IT Professional Security - ΤΕΥΧΟΣ 52

Mobile Security
www.itsecuritypro.gr 11/12.2017 • Τεύχος 52 • Τιµή 5€
11/12.2017 ΤΕΥΧΟΣ 52
Mobile
Security
• GDPR: Ο Μάιος είναι κοντά, εσείς πόσο έτοιµοι είστε;
• PrivacyFlag - Ιδιωτικότητα στο ∆ιαδίκτυο µέσω
Πληθοπορισµού
• Οι προκλήσεις διασφάλισης προσωπικών δεδοµένων
στις έξυπνες πόλεις

T5211/12.2017
Editorial
2018 … “πεδίο δράσης λαμπρό”
Όπως συμβαίνει κάθε χρόνο στο τέλος του έτους, πολλές
από τις εταιρίες και τους φορείς που δραστηριοποιούνται στο
τομέα της ψηφιακής ασφάλειας, ανακοινώνουν τις προβλέψεις
του για τις ψηφιακές απειλές που θα συναντήσουμε τον
επόμενο χρόνο.
Κοινός τόπος σε ότι αφορά τις προβλέψεις για το 2018 είναι
ότι θα συνεχιστούν οι επιθέσεις τύπου Ransomware και μάλιστα
με μεγαλύτερη ένταση και με επέκταση των στόχων. Είναι
αλήθεια ότι πολλές μεγάλες επιχειρήσεις δίνουν ολοένα και
περισσότερη βαρύτητα στα θέμα προστασίας στο κυβερνοχώρο
και επενδύουν σε ανθρώπινους και τεχνολογικούς πόρους
προκειμένου να είναι έτοιμες να αμυνθούν αποτελεσματικά σε
ενδεχόμενες προηγμένες επιθέσεις αυτού του τύπου. Όμως
πολλές μικρομεσαίες επιχειρήσεις παροχής προϊόντων ή υπηρεσιών
δεν έχουν υιοθετήσει τη λογική και πρακτική της προστασίας
των δεδομένων τους έναντι αυτών των επιθέσεων,
κάτι που τις καθιστά ιδιαίτερα ελκυστικούς στόχους.
Επίσης, όλοι συμφωνούν ότι τα mobile κακόβουλα λογισμικά
θα αυξηθούν ποσοτικά και θα ενισχυθούν ποιοτικά
τον επόμενο χρόνο, για αυτό και η παγκόσμια αγορά ψηφιακής
ασφάλειας συνεχώς προσπαθεί να εξελίσσει τις λύσεις
προστασίας για φορητές συσκευές που πολλές φορές αποτελούν
το ευάλωτό σημείο εισόδου των κυβερνοεγκληματιών
στο δίκτυο μας εταιρίας. Ο τομέας της ασφάλειας των
δεδομένων που συλλέγονται και μεταφέρονται μέσω του IoT
θα αποτελέσει επίσης μια μεγάλη πρόκληση για τον ψηφιακό
κόσμο την χρονιά που έρχεται.
Το 2018, μπορεί να χαρακτηριστεί ως “χρονιά GDPR”,
αφού ο νέος ευρωπαϊκός κανονισμός για την προστασία
των δεδομένων θα τεθεί σε ισχύ το Μάιο του 2018, επιφέροντας
σημαντικές αλλαγές στις απαιτήσεις και στη λειτουργία
όλων των επιχειρήσεων και των οργανισμών που διαχειρίζονται
δεδομένα. Η ανάγκη συμμόρφωσης με τις απαιτήσεις
του νέου κανονισμού, καθώς και ο σημαντικός ρόλος του
Data Protection Officer, αλλά και του τομέα του Cyber
Insurance, διαμορφώνουν ένα νέο περιβάλλον στο οποίο οι
εταιρίες, οι χρήστες και οι πάροχοι λύσεων και υπηρεσιών
που σχετίζονται με τη ψηφιακή ασφάλεια με την ευρύτερη
έννοια θα πρέπει να αναπροσαρμόσουν τη στρατηγική τους.
Όλες αυτές οι τάσεις που θα εμφανιστούν το 2018, συνθέτουν
ένα εντελώς νέο περιβάλλον στον ψηφιακό κόσμο και παράλληλα
δημιουργούν ένα λαμπρό πεδίο δράσης για τις εταιρίες,
τους φορείς και τους επαγγελματίες που δραστηριοποιούνται
στην ασφάλεια πληροφοριών. Όλοι αυτοί, οφείλουν σε
πρώτη φάση να ευαισθητοποιήσουν τους οργανισμούς και
τους χρήστες για τα θέματα προστασίας των δεδομένων και
παράλληλα να ανταποκριθούν αποτελεσματικά και με ευθύνη
στον κρίσιμο ρόλο που έχουν.
Βλάσης Αμανατίδης
Εκδότης
Κώστας Νόστης
Σύμβουλος Έκδοσης
Νίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
v.amanatidis@smartpress.gr
Συνεργάτες
Δημήτρης Θωμαδάκης
Ευαγγελία Βαγενά
Νότης Ηλιόπουλος
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
n.sarafoglou@smartpress.gr
DTP
Νίκος Χαλκιαδάκης
Διεύθυνση Events
Ανδρέας Καραντώνης
Διεύθυνση Marketing
Ειρήνη Νόστη
Υπεύθυνη Social Media
Αγγελική Νόστη
Γραμματεία Εμπορικού
Έλλη Μαστρομανώλη
Φωτογράφος
Εβίνα Αλεξανδρή
Λογιστήριο
Ανδρέας Λουλάκης
Consulting by
SPEG
τηλ.: 210 5238777,
www.speg.gr, info@speg.gr
Ιδιοκτήτης
Smart Press
Μάγερ 11, 10438, Αθήνα
Τηλ.: 210 5201500, 210 5230000,
Fax: 210 5241900
Τμήμα συνδρομών
support@securitymanager.gr
www.smartpress.gr
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
support@securitymanager.gr
ΚΩΔΙΚΟΣ 01-8267
2 security

security
3

T5211/12.2017
Contents
34 36 40
2 | editorial
6 News
Report
14 | European Cyber Security
Challenge 2017: H επόμενη
μέρα
Cover issue
18 | Mobile Security
Issue
24 | Mobile Device Management:
Πώς να διαχειριστείτε την
ασφάλεια των φορητών
συσκευών σας!
26 | Ξεκινώντας με τη διαχείριση της
επιχειρησιακής φορητότητας
30 | Μια λύση MDM δεν είναι
επιλογή, αλλά αναγκαιότητα
33 | Η ασφάλιση cyber insurance ως
εργαλείο διαχείρισης κινδύνου
για κάθε εταιρία
34 | GDPR: Ο Μάιος είναι κοντά, εσείς
πόσο έτοιμοι είστε;
36 | PrivacyFlag - Ιδιωτικότητα στο
Διαδίκτυο μέσω Πληθοπορισμού
40 | Οι προκλήσεις διασφάλισης
προσωπικών δεδομένων στις
έξυπνες πόλεις
42 | Ένωση Ασφάλειας: Αναβάθμιση
των συστημάτων πληροφοριών
για καλύτερη προστασία των
πολιτών της Ε.Ε.
Business IT
2 | Η Bitdefender παρουσίασε την
Next-Gen πλατφόρμα ασφαλείας
Gravity Zone Elite
3 | Η Seqrite στην 1η θέση στο AV –
Comparatives Performance Test
3 | GDPR Conference με τη σφραγίδα
της TÜV AUSTRIA HELLAS
4 | Η Aspida κέρδισε το βραβείο
Intelligence Big Data της Lloyd List
στα Greek Shipping Awards
4 | Η Dell EMC ενισχύει και επεκτείνει τα
συστήματα αποθήκευσης που βασίζονται
αποκλειστικά σε τεχνολογία flash
5 | Tο μεγαλύτερο, παγκοσμίως, Intelbased
Supercomputer νέαςγενιάς
βρίσκεται στη Βαρκελώνη και
υλοποιήθηκε από την Lenovo
4 security

security
5

T5211/12.2017
News
Η ESET προβλέπει τις τάσεις που θα απασχολήσουν την
κυβερνοασφάλεια το 2018
Αύξηση των περιστατικών και
των κινδύνων που απειλούν την
κυβερνοασφάλεια αναμένει το 2018 η
ESET, σύμφωνα με τις προβλέψεις της
στη σχετική έκθεση που δημοσίευσε
σήμερα. Η έκθεση «Cybersecurity Trends
2018: The Cost of our Connected World»,
που έχουν επιμεληθεί οι ειδικοί στον τομέα
κυβερνοασφάλειας της ESET, παρουσιάζει
θέματα που θα απασχολήσουν όλους
μας κατά τη νέα χρονιά, δεδομένης της
αύξησης στη συχνότητα αλλά και την
πολυπλοκότητα των περιστατικών στον
κυβερνοχώρο που σημειώθηκε το 2017.
Η έκθεση επικεντρώνεται στο ransomware,
τις επιθέσεις σε κρίσιμα
συστήματα υποδομών, στο malware και
στην καταπολέμηση της εγκληματικής
δραστηριότητας, καθώς και στις κυβερνοαπειλές που
στοχεύουν στις εκλογικές εκστρατείες και στα προσωπικά
δεδομένα.
Η έκθεση εξετάζει την έκρηξη του ransomware και
το γεγονός ότι πολλές εταιρίες εξακολουθούν να είναι
διατεθειμένες να δαπανήσουν μεγάλα ποσά σε λύτρα παρά
να επενδύσουν στην άμυνα ενάντια σε κυβερνοεπιθέσεις,
προειδοποιώντας ότι αυτή η συγκεκριμένη τάση, που δεν
εξασφαλίζει τη βιωσιμότητα μίας επιχείρησης, είναι πιθανό
να συνεχιστεί το 2018.Ο Stephen Cobb, Senior Security
Researcher της ESET, που είχε προβλέψει ότι το 2017 θα
εμφανιστεί η τάση των αυξημένων επιθέσεων στις κρίσιμες
υποδομές, προβλέπει ότι θα υπάρξουν περαιτέρω απειλές
ενάντια σε συστήματα υποδομών το 2018, σημειώνοντας ότι:
«Ενώ πολλές μεγάλες επιχειρήσεις φαίνεται ότι πλέον
υπολογίζουν περισσότερο την ασφάλεια στον κυβερνοχώρο,
και οι ομάδες ασφαλείας φροντίζουν τόσο για κατάλληλες
επενδύσεις όσο και για έμπειρα στελέχη για να γίνεται καλή
δουλειά, πολλές μικρότερες επιχειρήσεις που προμηθεύουν
αγαθά και υπηρεσίες σε μεγαλύτερους οργανισμούς ακόμη
δυσκολεύονται. Το γεγονός αυτό τις καθιστά ελκυστικό στόχο».
Η επιτυχημένη συνεργασία της ESET με τη Microsoft,
την Europol και το FBI οδήγησε στη σύλληψη των
κυβερνοεγκληματιών που εμπλέκονταν στο botnet Gamarue.
Στο κεφάλαιο της έκθεσης «Doing time for cybercrime: police
and malware research join force», αποτυπώνεται η σημασία
της συνεργασίας των εταιριών ασφάλειας και των υπηρεσιών
επιβολής του νόμου και η συμβολή της στο να καταστεί το
Διαδίκτυο ασφαλέστερο για όλους, εκτός από τους εγκληματίες
του κυβερνοχώρου. Ο κανονισμός GDPR θα αρχίσει να ισχύει
από το Μάιο του 2018, αντικαθιστώντας την προηγούμενη
σχετική οδηγία (Data Protection Directive). Το γεγονός αυτό
σηματοδοτεί την αύξηση του ενδιαφέροντος από πλευράς
νομοθεσίας σχετικά με την προστασία των δεδομένων. Στην
έκθεση, ο ειδικός ασφαλείας της ESET Tony Anscombe
επικεντρώνεται στην ευαισθητοποίηση των χρηστών σχετικά
με τη συλλογή δεδομένων, τους κινδύνους που αντιμετωπίζουν
τα δεδομένα που συλλέγονται μέσω του IoT και τα σημαντικά
πρόστιμα για επιχειρήσεις που δεν προστατεύουν τα προσωπικά
δεδομένα.Κατά το 2017, οι τεχνολογικές καινοτομίες και η
χρήση τους προσέφεραν αξιόλογες δυνατότητες στον ψηφιακό
κόσμο, από την άλλη όμως συντέλεσαν στην έκθεση των
χρηστών σε νέες μορφές απειλών. Διαπιστώθηκε επίσης ότι οι
κυβερνοεγκληματίες επικεντρώνονται στις επιθέσεις τους σε
ευαίσθητες και ιδιωτικές πληροφορίες. Το 2018 είναι η χρονιά
που οι χρήστες πρέπει να αυξήσουν την ευαισθητοποίησή τους
για τις απειλές στον κυβερνοχώρο και να διαχειριστούν πιο
υπεύθυνα την παρουσία τους στον ψηφιακό κόσμο.
6 security

security
7

T5211/12.2017
News
Έξι τρόπους που ο GDPR θα επηρεάσει το Τμήμα Ανθρώπινου Δυναμικού
αναδεικνύει η GlobalSign
μόνο για όσο διάστημα είναι απαραίτητα για την λειτουργία
τους. Ένα καλό παράδειγμα είναι τα δεδομένα των
προσωρινά απασχολουμένων – μπορεί να χρειαστεί να
κρατήσετε τέτοιου είδους λεπτομέρειες μόνο για πολύ
σύντομες περιόδους, μετά την παρέλευση των οποίων
δεν επιτρέπεται πλέον να διατηρείτε τα δεδομένα.
Ο GDPR θα ισχύσει για όλες τις επιχειρήσεις που διαχειρίζονται
δεδομένα Ευρωπαίων πολιτών (συμπεριλαμβανομένου
του προσωπικού τους) και σε όσες ανακαλυφθεί ότι παραβιάζουν
οποιονδήποτε από τους κανονισμούς, ενδέχεται να
τους επιβληθούν κυρώσεις που αγγίζουν τα €20 εκατομμύρια
ή το 4% του παγκόσμιου κύκλου εργασιών τους (όποιο
είναι μεγαλύτερο). Ο GDPR θα έχει σοβαρές επιπτώσεις και
για τα τμήματα ανθρώπινου δυναμικού και τη διαχείριση του
προσωπικού, καθώς οι εταιρείες θα πρέπει να έχουν πιο
ευέλικτα συστήματα για τα δεδομένα τους. Ας ρίξουμε μια
ματιά σε έξι βασικούς τρόπους με τους οποίους ο GDPR θα
επηρεάσει το τμήμα ανθρωπίνων πόρων σας καθώς και στις
αλλαγές που πρέπει να κάνετε για να συμμορφωθείτε.
1. Η συγκατάθεση είναι υποχρεωτική - Παρόλο που απαιτείται
συγκατάθεση για να έχετε στη κατοχή σας δεδομένα
του προσωπικού σας εδώ και αρκετά χρόνια, οι κανόνες
GDPR θα εισαγάγουν την ανάγκη για “συγκεκριμένη, ενημερωμένη
και αδιαμφισβήτητη συγκατάθεση”, επομένως
είναι πιθανό οποιαδήποτε συγκατάθεση που έχετε αποκτήσει
έως σήμερα από το προσωπικό σας για να έχετε στην
κατοχή σας δεδομένα του θα πρέπει να αναδιατυπωθεί έτσι
ώστε να μην υπάρχει η παραμικρή περίπτωση αβεβαιότητας
ή ασάφειας για τα δεδομένα που συλλέγονται.
2. Τα δεδομένα δεν γίνεται να αποθηκεύονται για απεριόριστο
χρονικό διάστημα - Ο νέος Γενικός Ευρωπαϊκός
Κανονισμός Προστασίας των Δεδομένων ορίζει
ότι οι οργανισμοί επιτρέπεται να διατηρούν δεδομένα
3. Τα δεδομένα μπορούν να χρησιμοποιηθούν μόνο
για τον επιδιωκόμενο σκοπό - Θα πρέπει επίσης να
σημειωθεί ότι τα τμήματα HR θα περιορίζονται από τον
GDPR αναφορικά με τους τρόπους που μπορούν να
χρησιμοποιήσουν τα προσωπικά δεδομένα των εργαζομένων
της εταιρείας. Πιο συγκεκριμένα, θα πρέπει οι
εργαζόμενοι να είναι ενήμεροι για τους τρόπους που θα
χρησιμοποιηθούν τα δεδομένα και η εταιρεία δεν θα επιτρέπεται
να τα χρησιμοποιήσει για οποιονδήποτε άλλο
σκοπό πέρα από τον επιδιωκόμενο.
4. Οι παραβιάσεις δεδομένων πρέπει να κοινοποιούνται
- Αναμφισβήτητα, ένας από τους βασικούς λόγους
για τους οποίους θα εφαρμοστεί ο GDPR είναι η αντιμετώπιση
της τεράστιας αύξησης της πειρατείας και των
κυβερνοεπιθέσεων. Υπάρχει μία ολοένα και μεγαλύτερη
ανησυχία μεταξύ των νομοθετών, ότι οι εταιρείες
δεν κάνουν αρκετά –και δεν επενδύουν αρκετά- για να
προστατεύσουν τόσο την ίδια την επιχείρηση όσο και τα
δεδομένα που κατέχουν από εγκληματίες χάκερ.
5. Έλεγχοι ποινικού μητρώου - Το GDPR δεν έχει το
παραμικρό πρόβλημα με την συνέχιση της πρότυπης
ή βελτιστοποιημένης Disclosure and Barring Service
(DBS), με τους νέους κανόνες να υπάρχει περίπτωση να
μην επιτρέπουν πλέον την εκτέλεση βασικών ελέγχων
DBS σε όλους τους υπαλλήλους.
6. Τα δεδομένα πρέπει να είναι κρυπτογραφημένα -
Θα πρέπει να έχουν ληφθεί μέτρα ασφαλείας για όλα
τα δεδομένα που συλλέγονται από το τμήμα ανθρώπινων
πόρων για λόγους συμμόρφωσης βεβαίως με το
νέο GDPR. Όλα τα ευαίσθητα προσωπικά δεδομένα πρέπει
να αντιμετωπίζονται με την απαραίτητη προσοχή και
ένας από τους πιο αποτελεσματικούς τρόπους για την
προστασία τους είναι η κρυπτογράφηση τους.
8 security

security
9

T5211/12.2017
News
Οι προβλέψεις της Kaspersky Lab για τις ψηφιακές απειλές του 2018
Περισσότερα high–end mobile κακόβουλα λογισμικά.
Τα τελευταία δύο χρόνια, η κοινότητα της ασφάλειας
έχει αποκαλύψει προηγμένο κακόβουλο λογισμικό
για φορητές συσκευές, το οποίο, σε συνδυασμό με exploits,
αποτελεί ένα ισχυρό όπλο εναντίον του οποίου δεν υπάρχει
επαρκής προστασία.
Οι καταστροφικές επιθέσεις θα συνεχίσουν να αυξάνονται.
Οι επιθέσεις Shamoon0 και StoneDrill που
αναφέρθηκαν στις αρχές του 2017 και η επίθεση ExPetr/
NotPetya τον Ιούνιο αποκάλυψαν την αυξανόμενη τάση για
καταστροφικές επιθέσεις.
Περισσότερες επιθέσεις θα οδηγήσουν με αναγνωριστικό
τρόπο και δημιουργία προφίλ στην προστασία
των πιο πολύτιμων exploitsτων εισβολέων. Οι επιτιθέμενοι
θα σπαταλούν περισσότερο χρόνο στην αναγνώριση
και θα χρησιμοποιούν εργαλεία δημιουργίας προφίλ, όπως
το «BeEF» για να διαπιστώσουν αν μπορούν να χρησιμοποιήσουν
ένα λιγότερο κοστοβόρο non-zero day exploit.
Τα επόμενα χρόνια, ο κόσμος θα δει ακόμα περισσότερα
νόμιμα λογισμικά να «μολύνονται» από ομάδες που στοχεύουν
σε ευρύτερα προφίλ θυμάτων και γεωγραφικές
περιοχές, με το πρόσθετο πλεονέκτημα ότι τέτοιες επιθέσεις
είναι εξαιρετικά δύσκολο να εντοπιστούν και να μετριαστούν,
σύμφωνα με τις Προβλέψεις Στοχευμένων Απειλών
της Kaspersky Lab για το 2018. Άλλες επιθέσεις που είναι
δύσκολο να εμποδιστούν, όπως αυτές που αφορούν κακόβουλο
λογισμικό high–end φορητών συσκευών, θα αυξηθούν
επίσης, καθώς οι επιτιθέμενοι καταφεύγουν σε νέες
μεθόδους για να παραβιάζουν ολοένα και πιο προστατευμένους
στόχους.
Το 2017, οι επιθέσεις σε συστήματα εφοδιαστικής αλυσίδας,
όπως οι Shadowpad και ExPetya, μας έδειξαν πόσο εύκολα
το λογισμικό τρίτων μπορεί να χρησιμοποιηθεί για να καταφέρουν
να εισέλθουν σε επιχειρήσεις. Αυτή η απειλή αναμένεται
να αυξηθεί το 2018, καθώς μερικοί από τους πιο
επικίνδυνους φορείς παγκοσμίως ξεκίνησαν να υιοθετούν
αυτήν την προσέγγιση ως μία εναλλακτική στις τεχνικές
τύπου watering hole ή επειδή άλλες προσπάθειες να διεισδύσουν
απέτυχαν.
Οι υπόλοιπες προβλέψεις στοχευμένων απειλών για το
2018 περιλαμβάνουν:
Θα ανακαλυφθούν εξελιγμένες επιθέσεις οι οποίες
θα βρίσκουν τον τρόπο σύνδεσης μεταξύ λειτουργικού
συστήματος και firmware. Το Unified Extensible
Firmware Interface (UEFI) είναι το λογισμικό διεπαφής
ανάμεσα στο firmware και στο λειτουργικό σύστημα στους
σύγχρονους υπολογιστές. Οι ειδικοί της Kaspersky Lab
αναμένουν ότι περισσότεροι απειλητικοί φορείς θα κάνουν
χρήση των εξαιρετικά προηγμένων δυνατοτήτων της
UEFI για τη δημιουργία κακόβουλου λογισμικού, το οποίο
θα μπορεί να εγκατασταθεί προτού καν οποιαδήποτε antimalware
λύση ή ακόμα και το ίδιο το λειτουργικό σύστημα
προλάβουν να εκκινήσουν.
Περισσότερες παραβιάσεις router και modem. Αυτός ο
γνωστός τομέας ευπάθειας έχει αγνοηθεί σε μεγάλο βαθμό
ως εργαλείο για προηγμένους στοχευμένους επιτιθέμενους.
Βρίσκονται σε μια κρίσιμη συγκυρία για έναν εισβολέα που
επιδιώκει να κερδίσει μόνιμη και μυστική πρόσβαση σε ένα
δίκτυο, και θα μπορούσαν να επιτρέψουν σε έναν εισβολέα
ακόμη και να κρύψει τα ίχνη του.
Οι πλήρεις προβλέψεις της Kaspersky Lab για τις ψηφιακές
απειλές του 2018 είναι διαθέσιμες στον ειδικό ιστότοπο
Securelist.com.
10 security

security
11

T5211/12.2017
News
Ερευνητικά κέντρα κυβερνοασφάλειας για την κρυπτογράφηση
συγκροτεί η ΕΕ
Σε ένα νέο σχέδιο σύστασης ερευνητικών κέντρων στον
τομέα της κυβερνοασφάλειας που θα επικεντρωθεί εν μέρει
στις τεχνολογίες κρυπτογράφησης συμφώνησα πρόσφατα
τα κράτη μέλη της ΕΕ. Οι Ευρωπαίοι υπουργοί θέλουν το
δίκτυο κέντρων για την κυβερνοασφάλεια να διερευνήσει
διαφορετικές μεθόδους κρυπτογράφησης ως τρόπο οικοδόμησης
εμπιστοσύνης των καταναλωτών στα προϊόντα τεχνολογίας.
Το Σεπτέμβριο, η Ευρωπαϊκή Επιτροπή ανακοίνωσε ότι
μπορεί να δημιουργήσει ένα νέο δίκτυο κέντρων για την
ασφάλεια στον κυβερνοχώρο, ως μέρος μιας ευρείας αναθεώρησης
των μέτρων της ΕΕ για την προστασία των εταιρειών
και των κυβερνητικών γραφείων από τους χάκερ. Το
Ευρωπαϊκό Κοινοβούλιο και τα κράτη μέλη πρέπει να διαπραγματευτούν
και να εγκρίνουν την επικείμενη πρόταση
για τη συγκρότηση των νέων κέντρων για την κυβερνοασφάλεια.
Ως βραχυπρόθεσμη δοκιμή του εν λόγω σχεδίου,
η Επιτροπή πρότεινε τον Σεπτέμβριο να δημιουργήσει ένα
πιλοτικό ερευνητικό κέντρο με χρηματοδότηση ύψους 50
εκατομμυρίων ευρώ.
Ανώνυμη πηγή της ΕΕ ανέφερε ότι τα κέντρα θα μπορούσαν
να αξιολογήσουν τα πρότυπα κρυπτογράφησης, όπως
επίσης και με ποιο τρόπο οι αρχές σε ορισμένα κράτη μέλη
δοκιμάζουν ήδη προϊόντα. Το γεγονός αυτό θα μπορούσε να
έχει ως αποτέλεσμα οι καταναλωτές να χρησιμοποιούν περισσότερο
την τεχνολογία κρυπτογράφησης, εάν έχει ελεγχθεί
από ερευνητές της ΕΕ. Τα
κράτη μέλη κατέστησαν σαφές
ότι θέλουν τα νέα κέντρα να
διεξάγουν την έρευνα κρυπτογράφησης,
επειδή «δεν θέλουν
να εκχωρήσουν αυτή την
αρμοδιότητα σε οποιοδήποτε
ευρωπαϊκό θεσμικό όργανο»,
πρόσθεσε η πηγή. Τα ζητήματα
της κυβερνοασφάλειας αποτελούν
ευαίσθητο τομέα για τις
εθνικές κυβερνήσεις με πολλούς
να εμφανίζονται ιδιαίτερα
επιφυλακτικοί όσον αφορά την
ανταλλαγή πληροφοριών με
άλλες χώρες της ΕΕ. Τα κράτη
μέλη έχουν πιέσει την Επι-
τροπή να συντονίσει την προσέγγιση της ΕΕ όσον αφορά
την κρυπτογράφηση.
Πάντως, η Κομισιόν προτίθεται να διαθέσει περισσότερους
πόρους στη Europol, για να αναπτύξει μεθόδους για
την κρυπτογράφηση. Ανέφερε, ακόμη, ότι θα δημιουργήσει
ένα δίκτυο, για να βοηθήσει τις αρχές επιβολής του νόμου
των κρατών μελών να επικοινωνούν σχετικά με τις τεχνικές
πρόσβασης σε κρυπτογραφημένα δεδομένα για έρευνες.
Από την πλευρά τους, οι εταιρείες τεχνολογίας έχουν
προειδοποιήσει ενάντια σε οποιαδήποτε μέτρα που θα
μπορούσαν να αποδυναμώσουν την κρυπτογράφηση. Για
ορισμένους από τον κλάδο της τεχνολογίας, το σχέδιο διεξαγωγής
έρευνας σχετικά με τις τεχνολογίες ασφαλείας συνιστά
ένα μήνυμα για το γεγονός ότι οι νομοθέτες της ΕΕ
ενδέχεται να ενθαρρύνουν τις εταιρείες να χρησιμοποιούν
καλύτερη κρυπτογράφηση.
«Η ιδέα της περισσότερης έρευνας, μεγαλύτερης εστίασης
και περισσότερων δαπανών για την κρυπτογράφηση είναι
εξαιρετικά σημαντική για την προστασία της ψηφιακής μας
οικονομίας και των υποδομών που εξαρτώνται από την
κρυπτογράφηση, είτε πρόκειται για τράπεζες, είτε για μεταφορές
είτε για κυβερνήσεις», δήλωσε ο director of policy
της Business Software Alliance, Thomas Boué.
Σύμφωνα με τα σχέδια της Επιτροπής, τα ερευνητικά κέντρα
θα συντονίζονται με άλλα γραφεία της ΕΕ, συμπεριλαμβανομένης
της ENISA που εδρεύει στην Αθήνα και της Europol.
12 security

security
13

T5211/12.2017
Report
European Cyber Security
Challenge 2017:
H επόμενη μέρα
Ο Ευρωπαϊκός Διαγωνισμός Κυβερνοασφάλειας European Cyber Security Challenge 2017
αποτελεί μια διοργάνωση που πραγματοποιήθηκε για πρώτη φορά το 2015 στη Λουκέρνη
της Ελβετίας και έκτοτε αποσκοπεί στην ανεύρεση, προσέλκυση και ανάδειξη νέας γενιάς
ταλέντων στο χώρο της προστασίας και ασφάλειας πληροφοριακών συστημάτων και δικτύων.
διαγωνισμός αποτελεί μία πρωτοβουλία του
Ο
Ευρωπαϊκού Οργανισμού για την Ασφάλεια
Δικτύων και Πληροφοριών ENISA
(European Union Agency for Network and
Information Security), που λειτουργεί ως το
κέντρο εμπειρογνωμοσύνης σε θέματα ψηφιακής ασφάλειας
για την Ευρωπαϊκή Ένωση. Οι χώρες που συμμετέχουν εκπροσωπούνται
από μία και μοναδική ομάδα, που αποτελείται από
δέκα διαγωνιζόμενους, έναν προπονητή και έναν κριτή.
Την ευθύνη της Ελληνικής συμμετοχής στο διαγωνισμό φέρει
το Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου
Πειραιώς. Πιο συγκριμένα, με επικεφαλής τον Αναπληρωτή
Καθηγητή του Τμήματος κύριο Χρήστο Ξενάκη, μια
εξειδικευμένη ομάδα εθελοντών που ασχολούνται με τον
χώρο της κυβερνοασφάλειας προετοίμασαν την Ελληνική
συμμετοχή στον πανευρωπαϊκό διαγωνισμό ECSC 2017. Η
φετινή διοργάνωση υποστηρίχτηκε ενεργά από το Υπουργείο
Ψηφιακής Πολιτικής, Τηλεπικοινωνιών & Ενημέρωσης
και την ελληνική πρεσβεία στην Ισπανία.
Ο διαγωνισμός διεξήχθη μεταξύ 30 Οκτωβρίου και 3 Νοεμβρίου
2017, στη Μάλαγα της Ισπανίας. H Ελλάδα συμμετέχει
στο διαγωνισμό από το 2016.
Η ελληνική ομάδα, κατετάγη στη 12η θέση, από την 1η θέση
που κατείχε στο μεγαλύτερο διάστημα του διαγωνισμού, μετά
από μία γενικά προβληματική σε θέματα οργάνωσης διαγωνιστική
διαδικασία (σ.σ. η Ισπανία ήταν η διοργανώτρια χώρα).
14 security

European Cyber Security Challenge 2017
Το χρονικό του φετινού
διαγωνισμού
Πιο συγκεκριμένα, ο διαγωνισμός
καθυστέρησε να ξεκινήσει πάνω από
μία ώρα, λόγω τεχνικών προβλημάτων.
Με την έναρξη της διαγωνιστικής
διαδικασίας και ενώ τα τεχνικά
προβλήματα είχαν λυθεί, εν μέρει, η
ελληνική συμμετοχή ξεκίνησε δυνατά
παραμένοντας στην 1η θέση για
πάνω από 5 ολόκληρες ώρες. Στη
συνέχεια, η διαγωνιστική πλατφόρμα
κατέρρευσε, επακολούθησε μία
χειροκίνητη διαγωνιστική διαδικασία,
στην οποία επικράτησε σύγχυση,
τόσο στη διανομή των ασκήσεων μεταξύ
των 15 διαγωνιζομένων χωρών, όσο και στη συλλογή
των αποτελεσμάτων. Η διανομή των challenges γινόταν πλέον
μέσω USB memory sticks σε κάθε ομάδα ξεχωριστά. Η διαδικασία
αυτή θεωρήθηκε διαβλητή, καθώς δεν υπήρχε κεντρικός
συντονισμός και έλεγχος του υλικού διανομής. Σε αυτό το
διάστημα, τα scoreboards έσβησαν και οι ομάδες δεν γνώριζαν
τη θέση τους καθώς η κριτική επιτροπή πλέον κατέγραφε το
σκορ χειροκίνητα.
Μετά την ολοκλήρωση της διαγωνιστικής διαδικασίας, η ελληνική
συμμετοχή δεν κατάφερε να διακριθεί σε υψηλή θέση και
κατέλαβε τελικώς, μετά από πολλές διαβουλεύσεις, τη 12η θέση.
H ελληνική συμμετοχή ξεκίνησε δυνατά παραμένοντας στην 1η θέση
για πάνω από 5 ολόκληρες ώρες
Οι χορηγοί της ομάδας
Σε όλη τη διάρκεια της προετοιμασίας και της διεξαγωγής του
διαγωνισμού, μεγάλοι αρωγοί της εθνικής ομάδας ήταν οι χο-
Η ελληνική ομάδα εν δράσει.
ρηγοί και υποστηρικτές αυτής της προσπάθειας που αξίζει να
αναφέρουμε.
Στους Diamond Sponsors οι εταιρείες ADACOM και FOCAL
POINT είχαν ενεργή συμμετοχή στην οργάνωση και το σχεδιασμό
της εκπαίδευσης της ομάδας μαζί με την ομάδα εθελοντών
Greunion, προσφέροντας την τεχνογνωσία τους καθώς και ειδική
πλατφόρμα προσομοίωσης εικονικών κυβερνοεπιθέσεων.
Επίσης, η Aegean Airlines ως Diamond Transportation
Sponsor ανέλαβε τη μετάβαση της ομάδας στην Ισπανία. Πέραν
όμως των Diamond sponsorships υπήρχαν και άλλες κατηγορίες
χορηγιών που με τη συμβολή τους βοήθησαν να πραγματοποιηθεί
φέτος η Ελληνική αποστολή.
Platinum Sponsor: Media Markt, Όμιλος Quest (Info Quest
Technologies, Uni Systems), υποστήριξαν ενεργά την ελληνική
ομάδα.
Gold Sponsors: Neurosoft, UBITECH
Silver Sponsors: Exus
Supporters: Netsquare, Thales, Αθήνα – Διεθνής Αερολιμένας
Ελευθέριος Βενιζέλος
Equipment Supporters: Alcatel, devolo, Sencor
Η εθνική μας ομάδα, διαθέτει το δικό της ψηφιακό χώρο στη
διεύθυνση www.ecsc.gr αλλά και σελίδα στο Facebook www.
facebook.com/HellenicTeam-EuropeanCyberSecurityChallenge
όπου οι ενδιαφερόμενοι μπορούν να ενημερώνονται για όλες τις
λεπτομέρειες του φετινού διαγωνισμού αλλά και του επόμενου
που θα διεξαχθεί τον Οκτώβριο του 2018 στο Λονδίνο.
Μια εξαιρετική ευκαιρία για την ανάδειξη μιας νέας
γενιάς ταλέντων στο χώρο της κυβερνοασφάλειας
Με αφορμή τη διοργάνωση του διαγωνισμού European Cyber
Security Challenge είχαμε την ευκαιρία να συνομιλήσουμε με
security
15

T5211/12.2017
Report
τον επικεφαλή της Ελληνικής συμμετοχής και Αναπληρωτή
Καθηγητή Τμήματος Ψηφιακών Συστημάτων στο Πανεπιστήμιο
Πειραιώς, Χρήστο Ξενάκη, ο
οποίος μας μετέφερε τις εντυπώσεις
του και γενικότερα τις προεκτάσεις
που έχει ευρύτερα.
Χρήστος Ξενάκης
Αναπληρωτής Καθηγητής Τμήματος
Ψηφιακών Συστημάτων
Πανεπιστήμιο Πειραιώς
Επικεφαλής της ελληνικής συμμετοχής
στο European Cyber Security
Challenge
Τι σηματοδοτεί ευρύτερα αυτός ο διαγωνισμός για
τις προσπάθειες σχετικά με την ψηφιακή ασφάλεια
στην Ευρώπη;
Καθώς η τεχνολογία εξελίσσεται με ραγδαίους ρυθμούς και
καλύπτει όλο και μεγαλύτερο μέρος της καθημερινής μας ζωής
και εργασίας, δημιουργούνται συνεχώς περισσότεροι κίνδυνοι,
τους οποίους καλούμαστε να αντιμετωπίσουμε έγκαιρα και επιτυχώς.
Σε καθημερινή βάση εξελίσσονται κυβερνοεπιθέσεις, για
τις οποίες η κοινωνίας μας θα πρέπει να σχεδιάσει και να εφαρμόσει
τόσο διαδικασίες όσο και μέτρα για την πρόληψη και την
καταστολή τους. Η ψηφιακή ασφάλεια είναι ένας κλάδος που
χαρακτηρίζεται από έντονη και διαρκή εξέλιξη, γεγονός που
δημιουργεί μεγάλες ανάγκες για ανθρώπινο δυναμικό υψηλής
και διαρκούς εξειδίκευσης. Ο πανευρωπαϊκός
διαγωνισμός κυβερνοασφάλειας
(ECSC) αποτελεί, λοιπόν την ευκαιρία για την
«ανακάλυψη και εκπαίδευση» ταλαντούχων
νέων που διαθέτουν την όρεξη αλλά και τις
ικανότητες να απασχοληθούν σε αυτόν τον
τομέα. Άλλωστε, ακριβώς αυτός είναι και
ο σκοπός του διαγωνισμού: η ανεύρεση,
προσέλκυση και ανάδειξη μιας νέας γενιάς
ταλέντων στο χώρο της κυβερνοασφάλειας,
μέσω μιας σειράς απαιτητικών
δοκιμασιών. Οι ομάδες διαγωνίζονται
σε διάφορες πτυχές της ασφάλειας των
πληροφορικών συστημάτων και καλούνται
να λάβουν μέρος σε εικονικές μάχες, εκτελώντας
ενέργειες επίθεσης αλλά και άμυνας,
ώστε να αντιμετωπίσουν τις κυβερνοεπιθέσεις,
όπως ακριβώς συμβαίνει και στην πραγματικότητα
με τα πληροφορικά συστήματα επιχειρήσεων, τραπεζών και κυβερνητικών
φορέων. Επομένως, ο διαγωνισμός είναι μία εξαιρετική
ευκαιρία για την ανάδειξη ικανών νέων ατόμων που θα
μπορούν να καλύψουν την αυξημένη ζήτηση του κλάδου, αλλά
και φρέσκων ιδεών και λύσεων για προβλήματα που προκύπτουν
καθημερινά.
Πως σχολιάζετε τη φετινή κατάταξη της ελληνικής
ομάδας;
Ως επικεφαλής της οργανωτικής ομάδας της εθνικής
αποστολής,καταρχάς, θέλω να ευχαριστήσω και δημόσια όλα
μέλη της εθνικής ομάδας, τόσο για την αγωνιστική προσπάθεια
την οποία κατέβαλαν, όσο και για το ήθος και την συμπεριφορά
τους κατά τη διάρκεια του διαγωνισμού. Το Πανεπιστήμιο Πειραιώς,
ως κεντρικός φορέας της Εθνικής διοργάνωσης, θα συνεχίσει
την προσπάθεια συμμετοχής της χώρας μας στο ECSC
τα επόμενα χρόνια, στοχεύοντας στη συνεχή εκπαίδευση των
νέων μας στο χώρο της κυβερνοασφάλειας, που αποτελεί και
βασικό στόχο του διαγωνισμού.Ένα ασφαλές συμπέρασμα στο
οποίο σίγουρα μπορούμε να καταλήξουμε από το European
Cyber Security Challenge 2017, είναι ότι χρειάζεται πολλή δουλειά
και προσπάθεια, τόσο σε ευρωπαϊκό όσο και σε εθνικό
επίπεδο, ώστε να βελτιωθεί η τεχνογνωσία και οι ικανότητες
όλων μας στον τομέα της ασφάλειας του κυβερνοχώρου και
εμείς ως Πανεπιστήμιο Πειραιώς θα συμβάλλουμε ενεργά προς
αυτή την κατεύθυνση. Η ομάδα έχει αρχίσει ήδη να σχεδιάζει τη
συμμετοχή της στο διαγωνισμό ECSC 2018,που θα διεξαχθεί
στο Λονδίνο και από τις αρχές του 2018 θα ανακοινωθούν λεπτομέρειες
για αυτό.
Η ελληνική ομάδα έξω από την ελληνική πρεσβεία στη Μαδρίτη, λίγο
πριν αναχωρήσει για Μάλαγα (Οκτώβριος 2017).
16 security

European Cyber Security Challenge 2017
Τα μέλη της εθνικής ομάδας που συμμετείχαν φέτος στον ECSC 2017 είναι με αλφαβητική σειρά οι εξής:
Γύφτος Μάριος - Δημάκης Φάνης - Ζαχαριουδάκης Γιάννης - Καμαρινάκης Νίκος - Καπλανέλης Ευστράτιος - Κολιός Παύλος Κολιός - Μάντος
Πέτρος Λάζαρος Κάρολος - Τουλουμτζίδης Λευτέρης - Τσεκαλάς Γιώργος Δαυίδ - Τσιμπούκης Αναστάσιος
Ποια είναι τα ποιοτικά χαρακτηριστικά της ελληνικής
αποστολής και γενικότερα το υπόβαθρο και
το ταλέντο αυτών των παιδιών και πως μπορεί να
αξιοποιηθούν περαιτέρω ;
Αρχικά, να αναφερθεί πως για τη συγκρότηση της ελληνικής
ομάδας διεξήχθησαν πανελλήνιοι προκριματικοί αγώνες. Η διαδικασία
ξεκίνησε με το αρχικό κάλεσμα τον Απρίλιο 2017, ενώ
ο προκριματικός διαγωνισμός διεξήχθη τον Ιούνιο του 2017
όπου διαμορφώθηκε και η τελική δεκάδα. Στη δεκάδα συμμετείχαν
νέοι ηλικίας μεταξύ 15 και 25 ετών. Τα δύο νεότερα μέλη
της ομάδας είναι ηλικίας 15 και 16 ετών, μαθητές λυκείου, οι
οποίοι δεν έχουν λάβει κάποια εξειδικευμένη εκπαίδευση και
ασχολούνται με τον χώρο της κυβερνοασφάλειας από χόμπι. Οι
υπόλοιποι οχτώ είναι φοιτητές,οι οποίοι προέρχονταιαπό διάφορες
σχολές Πληροφορικής και Τεχνολογίας, όπου έχουν λάβει
εξειδικευμένη ψηφιακή παιδεία και εξειδίκευση. Η εντατική
προπόνηση στα πλαίσια της Εθνικής ομάδας αλλά και η εμπειρία
από τη συμμετοχή στο διαγωνισμό «ανοίγουν» νέους ορίζοντες
στα μέλη της ομάδας για μια πολλά υποσχόμενη επαγγελματική
πορεία στον ευρύτερο τομέα της ασφάλειας αλλά και της τεχνολογίας,
καθώς είναι φανερό ότι έχουν πολλά να προσφέρουν.
Ποια τα οφέλη για το ακαδημαϊκό έργο στο πανεπιστήμιο
σχετικά με την ψηφιακή ασφάλεια;
Το Ακαδημαϊκό έργο του Πανεπιστημίου μπορεί να εξειδικευτεί
στον τομέα της εκπαίδευση, της έρευνας και της ανάπτυξης.
Δράσεις όπως το ECSC δίνουν τη δυνατότητα στο Πανεπιστήμιο
να εκτελέσει τον εκπαιδευτικό του ρόλο πέρα από τα στενά
όρια της Ακαδημαϊκής κοινότητας, απευθυνόμενο άμεσα στην
Ελληνική κοινωνία. Επίσης, η τεχνογνωσία που τα μέλη του Πανεπιστημίου
αποκτούν από τη συμμετοχή τους σε δράσεις όπως
το ECSC, τροφοδοτούν και αναβαθμίζουν την εκπαιδευτική διαδικασία
εντός αυτού. Παράλληλα, μέσα από τέτοιου είδους διαγωνισμούς
καθώς και ερευνητικά έργα, στα οποία εμπλέκονται
τόσο προπτυχιακοί όσο και μεταπτυχιακοί φοιτητές, το Πανεπιστήμιο,
εκπαιδεύει τη νέα γενιά στελεχών που θα κληθούν να
επανεκκινήσουν την Ελληνική οικονομία στη σύγχρονη ψηφιακή
εποχή. Η προσπάθεια αυτή βρίσκεται σε ένα ώριμο στάδιο
πλέον εάν λάβουμε υπόψη μας ότι το Εργαστήριο Ασφάλειας
Συστημάτων του Τμήματος Ψηφιακών Συστημάτων του Πανεπιστημίου
Πειραιά, συμμετέχει σε 3 μεγάλα Ευρωπαϊκά Προγράμματα
Αριστείας που χρηματοδοτούνται από το Horizon
2020, ενώ άλλα δύο θα ξεκινήσουν τον Ιανουάριο 2018. Τα προγράμματα
αυτά στοχεύουν στην επίλυση σύγχρονων προβλημάτων
και στην ανάπτυξη πραγματικών λύσεων όπως: α) η
αντικατάσταση των passwords από βιομετρικά χαρακτηριστικά
αυθεντικοποίησης (έργο ReCRED), β) η ψηφιακή ασφάλεια
στα αυτοκίνητα νέας γενιάς (έργο SAFERtec), γ) η ασφάλεια
και ιδιωτικότητα στα ιατρικά δεδομένα (CrowdHEALTH), δ) η
ασφαλής κρυπτογράφηση μετά την έλευση των κβαντικών Η/Υ
(FutureTPM) και ε) η ασφάλεια και ιδιωτικότητα στα έξυπνα δίκτυα
ενέργειας (έργο SealedGrid)
security
17

T5211/12.2017
Cover Issue
Mobile Security
Σε κάθε περίπτωση, σε όλες τις επιχειρήσει και τους οργανισμούς που αποδέχονται τη χρήση
των mobile συσκευών από το προσωπικό τους για τη διαχείριση επιχειρηματικών λειτουργιών,
η ασφάλεια πρέπει να αποτελεί βασική προτεραιότητα.
ίναι γεγονός ότι οι σύγχρονοι οργανισμοί και
Ε
επιχειρήσεις έχουν αναγνωρίσει πλήρως
την ανάγκη χρήσης των mobile συσκευών
του προσωπικού τους για την διαχείριση και
διεκπεραίωση εργασιών και επιχειρηματικών
λειτουργιών.
Πολλές επιχειρήσεις εφαρμόζουν πολιτικές BYOD (bring your
own device), ενώ άλλες έχουν υιοθετήσει ένα υβριδικό μοντέλο
διαχείρισης των φορητών συσκευών που ονομάζεται
COPE (corporate owned & personally enabled). Επίσης, αρκετές
είναι οι εταιρείες που επιλέγουν να εφαρμόσουν λύσεις
EMM (enterprise mobility management) ή MDM (mobile
device management), ώστε να διαχειριστούν με τον καλύτερο
δυνατό τρόπο τον έλεγχο των συσκευών που έχουν πρόσβαση
σε εταιρικά δεδομένα.
Σύμφωνα με πρόσφατη μελέτη της Gartner, καθίσταται όλο
και πιο σημαντική, η διαδικασία της έρευνας από πλευράς
των υπευθύνων ασφάλειας πληροφοριών, προκειμένου να
αναζητήσουν τις κατάλληλες διαθέσιμες λύσεις και υπηρεσίες
mobile προστασίας από απειλές, καθώς και το πώς
αυτές πρέπει να προσαρμόζονται στις λειτουργίες της κάθε
επιχείρησης. Και αυτό, γιατί οι εξελιγμένες mobile απειλές
με την ικανότητα να στοχεύουν πολύτιμα εταιρικά δεδομένα
και συσκευές, είναι εδώ και καιρό μια πραγματικότητα που
κανείς δεν μπορεί να αγνοήσει.
Επιχειρώντας να οριοθετήσουμε τις βασικές λειτουργίες και
διαδικασίες για τις οποίες οι σημερινές επιχειρήσεις και οργανισμοί
εκφράζουν σοβαρές ανησυχίες σχετικά με τη χρήση
των mobile συσκευών του προσωπικού τους, θα μπορούσαμε
να θέσουμε τα παρακάτω 6 βασικά ερωτήματα;
1. Τα mobile apps στις συσκευές των υπαλλήλων μας,
αποτελούν απειλή κατά της ασφάλειας; Καθώς υπάρχει
πρόσβαση σε όλο και περισσότερα ευαίσθητα δεδομένα
μέσω mobile συσκευών, το κακόβουλο λογισμικό γί-
18 security

Του Δημήτρη Θωμαδάκη
νεται αισθητά πιο περίπλοκο και οι μη-κακόβουλες από τη
φύση τους, αλλά ριψοκίνδυνες εφαρμογές, αποτελούν
για τις εταιρείες μία μεγάλη πρόκληση.
2. Μήπως οι υπάλληλοι μας, εγκαθιστούν
εφαρμογές iOS και Android από άγνωστες
πηγές; Τώρα πια είναι εύκολο να
αποκτήσουμε εφαρμογές iOS και Android
από πηγές εκτός των επίσημων app
stores, κάτι που βάζει στην εξίσωση
νέους κινδύνους.
3. Υπάρχουν συσκευές iOS και
Android στο δίκτυο μας, που έχουν
γίνει jailbreak ή root; Εκτιμάται ότι
σε ένα ποσοστό 8% των συσκευών
iOS έχει γίνει jailbreak (τροποποίηση
του λειτουργικού συστήματος, αφαιρώντας
τυχόν περιορισμούς), ενώ τα παραδοσιακά
εργαλεία δεν μπορούν να χρησιμοποιηθούν
για την ανίχνευση των jailbreaks.
4. Είναι επαρκείς οι λύσεις MDM για την ασφάλεια των
εταιρικών δεδομένων σε mobile συσκευές; Οι λύσεις
MDM και γενικότερα οι λύσεις διαχείρισης και περιορισμού
χρήσης των mobile συσκευών, μπορούν να αποτελέσουν
ένα σημαντικό τμήμα της υποδομής για την mobile
ασφάλεια, όμως δεν προσφέρουν απόλυτη προστασία από
μόνες τους, κατά των προηγμένων mobile malware.
5. Χρησιμοποιούν οι υπάλληλοι τα δικά τους mobile εργαλεία,
θέτοντας τα ευαίσθητα δεδομένα σε κίνδυνο;
Οι υπάλληλοι όπως και όλοι οι χρήστες των mobile συσκευών
απαιτούν την καλύτερη δυνατή εμπειρία χρήσης και αν
δεν υιοθετηθούν λύσεις ενίσχυσης της παραγωγικότητας
και ασφάλειας, τα εταιρικά δεδομένα τίθενται σε κίνδυνο.
6. Μπορούν οι mobile συσκευές των υπαλλήλων να διακινδυνεύσουν
να δεχτούν επίθεση, όταν συνδέονται
σε ασύρματα δίκτυα, ακόμα και αν χρησιμοποιούν
VPN; Οι επιτιθέμενοι χρησιμοποιούν διάφορες τεχνικές
για να παγιδεύουν την κίνηση του δικτύου από και προς
κάποια mobile συσκευή, με την πιο γνωστή να είναι η τεχνική
επίθεσης man-in-the-middle. Εφόσον μεσολαβεί
ένας χρόνος μεταξύ της σύνδεσης σε ένα νέο WiFi και της
σύνδεσης στο VPN, θα υπάρχει πάντα και ένα παράθυρο
για να γίνει μια επίθεση.
Ας δούμε όμως παρακάτω πιο αναλυτικά τις απαντήσεις σε
αυτά τα 6 ερωτήματα που μπορούν να βοηθήσουν στην κατανόηση
των βασικών σημείων μιας πολιτικής και πρακτικής
ασφάλειας για τη χρήση των mobile συσκευών.
Κατά πόσο οι mobile εφαρμογές των συσκευών
των υπαλλήλων σε μια εταιρεία, αποτελούν απειλή
για την ασφάλεια;
Προκειμένου να απαντήσουμε σε αυτήν την ερώτηση, πρέπει
πρώτα να κατανοήσουμε τις κατηγορίες των σημερινών
εφαρμογών που μπορεί να αποτελέσουν απειλή. Σε γενικές
γραμμές θα μπορούσαμε να τις κατηγοριοποιούμε σε δυο
βασικές κατηγορίες:
Κακόβουλες εφαρμογές: Mobile εφαρμογές που είναι σχεδιασμένες
προκειμένου να εκμεταλλεύονται κάποια ευπάθεια,
ώστε να δημιουργήσουν ένα κενό ασφαλείας για τη συσκευή
και τα δεδομένα που βρίσκονται σε αυτή.
Επισφαλείς ή ριψοκίνδυνες εφαρμογές: Mobile εφαρμογές
που επιδεικνύουν φαινομενικά ακίνδυνη συμπεριφορά
σε λογικό πλαίσιο, αλλά μπορεί να παραβιάσουν την ασφαλείας.
Για παράδειγμα, μία τέτοια εφαρμογή μπορεί να είναι
ένα application που στέλνει δεδομένα των επαφών μας σε
ξένους servers.
Γιατί όπως ένας επιτιθέμενος να επιλέξει μία mobile συσκευή,
μεταξύ τόσων, επιλογών, προκειμένου να επιτεθεί στο δίκτυο
μιας επιχείρησης; Η απάντηση βρίσκεται στην συνεχή εξέλιξη
των κακόβουλων λογισμικών και στο γεγονός ότι επιτιθέμενοι
γνωρίζουν ότι αποκτώντας πρόσβαση σε μια φορητή συσκευή
ενός υπαλλήλου μιας εταιρίας, μπορούν να αποκτήσουν πρόσβαση
και σε εταιρικά δεδομένα.
Όσον αφορά το εύρος των επισφαλών ή ριψοκίνδυνων εφαρμογών,
είναι αλήθεια ότι οι οργανισμοί δεν ελέγχουν τους
υπαλλήλους τους σε ότι αφορά τις εφαρμογές που κατεβά-
security
19

T5211/12.2017
Cover Issue
ζουν. Άρα δεν υπάρχει ορατότητα και σαφή γνώση για το τι
ακριβώς κάνει κάθε εφαρμογή στη συσκευή του κάθε χρήστη.
Αυτό είναι για τις εταιρείες που θέλουν να ενισχύσουν
την παραγωγικότητα στο χώρο εργασίας αλλά και να μην
περιορίσουν την εμπειρία του κάθε χρήστη είναι κάτι συνηθισμένο,
αλλά παράλληλα είναι κάτι που μπορεί να επιφέρει
νέους κινδύνους.
Μία εφαρμογή λοιπόν κρίνεται επισφαλής υποκειμενικά. Όμως
τουλάχιστον απαιτείται να υπάρχει ένας στοιχειώδης έλεγχος
στις εφαρμογές που εισέρχονται στο δίκτυο και στις δυνατότητες
που έχουν. Μόνο έτσι μπορούμε να λάβουμε σωστές
και τεκμηριωμένες αποφάσεις προκειμένου να διατηρήσουμε
την ισορροπία που χρειάζεται, έτσι ώστε από την μια πλευρά
να ενισχυθεί η παραγωγικότητα ενώ από την άλλη πλευρά να
προστατευτούν τα εταιρικά δεδομένα.
Κατά πόσο οι εταιρικοί χρήστες, εγκαθιστούν
εφαρμογές iOS και Android από άγνωστες πηγές;
Σε πρόσφατη μελέτη της για το mobile κακόβουλο λογισμικό, η
Gartner αποκαλύπτει ότι μία από τις κύριες πηγές για τις σημερινές
επιθέσεις, είναι τα ανεπίσημα app stores. Μία κοινή τακτική
των κυβερνοεγκληματιών, είναι να κατεβάζουν δημοφιλείς
εφαρμογές, να τις επαναπρογραμματίζουν με κακόβουλο κώδικα
και να τις ανεβάζουν σε πλατφόρμες διανομής τρίτων, ή να
κλέβουν πιστοποιητικά εταιρειών ανάπτυξης εφαρμογών, ώστε
τα Apps τους να εμφανίζονται ως νόμιμα υπογεγραμμένα.
Οι εφαρμογές που κατεβαίνουν εκτός των επίσημων app stores,
όπως το Google Play Store και το Apple App Store, εγκαθίστανται
με τη μέθοδο sideload (χειροκίνητα) και είναι εκ φύσεως
επισφαλείς, λόγω του γεγονότος ότι παρακάμπτουν την επισκόπηση
και τον έλεγχο που γίνεται από τα επίσημα app stores.
Συγκεκριμένα, η Apple έχει διαμορφώσει μια καλή φήμη στη διατήρηση
της καθαρότητας του App Store από κακόβουλο λογισμικό,
αλλά υπάρχει μία αυξανόμενη τάση για φόρτωση εφαρμογών
στο iOS μέσω sideload, που δεν απαιτεί jailbreak. Εφαρμογών
δηλαδή που κάνουν κατάχρηση των εταιρικών προφίλ
παροχής υπηρεσιών. Όταν οι υπάλληλοι βλέπουν μία ειδοποίηση
ασφαλείας στη συσκευή τους, την πρώτη φορά που κατεβάζουν
μία εταιρική εφαρμογή από κάποιο νέο προγραμματιστή, έχουν
συνηθίσει να πατούν το πλήκτρο αποδοχής. Ως αποτέλεσμα, οι
κακόβουλοι hackers, που αποκτούν έγκυρα πιστοποιητικά, υπογεγραμμένα
από την Apple, μπορούν να εκμεταλλευτούν αυτή
τη μεταβαλλόμενη εταιρική δυναμική, ώστε να στοχεύσουν σε
χρήστες με εφαρμογές οι οποίες δεν ελέγχθηκαν ποτέ από την
Apple. Ευτυχώς, πολλές από αυτές τις sideload εφαρμογές μπορούν
να εντοπιστούν, εξετάζοντας ποιος υπέγραψε τα πιστοποιητικά
τους. Αν υπογράφηκαν από κάποια οντότητα εκτός της
εταιρείας, θα είναι καλό να ερευνηθεί το θέμα περισσότερο, ή
να μπλοκαριστούν τελείως αυτές οι εφαρμογές.
Υπάρχουν iOS και Android συσκευές στο δίκτυο,
στις οποίες έχει γίνει jailbreak ή root;
Είναι γενικά γνωστό στους επαγγελματίες της ασφάλειας ότι
αν το λειτουργικό σύστημα κάποιας συσκευής παραβιαστεί,
τότε το παιχνίδι σε ότι αφορά την ασφάλεια των δεδομένων
έχει ουσιαστικά χαθεί. Κάθε απόπειρα για προστασία των δεδομένων
της συσκευής μέσω λογισμικού ασφάλειας, είναι
πολύ πιθανόν να αποτύχει σε μια τέτοια περίπτωση. Ας δούμε
όμως κάποιους σύντομους ορισμούς που θα βοηθήσουν
στην κατανόηση των συγκεκριμένων όρων.
Jailbreak στο iOS: Είναι η διαδικασία αφαίρεσης των περιορισμών
hardware στο λειτουργικό σύστημα, μεταβάλλοντας τους
πυρήνες συστήματος του iOS, ώστε να επιτρέπεται η πρόσβαση
στο file system για ανάγνωση και εγγραφή δεδομένων.
Root στο Android: Η απόκτηση πρόσβασης επιπέδου
administrator ή χρήστη με αυξημένα δικαιώματα στο λειτουργικό
σύστημα Android, επιτρέποντας σε κάποιον χρήστη να αλλάξει,
να αφαιρέσει ή να αντικαταστήσει το λειτουργικό σύστημα.
Γιατί όμως κάποιοι χρήστες επιχειρούν να κάνουν jailbreak ή
root στις συσκευές τους; Πολλοί χρήστες προβαίνουν συνειδητά
σε jailbreak ή root στις συσκευές τους, για μη κακόβουλους
σκοπούς. Οι συνήθεις λόγοι περιλαμβάνουν
● Το κατέβασμα εφαρμογών από πηγές τρίτων.
● Το μπλοκάρισμα διαφημίσεων και την αφαίρεση προ-εγκατεστημένων
προγραμμάτων προωθητικού χαρακτήρα.
● Τη βελτίωση των λειτουργιών της συσκευής, όπως η δημιουργία
mobile hotspots χωρίς επιπλέον χρέωση.
● Το ξεκλείδωμα της συσκευής ώστε να χρησιμοποιείται σε
όλα τα δίκτυα κινητής.
● Την πρόσβαση σε πειρατικές εφαρμογές από αντίστοιχες
πηγές.
20 security

Πόσο επαρκείς είναι οι λύσεις MDM για την ασφάλεια
των εταιρικών δεδομένων σε mobile συσκευές;
Οι σύγχρονοι επαγγελματίες IT αναγνωρίζουν την ανάγκη για μία
πολυεπίπεδη προσέγγιση στη mobile ασφάλεια. Σε αυτή τη προσέγγιση
οι λύσεις EMM και MDM μπορούν να αποτελέσουν σημαντικό
τμήμα μίας εταιρικής mobile στρατηγικής, όμως θα πρέπει
να λάβουμε υπόψη και ορισμένους περιορισμούς που υπάρχουν.
Σε ότι αφορά τις λύσεις EMM, μπορούμε να πούμε ότι παρατηρούνται
ορισμένα κενά στην προστασία των mobile endpoints.
Σύμφωνα, με πρόσφατη μελέτη της Gartner, σε διάφορες λύσεις
EMM έχουν παρατηρηθεί περιορισμοί σε ότι αφορά την έλλειψη
ικανότητας να ανιχνεύουν προηγμένες ευπάθειες σε πλατφόρμες
και εφαρμογές. Επίσης, έχει διαπιστωθεί περιορισμένη
ικανότητα ανίχνευσης προηγμένων απειλών (advanced threats)
από κακόβουλο λογισμικό. Τα εργαλεία MTD (mobile threat
defense) βοηθούν στην κάλυψη αυτού του κενού, προστατεύοντας
τις επιχειρήσεις από απειλές σε mobile πλατφόρμες. Tα
κενά περιλαμβάνουν αυτό που αναφέραμε και προηγουμένως,
δηλαδή την ανίχνευση jailbreak ή root. Όπως σημειώσαμε και
παραπάνω, αν σε μία συσκευή έχει γίνει jailbreak ή root, τότε η
όποια επένδυση στην ασφάλεια μπορεί να αποδειχτεί αναποτελεσματική.
Ενώ, οι περισσότερες λύσεις MDM /EMM υποστηρίζουν
ότι περιλαμβάνουν ανίχνευση jailbreak και root, δεν είναι
πάντα αποτελεσματικές, λόγω της φύσης των επιθέσεων που
στοχεύουν τον πυρήνα του λειτουργικού συστήματος.
Για πολλές επιχειρήσεις, οι λύσεις MDM καθίστανται ιδιαίτερα
σημαντικές στο πλαίσιο της στρατηγικής ασφάλειας που εφαρμόζουν.
Όμως πολλοί υπεύθυνοι για την ψηφιακή ασφάλεια
σε μια επιχείρηση αναγνωρίζουν τα κενά που αναφέρθηκαν
και την ανάγκη να καλυφθούν, ώστε να επιτευχθεί η απαραίτητη
ορατότητα στο εξελιγμένο κακόβουλο λογισμικό και στις
συσκευές με jailbreak ή root.
Πως όμως μπορούμε να προστατέψουμε τα εταιρικά δεδομένα
από τις συνέπειες αυτών των ενεργειών; Η προστασία
κατά αυτών των αναδυόμενων απειλών ξεκινάει γνωρίζοντας
πρώτα από όλα τι συσκευές συνδέονται στο δίκτυο. Παρ’ όλα
αυτά, οι συσκευές με jailbreak ή root είναι δύσκολο να ανιχνευτούν.
Αν και οι λύσεις MDM προσφέρουν βασική ανίχνευση
jailbreak, μάχονται συνεχώς κατά χρηστών που προσπαθούν
να αποφύγουν αυτή την ανίχνευση.
Χρησιμοποιούν οι εταιρικοί χρήστες τα δικά τους
mobile εργαλεία, θέτοντας τα ευαίσθητα δεδομένα
σε κίνδυνο;
Όπως γνωρίζουν καλά πολλοί υπεύθυνοι ΙΤ, οι λύσεις εταιρικού
cloud έχουν επιτρέψει στους υπαλλήλους να υιοθετήσουν
και δικά τους εργαλεία παραγωγικότητας. Αυτό συχνά γίνεται
όταν οι παρεχόμενες λύσεις πληροφορικής είναι δύσκολες
στη χρήση ή όταν οι χρήστες νιώθουν ότι παραβιάζεται η ιδιωτικότητα
τους. Παρ’ όλα αυτά, η ανάγκη για φιλική προς τον
χρήση εμπειρία στις mobile συσκευές είναι ιδιαίτερα σημαντική
όσο και η ασφάλεια των εταιρικών δεδομένων για την
αποτροπή παραβιάσεων. Οι χρήστες απαιτούν την καλύτερη
δυνατή εμπειρία χρήσης των mobile συσκευών, αναζητώντας
παράλληλα τρόπους για τη διασφάλιση των δεδομένων και της
ενίσχυσης της παραγωγικότητας τους. Αν η εμπειρία χρήσης
υπολείπεται, οι χρήστες είναι πολύ πιθανόν να επιλέξουν άλλες
τεχνολογίες και επιλογές που καλύπτουν τις ανάγκες τους, με
ότι αυτό μπορεί να συνεπάγεται για την ασφάλεια.
Επίσης, η προστασία προσωπικών δεδομένων, είναι ή πρέπει
να είναι στις κορυφαίες προτεραιότητες για τους σημερινούς
χρήστες αλλά και τους διαχειριστές. Οι λύσεις ασφαλείας που
θεωρούνται πολύ επεμβατικές με την ανεξέλεγκτη πρόσβαση
στα δεδομένα των χρηστών, συχνά απορρίπτονται. Αυτό αποκτά
ακόμα μεγαλύτερη ισχύ σε ένα περιβάλλον BYOD. Οι σύγχρονες
εταιρείες αναγνωρίζουν καταρχήν ότι η εμπειρία χρήσης παίζει
σημαντικό ρόλο στην αποδοχή των mobile λύσεων IT από τους
υπαλλήλους. Όπως προτείνει η Gartner λοιπόν, οι επιχειρήσεις
θα πρέπει να επικεντρώσουν τις προσπάθειες τους στην παροχή
νέας γενιάς λύσεων ασφάλειας που είναι προσαρμοσμένες
για mobile χρήση και θα εξυπηρετούν ταυτόχρονα την εμπειρία
χρήσης και την προστασία των δεδομένων.
Πόσο πιθανή είναι μια επίθεση man-in-the- middle
με την σύνδεση των συσκευών σε Wi-Fi δίκτυα ή
VPN ;
Σε γενικές γραμμές, μια επίθεση man-in-the- middle, εκτελείται
από ένα άτομο ή υπολογιστή που “κάθεται” σε κάποια
δικτυακή σύνδεση και “κρυφακούει” τις πληροφορίες που διακινούνται.
Οι επιτιθέμενοι μπορούν να συλλέξουν και να αποθηκεύσουν
αυτές τις πληροφορίες, ακόμα και να τις αποκρυπτογραφήσουν,
παρά την ισχυρή κρυπτογράφηση που μπορεί
security
21

T5211/12.2017
Cover Issue
να χρησιμοποιείται από πολλές επιχειρήσεις, όπως οι πάροχοι
υπηρεσιών email. Στις mobile συσκευές, τέτοιες επιθέσεις
στοχεύουν στην παρεμβολή μεταξύ δεδομένων που μεταφέρονται
μέσω 4G και WiFi, χρησιμοποιώντας εργαλεία hacking
για να βλέπουν τις κρυπτογραφημένες πληροφορίες. Πολλές
επιθέσεις αυτού του τύπου, μπορούν να πραγματοποιηθούν
με διάφορους τρόπους και συνήθως απαιτούν δύο βήματα. Το
πρώτο βήμα είναι η είσοδος στην κίνηση δεδομένων του δικτύου.
Αν ένας επιτιθέμενος έχει φυσική πρόσβαση στη στοχευμένη
συσκευή, μπορεί να στήσει ένα ψεύτικο δίκτυο WiFi ή
4G γι’ αυτό το σκοπό. Αφού εισέλθει στο δίκτυο, ο επιτιθέμενος
μπορεί να χρησιμοποιήσει τη σύνδεση ή τον χρήστη για να δει
τα κρυπτογραφημένα δεδομένα. Παρακάτω αναφέρονται κάποιοι
τρόποι με τους οποίους μπορεί να γίνει αυτό:
Υποκλοπή πιστοποιητικού από τον server - Ο επιτιθέμενος
παρεμβάλλει μία κακόβουλη υπογραφή υπό τον έλεγχο του,
στο σύστημα πιστοποιητικών της συσκευής-θύμα, επιτρέποντας
του να «μεταμφιέζεται» ως έμπιστη πηγή και να βλέπει
τα κρυπτογραφημένα δεδομένα.
Αφαίρεση SSL - Ο επιτιθέμενος ουσιαστικά αφαιρεί την πρό-
σθετη ασφάλεια που προσφέρουν οι συνδέσεις HTTPS, επιτρέποντας
σε δεδομένα που κανονικά είναι να, να εμφανίζονται ως απλό κείμενο.
κρυπτογραφημέ-
Υποβάθμιση του πρωτοκόλλου TLS - Εδώ, ο επιτιθέμενος
χρησιμοποιεί τη σύνδεση για να υποβαθμίσει το πρωτόκολλο
ή την κρυπτογράφηση και να μειώσει τις εγγυήσεις ασφαλείας
για την εκάστοτε σύνδεση.
αεροδρομίου ή εταιρείας. Ένα δίκτυο ξενοδοχείου που έχει γίνει
spoof, αποτελεί μία ακόμα προσέγγιση επίθεσης man-in-themiddle.
Πολλά ξενοδοχεία χρησιμοποιούν ενδιάμεση σελίδα σύνδεσης
που απαιτεί στοιχεία όπως τον αριθμό δωματίου και αποδοχή
των όρων χρήσης, ώστε να δώσει πρόσβαση μέσω WiFi.
Αυτή η σελίδα συνήθως έχει την ταυτότητα του ξενοδοχείου και
μοιάζει αξιόπιστη. Αυτή η διαδικασία εγκατάστασης διευκολύνει
τον επιτιθέμενο ώστε να ξεγελάσει κάποιον ανυποψίαστο πελάτη
ξενοδοχείου προκειμένου αυτός να συνδεθεί σε ένα δίκτυο με
spoof και να εισάγει τα στοιχεία του. Εφόσον οι mobile συσκευές
προσφέρουν διαφορετική εμπειρία περιήγησης στο διαδίκτυο
από τους υπολογιστές, κάποιοι μπορεί να μην αντιληφθούν τις
πιθανές παραβάσεις που παρεμβάλλονται. Για παράδειγμα, ο επιτιθέμενος
έχει πρόσβαση όχι μόνο σε όλα τα δεδομένα που μετακινούνται
στο δίκτυο, αλλά επίσης μπορεί να αποκρυπτογραφήσει
την κίνηση των δεδομένων και να δει όλα όσα ήταν προστατευμένα.
Αυτό μπορεί να περιλαμβάνει email, πληροφορίες
που ανταλλάσσονται μεταξύ εφαρμογών, γραπτά μηνύματα, κ.ά.
Σε κάθε περίπτωση το ρίσκο είναι μεγάλο και απαιτείται ιδιαί-
τερη προσοχή από τους χρήστες
Πως μπορούν οι υπάλληλοι αλλά και οι απλοί χρήστες
να πέσουν θύματα man-in-the-middle επίθεσης;
Οι επιθέσεις αυτού του τύπου σε εταιρικές συσκευές, είναι πιο
πιθανό να προέλθουν από δίκτυα WiFi. Ο επιτιθέμενος μπορεί να
ξεγελάσει το υποψήφιο θύμα του ώστε να συνδεθεί σε ένα WiFi
που έχει γίνει spoof, μοιάζοντας με νόμιμο δίκτυο ξενοδοχείου,
22 security

security
23

T5211/12.2017
Issue
Mobile Device Management:
Πώς να διαχειριστείτε την ασφάλεια των
φορητών συσκευών σας!
Τα smartphones έχουν μπει για τα καλά στην ζωή μας, είτε την προσωπική είτε την επαγγελματική.
Πέρα από το γεγονός ότι μας κρατούν συνδεδεμένους με τον κόσμο, υπάρχουν πολλές
εργασίες που οι χρήστες πραγματοποιούν στις μέρες μας μέσα από τα smartphones: μηνύματα
ηλεκτρονικού ταχυδρομείου, επισκόπηση εγγράφων και τηλεδιάσκεψη είναι μερικές από αυτές
ι επιχειρήσεις για να υποστηρίξουν τους
Ο
εργαζόμενους τους που βρίσκονται εν
κινήσει τους παρέχουν handhelds όπως
smartphones, tablets και φορητούς υπολογιστές
που τους δίνουν τη δυνατότητα να
δουλεύουν ενώ ταξιδεύουν ή βρίσκονται σπίτι. Ακόμα, δεν
είναι λίγες οι επιχειρήσεις που υποστηρίζουν το concept "
Bring Your Own Device (BYOD)" που δίνει τη δυνατότητα
στους εργαζομένους να έχουν πρόσβαση στο δίκτυο
της επιχείρησης μέσα από τα προσωπικά τους handhelds.
Τα διαφορετικά λειτουργικά συστήματα, η παραμετροποίηση
και η ποικιλία του hardware, οι τροποποιήσεις στα
λειτουργικά συστήματα από τους παρόχους κινητών συσκευών
έχουν οδηγήσει σε μια υπεραφθονία συσκευών.
Αυτό αποτελεί σοβαρή πρόκληση για την ασφάλεια των
επιχειρήσεων / οργανισμών που υποστηρίζουν φορητές
συσκευές. Μερικές από τις σημαντικότερες προκλήσεις
που αντιμετωπίζουν οι οργανισμοί είναι:
Έλλειψη φυσικής ασφάλειας: Οι φορητές συσκευές,
όπως το smartphones, μπορούν εύκολα να κλαπούν. Ο
κλέφτης αποκτά πρόσβαση στα δεδομένα της συσκευής
και της επιχείρησης μέσω των επιχειρηματικών εφαρμογών
που είναι εγκατεστημένες στο κινητό.
Μη αξιόπιστα δίκτυα: Οι χρήστες καθώς ταξιδεύουν συνηθίζουν
να συνδέουν τις συσκευές τους σε δίκτυα (Wi-Fi)
που δεν είναι αξιόπιστα π.χ. cafes, εστιατόρια, κλαμπ. Αυτά
τα δίκτυα είναι εξαιρετικά επιρρεπή σε hacking.
Μη αξιόπιστες εφαρμογές (applications): Εφαρμογές
όπως τα παιχνίδια ή τα μέσα κοινωνικής δικτύωσης διαβάζουν
τα δεδομένα από τη συσκευή και τα ανεβάζουν στους
διακομιστές τους. Αυτό αποτελεί απειλή για τα εταιρικά
δεδομένα που είναι αποθηκευμένα στα κινητά τηλέφωνα.
24 security

Angelo Gentili
Business Development Manager PartnerNET
www.partnernet.gr
Αλληλεπίδραση με άλλα συστήματα: Οι χρήστες συνδέουν
τις φορητές τους συσκευές με τους προσωπικούς
υπολογιστές - φορητούς ή επιτραπέζιους - για να μεταφέρουν
μουσική, βίντεο κ.λ.π. Αυτοί οι υπολογιστές θέτουν
σε κίνδυνο την ασφάλεια των δεδομένων μιας επιχείρησης
που είναι αποθηκευμένα σε αυτές τις συσκευές.
Μη αξιόπιστες φορητές συσκευές: Οι εργαζόμενοι δεν
συνηθίζουν να πραγματοποιούν άμεσες αναβαθμίσεις και
συχνές ενημερώσεις στα patches αφήνοντας τις φορητές
συσκευές ευάλωτες.
Ασφάλεια Κινητών Συσκευών
Με τόσα πολλά προβλήματα που εμφανίζονται συνεχώς γύρω
από την ασφάλεια των φορητών συσκευών, μερικές φορές
φαίνεται σαν να μην είναι και τόσο καλή ιδέα να χρησιμοποιούμε
τις φορητές συσκευές για επαγγελματικούς σκοπούς.
Ωστόσο, λαμβάνοντας υπόψη την εξοικονόμηση χρόνου που
προσφέρουν διαπιστώνουμε ότι η χρήση τους είναι αναπόφευκτη!
Ως εκ τούτου, είναι σημαντικό για τις επιχειρήσεις
να υιοθετήσουν πρακτικές πριν δημιουργήσουν ένα ασφαλές
mobile περιβάλλον για τους εργαζομένους τους όπως:
Εφαρμογή Πολιτικής Ασφάλειας: Όλες οι συσκευές
πρέπει να συμμορφώνονται με την πολιτική ασφαλείας η
οποία πρέπει να περιλαμβάνει τα εξής:
● Περιορισμό πρόσβασης σε hardware όπως κάμερες,
USBs, Bluetooth και αποσπώμενα αποθηκευτικά μέσα.
● Περιορισμό πρόσβασης σε native εφαρμογές, όπως
email client, calendar, built-in browser, contacts κ.λ.π.
● Διαχείριση του Wi-Fi network interface, συμπεριλαμβανομένου
του enforced security protocol για
όλες τις συνδέσεις.
● Περιορισμό ή αποτροπή πρόσβασης σε επιχειρηματικές
υπηρεσίες που βασίζονται στο rooting ή το jailbreak
status για να διασφαλίζεται ότι μόνο οι ασφαλείς συσκευές
έχουν πρόσβαση στις πληροφορίες της εταιρείας
● Επιλογή / προμήθεια μόνο ασφαλών συσκευών για ενσωμάτωση
στην υφιστάμενη επιχειρηματική υποδομή.
Data Communication και αποθήκευση δεδομένων
● Εξασφάλιση ισχυρής κρυπτογράφησης για την πρόσβαση
των δεδομένων της επιχείρησης
● Επιβολή ισχυρής κρυπτογράφησης για τα data που
αποθηκεύονται στις συσκευές. Συνδέστε την αποσπώμενη
αποθηκευτική μονάδα με κάθε συσκευή
χρησιμοποιώντας τεχνικές κρυπτογράφησης
● Δυνατότητα αποκλεισμού, από απόσταση, της συσκευής
ή των συσκευών για τις οποίες υπάρχει αναφορά
ότι έχουν κλαπεί ή χαθεί
● Αυτόματος αποκλεισμός των συσκευών μετά από
συγκεκριμένο αριθμό ανεπιτυχών προσπαθειών
ελέγχου ταυτοποίησης
Ταυτοποίηση χρήστη και συσκευής
● Εφαρμογή ισχυρών κανόνων ταυτοποίησης χρησιμοποιώντας
token μιας χρήσης ή two stage authentication
για πρόσβαση στο εταιρικό δίκτυο
● Ενεργοποίηση αυτόματου κλειδώματος όταν η συσκευή
είναι αδρανής για συγκεκριμένη διάρκεια (π.χ. 5 λεπτά)
● Ενεργοποίηση κλειδώματος από απόσταση για να
είναι εφικτό το κλείδωμα της συσκευής εάν παρατηρηθεί
ύποπτη συμπεριφορά στη συσκευή
● Εφαρμογή μίας ολοκληρωμένης λύσης Mobile
Device Management (MDM) για τη διαχείριση του συνόλου
των συσκευών μιας επιχείρησης
Applications (Apps)
● Περιορισμός των apps που μπορούν να εγκατασταθούν
● Χρήση συγκεκριμένων μόνο apps stores για εγκατάσταση
εφαρμογών
Από τη φύση τους οι φορητές συσκευές είναι επιρρεπείς σε
hacks! Ωστόσο, με σωστή διαχείριση οι συσκευές μπορούν
να χρησιμοποιηθούν με ασφάλεια για να διασφαλιστεί ότι οι
πληροφορίες και το δίκτυο της εταιρείας δεν τίθενται σε κίνδυνο.
Το λογισμικό Mobile Device Management (MDM)
καθιστά τη διαχείριση της ασφάλειας των handhelds, εύκολη,
και ενσωματώνεται στην υφιστάμενη υποδομή ασφάλειας
του οργανισμού σας. Με την εφαρμογή της κατάλληλης
πολιτικής ασφάλειας οι φορητές συσκευές μπορούν να παρέχουν
τις βελτιώσεις στην αποδοτικότητα που υπόσχονται.
Για να μάθετε περισσότερα για τη λύση Seqrite Mobile
Device Management (MDM) καλέστε την PartnerNET
στο 210 7100000.
security
25

T5211/12.2017
Issue
Ξεκινώντας με τη διαχείριση της
επιχειρησιακής φορητότητας
Οι φορητές συσκευές αποτελούν βασικό εργαλείο
στις επιχειρήσεις και προσφέρουν τεράστια
οφέλη για την παραγωγικότητα των εργαζομένων.
Όμως, καθώς τα εταιρικά δεδομένα και
τα μηνύματα ηλεκτρονικού ταχυδρομείου που
βρίσκονται σε φορητές συσκευές ολοένα και
αυξάνονται, είναι πλέον σαφές ότι υπάρχουν
πολλοί κίνδυνοι απώλειας δεδομένων που μπορεί
να είναι ευαίσθητα και εμπιστευτικά.
πό αυτό το πρίσμα, πολλοί οργανισμοί
υ
αναζητούν λύσεις διαχείρισης επιχειρησιακής
φορητότητας (Enterprise Mobility
Management / EMM), ώστε να μπορούν
να προστατεύσουν και να ασφαλίσουν τα
εταιρικά δεδομένα στις φορητές συσκευές χωρίς να επηρεάζουν
όμως την παραγωγικότητα των εργαζομένων τους. Η
ύπαρξη μιας αποτελεσματικής στρατηγικής διαχείρισης της
φορητότητας απαιτεί να διατηρήσετε όλα τα δομικά συστατικά
ενός σύγχρονου επιχειρησιακού περιβάλλοντος: Φορητότητα,
Παραγωγικότητα και Ασφάλεια.
Επιπλέον, η διαχείριση της φορητότητας πρέπει να γίνει όσο
το δυνατόν πιο εύκολα και απλά. Βρισκόμαστε ξεκάθαρα
στην εποχή της φορητότητας στις επιχειρήσεις, όπου όλες οι
εταιρείες και οι οργανισμοί χρειάζονται ορατότητα και έλεγχο
πάνω στο ποιος μετακινεί ή έχει μαζί του εταιρικά δεδομένα,
και βεβαίως πότε και που αυτά χρησιμοποιούνται από
ποιες εφαρμογές και με ποιες συσκευές. Απαιτείται λοιπόν
μια ιδιαίτερη λύση αφού το προσωπικό χρησιμοποιεί τις ίδιες
φορητές συσκευές, τόσο για τη διαχείριση των προσωπικών
τους όσο και των επαγγελματικών τους δεδομένων.
Είναι γεγονός ότι δεν υπάρχει ευαισθητοποίηση από μέρους
των χρηστών σχετικά με τα δεδομένα και τις εφαρμογές
σε φορητές συσκευές καθώς και για τους τρόπους
με τους οποίους μπορεί να επηρεαστεί η ακεραιότητα των
εταιρικών δεδομένων. Έτσι, οι εταιρείες χρειάζονται μια
λύση ΕΜΜ που θα προστατεύει τις φορητές συσκευές από
κακόβουλο λογισμικό και άλλους κινδύνους διατηρώντας
παράλληλα ασφαλές και προστατευμένο τόσο το περιεχόμενο
όσο και τις εφαρμογές που διαθέτουν. Μία αποτελεσματική
στρατηγική δεν έχει να κάνει τόσο με την επιλογή
της φορητότητας, της ασφάλειας ή της παραγωγικότητας
αλλά κυρίως με την διαχείριση της φορητότητας ώστε να
μπορέσουν τόσο οι επιχειρήσεις όσο και τα άτομα μεμονωμένα
να κάνουν τη δουλειά τους καλύτερα. Μία κατάλληλη
λύση ΕΜΜ θα πρέπει να μπορεί να βοηθήσει τους οργανισμούς
να απομακρυνθούν από τις περιοριστικές πολιτικές
περί συσκευών και περιεχομένου και να κατευθυνθούν
προς ασφαλή περιβάλλοντα όπου τα προστατευμένα δεδομένα
είναι προσβάσιμα εύκολα και από οπουδήποτε για
τους εργαζομένους που βρίσκονται εν κινήσει.
Διαχείριση Επιχειρησιακής Φορητότητας
Η Διαχείριση Επιχειρησιακής Φορητότητας (EMM) επιτρέπει
στις επιχειρήσεις να διαχειρίζονται και να προστατεύουν
οτιδήποτε βρίσκεται εν κινήσει, δηλαδή χρήστες,
δεδομένα, εφαρμογές και συσκευές. Οι λύσεις EMM εφαρμόζονται
για συσκευές τύπου smartphone και tablet και
πρέπει να υποστηρίζουν πολλαπλά λειτουργικά συστήματα.
Τα βασικά συστατικά μίας λύσεις EMM περιλαμβάνουν:
Διαχείριση Φορητών Συσκευών (MDM), Διαχείριση
Εφαρμογών για Φορητές Συσκευές (Mobile Application
26 security

Affordable Cutting Edge
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
www.nss.gr
Management / MAM) και Ασφάλεια Φορητών Συσκευών
και Διαχείριση Περιεχομένου Φορητών Συσκευών (Mobile
Content Management / MCM). Υπό το πρίσμα της ευρείας
χρήσης των φορητών συσκευών στους εργασιακούς χώρους,
οι λύσεις EMM γίνονται όλο και περισσότερο απαραίτητες
για εταιρίες όλων των μεγεθών. Η φορητότητα
έχει αρχίσει να γίνεται δημοφιλής και απαραίτητη και στις
μικρομεσαίες επιχειρήσεις επίσης. Εάν θέλετε να υιοθετήσετε
μία αποτελεσματική στρατηγική Διαχείρισης Επιχειρηματικής
Φορητότητας, καλό θα ήταν να ακολουθήσετε
μια προσέγγιση 3 βημάτων:
Βήμα # 1 - Προστατέψτε χρήστες και συσκευές
Σήμερα, όλο και περισσότεροι εργαζόμενοι εξαρτώνται
από φορητές συσκευές για την οργάνωση τόσο της προσωπικής
τόσο και της επαγγελματικής τους ζωής. Δείτε
πώς μια λύση Διαχείρισης Επιχειρησιακής Φορητότητας
μπορεί να σας βοηθήσει να κρατήσετε ασφαλείς τους χρήστες
αλλά και τις φορητές συσκευές σας:
1) Δημιουργήστε πολιτική υποχρεωτικού κωδικού πρόσβασης
στις φορητές συσκευές. Οι φορητές συσκευές των
εργαζομένων περιέχουν τα εταιρικά σας δεδομένα καθώς
βρίσκονται εν κινήσει. Μια μη προστατευμένη ή ξεκλειδωμένη
φορητή συσκευή είναι σαν μια ανοιχτή πόρτα, παρέχοντας
πρόσβαση στις ευαίσθητες πληροφορίες σας στον
οποιονδήποτε.
2) Βοηθήστε τους χρήστες να βρουν χαμένες συσκευές ή
να σβήσουν τα δεδομένα σε χαμένες ή κλεμμένες συσκευές.
Όταν οι εργαζόμενοι τυγχάνει να ξεχάσουν ή να χάσουν
τις φορητές τους συσκευές, θα πρέπει από την κονσόλα
διαχείρισης να είστε σε θέση να τις κλειδώσετε εξ αποστάσεως
ή και να σβήσετε τα εταιρικά σας δεδομένα, ώστε οι
πληροφορίες και τα δεδομένα της εταιρείας να παραμένουν
προστατευμένα από τυχόν παραβιάσεις ασφαλείας
και κινδύνους συμμόρφωσης.
3) Παρέχετε στους χρήστες εργαλεία αυτοεξυπηρέτησης
(helpdesk) για να μειώσετε την επιβάρυνση στο τμήμα IT.
Τα αποτελεσματικά εργαλεία αυτοεξυπηρέτησης για καθημερινές
εργασίες, όπως η προσθήκη μίας νέας συσκευής
στο δίκτυο, ο εντοπισμός ενός κινητού που χάθηκε, η
επαναφορά κωδικών πρόσβασης κλπ. σημαίνει μηδενική
συμμετοχή του τμήματος IT και είναι σημαντικές για να μειώσετε
το χρόνο, το έργο και το κόστος της διαχείρισης των
φορητών σας συσκευών.
4) Βεβαιωθείτε ότι οι συσκευές προστατεύονται από εφαρμογή
ασφαλείας φορητών συσκευών και antivirus που να ενημερώνονται
τακτικά. Προστατέψτε τους χρήστες του κινητού
σας από κακόβουλο λογισμικό, κακόβουλες ιστοσελίδες αλλά
και άλλες απειλές προσθέτοντας μία αποτελεσματική και επικαιροποιημένη
προστασία για τον ιστό αλλά και από ιούς, ειδικά
για τους χρήστες που χρησιμοποιούν συσκευές Android.
Βήμα # 2 - Προστατέψτε το δίκτυό σας
Βεβαιωθείτε ότι το δίκτυο στην επιχείρησή σας παραμένει
ασφαλές. Επιπλέον, είναι απολύτως απαραίτητο να βεβαιωθείτε
ότι όλες οι φορητές συσκευές που έχουν πρόσβαση
στους δικτυακούς πόρους σας χρησιμοποιούν κάποιο
ασφαλές δίκτυο Wi-Fi.
1) Καθιερώστε ενέργειες και διαδικασίες συμμόρφωσης
και καθοδήγησης σχετικά με την πρόσβαση στο εταιρικό
δίκτυο καθώς και σε δίκτυα Wi-Fi. Αποκλείστε τις μη
συμμορφούμενες φορητές συσκευές από το να έχουν
πρόσβαση στο εταιρικό σας δίκτυο μέσω Wi-Fi, ώστε να
μειωθεί ο κίνδυνος παραβίασης δεδομένων.
2) Καθορίστε τις βασικές ρυθμίσεις ασφάλειας με τον
περιορισμό ανεπιθύμητων δυνατοτήτων. Δώστε στους
χρήστες των φορητών σας συσκευών πρόσβαση σε εφαρμογές
και δυνατότητες που χρειάζονται για να κάνουν τη
δουλειά τους αλλά ταυτόχρονα, περιορίστε τη πρόσβαση
σε εφαρμογές που είναι επικίνδυνες και που αποτελούν
χάσιμο χρόνου. Για παράδειγμα, μπορείτε να αποκλείσετε
την πρόσβαση σε εφαρμογές κοινωνικής δικτύωσης ή
εφαρμογές instant messaging.
3) Διευκολύνετε την ασφαλή περιήγηση για τις εφαρμογές
που χρησιμοποιούνται συχνά - Δημιουργήστε ένα ασφαλές
περιβάλλον περιήγησης για το περιβάλλον εργασίας
σας προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας γύρω
από το σύνολο των εφαρμογών και ιστοσελίδων που χρησιμοποιούνται
περισσότερο από τους χρήστες σας.
Βήμα # 3 - Προστασία εταιρικών δεδομένων
Προκειμένου οι εργαζόμενοι που μετακινούνται συχνά να
είναι παραγωγικοί, είναι απαραίτητο να έχουν πρόσβαση
στα εταιρικά δεδομένα από τις φορητές τους συσκευές.
Μερικά από αυτά τα εταιρικά δεδομένα, για παράδειγμα,
security
27

T5211/12.2017
Issue
αφορούν το τμήμα πωλήσεων ή αποτελούν οικονομικά
στοιχεία που ενδέχεται να είναι ευαίσθητα ή ίσως και
εμπιστευτικά και απαιτείται να είναι προστατευμένα. Είναι
πλέον σαφές ότι στην εποχή μας οι εργαζόμενοι εργάζονται
πολύ συχνά πλέον από τις φορητές τους συσκευές
αφού χρησιμοποιούν συνεχώς την εφαρμογή ηλεκτρονικού
ταχυδρομείου, ανταλλάσσουν μηνύματα IM (instant
messaging) ή βλέπουν αρχεία απευθείας στο σύννεφο
μέσω μία εφαρμογής online cloud storage. Αυτό σημαίνει
ότι τα εταιρικά σας δεδομένα διατρέχουν μεγάλο κίνδυνο,
εκτός και αν λάβετε τα απαραίτητα μέτρα για να διασφαλίσετε
ότι είναι προστατευμένα και ασφαλή:
1) Ασφαλίστε το ηλεκτρονικό ταχυδρομείο, τα αρχεία σας
και πολλά άλλα με τη χρήση μίας απομονωμένης περιοχής
ασφαλούς περιεχομένου (secure container). Τα container
ηλεκτρονικού ταχυδρομείου απομονώνουν την εταιρική αλληλογραφία
στη φορητή συσκευή του χρήστη και έτσι δεν
χρειάζεται να ανησυχείτε για την ασφάλεια των μηνυμάτων.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου επίσης κρυπτογραφούνται
για προστασία από την πρόσβαση τρίτων και τα
συνημμένα αρχεία στα emails ανοίγουν στο container, ώστε
να αποφευχθεί η διαρροή σε εφαρμογές τρίτων. Με αυτό το
τρόπο θα είστε σε θέση να διασφαλίσετε ότι η κοινή χρήση
αρχείων και οποιαδήποτε άλλη συνεργασία (collaboration)
ή ανταλλαγή πληροφοριών πραγματοποιείται σε ασφαλή
container και χώρους εργασίας (workspaces).
2) Τυποποιήστε τη πρόσβαση στο cloud και διασφαλίστε
τη συνεργασία (collaboration) στις cloud υπηρεσίες.
Είτε θέλετε είτε όχι, οι χρήστες σας ενδέχεται να μοιράζονται
έγγραφα χρησιμοποιώντας δημόσιες υπηρεσίες
αποθήκευσης cloud όπως για παράδειγμα το Dropbox, το
Google Drive, το Box κα. Βεβαιωθείτε ότι έχετε μια καλά
καθορισμένη πολιτική που αφορά το cloud storage και
παράλληλα πολιτικές για την προστασία των αρχείων και
εργαλεία κρυπτογράφησης αρχείων.
3) Προστατεύστε τις σημαντικές εξατομικευμένες
επιχειρησιακές εφαρμογές. Προσθέστε ένα επιπλέον
επίπεδο δυνατοτήτων ασφάλειας και διαχείρισης στις επιχειρησιακές
σας εφαρμογές, όπως π.χ. στην υποστήριξη
πελατών ή στη διαχείριση πελατών (CRM), χρησιμοποιώντας
τεχνικές είτε μέσω της χρήση ειδικών βιβλιοθηκών
που μπορούν να ενσωματωθούν στις εφαρμογές κατά την
ανάπτυξή τους (SDK) ή χρησιμοποιώντας ενός συστήματος
«περιτύλιξης» που αποτελεί μία λύση ασφάλειας που
περιβάλλει αυτόματα τις πολιτικές ασφαλείας γύρω από
μεμονωμένες εφαρμογές (App Wrapping).
Συμπέρασμα
Είναι δεδομένο ότι οι εταιρίες έρχονται ολοένα και πιο κοντά
στο να υιοθετήσουν για χάρη της ευκολίας και της αυξημένης
παραγωγικότητας την φορητότητα και το BYOD (Bring
Your Own Device), δηλαδή τη χρήση προσωπικών φορητών
συσκευών στην εργασία. Επομένως, η αγωνία να εξασφαλιστεί
η ασφάλεια σε συνδυασμό με τη φορητότητα και την
παραγωγικότητα γίνεται όλο και μεγαλύτερη. Όμως, με τα
συστήματα Διαχείρισης της Επιχειρησιακής Φορητότητας
και τα τρία παραπάνω πολύτιμα στοιχεία μπορούν να συνυπάρχουν.
Μία καλή λύση Διαχείρισης Επιχειρησιακής Φορητότητας
(EMM, Enterprise Mobility Management) μπορεί
να επιτρέψει σε επιχειρήσεις και οργανισμούς να διατηρήσουν
σε ξεχωριστά σημεία την προσωπική και επαγγελματική
ταυτότητα των υπαλλήλων τους.
Η λύση Sophos Mobile είναι μία από τις περισσότερο βραβευμένες
λύσεις Διαχείρισης Επιχειρησιακής Φορητότητας για
εταιρείες και οργανισμούς που θέλουν να επενδύουν τον λιγότερο
δυνατό χρόνο και τη λιγότερη δυνατή προσπάθεια για τη
διαχείριση και την ασφάλεια των φορητών συσκευών. Τώρα,
μπορείτε να διαχειριστείτε τις φορητές συσκευές μέσω του εύχρηστου,
web-based και ενοποιημένου interface διαχείρισης
του Sophos Central στο Cloud ενώ παράλληλα διαχειρίζεστε
την ασφάλεια των τερματικών συσκευών, του δικτύου ή του
διακομιστή σας χρησιμοποιώντας την ίδια ακριβώς κονσόλα,
κάτι ιδιαίτερα καινοτόμο και μεγάλο σημείο διαφοροποίησης
από τον ανταγωνισμό. Χάρη στην κορυφαία προστασία δεδομένων,
την ολοκληρωμένη ασφάλεια, την εξαιρετική σχέση
ποιότητας / τιμής και τις ευέλικτες επιλογές διαχείρισης, η λύση
Sophos Mobile είναι ο καλύτερος τρόπος για να επιτρέψετε την
χρήση φορητών συσκευών στο εργασιακό περιβάλλον της
επιχείρησής σας, ενώ παράλληλα διατηρείτε τους χρήστες σας
παραγωγικούς, τα προσωπικά τους δεδομένα απολύτως ιδιωτικά
και βεβαίως τα εταιρικά δεδομένα σας ασφαλή.
28 security

security
29

T5211/12.2017
Issue
Μια λύση MDM δεν είναι επιλογή,
αλλά αναγκαιότητα
O σημαντικός ρόλος των φορητών συσκευών επικοινωνίας στη διαμόρφωση του τρόπου εργασίας
είναι αναμφισβήτητος .Όταν όμως η χρήστη των κινητών τηλεφώνων για τις εταιρικές διεργασίες
συνοδεύεται και με μια μέριμνα για τη προστασία των εταιρικών δεδομένων μέσω λύσεων MDM,
τότε γίνεται ακόμα περισσότερο αποτελεσματική και αποδοτική.
όλις έγιναν προσιτά τα κινητά τηλέφωνα
μ
πριν 20 περίπου χρόνια, έγιναν αμέσως
αναπόσπαστο μέρος της καθημερινότητάς
μας. Σύντομα έγινε ξεκάθαρο ότι θα διαδραμάτιζαν
σημαντικό ρόλο στην μελλοντική
διαμόρφωση του τρόπου εργασίας. Οι χρήστες ελευθερώθηκαν
από τα παραδοσιακά γραφεία και μπόρεσαν να
αυξήσουν την παραγωγικότητας τους δημιουργώντας ένα
νέο είδος εργαζομένου που έχει πιά όλα τα εργαλεία σε μια
μόνο συσκευή. Οι νέες αυτές στρατιές χρηστών έχουν κυριολεκτικά
στις τσέπες τους εταιρικά δεδομένα δημιουργώντας
διάφορα ενδεχόμενα και απειλές.
Ως εκ τούτου, μια λύση MDM δεν είναι επιλογή, αλλά
αναγκαιότητα. H Cysoft διαθέτει δύο σχετικές λύσεις.
Η μια συμπληρώνει την άλλη (Mobile Device Manager
Plus της Manage Engine για διαχείριση και Trend Micro
Mobile Security, μέρος του Endpoint Protection για προστασία
από ιούς και κακόβουλο λογισμικό) δημιουργώντας
μια μοναδικά αποτελεσματική λύση.
Mobile Device Manager Plus
Το Mobile Device Manager Plus προσφέρει μια πληθώρα
δυνατοτήτων σε όλο το φάσμα της διαχείρισης και
ασφάλειας κινητών συσκευών αντιμετωπίζοντας το θέμα
αποτελεσματικά και οικονομικά.
Έξυπνη Διαχείριση – Υποστηρίζει καταγραφή συσκευών
Over-The-Air (OTA) για εξυπνότερη διαχείριση συσκευών,
μαζική καταχώριση συσκευών με αρχείο CSV καθώς και
αυτοματοποιημένη μαζική εγγραφή συσκευών iOS και
Android με Apple DEP και Samsung KNOX. Επίσης προσφέρει
δυνατότητα πιστοποίησης εγγραφής με κωδικό
One-Time ή / και με τα στοιχεία Active Directory του χρήστη.
Παράλληλα επιτρέπει εγγραφή συσκευών χρησιμοποιώντας
self-service portal και εγγραφή και διαχείριση
πολλαπλών συσκευών για τον ίδιο χρήστη.
Προηγμένη Διαχείριση Προφίλ – Προσφέρει διανομή
πόρων μέσω πολιτικών ανάλογα με τον χρήστη καθώς και
δυνατότητα περιορισμού χρήσης ορισμένων λειτουργιών
– πιθανών απειλών όπως κάμερα, YouTube, Safari κλπ.
30 security

Αλεξία Χριστοφή
Managing Director CYSOFT
www.cysoſt.gr
Επιτρέπει τη ρύθμιση επαφών ηλεκτρονικού ταχυδρομείου,
επαφών, Wi-Fi και VPN over-the-air (OTA) και διαθέτει
δυνατότητα διαχώρισης συσκευών σε ομάδες βάση ιεραρχία,
τμήμα κλπ.
Ολοκληρωμένη Διαχείρισης Κινητών Συσκευών –
Υποστηρίζει την παρακολούθηση συσκευών για διασφάλιση
ενημερώσεων και επιτυγχάνει διάγνωση προβλημάτων
συσκευών, χρηστών ή εφαρμογών από μια κεντρική
πλατφόρμα. Παράλληλα έχει δυνατότητα επαναφοράς
ξεχασμένων κωδικών πρόσβασης και ενημέρωσης ρυθμίσεων
σε πραγματικό χρόνο.
Διαχείριση mobile εφαρμογών – Παρέχει διαχείριση/διανομή
εξωτερικών και εσωτερικών εφαρμογών και εφαρμογών
App Store, ενώ μέσω του Apple Volume Purchase
Program (VPP)/ Android for Work(AfW) προσφέρει απρόσκοπτη
διανομή εμπορικών εφαρμογών. Επίσης, βεβαιώνει
ότι οι συσκευές χρησιμοποιούνται μόνο για τους απαιτούμενους
σκοπούς με τη χρήση του App Lock / Kiosk Mode
και έχει τη δυνατότητα να εγκαθιστά εφαρμογές σιωπηλά
χωρίς παρέμβαση του χρήστη. Εφαρμόζει ρυθμίσεις και παραμέτρους
εφαρμογών κατά τη διανομή, χρησιμοποιώντας
Managed App Configurations, περιορίζει τις εφαρμογές σε
«κουτάκια» για να αποτραπεί η ανάμειξη των δεδομένων
των εφαρμογών και “μαυροπινακίζει” εφαρμογές που δεν
συμμορφώνονται με τους κανονισμούς.
Πλήρης διαχείριση ηλεκτρονικού ταχυδρομείου
– Εφαρμογή πολιτικών ασφάλειας e-mail σε συσκευές
Over-The-Air (OTA) με δυνατότητα να περιορίζει και να
ομαδοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου για την
αποτροπή υποκλοπών. Παράλληλα ελέγχει τις συσκευές
από τις οποίες είναι δυνατή η πρόσβαση στον εταιρικό λογαριασμό
ηλεκτρονικού ταχυδρομείου και περιορίζει τον
χρήστη να κάνει οποιεσδήποτε αλλαγές στον λογαριασμό
ηλεκτρονικού ταχυδρομείου. Ταυτόχρονα, προβάλει και
αποθηκεύει συνημμένα απευθείας στην εφαρμογή MDM.
Διαχείριση υψηλής ασφάλειας συσκευών – Υποστηρίζει
ελεγχόμενη περιπλοκότητα για τους κωδικούς
πρόσβασης για καλύτερη προστασία και επιβάλει περιορισμούς
σε λειτουργίες όπως ενεργοποίηση / απενεργοποίηση
του icloud, Passbook, iTunes κ.λπ. Μπορείτε
ακόμα να προστατεύστε τα εταιρικά δεδομένα εμποδίζοντας
την πρόσβαση μη εξουσιοδοτημένων συσκευών στο
εταιρικό δίκτυο και να παρακολουθήσετε την γεωγραφική
θέσης των διαχειριζόμενων συσκευών ανά πάσα στιγμή.
Επίσης, παρέχει απομακρυσμένο κλείδωμα συσκευής για
την αποφυγή της μη εξουσιοδοτημένης χρήσης απολεσθέντων
ή κλεμμένων συσκευών και επιτυγχάνει διαγραφή
εταιρικών δεδομένων ή ολοκληρωτική διαγραφή συσκευής
προς αποφυγή απώλειας / κλοπής δεδομένων.
Asset Tracking – Παρακολούθηση συσκευών και δημιουργία
λεπτομερών αναφορών για την καταγραφή λεπτομερειών
κινητών συσκευών - πιστοποιητικά, εγκατεστημένες εφαρμογές,
χρήση μνήμης κ.λπ., λεπτομερείς αναλυτικές αναφορές
για απόθεμα υλικού και λογισμικού, καθώς και αναφορές
σε jail-broken ή rooted συσκευές για τη διασφάλιση της συμμόρφωσης.
Επίσης υποστηρίζει δημιουργία αναφορών για
εφαρμογές από συσκευές, συσκευές ανά μοντέλο κ.λπ.
Trend Micro Mobile Security
Το Trend Micro Mobile Security προφέρει πλήρη ορατότητα
και έλεγχο των φορητών συσκευών, εφαρμογών
και δεδομένων μέσω μιας ενιαίας κονσόλας, οικονομικά
και απλά.
Κεντρική διαχείριση - Παρέχει κεντρική διαχείριση
απειλών και διαχείρισης πολιτικής DLP σε όλα τα επίπεδα
με το Trend Micro Control Manager. Επίσης, προσφέρει
άμεση εικόνα χρηστών και συσκευών/υπολογιστών με το
ιστορικό απειλών σε βάθος χρόνου συμβάλλοντας στον
εντοπισμό προηγμένων απειλών που ενδέχεται να στοχεύουν
συγκεκριμένους χρήστες. Υποστηρίζει ομοιόμορφη
επιβολή πολιτικών προστασίας δεδομένων σε όλα όλο
το δίκτυο και εγγραφή συσκευών με επιλογή διαδικτυακά,
security
31

T5211/12.2017
Issue
με κώδικα QR ή iTunes download. Προσφέρει άμεση και
συνοπτική εικόνα όλων των συσκευών εγγεγραμμένες ή
μη και παρέχει ορατότητα στον αριθμό, τους τύπους και
τη διαμόρφωση των συσκευών που έχουν πρόσβαση σε
εταιρικούς πόρους
Ασφάλεια κινητής συσκευής - Αξιοποιεί την κορυφαία
προστασία της Trend Micro με βάση το cloud-based Trend
Micro Smart Protection Network . Εντοπίζει και αποκλείει
κακόβουλες εφαρμογές, αρχεία δεδομένων και
προσφέρει υπηρεσίες Web Reputation. Με το IDS εντοπίζει
επιθέσεις στη συσκευή μέσω εφαρμογών δικτύου, θυρών
και υπηρεσιών, ενώ παρακολουθεί, αποκλείει και καταγράφει
κλήσεις, SMS και MMS που αποστέλλονται από και
προς συσκευές βάσει πολιτικής χρήστη.
Προστασία δεδομένων - Προστατεύει τα εταιρικά δεδομένα
με απομακρυσμένο κλείδωμα και διαγραφή, επιλεκτική
διαγραφή ή εντοπισμός συσκευών σε περίπτωση
κλεμμένου ή χαμένου τηλεφώνου. Επιβάλλει κρυπτογράφηση
δεδομένων και συμμόρφωση και ειδοποιεί τους διαχειριστές
για jailbroken ή μη εξουσιοδοτημένες συσκευές.
Εξουσιοδοτεί τον διαχειριστή να κλειδώνει ή να επιτρέπει
λειτουργίες κινητής συσκευής, όπως κάμερες, συσκευές
ανάγνωσης καρτών Bluetooth®, 3G / 4G και SD ενώ
ενημερώνει για συσκευές που δεν έχουν εγγραφεί, αλλά
εξακολουθούν να έχουν πρόσβαση στο εταιρικό δίκτυο.
Επίσης, επιτρέπει την ανάπτυξη, την διαχείριση και την
ρύθμιση των παραμέτρων του Knox σε συσκευές συμβα-
τές με Samsung Knox
Διαχείριση εφαρμογών για κινητά - Αποτρέπει τη χρήση
μη εξουσιοδοτημένων, επικίνδυνων εφαρμογών σε συσκευές
συνδεδεμένες στο δίκτυο με blacklist και whitelist.
Παρέχει διαχείριση αποθεμάτων και αναφορές για καλύτερη
ορατότητα των εφαρμογών που χρησιμοποιούνται στις συσκευές,
τις ομάδες και την εταιρεία. Επίσης, επιτρέπει την διαχείριση
ή και να αποκλείει συγκεκριμένους τύπους εφαρμογών
που βασίζονται σε κατηγορίες με το νέο Category
App Management. Ενεργοποιεί εφαρμογές σε συσκευές
το Corporate App Store για να επιταχύνει τη χρήση προαιρετικών
ή / και απαιτούμενων επιχειρηματικών εφαρμογών
- με προγράμματα αγοράς όγκου ενσωματωμένα
στο app store. Αναγνωρίζει και αποκλείει εφαρμογές που
δημιουργούν κίνδυνο ασφάλειας ή ιδιωτικού απορρήτου,
συσχετίζοντας τα εγκατεστημένα δεδομένα της εφαρμογής
με την υπηρεσία Trend Micro Mobile Application Reputation
Service και παράλληλα ενεργοποιεί την διαχείριση του
Volume Purchase Programs σε συσκευές iOS
Διαχείριση συσκευών κινητής τηλεφωνίας - Επιτρέπει
εξ’ αποστάσεως εγγραφή, παρέχει και απομακρύνει
συσκευές με ρυθμίσεις εταιρικού δικτύου, όπως VPN,
Exchange ActiveSync και Wi-Fi®. Παράλληλα, διευκολύνει
την ανάπτυξη υπηρεσιών Apple TV και AirPrint για χρήστες
του iOS και υποστηρίζει εντοπισμό συσκευών και διαχείριση
αποθεμάτων για την εξασφάλιση και παρακολούθηση
συσκευών που ανήκουν σε εταιρείες και εργαζόμενους
εγγεγραμμένα ή μη. Επιτρέπει τις πολιτικές διασταυρούμενων
συσκευών και ομάδων για συνεπή εφαρμογή των
απαιτήσεων ασφάλειας και διαχείρισης και προσφέρει διαχείριση
εξουσιοδοτημένων συσκευών και ανάπτυξη σχετικών
πολιτικών μέσω της ταυτότητας του International
Mobile Equipment Identity (IMEI), Wi-Fi, και Mac address.
Τέλος, περιορίζει τις λειτουργίες του τηλεφώνου, όπως
τροποποίηση λογαριασμού, περιαγωγή, η AirDrop, έλεγχο
δεδομένων, η οθόνη κλειδώματος, η αντιστοίχιση, Find My
Friends και πολλά άλλα.
32 security

Νίκος Γεωργόπουλος
Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd’s,
Email: Nikos.georgopoulos@cromar.gr, www.cyberinsurancequote.gr
Η ασφάλιση cyber insurance
ως εργαλείο διαχείρισης κινδύνου
για κάθε εταιρία.
Σύμφωνα με τα στοιχεία των τελευταίων ετών η παραδοσιακή προστασία που βασίζεται σε
signature-based τεχνικές είναι αναποτελεσματική ενάντια στις σύγχρονες επιθέσεις, οι οποίες
είναι επίμονες, πολυμορφικές και στοχεύουν σε zero-day vulnerabilities.
ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο
κομμάτι της στρατηγικής για τη διαχείρι-
Η
ση των κινδύνων, που πρέπει να χρησιμοποιεί
κάθε εταιρεία για να διαχειριστεί τον υπολειπόμενο
κίνδυνο (residual risk), που δεν μπορεί να
μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης.
Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι
εταιρείες θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς
του κινδύνου που απομένει σε ασφαλιστικά προϊόντα cyber
insurance. Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό
παραβίασης ασφάλειας, μπορεί, εκτός από την κάλυψη
των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη
υλοποίηση του πλάνου αντιμετώπισης περιστατικών (Incident
Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών
δεδομένων παρέχοντας εξειδικευμένες ομάδες ειδικών
με εμπειρία στη διαχείριση και τις απαραίτητες υποδομές
όταν εμφανίζεται συμβάν, μειώνοντας τις επιπτώσεις της παραβίασης
στους πελάτες και τη φήμη της εταιρείας.
Ας δούμε τι νέο φέρνει ο Γενικός Κανονισμός για την Προστασία
των Δεδομένων και ποιοί παράγοντες θα βοηθήσουν
την ανάπτυξη της Ευρωπαϊκής αγοράς ασφάλισης Cyber
Insurance, η οποία εκτιμάται ότι θα φθάσει τα €900εκ το
2020 από €190εκ το 2016.
Ο Γενικός Κανονισμός για την προστασία των δεδομένων
απαιτεί την λήψη τεχνικών και οργανωτικών μέτρων από
κάθε εταιρία για την προστασία των δεδομένων που διαχειρίζεται
και απαιτεί γνωστοποίηση των περιστατικών
παραβίασης συστημάτων και απώλειας δεδομένων εντός
72ωρών από την ανακάλυψή τους στην αρμόδια αρχή.
Επίσης, προβλέπει πρόστιμα για τις εταιρείες που δεν κατάφεραν
να δια- τηρήσουν την ασφάλεια των πληροφοριών
που διαχειρίζονται, τα οποία μπορούν να φθάσουν έως το
4% του τζίρου τους ή 20 εκατ. ευρώ, όποιο από τα δύο είναι
μεγαλύτερο. Η εφαρμογή των παραπάνω προστίμων θα
ισχύει μετά τις 25 Μαΐου 2018. Ενδυναμώνει τα δικαιώματα
του Ευρωπαίου πολίτη και του δίνει το δικαίωμα να ενημερώνεται
από τις εταιρίες που συνεργάζεται αν υπήρξαν περιστατικά
παραβίασης και την δυνατότητα διεκδίκησης αποζημιώσεων
από αυτές. Οι παράγοντες που θα βοηθήσουν
στην ανάπτυξη της συγκεκριμένης αγοράς είναι:
● Η εφαρμογή του Κανονισμού ο οποίος δημιουργεί το νέο
πλαίσιο διαχείρισης προσωπικών δεδομένων για όλες τις
εταρίες που διατηρούν δεδομένα Ευρωπαϊων πολιτών, η
υποχρέωση γνωστοποίησης και τα πρόστιμα που εισάγει
● Η ευαισθητοποίηση των πελατών και των εταιριών, ήδη
ο κίνδυνος βρίσκεται στην 14η θέση κατάταξης και αναμένεται
να φθάσει στην 8η θέση το 2018
● Η αύξηση του αριθμού των περιστατικών που θα γίνονται
πλέον γνωστά λόγω της υποχρεωτικής γνωστοποίησης
● Η αύξηση του κόστους διαχείρισης των περιστατικών
αυτών λόγω της εισαγωγής του Κανονισμού, σήμερα το
κόστος είναι περίπου 35% μικρότερο από το αντίστοιχο
στις Ηνωμένες Πολιτείες
Ο Κανονισμός θα αναγκάσει επιπλέον τις εταιρείες να συμμορφωθούν
στα νέα δεδομένα και να προετοιμαστούν κατάλληλα
επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών
που διαχειρίζονται που θα τις βοηθήσουν να αντιμετωπίσουν
αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας
τις κατάλληλες συνθήκες που θα εξασφαλίσουν την
ασφαλισιμότητα των εταιρειών και την ανάπτυξη της αγοράς
του cyber insurance.
security
33

T5211/12.2017
Issue
GDPR: Ο Μάιος είναι κοντά, εσείς
πόσο έτοιμοι είστε;
Η αλήθεια είναι ότι ο καιρός πλησιάζει ολοένα και πιο κοντά στην ημερομηνία που έχει τεθεί
επίσημα από την Ευρωπαϊκή Ένωση ως καταληκτική για την εφαρμογή του περίφημου Γενικού
Κανονισμού για την Προστασία Προσωπικών Δεδομένων, κοινώς γνωστό και ως General Data
Protection Regulation (GDPR).
λοι μας, ανεξαρτήτως εταιρικής δραστηριότητας,
φύσης και κλάδου, έχουμε ενημερωθεί
Ο
από τα ποικίλα ενημερωτικά έντυπα, email
εταιριών, σεμινάρια παντός τύπου και διαλέξεις
για το GDPR. Υπάρχουν όμως ακόμη αρκετά
ερωτηματικά τόσο για τον τρόπο με τον οποίο θα εφαρμοστεί
ο Γενικός Κανονισμός GDPR στην πράξη, όσο και
για την πρωτοφανή επιβολή προστίμων τόσο μεγάλου ύψους.
Ήδη από τις 27 Απριλίου του 2016, ψηφίστηκε από το Ευρωπαϊκό
Κοινοβούλιο ο εν λόγω Κανονισμός για την προστασία
των φυσικών προσώπων έναντι της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη
κυκλοφορία των δεδομένων αυτών και την κατάργηση της
οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία
Δεδομένων), ο οποίος τέθηκε σε ισχύ έναν μήνα αργότερα,
τον Μάιο του ιδίου έτους. Έχει δοθεί όμως μια περίοδος χάριτος
δύο ετών για να εφαρμοστεί ως νομοθέτημα άμεσης
εφαρμογής στις χώρες μέλη της Ευρωπαϊκής Ένωσης, τον
ερχόμενο Μάιο και συγκεκριμένα στις 25 Μαΐου του 2018.
Ο Γενικός Κανονισμός GDPR, ουσιαστικά δεν είναι κάτι εντελώς
καινούργιο αφού προϋπήρχε ήδη ο 95/46/ΕΚ και είχε
τεθεί σε ισχύ στην Ελλάδα στο πλαίσιο του 2472/97, βάζοντας
γερές βάσεις για έννοιες όπως “δεδομένα προσωπικού χαρακτήρα”,
“ευαίσθητα προσωπικά δεδομένα”, “επεξεργασία
προσωπικών δεδομένων”, “υπεύθυνος επεξεργασίας”, “εκτελών
την επεξεργασία” αλλά και πολλές επιπλέον έννοιες,
που βεβαίως συναντάμε και στο GDPR. Ποια επομένως η
ειδοποιός διαφορά μεταξύ GDPR και 95/46/ΕΚ; Η μια
βασική παράμετρος είναι το ύψος των προστίμων, τα οποία
θα μπορούν να αγγίζουν το 2-4% του παγκόσμιου τζίρου
ή τα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά
είναι υψηλότερο), της εκάστοτε εταιρείας που έχει παραβιάσει
ακούσια ή εκούσια τις αρχές της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα φυσικών προσώπων, οι οποίες
αποτυπώνονται αναλυτικά στα άρθρα του GDPR. Η δεύτερη
παράμετρος είναι η αυτή καθαυτή επιβολή των προστίμων.
Μεταξύ άλλων, μια σημαντική προσθήκη στον Γενικό Κανονισμό
GDPR είναι και η έννοια του Υπεύθυνου Προστασίας
Δεδομένων (Data Protection Officer-DPO). Ο
DPO έχει ρόλο διαμεσολαβητή μεταξύ όλων των εμπλεκομένων
μερών (π.χ. Εποπτική Αρχή, υποκείμενα δεδομένων,
τμήματα και υπηρεσίες της εταιρείας). Πρόκειται για
τον άνθρωπο εκείνο ο οποίος θα ενημερώνει τους χρήστες
των οποίων τα δεδομένα επεξεργάζεται η εταιρεία αλλά
και θα είναι εκείνος ο οποίος έρχεται σε επικοινωνία με την
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
(ΑΠΔΠΧ) για τυχόν ενημερώσεις συμβάντων, επικοινωνία
για επικείμενους ελέγχους και λοιπές διαδικασίες.
Πέρα όμως από τις νέες έννοιες και τα πλαίσια που
έχουν τεθεί για την ορθή εφαρμογή του Γενικού Κανονισμού
GDPR, το πιο σημαντικό κομμάτι για την ελληνική
επιχειρηματικότητα είναι ότι τίθενται τα θεμέλια για μια
ασφαλή πλέον εταιρική υποδομή πληροφορικής,
έστω και με την μορφή της επιβολής.
34 security

Του Κωνσταντίνου Βαβούση
Strategic Manager, Trust Information Technologies
kv@trust-it.gr
Υπογραμμίζουμε ότι υπόλογες απέναντι στον Γενικό Κανονισμό
GDPR είναι οι εταιρείες εκείνες οι οποίες διαχειρίζονται
προσωπικά δεδομένα πολιτών της ΕΕ, είτε εδρεύουν
στην Ε.Ε. είτε όχι. Όπως προβλέπει ο ίδιος ο Κανονισμός
και λόγω των υψηλών προστίμων, οι επιχειρήσεις δεν θα
έχουν άλλη επιλογή πέραν της συμμόρφωσης. Τα υψηλά
πρόστιμα και οι σοβαρές κυρώσεις είναι ένα ρίσκο που
κανείς δεν μπορεί να αγνοήσει. Επομένως, όσο το δυνατόν
γρηγορότερα ξεκινήσει μια εταιρεία να προετοιμάζεται
τόσο πιο γρήγορα θα είναι έτοιμη για το GDPR.
Οι εταιρείες πλέον καλούνται να ασχοληθούν σοβαρά
με την προστασία των πληροφοριακών τους συστημάτων
και την προάσπιση των δεδομένων τους,
κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών,
υλοποιώντας πολιτικές ασφάλειας και διαδικασίες
για την διαχείριση τόσο των εταιρικών πόρων όσο και των
δεδομένων, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών
συστημάτων για την ορθή χρήση της εταιρικής
υποδομής και των δεδομένων που διαχειρίζονται.
Ένα επιπλέον σημαντικό κομμάτι που ακόμη δεν έχει αποτυπωθεί
επαρκώς στα διοικητικά συμβούλια των υπόλογων
εταιρειών στο GDPR, είναι ο εναπομείναντας κίνδυνος
(residual risk) τον οποίο η εταιρεία καλείται να διαχειριστεί,
ύστερα από την υλοποίηση όλων εκείνων των οργανωτικών
και τεχνικών μέτρων ασφάλειας. Σε αυτό το σημείο έρχονται
να παράσχουν τις υπηρεσίες τους ασφαλιστικές εταιρείες στα
πλαίσια του cyber insurance, για την ανάληψη του κινδύνου
ή των κινδύνων που αδυνατεί να καλύψει η εταιρεία. Πρόκειται
για ένα πολύ λεπτό σημείο στο οποίο πλέον η εκάστοτε
εταιρεία καλείται να αποφασίσει αν συμφέρει περισσότερο να
εφαρμόσει επιπλέον τεχνικά και οργανωτικά μέτρα για την
ελάττωση του κινδύνου περαιτέρω ή συμφέρει να καλυφθεί
μέσω κάποιου ασφαλιστικού προγράμματος.
Παρακάτω παρατίθενται ορισμένες οδηγίες οι οποίες θα
σας βοηθήσουν στην προετοιμασία σας σχετικά με την
συμμόρφωση με τον Γενικό Κανονισμό GDPR:
● Δέσμευση της διοίκησης για την προστασία των προσωπικών
δεδομένων και ανάθεση ευθυνών.
● Αξιολόγηση των δραστηριοτήτων της εταιρείας και
προσδιορισμός των προσωπικών δεδομένων προς
επεξεργασία.
● Καθορισμός Υπεύθυνου Προστασίας Δεδομένων (Data
Protection Officer - DPO) εφόσον αυτό είναι απαραίτητο.
● Υιοθέτηση οργανωτικών και τεχνικών μέτρων ασφάλειας
όπως πολιτικές ασφάλειας, εγκατάσταση και παραμετροποίηση
υλικού και λογισμικού ασφάλειας, κατάρτιση
πλάνου διαχείρισης περιστατικών ασφάλειας, τακτικοί
●
●
●
●
●
●
●
●
●
έλεγχοι ασφάλειας, ανάλυση/εκτίμηση αντικτύπου σχετικά
με την προστασία προσωπικών δεδομένων (Data
Privacy Impact Assessment DPIA), αξιολόγηση και
ανάλυση κινδύνων (Risk Assessment) κλπ.
Εκπαίδευση εργαζομένων ανά τακτά χρονικά διαστήματα
σε θέματα ασφάλειας.
Καθορισμός σκοπού για την επεξεργασία προσωπικών
δεδομένων.
Σαφής καθορισμός των εκτελούντων την επεξεργασία
των προσωπικών δεδομένων των υποκειμένων.
Ρητή συγκατάθεση του υποκειμένου για την επεξεργασία
των δεδομένων του.
Σαφής καθορισμός της περιόδου διατήρησης των προσωπικών
δεδομένων των υποκειμένων.
Σαφής ενημέρωση των υποκειμένων για τους ακριβής
λόγους επεξεργασίας.
Αξιολόγηση υφιστάμενων συμβάσεων τρίτων παρόχων
αλλά και καθορισμός πλαισίου για μελλοντικές συνεργασίες,
σχετικά με την διαχείριση προσωπικών δεδομένων.
Καθορισμών κατάλληλων μέτρων προστασίας των
προσωπικών δεδομένων των υποκειμένων.
Μεταφορά δεδομένων μόνο σε περίπτωση σαφούς
πλαισίου, ιδιαίτερα όταν πρόκειται για τρίτες χώρες.
Με μεθοδικότητα και ιδιαίτερη προσοχή, θα πρέπει μέχρι την
25η Μαΐου του ερχόμενου έτους, να έχουν γίνει αποδεδειγμένα
βήματα τόσο για την προστασία της εταιρικής σας υποδομής
όσο και για τα προσωπικά και τα ευαίσθητα προσωπικά δεδομένα
που η εταιρεία διαχειρίζεται. Θα πρέπει να έχετε ορίσει DPO
και να έχετε ξεκινήσει πρόγραμμα εκπαίδευσης και επιμόρφωσης
των εργαζομένων σας. Εμπιστευτείτε τις εταιρείες/συμβούλους
σε θέματα ασφάλειας ώστε να καταφέρετε το μέγιστο
δυνατό αποτέλεσμα μέχρι την καταληκτική ημερομηνία αλλά
και ενημερωθείτε από τις ασφαλιστικές εταιρείες για τα διαθέσιμα
προγράμματα σχετικά με το cyber insurance.
security
35

T5211/12.2017
Issue
PrivacyFlag - Ιδιωτικότητα στο
Διαδίκτυο μέσω Πληθοπορισμού
Οι σύγχρονες τεχνολογικές εξελίξεις καθιστούν το αίτημα της ιδιωτικότητας περισσότερο επίκαιρο
από κάθε άλλη φορά. Το ερευνητικό έργο Privacy Flag παρέχει τις μεθοδολογίες και εργαλεία
για να καλύψει τις σημερινές απαιτήσεις στο τομέα αυτό.
Γενικά για την Ιδιωτικότητα
Πριν από περίπου 130 χρόνια έγινε η πρώτη αναφορά στην
Ιδιωτικότητα ως δικαίωμα των πολιτών. Ο κλασικός ορισμός
της ιδιωτικότητας είναι το δικαίωμα ενός ατόμου ή
μιας ομάδας να προστατεύεται από οποιαδήποτε παρεμβολή
στην ιδιωτική του ζωή. Αυτό σημαίνει ότι ένα άτομο
μπορεί να είναι επιλεκτικό υπό κάποιους όρους ως προς
το τι πρέπει να γνωρίζουν οι άλλοι για το πρόσωπό του και
πόσο δημόσιο ή ιδιωτικό θα είναι.
Τα δικαιώματα ιδιωτικού απορρήτου ενδέχεται να διαφέρουν
ανάλογα με το νομικό πλαίσιο που ισχύει. Για παράδειγμα,
η ιδιωτικότητα των πληροφοριών καθορίζει τη
νομιμότητα του τρόπου συλλογής, συνδυασμού και διανομής
των πληροφοριών σχετικά με ένα άτομο δηλαδή τα
προσωπικά του δεδομένα.
Η ιδιωτικότητα είναι θεμελιώδες δικαίωμα κάθε πολίτη της
Ευρωπαϊκής Ένωσης. Θα πρέπει να αποφεύγεται η χρήση
προσωπικών δεδομένων για την παρακολούθηση και δημιουργία
προφίλ των ατόμων δίχως να έχουν γνώση και
να έχουν παραχωρήσει σχετική άδεια. Τα άτομα, ως υποκείμενα
δεδομένων, πρέπει να γνωρίζουν πώς μπορεί να
δημιουργηθεί το ψηφιακό αποτύπωμα τους στο Διαδίκτυο
και τους σκοπούς για τους οποίους μπορούν ή όχι να χρησιμοποιηθούν
τα προσωπικά τους δεδομένα.
Ο νέος κανονισμός GDPR (General Data Protection
Regulation – Γενικός Κανονισμός για την Προστασία των
Δεδομένων) της ΕΕ επεκτείνει αυτή την προστασία, αναγνωρίζοντας
το δικαίωμα των ατόμων να ελέγχουν τη
χρήση των προσωπικών τους δεδομένων, ακόμη και μετά
την κοινοποίηση τους. Το ερευνητικό έργο Privacy Flag
παρέχει τις μεθοδολογίες και εργαλεία για να διασφαλίσει
την τήρηση αυτών των δικαιωμάτων.
36 security

Των Βασίλη Βλάχου 1,2 ,
Αντελίνα Μάδια1 ,3 , Ιωάννη Σταματίου 1,4
και Σωτήρη Νικολετσέα 1,3
Το λογότυπο του έργου Privacy Flag
Οι σύγχρονες τεχνολογικές εξελίξεις καθιστούν το συγκεκριμένο
αίτημα περισσότερο επίκαιρο από κάθε άλλη χρονική
στιγμή. Η καθιέρωση του Διαδικτύου ως το βασικό εργαλείο
εργασίας, επικοινωνίας και ψυχαγωγίας σε παγκόσμιο επίπεδο
επέφερε πολλά και ουσιαστικά οφέλη. Η μετεξέλιξη του
Διαδικτύου από μια απλή μηχανή αναζήτησης και παράθεσης
πληροφοριών οδήγησε στην δημιουργία ενός ευρύτατου οικοσυστήματος
το οποίο καλύπτει σχεδόν κάθε ανθρώπινη
δραστηριότητα. Η επίτευξη των σχετικών υπηρεσιών απαιτεί
τις ανάλογες επενδύσεις σε υποδομές αλλά κυρίως και πρωτίστως
την αλληλεπίδραση με τους χρήστες. Η διασύνδεση
μεταξύ μηχανών και ανθρώπων μπορεί να προσφέρει υψηλής
διαδραστικότητας εμπειρίες αλλά παράλληλα δημιουργεί
και επεξεργάζεται τεράστιο όγκο δεδομένων.
Οι σύγχρονες εξελίξεις σε τεχνολογικό επίπεδο και ειδικότερα
η ανάπτυξη της νεφοϋπολογιστικής (cloud
computing) η οποία βασίζεται στην υλοποίηση ταχύτατων
δικτύων επικοινωνίας σε συνδυασμό με την ραγδαία αύξηση
της χωρητικότητας των διαθέσιμων αποθηκευτικών
μέσων όπως επίσης και την ύπαρξη ισχυρών πολυπύρηνων
επεξεργαστών έδωσαν την δυνατότητα να κατασκευαστούν
ευέλικτες πλατφόρμες νεφοϋπολογιστικών
συστημάτων που παρέχουν ελαστικότητα στην χρήση των
διαθέσιμων πόρων επιτρέποντας την βέλτιστη αξιοποίηση
όλων των υποδομών. Στις περισσότερες περιπτώσεις
η επιλογή μοντέλων νεφουπολογιστικών πλατφορμών
αξιοποιείται για την ανάλυση και επεξεργασία τεράστιου
όγκου δεδομένων που προκύπτουν από την συμμετοχή
των πολιτών σε διαδικτυακές υπηρεσίες. Οι σύγχρονοι αλγόριθμοι
Τεχνητής Νοημοσύνης (Artificial Intelligence)
και Μηχανικής Μάθησης (Machine Learning) επιτρέπουν
την εξαγωγή προτύπων που μπορούν με ακρίβεια να
προβλέπουν τις τάσεις, τις συνήθειες αλλά και τις ιδεολογικές,
πολιτικές και άλλες προτιμήσεις των χρηστών.
Το Privacy Flag είναι ένα ευρωπαϊκό ερευνητικό πρόγραμμα
για την προστασία των προσωπικών δεδομένων.
Οι εμπειρογνώμονες στον τομέα του Δικαίου και των Τεχνολογιών
της Πληροφορίας και των Επικοινωνιών (ΤΠΕ)
έχουν αναπτύξει μια καινοτόμο μεθοδολογία που ονομάζεται
Universal Privacy Risk Area Assessment Methodology
(UPRAAM) προκειμένου να αξιολογήσουν τη συμμόρφωση
των εφαρμογών, των δικτυακών τόπων και των εφαρμογών
του Διαδικτύου (Internet of Things) με τον GDPR και τον Ελβετικό
νόμο περί προστασίας των δεδομένων. Χρησιμοποιώντας
το UPRAAM, το Privacy Flag αναπτύσσει ένα σύνολο
εργαλείων που επιτρέπουν στους πολίτες να ελέγχουν εάν
τηρούνται τα δικαιώματά τους ως υποκείμενα των δεδομένων,
καθώς και εργαλεία και υπηρεσίες που βοηθούν τις
εταιρείες να συμμορφώνονται με τις απαιτήσεις προστασίας
προσωπικών δεδομένων. Το Privacy Flag συγχρηματοδοτείται
από την Ευρωπαϊκή Επιτροπή και την Ελβετική Δημόσια
Γραμματεία Εκπαίδευσης, Έρευνας και Καινοτομίας
στα πλαίσια του προγράμματος Horizon2020. Ο βασικός
στόχος του PrivacyFlag είναι η ενίσχυση της ιδιωτικότητας
στο Διαδίκτυο μέσω της ενημέρωσης και έγκαιρης πληροφόρησης
των Ευρωπαίων χρηστών. Η κοινοπραξία των
εταίρων που συμμετέχουν στο έργο αποτελείται από τις εταιρείες
ΟΤΕ, Mandat International, Velti, DunavNet, HW
Communications και Archimède Solutions. Συμμετέχουν
τα γνωστά ακαδημαϊκά ιδρύματα του Πανεπιστημίου του
Λουξεμβούργου, το Ινστιτούτο Τεχνολογίας Υπολογιστών
& Εκδόσεων «Διόφαντος», το Πανεπιστήμιο του
Μπρίστολ, το Πολυτεχνείο της Λουλέα, το Εθνικό και
Καποδιστριακό Πανεπιστήμιο Αθηνών και το Ιταλικό
Ινστιτούτο για την Ιδιωτικότητα (Istituto Italiano per la
Privacy).
Η αρχιτεκτονική του συστήματος βασίζεται σε διακριτά
υποσυστήματα.
1 Ινστιτούτο Τεχνολογίας Υπολογιστών και Εκδόσεων «Διόφαντος», Πάτρα
2 Τμήμα Μηχανικών Πληροφορικής Τ.Ε, ΤΕΙ Θεσσαλίας
3 Τμήμα Μηχανικών Η/Υ και Πληροφορικής, Πανεπιστήμιο Πατρών
4 Τμήμα Διοίκησης Επιχειρήσεων, Πανεπιστήμιο Πατρών
security
37

T5211/12.2017
Issue
Το πρόσθετο Privacy Flag WebAddOn
Το PrivacyFlag πρόσθετο για τα προγράμματα
πλοήγησης του Διαδικτύου
Το PrivacyFlag WebAddOn είναι μια επέκταση (πρόσθετο)
του δημοφιλέστερου σύμφωνα με όλες τις μετρήσεις
προγράμματος πλοήγησης Chrome το οποίο αναλαμβάνει
να συμβουλεύει τον χρήστη κατά την περιήγηση του στο
Διαδίκτυο. Ειδικότερα το PF WebAddOn σε κάθε σελίδα
που επισκέπτεται ο χρήστης εμφανίζει ένα μικρό, σύντομο
και περιεκτικό ερωτηματολόγιο με ερωτήσεις σχετικά
με το που μεταφέρονται, αποθηκεύονται και αξιοποιούνται
τα δεδομένα του χρήστη από τον συγκεκριμένο ιστότοπο.
Οι ερωτήσεις αυτές ακολουθούν όσο πιο πιστά γίνεται το
πνεύμα και την φιλοσοφία του νέου κανονισμού της Ευρωπαϊκής
Ένωσης GDPR και έχουν διττό χαρακτήρα. Αφ' ενός
προβληματίζουν το χρήστη για τα θέματα που αφορούν
την ιδιωτικότητα του σε περίπτωση που δεν τον/την είχαν
απασχολήσει μέχρι τώρα και παράλληλα παρέχουν χρήσιμη
πληροφόρηση στη κεντρική Βάση Δεδομένων του
PrivacyFlag για την εξαγωγή χρήσιμων στατιστικών στοιχείων.
Πέραν της ενημερωτικής χρήσης του PF WebAddOn
παρέχεται και διαρκής ενημέρωση που είναι η σημαντικότερη
λειτουργία του. Στο παρασκήνιο το PF WebAddOn σε
συνεργασία με τον PF εξυπηρετητή πραγματοποιούν ένα
σύνολο από βασικούς τεχνικούς ελέγχους που εξετάζουν
τον εκάστοτε Διαδικτυακό τόπο για την ποιότητα διαχείρισης
των δεδομένων και την γενικότερη ασφάλεια του σε
τεχνικό επίπεδο. Έτσι για παράδειγμα πραγματοποιείται
ένα σύνολο δοκιμών για την αξιολόγηση του σε πολλά διαφορετικά
επίπεδα όπως για παράδειγμα η ποιότητα των
κρυπτογραφικών αλγορίθμων και πιστοποιητικών που
χρησιμοποιεί (αν χρησιμοποιεί) για την ασφαλή μετάδοση
των δεδομένων από το σύστημα του χρήστη προς τον
εκάστοτε διακομιστή. Σε τεχνολογικό επίπεδο εξετάζονται
οι λύσεις και υλοποιήσεις που υιοθετούνται από την εκάστοτε
ιστοσελίδα ως προς την ωριμότητα και στιβαρότητα
τους με βάση τα γνωστά καταγεγραμμένα περιστατικά και
το ιστορικό τους. Πεπαλαιωμένες τεχνολογίες όπως τα
στοιχεία ελέγχου ActiveX θεωρούνται εξαιρετικά ανασφαλείς
λύσεις και βαθμολογούνται αρνητικά. Το ίδιο ισχύει
και για πλατφόρμες που έχουν εμφανίσει μεγάλο αριθμό
ευπαθειών και κενών ασφαλείας. Χαρακτηριστικές περιπτώσεις
είναι η Java και οι πολυμεσικές εφαρμογές που
βασίζονται σε Flash. Επιπρόσθετα, δεν αξιολογείται θετικά
και η χρήση διεπαφών και λειτουργιών που βασίζονται σε
αναμφίβολα καινοτόμες τεχνολογίες όπως η HTML5 ή το
WebRTC όταν ενεργοποιούν πρόσθετη λειτουργικότητα
που μπορεί να οδηγήσει σε θέματα ιδιωτικότητας. Το κύριο
βάρος ωστόσο δίνεται στην αναγνώριση συστατικών σε μια
ιστοσελίδα όπως τα cookies ή και άλλων επίμονων τεχνικών
παρακολούθησης όπως τα third party cookies, LSO
κ.λπ. όπου μπορούν να καταγράψουν με ακρίβεια αρκετές
από τις διαδικτυακές συνήθειες των χρηστών. Αυξημένος
αριθμός τέτοιων αντικειμένων σηματοδοτεί αρνητική
προδιάθεση ως προς την προστασία της ιδιωτικότητας των
επισκεπτών σε ένα ιστότοπο. Επίσης εκτελούνται κάποιοι
βασικοί έλεγχοι για την αποφυγή ύπαρξης συνδέσμων
που ενδεχομένως μπορεί να παραπέμπουν σε ιστοσελίδες
με κακόβουλο λογισμικό. Το αποτελέσματα της τεχνικής
ανάλυσης αποστέλλεται τον εξυπηρετητή του PrivacyFlag
όπου συνδυαστικά με τις αξιολογήσεις του χρήστη προκύπτει
μια εκτίμηση για το πόσο κοντά στις βασικές καλές
αρχές της ιδιωτικότητας βρίσκεται η εκάστοτε ιστοσελίδα.
Η διαδικασία της αξιολόγησης είναι πλήρως ανώνυμη και
δεν καταγράφεται κανένα προσωπικό στοιχείο του χρήστη.
38 security

της εκάστοτε εφαρμογής αλλά και των απαντήσεων που
έχουν δώσει όλοι οι άλλοι χρήστες που αξιολόγησαν την
ίδια εφαρμογή προκύπτει ένα τελικός δείκτης συμμόρφωσης
με καλές πρακτικές ως προς την ιδιωτικότητα.
Το Privacy Flag Smartphone App
Για το λόγο αυτό πέραν της ασφαλούς κρυπτογραφημένης
επικοινωνίας που είναι προενεργοποιημένη κατά την
εγκατάσταση του προσθέτου, υπάρχει παράλληλα η δυνατότητα
για την αξιοποίηση του πρωτοκόλλου TOR καθώς
προσφέρεται στο χρήστη και η σχετική επιλογή.
Η εφαρμογή PrivacyFlag για τα έξυπνα κινητά
τηλέφωνα
Σε αντιστοιχία με το πρόσθετο PrivacyFlag WebAddOn
υπάρχει η εφαρμογή PrivacyFlag SmartApp που αξιολογεί
τις εγκατεστημένες εφαρμογές σε ένα έξυπνο κινητό
τηλέφωνο και τις ταξινομεί ανάλογα με τα δικαιώματα πρόσβασης
που χρησιμοποιούν για να αποκτήσουν σε ευαίσθητα
υποσυστήματα του κινητού τηλεφώνου. Ο αλγόριθμος
του PrivacyFlag ταξινομεί τα σχετικά δικαιώματα που
αιτείται η κάθε εφαρμογή σε διάφορες διακριτές κατηγορίες
και αναλόγως υπολογίζει
ένα δείκτη της αξίας των
δεδομένων που δύναται
να αποκτήσει η εφαρμογή.
Παράλληλα με την αυτόματη
αξιολόγηση ο χρήστης
όπως και στην περίπτωση
του PrivacyFlag
WebAddOn καλείται να
απαντήσει σε μια σειρά
ερωτήσεων που βασίζονται
στη μεθοδολογία
UPRAAM. Τα αποτελέσματα
αποστέλλονται στον διακομιστή
του PrivacyFlag
όπου μαζί με τα ευρήματα
της τεχνικής αποτίμησης
Το PrivacyFlag Observatory
Το ερευνητικό έργο Privacy Flag προσφέρει ένα παρατηρητήριο
για την Ιδιωτικότητα στο Διαδίκτυο. Τα ευρήματα
που προκύπτουν από την μαζική χρήση του PrivacyFlag
WebAddOn καθώς και του PrivacyFlag SmartApp συγκεντρώνονται
στον κεντρικό εξυπηρετητή του Privacy Flag
και επεξεργάζονται στατιστικά με πολλαπλούς τρόπους και
την χρήση των κατάλληλων μαθηματικών μοντέλων για
την εξαγωγή των σχετικών τάσεων αλλά και για τον εντοπισμό
αντικανονικών τιμών (outliers). Τα παραπάνω αποτυπώνονται
συγκεντρωτικά στον ιστότοπο του PrivacyFlag
Observatory όπου με σύγχρονα διαδραστικά διαγράμματα
μπορούν χρήστες, επιστήμονες και όσοι έχουν ενδιαφέρον
για την εξέλιξη της ιδιωτικότητας να παρακολουθήσουν τον
βαθμό υιοθέτησης καλών πρακτικών σε τεχνολογικά θέματα
και λύσεις κρυπτογραφίας αλλά και τις περιπτώσεις όπου
είναι απαραίτητη η αντικατάσταση παλιών προβληματικών
πλατφορμών που όμως εξακολουθούν να καταγράφουν
σημαντικό ποσοστό χρηστών. Το PrivacyFlag εκτός από
ένα χρήσιμο επιστημονικό βοήθημα μπορεί αναμφίβολα
να αποτελέσει και ένα χρήσιμο εργαλείο χάραξης πολιτικής
από τους εμπλεκόμενους αξιωματούχους και παράγοντες
(stakeholders) σε Ευρωπαϊκό επίπεδο.
Περισσότερες πληροφορίες και όλα τα εργαλεία είναι διαθέσιμα
στο https://privacyflag.eu/
Το Privacy Flag Observatory
security
39

T5211/12.2017
Issue
Οι προκλήσεις διασφάλισης
προσωπικών δεδομένων
στις έξυπνες πόλεις
Η έννοια της “έξυπνης πόλης’’ ακούγεται όλο και περισσότερο τον τελευταίο καιρό και έχει εισβάλει σε
μεγάλο βαθμό στην καθημερινότητα μας.
λίστα των έξυπνων πόλεων αριθμεί πολλές
& μεγάλες πόλεις τόσο διεθνώς, όπως
Η
Νέα Υόρκη, Βαρκελώνη, Δανία, Βιέννη,
Άμστερνταμ, όσο και στον ελληνικό χώρο
όπως τα Τρίκαλα, η Καλαμάτα, το Ηράκλειο,
η Θεσσαλονίκη και η Αθήνα.
Παρότι οι περισσότερες έρευνες που έχουν γίνει με αντικείμενο
την έξυπνη πόλη εστιάζουν στις αδιαμφισβήτητες θετικές
επιπτώσεις, με κυρίαρχη αυτή της βελτίωσης της ποιότητας
ζωής των πολιτών, εκφράζονται τα τελευταία χρόνια
ανησυχίες ως προς τη χρήση των προσωπικών δεδομένων
για δευτερεύοντες σκοπούς, δηλαδή άλλο σκοπό από
αυτό που πρωταρχικά προοριζόταν. Χαρακτηριστικό παράδειγμα
αποτελεί η ING Bank, η οποία ανακοίνωσε το 2014
την πρόθεσή της να μοιραστεί τα στοιχεία των πελατών της
με εμπορικούς φορείς για να εξαχθούν στατιστικά συμπεράσματα
για το προφίλ του μέσου καταναλωτή. Το γεγονός αυτό
προκάλεσε κύμα αντιδράσεων από τους πελάτες, πολλοί
εκ των οποίων απέσυραν τους λογαριασμούς τους από την
τράπεζα, με αποτέλεσμα η τελευταία να ακυρώσει τα πλάνα
της και να απολογηθεί δημοσίως. Αντίστοιχα, αντιμέτωπη με
την αντίδραση 700.000 Άγγλων πολιτών βρέθηκε η Εθνική
Υπηρεσία Υγείας της Αγγλίας όταν αποκαλύφθηκε ότι το
αρχείο με το ιστορικό των ασθενών είχε μοιραστεί σε ασφαλιστικές
εταιρείες, χωρίς οι πολίτες να έχουν λάβει γνώση.
Επιπλέον από τεχνική σκοπιά, οι λύσεις έξυπνων πόλεων
κάνουν χρήση πολλών, διαφορετικών και ταυτόχρονα περίπλοκων,
ψηφιακών τεχνολογιών και υποδομής ICT, που
πολλές φορές στερούνται κρυπτογράφησης ή αλληλεπιδρούν
με μη ασφαλή, παλιά συστήματα, γεγονός που τα
καθιστά ευάλωτα σε ψηφιακές επιθέσεις (διαθεσιμότητας,
εμπιστευτικότητας ή ακεραιότητας).
Δεδομένου ότι οι υπηρεσίες μιας έξυπνης πόλης είναι ένα είδος
cloud computing και μάλιστα στη συντριπτική τους πλειο-
40 security

Έλενα Μπούα
Procurement Manager in OTE Group Finance Division MsC ‘
’Management & Economics of Telecom Networks’’
ψηφία είναι υπηρεσίες που δίνονται από τρίτα μέρη και όχι την
ίδια την πόλη, οι πιο συνηθισμένοι κίνδυνοι που έχουν παρατηρηθεί
είναι: η Εξάντληση πόρων (resource exhaustion), η
Διακύβευση του interface για τη διαχείριση της υπηρεσίας
(management GUI and API compromise), η Έλλειψη απομόνωσης
πόρων (lack of resource isolation), Κλείδωμα
δεδομένων / παρόχου υπηρεσιών (Data/Vendor Lock-In),
Υποκλοπή λογαριασμών/δεδομένων (Intercepting data),
Άγνωστο προφίλ κινδύνου (Unknown Risk Profile), Απώλεια
και διαρροή δεδομένων (Data Loss or Leakage).
Μελέτη συμβάσεων με αντικείμενο τις έξυπνες
πόλεις
Αναγνωρίζοντας αυτά τα προβλήματα, στα πλαίσια Μεταπτυχιακής
Διατριβής, και προκειμένου να διαπιστωθεί ο βαθμός
διασφάλισης των προσωπικών δεδομένων των χρηστών
απέναντι στους κινδύνους αυτούς, μελετήθηκαν συμβάσεις με
αντικείμενο έξυπνες εφαρμογές σε δήμους τόσο στον ελληνικό
όσο και στον ευρωπαϊκό χώρο. Τα αποτελέσματα ανέδειξαν
σημαντική έως και πλήρη σε κάποιες περιπτώσεις έλλειψη
ενός πλαισίου διασφάλισης των βασικών δικαιωμάτων,
της ιδιωτικότητας και της ασφάλειας των δεδομένων των
χρηστών & ταυτόχρονα πολιτών μιας έξυπνης πόλης.
Ως συμπέρασμα, κρίνεται επιτακτική ανάγκη σε κάθε περίπτωση
που ένας δήμος ή μια πόλη επιλέγει την παροχή
μιας «έξυπνης» υπηρεσίας στους δημότες ή πολίτες του,
να προβεί σε μια διαδικασία αναγνώρισης και αποτίμησης
κινδύνων και να υλοποιεί για την αντιμετώπισή τους
όπου αυτό είναι δυνατό ένα νομικά κατοχυρωμένο πλαισίου
συνεργασίας μεταξύ των δημοτικών φορέων και των
εταιρειών παροχής τεχνολογικών λύσεων. Με τον τρόπο
αυτό, θα αποτυπώνονται ρητά συγκεκριμένοι όροι και
SLAs στις διαδικασίες προμήθειας μιας έξυπνης πόλης και
στις συμβάσεις και θα υπάρχουν οι αντίστοιχες κυρώσεις
σε περίπτωση μη τήρησης αυτών.
Ακολουθούν κάποια ενδεικτικά παραδείγματα:
● Κίνδυνος της εξάντλησης των πόρων και υποκλοπής
λογαριασμών/δεδομένων μπορούν να αντιμετωπιστούν
με συγκεκριμένους όρους μιας σύμβασης, όπως
software integrity checks, εφαρμογή κρυπτογραφίας
και εφαρμογή μηχανισμών αυθεντικοποίησης.
● Κίνδυνος έλλειψης απομόνωσης πόρων και κλείδωμα δεδομένων
μπορούν να αντιμετωπιστούν με τη συμφωνία
μεσεγγύησης (escrow agreement), ώστε να διασφαλιστεί
η απρόσκοπτη και αδιάλειπτη παροχή της υπηρεσίας.
● Κίνδυνος διακύβευσης του interface μπορεί να αντιμετωπιστεί
με την τήρηση διεθνών προτύπων όπως το ISO
27034, εφαρμογή μεθόδων αυθεντικοποίησης, περιορισμούς
διεύθυνσης IP, administrator roles & privileges.
Ανάγκη για χρηματοδότηση
Παράλληλα με την έννοια της ασφάλειας και ιδιωτικότητας,
εξίσου σημαντική είναι και η έννοια της χρηματοδότησης.
Απόδειξη αυτού είναι ότι όσο καλά σχεδιασμένο και αν είναι
ένα έργο, όσο και αν συμμετέχουν ενεργά και αποτελεσματικά
όλοι οι εμπλεκόμενοι φορείς, το όραμα μιας έξυπνης
πόλης δεν μπορεί να επιτευχθεί, εάν δεν εξασφαλιστεί η
απαραίτητη χρηματοδότηση.
Από τις περιπτώσεις των έξυπνων πόλεων που έχουν μελετηθεί
τόσο διεθνώς όσο και σε ελληνικό επίπεδο, προκύπτει
ότι δεν υπάρχει ένα συγκεκριμένο και σταθερό σχήμα χρηματοδότησης.
Κάθε εφαρμογή έξυπνης πόλης υλοποιείται με
διαφορετικό τρόπο. Υπάρχουν έργα που βασίζονται σε ευρωπαϊκές
χρηματοδοτήσεις (Horizon 2020, Interreg, URBACT ΙΙΙ,
ELENA, JESSICA κ.α.), έργα που βασίζονται στην ανάληψη
ιδιωτικών πρωτοβουλιών από μεγάλες ή νεοσύστατες εταιρείες
(startups) για υλοποίηση πιλοτικών ή δοκιμασμένων
εφαρμογών για λόγους εμπορικής προβολής κ.α.
Το μόνο σίγουρο είναι ότι κάθε πόλη, που θέλει να εξασφαλίσει
μια επαρκή χρηματοδότηση, θα πρέπει να δημιουργήσει
ένα καλά σχεδιασμένο και ελκυστικό business
plan, στο οποίο θα αναλύονται βασικές παράμετροι όπως
τα ενδεχόμενα ρίσκα, οι πηγές χρηματοδότησης, ο αριθμός
των εμπλεκόμενων μερών, η διάρκεια της χρηματοδότησης,
με σκοπό να αποδεικνύεται η βιωσιμότητα της λύσης.
Συνοψίζοντας, η έννοια της χρηματοδότησης είναι άρρηκτα
συνδεδεμένη με τις έννοιες της ασφάλειας και ιδιωτικότητας
και το σημείο τομής τους είναι οι έξυπνες διαδικασίες προμήθειας
και τα SLAs που θα πρέπει να αποτελούν κομμάτι κάθε
σύμβασης στο πλαίσιο έργων έξυπνης πόλης.
security
41

T5211/12.2017
Issue
Ένωση Ασφάλειας:
Αναβάθμιση των συστημάτων
πληροφοριών για καλύτερη προστασία
των πολιτών της Ε.Ε.
Η Ευρωπαϊκή Επιτροπή προτείνει να γεφυρωθούν τα κενά πληροφόρησης μέσω της αναβάθμισης
των συστημάτων πληροφοριών της ΕΕ για τη διαχείριση της ασφάλειας, των συνόρων και
της μετανάστευσης και μέσω της συνεργασίας τους με πιο έξυπνο και αποδοτικό τρόπο.
ε τα μέτρα αυτά θα καταστεί δυνατή η
μ
ανταλλαγή πληροφοριών και δεδομένων
μεταξύ των διαφόρων συστημάτων και θα
διασφαλίζεται ότι οι συνοριοφύλακες και οι
αστυνομικοί θα έχουν πρόσβαση στη σωστή
πληροφόρηση ακριβώς όταν και όπου χρειάζεται ώστε
να επιτελέσουν το έργο τους, αλλά και συγχρόνως θα εξασφαλίζονται
τα υψηλότερα δυνατά πρότυπα προστασίας
των δεδομένων και ο πλήρης σεβασμός των θεμελιωδών
δικαιωμάτων. Στο πλαίσιο των πρόσφατων προκλήσεων
στον τομέα της ασφάλειας και της μετανάστευσης, η πρόταση
θα ενισχύσει την ασφάλεια των πολιτών της ΕΕ, διευκολύνοντας
τη διαχείριση των εξωτερικών συνόρων της
ΕΕ και ενισχύοντας την εσωτερική ασφάλεια.
Ο πρώτος αντιπρόεδρος της Επιτροπής, κ. Φρανς Τίμερμανς,
δήλωσε σχετικά: «Η ταχύτητα έχει σημασία όταν θέλουμε να
προστατεύσουμε τη ζωή των πολιτών μας από την τρομοκρατία
και να σώσουμε ζωές. Επί του παρόντος τα συστήματα
πληροφοριών της ΕΕ για την ασφάλεια και τη διαχείριση των
συνόρων λειτουργούν χωριστά, γεγονός το οποίο επιβραδύνει
την επιβολή του νόμου. Με την πρότασή μας θα καταστούν
πλήρως διαλειτουργικά. Τούτο σημαίνει ότι οι αρχές επιβολής
του νόμου, σε ολόκληρη την ΕΕ, θα είναι σε θέση να αξιοποιούν
απευθείας και αμέσως όλες τις διαθέσιμες πληροφορίες.»
Ο Επίτροπος Μετανάστευσης, Εσωτερικών Υποθέσεων και
Ιθαγένειας, κ. Δημήτρης Αβραμόπουλος, δήλωσε σχετικά:
«Yλοποιούμε το τελικό και πιο σημαντικό στοιχείο των
εργασιών μας για τη γεφύρωση των κενών και την εξάλειψη
42 security

των‘‘τυφλών σημείων’’ στα συστήματα πληροφοριών που
διαθέτουμε για τη διαχείριση της ασφάλειας, των συνόρων
και της μετανάστευσης. Από εδώ και στο εξής, οι συνοριοφύλακες,
οι αστυνομικοί και το προσωπικό των υπηρεσιών
μετανάστευσης θα πρέπει να έχουν τις σωστές πληροφορίες
την κατάλληλη στιγμή για να μπορούν να κάνουν σωστά τη
δουλειά τους. Πρόκειται για εμβληματική πρωτοβουλία της
παρούσας Επιτροπής καλώ δε τους συννομοθέτες να της
δώσουν προτεραιότητα και να ολοκληρώσουν το έργο τους
εντός του 2018.»
Ο Επίτροπος για την Ένωση Ασφάλειας, κ. Τζούλιαν Κινγκ,
δήλωσε: «Οι τρομοκράτες και οι δράστες σοβαρών εγκλημάτων
δεν θα πρέπει να ξεφεύγουν ή να ξεγελούν τα ραντάρ
μας. Πρόκειται για μια φιλόδοξη νέα προσέγγιση για
τη διαχείριση και τη χρήση των υφιστάμενων πληροφοριών:
πιο έξυπνη και πιο στοχευμένη. Θα αντιμετωπίζει τη
χρήση πολλαπλών ταυτοτήτων και θα ενισχύει τους αποτελεσματικούς
αστυνομικούς ελέγχους, συνδέοντας μεταξύ
τους τα διαθέσιμα στοιχεία, ώστε να προστατεύει τους
πολίτες της ΕΕ εξασφαλίζοντας ταυτόχρονα την προστασία
των δεδομένων εκ σχεδιασμού και εξ ορισμού.»
Σήμερα τα συστήματα πληροφοριών της ΕΕ δεν επικοινωνούν
μεταξύ τους — οι πληροφορίες αποθηκεύονται
χωριστά σε μη διασυνδεδεμένα συστήματα, με αποτέλεσμα
να είναι κατακερματισμένες, πολύπλοκες και δυσχερείς στον
χειρισμό. Ο κίνδυνος που αυτό συνεπάγεται είναι να παραμένουν
αναξιοποίητα στοιχεία και να διαφεύγουν τον εντοπισμό
οι τρομοκράτες και οι εγκληματίες που χρησιμοποιούν
πολλαπλές ή πλαστές ταυτότητες, διακυβεύοντας την εσωτερική
ασφάλεια της ΕΕ και καθιστώντας δυσχερέστερη τη
διαχείριση των συνόρων και της μετανάστευσης. Τα μέτρα
που προτείνονται σήμερα θα γεφυρώσουν αυτά τα κενά και
θα διασφαλίζουν ότι οι πληροφορίες που παρέχονται στους
συνοριοφύλακες και στην αστυνομία είναι πλήρεις, ακριβείς
και αξιόπιστες. Τα νέα εργαλεία θα συμβάλουν στον καλύτερο
εντοπισμό ατόμων που συνιστούν απειλή, όχι μόνο κατά
τη διέλευση των συνόρων της ΕΕ, αλλά και όταν ταξιδεύουν
στο εσωτερικό του χώρου Σένγκεν. Με την ταυτόχρονη διασταύρωση
πληροφοριών σε διάφορες βάσεις δεδομένων και
τον εξορθολογισμό της πρόσβασης από τις αρχές επιβολής
του νόμου, τα νέα εργαλεία θα επιτρέπουν στους συνοριοφύλακες
ή στην αστυνομία να ενημερώνονται γρήγορα εάν
ένα άτομο χρησιμοποιεί πολλαπλές ή πλαστές ταυτότητες.
Σύνδεση των επιμέρους στοιχείων και εξάλειψη των
τυφλών σημείων
Η σημερινή πρόταση εισάγει νέα στοιχεία, για πιο έξυπνη
και πιο στοχευμένη χρήση των διαθέσιμων πληροφοριών
στα υφιστάμενα και στα μελλοντικά συστήματα. Τούτο θα
επιτρέψει στις εθνικές αρχές:
● να αξιοποιούν με το βέλτιστο τρόπο τα υφιστάμενα
δεδομένα. Μία ευρωπαϊκή πύλη αναζήτησης θα οδηγεί
σε μία και μόνη πηγή («one-stop shop») σε οθόνη υπολογιστή
όταν οι συνοριοφύλακες ή οι αστυνομικοί ελέγχουν
έγγραφα ταυτότητας. Αντί να πρέπει να αποφασίσει
ποια βάση δεδομένων θα ελέγξει σε μια συγκεκριμένη κατάσταση,
το προσωπικό θα είναι σε θέση να πραγματοποιεί
ταυτόχρονη αναζήτηση σε πολλαπλά συστήματα πληροφοριών
της ΕΕ. Κατ’ αυτό τον τρόπο, θα γεφυρωθούν κενά
πληροφόρησης και θα διασφαλιστεί ότι το προσωπικό θα
έχει την πλήρη εικόνα για ένα άτομο χωρίς καθυστέρηση.
● να εντοπίζουν τυχόν πολλαπλές ταυτότητες και να
καταπολεμούν την υποκλοπή ταυτότητας. Μια κοινή
υπηρεσία βιομετρικής αντιστοίχισης θα κάνει χρήση
βιομετρικών δεδομένων, όπως τα δακτυλικά αποτυπώματα
ή οι εικόνες προσώπου, για τη σάρωση των υφιστάμενων
βάσεων δεδομένων και την ανίχνευση πληροφοριών
στα διάφορα συστήματα πληροφοριών της ΕΕ.
Ένα κοινό αποθετήριο δεδομένων ταυτότητας θα παρέχει
βασικά προσωπικά χαρακτηριστικά και βιομετρικά
στοιχεία, όπως τα ονόματα και οι ημερομηνίες γέννησης
των πολιτών τρίτων χωρών, έτσι ώστε να είναι δυνατή
η αξιόπιστη ταυτοποίησή τους. Με βάση αυτά, ένας ανιχνευτής
πολλαπλών ταυτοτήτων θα ενημερώνει αμέσως
τους συνοριοφύλακες και τους αστυνομικούς για τις περιπτώσεις
πολλαπλών ή πλαστών ταυτοτήτων.
● να διενεργούν ταχείς και αποτελεσματικούς ελέγχους.
Κατά τη διενέργεια ελέγχων στο εσωτερικό μιας
χώρας, οι αστυνομικοί θα είναι σε θέση να αναζητούν δεδομένα
ταυτότητας υπηκόων τρίτων χωρών και να τους
ταυτοποιούν, με σκοπό, μεταξύ άλλων, την ανίχνευση
πολλαπλών ταυτοτήτων.
Επίσης, όσον αφορά το προσωπικό επιβολής του νόμου με
αρμοδιότητες την πρόληψη, τη διερεύνηση, την ανίχνευση ή
τη δίωξη σοβαρών εγκλημάτων ή τρομοκρατίας, η Επιτροπή
προτείνει δύο στάδια πρόσβασης στις πληροφορίες που
χρειάζονται για υπηκόους τρίτων χωρών στα συστήματα τα
οποία δεν ανήκουν στον τομέα της επιβολής του νόμου. Με
πλήρη σεβασμό της προστασίας των δεδομένων, η προσέγγιση
αυτή διασαφηνίζει ότι, ως πρώτο βήμα, η αναζήτηση θα
διενεργείται βάσει συστήματος θετικής/αρνητικής απάντησης
(hit/no-hit). Ως δεύτερο βήμα, σε περίπτωση «θετικής απάντησης»,
τα όργανα επιβολής του νόμου μπορούν να ζητούν πρόσβαση
στις πληροφορίες που απαιτούνται σύμφωνα με τους
αντίστοιχους κανόνες και διασφαλίσεις.
security
43