IT Professional Security - ΤΕΥΧΟΣ 32

Αύγουστος - Σεπτέμβριος - Οκτώβριος 2013 • Τεύχος 32 • Τιμή 5€
Διαχείριση
Επιχειρησιακής
Συνέχειας
• Software Defined Networking (SDN)
• Wetware και Social Engineering
Συνεντεύξεις:
Dragan Martinovic
Managing Director
Νοτιανατολικής Ευρώπης
Kaspersky Lab
Duncan Harvey
Technology Director
of Business Development
Oracle EMEA
PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ
ΠΛHPΩMENO
TEΛOΣ
Tαχ. Γραφείο
(X+7)
KEMΠ.KΡ.
Aριθμός Άδειας
116
ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.
PRESS POST
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής
Ανάπτυξης
NSS
P R
E S S
T
P O S

E DITORIAL
Ο κρίσιμος ρόλος του ανθρώπινου παράγοντα!
Όπως διαπιστώσατε στο συγκεκριμένο τεύχος του IT
Security Professional, το κεντρικό άρθρο αφορά στο
Business Continuity Management, ενώ συνοδεύεται με μια
σειρά σχετικών άρθρων που αναδεικνύουν συγκεκριμένες
λύσεις, τεχνολογίες και διαδικασίες οι οποίες πρέπει να ακολουθούνται
για την επίτευξη της αδιάλειπτης λειτουργίας των
επιχειρήσεων, καθώς και πρακτικές που ήδη εφαρμόστηκαν.
Θα πρέπει όμως να επισημάνουμε ότι πίσω από κάθε σχέδιο
Business Continuity ή άλλες διαδικασίες όπως το Backup
(υπάρχει σχετική συνέντευξη) ή άλλες έννοιες, τεχνολογίες
και διαθέσιμες λύσεις σχετικές με την ασφάλεια, υπάρχει
πρώτα από όλα μια ολόκληρη φιλοσοφία που πρέπει να
αναπτυχθεί και να εδραιωθεί στην “εταιρική συνείδηση”.
Για να φτάσουμε δηλαδή στο σημείο να κάνουμε έρευνα
αγοράς και να αξιολογούμε τις διαθέσιμες λύσεις και εργαλεία,
οφείλουμε να καλλιεργήσουμε στο εσωτερικό της επιχείρησης
- από την κορυφή της διοίκησης μέχρι και τον κάθε
υπάλληλο οποιασδήποτε βαθμίδας – τη νοοτροπία ότι ο
ανθρώπινος παράγοντας είναι πάντα ο πιο δυνατός κρίκος
σε αυτήν την προσπάθεια.
Το όποιο σχέδιο διαχείρισης επιχειρησιακής συνέχειας καθώς
και άλλα σχέδια σχετικά με την ασφάλεια των Οργανισμών,
για να είναι αποτελεσματικά, απαιτούν αρχικά την κατανόηση
της χρησιμότητάς τους από το σύνολο του ανθρώπινου
δυναμικού, αλλά και την ενεργή συμμετοχή των εργαζομένων
όταν αυτή απαιτείται.
Επίσης, η πιστοποίηση από ειδικούς φορείς με το σχετικό
για το B.C. αναγνωρισμένο πρότυπο ISO 22301 (δείτε σχετική
αρθρογραφία στο παρόν τεύχος) αλλά και των υπολοίπων
προτύπων για την ασφάλεια πληροφοριών, η οποία
σίγουρα προσδίδει προστιθέμενη αξία, λαμβάνει σοβαρά
υπόψη την ευθύνη του ανθρώπινου δυναμικού στην αποτελεσματική
υλοποίηση του κάθε σχεδίου.
Είναι απαραίτητο λοιπόν, οι υπεύθυνοι των Οργανισμών να
προσεγγίσουν το συγκεκριμένο ζήτημα ολιστικά, αξιοποιώντας
σαφώς τα τεχνολογικά μέσα που υπάρχουν και παράλληλα
να διαμορφώσουν συνθήκες στο εσωτερικό της
επιχείρησης, οι οποίες θα επιτρέψουν την προσήλωση του
προσωπικού στις απαιτούμενες διαδικασίες αντιμετώπισης
των κινδύνων.
Βλάσης Αμανατίδης
Iδιοκτησία
Nίκος Πανδής
Eκδότης
Nίκος Πανδής
Αρχισυντάκτης
Βλάσης Αμανατίδης
info@securitymanager.gr
Συνεργάτες
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Ιωσήφ Ανδρουλιδάκης
Mίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Παναγιώτα Τσώνη
Εμπορικό Τμήμα
Νίκος Σαράφογλου
nsarafoglou@pressline.gr
Δήμητρα Αρακά
daraka@pressline.gr
Τμήμα Διαφήμισης - Marketing
Nίκη Πανδή
marketing@pressline.gr
Υπεύθυνος Συνδρομών
Γιώργος Τσιματσίδης
support@securitymanager.gr
Συνεργάτης Κύπρου
Φρίξος Μόζορας
Λογιστήριο
Xρήστος Mακρής
fin@pressline.gr
Γραμματειακή Yποστήριξη
Nικολέτα Πανδή
Διευθυντής Παραγωγής
Σάκης Γαβαλάς
Kαλλιτεχνική Eπιμέλεια
Mάρθα Τσάρου
Hλεκτρονική Σελιδοποίηση
Λευτέρης Πανδής
Σχεδιασμός Mu ltimedia
Φίλιππος Kαλογιάννης
Aτελιέ-Διαχωρισμοί-Mοντάζ
PressLine
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ
Mάγερ 11, 104 38 Αθήνα,
Τηλ.: 210-52.25.479 (6 γραμμές),
Fax: 210-52.43.345,
web: www.pressline.gr
ΚΩΔΙΚΟΣ 01-8267
security | 1

CONTENTS
20 26 30
1|EDITORIAL
6|NEWS
COVER ISSUE
10|Διαχείριση Επιχειρησιακής
Συνέχειας
Σύστημα & Στόχοι
ISSUE
17|Business Continuity:
Ανακάμπτοντας από την
κρίση
18|Σχεδιασμός Επιχειρησιακής
Συνέχειας – Τάσεις και
Νέες Τεχνολογίες
20|Εξασφαλίζοντας το
Αδιάλειπτο, Αποτελεσματικά
και Ολιστικά
22|Πιστοποίηση Διαχείρισης
Επιχειρησιακής Συνέχειας
24|Γνωριμία με το πλαίσιο
διαχειρίσεως
επιχειρησιακής συνέχειας
της ALPHA BANK
26|Software Defined
Networking (SDN)
Η δικτύωση στο μέλλον
30|Wetware και Social
Engineering
Α’ μέρος – Ο Ανθρώπινος
παράγοντας στην ασφάλεια
πληροφοριακών συστημάτων
INTERVIEW
36|Η κορυφαία ποιότητα και η
τεχνική υποστήριξη,
αναπόσπαστα κομμάτια μιας
κερδοφόρας εταιρείας.
Συνέντευξη με τον Dragan
Martinovic, Managing
Director για την περιοχή της
Νοτιανατολικής Ευρώπης στην
Kaspersky Lab
38|Η Oracle Database 12c είναι
βάση δεδομένων επόμενης
γενιάς
Συνέντευξη με τον Duncan
Harvey, Technology Director
of Business Development,
Oracle EMEA
40|Κομβικής σημασίας για το
μέλλον της επιχείρησης, οι
αξιόπιστες λύσεις Backup
Συνέντευξη με τον κο Γιώργο
Καπανίρη, Διευθυντής
Στρατηγικής Ανάπτυξης της
NSS
REFERENCE
43|Σχεδιάστε τα νέα σας δίκτυα
για το παρόν και το μέλλον,
με τις προτάσεις της Dell
44|Ασφάλεια στο Cloud
Η ευκαιρία για το κανάλι διανομής
46|Email Security with
Websense ® / Email Security
Gateway Anywhere
2| security

McAfee Enterprise Mobility Management - ΕΜΜ
Με λειτουργίες προστασίας συσκευών και δεδομένων, για τις πλέον δημοφιλείς φορητές συσκευές σήμερα, όπως
Apple iPhone και iPad και συσκευές με Android, η McAfee προσφέρει την ολοκληρωμένη και επεκτάσιμη λύση
ασφαλείας Enterprise Mobility Management - ΕΜΜ που καλύπτει το μεγαλύτερο μέρος της γκάμας των mobile συσκευών
που κυκλοφορούνε στην αγορά. Οι επιχειρήσεις μπορούν να προσφέρουν στο προσωπικό, την επιλογή συσκευής
που επιθυμούν, παρέχοντας παράλληλα πρόσβαση στις εταιρικές εφαρμογές με ασφάλεια και ευκολία.
Security and Management for Mobile Devices, Data, and Applications
Η λύση McAfee EMM προσφέρει προστασία των δεδομένων στις φορητές συσκευές καθώς και διαχείριση των φορητών συσκευών (Mobile
Device Μanagement -MDM) μέσω ενός συνδυασμού εργαλείων όπως τα : McAfee Secure Container for Android, McAfee VirusScan Mobile for
Android (unmanaged) και McAfee ePolicy Orchestrator (McAfee ePO) management.
Security
Η επίτευξη της σωστής ισορροπίας μεταξύ ασφάλειας, χρηστικότητας
και διαχειρισιμότητας είναι απαραίτητη. Η λύση McAfee ΕΜΜ παρέχει
ακριβώς το βέλτιστο επίπεδο ασφάλειας, υποστηρίζοντας:
Έλεγχο πρόσβασης από το χρήστη, τα δεδομένα και τη συσκευή
Απαιτήσεις σύνδεσης δικτύου, συμπεριλαμβανομένων VPN και Wi-Fi
Επιβολή αυθεντικοποιήσης και κρυπτογράφησης
Κλείδωμα ή “καθαρισμό” των συσκευών που έχουν χαθεί ή κλαπεί,
από απόσταση
Ανεξάρτητο λογισμικό anti-malware για την προστασία Android συσκευών
και των δικτύων που συνδέονται, από κακόβουλο κώδικα
BYOD
Παρά τα οφέλη που προκύπτουν από την φορητότητα των επιχειρησιακών
υπαλλήλων όπως η αύξηση της παραγωγικότητας, οι εργαζόμενοι
αρκετές φορές παραβλέπουν τους κινδύνους και τις επιπλοκές που
μπορεί να φέρει στην επιχείρηση το BYOD. Για αυτό και οι επιχειρήσεις
θα πρέπει να μεριμνήσουν ώστε τα εταιρικά δεδομένα που βρίσκονται
αποθηκευμένα στις φορητές συσκευές των υπαλλήλων να παραμένουν
προστατευμένα και αυτό μπορεί να γίνει με:
Πλήρη υποστήριξη των εταιρικών και προσωπικών συσκευών
Καθορισμό και εφαρμογή της κατάλληλης πολιτικής
Διατήρηση της εμπειρίας iOS αλλά και εφαρμογή της επιθυμητής
κρυπτογράφησης
Ασφαλές πλαίσιο λειτουργίας του Android για την κρυπτογράφηση
και το διαχωρισμό των e-mail, των επαφών και των δεδομένων της
εργασίας από τα προσωπικά δεδομένα
Μερικό “καθαρισμό” της συσκευής από απόσταση, διατηρώντας τα
προσωπικά δεδομένα και προστατεύοντας τα εταιρικά δεδομένα.
Υποστήριξη για τις πιο δημοφιλείς συσκευές, συμπεριλαμβανομένων
αυτών με λειτουργικά Android, iOS και Windows.
Mobile Management
Το Mobile Device Management είναι μια διαδικασία που βοηθάει τα
τμήματα IT των επιχειρήσεων να διατηρήσουν τον έλεγχο των φορητών
συσκευών που έχουν στην κατοχή τους οι υπάλληλοί, υποστηρίζοντας:
Πολλαπλές επιλογές καθορισμού πολιτικής ανά χρήστη, ομάδων
χρηστών, συσκευών και λειτουργικού συστήματος
Πίνακες απεικόνισης συσκευών με αναφορές που είναι προσαρμόσιμες
και τυποποιημένες
Βελτιωμένες και αυτοματοποιημένες διαδικασίες για την διαχείριση
πολιτικών
Analytics, παρακολούθηση συμβάντων και αναφορές
Εντοπισμό και κλείδωμα επικινδύνων συσκευών
Φιλοξενία και διανομή εμπορικών και εταιρικών εφαρμογών
Unified, Enterprise-Wide Management
Ενιαία διαχείριση που προσφέρει ολοκληρωμένη προσέγγιση για όλα
τα πιθανά ρίσκα μέσα στην επιχείρηση με :
Role-based διαχείριση
Drag-and-drop πίνακες και ειδοποιήσεις για όλες τις φορητές
συσκευές
Υποστήριξη για έλεγχο αυθεντικοποίησης μέσω Active Directory
απόλυτα προσαρμόσιμη στην υπάρχουσα υποδομή
Διαχείριση σε όλα τα endpoints,
παραδοσιακά και φορητά, καθώς και
στο δίκτυο και το data center σε όλο
το εύρος της επιχείρησης από την ίδια
ενοποιημένη υποδομή
True end-to-end ασφάλεια
και συμμόρφωση
Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την ITWAY Hellas (εξουσιοδοτημένος διανομέας):
Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr

NEWS
Συνδυασμός κορυφαίων
λύσεων ασφάλειας με το
πρόγραμμα
«ESET Technology Alliance»
Το νέο της πρόγραμμα «ESET Technology Alliance» ανακοίνωσε
σήμερα η ESET, το οποίο αποτελεί μία «συμμαχία»
συνεργαζόμενων τεχνολογιών. Στόχος του προγράμματος
είναι η καλύτερη προστασία των επιχειρήσεων, με μία σειρά
από συμπληρωματικές λύσεις ασφάλειας ΙΤ που συνεργάζονται
άψογα με τις ήδη υπάρχουσες λύσεις της ESET. Όλα
τα μέλη του προγράμματος «ESET Technology Alliance»
αποτελούν στρατηγικά επιλεγμένες εταιρείες ασφάλειας που
εξειδικεύονται σε συγκεκριμένους τομείς της ασφάλειας ΙΤ,
συμπληρώνοντας έτσι τη γκάμα προιόντων της ESET. Οι συνεργάτες
του προγράμματος αξιολογήθηκαν με βάση μία
σειρά κριτηρίων, ώστε να επεκτείνεται η κορυφαία προστασία
σε IT περιβάλλοντα επιχειρήσεων. Το πρώτο μέλος σε
αυτό το πρόγραμμα είναι η εταιρεία λογισμικού κρυπτογράφησης
DESlock.
Όπως δήλωσε ο Ignacio Sbampato, Chief Sales and Marketing
Officer της ESET: «Η προστασία των πελατών μας, των
δεδομένων τους και της υποδομής τους, αποτελεί αναμφισβήτητη
προτεραιότητα για την ESET. Επιλέξαμε την DESlock ως το πρώτο
στρατηγικό μέλος του προγράμματος ESET Technology Alliance
για την ισχυρή τεχνολογία κρυπτογράφησης που διαθέτει
και είμαστε ενθουσιασμένοι που θα προσφέρουμε λύσεις κρυπτογράφησης
μέσω της συνεργασίας, μαζι με επιλεγμένα προϊόντα
μας».
Μέσα από τη συμμαχία αυτή, η ESET προσφέρει μία εδραιωμένη
λύση κρυπτογράφησης: μία εύκολη στη χρήση εφαρμογή,
με μοναδική αρχιτεκτονική, που παρέχει ισχυρή κρυπτογράφηση
δεδομένων σε υπάρχοντες και νέους εταιρικούς
πελάτες κάθε μεγέθους. Η λύση αυτή προστατεύει από
όλες τις μορφές παραβίασης δεδομένων, ενώ ταυτόχρονα
εξασφαλίζει την ασφαλή συνεργασία σε πολύπλοκες ομάδες
εργασίας. Η ενοποίηση των λύσεων παρέχει στους πελάτες
της ESET μεγαλύτερη προστασία της επιχειρησιακής υποδομής
τους, καθώς και αποτελεσματική κρυπτογράφηση στις
κινητές συσκευές των υπαλλήλων τους.
Σύμφωνα με την έρευνα «Security Survey» της IDC (2011)
σε επιχειρήσεις με λιγότερους από 100 υπαλλήλους, η κρυπτογράφηση
κατατάσσεται σαν η τέταρτη πολυτιμότερη τεχνολογία
προστασίας, με μόλις το 9% να αναγνωρίζει την
κρυπτογράφηση ως απαραίτητη, καθώς προηγούνται το firewall,
το λογισμικό ενοποιημένης διαχείρισης απειλών (UTM
- unified threat management) και τα συστήματα IPS (Intrusion
Prevention Systems). Στις επιχειρήσεις που απασχολούν
100–999 υπαλλήλους, το 14% αναγνωρίζει την κρυπτογράφηση
ως κορυφαία τεχνολογία, κατατάσσοντας την τρίτη
μετά το firewall και το UTM.
Οι συνεργάτες της ESET μπορούν πλέον να προσφέρουν
στους εταιρικούς πελάτες μία ευρύτερη γκάμα προϊόντων
και υπηρεσιών. Σε επίπεδο client προσφέρεται πλήρης κρυπτογράφηση
στο σκληρό δίσκο, στα αφαιρούμενα μέσα,
στα αρχεία, στους φακέλους καθώς και στο mail. Σε επίπεδο
server, η λύση παρέχει απομακρυσμένη κεντρική διαχείριση,
διαχείριση των κλειδιών ασφάλειας και του διακομιστή
μεσολάβησης.
«Από τις συζητήσεις μας με την ESET, γρήγορα συνειδητοποιήσαμε
ότι οι συνεργαζόμενες λύσεις της DESlock και της ESET
ενισχύουν την ασφάλεια του εταιρικού περιβάλλοντος» σημειώνει
ο David Tomlinson, Managing Director της DESlock Ltd. «Η
ESET είναι γνωστή για τις βραβευμένες λύσεις ασφάλειάς της και
πλέον μέσα από το πρόγραμμα Technology Alliance, μπορεί να
προσφέρει πλήρη προστασία από τη διαρροή δεδομένων».
Χάρη στο πρόγραμμα «ESET Technology Alliance» η ESET
μπορεί να προσφέρει ολοκληρωμένη IT ασφάλεια σε ό,τι
αφορά στο backup, την κρυπτογράφηση, τις συσκευές, το
φιλτράρισμα του web και των emails, καθώς και το patch
management. Οι διευρυμένες λύσεις βοηθούν τους εταιρικούς
πελάτες και τους διαχειριστές τους να απολαμβάνουν
με ασφάλεια τις διάφορες τεχνολογίες που χρησιμοποιούν.
Η προηγμένη λύση ασφάλειας της DESlock+ με την υποστήριξη
της ESET θα διατίθεται από το δίκτυο συνεργατών
της ESET. Για περισσότερες πληροφορίες και αναλυτικότερη
περιγραφή των χαρακτηριστικών και των πλεονεκτημάτων
των λύσεων, παρακαλούμε επισκεφθείτε τη σελίδα
ESET Technology Alliance.
4| security

Hidden Lynx – Επαγγελματίες Hackers
προς Ενοικίαση
Τα τελευταία χρόνια οι εκθέσεις
συνεχίζουν να προβάλουν λεπτομέρειες
των δραστών πίσω
από τις στοχευμένες επιθέσεις
ή ΑΡΤ. Στο τμήμα Symantec Security
Response έχουν εστιάσει
σε ένα γκρουπ που πιστεύουν
ότι είναι το κορυφαίο αυτής της
κατηγορίας και το έχουν ονομάσει
Hidden Lynx – μετά από
μία ακολουθία στοιχείων που
βρέθηκε στα πληροφοριακά συστήματα
διοίκησης και ελέγχου.
Αυτή η ομάδα έχει συγκεκριμένο
στόχο και μηχανισμό, με βασικά
χαρακτηριστικά να είναι: Τεχνική
ικανότητα – Ευελιξία – Οργάνωση
- Εφευρετικότητα –
Υπομονή. Αυτές οι ιδιότητες έγιναν
γνωστές από τις ατέλειωτες
καμπάνιες που διενεργήθηκαν
ενάντια σε πολλαπλούς στόχους
ταυτόχρονα, σε μία σταθερή περίοδο
χρόνου. Αυτοί είναι οι
πρωτοπόροι της τεχνικής “watering
hole” που χρησιμοποιήθηκε
για να στηθούν ενέδρες
σε στόχους, έχουν πρώτοι πρόσβαση
σε zero-day ευπάθειες
και διαθέτουν την ανθεκτικότητα και την υπομονή ενός έξυπνου κυνηγού
για να εκθέσουν σε κίνδυνο το supply chain, με απώτερο στόχο να
πλήξουν μία μεγαλύτερη επιχείρηση. Αυτές οι επιθέσεις τίθενται σε
εφαρμογή από μολυσμένους υπολογιστές ενός προμηθευτή του στόχου
που επιδιώκουν και έπειτα αναμένουν την εγκατάσταση των υπολογιστών
αυτών. Πρόκειται για καλά υπολογισμένες δράσεις, παρά για
αυθόρμητες ενέργειες ερασιτεχνών. Το γκρουπ αυτό δεν περιορίζεται
σε ένα μικρό αριθμό στόχων. Αντιθέτως, στοχεύει σε εκατοντάδες Οργανισμούς
διαφορετικού μεγέθους, σε πολλές διαφορετικές χώρες,
ακόμη και κατά την ίδια χρονική περίοδο. Υπολογίζοντας το εύρος και
τον αριθμό των στόχων και τις χώρες που εμπλέκονται, συμπεραίνουμε
ότι αυτό το γκρουπ πρέπει να είναι επαγγελματίες ΄΄hackers προς
ενοικίαση΄΄ που λειτουργούν με συμβάσεις πελατών τους, για παροχή
πληροφοριών. Υποκλέπτουν κατ’ απαίτηση ό,τι ενδιαφέρει τους πελάτες
τους - και έτσι εξηγείται η μεγάλη ποικιλία και το φάσμα των στόχων
τους.

NEWS
Επίθεση από malware. Περισσότερες από μία στις τρεις επιθέσεις
κοστίζουν ακριβά στους χρήστες
Ο επιθέσεις από κακόβουλο λογισμικό συνεπάγονται οικονομικές
απώλειες για το 36% περίπου των χρηστών, πολλοί από
τους οποίους αναγκάζονται να πληρώσουν προκειμένου να
αποκατασταθεί η λειτουργία των συσκευών που έχουν δεχθεί
επίθεση. Το ποσοστό αυτό προέκυψε από την παγκόσμια έρευνα
που πραγματοποιήθηκε από την B2B International και την
Kaspersky Lab, το καλοκαίρι του 2013. Δυστυχώς, είναι αρκετά
διαδεδομένη η αντίληψη ότι το κακόβουλο λογισμικό δεν προκαλεί
προβλήματα πέραν από την επιβράδυνση του υπολογιστή
- και ενδεχομένως την κατάρρευση συγκεκριμένων websites.
Η αλήθεια είναι ότι οι επιθέσεις από κακόβουλο λογισμικό
κοστίζουν εδώ και καιρό στους χρήστες «ζεστό χρήμα»: για
παράδειγμα, ένας απατεώνας μπορεί να κλέψει όλες τις οικονομίες
του θύματος, με μία και μόνο επιτυχημένη επίθεση σε
λογαριασμούς e-payment ή e-banking. Ακόμα και οι χρήστες
που πέφτουν θύματα κάποιου “κοινού” κακόβουλου λογισμικού,
αντί των «πεινασμένων για μετρητά» malware, είναι εξαιρετικά
πιθανό να έρθουν αντιμέτωποι με απρόβλεπτα έξοδα.
Το 17% των ερωτηθέντων δήλωσε ότι τα έξοδα αυτά αφορούν
στην πληρωμή τρίτων, που εξειδικεύονται στην αποκατάσταση
της λειτουργίας της συσκευής του θύματος. Περίπου το 10%
έπρεπε να πληρώσει για την ανάκτηση χαμένων στοιχείων, ενώ
το 9% έπρεπε να αντικαταστήσει κατεστραμμένα εξαρτήματα
και το 5% χρειάστηκε μια εντελώς καινούρια συσκευή.
Περισσότερο από το 1/4 του συνόλου των ερωτηθέντων (27%)
είχε υποστεί τουλάχιστον μία επίθεση κακόβουλου λογισμικού
κατά τους τελευταίους 12 μήνες. Πρόκειται για ένα σημαντικό
ποσοστό, που όμως δεν προκαλεί έκπληξη: Οι ειδικοί της
Kaspersky Lab ανιχνεύουν περισσότερα από 200.000 δείγματα
κακόβουλου λογισμικού κάθε μέρα (μόλις πριν ένα χρόνο
το ποσοστό αυτό ήταν πολύ χαμηλότερο σε 125.000 δείγματα
κακόβουλου λογισμικού την ημέρα).
Ένας σημαντικός αριθμός χρηστών, της τάξης του 11%, επέλεξε
να αγοράσει προστασία μόνο αφού ήταν πλέον πολύ αργά
και είχε ήδη υποκύψει στην επίθεση. Στην καλύτερη περίπτωση
αυτό διατάραξε απλά τις εργασίες που εκτελούσε η συσκευή.
Στις χειρότερες περιπτώσεις, οι επιθέσεις προκάλεσαν
σημαντικές οικονομικές απώλειες στους χρήστες.
Τα αποτελέσματα της έρευνας υποδεικνύουν ότι είναι απαραίτητο
να εξασφαλιστεί η προστασία των online συσκευών, πολύ
πριν την εμφάνιση άλλων προβλημάτων. Με τόσα πολλά
αποτελεσματικά προϊόντα που είναι διαθέσιμα σήμερα στην
αγορά, δεν υπάρχει καμία δικαιολογία να περιμένετε μέχρι να
είναι πολύ αργά.
Προλαμβάνοντας τη ζημιά
Εξελιγμένοι μηχανισμοί εντοπισμού και αποκλεισμού του malware
αποτελούν τις βασικές τεχνολογίες που διαθέτουν τα
προϊόντα της Kaspersky Lab για την προστασία απένταντι σε
ηλεκτρονικές επιθέσεις. Το Kaspersky Internet Security – Multi-Device
είναι μια λύση ασφάλειας που προστατεύει ταυτόχρονα
πολλές συσκευές, οι οποίες λειτουργούν σε διαφορετικά
λειτουργικά συστήματα. Ενσωματώνει μια σειρά εργαλείων
για την αντιμετώπιση του malware το οποίο στοχεύει τις πλατφόρμες,
οι οποίες αποτελούν συχνότερα θύματα επιθέσεων.
Το Kaspersky Internet Security for Windows είναι μέρος του
Kaspersky Internet Security – Multi-Device. Εκτός από τα βασικά
χαρακτηριστικά προστασίας από ηλεκτρονικές επιθέσεις,
διαθέτει και τεχνολογίες που έχουν αναπτυχθεί ειδικά για να
εντοπίζουν άγνωστο λογισμικό (Automatic Exploit Prevention
και ZETA Shield), εξελιγμένες τεχνολογίες anti-rootkit και ένα
μηχανισμό που αυτόματα αποκλείει τους blockers οι οποίοι
προσπαθούν κακόβουλα να αρνηθούν στους χρήστες την πρόσβαση
σε βασικές λειτουργίες του OS (Operating System).
Παρόμοια και το Kaspersky Internet Security for Mac - το οποίο
είναι επίσης ενσωματωμένο στη νέα λύση της Kaspersky Lab
για ταυτόχρονη προστασία σε πολλές συσκευές - διαθέτει ένα
συνδυασμό ευρετικών τεχνολογιών, οι οποίες μπορούν να εντοπίσουν
τις επιθέσεις ακόμα και όταν το malware είναι άγνωστο
στις τεχνολογίες web antivirus. Τέλος, το Kaspersky Internet
Security for Android προσφέρει προστασία υψηλού επιπέδου
σε όλα τα Android-based smartphones ή tablets. Χρησιμοποιεί
ειδικούς μηχανισμούς που έχουν σχεδιαστεί για να
πραγματοποιούν αυστηρούς ελέγχους στους κώδικες κάθε
εφαρμογής που «κατεβαίνει» στη συσκευή, καθώς και μια σειρά
πρόσθετων τεχνολογιών προστασίας.
Ο καλύτερος τρόπος να εμποδίσουμε τις οικονομικές απώλειες
που προκαλούνται από κακόβουλες επιθέσεις είναι να αποτρέψουμε
αυτές τις επιθέσεις. Το Kaspersky Internet Security
– Multi-Device αποτελεί την ιδανική λύση για τους χρήστες
που θέλουν να επιτύχουν αυτό το σκοπό.
6| security

ADAPTIT και Arbor Networks παρουσιάστηκαν στο ελληνικό κοινό
Η εταιρεία ADAPTIT, η οποία δραστηριοποιείται
στον τομέα των Τηλεπικοινωνιών
και της Πληροφορικής, καθώς και η εταιρεία
Arbor Networks, κορυφαίος κατασκευαστής
λύσεων διαχείρισης και ασφάλειας
δικτυακών υποδομών για επιχειρήσεις
και παρόχους υπηρεσιών επικοινωνίας, συστήθηκαν στους
εκπροσώπους του ελληνικού τύπου. Η εκδήλωση έλαβε χώρα
την Τρίτη 24 Σεπτεμβρίου στο ξενοδοχείο Semiramis στην
Κηφισιά. Διακεκριμένα στελέχη τόσο της Arbor Networks
όσο και της ADAPTIT ανέλυσαν το έργο, τη στρατηγική και
τα μελλοντικά σχέδια των δύο εταιρειών, ενώ έγινε εκτενής
αναφορά και στη συνεργασία που έχουν συνάψει οι δύο επιχειρήσεις.
Αναλυτικότερα, ο κος Eric Michonnet, Regional Director for
South EMEA, Arbor Networks, παρουσίασε στους παρευρισκόμενους
τους τομείς δραστηριότητας της εταιρείας. O κος
Ivan Straniero, Territory Manager for Italy and SE Europe, Arbor
Networks, αναφέρθηκε στο χαρτοφυλάκιο των λύσεων
της εταιρείας αλλά και στη συνεργασία της
Arbor Networks με την ADAPTIT. Ακολούθησε
ο κος Marco Gioanola, Consulting
Engineer for Italy and SE Europe, Arbor Networks,
ο οποίος αναφέρθηκε στην online
υπηρεσία ATLAS (Active Threat Level
Analysis System) της εταιρείας. Στο βήμα της εκδήλωσης τον
ακολούθησε ο κος Αθανάσιος Τζαφέρης, Πρόεδρος & CEO
της ADAPTIT, ο οποίος παρουσίασε το προφίλ της εταιρείας
και τις λύσεις που προσφέρει. Αναφέρθηκε στη στρατηγική
συνεργασία που έχουν συνάψει οι δύο επιχειρήσεις, ενώ
φτάνοντας στο τέλος της τοποθέτησής του, εξήγησε στους
παρευρισκόμενους τα μελλοντικά σχέδια και το όραμα της
εταιρείας. Ο κος Αθανάσιος Τζαφέρης δήλωσε σχετικά: «Είμαστε
ενθουσιασμένοι που θα συνεργαστούμε με την Arbor
Networks, τον κορυφαίο πάροχο λύσεων για την πρόληψη
και αντιμετώπιση επιθέσεων DDoS παγκοσμίως. Η εν λόγω
συνεργασία θα ενδυναμώσει τη θέση της ADAPTIT στην
πάντα απαιτητική ελληνική αγορά Τηλεπικοινωνιών».

NEWS
Υπεύθυνοι Ασφαλείας από ολόκληρο τον κόσμο δίνουν τη
συνταγή για τη δημιουργία μιας κορυφαίας ομάδας ασφαλείας ΙΤ.
Η RSA, το Τμήμα Ασφαλείας της EMC,
έδωσε στη δημοσιότητα την έκθεση με τα
αποτελέσματα μιας νέας έρευνας του SBIC
(Συμβούλιο για την Ασφάλεια της Επιχειρηματικής
Καινοτομίας - Security for Business
Innovation Council), στην οποία αποκαλύπτεται
το τι θα πρέπει να περιέχει ένα πρόγραμμα ασφαλείας
που φιλοδοξεί να καλύψει μελλοντικές ανάγκες των
σύγχρονων Οργανισμών – ξεκινώντας από το πώς μπορεί
να κτιστεί μια ομάδα ασφαλείας επόμενης γενιάς, μέχρι το
ποια είναι η σωστή διαχείριση ενός διαδικτυακού κινδύνου
καθ’ όλη τη διάρκεια της ζωής του. Προκειμένου να μπορέσουν
να ανταποκριθούν στις απαιτήσεις ενός περιβάλλοντος
που αλλάζει διαρκώς, οι ομάδες ασφαλείας συστημάτων και
πληροφοριών βρίσκονται σε ένα στάδιο επαναπροσδιορισμού
των κύριων λειτουργιών τους και των τομέων ευθύνης
τους. Σύμφωνα με την τελευταία έκθεση του SBIC με τίτλο
“Transforming Information Security: Designing a State-of-the
Art Extended Team,” (“Μετασχηματίζοντας την Ασφάλεια
των Πληροφοριακών Συστημάτων: Σχεδιάζοντας μια σύγχρονη
ομάδα πολλαπλής κρούσης”), οι ομάδες που έχουν
επιφορτιστεί με την προστασία των πληροφοριακών συστημάτων
θα πρέπει να εμπλουτιστούν με δεξιότητες που μέχρι
τώρα δεν συναντούσαμε σε μία τυπική ομάδα ασφαλείας,
όπως η διαχείριση επιχειρηματικού κινδύνου, η γνώση νομικών,
το μάρκετινγκ, τα μαθηματικά και οι προμήθειες. Ο τομέας
του information security θα πρέπει επίσης να υιοθετήσει
ένα μοντέλο συν-υπευθυνότητας, σύμφωνα με το οποίο
η ευθύνη για την προστασία των κρίσιμων πληροφοριών μιας
επιχείρησης μοιράζεται μεταξύ διαφόρων ανώτερων και μεσαίων
στελεχών, τα οποία αρχίζουν να αντιλαμβάνονται ότι
σε τελική ανάλυση, είναι υπεύθυνοι των δικών τους διαδικτυακών
κινδύνων και ότι η σωστή διαχείρισή τους αποτελεί
πλέον κομμάτι της δουλειάς τους. Έτσι απαιτείται μια νέα
στρατηγική όσον αφορά στη διαμόρφωση και την εκπαίδευση
ταλέντων, αλλά και η αξιοποίηση εξειδικευμένων εξωτερικών
συνεργατών. Το Συμβούλιο διαμόρφωσε ένα σύνολο
από επτά βασικές συστάσεις, προκειμένου να βοηθήσει
τους Οργανισμούς να δημιουργήσουν μια σύγχρονη και ικανή
ομάδας ασφαλείας ΙΤ.
1. Επικεντρωθείτε και εμβαθύνετε σε τέσσερις βασικούς τομείς
– Βοηθήστε την κύρια ομάδα ασφαλείας να επικεντρωθεί
σε τέσσερις βασικούς τομείς: συλλογή
πληροφοριών για διαδικτυακούς κινδύνους
(cyber risk intelligence) και ανάλυση
δεδομένων ασφαλείας , διαχείριση δεδομένων
ασφαλείας, παροχή συμβουλών
για θέματα διαδικτυακών κινδύνων, σχεδιασμός
ελεγκτικών μηχανισμών και δικλείδων ασφαλείας.
2. Αναθέστε σε κάποιον τρίτο τις καθημερινές λειτουργίες
ασφαλείας – Αναθέστε τις επαναλαμβανόμενες παραδοσιακές
λειτουργίες ασφαλείας στην ομάδα λειτουργίας ΙΤ,
στα διάφορα τμήματα της επιχείρησης και/ή σε εξωτερικούς
παρόχους σχετικών υπηρεσιών.
3. Προσλάβετε ή συνεργαστείτε με ειδικούς – Για συγκεκριμένες
ειδικότητες, ενισχύστε τη βασική σας ομάδα με ειδικούς
που θα βρείτε μέσα ή έξω από τον Οργανισμό.
4. Μάθετε τους Risk Owners να κάνουν διαχείριση κινδύνου
– Συνεργαστείτε με τα διάφορα τμήματα για θέματα
διαχείρισης των διαδικτυακών κινδύνων και αναλάβετε το
συντονισμό τους, ώστε να υπάρχει μια συστηματική προσέγγιση
στο θέμα. Διευκολύνετε τους risk owners να ανταποκριθούν
στις απαιτήσεις διαχείρισης ρίσκου και καταστήστε
τους υπεύθυνους.
5. Προσλάβετε ειδικούς για τη βελτιστοποίηση των διαδικασιών
– Εντάξτε στην ομάδα ανθρώπους με αποδεδειγμένη
εμπειρία στη διαχείριση ποιότητας, έργων και σύνθετων
προγραμμάτων, τη βελτιστοποίηση διαδικασιών και
την παροχή υπηρεσιών ΙΤ.
6. Αναπτύξτε σχέσεις - κλειδιά – Αναπτύξτε σχέσεις αμοιβαίας
εμπιστοσύνης με βασικούς παίκτες που έχουν στη
δικαιοδοσία τους τα κορυφαία προϊόντα του Οργανισμού,
με τα μεσαία στελέχη και με τους εξωτερικούς παρόχους
υπηρεσιών.
7. Μην ακολουθείτε την περπατημένη στην αναζήτηση μελλοντικών
ταλέντων – Δεδομένης της απουσίας άμεσα διαθέσιμων
εξειδικευμένων στελεχών, η ανάπτυξη τέτοιων ταλέντων
αποτελεί τη μόνη σίγουρη μακροπρόθεσμη επιλογή
για τους περισσότερους Οργανισμούς. Αναζητήστε ταλέντα
με προηγούμενη εμπειρία σε τομείς όπως η ανάπτυξη
λογισμικού, η ανάλυση επιχειρησιακών δεδομένων,
η οικονομική διαχείριση, η συλλογή στρατιωτικών πληροφοριών,
η νομική, η προστασία προσωπικών δεδομένων
και η σύνθετη στατιστική ανάλυση.
8| security

C OVER ISSUE
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com
Διαχείριση Επιχειρησιακής Συνέχειας
Σύστημα & Στόχοι
Η Διαχείριση της Επιχειρησιακής Συνέχειας (Business Continuity Management) είναι μια
διαδικασία ολιστικής διαχείρισης, η οποία προσδιορίζει τις πιθανές επιπτώσεις που απειλούν
την απρόσκοπτη λειτουργία ενός Οργανισμού και παρέχει ένα πλαίσιο για την αύξηση
της ανθεκτικότητας και της ικανότητας για αποτελεσματική αντίδραση σε περίπτωση
κινδύνων. Σκοπός της είναι η προστασία των συμφερόντων όσων σχετίζονται με τη λειτουργία
του Οργανισμού, καθώς και η προστασία της φήμης, της αξιοπιστίας και της βιωσιμότητάς
του.
10 | security

COVER ISSUE
Διαχείριση Επιχειρησιακής Συνέχειας
Η Διαχείριση της Επιχειρησιακής Συνέχειας διαφέρει από το
σχέδιο αποκατάστασης της λειτουργίας μετά από καταστροφή
(Disaster Recovery Plan), μιας και το δεύτερο αποτελεί υ-
ποσύνολο του πρώτου. Συγκεκριμένα, το Σχέδιο Αποκατάστασης
από Καταστροφή (DRP), είναι η διεργασία, οι πολιτικές
και οι διαδικασίες που σχετίζονται με την αποκατάσταση
και τη συνέχιση της λειτουργίας της τεχνολογικής υποδομής
ενός Οργανισμού, μετά από φυσικές ή ανθρωπογενείς καταστροφές.
Το σχέδιο αποκατάστασης μετά από καταστροφή,
επικεντρώνεται στην τεχνολογία της πληροφορικής ή στα συστήματα
που υποστηρίζουν τη λειτουργία του Οργανισμού, σε
αντίθεση με τη Διαχείριση της Επιχειρησιακής Συνέχειας η ο-
ποία περιλαμβάνει τον προγραμματισμό για την αποκατάσταση
και συνέχιση της λειτουργίας ενός Οργανισμού σε περιπτώσεις
γεγονότων που οδηγούν σε μερική ή ολική αδυναμία
λειτουργίας του Οργανισμού.
Η υιοθέτηση μιας αποτελεσματικής διεργασίας Διαχείρισης
της Επιχειρησιακής Συνέχειας για έναν Οργανισμό, αποφέρει
πλεονεκτήματα σε μια σειρά από τομείς, όπως:
Προστασία της επένδυσης και των κερδών των μετόχων.
Μεγαλύτερη και καλύτερη κατανόηση της επιχειρηματικής
λειτουργίας του Οργανισμού, μέσω της διαδικασίας προσδιορισμού
και αξιολόγησης των κινδύνων.
Μεγιστοποίηση της Επιχειρησιακής ανθεκτικότητας η οποία
προκύπτει από την εφαρμογή των δικλείδων ασφαλείας που
αφορούν στη μείωση του κινδύνου.
Μείωση του χρόνου διακοπής της επιχειρηματικής λειτουργίας,
μέσω του προσδιορισμού εναλλακτικών διαδικασιών
και τρόπων αντιμετώπισης.
Προσδιορισμός και προστασία των ζωτικής σημασίας αρχείων.
Καλύτερη θεώρηση και διαχείριση των νομικών απαιτήσεων
για την υγεία και την ασφάλεια των εργαζομένων.
Βελτίωση της λειτουργίας και της αποτελεσματικότητας
των λειτουργικών διεργασιών, μέσω του ‘αναγκαστικού’ α-
νασχεδιασμού των κρίσιμων λειτουργικών διεργασιών.
Προστασία των φυσικών περιουσιακών στοιχείων, καθώς
και της τεχνογνωσίας του Οργανισμού.
Διατήρηση αγορών και πελατών, εξασφαλίζοντας συνεχή
παροχή υπηρεσιών και προϊόντων.
Αποφυγή των επιπτώσεων από περιπτώσεις αστικής ευθύνης.
Κίνδυνοι και ευκαιρίες κατά την ανάπτυξη του
Σχεδίου Επιχειρησιακής Συνέχειας
Η συγκεκριμένη παράγραφος προσδιορίζει τις ευκαιρίες που
έχει ένας Οργανισμός να βελτιωθεί στα πλαίσια ανάπτυξης ε-
νός Σχεδίου Επιχειρησιακής Συνέχειας, αλλά και τους κινδύνους
που πρέπει να αντιμετωπιστούν προκειμένου να αναπτυχθεί α-
ποτελεσματικά το Σχέδιο Επιχειρησιακής Συνέχειας.
Ένα αποτελεσματικό Σχέδιο Επιχειρησιακής Συνέχειας μπορεί
να πάει πολύ πιο πέρα από ό,τι ένα σχέδιο διασφάλισης της
απρόσκοπτης λειτουργίας ενός Οργανισμού. Πρόκειται για
την ανάπτυξη ενός πλαισίου προστασίας της λειτουργίας του
Οργανισμού, το οποίο θα του επιτρέπει να προσαρμόζεται
γρήγορα στις συνεχώς μεταβαλλόμενες επιχειρηματικές απαιτήσεις
και θα αποτελέσει εφαλτήριο για την επιχειρηματική και
γεωγραφική του επέκταση.
Τα ακόλουθα θεωρούνται ως οι κύριες ευκαιρίες κατά την α-
νάπτυξη ενός Σχεδίου Επιχειρησιακής Συνέχειας, όσον αφορά
στην ανθεκτικότητα του Οργανισμού σε περιστατικά διακοπής
της λειτουργίας του ή μέρους αυτής, στη λειτουργική αρτιότητα
και αποτελεσματικότητά του:
Υλοποιεί τη δέσμευση για συνεχή παροχή υπηρεσιών, που
έχει σαν απαραίτητη προϋπόθεση τη συνεχή παροχή των
κρίσιμων επιχειρησιακών διεργασιών, με σκοπό την αποφυγή
σοβαρής διακοπής της λειτουργίας.
Αποδεδειγμένη δέσμευση για Επιχειρησιακή Συνέχεια.
Μπορεί να χρησιμοποιηθεί ως ανταγωνιστικό πλεονέκτημα
στο πλαίσιο διαπραγμάτευσης νέων συνεργασιών.
Μπορεί να χρησιμοποιηθεί ως εργαλείο διαπραγμάτευσης
με προμηθευτές, έτσι ώστε και αυτοί να ευθυγραμμιστούν
με τις απαιτήσεις του εκάστοτε Οργανισμού για επιχειρησιακή
συνέχεια.
Αποδεδειγμένη δέσμευση για Επιχειρησιακή Συνέχεια μπορεί
να μειώσει το κόστος ασφάλισης του Οργανισμού.
Συνολική βελτίωση της αποτελεσματικής λειτουργίας του
12 | security

Οργανισμού μέσω του προσδιορισμού των περιουσιακών
του στοιχείων, των ανθρώπινων και οικονομικών πόρων που
σχετίζονται με τις κρίσιμες επιχειρηματικές δραστηριότητες
και διεργασίες.
Ευκαιρία να τεκμηριωθούν οι κρίσιμες επιχειρηματικές διαδικασίες
και οι μεταξύ τους αλληλεξαρτήσεις.
Εξοικονόμηση κόστους, καθώς κατά τη διάρκεια ανάπτυξης
του Σχεδίου Επιχειρησιακής Συνέχειας προσδιορίζονται
όλοι οι αναγκαίοι πόροι για την υποστήριξη της επιχειρηματικής
συνέχειας, συμπεριλαμβανομένων του προσωπικού,
των πληροφοριών, του εξοπλισμού, των οικονομικών
πόρων, νομικών απαιτήσεων και απαιτήσεων προστασίας
των υποδομών. Ως αποτέλεσμα, ελαχιστοποιείται ο κίνδυνος
επιπρόσθετων επενδύσεων σε τομείς που δεν επηρεάζουν
τη συνέχιση των κρίσιμων επιχειρήσεων δραστηριοτήτων.
Βελτίωση της συνολικής ασφάλειας, φυσικής και λογικής.
Η οικοδόμηση ενός αποτελεσματικού Σχεδίου / Πλαισίου Ε-
πιχειρησιακής Συνέχειας απαιτεί την αντιμετώπιση των ακόλουθων
κινδύνων, κατά τη διάρκεια της ανάπτυξής του:
Εξάρτιση από ένα Κέντρο Διοίκησης. Σε περίπτωση
κρίσιμων περιστατικών, ακόμα και καταστροφής, ένας Οργανισμός
πρέπει να μπορεί να επιβιώσει ακόμα και χωρίς
τον ηγέτη του ή και τα βασικά διοικητικά του στελέχη. Ο
Οργανισμός θα πρέπει να βεβαιωθεί ότι το Σχέδιο Επιχειρηματικής
Συνέχειας προβλέπει διαφοροποιήσεις στη δομή
διοίκησης σε περιπτώσεις έκτακτης ανάγκης.
Μη πρόβλεψη για εναλλακτικές μεθόδους επικοινωνίας.
Ο Οργανισμός χρειάζεται να βεβαιωθεί ότι το σχέδιο
επιχειρησιακής συνέχειας παρέχει εναλλακτικές μεθόδους
επικοινωνίας μεταξύ των εργαζομένων και εύκολη
πρόσβαση στις λίστες με τα στοιχεία επικοινωνίας τους. Το
σχέδιο θα πρέπει επίσης να περιλαμβάνει και εναλλακτικούς
τρόπους επικοινωνίας με τους πελάτες, στην περίπτωση
όπου το τηλεφωνικό κέντρο ή η διαδικτυακή επικοινωνία
δεν είναι διαθέσιμα.
Παραλείψεις στην εκπαίδευση των εργαζομένων σε
διεργασίες πέραν των καθημερινών τους δραστηριοτήτων.
Κατά τη διάρκεια ή μετά από ένα περιστατικό έ-
κτακτης ανάγκης, υπάρχει πιθανότητα να μην είναι διαθέσιμο
το προσωπικό που απαιτείται για την ανάκαμψη και ε-
παναλειτουργία του Οργανισμού. Πρέπει να είμαστε σε θέση
να εκτελέσουμε τόσο το σχέδιο επιχειρηματικής συνέχειας,
όσο και τις παραγωγικές διεργασίες του Οργανισμού,
με το διαθέσιμο προσωπικό. Αυτό απαιτεί εκπαίδευση του
προσωπικού σε διαφορετικούς ρόλους του σχεδίου, αλλά

COVER ISSUE
Διαχείριση Επιχειρησιακής Συνέχειας
και σε καθημερινές εργασίες πέραν των καθημερινών τυπικών
τους καθηκόντων, έτσι ώστε να μπορεί πραγματικά να
ανακάμψει και να λειτουργήσει ο Οργανισμός.
Έλλειψη κατανόησης σχετικά με το πώς συνεργάτες
και προμηθευτές μπορούν να βοηθήσουν. Ένας ισχυρός
εταίρος μπορεί να βοηθήσει να αντιμετωπιστούν πολλά
προβλήματα, συμπεριλαμβανομένων και ορισμένων σεναρίων
που μπορεί να μην έχουν συμπεριληφθεί στο αρχικό
σχέδιο.
Ενημέρωση & αναθεώρηση του Σχεδίου Επιχειρησιακής
Συνέχειας. Είναι απαραίτητη η διαρκής αναθεώρηση
και ενημέρωση του σχεδίου, καθώς οι συνθήκες αλλάζουν
και υπάρχει κίνδυνος να μην ανταποκρίνεται στο υ-
φιστάμενο λειτουργικό περιβάλλον και στις αλλαγές που έ-
χουν επέλθει σε αυτό.
Υπευθυνότητα. Αυτό περιλαμβάνει την ανάθεση αρμοδιοτήτων
ελέγχου του Σχεδίου Επιχειρησιακής Συνέχειας σε
ένα πρόσωπο που μπορεί σωστά και αποτελεσματικά να
διαχειρισθεί κρίσιμες καταστάσεις και ταυτόχρονα να ε-
λέγχει την εφαρμοσιμότητα του σχεδίου.
Δοκιμές αποτελεσματικότητας του Σχεδίου Επιχειρησιακής
Συνέχειας μέσω τακτικών ασκήσεων.
Σχεδιασμός και ανάπτυξη του Σχεδίου Διαχείρισης
Επιχειρησιακής Συνέχειας
Η διαχείριση της επιχειρησιακής συνέχειας είναι η διαδικασία
με την οποία ένας Οργανισμός προετοιμάζεται για μελλοντικά
περιστατικά που θα μπορούσαν να θέσουν σε κίνδυνο τους
στόχους, την αποστολή και τη μακροπρόθεσμη βιωσιμότητά
του.
Ο στόχος του Σχεδίου Επιχειρησιακής Συνέχειας είναι να δώσει
τη δυνατότητα στον Οργανισμό για αποκατάσταση των
κρίσιμων επιχειρηματικών διεργασιών του, μετά την εκδήλωση
ενός κρίσιμου περιστατικού. Το Σχέδιο Επιχειρησιακής Συνέχειας
αφορά στη διαχείριση του κινδύνου και στη διαμόρφωση
ενός πλαισίου επιχειρηματικής συνέχειας, αναλόγως των
πιθανών κινδύνων αλλά και της επιχειρηματικής αξίας του Οργανισμού.
Για την ανάπτυξη ενός αποτελεσματικού Σχεδίου Επιχειρησιακής
Συνέχειας χρειάζεται να ακολουθηθεί μια εξίσου αποτελεσματική
προσέγγιση, οι βασικές φάσεις ανάπτυξης της ο-
ποίας περιγράφονται στη συνέχεια:
Φάση 1: Προσδιορισμός των λεπτομερών απαιτήσεων
Έχοντας ορίσει το πεδίο εφαρμογής του Σχεδίου Επιχειρησιακής
Συνέχειας, χρειάζεται μια λεπτομερής ανάλυση των ε-
ξειδικευμένων απαιτήσεων της Επιχειρησιακής Συνέχειας για
τον κάθε Οργανισμό. Αυτό γίνεται για να κατανοήσουμε τη
ροή των εργασιών που αφορούν στις κρίσιμες επιχειρηματικές
διεργασίες της κάθε επιχειρηματικής μονάδας. Ταυτόχρονα
προσδιορίζεται ο στόχος χρονικής αποκατάστασης των κρίσιμων
πόρων και διεργασιών της κάθε επιχειρησιακής μονάδας.
Φάση 2: Ανάπτυξη της στρατηγικής αποκατάστασης
Ο στόχος της συγκεκριμένης φάσης είναι ο σχεδιασμός των
απαραίτητων λύσεων (διαχειριστικές, τεχνολογικές) προκειμένου
να διασφαλισθεί το απαραίτητο επίπεδο διαθεσιμότητας
και δυνατότητας ανάκτησης των επιχειρηματικών διαδικασιών.
Η διαδικασία επιλογής στρατηγικής ασχολείται με θέματα ό-
πως ο προσδιορισμός των κρίσιμων πόρων για τους οποίους
δεν υπάρχει πρόβλεψη αυξημένης διαθεσιμότητας (π.χ. ένα
κτίριο παραγωγής, εξάρτηση από έναν και μοναδικό προμηθευτή,
ένα τηλεφωνικό κέντρο κ.λπ.). Εξετάζονται επίσης οι κίνδυνοι
που αφορούν σε ευρύτερες περιβαλλοντικές απειλές (π.χ.
πολιτική αστάθεια, φυσικά φαινόμενα). Στο πλαίσιο της στρατηγικής
προσδιορίζονται οι επιχειρηματικές ανάγκες συναρτήσει
της ανάλυσης των επιχειρηματικών επιπτώσεων, όπως η
προστασία της αξιοπιστίας του Οργανισμού και η πρόληψη ή
η μείωση του χρόνου διακοπής της επιχειρηματικής δραστηριότητας.
Φάση 3: Ανάπτυξη των σχεδίων αντιμετώπισης
Ένα σχέδιο επιχειρησιακής συνέχειας αποτελείται από ένα σύνολο
επιμέρους σχεδίων αντιμετώπισης κρίσιμων περιστατικών
(διαδικασίες και πληροφορίες για τους σχετικούς πόρους), τα
οποία χρησιμοποιούνται για την ανάκτηση των επιχειρηματικών
διεργασιών από ένα γεγονός το οποίο έχει προκαλέσει μερική
ή ολική διακοπή σε μία ή περισσότερες επιχειρηματικές
δραστηριότητες. Το σχέδιο αντιμετώπισης απαντά στα βασικά
ερωτήματα ενός σχεδίου, όπως: ποιος (ποιος εκτελεί την
ανάκτηση), Τι (τι θα γίνει), πότε (η σειρά των διαδικασιών α-
νάκτησης), πού (πού θα λάβει χώρα η ανάκαμψη) και πώς (η
ενσωμάτωση και ο συντονισμός εταιρικών πόρων, συνεργατών
και πελατών).
Φάση 4: Ενσωμάτωση του Σχεδίου Επιχειρηματικής Συνέχειας
στην κουλτούρα και το περιβάλλον του Οργανισμού
Αυτή είναι μία από τις πιο σημαντικές πτυχές του Σχεδίου Ε-
πιχειρηματικής Συνέχειας. Η αποτελεσματικότητά της εξαρτάται
σε μεγάλο βαθμό από την ενσωμάτωση και το βαθμό επικοινωνίας
του Σχεδίου Επιχειρηματικής Συνέχειας σε όλο τον
Οργανισμό.
Για το λόγο αυτό είναι απαραίτητη η ανάπτυξη:
Προγραμμάτων και υλικού εκπαίδευσης.
14 | security

Εκπαίδευσης της Ομάδας Διαχείρισης Κρίσεων.
Εκπαίδευσης της βασικής ομάδας υλοποίησης του Σχεδίου
Επιχειρηματικής Συνέχειας.
Δημιουργίας & προγραμματισμού συνεχούς εκπαίδευσης
και ευαισθητοποίησης.
Φάση 5: Δοκιμές & Συντήρηση του Σχεδίου Επιχειρηματικής
Συνέχειας
Οι δοκιμές καταδεικνύουν εάν τα τεκμηριωμένα σχέδια και η
στρατηγική αποκατάστασης είναι επαρκή και μπορούν αποτελεσματικά
να ανακτήσουν τις κρίσιμες επιχειρηματικές λειτουργίες
εντός των προβλεπόμενων χρονικών στόχων. Οι δοκιμές
επικυρώνουν το σχεδιασμό του Σχεδίου Επιχειρηματικής
Συνέχειας και προσδιορίζουν τις τυχόν αδυναμίες του.
Αυτοματοποίηση της διαχείρισης της Επιχειρησιακής
Συνέχειας
Η αυτοματοποίηση της διαδικασίας διαχείρισης ενός Σχεδίου
Επιχειρησιακής Συνέχειας, αφορά στη χρήση τεχνικών εργαλείων
τα οποία δίνουν τη δυνατότητα κεντρικής διαχείρισης
και αναθεώρησης των επιμέρους σχεδίων αντιμετώπισης.
Οι περισσότερες από τις διαθέσιμες λύσεις αφορούν στη χρήση
web-based λογισμικού το οποίο συνδυάζει την επιχειρηματική
συνέχεια, το σχέδιο αποκατάστασης καταστροφών που
προσφέρει βοήθεια κατά τον αρχικό σχεδιασμό και αποτελεί
κεντρικό σημείο αποθήκευσης για τα σχέδια και τις σχετικές
διαδικασίες. Κάποιες πιο προηγμένες λύσεις συνδυάζουν και τη
διαχείριση κρίσεων σε μια ενιαία πλατφόρμα διακυβέρνησης,
διαχείρισης κινδύνου και διαχείρισης των απαιτήσεων συμμόρφωσης
(GRC, Governance, Risk, Compliance).
Το ιδανικό αυτοματοποιημένο εργαλείο διαχείρισης της Επιχειρηματικής
Συνέχειας θα πρέπει να διαθέτει τα ακόλουθα:
Αυτοματοποίηση της διαδικασίας προσδιορισμού των ε-
πιχειρηματικών επιπτώσεων (business impact assessment) και
της κρισιμότητας των επιχειρηματικών διεργασιών και της
τεχνολογικής υποδομής που τις υποστηρίζει.
Δημιουργία του σχεδίου επιχειρηματικής συνέχειας και των
επιμέρους σχεδίων αντιμετώπισης, παρέχοντας τη δυνατότητα
αυτοματοποίησης της ροής εργασιών που αφορούν
στις εγκρίσεις και στις δοκιμές των επιμέρους σχεδίων α-
ντιμετώπισης.
Διαχείριση και εκτέλεση του σχεδίου και παροχή των καναλιών
επικοινωνίας που χρειάζονται κατά την ενεργοποίηση
του σχεδίου.
Τα παραπάνω χαρακτηριστικά περιγράφουν το ιδανικό σενάριο,
το οποίο δεν υλοποιείται από τις υφιστάμενες εμπορικά διαθέσιμες
λύσεις.
Υπάρχουν επί του παρόντος πολλές αυτοματοποιημένες ε-
φαρμογές Διαχείρισης Επιχειρησιακής Συνέχειας και αρκετά εργαλεία
που είναι διαθέσιμα στην αγορά, που καλύπτουν μέρος
του παραπάνω ιδανικού σεναρίου.
Η χρήση ενός λογισμικού Διαχείρισης της Επιχειρηματικής Συνέχειας,
καθιστά τη δημιουργία και τη συντήρηση των σχεδίων
αντιμετώπισης εύκολη και αποτελεσματική, εξοικονομώντας
χρόνο στους εργαζομένους για να ασχοληθούν με τις παραγωγικές
διεργασίες του Οργανισμού.
Στα πλεονεκτήματα των εν λόγω λύσεων συγκαταλέγεται η καθοδήγηση
κατά το σχεδιασμό των διαδικασιών αντιμετώπισης.
Τα σχέδια τεκμηριώνονται με ομοιόμορφο τρόπο για όλες τις
επιχειρηματικές μονάδες, απλοποιείται η συντήρηση των σχεδίων
αντιμετώπισης και οι όποιες αλλαγές γίνονται σε κεντρικά
διαχειριζόμενο μέρος.
Η εμπειρία συμβουλεύει τη συνετή επιλογή του όποιου τεχνολογικού
βοηθήματος, μιας και θα δαπανηθεί αρκετός χρόνος
για την εισαγωγή των δεδομένων. Χρόνος που μπορεί να είναι
δυσανάλογος της βοήθειας που μπορεί να προσφέρει το
κάθε εργαλείο. Στο link που ακολουθεί μπορείτε να βρείτε αρκετά
στοιχεία για τα εμπορικά διαθέσιμα εργαλεία και τις δυνατότητές
τους. (http://www.continuitycentral.com/bcs.htm).
Πιστοποίηση του Σχεδίου Επιχειρηματικής συνέχειας
Ο κάθε Οργανισμός έχει τη δυνατότητα όχι μόνο να αναπτύξει
αλλά και να πιστοποιήσει το πλαίσιο Διαχείρισης της Επιχειρηματικής
του Συνέχειας, κατά το διεθνώς αναγνωρισμένο
πρότυπο ISO 22301.
Το ISO 22301 προσδιορίζει μια σειρά από απαιτήσεις που α-
φορούν στη Διαχείριση ενός Σχεδίου Επιχειρηματικής Συνέχειας.
Η πιστοποίηση, παρόλο προαιρετική, παρέχει προστιθέμενη
αξία και αποτελεί σημείο διαφοροποίησης, καθώς α-
ποτελεί επικύρωση της ύπαρξης, λειτουργίας και συντήρησης
ενός σχεδίου Επιχειρηματικής Συνέχειας, από τρίτο ανεξάρτητο
φορέα.
Πλεονεκτήματα πιστοποίησης
Η πιστοποίηση δίνει ένα ισχυρό μήνυμα προς τους πελάτες
και τους επιχειρηματικούς εταίρους ότι ο Οργανισμός
είναι σε θέση να συνεχίσει την επιχειρηματική του δραστηριότητα
αδιάκοπα, καθώς διαθέτει ένα πλαίσιο διαχείρισης
κρίσιμων περιστατικών.
Η πιστοποίηση μπορεί να χρησιμοποιηθεί και σαν εργαλείο
marketing.
Με τη διαδικασία πιστοποίησης επαληθεύεται από μια α-
νεξάρτητη οντότητα ότι υπάρχει και λειτουργεί πλαίσιο Διαχείρισης
Επιχειρηματικής Συνέχειας.
Ο κάθε Οργανισμός πρέπει να δείξει υλοποίηση των διαδικασιών
/ σχεδίων αντιμετώπισης, προκειμένου να πιστοποιηθεί.
Αυτό βοηθά στην ανανέωση, αναθεώρηση και ε-
ξορθολογισμό των υφιστάμενων επιχειρηματικών διεργασιών.
Πιστοποίηση σημαίνει ότι όχι μόνο εφαρμόζονται κανόνες
και διαδικασίες σχετικά με την Επιχειρηματική Συνέχεια,
security | 15

COVER ISSUE
Διαχείριση Επιχειρησιακής Συνέχειας
αλλά υπάρχει και το σχετικό πλαίσιο συνεχούς ελέγχου α-
ποτελεσματικότητας, συνεχούς βελτίωσης και αναθεώρησης
όταν οι επιχειρηματικές αλλαγές το απαιτούν.
Το πεδίο εφαρμογής της πιστοποίησης μπορεί να επιλεγεί
από τον εκάστοτε Οργανισμό, με τον τρόπο που αυτό
θα ελέγξει την κατανομή πόρων κατά την υλοποίησή του.
Μειονεκτήματα Πιστοποίησης
Η πιστοποίηση ίσως και να κοστίσει περισσότερα χρήματα
(ίσως 10% - 15% του συνολικού κόστους του έργου) στο
πλαίσιο της προετοιμασίας, μιας και χρειάζεται να καλυφθούν
όλες οι απαιτήσεις του προτύπου.
Ένα πιστοποιημένο πλαίσιο Διαχείρισης Επιχειρηματικής
Συνέχειας, απαιτεί αυστηρή κατανομή ρόλων και πόρων
Διαδρομή πιστοποίησης
Η συνήθης διαδρομή για έναν Οργανισμό που επιθυμεί να πιστοποιηθεί
κατά ISO22301 είναι η ακόλουθη:
1. Εφαρμογή του συστήματος διαχείρισης. Συνήθως, ο ε-
λάχιστος χρόνος που απαιτείται από τους Οργανισμούς πιστοποίησης
είναι 3 μήνες.
2. Εσωτερικός έλεγχος και επανεξέταση από τη διοίκηση.
Πριν από την πιστοποίηση, ένα σύστημα διαχείρισης θα πρέπει
να είχε τουλάχιστον μία έκθεση εσωτερικού ελέγχου και
μία επανεξέταση από τη Διοίκηση.
3. Επιλογή του φορέα πιστοποίησης.
4. Στάδιο 1, έλεγχος από φορέα πιστοποίησης: Μια επισκόπηση
της συμμόρφωσης του σχεδιασμού του συστήματος
διαχείρισης. Ο κύριος στόχος είναι να βεβαιωθεί ότι το
σύστημα διαχείρισης έχει σχεδιαστεί έτσι ώστε να πληροί τις
απαιτήσεις του προτύπου και τους στόχους της Οργανισμού.
5. Στάδιο 2 ελέγχου από τον φορέα πιστοποίησης (επιτόπου
επίσκεψη). Στόχος του ελέγχου είναι να αξιολογηθεί ε-
άν το σύστημα διαχείρισης συμμορφώνεται με όλες τις α-
παιτήσεις του προτύπου. Εάν στην πραγματικότητα έχει υ-
λοποιηθεί και να υποστηρίζει τους στόχους και τις απαιτήσεις
του Οργανισμού.
6. Επιβεβαίωση εγγραφής. Εάν ο Οργανισμός συμμορφώνεται
με τις απαιτήσεις του προτύπου, η ανεξάρτητη οντότητα
επιβεβαιώνει τη συμμόρφωση και εκδίδει το πιστοποιητικό.
7. Συνεχής βελτίωση και έλεγχοι επιτήρησης. Όταν ένας
Οργανισμός είναι πιστοποιημένος, υπόκειται σε ελέγχους ε-
πιτήρησης από το Φορέα Πιστοποίησης προκειμένου να ε-
ξασφαλιστεί ότι το σύστημα διαχείρισης εξακολουθεί να
συμμορφώνεται με το πρότυπο. Οι έλεγχοι επιτήρησης περιλαμβάνουν
επιτόπου επισκέψεις (τουλάχιστον 1/έτος) που
επιτρέπουν την επαλήθευση της συμμόρφωσης του συστήματος
διαχείρισης.
Log off...
Η βιωσιμότητα και η απρόσκοπτη λειτουργία ενός Οργανισμού,
δεν απαιτούν μόνο την κάλυψη των απαιτήσεων των πελατών
και την επέκταση των επιχειρηματικών δραστηριοτήτων.
Απαιτούν τη λήψη μέτρων πρόληψης για την προστασία κατά
των συνεπειών μιας φυσικής καταστροφής, μιας ηλεκτρονικής
επίθεσης, προστασία από πράξεις τρομοκρατίας και άλλα γεγονότα
που θα έχουν αρνητική επίπτωση στην ομαλή και α-
πρόσκοπτη λειτουργία μιας επιχείρησης. Οι περισσότεροι Οργανισμοί
παρόλο που αναγνωρίζουν την παραπάνω ανάγκη,
ακόμα και σήμερα ολιγωρούν σε θέματα που άπτονται της διαχείρισης
της Επιχειρηματικής Συνέχειας. Η μεγιστοποίηση της
τεχνολογικής διαθεσιμότητας από μόνη της, δεν αποτελεί α-
ποτελεσματική δικλείδα προστασίας της συνεχούς λειτουργίας
ενός Οργανισμού. Χρειάζεται συγκεκριμένη προσέγγιση, σχεδιασμός
και συνεχής βελτίωση. Καμία τεχνολογία δεν είναι ι-
κανή να προβλέψει και να διαχειρισθεί από μόνη της περιστατικά,
που μπορεί να οδηγήσουν σε μερική ή ολική διακοπή της
επιχειρηματικής δραστηριότητας. Η τεχνολογία παρέχει ενδείξεις
και ο ανθρώπινος παράγοντας κρίνει εάν και πότε θα
ενεργοποιηθούν οι διαδικασίες αντιμετώπισης και ανάκαμψης
από μερική ή ολική διακοπή της επιχειρηματικής δραστηριότητας.
Το ζητούμενο είναι να υπάρχουν οι εν λόγω διαδικασίες,
αλλά και ο κατάλληλος ανθρώπινος παράγοντας που θα τις
διαμορφώσει και θα τις διαχειρισθεί.
Παραπομπές
Common Business Continuity Planning Mistakes, Franklin
Fletcher, CBCP CISSP
Business Continuity Planning Presentation and Direction,
Thomas Bronack
Business Continuity Planning (BCP) & Disaster Recovery
Planning (DRP), by Jeff Smith, CISSP
Global Technology Audit Guide (GTAG), Business Continuity
Management, David Everest, Key Bank, Roy E. Garber,
Safe Auto Insurance Co., Michael Keating, Navigant
Consulting, Brian Peterson, Chevron Corp.
Continuity Central http://www.continuitycentral.com/index.htm
The business continuity institute http://www.thebci.org
Business Continuity Management Institute http://www.bcminstitute.org/bcmi10/
Disaster Recovery Journal http://www.drj.com iTSecurity
16 | security

I SSUE
Business Continuity
Ανακάμπτοντας από την κρίση
Πάρης Κάσκας
Principal Presales Consultant, Symantec
Για πολλές επιχειρήσεις, η ασχολία με τις τεχνολογικές ε-
πενδύσεις είναι κάτι τόσο δυσάρεστο όσο η επίσκεψη στο
γιατρό. Είναι προτιμότερο να προπορευόμαστε τυχόν θεμάτων
που ανακύπτουν στην υποδομή μας πριν αυτά γίνουν
σοβαρά, καθώς η μικρής διάρκειας αναστάτωση μπορεί να
αποβεί δύσκολη στην αντιμετώπισή της. Πάντα στο πίσω μέρος
του μυαλού μας, έχουμε μία επίμονη ανησυχία ότι μπορεί
να μετανιώσουμε που δεν κλείσαμε αυτή τη συνάντηση
με τους υπεύθυνους ΙΤ.
Ένα πράγμα κρατά τις επιχειρήσεις ξάγρυπνες τη νύχτα, ιδιαίτερα
το τμήμα του ΙΤ - και αυτό είναι ο φόβος ότι ένας server
θα σταματήσει τη λειτουργία του λόγω μίας κυβερνοεπίθεσης
ή μίας καταιγίδας που θα σταματήσει την παροχή ρεύματος
στο data center. Ακόμη και τα μικρά προβλήματα α-
ποτελούν απειλή για το business continuity και μπορεί να σημαίνουν
την απώλεια υπηρεσιών, οι οποίες έχουν ως αποτέλεσμα
απώλεια εισοδήματος. Σύμφωνα με τη μελέτη της
Symantec «2012 State of the Data Center» κατά μέσο όρο
οι Οργανισμοί υφίστανται 16 διακοπές λειτουργίας των data
center τους σε διάστημα 12 μηνών, γεγονός που τους κοστίζει
5,1 εκατομμύρια δολάρια. Οι επιχειρήσεις βρίσκονται ανάμεσα
σε ένα κυκεώνα με το να επενδύουν σημαντικό χρόνο
και χρήμα στην προετοιμασία τους για κάτι που μπορεί να
μη συμβεί ποτέ και στο να αδυνατούν να ξαναστήσουν γρήγορα
την επιχείρηση σε περίπτωση όπου συμβεί μία διακοπή
λειτουργίας.
Αλλά δυστυχώς, μπορεί να συμβεί και το πιο απροσδόκητο.
Είτε αυτό είναι απλά μία αστοχία στην παροχή ρεύματος του
server ή πλημμυρισμένα γραφεία στα κεντρικά της εταιρείας.
Πώς μπορείτε να διασφαλίσετε ότι θα δουλεύετε ξανά το
συντομότερο δυνατό;
Η ανάγκη για διαθεσιμότητα κρίσιμων εφαρμογών
Είτε το πιστεύετε ακράδαντα είτε όχι, κάποιο επίπεδο προετοιμασίας
χρειάζεται για να κρατήσουμε το χρόνο μη λειτουργίας
στο μίνιμουμ, σε περίπτωση μίας καταστροφής. Και
ενώ χρειάζεται να υπάρχουν αυτοματοποιημένες δυνατότητες
ανάκτησης σε περίπτωση αστοχίας του συστήματος, πρέπει
να αφιερώσετε πόρους στη διατήρηση της διαθεσιμότητας
των εφαρμογών, για να διαφυλάξετε το εταιρικό business
continuity. Τελικώς, εάν έχετε φροντίσει να μη γίνει ποτέ μία
διακοπή λειτουργίας, είναι ιδανικότερο σε σχέση με μία ταχεία
ανάκτηση.
Για να επιτύχετε διαθεσιμότητα εφαρμογών, πρέπει να χρησιμοποιείτε
την πιο αποτελεσματική τεχνολογία και επίσης να
μπορείτε να κάνετε βέλτιστη χρήση της. Οι λύσεις που θα
χρησιμοποιήσετε είναι θεμιτό να ανταποκρίνονται σε ορισμένα
βασικά χαρακτηριστικά:
Η πιο σημαντική δυνατότητα μίας λύσης διαθεσιμότητας
μίας εφαρμογής είναι το άμεσο, αυτοματοποιημένο
failover όλων των κρίσιμων πόρων, συμπεριλαμβανομένου
και του full data replication. Αυτό δεν περιορίζεται
στην υποδομή ή στις εφαρμογές, αλλά περιλαμβάνει ε-
πίσης τις βάσεις δεδομένων, διασφαλίζοντας αδιάλειπτη
επιχειρηματική λειτουργία.
Λόγω του γεγονότος ότι πολλές επιχειρήσεις κατέχουν
μία ποικιλία εξοπλισμού και λογισμικού από διαφορετικές
εταιρείες, η λειτουργικότητα ανεξάρτητα από εταιρείες
είναι σημαντική, έτσι ώστε να αποτραπεί το lockin.
Επιπρόσθετα, χρειάζεται να έχετε κεντρικό έλεγχο ό-
λων των δραστηριοτήτων διαθεσιμότητας και ανάκτησης
της υποδομής σας.
Με ολοένα και περισσότερες εταιρείες να ενστερνίζονται
security | 17

I SSUE
το virtualization, οι λύσεις business continuity πρέπει να
μπορούν να υποστηρίζουν και φυσικά και virtual περιβάλλοντα.
Ενώ το virtualization βοηθά τα virtual συστήματα
να είναι διαθέσιμα, απαιτείται ενισχυμένη λειτουργικότητα
που θα διασφαλίσει ότι οι εφαρμογές οι ίδιες
παραμένουν σε λειτουργία.
Ενώ το cloud computing εμπεριέχει τα δικά του ρίσκα,
σκεφτείτε τις λύσεις με βάση το cloud να αλλάζουν όσο
εσείς εκσυγχρονίζετε εφαρμογές και στοιχεία της υποδομής
σας. Μπορεί να είναι ταχύτερο και λιγότερο κοστοβόρο
να επαναπρομηθεύετε πόρους στο cloud από
ένα φυσικό data center.
Είναι επίσης κρίσιμη όχι μόνο η ανάπτυξη της τεχνολογίας,
αλλά και η διατήρησή της σε μία συνεχή βάση. Α-
κόμη και η καλύτερη λύση να έχει ενσωματωθεί στην υ-
ποδομή σας, γρήγορα γίνεται απαρχαιωμένη εάν δεν ε-
νημερώνεται συχνά για να αντιμετωπίζει τις συνεχώς ε-
ξελισσόμενες ανάγκες και ειδικά τις απειλές που μπορούν
να θέσουν σε κίνδυνο τους επιχειρηματικούς πόρους.
Η κατάλληλη νοοτροπία πρέπει να εφαρμοστεί όταν ξεκινά
μία νέα ΙΤ διαδικασία. Οποιαδήποτε τεχνολογία α-
ναπτυχθεί στην υποδομή σας, οι απαιτήσεις διαθεσιμότητας
των εφαρμογών πρέπει να συνυπολογίζονται. Ειδικά
στο θέμα τι χρειάζεται για να διατηρηθεί η λειτουργία
των κρίσιμων υπηρεσιών χωρίς downtime. Ο
πελάτης πρέπει να είναι πάντα στο επίκεντρο, διατηρώντας
σε υψηλό επίπεδο την εμπειρία χρήσης ό,τι και αν
συμβεί.
Η διενέργεια τακτικών ελέγχων της ικανότητας disaster
recovery της υποδομής σας. Αυτό αποτελεί ένα ζωτικό
βήμα για τη διασφάλιση της αδιάλειπτης λειτουργίας και
της αποφυγής εκπλήξεων, επιτρέποντας παράλληλα τον
προσδιορισμό και την επίλυση κενών στην ετοιμότητά
σας.
Ένα από τα βασικότερα κριτήρια για κάθε επιχείρηση, φυσικά
είναι το κόστος. Μπορεί να είναι δύσκολο να δικαιολογήσεις
μία τεχνολογική αγορά στη διοίκηση, την οποία μπορεί
να την ενδιαφέρουν μόνο τα βραχυπρόθεσμα οικονομικά
στοιχεία. Πρέπει να αξιολογήσετε προσεκτικά τις λύσεις
business continuity πριν την επένδυση αυτή, προκειμένου να
εξασφαλίσετε ότι όχι μόνο ανταποκρίνονται στις σημερινές
σας ανάγκες, αλλά μπορούν να προσαρμοστούν στην επιχειρηματική
σας ανάπτυξη.
Σχεδιασμός Επιχειρησιακής Συνέχειας
Τάσεις και Νέες Τεχνολογίες
Ανέστης Δημόπουλος
CISA, CRISC, CGEIT
Αντιπρόεδρος Δ.Σ.
ISACA Athens Chapter
Πρόσφατα γεγονότα και καταστροφές που οδήγησαν σε
σημαντικά προβλήματα στη λειτουργία επιχειρήσεων σε ό-
λο τον κόσμο, καταδεικνύουν τη σημασία που έχει ένα ι-
σχυρό και ώριμο πλαίσιο Σχεδιασμού Επιχειρησιακής Συνέχειας
(ΣΕΣ) (Business Continuity Management, BCM)
ως μέρος του ευρύτερου επιχειρησιακού σχεδιασμού. Η Ε-
πιχειρησιακή Συνέχεια είναι πλέον μια καθιερωμένη συνιστώσα
των πλαισίων διαχείρισης κινδύνων σε πολλές ώριμες
επιχειρήσεις, με βασική δραστηριότητα την ανάλυση
των επιχειρησιακών επιπτώσεων (Business Impact Analysis,
BIA), η οποία πραγματοποιείται περιοδικά ή μετά από σημαντικές
αλλαγές (π.χ. εφαρμογή νέων συστημάτων, μετάβαση
σε τρίτους παρόχους, systems virtualization, υιοθέτηση
του cloud computing, νέες επιχειρησιακές διαδικασίες
και οργανωτική δομή). Ιδιαίτερα οι αλλαγές σε τεχνολογικό
επίπεδο μπορεί να αποτελούν ευκαιρίες για τη βελτίω-
18 | security

ση των σχεδίων ΣΕΣ, μείωση των χρόνων ανάκαμψης και
βελτιστοποίησης του κόστους.
Οι σύγχρονες τάσεις και επιδράσεις στον τρόπο σχεδιασμού
προγραμμάτων ΣΕΣ περιλαμβάνουν:
Ταχέως μεταβαλλόμενο επιχειρηματικό περιβάλλον,το
οποίο ασκεί πιέσεις για τη συνεχή προσαρμογή των υ-
ποστηρικτικών δομών και την ελαχιστοποίηση προγραμματισμένων
ή μη διακοπών λειτουργίας.
Διεθνοποιημένες δραστηριότητες και μεταφορά λειτουργιών
σε εξωτερικούς συνεργάτες / τρίτα μέρη που
λειτουργούν σε παγκόσμια κλίμακα.
Κανονιστικές απαιτήσεις που συνδέονται και με συμβατικές
υποχρεώσεις κατά τη συνεργασία με παρόχους
υπηρεσιών για τον πλήρη καθορισμό ρόλων και
αρμοδιοτήτων, τοποθεσία δεδομένων και υποχρεώσεις
των εμπλεκομένων.
Νέες τεχνολογίες όπως virtualization, cloud computing
και βελτιωμένες λύσεις αποθήκευσης δεδομένων,
δίνουν τη δυνατότητα για την υλοποίηση πιο ευέλικτων
λύσεων και αυξημένων δυνατοτήτων ταχύτερης ανάκαμψης,
ενώ τα κοινωνικά δίκτυα και οι φορητές συσκευές
αυξάνουν τις δυνατότητες επικοινωνίας, ακόμη
και κατά την ενεργοποίηση των ΣΕΣ.
Ειδικότερα, οι νέες τεχνολογίες μπορούν να επηρεάσουν
θετικά τις ακόλουθες διαστάσεις των ΣΕΣ:
Χρόνοι ανάκαμψης λειτουργιών και δεδομένων (RTOs
and RPOs).
Αυξημένη ανθεκτικότητα των υφιστάμενων υποδομών
και μεγαλύτερη ευελιξία κατά την επιλογή λύσεων α-
νάκαμψης [π.χ. cloud computing με μοντέλα Disaster
Recovery or Replication as a Service (DRaaS), Backup
as a Service (BaaS), Storage as a Service (STaaS) and
Software as a Service (SaaS)].
Βελτιστοποίηση του κόστους για τον εξοπλισμό που α-
παιτείται για ενεργοποίηση ΣΕΣ (π.χ. μέσω virtualization).
Νέα μέσα και βελτιστοποίηση επικοινωνίας τόσο μεταξύ
των ομάδων ανάκαμψης (π.χ. mobile devices με
αντίγραφα του ΣΕΣ) όσο και με πελάτες/συνεργάτες/ευρύτερο
κοινό (π.χ. χρήση social media).
Ως προς τη διαχείριση κινδύνων, η απώλεια εσόδων, οι
οικονομικές κυρώσεις, η απώλεια ανταγωνιστικού πλεονεκτήματος
και οι επιπτώσεις στη φήμη είναι μερικοί από
τους σημαντικούς κινδύνους που καλείται να αντιμετωπίσει
ένας Οργανισμός, εφαρμόζοντας ένα αποτελεσματικό
και δοκιμασμένο στην πράξη ΣΕΣ. Η ανάλυση των κινδύνων
θα πρέπει να λαμβάνει σημαντικές οργανωτικές αλλαγές
(π.χ. εξαγορές ή αναδιαρθρώσεις), αλλαγές στην
τεχνολογία, αλλά και γεωγραφικές αλλαγές (π.χ. μετεγκατάσταση).
Η Ανάλυση Επιχειρησιακών Επιπτώσεων (ΒΙΑ)
χρησιμοποιείται για τον προσδιορισμό της βέλτιστης στρατηγικής
ανάκαμψης και των επιχειρηματικών διαδικασιών
που πρέπει να αποκατασταθούν και ποτέ μετά από ένα
καταστροφικό γεγονός. Το επίπεδο της πολυπλοκότητας
κατά την ανάλυση επιχειρησιακών διαδικασιών και των πόρων
πληροφορικής που χρησιμοποιούν, αποτελεί μια πρόκληση
για πολλές επιχειρήσεις, ειδικά για εκείνες που υιοθετούν
νέες τεχνολογίες. Ως εκ τούτου, ιδιαίτερη προσοχή
θα πρέπει να δοθεί στη μελέτη BIA και ειδικά στη συχνότητα
και το βάθος αυτής. Επίσης η υποστήριξη της Διοίκησης
είναι θεμελιώδους σημασίας για την επιτυχία ε-
νός αποτελεσματικού προγράμματος ΣΕΣ, καθώς και η ε-
φαρμογή επαρκών πολιτικών και διαδικασιών για τον επιτυχή
σχεδιασμό, υλοποίηση και συντήρηση του ΣΕΣ.
Η ελεγκτική προσέγγιση σε θέματα ΣΕΣ στοχεύει στο να
διασφαλίσει την ύπαρξη μιας ώριμης διαδικασίας για την
αξιολόγηση των κινδύνων και το σχεδιασμό, υλοποίηση
και δοκιμή ΣΕΣ, λαμβάνοντας υπόψη και τα σχετικά πρότυπα/βέλτιστες
πρακτικές (π.χ. ISO, COBIT5). Το COBIT®
5: Enabling Processes και το IT Continuity Planning Audit/
Assurance Program του ISACA παρέχουν έναν πλήρη ο-
δηγό για τον ελεγκτή, ώστε να σχεδιάσει και να εκτελέσει
μια αξιολόγηση της επιχειρησιακής συνέχειας.
Συνοψίζοντας, τα προγράμματα ΣΕΣ θα πρέπει να συνεχίσουν
να εξελίσσονται ως επιχειρηματικές πρακτικές μέσω
και των αναδυόμενων τεχνολογιών και να υποστηρίζουν
το διαρκώς μεταβαλλόμενο τοπίο των επιχειρήσεων.
Οι αυξημένες προσδοκίες των πελατών αλλά και οι υψηλές
κανονιστικές απαιτήσεις, καταδεικνύουν ότι τα προγράμματα
ΣΕΣ θα πρέπει να ευθυγραμμιστούν με την ε-
πιχειρηματική στρατηγική, ταυτόχρονα με περιοδικές δοκιμές,
ενημερώσεις και βελτιώσεις, έτσι ώστε να ελαχιστοποιούνται
οι σχετικοί κίνδυνοι και να αυξάνονται τα
οφέλη.
Αναφορά:
Από το ISACA White Paper “Business Continuity Management:
Emerging Trends”, 12/2012
http://www.isaca.org/Knowledge-Center/Research/Re-
searchDeliverables/Pages/Business-Continuity-Management-
Emerging-Trends.aspx
security | 19

I SSUE
Εξασφαλίζοντας το Αδιάλειπτο
Αποτελεσματικά και Ολιστικά
Συχνά γίνεται λόγος για την αναγκαιότητα ύπαρξης ενός Business Continuity
Plan (BCP) μιας επιχείρησης. Δύο βασικά χαρακτηριστικά ενός ολοκληρωμένου
BCP είναι το IT Disaster Recovery που περιλαμβάνει κατάλληλες
συνθήκες υποδομών, τεχνολογίας και τηλεπικοινωνιακών διασυνδέσεων,
καθώς επίσης και το Workplace Recovery που προϋποθέτει την άμεση πρόσβαση
σε χώρο και θέσεις εργασίας, κατάλληλες υποδομές και πρόσβαση
στο οικοσύστημα της επιχείρησης που χρησιμοποιεί το πλάνο επιχειρηματικής
συνέχειας.
Αλέξανδρος Μπεχράκης
Εμπορικός Διευθυντής
LAMDA Hellix
Οι λόγοι που οδηγούν μια επιχείρηση στη δημιουργία ενός
Business Continuity Plan είναι η πρόληψη για συνθήκες που
μπορούν να προκαλέσουν την ανάσχεση μέρους ή και του
συνόλου των κρίσιμων εφαρμογών της, λόγω διάφορων κινδύνων
ή καταστροφών που ενδέχεται να απειλήσουν την εύρυθμη
λειτουργία της. Στις μέρες μας τα παραδοσιακά ενδεχόμενα
καταστροφών, σεισμοί, πλημμύρες, φωτιές, έντονη
κακοκαιρία, διακοπές τηλεπικοινωνιακών κυκλωμάτων λόγω
εκσκαφών κ.λπ. έχουν εμπλουτιστεί με κοινωνικά φαινόμενα
όπως οι απεργίες, οι καταλήψεις κτιρίων, οι αποκλεισμοί
δρόμων που δυσχεραίνουν το επιχειρείν των εταιρειών και
τα οποία όλο και επιδεινώνονται το τελευταίο διάστημα.
Προκειμένου λοιπόν μία επιχείρηση να είναι σε ετοιμότητα
να αντιμετωπίσει με επιτυχία μία τέτοια εξέλιξη, περιορίζοντας
σημαντικά το ρίσκο μιας ενδεχόμενης παύσης λειτουργίας
των συστημάτων της, δεν αρκούν εμπειρικοί σχεδιασμοί
και άτακτες κινήσεις. Αντίθετα, είναι επιβεβλημένη η
λεπτομερής ανάλυση των επιχειρησιακών αναγκών, ο σχεδιασμός
δράσης, η εφαρμογή, καθώς και η επικύρωση του
επιχειρησιακού σχεδίου (Analysis – Design – Implementation
– Validation of the BC plan), καθώς και οι τακτικές δοκιμές
του σε όσο το δυνατόν πιο ρεαλιστικές συνθήκες.
Η ύπαρξη ενός Business Continuity Plan εξασφαλίζει την ο-
μαλή λειτουργία αλλά και τη σταθερότητα μιας επιχείρησης,
ενώ ταυτόχρονα περιορίζει σημαντικά τον κίνδυνο οικονομικής
ζημίας και εμπορικού πλήγματος της επωνυμίας της. Ο
ανταγωνισμός κάθε επιχειρηματικού κλάδου επιτάσσει οι ε-
πιχειρήσεις να έχουν λάβει ειδική μέριμνα για την υποστήριξη
των συστημάτων τους - και κατ’ επέκταση του πελατολογίου
που εξυπηρετούν, ανεξάρτητα από κινδύνους ή αλλαγές
στο χώρο λειτουργίας τους.
To Business Continuity Plan πρέπει να μπορεί να υποστηρίξει
τη συνέχιση των δραστηριοτήτων της επιχείρησης εξασφαλίζοντας
το αδιάλειπτο - ενδεικτικά στα παρακάτω τμήματα:
1. Της διοίκησης και της ομάδας διαχείρισης κρίσεων
2. Των Πωλήσεων (Sales)
3. Της Υποστήριξης των Πελατών (Customer Support)
4. Tης Τιμολόγησης (Billing)
5. Tων εργασιών του προσωπικού (Employee Operations)
Για το λόγο αυτό θα πρέπει να υπάρχουν και οι ανάλογες
συνθήκες υποδομής, που να εξασφαλίζουν τη λειτουργία ό-
λων των κρίσιμων τμημάτων μιας επιχείρησης. Αυτό προϋποθέτει
ότι το Data Center που θα φιλοξενεί το πλάνο επιχειρησιακής
συνέχειας μιας επιχείρησης θα πρέπει να είναι
20 | security

εξοπλισμένο με έτοιμες θέσεις εργασίας, εξοπλισμένες με
γραφείο, καρέκλα, καλωδίωση για data και voice και παροχών
ενέργειας προστατευμένων από UPS. Επιπλέον, πρέπει
να λαμβάνεται μέριμνα για τους συνοδευτικούς χώρους που
απαιτούν οι πολλαπλές θέσεις εργασίας, όπως αποδυτήρια,
κουζίνα, μηχανήματα αυτόματης πώλησης – τροφοδοσίας α-
ναψυκτικών, νερών, σνακ κ.ά. Θα πρέπει ακόμη να παρέχεται
η δυνατότητα η υποδομή των θέσεων να μπορεί να ε-
μπλουτιστεί με υπηρεσίες όπως PBX, Thin Clients/Workstations,
Photocopy – Printing, catering, για την καθημερινή σίτιση
των υπαλλήλων που λειτουργούν το BC plan ή και μεταφοράς
από και προς το Data Center από τους κοντινούς
σταθμούς συγκοινωνίας. Επιπλέον θα πρέπει να υπάρχει η δυνατότητα
αναδρομολόγησης των εισερχόμενων τηλεφωνικών
κλήσεων της εταιρείας προς το επιχειρησιακό της Κέντρο, ώ-
στε να μη χάνεται η επικοινωνία με το πελατολόγιό της.
Σκοπός όλων αυτών των παροχών είναι να μην αλλάξει κατά
το δυνατόν η καθημερινή λειτουργία των υπηρεσιών που
προσφέρει μια επιχείρηση, τόσο στο πελατολόγιό της όσο
και στο ανθρώπινο δυναμικό της.
Βάσει των αναγκών και του risk assessment κάθε επιχείρησης,
υπάρχουν θέσεις αποκλειστικής χρήσης (dedicated) ή
και μοιραζόμενης αλλά εγγυημένης χρήσης (shared/guaranteed).
Η πρόσβαση στις θέσεις εργασίας θα πρέπει να είναι
ελεγχόμενη με σύστημα Access Control, που να διασφαλίζει
ότι μόνο εξουσιοδοτημένο προσωπικό μπορεί να εισέλθει
στο χώρο. Επίσης, εξίσου σημαντική είναι η φυσική α-
σφάλεια τόσο του Data Center που στεγάζει τις υποδομές
αυτές, όσο και των ίδιων των θέσεων εργασίας. Πιο συγκεκριμένα,
η υποδομή των θέσεων θα πρέπει να είναι εξοπλισμένη
με σύστημα ασφαλείας, πυρασφαλείας – πυροπροστασίας,
κατάλληλων συνθηκών εξαερισμού, ειδικών τεχνολογικών
συνθηκών που να μπορούν να εξυπηρετούν ταυτόχρονα
αυξημένο αριθμό ατόμων καθώς επίσης και προηγμένες
ηλεκτρομηχανολογικές υποδομές.
Η LAMDA Hellix διαθέτοντας το μεγαλύτερο Κέντρο Business
Continuity (BC) στη Νοτιοανατολική Ευρώπη, με πλέον
των 500 πλήρως εξοπλισμένων θέσεων εργασίας, προσφέρει
ολιστικές λύσεις σε επιχειρήσεις που σχεδιάζουν να
υλοποιήσουν ένα BC plan. Το πολλαπλώς βραβευμένο Neutral
World - Class Data Center της, βρίσκεται στρατηγικά τοποθετημένο
στη Νοτιοανατολική Αττική, μια περιοχή με μηδενικό
ιστορικό φυσικών καταστροφών. Επιπλέον, για την α-
σφάλεια του πελατολογίου της, το κτίριο της εταιρείας δεν φέρει
διακριτικά, οπότε η αναγνώρισή του από τον οποιονδήποτε
μη πελάτη είναι δύσκολη. Σε συνδυασμό με περιμετρική
και πλήρη εσωτερική 24ωρη παρακολούθηση του χώρου,
λαμβάνονται και όλα τα απαραίτητα μέτρα προστασίας για την
ελεγχόμενη είσοδο στις εγκαταστάσεις της LAMDA Hellix.
Σε επίπεδο υλοποίησης, στο Data Center της LAMDA Hellix
διατηρούν Point of Presence όλοι οι εγχώριοι και οι σημαντικότεροι
ξένοι τηλεπικοινωνιακοί πάροχοι, με αποτέλεσμα
η δυνατότητα διασύνδεσης των επιχειρήσεων με τις θέσεις
BC που διατηρούν, να είναι εξαιρετικά εύκολη και ιδιαίτερα
οικονομική. Επιπρόσθετα, στους χώρους Data Center
της LAMDΑ Hellix η ίδια επιχείρηση μπορεί να διατηρεί και
το Disaster Recovery site της, βελτιστοποιώντας τη λειτουργικότητά
της εύκολα και οικονομικά, λόγω των οικονομιών
κλίμακας που εφαρμόζονται από τη LAMDA Hellix.
Τέλος, σε επίπεδο εφαρμογής και επικύρωσης του σχεδίου,
η LAMDA Hellix προσφέρει τις υπηρεσίες της με συνεχή
παρουσία εξειδικευμένου προσωπικού (24x7x365), γεγονός
που παρέχει στην επιχείρηση απόλυτη διαθεσιμότητα των υ-
ποδομών καθώς και αυτονομία στον τρόπο διαχείρισης του
πλάνου επιχειρηματικής συνέχειας, όποτε κι αν αυτό απαιτηθεί
να υλοποιηθεί. iTSecurity
LAMDA Hellix Α.Ε.
Κηφισίας 37A - Golden Hall,
Μαρούσι, 15123, Ελλάδα
Τηλ.: 210-74 50 770
info@lamdahellix.com
www.lamdahellix.com
security | 21

I SSUE
Πιστοποίηση Διαχείρισης
Επιχειρησιακής Συνέχειας
Αργυρώ Χατζοπούλου
Επικεφαλής Επιθεωρήτρια - ISO 22301,
ISO 27001, ISO 20000, ISO 9001, CISA,
HISP, CCSK, ISEB BCMP, PRINCE (P)
Υπεύθυνη Τμήματος Ασφάλειας Πληροφοριών
& Επιχειρησιακής Συνέχειας
TÜV AUSTRIA HELLAS
Τι είναι το Business Continuity και πώς επιτυγχάνεται;
Επιχειρησιακή συνέχεια είναι η δυνατότητα συνέχισης των ε-
πιχειρησιακών δραστηριοτήτων ενός Οργανισμού σε προδιαγεγραμμένο
χρόνο και επίπεδο, ακόμα και αν υπάρχει περιστατικό
διαταραχής. Με απλά λόγια, ακόμα και στην περίπτωση
όπου ένας Οργανισμός που παρέχει πανελλαδικά υπηρεσίες
από τα κεντρικά του γραφεία στην Αθήνα, χάσει τη δυνατότητα
πρόσβασης στο κεντρικό του κτήριο, να συνεχίσει να
δίνει τις υπηρεσίες αυτές μέσα σε αποδεκτό χρόνο και επίπεδο
(π.χ. μόνο την υπηρεσία τεχνικής υποστήριξης μέσω τηλεφώνου,
εντός 2 ωρών από το περιστατικό).
Πώς μπορεί να επιτευχθεί αυτό;
Εφαρμόζοντας ένα σύστημα διαχείρισης επιχειρησιακής συνέχειας,
ο Οργανισμός θα αναλύσει τις δραστηριότητές του,
θα αποτιμήσει τις επιπτώσεις διαφόρων κινδύνων στη δραστηριότητά
του, θα αξιολογήσει τις επιλογές του, θα δημιουργήσει
σχέδια, θα ενεργοποιήσει μηχανισμούς και θα ελέγχει, θα
βελτιώνει και θα εξασκεί τα σχέδιά του, ώστε σε περίπτωση
που χρειαστεί, να μπορεί να ενεργήσει άμεσα και στοχευμένα.
Οι βασικοί στόχοι ενός συστήματος επιχειρησιακής συνέχειας
είναι:
Η προστασία του ανθρώπου
Η μείωση των συνεπειών, όταν το περιστατικό λάβει χώρα
και
Η συνέχεια των επιχειρησιακών δραστηριοτήτων σε αποδεκτό
χρόνο και επίπεδο.
Η ορθή λειτουργία αλλά και αποτελεσματικότητα ενός συστήματος
διαχείρισης επιχειρησιακής συνέχειας, ελέγχεται και α-
ξιολογείται από ένα διαπιστευμένο φορέα πιστοποίησης. Το ε-
πιστέγασμα της προσπάθειας αυτής είναι η απονομή του πιστοποιητικού.
Το πιστοποιημένο σύστημα διαχείρισης έχει τα
εξής επιπλέον πλεονεκτήματα:
Ο Οργανισμός λαμβάνει μια ανεξάρτητη, έγκυρη και έ-
μπειρη γνώμη, σε σχέση με την ορθότητα και αποτελεσματικότητα
του συστήματος και των προβλέψεων για την
επιχειρησιακή συνέχεια.
Ο έλεγχος γίνεται σε τακτά χρονικά διαστήματα, επιβεβαιώνοντας
όχι μόνο ότι το σύστημα δημιουργήθηκε, αλλά
εξακολουθεί να υπάρχει, να δοκιμάζεται και να είναι
γνωστό και κατανοητό στο εμπλεκόμενο προσωπικό.
Το πιστοποιητικό, από τη στιγμή που απονέμεται από ένα
διαπιστευμένο Οργανισμό, έχει διεθνή αναγνώριση και υ-
ψηλή αξία.
Επίσης, το πιστοποιητικό αποτελεί έμπρακτη απόδειξη προς
οποιονδήποτε τρίτο, σχετικά με τη δέσμευση του Οργανισμού
για την επιχειρησιακή συνέχεια.
Ποια είναι η διαδικασία της πιστοποίησης
Ο Οργανισμός που επιθυμεί να επιθεωρηθεί για τη συμμόρφωσή
του με τις απαιτήσεις του προτύπου ISO 22301:2012,
πρέπει να ακολουθήσει την ακόλουθη διαδικασία, αφού έχει δημιουργήσει
το σύστημα:
1. Συμπλήρωση και αποστολή της σχετικής αίτησης προκειμένου
να λάβει οικονομική και τεχνική προσφορά.
2. Αποδοχή της προσφοράς.
3. Διενέργεια του 1 ου σταδίου της επιθεώρησης: Το πρώτο στάδιο
της επιθεώρησης περιλαμβάνει τον έλεγχο της βασικής
τεκμηρίωσης του συστήματος και έχει ως βασικούς σκοπούς
την εξακρίβωση ότι το σύστημα στο βασικό του σκελετό υ-
πάρχει και ότι ο Οργανισμός είναι έτοιμος να προχωρήσει
στο επόμενο στάδιο της επιθεώρησης. Με την επιτυχή ο-
λοκλήρωση του σταδίου αυτού, ο Οργανισμός μπορεί να
προχωρήσει στο επόμενο βήμα.
4. Διενέργεια του 2 ου σταδίου της επιθεώρησης: Το δεύτερο
στάδιο της επιθεώρησης περιλαμβάνει τον επιτόπιο έλεγχο
στις εγκαταστάσεις του Οργανισμού και έχει ως βασικούς
22 | security

σκοπούς την εξακρίβωση ότι το σύστημα υπάρχει, λειτουργεί
και είναι αποτελεσματικό. Με την επιτυχή ολοκλήρωση του
σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο
επόμενο βήμα.
5. Έκδοση του Πιστοποιητικού. Το πιστοποιητικό έχει τριετή
διάρκεια ισχύος, με την προϋπόθεση ότι θα διεξάγεται με ε-
πιτυχία μια επιτόπια επιθεώρηση ανά έτος.
6. Διενέργεια της 1 ης επιθεώρησης επιτήρησης: Η επιθεώρηση
αυτή διεξάγεται το αργότερο 1 χρόνο μετά από το 2 ο στάδιο
της επιθεώρησης πιστοποίησης και έχει σκοπό τον έ-
λεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση
του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου
αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του.
7. Διενέργεια της 2 ης επιθεώρησης επιτήρησης: Η επιθεώρηση
αυτή διεξάγεται το αργότερο 2 χρόνια μετά από το 2 ο
στάδιο της επιθεώρησης πιστοποίησης και έχει ως σκοπό
τον έλεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση
του συστήματος. Με την επιτυχή ολοκλήρωση του
σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό
του.
Τι γίνεται στην επιθεώρηση
Ένα από τα σημεία στα οποία πολλοί έχουν απορίες, είναι το
τι ακριβώς γίνεται στην επιθεώρηση. Κατά τη διάρκεια της επιθεώρησης,
ο επιθεωρητής προσπαθεί να συλλέξει τεκμήρια ό-
τι πράγματι το σύστημα που έχει δημιουργήσει ο Οργανισμός
λειτουργεί, εφαρμόζεται και βελτιώνεται σύμφωνα με τις απαιτήσεις
του προτύπου.
Η συλλογή των αντικειμενικών αυτών αποδείξεων μπορεί να γίνει
με διάφορους τρόπους:
1. Με παρατήρηση από την πλευρά του επιθεωρητή: Π.χ., ας υ-
ποθέσουμε ότι μέρος του σχεδίου επιχειρησιακής συνέχειας
ενός Οργανισμού είναι η τήρηση ενός δευτερεύοντος
site, το οποίο είναι σε κατάσταση “hot”. Ο επιθεωρητής θα
πρέπει να δει τόσο τις προβλέψεις για το συγχρονισμό από
την πλευρά του αρχικού / παραγωγικού site, αλλά και να επισκεφθεί
το δευτερεύον site προκειμένου να λάβει και από ε-
κεί τεκμήρια ότι υπάρχει και βρίσκεται σε ετοιμότητα.
2. Με συζητήσεις με το προσωπικό: Για ένα σύστημα επιχειρησιακής
συνέχειας, ο άνθρωπος έχει ιδιαίτερη σημασία και
παίζει καθοριστικό ρόλο στην ορθή λειτουργία και αποτελεσματικότητά
του. Σε αυτήν την περίπτωση, ο επιθεωρητής
θα πρέπει με σωστές ερωτήσεις που θα διευκολύνουν τη
συζήτηση και θα παραβλέπουν το άγχος, να λάβει πληροφορίες
σχετικά με το αν το άτομο αυτό γνωρίζει το ρόλο
του στο σύστημα και έχει εξασκηθεί στη διενέργεια των καθηκόντων
αυτών.
3. Με ανασκόπηση εγγράφων και έλεγχο αρχείων: Π.χ., ακρογωνιαίος
λίθος ενός συστήματος επιχειρησιακής συνέχειας
είναι η ανάλυση επιχειρησιακών επιπτώσεων. Ο επιθεωρητής
θα πρέπει να ελέγξει τον τρόπο με τον οποίο δημιουργήθηκε
η ανάλυση αυτή, αλλά και να κρίνει την ορθότητα και πληρότητά
του.
Πότε προκύπτουν προβλήματα και τι γίνεται σε
αυτήν την περίπτωση
Ένα από τα πιο συνηθισμένα προβλήματα που προκύπτουν
στην επιθεώρηση, αφορά στην ύπαρξη διαφοράς ανάμεσα σε
αυτό που θα ήθελε ο Οργανισμός να γίνεται και σε αυτό που
τελικά αποδεικνύεται μέσω της επιθεώρησης ότι γίνεται.
Υπάρχουν δηλαδή περιπτώσεις όπου στη διάρκεια της επιθεώρησης
αποκαλύπτεται ότι, ενώ μια διαδικασία είναι αποτυπωμένη
με έναν τρόπο, υλοποιείται διαφορετικά ή ότι κάτι που θα
έπρεπε να γνωρίζει κάποιος, στην πραγματικότητα δεν το γνωρίζει.
Ειδικά το τελευταίο, όταν αφορά σε εργασίες που πρέπει
- σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο - να
υλοποιηθούν και μπορεί να επηρεάζουν και την υγεία και α-
σφάλεια του ατόμου, η επίπτωση λανθασμένης ή καθυστερημένης
ενέργειας μεγιστοποιείται. Σε περίπτωση όπου κατά τη
διάρκεια της επιθεώρησης παρατηρηθούν αποκλίσεις οι οποίες
κριθούν σημαντικές και ότι επηρεάζουν την αποτελεσματικότητα
του συστήματος, εκφράζονται Μη Συμμορφώσεις. Τις
Μη Συμμορφώσεις ο Οργανισμός πρέπει να τις αντιμετωπίσει
άμεσα και με επιτυχία, για να μπορεί το πιστοποιητικό του να
εκδοθεί (στην περίπτωση της επιθεώρησης πιστοποίησης) ή να
διατηρηθεί η ισχύς του (στην περίπτωση επιθεώρησης επιτήρησης).
Εκπαίδευση
Η ΤÜV AUSTRIA HELLAS αποτελεί το μοναδικό Οργανισμό
στην Ελλάδα που προσφέρει εκπαίδευση στις πρακτικές οι ο-
ποίες σχετίζονται με την επιχειρησιακή συνέχεια και που οδηγούν
στην πιστοποίηση ως Business Continuity Practitioner του
ISEB Αγγλίας, καθώς και στην πιστοποίηση Certificate of the
BCI του διεθνούς Business Continuity Institute. Επιπλέον, η
ΤÜV AUSTRIA HELLAS προσφέρει εκπαίδευση και σε όλα τα
αντικείμενα που πλαισιώνουν και υποστηρίζουν την επιχειρησιακή
συνέχεια, όπως είναι η ετοιμότητα για περιστατικά, το
ICT continuity, η ανάλυση κινδύνου, η αποτίμηση επιχειρησιακών
επιπτώσεων, η ασφάλεια κ.ά. Όλα τα παραπάνω σεμινάρια
είναι αναγνωρισμένα από τον ISACA και προσφέρουν CPEs.
Περισσότερες πληροφορίες μπορούν να αντληθούν και από
τον εκπαιδευτικό οδηγό στο: http://www.tuvaustriahellas.gr/gr/educational-2013.htm.
Λίγα λόγια για την TÜV AUSTRIA HELLAS
Η ΤÜV AUSTRIA HELLAS, 100% θυγατρική εταιρεία του Αυστριακού Οργανισμού ΤÜV AUSTRIA GROUP, προσφέρει τις υπηρεσίες της από το
1994, αξιοποιώντας την τεχνογνωσία και την επιστημονική υποστήριξη του ΤÜV AUSTRIA GROUP και κατέχει σήμερα μία από τις πρώτες θέσεις
στον τομέα της επιθεώρησης, της πιστοποίησης και των τεχνικών ελέγχων στη χώρα μας. Διαθέτει στην Ελλάδα παραρτήματα στη Θεσσαλονίκη
και στο Ηράκλειο της Κρήτης, ενώ στο εξωτερικό δραστηριοποιείται με αποκλειστικούς αντιπροσώπους σε Κύπρο, Ιορδανία, Τουρκία, Αλβανία,
Ισραήλ, Αίγυπτο, Υεμένη, Κατάρ, Πακιστάν και Κορέα. Ειδικά στο χώρο της επιχειρησιακής συνέχειας και της πληροφορικής, κατέχει την
ηγετική θέση στην Ελλάδα, έχοντας αποδώσει περισσότερο από το 70% των πιστοποιητικών στην αγορά.Η ΤÜV AUSTRIA HELLAS είναι διαπιστευμένος
φορέας για τα παραπάνω αντικείμενα, από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) και κατέχει τη διαπίστευση για την επιχειρησιακή
συνέχεια, αρχικά με την έκδοση του BSI, BS 25999 και εν συνεχεία με την έκδοση του προτύπου από τον ISO, στο ISO 22301.
security | 23

I SSUE
Γνωριμία με το πλαίσιο διαχειρίσεως
επιχειρησιακής συνέχειας της ALPHA BANK
Γεώργιος Στρατόπουλος
Διευθυντής
της Διευθύνσεως Οργανώσεως
Η έννοια της Επιχειρησιακής Συνέχειας έχει γίνει ευρέως γνωστή
τα τελευταία έτη και όλο και περισσότερες εταιρίες αναγνωρίζουν
τη σημασία της και προχωρούν στην ανάπτυξη Σχεδίων
Επιχειρησιακής Συνέχειας και στη δημιουργία υποδομών
ανακάμψεως.
Η Alpha Bank, εντόπισε εγκαίρως τη σημασία που έχει η διασφάλιση
της συνέχειας των εργασιών και για τον λόγο αυτόν
ανέπτυξε, αρκετά χρόνια πριν το 2000, υποδομές ανακάμψεως
(disaster systems) και στη συνέχεια, το 2002, προχώρησε
στην ανάπτυξη Σχεδίου Επιχειρησιακής Συνέχειας (Business
Continuity Plan), το οποίο περιελάμβανε αναλυτικές διαδικασίες
για την ανάκαμψη κρισίμων εργασιών, σε περίπτωση διακοπής
τους.
Η εξέλιξη του Κανονιστικού Πλαισίου (Π.Δ.Τ.Ε. 2577/2006) ή-
ταν όμως εκείνη που ουσιαστικά σηματοδότησε την εξέλιξη της
Επιχειρησιακής Συνέχειας στον τραπεζικό χώρο, στην Ελλάδα.
Σύντομη Ιστορική Αναδρομή:
Η Alpha Bank το 2008, ακολουθώντας τα διεθνή πρότυπα και
τις βέλτιστες πρακτικές, προχώρησε με τη βοήθεια εξωτερικού
συμβούλου, σε πλήρη αναθεώρηση του υφισταμένου Σχεδίου
Επιχειρησιακής Συνέχειας, ώστε αυτό να είναι σύμφωνο
με το νέο κανονιστικό πλαίσιο. Το έργο για την κατάρτιση Σχεδίων
περιελάμβανε την Τράπεζα και όλες τις Εταιρίες του Ο-
μίλου στην Ελλάδα.
Το 2009 το έργο επεκτάθηκε στις Εταιρίες του Ομίλου στο ε-
ξωτερικό, ήτοι, Αλβανία, Βουλγαρία, Κύπρος, Ουκρανία, Ρουμανία,
Σερβία, Π.Γ.Δ.Μ. και Ηνωμένο Βασίλειο.
Αποτέλεσμα των ανωτέρω συντονισμένων ενεργειών ήταν η
δημιουργία ενός ενιαίου Πλαισίου Διαχειρίσεως Επιχειρησιακής
Συνέχειας σε επίπεδο Ομίλου, σύμφωνα με το οποίο α-
ναπτύσσεται και επικαιροποιείται το Σχέδιο Επιχειρησιακής Συνέχειας
για την Τράπεζα και τις Εταιρίες του Ομίλου, το οποίο
ήταν και ο στόχος, σύμφωνα με τον αρχικό σχεδιασμό.
Για την ανάπτυξη, συντήρηση, συνεχή βελτίωση του Πλαισίου
Διαχειρίσεως Επιχειρησιακής Συνέχειας της Τραπέζης και του
Ομίλου έχει συσταθεί από το 2008, Γραφείο Επιχειρησιακής
Συνέχειας Ομίλου που υπάγεται στη Διεύθυνση Οργανώσεως
της Τραπέζης. Το εν λόγω Γραφείο λειτουργεί ως κέντρο συντονισμού
των απαιτούμενων ενεργειών και θεματοφύλακας για
τα θέματα επιχειρησιακής συνέχειας του Ομίλου. Ως εκ τούτου,
συνεργάζεται με όλες τις Επιχειρησιακές Μονάδες της Τραπέζης
και των Εταιριών του Ομίλου και ειδικότερα, με τις Μονάδες
Διαχειρίσεως Κινδύνων, Περιουσίας, Πληροφορικής, Α-
σφαλείας Πληροφοριών και Εταιρικής Επικοινωνίας για τα θέματα
αρμοδιότητάς τους, ως προς την επιχειρησιακή συνέχεια.
Πιστοποίηση Σχεδίου Επιχειρησιακής Συνέχειας
με τα διεθνή πρότυπα BS25999-2:2007 και
ISO22301:2012
Μετά από πέντε έτη εφαρμογής, συνεχούς βελτιώσεως της μεθοδολογίας,
τυποποιήσεως των σχετικών διαδικασιών και δημιουργία
νοοτροπίας Επιχειρησιακής Συνέχειας σταδιακά στο
μεγαλύτερο μέρος του ανθρωπίνου δυναμικού, η Τράπεζα προχωρά
στο επόμενο βήμα, που αφορά στην Πιστοποίηση του
Πλαισίου Διαχειρίσεως Επιχειρησιακής Συνέχειας.
Ειδικότερα, το έτος 2012, το Σύστημα Διαχειρίσεως Επιχειρησιακής
Συνέχειας της Διευθύνσεως Πληροφορικής της Τραπέζης,
πιστοποιείται από τον φορέα αξιολογήσεως TÜV Austria
Hellas με βάση το πρότυπο BS25999-2:2007 και εντός του
τρέχοντος έτους (2013), πραγματοποιείται η μετάβαση στο
πρότυπο ISO22301:2012, το οποίο αντικατέστησε το BS25999.
Παράλληλα, επεκτείνεται το εύρος πιστοποιήσεως και σε άλλους
κρίσιμους τομείς εργασιών της Τραπέζης, με τον συνολικό
αριθμό Προσωπικού στις Μονάδες που πιστοποιήθηκαν
να υπερβαίνει τα 1000 άτομα. Οι Τομείς της Τραπέζης με πιστοποίηση
ISO22301:2012 είναι:
Πληροφορικής (Information Technology),
Χρηματοοικονομικών Εργασιών (Financial Markets-Treasury),
Υποστηρικτικών Λειτουργιών (Back Office Operations),
καθώς και η Εταιρία Παροχής Υπηρεσιών Πληροφορικής του
Ομίλου, Alpha Supporting Services.
Η Alpha Bank είναι η μοναδική Τράπεζα στην Ελλάδα και από
τους λίγους Οργανισμούς Διεθνώς με πιστοποίηση της Επιχειρησιακής
Συνέχειας, σύμφωνα με τα πρότυπα BS25999 και
ISO22301.
24 | security

Η υλοποίηση των ανωτέρω, έδωσε τη δυνατότητα στην Τράπεζα
να επιτύχει μία σημαντική διάκριση, καθώς βραβεύεται στα
Business IT Excellence Awards (BITE AWARDS) για δύο συνεχόμενα
έτη (2012 και 2013), στην κατηγορία “Business Continuity”.
Διαδικασίες Διαχειρίσεως Επιχειρησιακής Συνέχειας
Η Διαχείριση της Επιχειρησιακής Συνέχειας αποτελεί μία δυναμική
διαδικασία, η οποία απαιτεί συστηματική και μεθοδική
προσέγγιση.
Η μεθοδολογία για την ανάπτυξη και εφαρμογή Σχεδίου Επιχειρησιακής
Συνέχειας, με βάση το πρότυπο ISO22301 και τις
βέλτιστες πρακτικές, προϋποθέτει τη διενέργεια των ακόλουθων
εργασιών:
Ανάλυση Επιχειρησιακών Επιπτώσεων (Business Impact
Analysis)
Εκτίμηση Απειλών και Κινδύνων (Threat and Risk Assessment)
Καθορισμό Στρατηγικής Επιχειρησιακής Συνέχειας
Ανάπτυξη Σχεδίου Επιχειρησιακής Συνέχειας
Δοκιμαστική Εφαρμογή Σχεδίου / Εκπαιδεύσεις
Συντήρηση Σχεδίου
Προκειμένου ένας Οργανισμός να είναι σε θέση να αναπτύξει
ένα ολοκληρωμένο και αποτελεσματικό Σχέδιο Επιχειρησιακής
Συνέχειας, πρέπει να καταγράφει και να παρακολουθεί
συστηματικά τις εργασίες των Μονάδων, να αξιολογεί την κρισιμότητά
τους, καθώς και τις επιπτώσεις που πιθανόν να προκύψουν,
σε περίπτωση διακοπής των υπηρεσιών που παρέχουν
οι Μονάδες αυτές. Οι υπηρεσίες μπορεί να αφορούν Πελάτες
ή άλλες Μονάδες της Τραπέζης / Ομίλου, αλλά και τρίτα
ενδιαφερόμενα μέρη όπως, εποπτικές αρχές, εξωτερικoύς συνεργάτες
(παρόχους υπηρεσιών, προμηθευτές, συνεργαζόμενες
εταιρίες / οργανισμούς, π.χ. Visa, Amex, κ.ά.).
Επιπροσθέτως, πρέπει να εξετάζονται και οι τυχόν αλληλεξαρτήσεις
των Μονάδων, είτε μεταξύ τους, είτε με κρισίμους
τρίτους συνεργάτες (παρόχους υπηρεσιών, προμηθευτές, λοιπούς
οργανισμούς) και να λαμβάνεται μέριμνα για τη διασφάλιση
της επιχειρησιακής συνέχειας, σε περίπτωση που οι τελευταίοι
παρουσιάσουν διακοπή στις εργασίες τους.
Για τη διασφάλιση της αποτελεσματικότητας του Σχεδίου Επιχειρησιακής
Συνέχειας και για την εξοικείωση των Λειτουργών
της Τραπέζης με όλη τη διαδικασία, κάθε έτος, καταρτίζεται και
υλοποιείται Πρόγραμμα δοκιμών με προτεραιότητα στις Μονάδες
αμέσου ανακάμψεως. Η αποτελεσματικότητά του μάλιστα,
επιβεβαιώθηκε και σε πραγματικές συνθήκες, όταν τον
Φεβρουάριο του 2012, το Σχέδιο ενεργοποιήθηκε με επιτυχία,
μετά από εκτεταμένες ζημίες που προκλήθηκαν από πυρκαϊάεμπρησμό
σε τρία κτήρια της Τραπέζης.
Συμπεράσματα / Οφέλη από την πιστοποίηση
ISO22301
Η ανάπτυξη και εφαρμογή ενός Πλαισίου Διαχειρίσεως Επιχειρησιακής
Συνέχειας κατά ISO22301, αποτελεί μία επένδυση
χαμηλού κόστους με σημαντική προστιθέμενη αξία.
Τα οφέλη από την Πιστοποίηση είναι πολλαπλά και συνοψίζονται
στα κάτωθι:
Διασφαλίζεται ότι η μεθοδολογία και οι διαδικασίες που ε-
φαρμόζονται είναι σύμφωνα με τα διεθνή πρότυπα και τις
βέλτιστες πρακτικές.
Αναγνωρίζεται από Πελάτες και κρίσιμους συνεργάτες ως
εχέγγυο της δυνατότητας της Τραπέζης για συνεχή παροχή
υπηρεσιών.
Διασφαλίζεται εμμέσως η συμμόρφωση με το κανονιστικό
πλαίσιο, καθώς οι οδηγίες των εποπτικών αρχών λαμβάνουν
υπ’ όψιν τις βέλτιστες πρακτικές και τα διεθνή πρότυπα.
Δημιουργείται νοοτροπία Επιχειρησιακής Συνέχειας στο
ανθρώπινο δυναμικό της Τραπέζης.
Για την επιτυχή ανάπτυξη και εφαρμογή του σχετικού Πλαισίου
απαιτείται:
Αποδοχή-δέσμευση της Διοικήσεως.
Σχεδιασμός και προγραμματισμός των απαιτούμενων ε-
νεργειών.
Συμμετοχή / συνεργασία όλων των Μονάδων, κεντρικός
συντονισμός και συνεχής επικοινωνία μεταξύ των υπευθύνων
Μονάδων/Στελεχών.
Πιστή τήρηση και εφαρμογή του Πλαισίου και των σχετικών
διαδικασιών.
Διαρκής εκπαίδευση και ενημέρωση των αρμόδιων Στελεχών
σε θέματα Επιχειρησιακής Συνέχειας.
security | 25

I SSUE
Της Παναγιώτας Τσώνη
Software Defined Networking (SDN)
Η δικτύωση στο μέλλον
Το SDN συνιστά μια νέα δικτυακή αρχιτεκτονική που προσδίδει ευελιξία, εξοικονόμηση
πόρων και δυναμική υποστήριξη των εφαρμογών και των νέων απαιτήσεων στο IT business
περιβάλλον.
H
που
βελτίωση των δυνατοτήτων ενός δικτύου αποτελεί ένα από τα σημαντικότερα πεδία έρευνας. Για χρόνια οι ερευνητές
προσπαθούν να αυξήσουν την ταχύτητα μετάδοσης και την αξιοπιστία, να καταστήσουν τα δίκτυα ενεργειακά
αποδοτικότερα και να ενισχύσουν την άμυνά τους. Όμως όλες οι μελέτες συνήθως κατέληγαν εκεί από ό-
ξεκίνησαν, στο εργαστήριο. Κι αυτό, γιατί το πεδίο δοκιμής, δηλαδή ένα πραγματικό δίκτυο όπου υπάρχει ο
26 | security

απαιτούμενος όγκος πληροφοριών ώστε να εξαχθούν ακριβή
συμπεράσματα, αποτελείται στον πυρήνα του από συσκευές
δρομολόγησης και μεταγωγής (router – switches). Οι συσκευές
αυτές φέρουν λογισμικό που ανήκει στις κατασκευάστριες ε-
ταιρείες και προστατεύεται από πνευματικά δικαιώματα - και
άρα είναι κλειδωμένο απέναντι σε οποιαδήποτε μη εγκεκριμένη
χρήση. Τελικά, τα ανωτέρω στον κόσμο των επιστημόνων
δεν ήταν αποδεκτά και έτσι μια ομάδα του Πανεπιστημίου S-
tanford ανέπτυξε ένα πρότυπο επικοινωνίας που ονόμασε
OpenFlow, το οποίο ουσιαστικά επιτρέπει την ελεύθερη χρήση
του Internet από τους ερευνητές.
Το πρότυπο βοηθά στον καθορισμό της ροής των δεδομένων
με τη χρήση λογισμικού, κάτι δηλαδή σαν «προγραμματιζόμενη
δικτύωση» που καθιερώθηκε με τον όρο Software Defined
Networking - SDN.
Πρότυπο OpenFlow
Με την εγκατάσταση του OpenFlow μέσω συσκευής στην οποία
βρίσκεται ενσωματωμένο, οι μηχανικοί αποκτούν πρόσβαση
στους πίνακες ροής των δεδομένων και στους κανόνες που υ-
παγορεύουν αυτήν τη ροή και μπορούν να καθορίσουν τον τρόπο
που οι routers θα κατευθύνουν τη δικτυακή κίνηση. Παρόλα
αυτά, προστατεύει τους κανόνες δρομολόγησης που θεωρούνται
ιδιοκτησία και διαφοροποιούνται ανά Οργανισμό, α-
νάλογα με τις συσκευές που φέρουν στο δίκτυό τους. Η εγκατάσταση
του OpenFlow σε routers και switches, ουσιαστικά ε-
πιτρέπει τον καθορισμό της διάταξης του δικτύου και της ροής
των δεδομένων του, με το πάτημα μόνο ενός κουμπιού. Με αυτόν
τον τρόπο οι ερευνητές μπορούν εύκολα και οικονομικά να
εξετάσουν νέα πρωτόκολλα δρομολόγησης και μεταγωγής.
Σε μία τυπική διάταξη δικτύου, όταν ένα πακέτο φτάσει στο
switch, ελέγχεται ο προορισμός του βάσει προκαθορισμένων
κανόνων και προωθείται. Τους κανόνες αυτούς δεν τους ε-
λέγχουν οι διαχειριστές του δικτύου άμεσα - και κυρίως όλα τα
πακέτα που έχουν τον ίδιο προορισμό διαχειρίζονται με τον ί-
διο ακριβώς τρόπο, ακολουθώντας τους ίδιους κανόνες και
την ίδια πορεία, ανεξαρτήτως του περιεχομένου τους.
Σε ένα δίκτυο που υποστηρίζεται από το OpenFlow, οι διαχειριστές
μπορούν να προσθέσουν ή να αφαιρέσουν κανόνες
δρομολόγησης, δίνοντας για παράδειγμα προτεραιότητα σε
ένα αρχείο βίντεο που λαμβάνεται, από ό,τι σε ένα email, ώστε
να μην υπάρχουν εμφανή προβλήματα (παύσεις) κατά την προβολή
του. Επίσης είναι εφικτός ο στοχευμένος έλεγχος της εισερχόμενης
και εξερχόμενης ροής από έναν προορισμό ο ο-
ποίος είναι ύποπτος “μολύνσεως” από ιούς και πρέπει να τεθεί
σε καραντίνα.
Χαρακτηριστικά του SDN
Το πρωτόκολλο OpenFlow αποτελεί το θεμελιακό εκείνο στοιχείο
πάνω στο οποίο δημιουργούνται όλες οι SDN λύσεις. Το
SDN αποτελεί με τη σειρά του μια νέα δικτυακή αρχιτεκτονική,
που είναι δυναμική, οικονομική, εύκολη στην ενσωμάτωση
και ικανή να υποστηρίξει την πληθώρα των νέων εφαρμογών
που έχουν απαιτήσεις υψηλού εύρους. Η νέα δομή είναι:
Απευθείας προγραμματιζόμενη: η διαχείριση και ο έλεγχος
του δικτύου είναι απευθείας προγραμματιζόμενα, μιας
και έχουν αποσυνδεθεί από τις λειτουργίες μεταγωγής και
δρομολόγησης.
Ευέλικτη: ο διαχωρισμός ελέγχου και δρομολόγησης συνεπάγεται
για τους διαχειριστές μεγαλύτερη ευχέρεια καθορισμού
της ροής των δεδομένων, ανάλογα με τις ανάγκες
τους συστήματος σε πραγματικό χρόνο.
Κεντρικώς διαχειριζόμενη: όλα τα σημεία που απαρτίζουν
την SDN δομή (ελεγκτές) ελέγχονται κεντρικά από μία
πλατφόρμα και έτσι παρέχουν μια καθολική εικόνα για την
κατάσταση του δικτύου, ενώ εμφανίζονται ως μία ενιαία ο-
ντότητα μεταγωγής στις εφαρμογές και στις υπεύθυνες μηχανές
για την εφαρμογή της πολιτικής ασφάλειας της εταιρείας.
Διαμορφούμενη μέσω προγραμματισμού: το SDN επιτρέπει
στους διαχειριστές του δικτύου να διαμορφώσουν, ε-
λέγξουν, προστατεύσουν και βελτιώσουν τον τρόπο χρήσης
των δικτυακών πόρων, γρήγορα και δυναμικά, μέσω
αυτοματοποιημένων SDN προγραμμάτων. Τα προγράμματα
αυτά μπορεί να δημιουργήσει μόνος του κάθε διαχειριστής,
μιας και δεν βασίζονται σε λογισμικό που είναι
κλειδωμένο.
Ελεύθερη προς χρήση: οι λειτουργίες και ο σχεδιασμός
του δικτύου απλοποιούνται με τη χρήση του SDN, μιας και
χρησιμοποιεί ανοιχτά πρωτόκολλα και εντολές που παρέχονται
ελεύθερα στους διαχειριστές, αντί να υπάρχει η δέσμευση
χρήσης πρωτοκόλλων και συσκευών από συγκεκριμένους
κατασκευαστές.
security | 27

I SSUE
Software Defined Networking (SDN)
Κανόνες χρήσης της SDN δομής
Όπως σε κάθε νέα τεχνολογία έτσι και με την SDN αρχιτεκτονική
ελλοχεύουν κίνδυνοι που απορρέουν κυρίως από το
μέγεθος της πολυπλοκότητας η οποία εισάγεται κατά την υ-
λοποίηση των λειτουργιών του. Παραδοσιακά, οι αποφάσεις
δρομολόγησης εντός του δικτύου λαμβάνονται από συγκεκριμένες
συσκευές που ειδικεύονται σε αυτές τις λειτουργίες.
Η άρση του ελέγχου από τις ήδη δοκιμασμένες και έμπιστες
συσκευές και η παράδοσή του στους διαχειριστές, μπορεί να
οδηγήσει σε ολοκληρωτική καταστροφή – εκτός και αν όλα
τελεστούν ακριβώς όπως πρέπει, δίχως να υπάρχουν πολλά
περιθώρια για σφάλματα. Η κακή εφαρμογή της SDN αρχιτεκτονικής,
ουσιαστικά συνεπάγεται χάος εντός του δικτύου
και γι’ αυτό αν και σε θεωρητική βάση είναι πολύ ελκυστική,
δεν έχει ακόμα μεγάλο μερίδιο στην αγορά.
Η τρέχουσα δραστηριότητα του πρωτόκολλου OpenFlow
(Networking Foundation's) και του νέου OpenDaylight (Linux
Foundation's) είναι ο ορισμός μιας βάσης κανόνων διαμόρφωσης
ροής δεδομένων, την οποία θα χρησιμοποιούν οι
εφαρμογές και έτσι θα μπορεί να αποφευχθεί μια επικείμενη
καταστροφή. Αν οι κανόνες αυτοί οριστικοποιηθούν, συνεπάγεται
ότι θα απλοποιηθεί και η δημιουργία των εφαρμογών,
χωρίς να χρειάζεται οι δημιουργοί τους να μάθουν τα πάντα
γύρω από τον έλεγχο των δικτύων. Στην πράξη, θα ενσωματώνουν
ένα εργαλείο που θα αναλαμβάνει το σχεδιασμό του
σωστού μονοπατιού μέσω του δικτύου, ανάλογα με τις ανάγκες
τις εφαρμογής και τον προορισμό των δεδομένων της.
Γιατί κατευθυνόμαστε προς μια SDN δικτύωση
Οι εξελίξεις στο χώρο των υπολογιστών επιτάσσουν τη βελτίωση
και της δικτυακής δομής - κυρίως από άποψη λειτουργικότητας.
Η δυναμικότητα των σημερινών εφαρμογών και οι
ανάγκες αποθήκευσης που ολοένα αυξάνουν και γίνονται α-
παιτητικότερες σε λειτουργικά χαρακτηριστικά, ουσιαστικά υ-
ποδεικνύουν ότι τα δίκτυα με τον τρόπο που υλοποιούνται έ-
ως τώρα, αποτελούν τροχοπέδη στην πλήρη εκμετάλλευση
των εξαιρετικών δυνατοτήτων των προαναφερομένων.
Cloud υπηρεσίες, που απαιτούν άμεση πρόσβαση σε εφαρμογές,
στη δικτυακή δομή και τους IT πόρους του δικτύου. Ε-
φαρμογές που έχουν πρόσβαση σε βάσεις δεδομένων και
servers σε διαφορετικά γεωγραφικά σημεία, μέσω δημοσίων
και ιδιωτικών cloud δομών, οι οποίες απαιτούν εξαιρετικά ευέλικτη
διαχείριση της κίνησης των δεδομένων, καθώς και ά-
μεση πρόσβαση στο εκάστοτε δίκτυο όταν ζητηθεί. Προσωπικές
φορητές συσκευές των χρηστών που επιθυμούν να συνδεθούν
στο εταιρικό δίκτυο. Όλα τα προαναφερόμενα, απαιτούν
η ροή να μπορεί να αλλάξει και να δοθεί άμεση προτεραιότητα
όπου κρίνεται αναγκαίο, σε πραγματικό χρόνο, καθώς
και να εξασφαλίζεται ένα υψηλό επίπεδο προστασίας.
Πριν μερικά χρόνια η εγκατάσταση ενός νέου server χρονικά
μπορεί να κάλυπτε έως και 2 μήνες (παραγγελία, παραλαβή,
διαμόρφωση, εγκατάσταση), αλλά δεν έκανε εντύπωση σε
κανένα. Στις μέρες μας, ένας virtual server μπορεί να είναι λειτουργικός
μέσα σε λίγες ώρες, αλλά η ομάδα δικτύου πάλι
χρειάζεται 2 εβδομάδες για να τον εγκαταστήσει σε φυσικό
επίπεδο, κάτι που πλέον είναι σημαντικό και αποτελεί ενόχληση.
Το πραγματικό δίκτυο αντιμετωπίζεται ως δυσλειτουργικό
και αργοκίνητο μέσα στην επιχειρησιακή δομή - και
φυσικά εξαιρετικά δαπανηρό.
Τέλος, με τη μετανάστευση του ελέγχου και της λειτουργικότητας
από τους routers και switches σε ένα πιο αφηρημένο
προγραμματιζόμενο επίπεδο, αναμένονται εξαιρετικά οικονομικά
οφέλη για τους Οργανισμούς, οι οποίοι πλέον δεν θα
είναι δεσμευμένοι με μία κατασκευάστρια εταιρεία και με τους
ειδικευμένους μηχανικούς της που αναλαμβάνουν την υλοποίηση
της δικτυακής δομής.
SDN και Cloud
Δεν θα μπορούσαμε παρά να αναφερθούμε και στις cloud
δομές που υποστηρίζει το SDN και τον τρόπο που εισάγει πλεονεκτήματα.
Υπάρχουν δύο διαφορετικά SDN μοντέλα και
δύο διαφορετικές SDN αποστολές όσον αφορά στο Cloud
computing. Μιας και τα επιμέρους δίκτυα είναι αυτά που δημιουργούν
αυτό που ονομάζουμε cloud, η διαχείριση του τρόπου
συνεργασίας των δύο αυτών μερών θα μπορούσε να αυξήσει
την αποδοτικότητα και φυσικά την επιτυχία των cloud δομών.
Στο Cloud computing οι χρήστες συνδέονται σε μία κοινότητα
που έχει δημιουργήσει το cloud περιβάλλον. Οι πάροχοι της
δομής αντιμετωπίζουν το πρόβλημα της πολλαπλής χρήσης,
τόσο σε επίπεδο δικτύου όσο και σε επίπεδο servers και βάσεων
δεδομένων. Όλοι λοιπόν οι κοινοί πόροι πρέπει να διαμοιράζονται
με τέτοιον τρόπο ώστε η μία εφαρμογή να μην
επηρεάζει τη λειτουργία της άλλης - και όλο αυτό σε ένα περιβάλλον
ασφαλές και εχέμυθο. Παρόλο που οι δικτυακές τεχνολογίες
όπως το IP και Ethernet, έχουν virtual δικτυακές
δυνατότητες, δεν είναι απεριόριστες σχετικά με το πόσους
χρήστες μπορούν να υποστηρίξουν και πώς θα απομονώσουν
τους χρήστες μεταξύ τους. Αυτή η ανάγκη υποστήριξης πολλαπλών
ταυτόχρονων χρηστών και διατήρησης του ελέγχου,
οδηγεί στην SDN οπτική.
28 | security

Δημιουργήθηκαν λοιπόν δύο μοντέλα SDN, το "overlay model"
(μοντέλο επικάλυψης) και το "network model" (μοντέλο
δικτύου). Στο "overlay model" χρησιμοποιείται λογισμικό το ο-
ποίο δημιουργεί ένα virtual δίκτυο, ενώ στο "network model"
χρησιμοποιούνται συσκευές για να δημιουργηθεί αυτό το virtual
δίκτυο.
Αναλυτικότερα, στο overlay SDN, ένα λογισμικό διαμοιράζει
τις IP και Ethernet διευθύνσεις σε πολλαπλά virtual υποδίκτυα,
παρόμοια με τον τρόπο που το TCP χρησιμοποιεί τις θύρες
του. Το καινούριο αυτό σύνολο των APIs επιτρέπει στις ε-
φαρμογές να έχουν πρόσβαση σε αυτά τα υποδίκτυα, με α-
σφάλεια. Οι υπόλοιπες δικτυακές συσκευές δεν έχουν αντίληψη
ότι αυτά τα virtual υποδίκτυα υπάρχουν και έτσι δεν αλλάζει
ο τρόπος με τον οποίο χειρίζονται την κίνηση των δεδομένων.
Τα Network-hosted SDNs δημιουργούνται από δικτυακές
συσκευές και έτσι διαχειρίζονται την SDN κίνηση απευθείας.
Στην περίπτωση του overlay SDN, μιας και όλα στηρίζονται
στην ύπαρξη συγκεκριμένου λογισμικού, δεν μπορεί να διασφαλιστεί
ότι ο χρήστης θα έχει το απαιτούμενο πρόγραμμα
για να συνδεθεί. Στην περίπτωση του network-hosted SDN οι
συσκευές δύσκολα μπορούν να αναβαθμιστούν και δεν χρησιμοποιείται
καθόλου η verlay virtualization. Τέλος, σχετικά με
την WAN QoS (quality of service) διαπιστώνεται ότι δεν μπορεί
να διασφαλιστεί με το overlay μοντέλο, μιας και δεν γίνεται
καμία προσπάθεια ελέγχου της ροής των δεδομένων - σε
αντίθεση με το network μοντέλο που την ικανοποιεί. Επίσης
το network μοντέλο προσφέρει ακριβώς τις ίδιες διασυνδέσεις
και υπηρεσίες στους χρήστες, όπως πριν, χωρίς να α-
παιτούνται αλλαγές σε επίπεδο λογισμικού ή συσκευών.
Η τάση στην αγορά
Αν και το SDN βρίσκεται ακόμα σε πρώιμη κατάσταση, οι δυνατότητές
του οδήγησαν σε προβλέψεις σχετικά με τη δυναμική
του στην αγορά. Υπολογίστηκε λοιπόν ότι από τα 360εκ.
που έχει στο μερίδιο της αγοράς το 2013, θα εκτιναχθεί στα
3,7 δις το 2016. Πιθανολογείται ότι η δικτυακή βιομηχανία που
εμπορευόταν routers, switches, controllers κ.ά. θα υποστεί
πτώση από το 60% του μεριδίου της αγοράς που κατείχε έ-
ως σήμερα, στο 10%-20% και ουσιαστικά θα μετατραπεί σε
βιομηχανία των servers.
Οι επικρατούσες έως τώρα εταιρείες στη δικτυακή υλοποίηση,
όπως η Cisco και η Juniper, δηλώνουν ότι δεν ανησυχούν
με τις επικείμενες αλλαγές και παρουσιάζουν λύσεις ενσωμάτωσης
του ήδη υπάρχοντος υλικού στη νέα δικτυακή πραγματικότητα.
Πρότειναν να προσθέσουν έλεγχο σε επίπεδο
λογισμικού στις ήδη υπάρχουσες συσκευές, ώστε να συμμορφώνονται
με τις SDN αρχές λειτουργίας. Η Cisco δημιούργησε
την Open Network Environment (ONE) πλατφόρμα,
για να επιτρέψει τη χρήση του εξοπλισμού της στα υπάρχοντα
δίκτυα, με τα πλεονεκτήματα όμως της SDN αρχιτεκτονικής.
Στην πραγματικότητα, λίγοι Οργανισμοί έχουν υιοθετήσει τη
νέα τεχνολογία - ανάμεσά τους και η Google, η οποία συνέδεσε
όλα τα κέντρα δεδομένων της, μεταξύ τους. Ο αντιπρόεδρος
του τεχνικού τμήματος της Google δήλωσε ότι η
εφαρμογή του SDN βελτίωσε τον τρόπο που τα δεδομένα κινούνται
μέσω του εσωτερικού δικτύου της εταιρείας. Επίσης,
με αυτόν τον τρόπο η εταιρεία μπορεί να δίνει προτεραιότητα
σε συγκεκριμένη κίνηση δεδομένων, όπως π.χ. τα Gmail α-
ντίγραφα ασφαλείας, ώστε να διασφαλίζεται ότι υλοποιούνται
σε ένα λογικό χρονικά περιθώριο.
Λόγω της πολυπλοκότητάς του, το SDN δεν είναι έτοιμο να
υλοποιηθεί άμεσα σε ευρεία κλίμακα. Απαιτείται ειδικευμένο
προσωπικό με εξαιρετικές προγραμματιστικές ικανότητες καθώς
και πολλές εργατοώρες για τη μετάβαση από τη μία δομή
στην άλλη, ώστε να αποφευχθούν μοιραία για τη λειτουργία
του δικτύου σφάλματα. Αλλά μόλις ενσωματωθεί σε μία δικτυακή
δομή, τα πλεονεκτήματά του θα γίνουν αμέσως αντιληπτά.
Τα περιβάλλοντα Cloud computing που θα ελέγχονται
από το SDN θα αυξήσουν σημαντικά την ταχύτητα απόκρισής
τους και την αποδοτικότητά τους, μιας και τα δίκτυα θα
βελτιστοποιηθούν με γνώμονα τις εφαρμογές που υλοποιούνται
σε αυτές τις δομές. Τα εταιρικά δίκτυα καθώς και τα δίκτυα
κινητής τηλεφωνίας επίσης θα ωφεληθούν, ενώ το κόστος
των νέων δικτύων θα περιοριστεί σημαντικά. iTSecurity
security | 29

I SSUE
Xαράλαμπος Γκιώνης
ΜSc Electrical Engineering - Computer Networks
Wetware και Social Engineering
Α' μέρος – Ο Ανθρώπινος παράγοντας
στην ασφάλεια πληροφοριακών συστημάτων
Τι γίνεται όταν ο άνθρωπος και απλός χρήστης του εσωτερικού δικτύου μπορεί να αποδειχθεί
ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας της πληροφορικής;
H
ασφάλεια του εσωτερικού δικτύου οργανισμού σήμερα μπορεί εύκολα να προστατευθεί από ένα καλά προγραμματισμένο
και συχνά ανανεωμένο σύστημα προστασίας που μπορεί να περιλαμβάνει φυσική (physical) και λογική
(logical) ασφάλεια. Η υψηλή ασφάλεια σε λογισμικό (software) και υλικό (hardware), όπως συνεχώς αναλύεται σε
αντίστοιχα άρθρα, μπορεί να περιλαμβάνει υψηλές προδιαγραφές, που θα εξασφαλίζουν ένα αδιαπέραστο εσωτερικό
δίκτυο. Μερικά από τα χαρακτηριστικά του μπορεί να είναι οι κάρτες εισόδου και τα βιομετρικά δεδομένα (CAD-biometric data),
30 | security

η αυστηρή πολιτική χρήσης κωδικών εισόδου (password), το τοίχος
προστασίας (firewall) και η προστασία απέναντι σε ιούς
(antivirus), η ζωντανή παρακολούθηση δεδομένων (live data
and protocol monitoring) και η άψογα σχεδιασμένη πολιτική α-
σφαλείας (security policy). Ταυτόχρονα, μπορεί να περιλαμβάνει
πιστοποιημένα συστήματα hardware / software κατά ISO
15408 (Common Criteria) και κατατεταγμένα συστήματα στο υ-
ψηλότερο επίπεδο ασφαλείας EAL (Evaluation Assurance Level).
Η μεγαλύτερη αυτή δυνατή προστασία γίνεται σε οργανισμούς,
επιχειρήσεις, κρατικές ή στρατιωτικές υπηρεσίες, που κατέχουν
υψηλής σημασίας πληροφορίες είτε για τον εμπορικό ανταγωνιστή
/ συναγωνιστή τους είτε για τον κρατικό μη σύμμαχό τους.
Ταυτόχρονα όλα αυτά εφαρμόζονται από κατάλληλα εκπαιδευόμενο
προσωπικό, που κατέχει την απαραίτητη γνώση / ε-
μπειρία και έχει προσληφθεί ειδικά για το σκοπό αυτό.
Τι γίνεται όμως όταν κάποιος κακόβουλος προσποιούμενος
τον διαχειριστή ασφαλείας του δικτύου της εταιρείας τηλεφωνήσει
στην ευγενική μορφωμένη γραμματέα (απόφοιτο υψηλών
θεωρητικών επιστημών) του διευθυντή της εταιρείας, που απλά
διεκπεραιώνει την αλληλογραφία στους τελικούς αποδέκτες και
την πείσει ότι «ο υπολογιστής της έχει πρόβλημα και χρειάζεται
τον κωδικό της, για να ρυθμίσει τον λογαριασμό της»? Στην
περίπτωση αυτή έχει πιθανότατα αποσπάσει το κωδικό πρόσβασης
στο εσωτερικό δίκτυο υπολογιστών με τις ανυπολόγιστες
συνέπειες, που όλοι γνωρίζουμε. Ακόμα και αν μόνο μέσα
σε λίγες ώρες διαπιστωθεί η παραβίαση ασφαλείας (πχ η α-
πώλεια του κωδικού), η εσωτερική ασφάλεια του δικτύου έχει
ήδη “σπάσει”. Στην περίπτωση αυτή όλα τα πανάκριβα λογισμικά
και υπολογιστικά συστήματα που περιγράφηκαν στην
πρώτη παράγραφο καθίστανται ανίκανα να αντιμετωπίσουν τον
εισβολέα.
Αυτό το παράδειγμα αποδεικνύει την σημασία που έχει πλέον η
κοινωνική μηχανική στην ασφάλεια υπολογιστών. Πριν από μερικά
χρόνια η αναζήτηση του όρου κοινωνική μηχανική στο διαδίκτυο
ως “social engineering” θα παρουσίαζε μερικές μόνο πηγές
όπως πώς να ξεγελάσουμε και να παραγγείλουμε δωρεάν πίτσα
ή πως να έξυπνα να προσεγγίσει κάποιος μια γυναίκα! Σήμερα,
παγκοσμίως η κοινωνική μηχανική περιλαμβάνεται στις πολιτικές
ασφαλείας μεγάλων οργανισμών, ενώ τα τελευταία 3 συνεχή
έτη έχει συμπεριληφθεί ο διαγωνισμός Capture the Flag
(CTF) Social Engineering στο μεγαλύτερο διαγωνισμό hackers
παγκοσμίως, την Defcon στο Las Vegas, NV, με τη συμμετοχή
μεγάλων επιχειρήσεων - στόχων που ανήκουν στο Fortune 500
όπως Cisco, AT&T, Verizon, HP κ.α. Η συμμετοχή των επιχειρήσεων
γίνεται φυσικά χωρίς οι ίδιες και το τεράστιο δίκτυο των
υπαλλήλων - χρηστών του εσωτερικού δικτύου να γνωρίζουν ό-
τι αποτελούν στόχους. Στον γνωστό αυτό διαγωνισμό ανακαλύπτονται
όλα τα ταλέντα στο hacking ενώ συχνή είναι και η συμμετοχή
αμερικάνικων κρατικών οργανισμών (FBI, DoD, NSA κ.α.).
Ο ίδιος ο άνθρωπος και απλός χρήστης του εσωτερικού δικτύου
αντιμετωπίζεται στο παρόν άρθρο ως ο πιο αδύναμος κρίκος
στην αλυσίδα ασφαλείας της πληροφορικής. Αυτός ο υπάλληλος
και απλός χρήστης του εσωτερικού δικτύου του οργανισμού,
μετά το hardware και το software που καλούμαστε να προστατεύσουμε
έναντι των κακόβουλων κοινωνικών μηχανικών, α-
ποτελεί το τρίτο βασικό χαρακτηριστικό της ασφάλειας υπολογιστών,
το wetware (προέρχεται από το υγρό/νερό που υ-
πάρχει στους βιολογικούς οργανισμούς, όπως το μυαλό του
ανθρώπου-συχνά συναντάται και ως brainware). Στο παραπάνω
αρχικό παράδειγμα οι ακριβοπληρωμένοι διαχειριστές α-
σφαλείας του δικτύου εύκολα νικήθηκαν από έναν απλό συνάδελφό
τους, που πολύ απλά χειρίζεται επεξεργαστές κειμένου,
αφού ο τελευταίος κατάφερε να δημιουργήσει ένα τεράστιο κενό
ασφαλείας απλά και μόνο με την κοινωνική του ευγένεια και
επικοινωνία εμπιστευόμενος πλήρως τις εντολές του (υποτιθέμενου)
προϊστάμενού του.
Στην κοινωνική μηχανική, τα ηλεκτρονική ίχνη και οι πληροφορίες
που παρουσιάζονται χωρίς καμία διαβάθμιση (πχ στα κοινωνικά
μέσα ή στην συμμετοχική διαδικασία του WEB 2.0 ό-
ταν γράφουμε διάφορα σχόλια σε ιστολόγια) ή πετάμε στα
σκουπίδια (ως εξοφλημένους λογαριασμούς ή παλιές λίστες
προσωπικού) ως απλοί δικτυακοί χρήστες, είτε εντός είτε εκτός
επαγγελματικού περιβάλλοντος μπορεί να αποδειχτούν καταστροφικά.
Η συλλογή αυτών από έναν κακόβουλο χρήστη συνθέτει
μια συνολικά περαιτέρω αξιοποιήσιμη πληροφορία θέτοντας
σε κίνδυνο την ασφάλεια του επαγγελματικού μας οργανισμού.
Η βασική αρχή του διαχωρισμού της επαγγελματικής ι-
διότητας με τις απλές κοινωνικές σχέσεις στα ψηφιακά μέσα ε-
security | 31

I SSUE
Wetware και Social Engineering
φαρμόζεται περισσότερο μόνο σε κοινωνίες με υψηλή πληροφοριακή
κουλτούρα. Στις κοινωνίες αυτές, προσωπικές ερωτήσεις
(προφορικές ή δικτυακές) του τύπου «Με τι ακριβώς α-
σχολείσαι στην εταιρεία σου?» είναι λιγότερο πιθανές να συμβούν.
Αντίθετα, μάλιστα στις κοινωνίες αυτές, με υψηλή κοινωνική/πληροφοριακή
κουλτούρα, είναι ακόμα πιο απίθανο να δοθεί
η απάντηση σ’ αυτήν την ερώτηση.
Στο παρόν άρθρο εξετάζεται η έννοια της κοινωνικής μηχανικής,
με βάση την οδηγία US CERT 2009 ST04-014, μια έννοια
που στην ελληνική πληροφοριακή κουλτούρα εκτιμάται ότι συμβαδίζει
με τη γενικότερη διείσδυση του πληθυσμού στην πληροφορική
και στο διαδίκτυο και συνεπώς εκτιμάται ως ιδιαίτερα
χαμηλή. Στο πρώτο μέρος του άρθρου επεξηγούνται οι πληροφορίες
ανοικτών (ψηφιακών) πηγών σε συνδυασμό με την ε-
θνική μας πληροφοριακή κουλτούρα και διασαφηνίζεται η βασική
έννοια της κοινωνικής μηχανικής με παραδείγματα παραπλάνησης
του προσωπικού και παραβίασης της εσωτερικής δικτυακής
ασφάλειας ενός οργανισμού, μιας επιχείρησης ή κρατικών
δικτυακών συστημάτων. Στο δεύτερο μέρος του άρθρου
κατηγοριοποιούνται οι περιπτώσεις της κοινωνικής μηχανικής και
περιγράφονται όλα τα ευάλωτα ανθρώπινα χαρακτηριστικά, με
τα οποία οι κοινωνικοί μηχανικοί παρακάμπτουν, με υψηλό ταλέντο
και μηδαμινό κόστος, όλα τα πανάκριβα συστήματα α-
σφαλείας δικτύων υπολογιστών. Τέλος, παρουσιάζονται όλοι οι
παράγοντες που επιδρούν στην κοινωνική μηχανική, η αξιοπιστία
της ως τεχνική παραπλάνησης, οι τρόποι άμυνας καθώς και
οι ανάγκες περαιτέρω εκπαίδευσης του απλού υπαλληλικού προσωπικού.
Ανοικτές Πηγές Πληροφοριών (Open
Sources Intelligence)
Το αντικείμενο και η εξέταση της πληροφορίας είναι ιδιαίτερα
ογκώδες και πολύπλευρο ανάλογα την κατηγορία που αφορά.
Οι βασικές αρχές όμως σε οποιοδήποτε τομέα είναι ίδιες όπως
ότι η πληροφορία διακρίνεται σε αδιαβάθμητη ή διαβαθμισμένη
σε κάθε επίπεδο (βιομηχανικό, εμπορικό, κρατικό, στρατιωτικό).
Κατά βάση κάθε αδιαβάθμητη πληροφορία συλλέγεται ε-
λεύθερα από ανοικτές (ψηφιακές) πηγές, ενώ η διαβαθμισμένη
πληροφορία φυλάσσεται στα εσωτερικά δίκτυα ενός οργανισμού.
Η έννοια της προστασίας της πληροφορίας αφορά στις
διαβαθμισμένες πληροφορίες.
Στην επιστήμη της πληροφορίας, όμως, οι διάφορες φάσεις,
που υφίστανται αυτή, όπως η συλλογή, η επεξεργασία, η σύνθεση
και η ανάλυση καθιστούν ολόκληρη την πληροφοριακή α-
λυσίδα ευάλωτη σε κακόβουλη χρήση και συνιστούν κυρίαρχο
αντικείμενο την προστασία της. Πιο απλά, ενώ, μια απλή πληροφορία
είναι καθόλα αδιαβάθμητη, όπως πχ ένας απλός α-
ριθμός τηλεφώνου, η σύνθεση αυτής με ακόμα μια ή περισσότερες
επίσης αδιαβάθμητη/τες πχ με το αντίστοιχο όνομα ενός
πρέσβη γειτονικής χώρας, καθιστούν το τελικό αποτέλεσμα διαβαθμισμένο
ή αλλιώς απόρρητο. Ακόμα πιο απλά η σύνθεση
πολλών εντελώς αδιαβάθμητων πληροφοριών ανοικτών πηγών
πολλές φορές οδηγούν σε πληροφορίες άκρως διαβαθμισμένες,
η αποκάλυψη των οποίων θέτει σε κίνδυνο την ασφάλεια
ενός οργανισμού, μιας βιομηχανίας ακόμα και ενός κράτους.
Οι μέθοδοι και η χρήση τεχνικών που αφορούν συλλογή και
σύνθεση αδιαβάθμητων πληροφοριών από ανοικτές πηγές σε
συνδυασμό με τεχνικές ανθρώπινης εξαπάτησης και απόσπασης
διαβαθμισμένων πληροφοριών αποτελούν το βασικό κορμό
της έννοιας κοινωνικής μηχανικής στην επιστήμη της πληροφορικής.
Οι παλαιότερα λεγόμενες μυστικές υπηρεσίες, εκτός
από τις γνωστές επιχειρησιακές αποστολές που αναλαμβάνουν
στο φυσικό χώρο ανά τον κόσμο (γνωστές κυρίως από ταινίες
του James Bond με μια όμορφη γυναίκα που αποσπά πληροφορίες
σε αναπτυσσόμενες χώρες!) στην εποχή μας επικεντρώνονται
ακριβώς στον τομέα συλλογής και σύνθεσης αδιαβάθμητων
πληροφοριών μέσω (ψηφιακών) ανοικτών πηγών
(Internet, συνέδρια, συνεντεύξεις, περιοδικά, εφημερίδες κλπ) σε
συνδυασμό με άλλες μεθόδους που δεν είμαστε σε θέση να
γνωρίζουμε αλλά απλά φανταζόμαστε. Σε κάθε περίπτωση ό-
32 | security

μως σήμερα η ψηφιακή πληροφορία στα πλαίσια του βιομηχανικού
απορρήτου είναι πλέον η πρώτη προτεραιότητα όσον α-
φορά στη φύλαξή της, στη συλλογή της, στη σύνθεσή της και
την αξιοποίησή της.
Η σύνθεση πληροφοριών ανοικτών πηγών στην έννοια της κοινωνικής
μηχανικής αποτελεί το πρώτο ή το αρχικό παράλληλο
στάδιο. Εκτελείται με ιδιαίτερη ευκολία και αποτελεί μια ιδιαίτερα
επιτυχημένη μέθοδο. Ως στόχος χρησιμοποιείται κάποιο
στέλεχος της εταιρείας ή ένας απλός υπάλληλος σε αμέριμνες
στιγμές του ή σε επιλεγμένες ψυχικές καταστάσεις ή ακόμα και
από τις ψηφιακές πληροφοριές που αυτός αφήνει στο διαδίκτυο.
Μερικά από αυτά τα ηλεκτρονικά ίχνη (πληροφορίες) που αυτός
ο ίδιος αφήνει να αιωρούνται στον κυβερνοχώρο μπορούν
να κατασταστούν ιδιαίτερα επιζήμια για τον ίδιο προσωπικά ή
για τον οργανισμό του. Γενικά χρησιμοποιούνται ανοικτές πηγές
με αναζητήσεις στον κυβερνοχώρο (Internet, φωτογραφίες,
βίντεο, δημοσιεύσεις, βάσεις δεδομένων, κοινωνικά μέσα
κ.α.) αλλά και στον φυσικό κόσμο με τηλεφωνικές λίστες, πεταμένα
προσωπικά δεδομένα με ταχυδρομικές διευθύνσεις ή
γραμμένους κωδικούς στα καλάθια σκουπιδιών! Η τελευταία είναι
μια ιδιαίτερα πετυχημένη μέθοδος (ονομάζεται Dumpster
Diving) που αποτελεί την παλαιότερη τακτική στην κοινωνική
μηχανική και θα εξετασθεί στην συνέχεια.
Ορισμός κοινωνικής μηχανική (Social
Engineering)
Λόγω της φύσης της η έννοια της κοινωνικής μηχανικής είναι
σχετικά δύσκολο να καθοριστεί και ακόμα πιο πολύπλοκη στο
να περιγραφεί και να οριστεί. Οι μέθοδοι, τεχνικές και η αποτελεσματικότητα
της είναι συνεχώς εξελίξιμες και δυναμικές και
όπως όλες οι επιθέσεις, προσαρμόζεται στον στόχο και στον
αμυνόμενο. Η προσπάθεια να διευκρινιστεί μέσω ορισμού επιφέρει
μεγαλύτερη δυσκολία σε κάθε απλό πληροφοριακό χρήστη,
ενώ, μέσω της εξέτασης των παραδειγμάτων και των αποτελεσμάτων
που επιφέρει σε περίπτωση επιτυχίας, η κατανόηση
και απορρόφηση της έννοιας καθίσταται ιδιαίτερα εύκολη.
Σε κοινωνικά, καθαρά επίπεδο, η κοινωνική μηχανική είναι απάτη
(περιλαμβάνει εξαπάτηση), και ορίζεται ως η καθοδήγηση/χειρισμός
ανθρώπων στη συμπεριφορά και στην αποκάλυψη πληροφοριών.
Σε καθαρά πληροφοριακό επίπεδο, ορίζεται αντίστοιχα
ως πληροφοριακή απάτη με σκοπό το hacking σε διαφορετικά
επίπεδα.
Σήμερα εφαρμόζονται πολλές τεχνικές (σε υλικό και εφαρμογές)
που σκοπό έχουν να αποτρέψουν την επιτυχία μια προαποφασισμένης
επίθεσης στο εσωτερικό μας δίκτυο. Στον αντίποδα,
η κοινωνική μηχανική έχει ως σκοπό να παρακάμψει ό-
λες αυτές τις τεχνικές και συστήματα και επικεντρώνεται στους
απλούς ανθρώπινους χρήστες, στην ψυχολογία τους, στους
τρόπους συμπεριφοράς τους, στο μυαλό τους, στα συναισθήματά
τους, στο wetware. Η ανθεκτικότητα της κοινωνικής μηχανικής
σε προσπάθειες παράκαμψης των μέτρων ασφαλείας
έγκειται κυρίως στην έλλειψη του παράγοντα εκπαίδευσης προσωπικού
στις πολιτικές ασφαλείας των δικτύων μας. Η επέκταση
της απειλής θα συμβαίνει όσο η επιχειρηματική κοινότητα ή
οι κρατικοί οργανισμοί με σημαντική αξία εσωτερικού δικτύου
(πλήθος χρηστών) δεν αντιλαμβάνονται το πόσο ευάλωτοι καθίστανται
σε αυτού του είδους τις επιθέσεις.
Μια απλή αναδρομή στην κατασκευή και δομή των υπολογιστικών
συστημάτων είναι ότι αυτά είναι κατασκευασμένα να παρέχουν
προγραμματισμένες αντιδράσεις (unconditional response)
σε καθορισμένες εντολές (instructions). Οι περισσότερες τεχνικές/πολιτικές
ασφαλείας επικεντρώνονται σ’ αυτό ακριβώς το
επίπεδο, παρέχοντας προστασία των υπολογιστικών συστημάτων
επιτρέποντας ή απαγορεύοντας την πρόσβαση σ’ αυτά. Η
κοινωνική μηχανική, όμως, επιχειρεί να εξετάσει και να εισχωρήσει
στην πληροφορική ασφάλεια αδιαφορώντας για την αρχιτεκτονική
των ψηφιακών μηχανών ή δικτύων αλλά στοχοποιώντας
την ανθρώπινη φύση, τα συναισθήματα και τις τάσεις της.
Όπως, ακριβώς, γνωρίζουμε το hardware (υλικό) και το software
(λογισμικό) καθώς και την συνεργασία μεταξύ τους για την παροχή
πληροφοριακής ασφάλειας μια νέα έννοια ορίζεται ως ε-
πίσης καθοριστικός παράγοντας στην ασφάλεια: το WETWARE.
Το wetware αποτελεί αναπόσπαστο εργαλείο “εγκατεστημένο”
στον υπολογιστή και απλά περιγράφει τις ανθρώπινες αντιδράσεις
σε συνεργασία με το υπόλοιπο υπολογιστικό υλικό και
εφαρμογές και κατ’ επέκταση με ολόκληρο το εσωτερικό δί-
security | 33

I SSUE
Wetware και Social Engineering
κτυο του οργανισμού. Περιγράφει απλά τον άνθρωπο που χειρίζεται
τον υπολογιστή ενός εσωτερικού δικτύου ο οποίος α-
ποτελεί τη (νοητή) διασύνδεση με όλα τα υπόλοιπα δίκτυα (διαδίκτυο,
σταθερή τηλεφωνία, κινητή τηλεφωνία, κοινωνικά μέσα,
φυσικές κοινωνικές επαφές, κλπ). Το Wetware είναι αντίστοιχα
κρίσιμο για την ασφάλεια του δικτύου όπως ακριβώς είναι το
hardware και το software, αφού όλο το υλικό, λογισμικό, servers,
συσκευές εισόδου/εξόδου, γραμμές σύνδεσης, συνδέονται α-
ποκλειστικά με τους χειρισμούς και το μυαλό του χρήστη με το
αντίστοιχο Username στο εσωτερικό δίκτυο. Σε γενικότερο ε-
πίπεδο, το Wetware ως πληροφοριακός όρος έχει περιγραφεί
«ως το management των ανθρώπων σε συσχετισμό με την θέση
τους και τη λειτουργία τους στην κοινωνία».
Οι πιθανότεροι στόχοι στην κοινωνική μηχανική είναι οι υπάλληλοι
και τα στελέχη που βρίσκονται σε θέσεις στις οποίες διαχειρίζονται
ευαίσθητες πληροφορίες. Ενώ οι ίδιοι αντιλαμβάνονται
πλήρως τη συναίσθηση του καθήκοντός τους, αυτό δε
σημαίνει απαραίτητα ότι κατανοούν και τους ψηφιακούς κινδύνους,
αφού οι ίδιοι δεν είναι επαγγελματίες IT. Γνωρίζουν τη βάση
εφαρμογής της πολιτικής ασφαλείας αλλά δεν είναι πάντα
ενήμεροι για τη συνεχώς εξελίξιμη επιτυχημένη έννοια της ψηφιακής
εξαπάτησης.
Σημαντικός είναι επίσης ο κίνδυνος που μπορεί να προκύψει “από
μέσα” από τους ίδιους τους υπαλλήλους μιας εταιρείας είτε
εκούσια είτε ακούσια. Ο παράγοντας αυτός μας είναι γνωστό
και από το φυσικό κόσμο, αφού μεγάλο ποσοστό κάθε ε-
γκλήματος προέρχεται από τον ίδιο το γνωστό κύκλο του θύματος.
Σε μελέτες που έχουν γίνει αποδεικνύεται ότι το 30% των
παραβιάσεων ασφαλείας γίνεται από εξωγενείς παράγοντες.
Αυτό σημαίνει ότι το υπόλοιπο 70% των παραβιάσεων ασφαλείας
γίνεται από μέσα, δηλαδή τους υπαλλήλους που χειρίζονται
το δίκτυο υπολογιστών της εταιρείας ή του οργανισμού ή
ήταν πρώην (απογοητευμένοι και εκδικητικοί) υπάλληλοι της ε-
ταιρείας στο άμεσο προηγούμενο χρονικό διάστημα.
Πληροφοριακή Κουλτούρα (Απλών Χρηστών
και Διαχειριστών Δικτύου)
Η πληροφοριακή κουλτούρα, ένας σημαντικός παράγοντας της
κοινωνικής μηχανικής, ως ένα βαθμό αντανακλά το επίπεδο εκπαίδευσης
που έχει το σύνολο ενός λαού, συνόλου ή ομάδας
υπαλλήλων. Αντανακλά το επίπεδο επιμόρφωσης του προσωπικού
/υπαλλήλων στην φιλοσοφία της ασφάλειας του εσωτερικού
δικτύου του οργανισμού καθώς και στην έννοιας της πληροφορίας
για τον οργανισμό. Ο υπάλληλος ως τελικός απλός
χρήστης του εσωτερικού δικτύου μεταμορφώνεται σε βασικό
(δια)χειριστή της ασφάλειας του δικτύου του οργανισμού, όσον
αφορά τη διαθεσιμότητα αυτής της πολύτιμης, για τον οργανισμό
εγκατάστασης, χωρίς όμως, πολλές φορές να διαθέτει το
απαραίτητο υπόβαθρο για την υποστήριξή της. Σε τοπικό επίπεδο
χρήστη ο ανθρώπινος παράγοντας περνάει στις περισσότερες
περιπτώσεις σε δεύτερη μοίρα όσον αφορά την εκπαίδευση
περί ασφάλειας υπολογιστικών συστημάτων.
Οι νεαρότερες ηλικίες, ακόμα και αυτοί που είναι περισσότερο
εξοικειωμένοι με καθημερινές ηλεκτρονικές συναλλαγές καθώς
και ηλεκτρονικά gadgets, διατηρούν στην αίσθηση τους ότι είναι
ασφαλείς μόνο με ένα firewall και ένα antivirus. Ακόμα και
σ’ αυτές τις ηλικίες, όπου το κινητό τους τηλέφωνο ξεπερνά τις
δυνατότητες ενός διπήρυνου home pc, δεν παραλείπονται τα
κενά ασφαλείας. Η ελεύθερη επικοινωνία με φίλους, γνωστούς
και αγνώστους σε κοινωνικά μέσα όταν οι ίδιοι εργάζονται σε
ευαίσθητους τομείς οργανισμών, ή, ακόμα και η αδυναμία τους
να καλύψουν τα κενά ασφαλείας καταδεικνύουν τη χαμηλή α-
ντίληψη των αρχών της πληροφοριακής ασφάλειας.
Ο διαχειριστής ασφαλείας (administrator) ενός δικτύου μιας ε-
πιχείρησης/οργανισμού, δεν είναι πάντα ο μόνος υπεύθυνος
για την απώλεια ευαίσθητων πληροφοριών. Πιθανότατα, όμως,
συγκαταλέγεται πάντα στους συνυπεύθυνους, αφού στις αρμοδιότητες
του συγκαταλέγεται και η εκπαίδευση του προσωπικού
και η αναβάθμιση της πληροφοριακής τους κουλτούρας που πολύ
συχνά παραλείπεται. Η νοοτροπία της ομάδας διαχείρισης
ασφαλείας στην συμπεριφορά ως “computers geeks υψηλού
προγραμματισμού” απέναντι όλων των απλών υπαλλήλων και
χρηστών είναι ασφαλώς παρωχημένη. Όπου αυτή εφαρμόζεται
πιθανόν καταδεικνύει τη χαμηλή πληροφοριακή επιμόρφωση
της ίδιας της ομάδας. Η ομάδα οφείλει να προστατεύει τον
οργανισμό μέσω του hardware, software αλλά και του malware.
Σε καμία περίπτωση δεν δρα μεμονωμένα, γιατί με τον τρόπο
αυτό το προσωπικό και ο κάθε υπάλληλος μεμονωμένα καθίσταται
ο πιο αδύναμος κρίκος στην ασφάλεια των υπολογιστικών
συστημάτων.
Για την εξέταση της πληροφοριακής κουλτούρας του ελληνικού
κοινού αποτελεί ιδιαίτερη πρόκληση η μικρή ανάλυση της σημερινή
τεχνολογικής διείσδυσης του ελληνικού πληθυσμού στις
τεχνολογικές εφαρμογές. Η πληροφοριακή κουλτούρα με την
34 | security

Διάγραμμα 1
τεχνολογική διείσδυση είναι άρρηκτα συνδεδεμένες μεταξύ τους
αφού καθορίζουν την ενσωμάτωση στην καθημερινότητά μας,
στην επαγγελματική μας ζωή καθώς και στην εθνική νομοθεσία
μας, πληροφοριακών όρων όπως cyber defense, phishing attack,
Internet, κυβερνοάμυνα, κα. Ταυτόχρονα, καθορίζει τον τρόπο
χρήσης της υπολογιστικής επιστήμης είτε ως πολύπλευρο ε-
παγγελματικό ή προσωπικό εργαλείο για τη διευκόλυνση της
καθημερινότητάς μας και την δημιουργικότητα μας, είτε ως έ-
να καινούριο gadget για surfing σε νέα και κουτσομπολιά μεταξύ
φίλων ή στην ίδια απλή χρήση ως παιχνιδομηχανή όπως το
1985 με τον Commodore 64. Στο χειρότερο βαθμό η πληροφοριακή
κουλτούρα μπορεί να εμφανίζεται σε κάποιους μηδενική,
αφού ακόμα και αν λειτουργούν καθημερινά ως χρήστες
σε κάποιον οργανισμό πιθανόν να το αισθάνονται ως ένα “καταναγκαστικό”
εργαλείο που είναι απαραίτητο γιατί απλά καθίσταται
υποχρεωτικό από την διεύθυνση του οργανισμού.
Η κοινωνική μηχανική διακρίνεται γενικά σε τέσσερις συνδυαστικές
φάσεις που είναι: η συγκέντρωση πληροφοριών, η ανάπτυξη
σχέσεων, η εκτέλεση και η εκμετάλλευση/αξιοποίηση των
αποτελεσμάτων. Έχοντας ήδη αναλύσει τις μεθόδους συγκέντρωσης
πληροφοριών και την στοχοποίηση χρηστών στο διάγραμμα
1 παρουσιάζονται όλες οι φάσεις. Στο επόμενο μέρος
εξετάζονται τα ανθρώπινα χαρακτηριστικά που συνδράμουν
την ανάπτυξη επιθέσεων κοινωνικής μηχανικής στις προσωπικές
ή επαγγελματικές ψηφιακές πληροφορίες στο αντίστοιχο δίκτυο
υπολογιστών. iTSecurity
ΒΙΒΛΙΟΓΡΑΦΙΑ
1. Thomas R. Peltier CISSP, CISM (2006): Social Engineering: Concepts and Solutions, Information Systems Security, 15:5, 13-21,
http://dx.doi.org/10.1201/1086.1065898X/46353.15.4.20060901/95427.3
2. Kurt Manske (2000): An Introduction to Social Engineering, Information Systems Security, 9:5, 1-7,
http://dx.doi.org/10.1201/1086/43312.9.5.20001112/31378.10
3. Infosecurity Magazine, “Social engineering: Re-defining the human factor”, 24 May 2010, http://www.infosecurity-magazine.com/view/9697/socialengineering-redefining-the-human-factor/
4. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal: A Global Perspective, 18:1, 40-46,
http://dx.doi.org/10.1080/19393550802623214
5. Alistair S. Duff (2005): Social Engineering in the Information Age, The Information Society: An International Journal, 21:1, 67-71,
http://dx.doi.org/10.1080/01972240590895937
6. Cadet Derek Kvedar, 2nd Lieutenant Michael Nettis and Dr. Steven P Fulton, USAF Academy, “The Use of Formal Social Engineering
Techniques to Identify Weaknesses during a Computer Vulnerability Competition”
7. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal:A Global Perspective, 18:1, 40-46,
http://dx.doi.org/10.1080/19393550802623214
8. Lena Laribee, Captain, USAF, “Development of Methodical Social Engineering Taxonomy Project”, Naval Postgraduate School, June 2006,
http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm
9. Security Tip (ST04-014), US CERT, http://www.us-cert.gov/ncas/tips/st04-014
10. Christopher J. Hadnagy & Eric Maxwerll, Social Engineering Capture the Flag Results, Defcon 20, http://www.Social-Engineering.org
security | 35

I ΝΤERVIEW
Η κορυφαία ποιότητα και
η τεχνική υποστήριξη,
αναπόσπαστα κομμάτια
μιας κερδοφόρας εταιρείας
Συνέντευξη με τον Dragan Martinovic
Managing Director για την περιοχή της Νοτιανατολικής Ευρώπης στην Kaspersky Lab
Το ανανεωμένο πρόγραμμα για τους συνεργάτες καναλιού που
ανακοίνωσε η Kaspersky Lab για την περιοχή της Ανατολικής
Ευρώπης και φυσικά την Ελλάδα, τις βασικές αλλαγές που περιλαμβάνει
και τα οφέλη που προκύπτουν μας ανέλυσε ο κος
Dragan Martinovic, Managing Director για την περιοχή της
Νοτιανατολικής Ευρώπης στην Kaspersky Lab σε συνέντευξη
που μας παραχώρησε.
Πρόσφατα παρουσιάσατε το ανανεωμένο Πρόγραμμα
Συνεργατών σας. Ποιός είναι ο βασικός στόχος του
προγράμματος αυτού;
Η Kaspersky Lab δεν πωλεί τα προϊόντα της απευθείας σε
πελάτες αλλά δουλεύουμε αποκλειστικά μέσω συνεργατών που
γνωρίζουν καλά την αγορά και μπορούν να χρησιμοποιήσουν
τα οφέλη της συνεργασίας μας, καθώς είμαστε ένα παγκοσμίου
φήμης brand. Αυτό τους δίνει τη δυνατότητα να επεκτείνουν
τις δραστηριότητές τους και να κάνουν τα προϊόντα μας πιο
προσιτά στους πελάτες μας ανά τον κόσμο. Με το Πρόγραμμα
Συνεργατών, η σχέση μας μαζί τους γίνεται περισσότερο
εύκολη, διαφανής και αποδοτική και για τις δύο πλευρές. Τους
προσφέρουμε τεχνική υποστήριξη, υποστήριξη σε θέματα marketing,
την πλούσια τεχνογνωσία μας καθώς και μεγάλες
επιχειρηματικές ευκαιρίες, όπως τα απολογιστικά που
προσθέσαμε πρόσφατα στο Πρόγραμμα.
Ποιά είναι τα πλεονεκτήματα που προσφέρει το
ανανεωμένο πρόγραμμα στους συνεργάτες και στους
πελάτες τους;
Η Kaspersky Lab παρουσίασε ένα ανανεωμένο πρόγραμμα για
το Κανάλι Συνεργατών της, με στόχο να αξιοποιήσει τις
βέλτιστες πρακτικές από διάφορες χώρες και να δημιουργήσει
με τον τρόπο αυτό μια μοναδική και ενιαία προσέγγιση για την
ανάπτυξη στις αναδυόμενες αγορές. Προσθέσαμε
περισσότερα πλεονεκτήματα για να διασφαλιστεί η σταθερή
ανάπτυξη, η αποτελεσματικότητα και η επιτυχία των συνεργατών
μας. Για τους πελάτες, η πρόσβαση στα προϊόντα μας γίνεται
ακόμα καλύτερη ενώ η επιλογή συνεργάτη γίνεται πιο εύκολη.
Με την εισαγωγή των απολογιστικών για τα B2B προϊόντα
(εκτός από το marge), η Kaspersky Lab στοχεύει να συντονίσει
τις στρατηγικές της για την ανάπτυξη με τους επιχειρηματικούς
στόχους των συνεργατών της, ενθαρρύνοντάς τους να
διατηρήσουν τις επιδόσεις τους και να αυξήσουν την
κερδοφορία. Στόχος του ανανεωμένου προγράμματος είναι
να παρέχει στους συνεργάτες πλούσια και εστιασμένα
εκπαιδευτικά σεμινάρια presale, sales και τεχνικής κατάρτισης
για να τους βοηθήσουν να εντοπίζουν και να κατανοούν
καλύτερα τις ανάγκες των πελατών τους, έτσι ώστε να
ενισχυθούν ουσιαστικά τα conversion rates και να προωθήσουν
36 | security

αποτελεσματικά τα προϊόντα της Kaspersky Lab σε πελάτες σε
όλη την ευρύτερη περιοχή. Επιπλέον, επαναπροσαρμόζουμε τις
επενδύσεις marketing της εταιρείας μας προς δραστηριότητες
παραγωγής μετρήσιμης ζήτησης, για την περαιτέρω ενίσχυση
ευκαιριών των Συνεργατών μας. Μαζί με την τεχνική υποστήριξη
και την υποστήριξη σε θέματα marketing, σε ορισμένες
περιπτώσεις, θα παρέχεται, επιπλέον, στους Συνεργάτες και
υποστήριξη για τη διοργάνωση εκδηλώσεων.
Θα είναι πιο εύκολο για τους πελάτες να επιλέξουν τους
κατάλληλους συνεργάτες σύμφωνα με τις λύσεις και τις
υπηρεσίες που ταιριάζουν στις ανάγκες τους, καθώς η Kaspersky
Lab εισάγει νέα επίπεδα συνεργασίας τόσο στο B2B όσο
και στο B2C. Οι συνεργάτες θα κατηγοριοποιούνται βάσει της
εμπειρίας, των προσόντων, της δυνατότητας παροχής
υπηρεσιών, καθώς και βάσει των
σχέσεων που έχουν διαμορφώσει με
τους πελάτες και τη θέση τους στην
αγορά.
Έχετε ήδη παρουσιάσει κάποιες αλλαγές. Μπορείτε να
μας δώσετε περισσότερες πληροφορίες για αυτές;
Οι πιο σημαντικές βελτιώσεις που πραγματοποιήθηκαν στο
πρόγραμμα περιλαμβάνουν τις νέες κατηγορίες για τους
συνεργάτες, την εξειδίκευση σε κάποιο τομέα της ασφάλειας
για τους B2B συνεργάτες, τα απολογιστικά για τα B2B προϊόντα,
προσθήκες στα υπάρχοντα προγράμματα υψηλής κατάρτισης
και υποστήριξης marketing – που προσφέρονται δωρεάν σε
όλους τους συνεργάτες online, με επιπλέον πλεονεκτήματα,
συμπεριλαμβανομένης της τεχνικής υποστήριξης και της
υποστήριξης marketing για τις υψηλότερες κατηγορίες.
Η Kaspersky Lab κάνει την επιλογή του σωστού συνεργάτη πιο
εύκολη για τους πελάτες, σύμφωνα με τις ανάγκες τους,
παρουσιάζοντας τις νέες κατηγορίες B2B και B2C. Οι
συνεργάτες B2B που ανήκουν στο δεύτερο επίπεδο θα
χωρίζονται σε αρκετές κατηγορίες: Registered, Silver, Gold και
Platinum. Αυτές οι κατηγορίες αντανακλούν την εμπειρία και την
ποιότητα υπηρεσιών ενός συνεργάτη που διανέμει και αξιοποιεί
τα προϊόντα της Kaspersky Lab. Από τη σκοπιά του B2C, οι
συνεργάτες θα κυμαίνονται μεταξύ των κατηγοριών Registered
Retailer και Premier Retailer.
Για τους Β2Β συνεργάτες, εισάγουμε τα απολογιστικά και το
ποσοστό marge, ενθαρρύνοντας έτσι τους συνεργάτες μας να
επιτύχουν καλύτερα αποτελέσματα και να κερδίσουν νέους
πελάτες.
Οι συνεργάτες που ανήκουν στις κατηγορίες Gold και Platinum
έχουν πλέον τη δυνατότητα να επιλέξουν τον τομέα στον
οποίο θα εξειδικευτούν (System Management, Virtualization ή
Mobile Device Management και Security). Αυτό βοηθά τους
συνεργάτες να αναδείξουν την τεχνογνωσία τους και να
βοηθήσουν τους πελάτες να επιλέξουν το σωστό συνεργάτη.
Προσθέσαμε το “Strategic partner” badge για τους Β2Β
συνεργάτες που συνάπτουν συμφωνίες με σημαντικούς πελάτες,
όπως για παράδειγμα κυβερνητικούς οργανισμούς. Οι
κατηγορίες “Distributor” και “Sub-Distributor” παραμένουν
και στο ανανεωμένο πρόγραμμα. Πέρα από τα βασικά
πλεονεκτήματα, για τους συνεργάτες της κατηγορίας “Distributor”,
η Kaspersky Lab προσφέρει πρόσβαση στο MDF (Marketing
Development Fund).
Για τους συνεργάτες που βρίσκονται στις κορυφαίες κατηγορίες,
η Kaspersky Lab προσθέτει roadmap webinars στα οποία
αναλύει τη στρατηγική της πορεία και τα νέα κίνητρα, τους
ενημερώνει για τη γενικότερη πορεία της αγοράς του security
καθώς και για το τί κάνει η εταιρεία προκειμένου να προβλέψει
τις αλλαγές και να αντιδράσει σε αυτές έγκαιρα. Αυτές οι
πληροφορίες είναι σημαντικές για
τους κορυφαίους συνεργάτες που
επεκτείνουν τις επιχειρηματικές τους
δραστηριότητες μαζί με την Kaspersky
Lab – τους διευκολύνει να
κατανοήσουν καλύτερα την αγορά και τις ανάγκες των πελατών
τους συνεισφέροντας στη βελτίωση των πωλήσεων.
Η Kaspersky Lab κατανοεί ότι η κορυφαία ποιότητα και η
τεχνική υποστήριξη με γρήγορη ανταπόκριση είναι
αναπόσπαστα κομμάτια μιας υγιούς και κερδοφόρας εταιρείας.
Αυτό ακριβώς προσφέρει σε όλους τους συνεργάτες της καθώς
οι Gold, Platinum & Strategic συνεργάτες μας μπορούν πλέον
να αξιοποιήσουν την τεχνική υποστήριξη και την ιδιαίτερη
τεχνογνωσία, στο πλαίσιο της συνεργασίας τους με μεγάλους
πελάτες.
Πώς επηρεάζουν οι αλλαγές αυτές το τρόπο με τον οποίο
οι συνεργάτες καναλιού πωλούν τις λύσεις της Kaspersky
Lab;
Οι βελτιώσεις που κάναμε στο πρόγραμμα σκοπεύουν να
βοηθήσουν τους συνεργάτες να αναπτύξουν νέα προσόντα
και δυνατότητες για να απευθυνθούν και να εξυπηρετήσουν
ένα ευρύτερο πελατολόγιο. Το νέο πρόγραμμα καναλιού βοηθά
τους πελάτες να τοποθετήσουν καλύτερα τις λύσεις της Kaspersky
Lab με βάση τις ανάγκες και τις απαιτήσεις των πελατών,
δημιουργώντας μεγαλύτερο περιθώριο για ευκαιρίες cross sell
και up sell.
Επιπλέον, οι συνεργάτες που εξυπηρετούν πελάτες από το
χώρο του enterprise μπορούν, επίσης, να αξιοποιήσουν την
τεχνική υποστήριξη που τους προσφέρουμε για να
υποστηρίξουν μεγάλα και πολύπλοκα έργα. Η υποστήριξη
καλύπτει τις δυνατότητες pre και post sales και σε συνδυασμό
με την επιτυχημένη υλοποίηση των έργων και την καθοδήγηση
που προσφέρουμε, οι πελάτες απολαμβάνουν τη σιγουριά ότι
συνεργάζονται με έναν παγκόσμια αναγνωρισμένο πάροχο
λύσεων ασφαλείας για το ΙΤ. iTSecurity
security | 37

I ΝΤERVIEW
Η Oracle Database 12c είναι βάση
δεδομένων επόμενης γενιάς
Συνέντευξη του κ. Duncan Harvey
Technology Director of Business Development
Oracle EMEA
Με αφορμή την παρουσία του Duncan Harvey,Technology Director of Business Development
Oracle EMEA, ως Keynote Speaker στο φετινό Oracle Technology Day, είχαμε
την ευκαιρία να συνομιλήσουμε μαζί του και να μας αναπτύξει σε μια συνέντευξη τα χαρακτηριστικά
και τα πλεονεκτήματα της νέας Oracle Database 12c.
Ποιες ήταν οι απαιτήσεις στο σύγχρονο επιχειρηματικό
περιβάλλον ΙΤ που ώθησαν την Oracle να αναπτύξει την
Database 12c;
Όλοι οι Οργανισμοί, ανεξαρτήτως κλάδου και περιοχής δραστηριοποίησης,
αναζητούν τεχνολογίες που θα τους βοηθήσουν
να μεταμορφωθούν, βελτιώνοντας τη λειτουργική ευελιξία
και αποτελεσματικότητά τους. Η ευρεία υιοθέτηση των Cloud
based αρχιτεκτονικών και λύσεων γίνεται όλο και περισσότερο
μέρος αυτών των αναγκών, επηρεάζοντας ένα κρίσιμο
κομμάτι της διαδικασίας σχεδιασμού και ανάπτυξης της Oracle
Database 12c. Μπαίνοντας στο cloud με την Oracle Database
12c, οι Οργανισμοί μπορούν να βελτιώσουν την ποιότητα
και την απόδοση των εφαρμογών τους, να εξοικονομήσουν
χρόνο λόγω της αρχιτεκτονικής μέγιστης διαθεσιμότητας και
της διαχείρισης storage και να απλοποιήσουν την ενοποίηση
βάσεων δεδομένων μέσω της διαχείρισης εκατοντάδων βάσεων
δεδομένων ως μία.
Τι καινοτομίες εισάγει λοιπόν η βάση δεδομένων Database
12c της Oracle;
Η Oracle Database 12c είναι βάση δεδομένων επόμενης γενιάς,
η οποία παρέχει μια νέα multitenant αρχιτεκτονική επιπλέον της
38 | security

γρήγορης, επεκτάσιμης, αξιόπιστης και ασφαλούς πλατφόρμας
που διαθέτει. Καθώς υπάρχουν περισσότερα από 500 νέα
χαρακτηριστικά και βελτιώσεις σε αυτήν την έκδοση, μπορώ μόνο
να σας αναφέρω κάποια από τα πιο σημαντικά, όπως:
Μία νέα multitenant αρχιτεκτονική.
Το Automatic Data Optimization, το οποίο διαχειρίζεται
αποτελεσματικά τους αυξανόμενους όγκους δεδομένων,
μπορεί να μειώσει τα κόστη του storage, βελτιώνοντας
ταυτόχρονα την απόδοση της βάσης δεδομένων. Με
τη χρήση ενός “Heat Map” που παρακολουθεί τη read/write
δραστηριότητα της βάσης, οι διαχειριστές μπορούν
εύκολα να εντοπίσουν δεδομένα αποθηκευμένα σε
πίνακες ή partitions που είναι πολύ active, read-only ή rarely
read και να εφαρμόσουν smart compression και storage
tiering για τη βελτιστοποίηση του data location και
compression, βάσει της δραστηριότητας και της ηλικίας
των δεδομένων.
Οι βελτιώσεις στην αρχιτεκτονική μέγιστης διαθεσιμότητας
που περιλαμβάνουν το Data Guard Far
Sync, για την απεριόριστη επέκταση της
standby προστασίας zero-data-loss – η
οποία δεν περιορίζεται από τις καθυστερήσεις
– και το Application Continuity,
μια λύση που συμπληρώνει τα
Oracle Real Application Clusters και καλύπτει
προβλήματα της εφαρμογής από
τους τελικούς χρήστες, μέσω του αυτόματου
replaying των αποτυχημένων συναλλαγών.
Το Simplified Analysis of Big Data, όπου
έχουμε ενισχύσει τις in-Database MapReduce
δυνατότητες μέσω SQL Pattern Matching, για την
άμεση και επεκτάσιμη ανακάλυψη επαναλαμβανόμενων συμβάντων,
όπως οι οικονομικές συναλλαγές, τα network logs
και τα clickstream logs.
Ποια είναι τα ιδιαίτερα χαρακτηριστικά που έχουν ενσωματωθεί
στη νέα αρχιτεκτονική Multitenant για ενοποίηση
βάσεων δεδομένων στο Cloud;
Το νέο Oracle Multitenant χαρακτηριστικό απαντά σε πολυάριθμες
προκλήσεις που αντιμετωπίζουν οι πελάτες οι οποίοι
ενοποιούν τις βάσεις τους σε μοντέλο ιδιωτικού cloud, παρέχοντας
σημαντικά βελτιωμένη αποτελεσματικότητα και χαμηλότερο
κόστος διαχείρισης, ενώ διατηρούν την αυτονομία των
ξεχωριστών βάσεων. Κάθε βάση που «κουμπώνει» στη νέα
multitenant αρχιτεκτονική, δείχνει και λειτουργεί ως προς τις
εφαρμογές, σαν μία κλασική Oracle Database – οπότε οι υπάρχουσες
εφαρμογές μπορούν να συνεχίσουν ανεπηρέαστες –
αλλά το multitenant χαρακτηριστικό επιτρέπει τη διαχείριση
πολλών βάσεων ως μία, μειώνοντας το χρόνο και την προσπάθεια
που απαιτούνται για εργασίες όπως η αναβάθμιση της
βάσης, το backup και το recovery. Επιπλέον υπάρχει σημαντική
βελτίωση στη χρήση των Server πόρων, μείωση της πολυπλοκότητας
του εξοπλισμού και σχεδόν στιγμιαίο provisioning
και cloning των βάσεων, στοιχείο που την καθιστά ιδανική πλατφόρμα
για database test και ανάπτυξη cloud περιβαλλόντων.
Είναι ένα πραγματικά απίστευτο χαρακτηριστικό.
Μπορείτε να μας περιγράψετε το πώς η Database 12c αντιμετωπίζει
τις προκλήσεις για την προστασία των δεδομένων;
Η ασφάλεια και η συμμόρφωση απαιτούν ένα πολυεπίπεδο
μοντέλο ασφαλείας που περιλαμβάνει προληπτικούς, διαγνωστικούς
και διαχειριστικούς ελέγχους, σε συντονισμό με
την ευαισθησία των δεδομένων, την τοποθεσία τους, το περιβάλλον
τους, τους σχετικούς κανονισμούς και τον αντίκτυπο
που θα είχε στην επιχείρηση η πιθανή απώλεια, κλοπή ή
μη εγκεκριμένη χρήση τους. Το βασικότερο
αξίωμα σε αυτήν την προσέγγιση είναι
η λήψη ξεχωριστών μέτρων, ούτως ώστε
ακόμα και εάν ένα τμήμα της αρχιτεκτονικής
καταστεί ευάλωτο, να μην επιφέρει την
κατάρρευση του συνόλου του πληροφοριακού
συστήματος και την απώλεια των
δεδομένων. Η Oracle Database 12c αυξάνει
την ασφάλεια τόσο για τις υπάρχουσες
όσο και για τις νέες βάσεις, επιτρέποντας
ελέγχους πιο κοντινούς στα ίδια τα δεδομένα
και παρέχοντας λύσεις για την ενίσχυση
της ασφάλειας των υπαρχουσών
εφαρμογών. Η λεπτομερειακή ανάλυση της δραστηριότητας
των προνομιούχων χρηστών, το στοχευμένο auditing, το real
application security, το data reduction, ο διαχωρισμός καθηκόντων
και η ενοποίηση με το Oracle Multitenant, είναι
μόνο μερικές από τις διαθέσιμες νέες δυνατότητες ασφαλείας.
Η ασφάλεια με την Oracle Database 12c γίνεται ακόμα πιο
εύκολη μέσω του απλοποιημένου setup και configuration, σε
συνδυασμό με τις βελτιώσεις του Oracle Enterprise Manager
Grid Control. Οι βελτιστοποιήσεις απόδοσης σε όλες τις περιοχές,
συμπεριλαμβανομένης της κρυπτογράφησης, του auditing
και του ελέγχου πρόσβασης, επιτρέπουν την υλοποίηση
ασφαλείας, χωρίς να επηρεάζονται οι επιχειρηματικές λειτουργίες
ή τα service level agreements. Η Oracle Database
12c Security, σε συνδυασμό με τη νέα έκδοση του Oracle Audit
Vault και του Database Firewall, παρέχει άνευ προηγουμένου
δυνατότητες για την προστασία των δεδομένων, με τη
χρήση ενός συνδυασμού προληπτικών, διαγνωστικών και διαχειριστικών
ελέγχων. iTSecurity
security | 39

I ΝΤERVIEW
Κομβικής σημασίας για το
μέλλον της επιχείρησης,
οι αξιόπιστες λύσεις Backup
Συνέντευξη με τον κ. Γιώργο Καπανίρη
Διευθυντής Στρατηγικής Ανάπτυξης της NSS
Η σπουδαιότητα του backup, της λήψης δηλαδή αντιγράφων
ασφαλείας, είναι ένας τομέας που πολλές επιχειρήσεις αγνοούν
στη χώρα μας. Θα τολμούσαμε να πούμε ότι το backup
πραγματοποιείται από αρκετές επιχειρήσεις στη χώρα μας, με
απαρχαιωμένα εργαλεία, με αμφιβόλου ποιότητας λογισμικό ή
hardware και με μη ενδεδειγμένες και εγκεκριμένες μεθόδους,
από μη καταρτισμένο προσωπικό πολλές φορές, που στην
πλειονότητα των περιπτώσεων δεν εξασφαλίζει πλήρως τα
ευαίσθητα δεδομένα της επιχείρησης. Ο κος Καπανίρης, Διευθυντής
Στρατηγικής Ανάπτυξης της εταιρείας NSS, μας μιλάει για τη σπουδαιότητα των
αντιγράφων ασφαλείας σε μία σύγχρονη επιχείρηση, αλλά και για τις σύγχρονες μεθόδους
backup και deduplication που διανέμει σήμερα η NSS, για να αντιμετωπίσει τη σημερινή,
γεμάτη προκλήσεις και απειλές πραγματικότητα.
Πριν εισέλθουμε σε λεπτομέρειες που αφορούν στις
μεθόδους και στις λύσεις backup που διανέμει και υποστηρίζει
η NSS, θα θέλατε να μας πείτε δύο λόγια για
τη σπουδαιότητα του backup στις σύγχρονες επιχειρήσεις;
Πολλές επιχειρήσεις - και δεν έχει σημασία αν πρόκειται για
μικρές, μεσαίες ή μεγάλες - αγνοούν το μεγάλο αντίκτυπο που
μπορεί να έχει για παράδειγμα η καταστροφή ή η κλοπή των
ευαίσθητων δεδομένων τους. Αρκετές - και ειδικά στη χώρα
μας, πιστεύουν ότι δεν πρόκειται να συμβεί κάτι κακό σε
αυτές. Η πραγματική εικόνα όμως είναι ότι καταστροφές κάθε
είδους (μπορεί να είναι μία πυρκαγιά, κάποιο ατύχημα,
μπορεί να είναι πλημμύρα, μπορεί να είναι κλοπή ή κυβερνοεπίθεση
κ.ά.) συμβαίνουν σε καθημερινό επίπεδο, οπότε
δεν πιστεύω ότι η αγνόηση ή παράβλεψη κάτι τέτοιου, αποτελεί
προϊόν ώριμης σκέψης από κάποιες εταιρείες και ειδικά
από αυτές που θέλουν να πρωταγωνιστήσουν στην αγορά
του σήμερα. Η ασφάλεια των δεδομένων μίας επιχείρησης,
όπως μία αποτελεσματική, αξιόπιστη λύση αντιγράφων
ασφαλείας είναι ιδιαίτερα σημαντική για το μέλλον της επιχείρησης,
αλλά και της καλλιέργειας μίας σχέσης εμπιστοσύνης
με τους πελάτες της.
Ποια είναι η εικόνα που έχετε για την αγορά σήμερα;
Οι ελληνικές επιχειρήσεις, ανεξάρτητα του μεγέθους τους,
έχουν αρχίσει να καταλαβαίνουν ότι η προστασία των επιχειρησιακών
δεδομένων τους είναι ένα πολύ κρίσιμο ζήτημα,
αφού αποτελεί τον πυρήνα της λειτουργίας τους και της
σχέσης που έχουν με τους πελάτες τους. Χωρίς τα δεδομένα,
η επιχείρηση είναι καταδικασμένη. Το κακό της υπόθεσης είναι
ότι παρά τις σημερινές προειδοποιήσεις, ότι οι εποχές
που διανύουμε είναι επικίνδυνες λόγω αν-ασφάλειας, πολ-
40 | security

λές επιχειρήσεις δεν είναι προετοιμασμένες κατάλληλα. Με
λίγα λόγια, δεν έχουν κατανοήσει τη σπουδαιότητα του να
είναι έτοιμοι για παν ενδεχόμενο. Δεν έχουν καταρτίσει ένα
σχέδιο αποκατάστασης από καταστροφή (disaster preparedness
& recovery), που θα εξασφαλίσει την αδιάλειπτη λειτουργία
των συστημάτων τους και την ακεραιότητα των δεδομένων
τους σε περίπτωση κυβερνοεπίθεσης, φυσικής καταστροφής,
διακοπής ηλεκτρικού ρεύματος κ.ά. Δυστυχώς,
πολλές επιχειρήσεις παίρνουν τα μέτρα τους αφότου έχει
συμβεί ήδη το κακό. Και αυτό, μόνο εφόσον πια έχουν τη δυνατότητα
να επανέλθουν σε κανονική λειτουργία, μετά από
κάποια μεγάλη καταστροφή. Λύσεις υπάρχουν - και η NSS
ειδικεύεται ακριβώς σε αυτό.
Ανάμεσα στις λύσεις που προτείνετε σήμερα
στις επιχειρήσεις, είναι αναμφισβήτητα
και οι λύσεις της WD Arkeia, η οποία
έγινε περισσότερο γνωστή στο ευρύ κοινό
εξαιτίας της εξαγοράς της από την πασίγνωστη
Western Digital. Μπορείτε να
μας πείτε δύο λόγια για την Arkeia;
Στο ευρύ κοινό και κυρίως στην καταναλωτική
αγορά, ενδεχομένως η Arkeia να μην είναι γνωστή, αλλά
πάνω από 7000 επιχειρήσεις κάθε μεγέθους σε 70 χώρες,
την έχουν επιλέξει ως την καλύτερη λύση για τη δημιουργία
αντιγράφων ασφαλείας backup. Οι πελάτες κατά κύριο
λόγο επιλέγουν την WD Arkeia για την ευρεία υποστήριξη
του ανοιχτού λογισμικού, του λειτουργικού συστήματος
Linux σε πάρα πολλές διαφορετικές αρχιτεκτονικές, την ευελιξία,
την αποδεδειγμένη αξιοπιστία και βεβαίως την ασυναγώνιστη
τεχνική υποστήριξη από εξειδικευμένους συνεργάτες
του καναλιού διανομής που η NSS συντονίζει. Η WD Arkeia,
όπως η εταιρεία μετονομάστηκε μετά την εξαγορά, είναι
σήμερα ακόμα πιο δυνατή, αφού η Western Digital είναι
μία από τις μεγαλύτερες εταιρείες κατασκευής hardware στο
κόσμο, οπότε οι λύσεις της εταιρείας - συμπεριλαμβανομένων
και των λύσεων αποθήκευσης δεδομένων Sentinel, τυγχάνουν
πολύ μεγαλύτερης αναγνώρισης από την αγορά.
Για ποιους λόγους να επιλέξει κάποιος τις λύσεις της
WD Arkeia;
Κατά την άποψή μου, οι τρεις βασικοί λόγοι για να επιλέξει
κανείς τις λύσεις της WD Arkeia διακρίνονται σε τρεις πυλώνες
υπεροχής:
1. Γρήγορο Backup και Restore. Η αρχιτεκτονική της WD
Arkeia επιτρέπει εκτεταμένη χρήση πολλαπλών παράλληλων
διεργασιών(multiple flows), ελαχιστοποιώντας εξαιρετικά το
χρόνο λήψης αντιγράφων ασφαλείας backup. Επιπλέον, η
ευρεία υποστήριξη λήψης αντιγράφων ασφαλείας σε συστοιχίες
σκληρών δίσκων, επιτρέπει στους πελάτες μας να
έχουν τα οφέλη της ταχύτητας όσον αφορά στην τυχαία
προσπέλαση δεδομένων, ενώ πάντα προσφέρουμε τη δυνατότητα
επιλογής κασετών tapes και φυσικά του σύννεφου
(cloud), όσον αφορά στην ασφαλή αρχειοθέτηση (data replication)
των δεδομένων. Η αρχιτεκτονική της WD Arkeia
και τα εξελιγμένα χαρακτηριστικά της για την ενίσχυση της
απόδοσης, είναι σε θέση να προσφέρουν στους πελάτες μας
5 φορές μεγαλύτερη ταχύτητα κατά το Backup και το Restore!
Φυσικά, όσον αφορά στην τεχνική hybrid-cloud backup χρησιμοποιείται
η τεχνική Dedupe (deduplication
technology), η οποία θεωρείται στοιχειώδης
για τη διαδικασία και στην οποία
υπερέχουμε τεχνολογικά σε σχέση με τον
ανταγωνισμό. Φαντάζομαι ότι η τεχνική deduplication
θα αποτελεί το κεντρικό θέμα
επόμενης ερώτησής σας, οπότε δεν επεκτείνομαι
για την ώρα.
2. Ευκολία στη χρήση. Τα προϊόντα της
WD Arkeia έχουν σχεδιαστεί για να είναι
απλά στην εγκατάσταση, τη διαχείριση και φυσικά τη συντήρησή
τους. Προσφέρεται ένα πολύ φιλικό και ταυτόχρονα
δυναμικό Web User Interface με ενσωματωμένους Online
Wizards, που διευκολύνουν ιδιαίτερα την εγκατάσταση, τη
διαχείριση καθώς και την τεχνική υποστήριξη, εφόσον αυτό
χρειαστεί. Ειδικότερα, το WD Arkeia μπορεί να εγκατασταθεί
και να παραμετροποιηθεί μέσα σε λίγα λεπτά και είναι θα
έλεγα σχεδιασμένo για επιχειρήσεις με λίγο προσωπικό στον
τομέα IT ή με συμβόλαια IT Outsourcing.
3. Προσιτότητα. Λαμβάνοντας υπόψη τις δυσκολίες και
τον ανταγωνισμό των καιρών, τα προϊόντα προσφέρονται
σε προσιτές τιμές. Αυτό είναι ιδιαίτερα σπουδαίο, αν λάβει
κάποιος υπόψη του ότι έχουμε να κάνουμε με μία λύση Backup
υψηλού επιπέδου, με ιδιαίτερα εξελιγμένα χαρακτηριστικά
και υψηλή απόδοση.
Σωστά μαντέψατε πριν ότι θα σας ρωτούσαμε, μπορείτε
να μας μιλήσετε λίγο περισσότερο για την τεχνολογία
Dedupe;
Το Dedupe, η τεχνολογία deduplication που χρησιμοποιείται
από την WD Arkeia, μπορεί να μειώσει έως και 95% τον
όγκο των αντιγράφων ασφαλείας για επιχειρήσεις που παίρνουν
σε καθημερινή βάση backup των δεδομένων τους. Αυτό
σημαίνει αυτόματα μείωση των σκληρών δίσκων που μπορούν
να χρησιμοποιηθούν, ενώ ταυτόχρονα οι χρόνοι ολοsecurity
| 41

I ΝΤERVIEW
Κομβικής σημασίας για το μέλλον της επιχείρησης, οι αξιόπιστες λύσεις Backup
κλήρωσης της διαδικασίας backup ενδέχεται να μειωθούν
σημαντικά. Η τελευταία έκδοση του λογισμικού της Arkeia
10.1, καθιστά ευκολότερη από ποτέ την υιοθέτηση της λύσης
hybrid-cloud backup με τη χρήση της τεχνικής dedupe. Έτσι
μπορούμε να εξάγουμε τα σετ των αντιγράφων ασφαλείας
(backup sets) σε κάποιο εξωτερικό μέσο, όπως ένα εξωτερικό
σκληρό δίσκο ή μία συστοιχία σκληρών δίσκων, και στη
συνέχεια αυτά να μεταφερθούν στο σύννεφο και στον πάροχο
υπηρεσιών Cloud που προτιμά η επιχείρηση. Τέλος, καλό
είναι να σημειωθεί ότι όσον αφορά στην ασφάλεια των
δεδομένων, η λύση της WD Arkeia υποστηρίζει “tunneling”,
δηλαδή την κρυπτογράφηση των δεδομένων που μεταφέρονται
προς και από τον Backup Server.
Τα προϊόντα της Western Digital προσφέρονται από
πολλές εταιρείες ή αλυσίδες καταστημάτων. Σε τι διαφέρουν
αυτά τα καταστήματα από την NSS;
Εδώ έχουμε να κάνουμε με ένα εντελώς
διαφορετικό πεδίο δράσης ανάμεσα
στις εταιρείες (π.χ. Retailers) που
αναφέρεται και στην NSS. Εμείς είμαστε
Διανομείς Προστιθέμενης Αξίας
(Value Added Distributors) των συστημάτων
αντιγράφων ασφαλείας WD
Arkeia και αποθήκευσης δεδομένων
WD Sentinel, που είναι λύσεις που δεν
απευθύνονται στον τελικό καταναλωτή αλλά καθαρά στα περιβάλλοντα
των επιχειρήσεων. Η οικογένεια προϊόντων WD
Sentinel περιλαμβάνει λύσεις ασφαλούς κεντρικής αποθήκευσης,
πρόσβασης αλλά και προστασίας δεδομένων για εργαζόμενους,
πελάτες ή και τους προμηθευτές μίας επιχείρησης
που εργάζονται τοπικά ή εξ αποστάσεως από οπουδήποτε.
Εχουν σχεδιαστεί για να παρέχουν αξιόπιστες, οικονομικά
αποδοτικές και εύκολες στη διαχείριση υπηρεσίες
αποθήκευσης για επιχειρήσεις.
Σε τι μορφές είναι διαθέσιμα τα προϊόντα της WD Arkeia;
Ο πρώτος τρόπος είναι ο παραδοσιακός τρόπος διάθεσης
λογισμικού (software application). O δεύτερος τρόπος έρχεται
με τη μορφή εικονικής συσκευής (virtual applicance) για
όλες τις γνωστές πλατφόρμες εικονικοποίησης, ενώ ο τρίτος
ο οποίος είναι και ο πλέον ενδεδειγμένος για μικρομεσαίες
επιχειρήσεις, είναι με τη μορφή φυσικών συσκευών (Arkeia
Physical appliance). Οι φυσικές συσκευές WD Arkeia διατίθενται
σε πολλούς τύπους, για να καλύψουν τις ανάγκες επιχειρήσεων
διαφορετικών μεγεθών από 4 έως 48 Tb και βασίζονται
σε τεχνολογίες αιχμής που διατίθενται ταυτόχρονα
σε προσιτές τιμές.
Κύριε Καπανίρη, παρακαλώ πείτε μας μερικά λόγια για
την εταιρεία NSS.
Η NSS είναι ένας διεθνής διανομέας Value Added Distributor
(VAD), εξειδικευμένος σε λύσεις αιχμής στον τομέα
της πληροφορικής, που καλύπτουν τους τεχνολογικούς τομείς
της ασφάλειας των πληροφοριών, της δικτύωσης, των
ενοποιημένων επικοινωνιών, της αποθήκευσης δεδομένων,
της εικονικοποίησης (virtualization), καθώς και σε συστήματα
υποδομής υπολογιστικών κέντρων δεδομένων (datacenters).
Μέσω της υψηλής τεχνολογίας και της βαθιάς γνώσης
της αγοράς, η NSS με πολύ μεγάλη προσοχή έχει συνάψει
στρατηγικές συνεργασίες με κατασκευάστριες
εταιρείες που ηγούνται
στο χώρο τους. Ορισμένες από τις
εταιρείες που αντιπροσωπεύονται από
την NSS στη χώρα μας, είναι οι SO-
PHOS, (Συνολική Ασφάλεια Πληροφοριακών
Συστημάτων), LOGPOINT
(Συστήματα Επιχειρησιακής Νοημοσύνης),
WD ARKEIA & SENTINEL
(Συστήματα Αντιγράφων Ασφαλείας, Αποθήκευσης και Αποκατάστασης
από Καταστροφή), COMMUNIGATE SYSTEMS
(Συστήματα Ενοποιημένων Επικοινωνιών), PEPLINK (Συστήματα
Κατανομής Διαδικτυακού Φορτίου), ARRAY NET-
WORKS (Συστήματα Κατανομής Φορτίου Διακομιστών, Διάθεσης
και Επιτάχυνσης Εφαρμογών), GLOBALSIGN (Ψηφιακά
Πιστοποιητικά SSL για όλες τις χρήσεις), JACARTA
(Συστήματα Περιβαλλοντικού Ελέγχου και Παρακολούθησης
Κατανάλωσης για Υπολογιστικά Κέντρα Δεδομένων),
IPOQUE (Συστήματα Διαχείρισης Εύρους Ζώνης και Ελέγχου
Δικτυακής Κίνησης). Μέσα από την ανάπτυξη συνεργασιών
με επιλεγμένες επιχειρήσεις πληροφορικής, η NSS έχει
δημιουργήσει ένα διευρυμένο δίκτυο εξουσιοδοτημένων μεταπωλητών
στην Ελλάδα, στην Κύπρο, στη Μάλτα και στις
Βαλκανικές χώρες. Τα προϊόντα της NSS ήδη αξιοποιούν
πλήθος μικρών, μεσαίων και μεγάλων επιχειρήσεων και Οργανισμών
του Δημόσιου και του Ιδιωτικού τομέα, σε όλες τις
παραπάνω χώρες. iTSecurity
42 | security

Πάνος Μητρόπουλος ,
Γενικός Διευθυντής IT Open Solutions Α.Ε.
www.itoss.gr
REFERENCE
Σχεδιάστε τα νέα σας δίκτυα για το παρόν
και το μέλλον, με τις προτάσεις της Dell
A
λλαγές σε επίπεδο οργάνωσης datacenter
και εφαρμογών αλλά και η υποστήριξη
προηγμένων χαρακτηριστικών
mobility, επιβάλλουν την αναθεώρηση
του τρόπου που αντιμετωπίζουμε τα
εταιρικά δίκτυα.
Τα τελευταία χρόνια συντελούνται σημαντικές αλλαγές στο
χώρο της εταιρικής δικτύωσης. Οι αλλαγές αφορούν τόσο
στο περιβάλλον του datacenter, όσο και στην υποστήριξη της
δικτύωσης τελικών χρηστών και δικτυακών συσκευών.
Στο χώρο του datacenter, η ευρεία εφαρμογή τεχνολογιών
Virtualization σε επίπεδο server και storage
καθώς και η ανάγκη οργάνωσης για την
υποστήριξη ιδιωτικών υποδομών cloud, δημιουργούν
νέες απαιτήσεις για την αρχιτεκτονική,
την ευελιξία και την αποδοτικότητα της δικτύωσης.
Εν τω μεταξύ, η κινητικότητα των τελικών χρηστών
και η ανάγκη για υποστήριξη σύγχρονων λύσεων
φορητότητας και εφαρμογών,
όπως τηλεφωνία VoIP και VDI, επιβάλλουν
μια αναθεώρηση στην πρόσβαση
από το περιβάλλον εντός αλλά
και εκτός της εταιρείας.
Οι λύσεις Networking της Dell καλύπτουν
το σύνολο των αναγκών εταιρικής δικτύωσης, ενώ υποστηρίζουν
σήμερα τα datacenter μερικών από τους μεγαλύτερους
cloud providers, τηλεπικοινωνιακών Οργανισμών και
εταιρειών κάθε μεγέθους, σε παγκόσμιο επίπεδο.
Η εκτεταμένη εμπειρία της Dell τόσο στο επίπεδο των συσκευών
client με φορητούς και επιτραπέζιους υπολογιστές,
όσο και σε tablet σχεδιασμένα για εταιρικό περιβάλλον, καθώς
επίσης και στο χώρο των enterprise λύσεων (με τη σειρά
των Dell PowerEdge servers και των συστημάτων Dell
storage), καθιστά την επιλογή της Dell στον τομέα του εξοπλισμού
Networking ως μία από τις πλέον αποτελεσματικές
λύσεις.
Οι οικογένειες προϊόντων Networking της Dell είναι οι σειρές
Dell PowerConnect και Dell Force10.
Dell PowerConnect
Η οικογένεια Dell PowerConnect περιλαμβάνει ένα ευρύ
φάσμα λύσεων, ξεκινώντας από εισαγωγικού επιπέδου switches
έως υψηλών επιδόσεων πλατφόρμες Networking για
το datacenter. Τα εισαγωγικά μοντέλα της σειράς μπορούν
να καλύψουν με ιδιαίτερη άνεση τις ανάγκες κάθε μικρής και
μεσαίας επιχείρησης για αποτελεσματική πρόσβαση των χρηστών
και υποστήριξη διαχειρίσιμων και ασφαλών ασύρματων
συνδέσεων. Επίσης μπορούν να υποστηρίξουν τεχνολογίες
όπως PoE, για επιχειρήσεις που επιθυμούν να χρησιμοποιήσουν
- για παράδειγμα - συσκευές τηλεφωνίας VoIP.
Dell Force10 Networking
Η οικογένεια προϊόντων Dell Force10 περιλαμβάνει τις
κορυφαίες λύσεις για datacenter Networking, οι
οποίες εντάσσονται στο portfolio των enterprise
προϊόντων της Dell. Με τις λύσεις αυτές, η
Dell δεν ανταποκρίνεται μόνο σε τυποποιημένες
ή περισσότερο εξειδικευμένες ανάγκες μεγάλων
datacenter, αλλά προσφέρει ανώτερα
επίπεδα ευελιξίας, αυτοματοποίησης και ενεργειακής
αποδοτικότητας, στο πλαίσιο του ευρύτερου
οράματος της Virtual Network
Architecture (VNA). Με την VNA η
Dell οραματίζεται μια ολοκληρωμένη
και απλοποιημένη προσέγγιση, για
αποδοτικές υποδομές ΙΤ και έξυπνη
υποστήριξη των εταιρικών εφαρμογών.
Η προστιθέμενη αξία της Dell: υποστήριξη και
συμβατότητα με ανοιχτά πρότυπα
Με την παγκόσμια εμπειρία της, η Dell γνωρίζει ότι σε αρκετές
υλοποιήσεις εταιρικών δικτύων, ο εγκλωβισμός των
πελατών σε αποκλειστικές και μη ευέλικτες τεχνολογίες
ενός προμηθευτή, δημιουργεί εμπόδια στην ανάπτυξη των
επιχειρήσεων και στην υιοθέτηση νέων τεχνολογιών ή
εφαρμογών. Αντίθετα, οι προτάσεις Networking της Dell
σχεδιάζονται με βάση ανοιχτά πρότυπα, είναι συμβατές με
τις λύσεις τρίτων κατασκευαστών και δεν απαιτούν από
τους πελάτες ολική αντικατάσταση παλαιότερου εξοπλισμού.
Η IT Open Solutions, με την εκτεταμένη της τεχνογνωσία
και τη συμμετοχή της στο πρόγραμμα συνεργατών Dell
PartnerDirect, μπορεί να σχεδιάσει και να υποστηρίξει κάθε
ανάγκη εταιρικής δικτύωσης, αλλά και enterprise λύσεων
της Dell. iTSecurity
security | 43

REFERENCE
Ivan Straniero,
Territory Manager, Italy & South Eastern Europe,
Arbor Networks
Ασφάλεια στο
Cloud:
Η ευκαιρία για
το κανάλι διανομής
Το Cloud αποτελεί μια τεράστια ευκαιρία για το κανάλι διανομής. Παρόλα αυτά, οι resellers
διατρέχουν τον κίνδυνο να χάσουν μέρος του τζίρου τους, εάν δεν βοηθήσουν να αντιμετωπιστεί
ένας από τους πιο ισχυρούς ανασταλτικούς παράγοντες για την υιοθέτηση της
συγκεκριμένης τεχνολογίας: η ασφάλεια στο cloud.
T
ο θέμα της ασφάλειας του cloud εξακολουθεί να
προβληματίζει – και δικαίως - κάθε πελάτη, ανεξαρτήτως
μεγέθους. Μια σειρά πρόσφατων επιθέσεων
σε βάρος μεγάλων παγκόσμιων χρηματοπιστωτικών
Οργανισμών εικάζεται ότι πραγματοποιήθηκαν
μέσω υπηρεσιών cloud, που είχαν εσκεμμένα μολυνθεί με
κακόβουλο λογισμικό (malware). Το συγκεκριμένο θέμα δημιουργεί
ανησυχία στους κύκλους των CIO, σχετικά με τα
προβλήματα ασφαλείας που ενδεχομένως να αντιμετωπίσουν
λόγω της εξάρτησής τους σε υπηρεσίες cloud storage
και στα συσχετιζόμενα data centers.
Πράγματι, στην όγδοη Ετήσια Έκθεση της Arbor Networks
που δημοσιεύτηκε πριν ένα μήνα, φαίνεται ότι οι μισοί σχεδόν
από τους ερωτηθέντες είχαν υποστεί κάποια επίθεση
στα διασυνδεμένα στο Internet data center τους, κατά την
περίοδο της έρευνας. Επιπλέον, το 94% εξ αυτών επιβεβαιώνει
ότι δέχεται επιθέσεις DDoS σε τακτική βάση.
Καθώς οι διαδικτυακές απειλές εξελίσσονται, διαμορφώνεται
ένα συνεχώς μεταβαλλόμενο σκηνικό δικτυακών απειλών,
που είναι πολύ δύσκολο να χαρτογραφηθεί. Το γεγονός αυτό,
σε συνδυασμό με την τάση των hackers να εξαπολύουν
τις επιθέσεις μέσα από το cloud – ένα περιβάλλον δηλαδή,
που δεν περιορίζεται στους τέσσερις τοίχους της επιχείρησης
– κάνει τους CIO να αισθάνονται πως χάνουν τον έλεγχο
της ασφάλειας των υποδομών τους.
Δεν θα συμβεί σ’ εμάς
Καθώς όμως οι πρόσφατες προηγμένες επιθέσεις είχαν στόχο
τράπεζες, είναι εύκολο για έναν Οργανισμό να εθελοτυφλεί,
πιστεύοντας ότι ΄΄Δεν θα συμβεί σ’ εμάς, σωστά΄΄; Λάθος!
Κίνδυνο δεν διατρέχουν μόνον οι Οργανισμοί υψηλού προφίλ
με πολιτικές διασυνδέσεις. Στην πραγματικότητα, κίνητρα
για επιθέσεις DDoS υπάρχουν πολλά, πολιτική ιδεολογία,
αθέμιτος ανταγωνισμός, εκβιασμός. Αυτό πρακτικά σημαίνει
ότι κάθε είδους Οργανισμός μπορεί να προσβληθεί.
Οποιαδήποτε επιχείρηση λειτουργεί online – δηλαδή σχεδόν
κάθε επιχείρηση, ανεξαρτήτως κλάδου και μεγέθους -
ενδέχεται να αποτελέσει στόχο εξαιτίας της ταυτότητάς της,
των δραστηριοτήτων της, των συνεργατών της ή οποιουδήποτε
άλλου λόγου, πραγματικού ή φανταστικού.
Πιο συγκεκριμένα, οι hackers χρησιμοποιούν τις υποδομές
cloud, επειδή στην περίπτωση αυτή ένας μικρός αριθμός παρόχων
έχει την ευθύνη να φιλοξενεί και να προσφέρει ένα
μεγάλο όγκο περιεχομένου. Το γεγονός αυτό επιτρέπει στις
επιθέσεις τους να προκαλούν σημαντικές παράπλευρες ζημιές.
Με μια επίθεση σε κάποιον πάροχο υπηρεσιών ή υποδομών,
οι hackers έχουν τη δυνατότητα να πλήξουν πολλαπλάσιο
αριθμό Οργανισμών που μοιράζονται τις ίδιες φυσικές
υποδομές. Αν γίνει επίθεση σε ένα domain, υπάρχουν
44 | security

εκατοντάδες ή χιλιάδες άλλα domains τα οποία μπορεί να
βγουν εκτός λειτουργίας ή να έχουν προβλήματα σύνδεσης.
Η ζημιά δεν απομονώνεται και δεν περιορίζεται σε μια συγκεκριμένη
περιοχή. Η επίθεση σε έναν και μόνο στόχο ενδέχεται
να επηρεάσει εκατομμύρια domains. Οι συνέπειες μπορεί
να πολλαπλασιαστούν σαν κύμα.
Με ποιον μοιράζομαι υποδομές;
Η πιθανότητα δημιουργίας ενός τέτοιου κύματος παράπλευρων
ζημιών οδηγεί στο εύλογο ερώτημα: ΄΄Ποιος άλλος μοιράζεται
τις ίδιες υποδομές με εμένα΄΄; Δεδομένου ότι τα sites ηλεκτρονικού
εμπορίου και online gaming αποτελούν τους πιο συνηθισμένους
στόχους - σύμφωνα με τα στοιχεία της φετινής
έρευνας - το να χρησιμοποιεί μια επιχείρηση για το μηχανογραφικό
της κέντρο τις ίδιες υποδομές με τέτοιους Οργανισμούς,
ενέχει κάποιον κίνδυνο. Υπάρχει το ενδεχόμενο ακούσιας
επίθεσης, γεγονός που σημαίνει ότι ο CIO διατρέχει μεγαλύτερο
κίνδυνο όσον αφορά στον έλεγχο του επίπεδου προστασίας
της πνευματικής ιδιοκτησίας της εταιρείας του.
Αυτό σημαίνει ότι είναι απολύτως απαραίτητο να υπάρχουν
όσο το δυνατόν περισσότερες δυνατότητες παρακολούθησης
αυτού του εχθρικά μεταβαλλόμενου σκηνικού . Η πρόσφατη
έκθεση της Arbor δείχνει ότι από πλευράς μεγέθους οι επιθέσεις
έχουν σταθεροποιηθεί, όμως ταυτόχρονα έχει γίνει πολύ
πιο σύνθετος ο μηχανισμός που χρησιμοποιούν για το καμουφλάρισμά
τους. Το 46% των ερωτηθέντων ανέφεραν ότι
δέχτηκαν επιθέσεις multi-vector. Οι hackers έχουν στραφεί
σε προηγμένους και πιο σύνθετους τύπους επιθέσεων με μεγαλύτερη
διάρκεια ζωής, ώστε να δημιουργούν εκτεταμένες
ζημιές, χρησιμοποιώντας συνδυασμούς μηχανισμών (attack
vectors) οι οποίοι έχουν σχεδιαστεί με στόχο να παρακάμπτουν
τη γραμμή άμυνας του Οργανισμού-στόχου. Αυτές οι
σύνθετες (multi-vector) επιθέσεις είναι οι πιο δύσκολες να αντιμετωπιστούν,
καθώς για την επιτυχημένη εξουδετέρωσή τους
απαιτείται ένας πολυεπίπεδος αμυντικός μηχανισμός. Οι πρόσφατες
επιθέσεις εναντίον χρηματοπιστωτικών Οργανισμών
αποτελούν κορυφαίο παράδειγμα αυτού.
Αποτελεσματικότητα εναντίον Ασφάλειας
Η ζήτηση για υπηρεσίες cloud θα συνεχίσει να αυξάνεται, καθώς
η αγορά εκπαιδεύεται καλύτερα – και οι Οργανισμοί που
τις υιοθετούν, αναγνωρίζουν τα εγγενή πλεονεκτήματα που
προσφέρει η υλοποίηση μιας λύσης βασισμένης στο cloud,
τόσο από πλευράς ευελιξίας όσο και από πλευράς κόστους.
Καθώς όμως οι υπηρεσίες cloud και τα data centers γίνονται
όλο και πιο συχνά στόχος των hackers – και παράλληλα οι
επιθέσεις γίνονται όλο και πιο σύνθετες – η προστασία τέτοιων
υποδομών παραμένει μια δύσκολη μάχη. Οι Οργανισμοί
βρίσκονται αντιμέτωποι με το δίλημμα ΄΄αποτελεσματικότητα
ή ασφάλεια΄΄. Αυτό που ζητείται πλέον είναι συνεργάτες οι
οποίοι να είναι σε θέση να προσφέρουν απαντήσεις.
Και η απάντηση είναι η εξής: μία πολυεπίπεδη λύση προστασίας
δεδομένων (multi-layered security solution), η οποία μπορεί
να προστατεύει τις δικτυακές υποδομές και ταυτόχρονα τις
υπηρεσίες και δεδομένα, αφού όλα τα παραπάνω είναι τρωτά
και μπορούν να προσβληθούν από κάποια επίθεση. Με τις επιθέσεις
DDoS να αλλάζουν και να γίνονται ολοένα και πιο προηγμένες
και ανθεκτικές στο χρόνο - multi-vector επιθέσειςμία
λύση προστασίας πολλαπλών επιπέδων αποτελεί τη μοναδική
δικλείδα ασφαλείας για κάθε στοιχείο που βρίσκεται πίσω
από τη δραστηριότητα, το brand και τα έσοδα μιας επιχείρησης.
Η συνεργασία με προμηθευτές που είναι σε θέση να βάζουν
το σωστό κομμάτι στη σωστή θέση ενός παζλ, δίνει τη δυνατότητα
στους συνεργάτες του καναλιού διανομής να προσφέρουν
στους πελάτες τους μεγαλύτερη αξιοποίηση των πλεονεκτημάτων
του cloud και παράλληλα να έχουν το μεγαλύτερο
δυνατό βαθμό προστασίας από επιθέσεις DDoS.
Σχετικά με την Arbor Networks
Η Arbor Networks, Inc. είναι ένας από τους κορυφαίους προμηθευτές
λύσεων διαχείρισης και ασφάλειας δικτυακών υποδομών
για επιχειρήσεις και παρόχους υπηρεσιών επικοινωνίας.
Μεταξύ των πελατών της περιλαμβάνεται η πλειοψηφία των
παρόχων διαδικτυακών υπηρεσιών (ISPs) και πολλοί από τους
μεγαλύτερους επιχειρηματικούς Ομίλους σε ολόκληρο τον κόσμο.
Η αποδεδειγμένη αποτελεσματικότητα των λύσεων που
προσφέρει η Arbor για την προστασία και τη διαχείριση δικτυακών
υποδομών, βοηθά τους πελάτες της να προστατεύουν
τα δίκτυά τους, τις επιχειρηματικές τους δραστηριότητες, τα
προϊόντα και τις υπηρεσίες τους. Ένα σημαντικό μέρος της λύσης
της Arbor αποτελεί η online υπηρεσία ATLAS© (Active
Threat Level Analysis System), η οποία ενημερώνεται και κατηγοριοποιεί
νέους τύπους επιθέσεων DDoS σε πραγματικό
χρόνο. Περισσότεροι από 270 πάροχοι σε ολόκληρο τον κόσμο
τροφοδοτούν με δεδομένα την υπηρεσία αυτή. Με βάση
την ανάλυση αυτών των δεδομένων, η υπηρεσία ATLAS ενημερώνει
ανά τακτά χρονικά διαστήματα τις συσκευές της AR-
BOR σε ολόκληρο τον κόσμο, με αποτελεσματικούς τρόπους
αντιμετώπισης νέων επιθέσεων DDoS.
Για περισσότερες τεχνικές πληροφορίες σχετικά με τις τελευταίες
απειλές και τις τάσεις όσον αφορά στη διαμόρφωση της
κίνησης στο Ίντερνετ, παρακαλούμε επισκεφθείτε τη διεύθυνση:
http://www.arbornetworks.com και το blog: http://ddos.arbornetworks.com.
iTSecurity
Αποκλειστικός αντιπρόσωπος
της ARBOR NETWORKS
στην Ελλάδα ΑDAPTIT A.E.
(www.adaptit.gr)
security | 45

REFERENCE
Λία Αργύρη,
Corporate Marketing & Communications,
AlfaVAD A.E.
Email Security with Websense®
Email Security Gateway Anywhere
Το οργανωμένο έγκλημα στον κυβερνοχώρο χρησιμοποιεί το spam ως ένα «μέσο» παράδοσης
κακόβουλου λογισμικού, που θα προκαλέσει ζημιές σε ένα εταιρικό περιβάλλον ή
θα οδηγήσει στην απώλεια εμπιστευτικών και προσωπικών δεδομένων. To γεγονός αυτό
καθιστά τις λύσεις Email Security εκ των ων ουκ άνευ για τις επιχειρήσεις.
O
όρος «spam» ή ανεπιθύμητη αλληλογραφία, είναι
ευρέως διαδεδομένος και οικείος από τον απλό
χρήστη έως το πιο καταρτισμένο μηχανικό ασφαλείας
και πηγάζει από το 1970 με την ονομασία
«Monty Python Spam». Θεωρείται το πλέον σύνηθες
χαρακτηριστικό της επικοινωνίας μέσω ηλεκτρονικού ταχυδρομείου
και μπορεί να γίνει «ενοχλητικό» λόγω των διαφημίσεων,
«επιθετικό» αφού χρησιμοποιείται ως αναμειγνυόμενη
απειλή σε συνεργασία με άλλες τεχνικές και «χρονοβόρο»
μιας και οι εταιρείες ή οι Οργανισμοί καταναλώνουν το χρόνο
τους προκειμένου να το αντιμετωπίσουν.
Με τη πάροδο των χρόνων ο όγκος της ανεπιθύμητης
αλληλογραφίας αυξήθηκε δραματικά και σήμερα,
το 70-90% της ηλεκτρονικής αλληλογραφίας ενός
οργανισμού ή μιας εταιρείας είναι «spam», όπως μας
αναφέρει η Websense®. Ο στόχος του «spam» δεν
αποσκοπεί πλέον στο να διαφημίσει ένα προιόν ή
απλά να ενοχλήσει. Το οργανωμένο έγκλημα στον
κυβερνοχώρο χρησιμοποιεί το spam σαν ένα «μέσο»
παράδοσης κακόβουλου λογισμικού, που θα
προκαλέσει ζημιές σε ένα εταιρικό περιβάλλον ή θα
οδηγήσει στην απώλεια εμπιστευτικών και προσωπικών
δεδομένων. Το «στοίχημα» για την ασφάλεια
ενός οργανισμού είναι σαφώς μεγαλύτερο από ότι
ήταν πριν από κάποια χρόνια και το σίγουρο είναι
πως οι απλές πολιτικές και το βασικό spam filtering
δεν παρέχουν πλέον την ολοκληρωμένη προστασία
που ένα οργανισμός αναζητά.
Σύμφωνα με τα Security Labs της Websense® πάνω
από το 89% της ανεπιθύμητης ηλεκτρονικής αλληλογραφίας
εμπειριέχει συνδέσμους (URLs’) που οδηγούν
σε ιστοσελίδες με νόμιμο και θεμιτό περιεχόμενο, οι οποίες
όμως έχουν προσβληθεί με κακόβουλο λογισμικό. Τεχνικές
αντιμετώπισης του «spam» που βασίζονται στην συμπεριφορά
(reputation) ή στην ταυτότητα (authentication) του αποστολέα
όπως DNSRBL’s, Reverse DNS look-ups, Country Based
Filtering, SPF/sender ID, DKIM πολλές φορές δεν καλύπτουν
τουν οργανισμούς. Τεχνικές όπως challenge/response
(C/R Systems), checksum based filtering, rule-based filtering,
statistic content-based filtering, attachment parsing, greeting
delay, grey-listing, honeypots/Spam Traps, optical character re-
46 | security

cognition, SMTP Call-Backs και Allow/Block lists πρέπει να συνδυαστούν
με το πιο αποδοτικό και αποτελεσματικό τρόπο για
να προσφέρουν την μέγιστη προστασία του καναλιού επικοινωνίας
ηλεκτρονικής αλληλογραφίας (email-channel).
‘Οσο οι απειλές για τους οργανισμούς ή τις εταιρείες γίνονται πιο
σύνθετες και πολυπλοκότερες, άλλο τόσο πρέπει να εξελίσσονται
και τα «εργαλεία» που χρησιμοποιούνται για την αντιμετώπισή
τους. Στις περοσσότερες περιπτώσεις το κακόβουλο λογισμικό
στοχεύει το κανάλι επικοινωνίας ηλεκτρονικής αλληλογραφίας
και παρόλο που οι λύσεις spam-filtering είναι πρώτου επιπέδου,
δεν αποτελούν τη χρυσή τομή για την πρόληψη εναντίον
του «spam». Τί γίνεται όταν έχουμε μία στοχευμένη επίθεση; Η
εμφάνιση των Advanced Persistence Threats (APTs’) με σκοπό
το οικονομικό ή προσωπικό όφελος εναντίον των Οργανισμών
ή εταιρειών είναι επίκαιρο φαινόμενο και η αντιμετώπιση τους
αποτελεί αντικείμενο ύψιστης σημασίας.
Η επιλογή μίας λύσης για την προστασία ενός οργανισμού δεν
είναι εύκολη υπόθεση. Κατά την επιλογή αυτή, πρέπει να καθοριστούν
κάποιοι στόχοι από τους υπεύθυνους
ασφάλειας που προκύπτουν από τη
θεώρηση ότι το email-channel είναι άρρηκτα
συνδεδεμένο με το κανάλι επικοινωνίας
πρόσβασης στο διαδίκτυο (web-channel)
καθώς και με τα δεδομένα που τα χρησιμοποιούν
για την μετάδοση τους. Ο συνδυασμός
τεχνικών της Websense® για
Web, Email και Data Security αποτελεί την πιο ολοκληρωμένη
λύση της αγοράς για την αντιμετώπιση τέτοιων απειλών. Η επίγνωση
της Websense® για την δυναμική φύση του διαδικτύου
και η ικανότητά της να κατηγοριοποιεί δυναμικά τις απειλές μέσω
εκμάθησης πραγματικού χρόνου(real-time scanning/learning)
συντελεί καθοριστικά στην αποτελεσματική αντιμετώπιση τέτοιων
απειλών μέσω web/email-channel.
H Websense® αναφέρει την αύξηση των ιστοσελίδων που
περιέχουν κακόβουλο λογισμικό κατά 600% και από τα ηλεκτρονικά
μηνύματα που αποστέλλονται, ένα στα πέντε δεν είναι
«spam». Η πηγή όλων αυτών των αναφορών είναι το Websense®
ThreatSeeker® IntelligenceCloud (Big-Data Clusters)
που συλλέγει και αναλύει δεδομένα 5 δισεκατομμύρια hits από
900 εκατομμύρια τερματικά καθημερινώς. Το μεγαλύτερο παγκοσμίως
δίκτυο ανίχνευσης απειλών παρέχει ορατότητα και
ενημέρωση για τις δραστηριότητες των απειλών που αφορούν
τα ευρέως διαδεδομένα μέσα κοινωνικής δικτύωσης καθώς
και ασφαλή δίκτυα που είναι κρυπτογραφημένα σε πραγματικό
χρόνο. Αξίζει να αναφερθεί η συνεργασία της Websense®
με το Facebook® με σκοπό την προστασία του χρήστη από
συνδέσμους που κρύβουν κακόβουλο χαρακτήρα και περιεχόμενο.
Τα δεδομένα συλλογής, αναλύονται σε πραγματικό χρόνο από
τη μηχανή Websense® ACE® (Advanded Classification Engine)
όπου και αποτελεί και το κύριο άξονα όλων των προϊόντων Websense®
Triton Solutions. Με πάνω από 10.000 αναλυτές, το αποτέλεσμα
χρόνων έρευνας και ανάπτυξης είναι η μηχανή ACE
εφαρμόζει σύνθετη βαθμολόγηση κινδύνου (risk scoring) συνδυάζοντας
τα αποτελέσματα που προκύπτουν από ασφάλεια
πραγματικού χρόνου, ανάλυση δεδομένων και περιεχομένου,
αναγνώριση βασικών γνωρισμάτων απειλών και αδιαβάθμητων
zero-day exploits από το παρελθόν. Επίσης, οι ερευνητές των
Websense® Security Labs χρησιμοποιούν το Websense® ThreatScope
που αποτελεί ένα online malware sandboxing (powered
by ACE®) με σκοπό την ενεργοποίηση κακόβουλου λογισμικού
σε ασφαλές περιβάλλον και τη σύνταξη αναφορών παρατηρώντας
τις συμπεριφορές τους. Το προϊόν αυτό διατίθεται
και στους πελάτες Websense για την πραγματοποίηση δικών
του ερευνών (forensics).
Πέρα λοιπόν από τις «παραδοσιακές» τεχνικές αντιμετώπισης
απειλών μέσω του email-channel όπως Anti-Spam, Anti-Virus και
URL-filtering, η Websense® με το Email Security Gateway Anywhere
(ΕSGA) επιτυγχάνει αξιόπιστη δρομολόγηση των μηνυμάτων
(Reliable Message Routing/fully-functional ΜΤΑ), δυνατότητες
Antivirus/Antispam καθώς και ενσωμάτωση λύσης εταιρικού
επιπέδου για την πρόληψη απώλειας δεδομένων
(DLP via integration with DSS). Το
ESGA παρέχει δυνατότητα υβρυδικής λύσης
για την εξάλειψη απειλών και «spam»
στο Websense® Cloud, πολύ πριν αυτά
φθάσουν στην εγκατάσταση του οργανισμού.
H ενοποιημένη προστασία της Websense®
αφορά όχι μόνο απειλές μέσω του
email-channel αλλά και μέσω Web-channel για τα δεδομένα ενός
Οργανισμού ή μιας εταιρείας. Σημαντικό χαρακτηριστικό της
Websense® είναι η ενοποιημένη και κεντρική διαχείριση καθώς
και η εύκολη εξαγωγή συνολικών και εξειδικευμένων αναφορών
για την ανάλυση και την αντιμετώπιση περιστατικών. Xρήση τεχνικών
όπως Sender Reputation, Adaptive Learning, Digital Fingerprints,
URL Analysis, Optical Recognition (OCR) για την αναγνώριση
χαρακτήρων, heuristics, αρχειοθέτηση ηλεκτρονικών μηνυμάτων
(Email Archiving) για να διαπιστωθούν οι «τάσεις» της
χρήσης του ηλεκτρονικού ταχυδρομείου και προχωρημένη κρυπτογράφηση
αποτελούν πολύ σημαντικά εργαλεία που χρησιμοποιεί
η Websense®.
Το αποτέλεσμα από την εφαρμογή όλων των παραπάνω μέσων
και τεχνικών είναι πως η Websense® κατόρθωσε να παρέχει
προστασία της τάξης του 99.5% εναντίον του «spam» και να περιορίζει
τις ψευδείς προειδοποιήσεις (false positives) κοντά στο
μηδέν. Αποτελεί τη κορυφαία λύση της αγοράς σε Email, Web
και Data Security (DLP) και ο συνδυασμός τους με την ονομασία
TRITON Enterprise προσδίδει ενοποιημένη αρχιτεκτονική,
ενοποιημένη ασφάλεια πληροφοριών και ενοποιημένη σύνταξη
αναφορών και πολιτικών.
Τα προϊόντα και λύσεις της Websense διατίθενται στην Ελληνική
αγορά από την εταιρία ΑlfaVAD, επίσημο διανομέα λύσεων
ασφάλειας λογισμικού για επιχειρήσεις και οργανισμούς κάθε
μεγέθους, καθώς και για μεμονωμένους χρήστες.
Για περισσότερες πληροφορίες επισκεφτείτε το επίσημο site της
εταιρίας www.alfavad.com iTSecurity
security | 47