδέσεων μαζί.
• Εάν μια σύνδεση διακοπεί, όλες τις εφαρμογές που τη χρησιμοποιούσαν
διακόπτονται.
• Εάν η ποιότητα μιας σύνδεσης μειώνεται βαθμιαία (π.χ. η
αύξηση στο latency ή αύξηση στην απώλεια πακέτων), το
σύστημα είναι αδύνατο να μεταφέρει τα δεδομένα της ε-
φαρμογής (π.χ. IP Τηλεφωνία) σε μια διαφορετική σύνδεση
με καλύτερη συμπεριφορά.
Performance-based Routing
Το Performance-based Routing αφήνει τις εφαρμογές σας
να μεταδοθούν με βάση διαφορετικά κριτήρια, μέσω παράλληλων
δικτυακών υποδομών. Αυτά τα κριτήρια μπορούν να
περιλαμβάνουν το χρόνο απόκρισης, την απώλεια πακέτων,
το jitter, το mean opinion score (MOS), τη διαθεσιμότητα, το
φόρτο, και πολιτικές κόστους. Αυτός ο τρόπος διασύνδεσης
αξιοποιεί καλύτερα δυναμικά πρωτόκολλα δρομολόγησης,
όπως τα BGP, OSPF, και EIGRP. Το Performance-based
Routing είναι ανώτερο από το load balancing δεδομένου ότι
λαμβάνει υπόψη τις συγκεκριμένες ανάγκες των εφαρμογών.
Όμως, η τεχνολογία απαιτεί μεγάλη επεξεργαστική ισχύ και
ως εκ τούτου στοχεύει σε μεσαίου ή υψηλού κόστους δρομολογητές.
Οι περιορισμοί της τεχνολογίας αυτής είναι:
• Οι εφαρμογές μπορούν μόνο να έχουν πρόσβαση στο
26 security

Του Ηλία Παύλου
General Manager,
iPhoenix Networks
bandwidth μιας μεμονωμένης σύνδεσης και όχι στο
bandwidth των συνδέσεων μαζί.
• Εάν μια σύνδεση βγει εκτός λειτουργίας, όλες τις εφαρμογές
που τη χρησιμοποιούσαν διακόπτονται και απαιτούνται
μερικά δευτερόλεπτα για να μεταφερθούν τα δεδομένα σε
μια διαφορετική σύνδεση και ν αρχίσει την αναμετάδοση
τους εκ νέου.
• Εάν η ποιότητα μιας σύνδεσης μειώνεται βαθμιαία (π.χ.
η αύξηση στο latency ή αύξηση στην απώλεια πακέτων),
το σύστημα είναι αδύνατο να μεταφέρει τα δεδομένα της
εφαρμογής (π.χ. IP Τηλεφωνία) σε μια διαφορετική σύνδεση.
WAN Bonding
Το WAN Bonding υιοθετεί μια πολύ διαφορετική προσέγγιση.
Δημιουργεί μια εικονική σύνδεση υψηλού bandwidth
συνδυάζοντας διάφορες μεμονωμένες φυσικές συνδέσεις.
Αυτό σημαίνει, ότι όλες οι διαθέσιμες συνδέσεις συνδυάζονται
για να διαμορφώσουν μια μεγάλη σύνδεση που παρέχει
το άθροισμα του bandwidth όλων των γραμμών είτε
για μια μόνο υπηρεσία (π.χ. video conferencing, streaming,
backup) ή για πολλές εφαρμογές. Με το WAN Bonding, έ-
χετε διάφορες επιλογές όπως δρομολόγηση βασισμένη
στο latency ή στο bonding, ανάλογα με τις ανάγκες κάθε
εφαρμογής. Η ουσία του WAN Bonding είναι ότι ακόμα κι
αν μια σύνδεση διακοπεί ή μειωθεί η απόδοση της, ο δρομολογητής
διαβιβάζει αυτόματα τα ενδεχομένως «χαμένα»
πακέτα δια μέσου μιας διαφορετικής σύνδεσης. Τα οφέλη
του WAN Bonding είναι:
• Όλο το bandwidth είναι διαθέσιμο ακόμη και για μια ε-
φαρμογή και μόνο
• Εξαιρετικά χαμηλή απώλεια πακέτων ακόμη και στα δυσκολότερα
περιβάλλοντα εφαρμογής (π.χ. ζωντανή αναμετάδοση
από κινούμενα οχήματα)
• Συνδυασμός πολλών διαφορετικών τεχνολογιών που μας
επιτρέπει διαθεσιμότητα 100% με κατανομή του κινδύνου
διακοπής
• Καμία απώλεια σύνδεσης για τις εφαρμογές εάν μια σύνδεση
διακοπεί, εφ’ όσον παραμένει τουλάχιστον μια σύνδεση
ενεργή
• Το επίπεδο της ασφάλειας είναι εξαιρετικά υψηλό αφού
τα πακέτα σπάνε σε μικρότερα κομμάτια και αποστέλλονται
μέσα από τις διαφορετικές συνδέσεις. Επομένως, είναι
σχεδόν αδύνατο να παραβιαστούν ταυτόχρονα τα δίκτυα
όλων των παρόχων, να συσχετιστούν τα κομμάτια και να ε-
πανοικοδομηθεί το πακέτο IP.
WAN Bonding: Some Industry Examples
Το wan bonding μπορεί να βοηθήσει δεκάδες τομείς του
εμπορίου και της βιομηχανίας να βελτιώσουν δραματικά τη
σύνδεση τους με το διαδίκτυο.
• Καράβια κάθε είδους μπορούν να προσφέρουν στους ε-
πιβάτες τους σύνδεση υψηλής ταχύτητας και χαμηλής
καθυστέρησης μέσω συνδυασμένων γραμμών 3G/4G.
• Οι υπηρεσίες ασφαλείας και δημόσιας τάξης χρειάζονται
ασφαλή σύνδεση με το διαδίκτυο ανεξάρτητα από ποιον
πάροχο προσφέρεται αυτή σε κάθε σημείο.
• Λεωφορεία και τρένα που κινούνται με μεγάλη ταχύτητα είναι
το πλέον αφιλόξενο περιβάλλον για μια σταθερή σύνδεση
με το διαδίκτυο. Με το wan bonding και τη κατάλληλη
τεχνολογία ο κάθε επιβάτης μπορεί να απολαμβάνει σταθερή
και υψηλής ταχύτητας σύνδεση με το διαδίκτυο!
Το wan Bonding εκμηδενίζει τα μειονεκτήματα των load
balancing και Performance-based Routing και είναι πιο
οικονομικό: Συνδυάζοντας φθηνές γραμμές σύνδεσης όπως
ADSL, VDSL, 3G/4G αποκτάτε μια γρήγορη και αξιόπιστη
σύνδεση, η οποία κοστίζει αρκετά χαμηλότερα από μια μισθωμένη
γραμμή ή ένα MPLS. Επιπλέον, με το wan Bonding
εκμεταλλεύεστε τα διαφορετικά φυσικά μέσα (ενσύρματα ή
ασύρματα) για να απολαμβάνετε μια εξαιρετικά υψηλής αξιοπιστίας
σύνδεση.
Το wan Bonding είναι η καθιερώνουσα τεχνολογία κι εμείς
στην iPhoenix Networks επιλέξαμε τον κορυφαίο κατασκευαστή
wan bonding routers, την Γερμανική VIPRINET για να
προσφέρουμε υπηρεσίες και εξοπλισμό που θα βοηθήσουν
τους πελάτες μας να αποκτήσουν μια σταθερή και αξιόπιστη
σύνδεση με το διαδίκτυο. iTSecurity
security
27

T4003/04.2015
Issue
Πόσο ασφαλές είναι το VoIP;
Με τους μεγαλύτερους φορείς τηλεπικοινωνιών να μπαίνουν στη διαδικασία του να
προετοιμάζουν VoIP υπηρεσίες για μαζική χρήση, έχει αυξηθεί σημαντικά ο κίνδυνος των
ευρέως διαδεδομένων παραβιάσεων ασφαλείας, δημιουργώντας την ανάγκη να καλυφθούν
άμεσα τα εν δυνάμει κενά ασφαλείας, πριν οι χάκερς δημιουργήσουν χάος στα επιχειρηματικά
δίκτυα φωνής.
ως τώρα, το VoIP security δεν αποτελούσε
Έ
ένα ιδιαιτέρως κρίσιμο θέμα καθώς στο παρελθόν
το μεγαλύτερο VoIP traffic, παρέμενε
σε τοπικά και ευρείας περιοχής επιχειρησιακά
δίκτυα, τα οποία ήταν λίγο πολύ ασφαλή
και προστατεύονταν από το δημόσιο Internet. Καθώς όμως η
χρήση VoIP διαδίδεται και η διαδικτυακή τηλεφωνία μπαίνει
στο παιχνίδι, οι επιχειρήσεις και οι οικιακοί χρήστες υπόκεινται
στους ίδιους κινδύνους ασφαλείας που επηρεάζουν εδώ
και δεκαετίες τα δίκτυα δεδομένων, ανοίγοντας κατά αυτό τον
τρόπο την πόρτα σε μια καινούρια πραγματικότητα κινδύνων
ασφαλείας. Αυτό οφείλεται σε μεγάλο βαθμό στο γεγονός ό-
τι τα δίκτυα φωνής επόμενης γενιάς είναι IP-based και όλα
τα IP πρωτόκολλα που στέλνουν φωνητική κίνηση περιέχουν
κενά ασφαλείας στο βασικό κορμό τους.
Ποιός είναι σε κίνδυνο;
Ένα διαδικτυακό περιβάλλον μπορεί να χαρακτηριστεί ως ε-
χθρικό για VoIP εφαρμογές για πολλούς λόγους. Ο πιο σημαντικός
είναι ότι οι επιθέσεις δεν είναι ανιχνεύσιμες και όλο το
δίκτυο είναι εκτεθειμένο σε κάθε είδους spoofing και sniffing.
Τι είδους τρωτά σημεία υπάρχουν? Οι υποκλοπές είναι μια
από τις πιο κοινές απειλές σε VoIP περιβάλλοντα. Μη εξουσιοδοτημένη
συνακρόαση των συνομιλιών αλλά και η αποκωδικοποίηση
των σημάτων του πρωτοκόλλου επικοινωνίας
ηχητικών σημάνσεων, μπορούν να επιτρέψουν στον υποκλοπέα
να μαγνητοφωνήσει συνομιλίες σε ένα μη ασφαλές VoIP
περιβάλλον. Φανταστείτε το Γιάννη στο γραφείο αλληλογραφίας,
να κρυφακούει τον CEO και το διευθυντή ανθρώπινου
δυναμικού να συζητάνε για το τελευταίο κύμα απολύσεων. Ή
το Γιώργο να δίνει τον αριθμό της πιστωτικής του κάρτας σε
έναν υπάλληλο αεροπορικών κρατήσεων. Το μόνο που χρειάζεται
ο υποκλοπέας είναι ένα εργαλείο packet capture (διαθέσιμο
δωρεάν στο Διαδίκτυο) για να αρχίσει να παγιδεύει
τα πακέτα VoIP στο διαδίκτυο. Έπειτα μπορεί να τις σώσει σε
ένα wav αρχείο και να τις πάρει σπίτι.
Και αυτό είναι μόνο η κορυφή του παγόβουνου. Οι χάκερς
μπορούν να ξεγελάσουν SIP μηνύματα και IP διευθύνσεις
και να υποκλέψουν και αναδρομολογήσουν ολόκληρες συνομιλίες.
Ή φανταστείτε μια “man-in-the-middle” επίθεση,
όπου ο πελάτης καταλήγει να μιλάει σε ένα οργανωμένο ε-
28 security

Angelo Gentili
Business Development Manager
της PartnerNET
γκληματικό συνδικάτο υποκρινόμενο το τμήμα πωλήσεών της
εταιρίας. Οι πιστωτικές κάρτες των πελατών μιας εταιρίας,
οι προσωπικές τους πληροφορίες, ακόμα και το ΑΦΜ τους,
μπορούν να χαθούν εν ριπή οφθαλμού. Και το χειρότερο, ο
πελάτης να πιστεύει πως μίλησε με το τμήμα πωλήσεων, χωρίς
έχει μιλήσει ποτέ.
Ακόμη, τι γίνεται με το “denial of service”; Ο επιτιθέμενος
μπορεί να βομβαρδίσει έναν VoIP server ή μια voicegateway
συσκευή στο Internet με οτιδήποτε πακέτα κατακλύζοντας
το server και καθιστώντας τις υπηρεσίες που προσφέρει
μη διαθέσιμες σε κανονικούς χρήστες. Ένας χάκερ
θα μπορούσε εύκολα να κατακλύσει το SIP server με ψεύτικα
requests, κάνοντάς το αδύνατο να στείλει ή να δεχθεί
κλήσεις. Και τι γίνεται με τις replay επιθέσεις; Φανταστείτε
ένας χάκερ να σπαμάρει ένα αρχείο 4 ΜΒ σε 4000 τηλέφωνα
ή να μεταδίδει 500 bogus ηχητικά μηνύματα ταυτόχρονα!
Φανταστείτε ένα τηλέφωνο που χτυπάει ασταμάτητα. Το σηκώνετε,
δεν απαντά, το κλείνετε, και χτυπάει ξανά. Ο μόνος
τρόπος για να σταματήσει είναι να το αποσυνδέσετε. Ή να το
πετάξετε από το παράθυρο!
Ποιές είναι οι εναλλακτικές;
Η VoIP κίνηση μπορεί να χωριστεί σε call signaling, call
control, και media communications. Αναλόγως το πρωτόκολλο
και τις πολιτικές που χρησιμοποιούνται, αυτές οι ε-
πικοινωνίες μπορούν να χρησιμοποιήσουν είτε ένα κανάλι
είτε πολλά διαφορετικά. Τα κανάλια είναι TCP/UDP συνδέσεις
μεταξύ 2 στοιχείων του δικτύου. Από την οπτική γωνία
της ασφάλειας, όλες αυτές οι συνδέσεις ίσως χρειαστεί να
ασφαλιστούν, δηλαδή να επικυρωθούν και να κωδικοποιηθούν.
Κάποιοι από τους μηχανισμούς που μπορούν να παρέχουν
ασφάλεια σε VoIP περιβάλλοντα είναι:
Authorization, Authentication, Transport Layer Security
(TLS), Media encryption (SRTP). Τα VoIP call signaling και
call control μπορούν να ασφαλιστούν με την εφαρμογή κάποιου
είδους Authorization, Authentication ή Transport
Layer Security (TLS/SSL) μηχανισμού.
Authorization
Το authorization υπονοεί ότι οι συσκευές μπορούν να ρυθμιστούν
με τέτοιο τρόπο ώστε να επιτρέπουν την κίνηση από
ένα μόνο επιλεγμένο group IP διευθύνσεων. Αυτός ο μηχανισμός
προστατεύει τη συσκευή έως ένα βαθμό, από denialof-service
επιθέσεις.
Authentication
Στο authentication ίσως χρειαστεί 2 επικοινωνούσες VoIP
συσκευές για να επικυρώσουν (authentication) η μια την
άλλη πριν αρχίσει η πραγματική επικοινωνία. Αυτή η αμοιβαία
επικύρωση μπορεί να βασιστεί σε ένα κοινό κωδικό
ή πιστοποιητικό που γνωστοποιείται πριν την επικοινωνία,
κάνοντάς το δύσκολο αν όχι αδύνατο για τον χάκερ να αλλάζει
ταυτότητα.
Transport Layer Security
Ο πρωταρχικός στόχος, του Transport Layer Security (TLS)
Πρωτόκολλου είναι να παρέχει ιδιωτικότητα και ακεραιότητα
των δεδομένων ανάμεσα στις δύο επικοινωνούσες εφαρμογές.
Το πρωτόκολλο επιτρέπει σε εφαρμογές client/server
να επικοινωνούν με ένα τρόπο σχεδιασμένο για να εμποδίζει
τις υποκλοπές, την αλλοίωση και την πλαστογράφηση του μηνύματος.
Καθώς αυτή η ασφαλής σύνδεση βασίζεται σε ένα
κοινό μυστικό ή πιστοποιητικό, γνωστό μόνο στο server και
τον πελάτη, είναι πολύ δύσκολο, ίσως και αδύνατο για έναν
υποκλοπέα να δει, να χειριστεί και να αναπαράγει τα μηνύματα
που ανταλλάχθηκαν.
SRTP
Τα media communications μπορούν επίσης να διασφαλιστούν
με την ενσωμάτωση κάποιου είδους μηχανισμού κωδικοποίησης.
Τα VoIP τηλέφωνα θα μπορούσαν να κρυπτογραφούν
τα ηχητικά πακέτα μέσω του SRTP (Secure Real-time
Transport Protocol), το οποίο είναι ένα προφίλ ασφαλείας
για RTP που προσθέτει εμπιστευτικότητα, authentication του
μηνύματος, και προστασία αναπαραγωγής σε αυτό το πρωτόκολλο.Το
SRTP είναι ιδανικό για την προστασία του VoIP
traffic, γιατί μπορεί να χρησιμοποιηθεί σε συνδυασμό με συμπίεση
της σηματοδοσίας ελέγχου χωρίς καμία επίπτωση
στην ποιότητα της φωνητικής επικοινωνίας.
STM
Το STM της Allo εγκαθίσταται πριν από οποιοδήποτε SIP
based IP PBX ή gateway προσφέροντας πολλαπλά επίπεδα
ασφάλειας ενάντια σε πολυάριθμους τύπους επιθέσεων.
Χρησιμοποιώντας την SNORT based Real Time Deep packet
inspection μηχανή, το STM της Allo αναλύει κάθε SIP πακέτο
που πηγαίνει στο τηλεφωνικό σύστημα, εντοπίζει τα κακόβουλα
και τα ανώμαλα sessions μπλοκάροντας δυναμικά
την IP από όπου προέρχονται.
Η συσκευή έχει σχεδιαστεί για να ενσωματώνεται εύκολα
και αρμονικά με την υπάρχουσα υποδομή του δικτύου, εξαλείφοντας
οποιαδήποτε πολυπλοκότητα στην εγκατάσταση.
Η PartnerNET είναι αποκλειστικός αντιπρόσωπος των προϊόντων
Allo στην Ευρώπη.
Για περισσότερες πληροφορίες επισκεφτείτε το
www.partnernet.gr iTSecurity
security
29

T4003/04.2015
Issue
Αντιμετωπίζοντας το άγνωστο
Πως μπορούμε να προστατευθούμε από άγνωστες απειλές και exploits μηδενικού – χρόνου;
Πως μπορεί να ανιχνευθεί και να αντιμετωπισθεί μία στοχευμένη επίθεση; Ποιο είναι το πλάνο
αντιμετώπισης των σύγχρονών εισβολών;
Τ
α νέα από τον κόσμο της ασφάλειας είναι
καταιγιστικά. Σύμφωνα με την αναφορά
της κατασκευάστριας εταιρείας
Checkpoint (http://www.checkpoint.com/
resources/2014-security-report/):
• Κάθε λεπτό (1 min) ένας σταθμός εργασίας έχει πρόσβαση
σε κακόβουλο Διαδικτυακό τόπο
• Κάθε εννιά λεπτά (9 min) χρησιμοποιείται μία εφαρμογή
υψηλής επικινδυνότητας
• Κάθε είκοσι επτά λεπτά (27 min) οι χρήστες κατεβάζουν
άγνωστο κακόβουλο λογισμικό
• Κάθε σαράντα εννιά λεπτά (49 min) ευαίσθητα δεδομένα
αποστέλλονται εκτός οργανισμών
• Κάθε είκοσι τέσσερις ώρες (24 hours) ένας σταθμός εργασίας
μολύνεται με bot
Οι hackers πλέον χρησιμοποιούν εξειδικευμένες και στοχευμένες
επιθέσεις τις οποίες προετοιμάζουν μήνες και τις
προσαρμόζουν στο περιβάλλον του εκάστοτε Οργανισμού –
Στόχου. Η επίθεση έχει ως πρωταρχικό στόχο μία μικρή ο-
μάδα ανυποψίαστων χρηστών με σκοπό να αποκτήσουν μη
εξουσιοδοτημένη πρόσβαση στον Οργανισμό έτσι ώστε σε
δεύτερο χρόνο να αποκτήσουν πρόσβαση σε εμπορικά δεδομένα,
δεδομένα πνευματικής ιδιοκτησίας, πηγαίο κώδικα
του υπολογιστή, καθώς και σε οποιαδήποτε άλλη κρίσιμη
πληροφορία.
Η μεθοδολογία τους είναι συμπαγής, αποτελεσματική και
την ακολουθούν μέχρι να πετύχουν τον στόχο τους. Διαιρείται
σε πέντε (5) κύριες φάσεις (εικόνα 1). Κάθε φάση μπορεί
να εκτελείται και από διαφορετική ομάδα ανάλογα με το
γνωσιακό της επίπεδο.
Εικόνα 1
Κατά την πρώτη φάση προετοιμάζεται η επίθεση, ελέγχεται η
τεχνολογική και η οργανωτική υποδομή του οργανισμού και
ετοιμάζεται το κακόβουλο λογισμικό μηδενικού χρόνου (zero
day) το οποίο θα χρησιμοποιηθεί για την πρωτογενή επίθεση.
Στο πλαίσιο της φάσης αυτής είναι και η σωστή επιλογή των
χρηστών οι οποίοι θα χρησιμοποιηθούν ως η κερκόπορτα
από την οποία θα εισβάλουν οι hackers στον Οργανισμό. Η
φάση αυτή μπορεί να διαρκέσει και μήνες.
Στην δεύτερη φάση επιτυγχάνεται η αρχική πρόσβαση στον
Οργανισμό – Στόχο. Συνήθως αποστέλλεται ένα ηλεκτρονικό
μήνυμα, μέσω της τεχνικής spear phishing, σε μία μικρή
ομάδα χρηστών ώστε να μην προκληθεί συναγερμός στον
Οργανισμό. To κακόβουλο λογισμικό είτε περιέχεται ως επισυναπτόμενο
αρχείο είτε περιέχεται εξωτερικός σύνδεσμος
από τον οποίο θα το «κατεβάσει» ο χρήστης. Το κακόβουλο
30 security

Νικήτας Κλαδάκης
Information Security Manager,
NetBull
λογισμικό, από την στιγμή που εκτελεστεί επιτρέπει την αρχική
πρόσβαση των hackers στο σταθμό εργασίας του χρήστη
και ολοκληρώνεται η φάση αυτή.
Στην συνέχεια, κατά την τρίτη φάση, οι hackers επεκτείνουν
τις επιθετικές δραστηριότητες τους εντός του Οργανισμού
με δευτερογενής επιθέσεις και κλιμάκωση προνομίων
(privilege escalation). Στόχος της φάσης αυτής είναι η κτήση
λογαριασμού υψηλών προνομίων π.χ. administrator, root
κ.λπ. και ο εντοπισμός των κρίσιμων δεδομένων.
Από την στιγμή που θα εντοπισθούν τα κρίσιμα δεδομένα
αρχίζει και η επόμενη φάση (τέταρτη φάση) εξαγωγής των
δεδομένων, συνήθως μέσω κρυπτογραφημένου καναλιού
επικοινωνίας. Η φάση αυτή διαρκεί αρκετό χρονικό διάστημα
έτσι ώστε να μην γίνει αντιληπτή η δικτυακή κίνηση και
προκαλέσουν υποψίες.
Τέλος κατά την τελευταία φάση (πέμπτη φάση) αφού εξάγουν
τα κρίσιμα δεδομένα διαγράφουν τα ίχνη τους και οποιαδήποτε
απόδειξη των κακόβουλών πράξεων τους και ολοκληρώνεται
η επίθεση.
Τα ερωτήματα που γεννιούνται είναι πολλά και χωρίς εύκολες
απαντήσεις. Πως προστατευόμαστε από άγνωστες α-
πειλές και exploits μηδενικού – χρόνου; Πως θα ανιχνευθεί
και θα αντιμετωπισθεί μία στοχευμένη επίθεση; Ποιο είναι
το πλάνο αντιμετώπισης των εισβολών;
Θα πρέπει να γίνει αντιληπτό ότι δεν υπάρχει «ασημένια
σφαίρα» στην ασφάλεια η οποία θα μας προστατεύει από
κάθε γνωστή και άγνωστη απειλή. Ο κάθε οργανισμός θα
πρέπει να υιοθετήσει μία στρατηγική ασφάλειας πολλαπλών
επιπέδων σχεδιασμένη ειδικά για τις ανάγκες και τις απαιτήσεις
του. Η εταιρεία netbull έχει αναπτύξει μία 3D αρχιτεκτονική
ασφαλείας η οποία έχει ως στόχο την προστασία
των δεδομένων ενός Οργανισμού, μέσα από μία ολιστική
Εικόνα 2
προσέγγιση (εικόνα 2). Η ανωτέρω αρχιτεκτονική δεν βασίζεται
μόνο σε τεχνολογικούς μηχανισμούς προστασίας αλλά
επεκτείνεται πρώτιστα στους ανθρώπους που στηρίζουν τους
τεχνολογικούς μηχανισμούς καθώς και στις πολιτικές και τις
διαδικασίες που επιτρέπουν την υλοποίηση και την διαχείριση
των μηχανισμών αυτών. Τα κύρια δομικά στοιχεία της
ανωτέρω αρχιτεκτονικής που έχουν ως στόχο την προστασία
από άγνωστες απειλές διακρίνονται σε δύο (2) κύρια στάδια
ανάλογα με την φάση ανίχνευσης της επίθεσης (εικόνα 3).
Εικόνα 3
Στάδιο Α ( Φάση 1η – Φάση 2η)
Οι μηχανισμοί προστασίας του σταδίου Α είναι οι ακόλουθοι:
• Σύστημα προστασίας της υπηρεσίας ηλεκτρονικού ταχυδρομείου
• Σύστημα ανίχνευσης κακόβουλου λογισμικού μηδενικού
χρόνου
• Σύστημα ασφαλούς πρόσβασης στο Διαδίκτυο
• Σύστημα προστασίας UTM
• Προστασία των τελικών σημείων (workstations, tablets,
mobile phones κ.λπ.)
Οι μηχανισμοί προστασίας του πρώτου σταδίου βασίζονται
στην έγκαιρη ανίχνευση της επίθεσης κατά τις πρώτες δύο (2)
φάσεις. Κύριος μηχανισμός είναι η προστασία από κακόβουλο
λογισμικό μηδενικού χρόνου μέσω τεχνολογίας εξομοίωσης
απειλών (threat emulation) η οποία ολοκληρώνεται με
τους υπόλοιπους μηχανισμούς της φάσης αυτής.
Στάδιο Β (Φάση 3η – Φάση 5η)
Οι μηχανισμοί προστασίας του σταδίου Β είναι οι ακόλουθοι:
• Σύστημα ανίχνευσης ανωμαλιών δικτύου
• Σύστημα προστασίας των βάσεων δεδομένων ενός Οργανισμού
• Σύστημα προστασίας από διαρροή δεδομένων
• Σύστημα προστασίας από bots
Οι μηχανισμοί προστασίας του δεύτερου σταδίου επικεντρώνονται
στην ανίχνευση του περιστατικού μετά την ολοκλήρωση
της επιτυχούς επίθεσης (φάση 2η) και έχουν ως στόχο την
ελαχιστοποίηση του χρόνου ανίχνευσης του περιστατικού και
συνεπώς και των επιπτώσεων του. iTSecurity
security
31

T4003/04.2015
Issue
Cyber Insurance ως εργαλείο
Διαχείρισης Κινδύνου
Οι παραβιάσεις ηλεκτρονικών συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι
καθημερινό φαινόμενο το οποίο εκδηλώνεται στις μέρες μας με πολλούς τρόπους. Η συχνότητα
του φαινομένου και οι επιπτώσεις του οδηγεί στη ζήτηση και την ανάπτυξη αντίστοιχων
ασφαλιστικών προϊόντων.
ι επιχειρήσεις χωρίζονται σε δύο κατηγορίες
σε αυτές που εχουν υποστεί παραβίαση
O
συστημάτων και το γνωρίζουν και σε αυτές
που δεν το γνωρίζουν. Η παραβίαση συστημάτων
και η κλοπή προσωπικών δεδομένων
είναι ένα φαινόμενο που κάθε εταιρία που
κατέχει δεδομένα πελατών ενδέχεται να βιώσει στο μέλλον.
Η ασφαλιστική αγορά ανταποκρινόμενη στις ανάγκες των ε-
πιχειρήσεων για οικονομική προστασία από τους κινδύνους
που απειλούν τα συστήματά τους με παραβίαση και διαρροή
εμπιστευτικών πληροφοριών δημιούργησε προϊόντα και υ-
πηρεσίες Cyber Insurance.
Τι είναι η παραβίαση συστημάτων και η απώλεια δεδομένων;
Παραβίαση Συστημάτων μπορούμε να έχουμε από μη εξουσιοδοτημένη
πρόσβαση σε εταιρικά συστήματα, η οποία συνοδεύεται
από απώλεια δεδομένων πελατών που περιλαμβάνουν
οικονομικά στοιχεία, στοιχεία πιστωτικών καρτών ή
τραπεζικού λογαριασμού, δεδομένα υγείας ή εταιρικών δεδομένων
όπως εμπορικά μυστικά ή ζητήματα πνευματικής
ιδιοκτησίας. Η απώλεια δεδομένων μπορεί να συντελεστεί
και με την κλοπή συστημάτων αποθήκευσης δεδομένων ό-
πως usb, δίσκους αποθήκευσης ή πιο απλά από απροσεξία
όταν κάποιο στέλεχος μιας εταιρίας ξεχάσει σε ένα αεροδρόμιο
ένα tablet, ένα κινητό τηλέφωνο ή ένα laptop στο
οποίο δεν έχει χρησιμοποιηθεί κάποιο πρόγραμμα για την
κρυπτογράφηση των δεδομένων που περιέχει.
Σε πολλούς τομείς όπως το λιανικό εμπόριο, την υγειονομική
περίθαλψη, τις τράπεζες και τη φιλοξενία, που κατέχουν
σημαντικές ποσότητες προσωπικών δεδομένων, οι προσπά-
32 security

Νίκος Γεωργόπουλος
ΜΒΑ, CyRM, Cyber Risks Advisor
Cromar Lloyds Coverholder
θειες παραβίασης των δεδομένων είναι ένας διαρκής κίνδυνος
για την επιχειρηματική δραστηριότητα.
Τι ζημιά μπορεί να δημιουργήσει η παραβίαση συστημάτων
και η απώλεια δεδομένων;
Μέχρι σήμερα, η χρηματοοικονομική επίπτωση στις ευρωπαϊκές
Εταιρείες ήταν λιγότερο σοβαρή, διότι δεν ισχύει επί
του παρόντος η πανευρωπαϊκή νομοθεσία για την προστασία
των δεδομένων. Η νομοθεσία αυτή που παρουσιάστηκε τον
Ιανουάριο του 2013 από την Επίτροπο Δικαιοσύνης της ΕΕ, κα
Viviane Reding, προβλέπει την αναθεώρηση των νόμων περί
προστασίας δεδομένων της ΕΕ και αναμένεται να ενσωματωθεί
στο ευρωπαϊκό δίκαιο. Σύμφωνα με τη νέα νομοθεσία,
οι εταιρίες που δεν κατάφεραν να διατηρήσουν την ασφάλεια
των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για
παραβίαση των κανόνων που φθάνουν μέχρι 100 εκ. € ή έως
5 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας,
όποιο από τα δύο είναι μεγαλύτερο. Ωστόσο, η Χρηματοοικονομική
επίπτωση θα μπορούσε να είναι το λιγότερο από
τις ανησυχίες μιας εταιρείας σε σχέση με την απώλεια της
εμπιστοσύνης των πελατών. Οι ασφαλισμένες εταιρίες θεωρούν
ότι η υπ ‘αριθμόν μία ανησυχία τους είναι βλάβη
της φήμης τους. Ενδεικτικά το κόστος ανά χαμένο record
και ανά κατηγορία επιχειρηματικής δραστηριότητας σύμφωνα
με τα στοιχεία του Ponemon institute για παραβιάσεις
δεδομένων στην Αμερική φαίνεται στον παρακάτω πίνακα 1.
Πίνακας 1
Όπως περίφημα είπε ο Warren Buffett: «Χρειάζονται 20
χρόνια για να χτιστεί η φήμη και πέντε λεπτά για να καταστραφεί».
Σε μια μελέτη που πραγματοποιήθηκε από την Economist
Intelligence Unit του περασμένου έτους, το ένα τέταρτο
των ερωτηθέντων ανέφερε ότι είχε πέσει θύμα της παραβίασης
των δεδομένων κατά τα τελευταία δύο χρόνια.
Οι πελάτες /συνεργάτες των εταιριών αυτών δήλωσαν οτι δεν
θα συνεργάζονταν ξανά με αυτες τις επιχειρήσεις που έχουν
υποστεί παραβίαση συστημάτων και διαρροή προσωπικών
δεδομένων.
Η Πρόληψη είναι αρκετή;
Παραβιάσεις ηλεκτρονικών συστημάτων και διαρροή εμπιστευτικών
πληροφοριών συμβαίνουν καθημερινά και σε
πολύ μεγάλη κλίμακα. Οι εταιρείες πρέπει να είναι προετοιμασμένες
για την αντιμετώπιση συμβάντων παραβίασης
δεδομένων.
Οι μεγαλύτερες εταιρείες, αν και έχουν δημιουργήσει ειδικές
ομάδες διαχείρισης κρίσης για την αντιμετώπιση αυτών
των περιστατικών μπορούν να αντιμετωπίσουν μεγάλες οικονομικές
ζημίες οι οποίες χωρίς την ύπαρξη ασφαλιστικής
κάλυψης μπορούν να καταστούν καταστροφικές. Οι μικρές
και μεσαίες επιχειρήσεις πιθανό να είναι λιγότερο προετοιμασμένες
για την αντιμετώπιση περιστατικών παραβίασης
συστημάτων και απωλειας εμπιστευτικών πληροφοριών και
δεν θα είναι σε θέση να απορροφήσουν το κόστος που συνδέεται
με αυτά.
Πώς ανταποκρίνεται η ασφαλιστική αγορά;
Η ανάπτυξη της αγοράς των ΗΠΑ είναι ένα ενδιαφέρον παράδειγμα
του τι οδηγεί τη ζήτηση. Το πρώτο βήμα ήταν η υ-
ποχρεωτική ενημέρωση του πελάτη σε περίπτωση που έ-
χουν χαθεί προσωπικά του δεδομένα και η γνωστοποίηση
του περιστατικού στις αρμόδιες αρχές , η οποία ξεκίνησε
στην Καλιφόρνια το 2003 και τώρα υπάρχει σε 48 πολιτείες.
Η υποχρεωτική ενημέρωση των αρμοδίων αρχών και του
πελάτη για κάθε παραβίαση δεδομένων είτε μεγάλη είτε
μικρή ήταν αυτό που άλλαξε την αγορά.
Με την αποκάλυψη του συμβάντος κάθε εταιρία εκτέθηκε
νομικά, και άρχισε να γίνεται εμφανές ότι η αντιμετώπιση
παραβιάσεων δεδομένων ήταν τόσο πολύπλοκη όσο και
δαπανηρή. Όλο αυτό έχει οδηγήσει τόσο τη ζήτηση όσο και
την ανάπτυξη των ασφαλιστικών προϊόντων. Όταν οι κανόνες
της ΕΕ αλλάξουν και η υποχρεωτική κοινοποίηση όλων των
παραβιάσεων δεδομένων και τα διοικητικά πρόστιμα για ε-
σφαλμένη διαχείριση των δεδομένων των πελατών γίνουν νόμος,
αυτό θα αναγκάσει τις επιχειρήσεις να λάβουν σοβαρά
υπόψη τους κινδύνους αυτούς. Επίσης, θα αυξήσει τη ζήτηση
για αυτά τα προγράμματα και θα επηρεάσει την τιμή τους, τις
παροχές και τους όρους προσφέρουν.
Πως αναπτύχθηκαν τα ασφαλιστικά προϊόντα
Αρχικά τα ασφαλιστικά προϊόντα που σχεδιάστηκαν κάλυπταν
τις χρηματοοικονομικές ανάγκες των εταιριών σε περίπτωση
παραβίασης συστημάτων και διαρροής δεδομένων.
Στην συνέχεια και λαμβάνοντας υπόψη τις ανάγκες των εταιριών
πελατών δημιουργήθηκαν νέα ασφαλιστικά καινοτόμα
προϊόντα τα οποία ενσωμάτωσαν υπηρεσίες διαχείρισης
security
33

T4003/04.2015
Issue
Οι ασφαλιστές αναζητούν εταιρίες οι οποίες κατανοούν τον
κίνδυνο, κάνουν σωστή διαχείρισή του και έχουν εχουν τις
κατάλληλες πολιτικές και διαδικασίες. Η διαχείριση της
κατάστασης σε περίπτωση απώλειας δεδομένων είναι
αρμοδιότητα των ανωτάτων στελεχών και του διοικητικού
συμβουλίου. Σήμερα δεν έχει σημασία πόσο πολλά
firewalls έχει μια εταιρεία, ή το πόσο καλά είναι τα συστήματά
της, καθώς κανένα σύνολο ελέγχων δε μπορεί να εγγυηθεί
ότι δεν θα έχουν μια παραβίαση συστημάτων και α-
πώλεια δεδομένων.
συμβάντων σε συνεργασία με εγνωσμένης αξίας παρόχους
υπηρεσιών ψηφιακής εγκληματολογίας, νομικούς, επικοινωνιολόγους
με σκοπό την αποτελεσματική διαχείριση των συμβάντων
και την μείωση των συνεπειών στην εταιρική φήμη.
Η προσέγγιση αυτή αποδείχθηκε πολύτιμη για τους πελάτες,
ιδιαίτερα εκείνους που δεν έχουν εξελιγμένες ομάδες
διαχείρισης κινδύνου. Οι υπηρεσίες διαχείρισης συμβάντων
βοηθάνε την εταιρία να καθορίσει τι έχει παραβιαστεί, να α-
ξιολογήσει τις ευθύνες της, να ενημερώσει τους σωστούς
ανθρώπους και να γίνει ό, τι είναι απαραίτητο για να σταθεί
η επιχείρηση και πάλι στα πόδια της και πάλι.
Ποιοι παράγοντες επηρεάζουν το κόστος ασφάλισης και
την δυνατότητα ασφάλισης
Το κόστος των προϊόντων αυτών εξαρτάται από διάφορους
παράγοντες όπως: α) η δραστηριότητα της εταιρίας β) το μέγεθος
των εσόδων γ) ο όγκος και ο τύπος των δεδομένων δ) η
εξάπλωση της εταιρίας διεθνώς ε) η προηγούμενη εμπειρία
σε περιπτώσεις data breach στ) o ανταγωνισμός και κατά
πόσο ή όχι οι ασφαλιστές θεωρούν ότι ο ασφαλισμένος κίνδυνος
είναι καλός ή κακός.
Η δυνατότητα ασφάλιση της εταιρίας εξαρτάται απο τα μέτρα
προστασίας που έχει λάβει και τις διαδικασίες και πολιτικές
που ακολουθεί για την αποφυγή και αντιμετώπιση περιστατικών
παραβίασης συστημάτων και διαρροής δεδομένων.
Ένας άλλος σημαντικός παράγοντας που επηρεάζει τόσο το
κόστος όσο και τη δυνατότητα ασφάλισης είναι η εμπειρία
της ασφαλιστικής εταιρίας στην αντιμετώπιση περιστατικών.
Ποια εταιρία είναι κατάλληλη για ασφάλιση;
Η ύπαρξη ενός Information Security Officer είναι καθοριστικός
παράγοντας στην δημιουργία πολιτικών και διαδικασιών
ασφάλειας, πλάνου αντιμετώπισης αυτών των περιστατικών
και στην αξιολόγηση της προς ασφάλιση εταιρίας.
Τι μπορεί να κάνει η ασφαλιστική βιομηχανία κάνει για
να βοηθήσει τις εταιρείες;
Η ασφαλιστική αγορά για την αποτελεσματική διαχείριση των
οικονομικών συνεπειών περιστατικών παραβίασης συστημάτων
και απώλειας δεδομένων προσφέρει την κάλυψη των
εξόδων διαχείρισης της κρίσης που προκαλεί ένα τέτοιο
περιστατικό όπως: α) έξοδα για την πρόσληψη Εξειδικευμένων
Ερευνητών Ασφαλείας β) έξοδα για την ενημέρωση
πελατών γ) έξοδα δημοσίων σχέσεων και διαχείρισης κρίσης,
δ) νομικά έξοδα για την διαχείριση των κανονιστικών
απαιτήσεων ε) έξοδα νομικών συμβουλών για την αξιολόγηση
των συνεπειών του περιστατικού στ) έξοδα πρόσληψης
ειδικών διαπραγματευτών σε περίπτωση εκβιασμού και του
κόστους απώλειας κερδών λόγω μη λειτουργίας των συστημάτων
λόγω ddos.
Επίσης ασφαλίζει για την ευθύνη του ασφαλισμένου έ-
ναντι τρίτων, οι οποίοι θα μπορούσαν να ασκήσουν αγωγή
κατά του ασφαλισμένου για ζημία που μπορούν να υποστούν
λόγω περιστατικών παραβιάσεις ηλεκτρονικών συστημάτων
και διαρροής προσωπικών τους δεδομένων και την Απώλεια
Κερδών σε περίπτωση άρνησης παροχής υπηρεσίας
(ddos) λόγω κυβερνοεπιθεσεων.
Η καινοτομία των νέων ασφαλιστικών προϊόντων προέρχεται
από την παροχή υπηρεσιών διαχείρισης συμβάντων σε συνεργασία
με εγνωσμένης αξίας παρόχους υπηρεσιών ψηφιακής
εγκληματολογίας, νομικούς, επικοινωνιολόγους με
σκοπό την αποτελεσματική διαχείριση των συμβάντων και την
μείωση των συνεπειών στην εταιρική φήμη.
Παράγοντες που λαμβάνονται υπόψη στον σχεδιασμό ε-
νός προγράμματος
Η ασφάλιση των οικονομικών συνεπειών μια εταιρίας σε περίπτωση
παραβίασης συστημάτων και απώλειας δεδομένων
δεν είναι μια συνηθισμένη κάλυψη – η μη γνώση των κινδύνων,
οι υπηρεσίες που παρέχονται και η διαχείριση τέτοιων
συμβάντων απαιτεί εξειδικευμένους ασφαλιστικούς διαμε-
34 security

Cyber Insurance ως εργαλείο Διαχείρισης Κινδύνου
σολαβητές. Οι εταιρίες πελάτες δεν έχουν την γνώση να διαχειριστούν
μόνοι τους τα περιστατικά παραβίασης.
Η σωστή αξιολόγηση των κινδύνων, η κατανόηση των ιδιαιτεροτήτων
κάθε επιχείρησης σε περίπτωση παραβίασης συστημάτων
και απώλειας δεδομένων, οι διαδικασίες που ακολουθεί
και το ύψος της κάλυψης είναι ζωτικής σημασίας. Η δημιουργία
μιας ομάδας που αποτελείται από τον ασφαλιστή, τον
μεσίτη και τεχνικούς εμπειρογνώμονες θα εξασφαλίσει ότι το
πρόγραμμα που θα δημιουργηθεί θα καλύψει αποτελεσματικά
τις ανάγκες της εταιρίας. Για να σχεδιαστεί ένα πρόγραμμα
που θα καλύπτει τις ανάγκες μιας εταιρίας θα πρέπει να σκεφτούμε
τα ακόλουθα θέματα: α) ποιοι είναι οι κίνδυνοι β) ποιες
είναι οι υφιστάμενες ασφαλιστικές καλύψεις γ) ποια είναι τα
σωστά όρια και υποόρια του προγράμματος δ)ποιες είναι οι
εξαιρέσεις ε)πως καλύπτονται οι εταιρίες σε περίπτωση χρήσης
εξωτερικών παρόχων ζ)ποιες οι διαδικασίες που ακολουθούν
οι εταιρίες στ)αν τα δεδομένα είναι κρυπτογραφημένα.
Τι προσφέρουμε στην ελληνική αγορά σαν λύση αντιμετώπισης
περιστατικών παραβίασης συστημάτων και διαρροής
δεδομένων
Η Cromar Insurance Brokers (www.cromar.gr) , ανταποκριτής
των Lloyds (Lloyds Coverholder), με 15 έτη συνεχούς
παρουσίας στην ελληνική αγορά και δυνατότητα τοποθέτησης
κινδύνων στην διεθνή αγορά προσφέρει σε συνεργασία
με τους Beazley, εταιρία με μεγάλη εμπειρία στην διαχείριση
περιστατικών data breach, η οποία έχει διαχειριστεί
άνω των 2.000 περιστατικών και υψηλή αξιολόγηση
προσφέρει στην ελληνικη αγορά το Beazley Global
Breach solution.
Tο Beazley Global Breach Solution το οποίο αποτελεί μια
συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων
παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει
στις επιχειρήσεις να διαχειριστούν την αυξανόμενη
ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου προσωπικών
δεδομένων των πελατών τους, καθώς και να μετριάσουν
τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση
συστημάτων και απώλειας των δεδομένων αυτών.
Πως μπορεί κάποιος να εμπλουτίσει τις γνώσεις του για
θέματα ασφάλισης και διαχείρισης περιστατικών παραβίασης
συστημάτων και απώλειας δεδομένων
Δημιουργήσαμε την πρώτη ελληνική κοινότητα συζήτησης
περιστατικών data breach στην οποία προσφέρουμε καθημερινή
ενημέρωση μέσω του Cyber Risks Advisors
Linkedin Group το οποίο είναι group στο Linkedin.Η αποδοχή
του συγκεκριμένου Group είναι μεγάλη και συμμετέχουν
μέλη από όλο τον κόσμο και πολλοί Ελληνες που διαπρέπουν
στο εξωτερικό σε τομείς που σχετίζονται με την διαχείριση
περιστατικών data breach.
Άλλη μια καινοτομία που κάναμε είναι η δημιουργία του
www.privacyrisksadvisors.com το οποίο αποτελεί ένα εργαλείο
ενημέρωσης και γνώσης αντιμετώπισης περιστατικών
παραβίασης ιδιωτικότητας και αντιμετώπισής τους. Με
την βοήθεια του “The Data Breach Toolkit” μπορείτε να
υπολογίσετε το κόστος των οικονομικών συνεπειών σε περίπτωση
παραβίασης συστημάτων και διαρροής δεδομένων,
να βρείτε αναλύσεις για το κόστος των περιστατικών αυτών,
το νομικό πλαίσιο που ισχύει σε όλο τον κόσμο και οδηγούς
αντιμετώπισης αυτών των περιστατικών.
“Cyber Risks Academy” είναι μια ψηφιακή ακαδημία με
παρουσιάσεις από ειδικούς για θέματα αντιμετώπισης περιστατικών
παραβίασης συστημάτων και τρόπους ασφαλιστικής
αντιμετώπισής τους.
Ποιες είναι οι ποιο συχνές απαντήσεις μη ασφάλισης
μιας εταιρίας.
• Οι Οικονομικές συνέπειες παραβίασης συστημάτων και
απώλειας δεδομένων καλύπτονται από το συμβόλαιο Γενικής
Αστικής Ευθύνης.
• Οι εργαζόμενοι της εταιρίας γνωρίζουν πως πρέπει να προστατεύσουν
τα δεδομένα και την εταιρεία.
• Έχουμε το καλύτερο τμήμα μηχανογράφησης.
• Το κόστος ανταπόκρισης σε ένα περιστατικό είναι πολύ
μικρό.
• Τα περισσότερα περιστατικά συμβαινουν σε μεγάλες εταιρίες
iTSecurity
Νικος Γεωργόπουλος, Cyber
Risks Advisor CyRM, Cromar
Insurance Brokers
Ο Νίκος Γεωργόπουλος είναι
κάτοχος Master in Business
Administration (ALBA) και πτυχίου
Φυσικής του Πανεπιστημίου
Πάτρας. Διαθέτει 21 έτη εργασιακή
εμπειρία στο χρηματοοικονομικό
τομέα (XIOSBANK,
Alpha Trust, Generali Hellas)
στους τομείς Marketing,
Πωλήσεων και Εναλλακτικών
Δικτύων, είναι μέλος του
International Association of
Privacy Professionals και ε-
ξειδικευμένος σύμβουλος
στην παροχή ασφαλιστικών λύσεων Cyber /Privacy Liability &
Data Breach Management. Είναι δημιουργός του “Cyber Risks
Advisors” Linkedin Group και του www.privacyrisksadvisors.com.
security
35