IT Professional Security - ΤΕΥΧΟΣ 58

More documents

Recommendations

Info

T5801/02.2019 News Ευρωπαϊκή Οδηγία NIS: Ευκαιρία για βελτίωση των υπαρχουσών υποδομών και ενίσχυση της ασφάλειας απέναντι στις κυβερνοεπιθέσεις Ημερίδα ενημέρωσης πραγματοποίησε , Τρίτη 15 Ιανουαρίου, 2018 η PwC Ελλάδας με θέμα την Ευρωπαϊκή Οδηγία NIS για την κυβερνοασφάλεια. Η εκδήλωση που πραγματοποιήθηκε με τη συμμετοχή του ENISA (European Union Agency for Network and Information Security) και παρουσία πολλών εκπροσώπων της αγοράς, είχε ως στόχο τη διερεύνηση της ετοιμότητας των κλάδων που επηρεάζονται από την οδηγία, για την ευθυγράμμιση, παράλληλα με την ενημέρωση, την κινητοποίηση και την ανταλλαγή απόψεων για ένα κρίσιμο θέμα, όπως είναι η κυβερνοασφάλεια. Η οδηγία NIS αποτελεί την πρώτη προσπάθεια ενιαίας ευρωπαϊκής νομοθεσίας αναφορικά με την ασφάλεια πληροφοριών, επεκτείνοντας τα ζητούμενα από «παραδοσιακές» απαιτήσεις ασφάλειας, σε θέματα λειτουργικής ανθεκτικότητας, επιχειρησιακής συνέχειας, διαχείρισης κρίσεων κ.ο.κ. Η οδηγία αφορά οργανισμούς που δρουν ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών σε Τομείς Κρίσιμων Υποδομών και Συστημάτων (Operators of Essential Services – εφεξής “ΟES”) όπως είναι η ενέργεια (ηλεκτρική , πετρέλαιο, αέριο), οι μεταφορές (αεροπορικές, πλωτές, σιδηροδρομικές, οδικές), οι τράπεζες, οι υποδομές χρηματοπιστωτικών αγορών, ο τομέας της υγείας, η προμήθεια και διανομή πόσιμου νερού και οι ψηφιακές υποδομές και Φορείς Παροχής Ψηφιακών Υπηρεσιών (Operators of Essential Services – εφεξής “DSP”) Το επόμενο ορόσημο για την Ελλάδα, μετά την ενσωμάτωση της Ευρωπαϊκής Οδηγίας στην Ελληνική Νομοθεσία, η οποία πραγματοποιήθηκε τον Δεκέμβριο του 2018, αποτελεί η αναγνώριση των φορέων “OES” και “DSP” του κάθε κράτους μέλους, και η αναφορά προόδου από τις Εθνικές Αρχές προς την Ομάδα Συνεργασίας (Cooperation Group) με απώτερο στόχο την κατάρτιση ενός συνολικού Σχεδίου Συμμόρφωσης (Compliance Roadmap) σε ενοποιημένο Ευρωπαϊκό πλαίσιο. Την εμπειρία του αναφορικά με την προσαρμογή άλλων κρατών – μελών μοιράστηκε ο James Hunt, εξειδικευμένος σύμβουλος της PwC UK, ενώ στο πάνελ συζήτησης συμμετείχαν ο Κωνσταντίνος Μουλινός, Information Security Expert, European Union Agency for Network and Information Security – ENISA, ο Κωνσταντίνος Γιαλελής, Διευθυντής Πληροφορικής και Τηλεπικοινωνιών του ΔΕΔΔΗΕ, η Ελένη Μαυροειδή, Διευθύντρια Πληροφορικής της Τράπεζας της Ελλάδος, ο Μανώλης Γρηγοράκης, Head of Network Operation and Maintenance της Victus Networks και ο Τάσος Προκοπίου, Partner της PwC Κύπρου, με συντονιστή το Μιχάλη Σαμιωτάκη, Cybersecurity Senior Manager, PwC Ελλάδας. Όπως προκύπτει από τις τοποθετήσεις, δημιουργούνται οι συνθήκες για τους επηρεαζόμενους Οργανισμούς να αντιμετωπίσουν τη νέα οδηγία ως μια σημαντική ευκαιρία βελτίωσης των υπαρχουσών δομών ασφάλειας των κρίσιμων υποδομών τους, ξεφεύγοντας από την αντιμετώπιση της ως μια ακόμα απαίτηση συμμόρφωσης. Ο Γιώργος Ναούμ, Partner PwC Ελλάδας, δήλωσε σχετικά: «Η νέα οδηγία παρουσιάζει μια εξαιρετική ευκαιρία για την ενίσχυση της κυβερνοασφάλειας. Η αναγνώριση και συζήτηση επί των διαφορετικών προκλήσεων ανά επιχειρησιακό κλάδο, όπως αναδείχθηκαν από τους εκπροσώπους των φορέων εκμετάλλευσης βασικών υπηρεσιών, μπορεί να προωθήσει μια ενιαία και συνεργατική αντιμετώπιση περιστατικών ασφαλείας (υπό την ομπρέλα του Εθνικού CSIRT), που άλλωστε διαφαίνεται ότι είναι και ο απώτερος σκοπός του νέου Νόμου. Αναδεικνύεται ωστόσο η ανάγκη για άμεση και εντατική κινητοποίηση των Ελληνικών Οργανισμών.» 14 security
Boldon James. Τι πρέπει να γνωρίζουν για την ασφάλεια δεδομένων τα στελέχη χρηματοπιστωτικών υπηρεσιών Ο τομέας των χρηματοπιστωτικών υπηρεσιών αντιμετωπίζει το 35% των παραβιάσεων δεδομένων που γίνονται, κερδίζοντας τον όχι και ιδιαίτερα κολακευτικό τίτλο του τομέα που παραβιάζεται περισσότερο στις μέρες μας. Και είναι εύκολο να καταλάβουμε το γιατί. Ο κλάδος είναι γνωστός για το ευρύ φάσμα των διασυνδεδεμένων συστημάτων του καθώς και για την επεξεργασία εκατομμυρίων συναλλαγών – παράγοντες που τον καθιστούν ιδιαίτερα ευάλωτο σε επιθέσεις. Καθώς η επικινδυνότητα, η συχνότητα και ο αντίκτυπος αυτών των επιθέσεων αυξάνονται, εμφανίζονται νέοι νομικοί κίνδυνοι, συμπεριλαμβανομένων αγωγών, μηνύσεων και μεγάλων προστίμων από τις ρυθμιστικές αρχές. Σύμφωνα με έρευνα της Forbes Insights / K & L Gates μάλιστα, οι τάσεις που παρουσιάζουν τις περισσότερες πιθανότητες νομικού κινδύνου συμπεριλαμβάνουν την επεξεργασία δεδομένων (69%), την κυβερνοασφάλεια (47%), τις αλλαγές στο ρυθμιστικό περιβάλλον (46%), την προστασία από απάτες (39%) και τον ψηφιακό μετασχηματισμό (39%). Αλλά το να βρεθείς μπροστά από τους χάκερς και να προηγηθείς, απαιτεί να γνωρίζεις πρώτα τους κινδύνους που παραμονεύουν εκτός του οργανισμού. Ακολουθούν οι τρεις μεγαλύτερες απειλές που αντιμετωπίζει ο κλάδος των χρηματοπιστωτικών υπηρεσιών: 1) Επιθέσεις σε web apps Τα χρηματοπιστωτικά ιδρύματα βασίζονται σε κρίσιμες για τις επιχειρήσεις εφαρμογές Ιστού (web apps) για την εξυπηρέτηση των πελατών, την προώθηση των υπηρεσιών τους και τη σύνδεση με back-end βάσεις δεδομένων. Ωστόσο, πολλές από αυτές τις εφαρμογές φιλοξενούνται στο διαδίκτυο, με αποτέλεσμα να καθίστανται εύκολοι στόχοι για τους χάκερς. Οι τύποι επιθέσεων εφαρμογών ιστού κυμαίνονται από την λεγόμενη «υπερχείλιση στοίβας» (buffer overflow) μέχρι τις επιθέσεις ένθεσης SQL, κατά τις οποίες ένας χάκερ εισάγει εντολές SQL σε ένα πεδίο εισαγωγής δεδομένων, εξαπατώντας το σύστημα για να αποκαλύψει εμπιστευτικά δεδομένα και διαπιστευτήρια. 2) Επιθέσεις DDoS Οι κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS) υπονομεύουν την απόδοση πόρων, όπως οι διακομιστές, προκαλώντας επιβράδυνση ή κατάρρευση ιστοσελίδων και εφαρμογών. Το αποτέλεσμα: θυμωμένοι πελάτες που δεν μπορούν να έχουν πρόσβαση σε κρίσιμες χρηματοπιστωτικές υπηρεσίες την ώρα που τις χρειάζονται περισσότερο. Για τις επιχειρήσεις παροχής χρηματοπιστωτικών υπηρεσιών, οι επιπτώσεις μπορεί να είναι ακόμη χειρότερες, συμπεριλαμβανομένων των διαταραγμένων επιχειρηματικών ροών, της υποκλοπής δεδομένων, της φθοράς της φήμης τους και της απώλειας εσόδων. 3) Απειλές από το εσωτερικό (insiders) Πέρα από τους χάκερ, οι υπάλληλοι και οι εργαζόμενοι συγκαταλέγονται στις κορυφαίες κυβερνοαπειλές για τα χρηματοπιστωτικά ιδρύματα. Πολλές φορές, ανυποψίαστοι εργαζόμενοι πέφτουν θύματα απάτης ηλεκτρονικού «ψαρέματος» ή κατεβάζουν εν αγνοία τους κακόβουλο λογισμικό (malware). Ωστόσο, υπάρχουν και δυσαρεστημένοι υπάλληλοι που ενδεχομένως να έχουν έρθει σε συνεννόηση με χάκερς, δίνοντας τους κωδικούς πρόσβασης τους ή αγνοώντας σκόπιμα το εταιρικό πρωτόκολλο κυβερνοασφάλειας. Πρακτικές ασφαλείας Ενόψει της αυξημένης έκθεσης σε τέτοιους κινδύνους, τα χρηματοπιστωτικά ιδρύματα πρέπει να λάβουν μέτρα για να εξασφαλίσουν τη μεγαλύτερη δυνατή ασφάλεια των δεδομένων τους και να ελαχιστοποιήσουν τη πιθανότητα να εκτεθούν νομικά. Για να γίνει αυτό, θα πρέπει να λάβετε υπόψη τα παρακάτω βήματα: ● Τη σχεδίαση εσωτερικών πολιτικών, διαδικασιών και συμβατικών διατάξεων (ρητρών) σχετικά με την ανακάλυψη, διερεύνηση, αποκατάσταση και αναφορά παραβιάσεων. ● Απόκτηση της σωστής ασφαλιστικής κάλυψης για διάφορους τύπους κυβερνοαπειλών και διερεύνηση της επάρκειας των υφιστάμενων ασφαλιστικών προγραμμάτων. ● Συνεργασία με μια τρίτη ομάδα κυβερνοασφάλειας που μπορεί να βοηθήσει στην διαχείριση της ασφάλειας στο διαδίκτυο και στην αποτροπή κυβερνοεπιθέσεων και παραβιάσεων δεδομένων. security 15
Page 1: www.itsecuritypro.gr 01/02.2019 •
Page 5 and 6: security 3
Page 9 and 10: ESET: Για την ασφάλει
Page 11 and 12: Μετατόπιση από την
Page 13 and 14: Νέα έκθεση επισημα
Page 15: έγινε γνωστό ότι γι
Page 19 and 20: σμένης πρόσβασης κ
Page 21 and 22: Αναζητούσαμε ένα σ
Page 23 and 24: Παναγιώτης Καλαντζ
Page 25 and 26: Στρατηγική αντιμετ
Page 29 and 30: Affordable Cutting Edge Γιώργ
Page 31 and 32: Αναλυτές κακόβουλο
Page 33 and 34: Αλεξία Χριστοφή Manag
Page 35 and 36: Ασφάλεια στην επαγ
Page 37 and 38: Γιώργος Δελαπόρτας

IT Professional Security - ΤΕΥΧΟΣ 58

Create successful ePaper yourself

Delete template?

Save as template?