IT Professional Security - ΤΕΥΧΟΣ 81
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
- No tags were found...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
www.itsecuritypro.gr 09/10.2023 • Τεύχος <strong>81</strong> • Τιμή 5€<br />
Ασφάλεια Επιχειρησιακών<br />
Τεχνολογιών (OT)<br />
● Οι Σκοτεινές Πλευρές<br />
της Τεχνητής Νοημοσύνης<br />
● Παραβίαση δεδομένων<br />
προσωπικού χαρακτήρα
25ο Συνέδριο<br />
14.12.23<br />
DIGINVEST IN GREECE:<br />
NEW HORIZONS<br />
www.infocomworld.gr<br />
DIVANI CARAVEL HOTEL<br />
ΧΡΟΝΙΑ<br />
ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ ΣΤΗΝ ΕΛΛΑΔΑ<br />
1993 - 2023
T<strong>81</strong>09/10.2023<br />
Editorial<br />
Από το Cyber<strong>Security</strong> ...στο Cyber<br />
Resilience!<br />
Στη σύγχρονη ψηφιακή εποχή, όπου οι προκλήσεις σχετικά<br />
με τις απειλές στον κυβερνοχώρο ενισχύονται ποσοτικά και<br />
εξελίσσονται ποιοτικά, οι όροι κυβερνοασφάλεια και κυβερνο-ανθεκτικότητα<br />
συγκλίνουν, αλληλοεπιδρούν και αποτελούν<br />
τους δυο βασικούς πυλώνες για την προστασία των<br />
οργανισμών.<br />
Η σύνδεση μεταξύ κυβερνοασφάλειας και κυβερνοανθεκτικότητας<br />
είναι σήμερα ιδιαίτερα στενή και αμοιβαία ενισχυτική.<br />
Για να διατηρηθεί η κυβερνοανθεκτικότητα ενός<br />
οργανισμού, η κυβερνοασφάλεια πρέπει να αποτελεί<br />
αναπόσπαστο τμήμα της στρατηγικής του. Η προστασία<br />
από κυβερνοεπιθέσεις προϋποθέτει την εφαρμογή ασφαλών<br />
πρακτικών και τεχνολογικών λύσεων που εξασφαλίζουν την<br />
ακεραιότητα και τη διαθεσιμότητα των δεδομένων.<br />
Ταυτόχρονα, οι οργανισμοί πρέπει να αναπτύσσουν σχέδια<br />
ανθεκτικότητας που να τους επιτρέπουν να αντιμετωπίσουν<br />
και να ανακάμψουν από επιθέσεις με όσο το δυνατόν λιγότερες<br />
ανεπιθύμητες συνέπειες. Αυτό περιλαμβάνει τη δημιουργία<br />
εφεδρικών συστημάτων, την εκπαίδευση του προσωπικού<br />
και την ανάπτυξη σχεδίων ανάκαμψης.<br />
Ο στόχος ενός προγράμματος ανθεκτικότητας στον κυβερνοχώρο<br />
είναι να διασφαλίσει την επιχειρηματική συνέχεια,<br />
παρά τις προκλήσεις ασφαλείας που εξελίσσονται<br />
συνεχώς. Μια καλή στρατηγική σε αυτόν τον τομέα μπορεί<br />
να συμβάλλει στη μείωση του αντίκτυπου μιας επίθεσης, διασφαλίζοντας<br />
τη συνεχή επιχειρηματική λειτουργία.<br />
Η ανθεκτικότητα στον κυβερνοχώρο συνδυάζει περισσότερες<br />
και διαφορετικές μεταξύ τους τεχνολογίες, μέτρα και<br />
πρακτικές που παρέχουν πολλαπλά επίπεδα προστασίας<br />
και αποκατάστασης από καταστροφές, όπου σε αυτά περιλαμβάνονται<br />
μέτρα φυσικής ασφάλειας. Ένας τρόπος για τη<br />
βελτιστοποίηση της ανθεκτικότητας στον κυβερνοχώρο είναι<br />
η ενθάρρυνση τακτικών αξιολογήσεων κυβερνοασφάλειας<br />
για τον εντοπισμό πιθανών τρωτών σημείων και αδυναμιών<br />
του οργανισμού. Αυτές οι αξιολογήσεις μπορούν να<br />
βοηθήσουν τις εταιρείες να εντοπίσουν τομείς στους οποίους<br />
πρέπει να ενισχύσουν την κυβερνοασφάλεια και την ανθεκτικότητά<br />
τους. Ένας άλλος τρόπος για τη βελτίωση της ανθεκτικότητας<br />
στον κυβερνοχώρο είναι η δημιουργία σχεδίων<br />
αντιμετώπισης περιστατικών και η διεξαγωγή τακτικών<br />
ασκήσεων για τη δοκιμή αυτών των σχεδίων. Τα σχέδια<br />
αντιμετώπισης συμβάντων θα πρέπει να επανεξετάζονται και<br />
να ενημερώνονται περιοδικά ενώ σε αντίθεση με την ασφάλεια<br />
στον κυβερνοχώρο, η οποία είναι κυρίως ευθύνη των<br />
ομάδων πληροφορικής, η ανθεκτικότητα στον κυβερνοχώρο<br />
περιλαμβάνει όλους στον οργανισμό.<br />
Σε αυτό το πλαίσιο, αξίζει επίσης να αναφερθούμε και στη<br />
νέα ευρωπαϊκή οδηγία CER που προσδιορίζει τους κανόνες<br />
για την ενίσχυση της ανθεκτικότητας υποδομών ζωτικής<br />
σημασίας αποτυπώνοντας σε μεγάλο βαθμό την κρισιμότητα<br />
αυτής της προσέγγισης.<br />
Βλάσης Αμανατίδης<br />
Εκδότης<br />
Κώστας Νόστης<br />
Αρχισυντάκτης<br />
Βλάσης Αμανατίδης<br />
v.amanatidis@smartpress.gr<br />
Διεύθυνση Επικοινωνίας<br />
& Marketing<br />
Ειρήνη Νόστη<br />
Yπεύθυνος Διαφήμισης<br />
Γιώργος Ιωσηφέλης<br />
Συνεργάτες<br />
Νότης Ηλιόπουλος<br />
Παναγιώτης Καλαντζής<br />
Αριστοτέλης Λυμπερόπουλος<br />
Δημήτρης Σκιάννης<br />
Χρήστος Κοτσακάς<br />
Υπεύθυνη Παραγωγής<br />
Ελένη Καπιτσάκη<br />
DTP<br />
Νίκος Χαλκιαδάκης<br />
Υπεύθυνος Ηλεκτρονικών Μέσων<br />
Δημήτρης Θωμαδάκης<br />
Υπεύθυνη Συνεδρίων<br />
Αγγελική Νόστη<br />
Φωτογραφίες<br />
GENESIS 360<br />
Γραμματεία Εμπορικού<br />
Έλλη Μαστρομανώλη<br />
Λογιστήριο<br />
Ανδρέας Λουλάκης<br />
Τμήμα συνδρομών<br />
support@securitymanager.gr<br />
Consulting by<br />
SPEG Co<br />
τηλ.: 210 5238777,<br />
www.speg.gr, info@speg.gr<br />
Ιδιοκτήτης<br />
Smart Press<br />
Μάγερ 11, 10438, Αθήνα<br />
Τηλ.: 210 5201500, 210 5230000,<br />
www.smartpress.gr<br />
www.itsecuritypro.gr<br />
www.securitymanager.gr<br />
email επικοινωνίας:<br />
info@securitymanager.gr<br />
support@securitymanager.gr<br />
ΚΩΔΙΚΟΣ 01-8267<br />
2 security
Cybersecurity<br />
Center<br />
<strong>Security</strong> is embedded in Space Hellas DNA<br />
n<br />
n<br />
n<br />
n<br />
Holistic Cybersecurity approach<br />
Managed & <strong>Professional</strong> Services<br />
Red & Blue Team approach<br />
35 years of excellence & know-how<br />
www.space.gr<br />
security<br />
3
T<strong>81</strong>09/10.2023<br />
Contents<br />
14<br />
32<br />
40<br />
45<br />
46<br />
48<br />
2 | editorial<br />
6 News<br />
Law Tech<br />
14 | Παραβίαση δεδομένων<br />
προσωπικού χαρακτήρα<br />
με βάση το GDPR<br />
Ποιες είναι οι βασικές υποχρεώσεις<br />
μετά το συμβάν;<br />
Cover issue<br />
18 | Ασφάλεια Επιχειρησιακών<br />
Τεχνολογιών (OT)<br />
Issue<br />
28 | NIS2 & Industry 4.0: Δύο<br />
αντίρροπες δυνάμεις για το OT<br />
<strong>Security</strong><br />
30 | Operational Technology <strong>Security</strong>:<br />
Διασφαλίζοντας τα βασικά αγαθά<br />
για την κοινωνία<br />
32 | Οι Σκοτεινές Πλευρές της<br />
Τεχνητής Νοημοσύνης και<br />
πώς αυτή επηρεάζει τις<br />
κυβερνοεπιθέσεις<br />
34 | Εξειδικευμένη OT ασφάλεια από<br />
την TXOne<br />
36 | Ασφάλεια περιβαλλόντων ΟΤ και<br />
η 4η βιομηχανική επανάσταση<br />
40 | R2D2 …safeguards the grid<br />
43 | Σύγκλιση δικτύων OT/<strong>IT</strong> και<br />
κυβερνοασφάλεια<br />
44 | 5 λόγοι γιατί το RMM της N-<br />
ABLE είναι η απόλυτη λύση<br />
διαχείρισης της πληροφορικής<br />
45 | Η επίδραση της λειτουργικής<br />
τεχνολογίας στην<br />
κυβερνοασφάλεια<br />
46 | Bitdefender: Μήνας Cyber<br />
<strong>Security</strong> Awareness<br />
Οδοιπορικό προς την ανθεκτικότητα<br />
της ασφάλειας<br />
48 | Οι κατασκευαστές λύσεων και πάροχοι<br />
υπηρεσιών κυβερνοασφάλειας<br />
μπροστά σε νέες προκλήσεις<br />
50 | Διακοπές, βιβλία και τεχνολογία<br />
Business <strong>IT</strong><br />
4 security
T<strong>81</strong>09/10.2023<br />
News<br />
Υπογράφηκε η συμφωνία χρηματοδότησης για το ενοποιημένο SOC<br />
από το Υπουργείο Ψηφιακής Διακυβέρνησης<br />
Τη συμφωνία Grant Agreement για το «Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας<br />
(SOC–<strong>Security</strong> Operations Center)» υπέγραψε ο Υπουργός Ψηφιακής Διακυβέρνησης<br />
Δημήτρης Παπαστεργίου.<br />
Ο Υπουργός Ψηφιακής Διακυβέρνησης Δημήτρης Παπαστεργίου<br />
υπέγραψε τη Συμφωνία Χρηματοδότησης (Grant<br />
Agreement) με το Ευρωπαϊκό Κέντρο Ικανοτήτων Κυβερνοασφάλειας<br />
(ECCC), από την οποία θα χρηματοδοτηθεί η ανάπτυξη<br />
και η λειτουργία του «Ενοποιημένου Κέντρου Αναφοράς<br />
Κυβερνοασφάλειας (SOC–<strong>Security</strong> Operations Center)».<br />
Το Grant Agreement υλοποιείται στο πλαίσιο του χρηματοδοτικού<br />
Προγράμματος «Ψηφιακή Ευρώπη» (DEP) και ο προϋπολογισμός<br />
του έργου ανέρχεται στα 9.7 εκατ. ευρώ, από τα<br />
οποία το 50% είναι Ευρωπαϊκή χρηματοδότηση και το 50% θα<br />
καλυφθεί από διαθέσιμους Εθνικούς πόρους.<br />
Η ανάπτυξη του «Ενοποιημένου Κέντρου Αναφοράς Κυβερνοασφάλειας»,<br />
θα υλοποιηθεί με τη σύμπραξη της Εθνικής<br />
Αρχής Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης<br />
και ενός συνόλου δυναμικών ελληνικών ερευνητικών<br />
και ιδιωτικών φορέων, οι οποίοι δραστηριοποιούνται<br />
στον τομέα αυτό.<br />
Το «Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας», θα<br />
προσφέρει στην Ελλάδα μία στρατηγικής σημασίας τεχνική<br />
υποδομή, καθώς και πολύτιμη τεχνογνωσία, για την πρόληψη<br />
και αντιμετώπιση κακόβουλων ενεργειών στον κυβερνοχώρο.<br />
Συγχρόνως θα παρέχει δωρεάν τις απαραίτητες υπηρεσίες για<br />
τη διασφάλιση των διασυνδεδεμένων ψηφιακών συστημάτων<br />
δημόσιων και ιδιωτικών φορέων.<br />
Με τον τρόπο αυτό η Ελλάδα, συμμετέχοντας παράλληλα<br />
σε κοινή ομάδα άλλων κρατών<br />
μελών της Ε.Ε. (Κύπρος, Μάλτα,<br />
Βουλγαρία) για την ανάπτυξη<br />
αντίστοιχης διασυνοριακής υποδομής,<br />
πρωτοστατεί στην υλοποίηση<br />
της «ευρωπαϊκής ασπίδας<br />
κυβερνοασφάλειας», και θωρακίζει<br />
τον ελληνικό κυβερνοχώρο<br />
και τις εθνικές κρίσιμες υποδομές<br />
από σύγχρονες απειλές.<br />
Το «Ενοποιημένο Κέντρο Αναφοράς<br />
Κυβερνοασφάλειας», μεταξύ<br />
άλλων:<br />
• Έχει ως στόχους την ανάπτυξη, την υποστήριξη και την<br />
ενδυνάμωση των ικανοτήτων σε εθνικό επίπεδο για<br />
την έγκαιρη ανίχνευση και αντιμετώπιση κυβερνοαπειλών<br />
σε όλη την Επικράτεια, ιδίως μέσω της ενίσχυσης<br />
των δυνατοτήτων έγκαιρης προειδοποίησης, ανίχνευσης<br />
και αντιμετώπισης κυβερνοεπιθέσεων, με τη χρήση<br />
σύγχρονων εργαλείων τεχνητής νοημοσύνης και μηχανικής<br />
μάθησης,<br />
• Ορίζεται ως το κεντρικό σημείο του «Εθνικού Δικτύου<br />
SOC», το οποίο αποτελείται από τα τομεακά SOC και<br />
υποστηρίζει τους οργανισμούς που μετέχουν σε αυτό<br />
στην αναγνώριση, διαχείριση, αντιμετώπιση και ανάκαμψη<br />
από κυβερνοεπιθέσεις<br />
• Μπορεί, ως μοναδικό κεντρικό σημείο αναφοράς των<br />
υφιστάμενων SOC σε εθνικό επίπεδο, να αποκτά εμπεριστατωμένη<br />
εικόνα για το συνολικό επίπεδο κυβερνοασφάλειας<br />
της χώρας.<br />
Ο Υπουργός Ψηφιακής Διακυβέρνησης Δημήτρης Παπαστεργίου<br />
δήλωσε: « Το Grant Agreement, θέτει τις βάσεις για<br />
την υλοποίηση ενός εμβληματικού έργου για την ενίσχυση της<br />
κυβερνοασφάλειας στη χώρα μας. Το «Ενοποιημένο SOC» θα<br />
συμβάλλει καθοριστικά στην ενδυνάμωση της ψηφιακής μετάβασης<br />
της Ελλάδας, στην ενίσχυση της κυβερνοανθεκτικότητας<br />
κρίσιμων δημόσιων και ιδιωτικών φορέων και βεβαίως στην<br />
ασφαλή καθημερινή χρήση του διαδικτύου από τους πολίτες».<br />
6 security
Business <strong>IT</strong> 7
T<strong>81</strong>09/10.2023<br />
News<br />
Καινοτόμα Προϊόντα Grandstream από την PartnerNET: Νέα<br />
Managed Network Switches GWN7806 και GWN7806P για<br />
Υψηλή Απόδοση και Ασφάλεια”<br />
Η Grandstream, μια κορυφαία εταιρεία παροχής λύσεων επικοινωνίας<br />
και δικτύωσης, συνεχίζει να ανανεώνει τη γκάμα<br />
των προϊόντων της με την προσθήκη δύο νέων Switches<br />
δικτύου Layer 2+ με 48 θύρες. Τα νέα αυτά Switches,<br />
GWN7806 και GWN7806P, είναι σχεδιασμένα για να προσφέρουν<br />
υψηλή απόδοση και ασφάλεια, ανταποκρινόμενοι στις<br />
ανάγκες των επιχειρήσεων των μεσαίων έως μεγάλων επιχειρήσεων.<br />
Τα GWN7806 και GWN7806P ανήκουν στην οικογένεια<br />
GWN7800 Layer 2+ Managed Network Switches της<br />
Grandstream. Με την προσθήκη αυτών των Switches, η σειρά<br />
GWN7800 πλέον περιλαμβάνει 8 διαφορετικά μοντέλα, καλύπτοντας<br />
μια ευρεία γκάμα απαιτήσεων. Αυτά τα μοντέλα παρέχουν<br />
επιλογές με 8, 16, 24 ή 48 θύρες Gigabit Ethernet και<br />
θύρες SFP 2, 4 ή 6 Gigabit για σύνδεση με άλλες συσκευές. Διαθέτουν<br />
προηγμένες δυνατότητες ασφαλείας, ελέγχου δικτύου<br />
και διαχείρισης, καθιστώντας τα ιδανικά για επαγγελματική<br />
ανάπτυξη υψηλής απόδοσης. Με ενσωματωμένη προστασία<br />
ασφαλείας, εξελιγμένη διαχείριση του δικτύου, υποστήριξη<br />
IPv6 και IPv4, καθώς και δυνατότητα στοίβαξης για διαχείριση<br />
πολλαπλών διακοπτών, οι GWN7806 και GWN7806P παρέχουν<br />
τα εργαλεία που χρειάζονται οι επιχειρήσεις για τη δημιουργία<br />
αξιόπιστων και ασφαλών δικτύων. Μερικά ακόμα χαρακτηριστικά<br />
των GWN7806 και GWN7806P είναι η υποστήριξη<br />
PoE (GWN7806P) με έως και 30W ανά θύρα, καθώς και έξυπνο<br />
έλεγχο ισχύος για δυναμική κατανομή αλλά και οι πολλαπλές<br />
επιλογές ασφαλείας, όπως επιθεώρηση ARP, προστασία<br />
πηγής IP, αντιμετώπιση επιθέσεων DoS και παρακολούθηση<br />
DHCP. Υποστηρίζουν επίσης διαφορετικές επιλογές διαχείρισης,<br />
συμπεριλαμβανομένου του τοπικού περιβάλλοντος του<br />
web user, του Command Line Interface (CLI), του GWN.Cloud<br />
και του GWN Manager. Είναι προφανές ότι τα Managed<br />
Network Switches GWN7806 και GWN7806P ανταποκρίνονται<br />
στις αναγκαίες απαιτήσεις για υψηλή απόδοση, ασφάλεια<br />
και διαχείριση, καθιστώντας τη Grandstream μια εξέχουσα<br />
επιλογή στον κόσμο των ενοποιημένων λύσεων επικοινωνίας<br />
και δικτύωσης. Τα προϊόντα της Grandstream αντιπροσωπεύονται<br />
στην Ελλάδα από την εταιρεία PartnerΝΕΤ στο επίσημο<br />
portal www.eshop.partnernet.gr, τηλ.: 2107100000, sales@<br />
partnernet-ict.com, www.partnernet-ict.com.<br />
Η Bitdefender διακρίθηκε από τον Gartner Peer Insights ως Customers’<br />
Choice για Πλατφόρμες Endpoint Protection Platforms EMEA<br />
Η Bitdefender, διακρίθηκε στο Customers’ Choice στην<br />
περιοχή EMEA 2023 από τον Gartner® Peer Insights Voice<br />
of the Customer για τις Πλατφόρμες Endpoint Protection<br />
(EPP). Επιπλέον, διακρίθηκε ως Strong Performer στο EPP<br />
για την Β.Αμερική, στο MidSize Enterprise, Κυβερνητικό &<br />
Δημόσιο τομέα, καθώς και στον χώρο της εκπαίδευσης. Το<br />
Gartner Peer Insights είναι μια διαδικτυακή πλατφόρμα αξιολογήσεων<br />
λογισμικού και υπηρεσιών πληροφορικής . Το Voice<br />
of the Customer συγκεντρώνει αξιολογήσεις από επαγγελματίες<br />
της πληροφορικής σε ένα συγκεκριμένο τμήμα της αγοράς<br />
που μπορεί να βοηθήσει στη λήψη αποφάσεων , καθώς<br />
βασίζεται σε διορατικά, αμερόληπτα και επικυρωμένα σχόλια<br />
πελατών από πραγματικές εγκαταστάσεις. Οι αξιολογήσεις του<br />
Gartner Peer Insights, βασίζονται στο προϊόν Bitdefender<br />
GravityZone Platform, μια ενοποιημένη πλατφόρμα ασφαλείας<br />
και ανάλυσης ρίσκου, που προσφέρει προηγμένο Endpoint<br />
Protection (EPP), Endpoint Detection and Response (EDR),<br />
Extended Detection and Response (XDR) και cloud κονσόλα<br />
για φυσικές και virtual μηχανές, καθώς και για and multicloud<br />
περιβάλλοντα.<br />
8 security
T<strong>81</strong>09/10.2023<br />
News<br />
Η Pylones Hellas παρουσίασαν τον νέο στρατηγικό της συνεργάτη<br />
την <strong>Security</strong>HQ<br />
Σε μία ξεχωριστή ημέρα αφιερωμένη στη νέα συνεργασία με<br />
την <strong>Security</strong> HQ, η Pylones Hellas, σύστησε το νέο στρατηγικό<br />
συνεργάτη της, με την συνοδεία μίας εξαιρετικής γευστικής<br />
εμπειρίας στο βραβευμένο εστιατόριο Aleria. Η συνολική<br />
εικόνα που διαμορφώθηκε από το κοινό, φαίνεται να προμηνύει<br />
μία εξαιρετική πορεία για τις νέες υπηρεσίες που θα<br />
προσφέρονται στην ελληνική αγορά της κυβερνοασφάλειας. Η<br />
Pylones συνειδητοποίησε πως η αγορά έχει σοβαρές ελλείψεις<br />
στα SOC Services όπως SLAs, SOC ομάδες με λίγους πιστοποιημένους<br />
Analysts, χωρίς global view ή υψηλά κόστη. Έτσι,<br />
αποφάσισε να συνεργαστεί με την <strong>Security</strong>HQ που ικανοποιεί<br />
αυτές τις ανάγκες στο έπακρο, με 6 data centers globaly, πάνω<br />
από 300 certified security analysts, παρέχοντας επιπλέον μια<br />
μοναδική μεθοδολογία, έναν σημαντικό αριθμό use cases. Η<br />
<strong>Security</strong>HQ κατέχει ηγετική θέση παγκοσμίως ως Managed<br />
<strong>Security</strong> Services Provider (MSSP) και έχει πελάτες μερι-<br />
κές από τις μεγαλύτερες εταιρείες τηλεπικοινωνιών, τραπεζών,<br />
αεροπορικών εταιρειών και δημόσιων οργανισμών σε όλο τον<br />
κόσμο. Με ομπρέλα την <strong>Security</strong>HQ, η Pylones αγκαλιάζει με<br />
τις νέες υπηρεσίες που ανοίγονται, τις υπάρχουσες υπηρεσίες<br />
που παρέχει, βάζοντας στην αγορά «Όχι Άλλο Ένα SOC Team» {<br />
Not JUST Another SOC Team } αλλά ολοκληρωμένες και αναβαθμισμένες<br />
SOC υπηρεσίες.<br />
Τιμητική διάκριση της Space Hellas στα “2023 W<strong>IT</strong>SA Global<br />
Innovation & Tech Excellence Awards”<br />
H Space Hellas βραβεύτηκε στα<br />
W<strong>IT</strong>SA 2023 ως Merit Winner στην<br />
κατηγορία «Sustainable Growth/<br />
Circular Economy Award, Private<br />
Sector/NGO», για το έργο “Εγκατάσταση<br />
Μετεωρολογικών Σταθμών &<br />
Ανάπτυξη Υποδομής Διαδικτυακής<br />
Πύλης της Εθνικής Μετεωρολογικής<br />
Υπηρεσίας”, στο πλαίσιο του Παγκόσμιου<br />
Συνεδρίου Πληροφορικής<br />
“WC<strong>IT</strong> 2023” στο Κούτσινγκ της Μαλαισίας, την Πέμπτη 5 Οκτωβρίου.<br />
Το έργο αφορά την αναβάθμιση του Δικτύου Μετεωρολογικών<br />
Σταθμών της Εθνικής Μετεωρολογικής Υπηρεσίας με<br />
την προμήθεια, εγκατάσταση και λειτουργία συνολικά εκατόν<br />
τριών συστημάτων πέντε διαφορετικών τύπων, την αναβάθμιση<br />
του κεντρικού μηχανογραφικού και τηλεπικοινωνιακού συστήματος,<br />
καθώς και την υποδομή υλικού και λογισμικού για την<br />
παραγωγή και διανομή μέσω Διαδικτύου (Portal) δεδομένων<br />
από επιφανειακούς σταθμούς, μετεωρολογικών προβλέψεων,<br />
κλιματικών προϊόντων κ.λπ. σε κάθε ενδιαφερόμενο για την κάλυψη<br />
των αναγκών της ΕΜΥ. Στόχος του έργου είναι η παροχή<br />
ολοκληρωμένων, μετεωρολογικών πληροφοριών<br />
σε κρίσιμους παραγωγικούς<br />
και αναπτυξιακούς τομείς, σε δημόσιους<br />
φορείς, σε εκπαιδευτικά και ερευνητικά<br />
ιδρύματα, καθώς και στον απλό πολίτη, με<br />
φιλικό τρόπο μέσω του διαδικτύου ή άλλων<br />
σύγχρονων πηγών πληροφόρησης.<br />
Ο Διευθύνων Σύμβουλος της Space<br />
Hellas, Δρ. Ιωάννης Μερτζάνης, δήλωσε:<br />
«Είμαστε χαρούμενοι που για μια<br />
ακόμη φορά η εταιρεία μας διακρίθηκε από τον Παγκόσμιο<br />
Σύνδεσμο Καινοτομίας και Υπηρεσιών Τεχνολογίας. Η διάκρισή<br />
μας ως Merit Winner των 2023 W<strong>IT</strong>SA Global Innovation &<br />
Tech Excellence Awards, στην κατηγορία «Sustainable Growth/<br />
Circular Economy (Private Sector/NGO)», μας τιμά ιδιαίτερα. Το<br />
έργο αναβάθμισης του δικτύου των μετεωρολογικών σταθμών<br />
της Εθνικής Μετεωρολογικής Υπηρεσίας για το οποίο διακριθήκαμε<br />
είναι πολύ σημαντικό, λόγω και της κλιματικής αλλαγής.<br />
Τα οφέλη του έργου πολλαπλά, καθώς από τη μετεωρολογική<br />
πληροφορία επηρεάζονται τόσο οι κρατικές υπηρεσίες, όσο και<br />
οι φορείς που σχετίζονται με την Πολιτική Προστασία.»<br />
10 security
T<strong>81</strong>09/10.2023<br />
News<br />
Ολοκληρώθηκε η 1η ημερίδα της πρωτοβουλίας “Cybersecurity for<br />
Society” από το Ελληνικό Ινστιτούτο Κυβερνοασφάλειας<br />
Το νεοσύστατο Ελληνικό Ινστιτούτο Κυβερνοασφάλειας<br />
διοργάνωσε την πρώτη ενημερωτική ημερίδα της πρωτοβουλίας<br />
“Cybersecurity for Society“, η οποία είχε θεματικό<br />
τίτλο “Ενίσχυση των δεξιοτήτων και ικανοτήτων<br />
κυβερνοασφάλειας, για την κοινωνία”. Η ημερίδα που<br />
ήταν ανοιχτή και ελεύθερη για το κοινό, διεξήχθη την Τετάρτη<br />
4 Οκτωβρίου 2023, στο αμφιθέατρο του Ιδρύματος Βασίλη<br />
και Ελίζας Γουλανδρή. Πρόκειται για την πρώτη από μια σειρά<br />
αντίστοιχων εκδηλώσεων, που διοργανώνονται με σκοπό,<br />
τόσο να ενισχυθεί η ανταπόκριση της ελληνικής κοινωνίας σε<br />
ζητήματα κυβερνοασφάλειας, όσο και να επιτευχθεί καλύτερος<br />
συντονισμός των εμπλεκομένων μερών, που αποβλέπουν<br />
στη δημιουργία ενός ασφαλούς ψηφιακού κόσμου που<br />
θα επιτρέπει σε όλους να αξιοποιήσουν χωρίς κινδύνους τα<br />
οφέλη που προσφέρουν οι ψηφιακές τεχνολογίες. Η κα Στέλλα<br />
Τσιτσούλα, πρόεδρος του Ελληνικού Ινστιτούτου Κυβερνοασφάλειας,<br />
άνοιξε την εκδήλωση αναλύοντας την τρέχουσα<br />
κατάσταση όσων αφορά στις δεξιότητες στον τομέα της<br />
κυβερνοασφάλειας, ενώ ο Δρ. Δημοσθένης Οικονόμου,<br />
επικεφαλής του Capacity Building Unit, ENISA, παρουσίασε<br />
λεπτομέρειες για το Ευρωπαϊκό Πλαίσιο Δεξιοτήτων Κυβερνοασφάλειας<br />
του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας<br />
(ENISA). Αντίστοιχα ο εκπρόσωπος της Εθνικής Αρχής<br />
Κυβερνοασφάλειας, κος Ιωάννης Πανολίας, αναφέρθηκε<br />
στην Ακαδημία Ψηφιακών Δεξιοτήτων.<br />
Βασικοί παράγοντες για το παρόν και το μέλλον της<br />
κυβερνοασφάλειας στις επιχειρήσεις<br />
Με αφορμή τον μήνα κυβερνοασφάλειας. η Watchguard αποτυπώνει<br />
εργαλεία και ενέργειες που μπορείτε να υιοθετήσετε<br />
για να κάνετε τα επιχειρηματικά συστήματα πιο ασφαλή:<br />
• Ασφαλείς κωδικοί πρόσβασης και διαχειριστής κωδικών<br />
πρόσβασης: η βάση ενός καλού πρωτοκόλλου ασφάλειας<br />
στον κυβερνοχώρο είναι η χρήση ενός ισχυρού, μοναδικού<br />
και τελικά ασφαλή κωδικού πρόσβασης. Αυτός είναι<br />
ένας από τους απλούστερους, αλλά σημαντικότερους τρόπους<br />
για να διασφαλιστεί ότι τα συστήματα κυβερνοχώρου<br />
των επιχειρήσεων και των χρηστών παραμένουν ασφαλή.<br />
Πιο εξελιγμένες λύσεις έχουν επίσης αναπτυχθεί τα τελευταία<br />
χρόνια για τη βελτίωση της διαχείρισης κωδικών πρόσβασης,<br />
όπως οι διαχειριστές στοιχείων σύνδεσης.<br />
• Έλεγχος ταυτότητας πολλών παραγόντων (MFA): αυτό<br />
το μέτρο απαιτεί από τους χρήστες να συνδεθούν επαληθεύοντας<br />
την ταυτότητά τους με διάφορους τρόπους, αποτρέποντας<br />
την σύνδεση από μη εξουσιοδοτημένο εκπρόσωπο.<br />
• Αναγνώριση και αναφορά περιπτώσεων ηλεκτρονικού<br />
ψαρέματος (phishing): Το ηλεκτρονικό ψάρεμα<br />
(phishing) είναι μία από τις πιο κοινές μορφές επίθεσης που<br />
στοχεύει ιδιαίτερα τις τερματικές συσκευές. Αυτή η απειλή<br />
εμφανίζεται κατά την αποστολή μηνυμάτων ηλεκτρονικού<br />
ταχυδρομείου που πλαστοπροσωπούν την ταυτότητα των<br />
οργανισμών ενδιαφέροντος με στόχο την απόκτηση προσωπικών<br />
και τραπεζικών δεδομένων από τον χρήστη. Η ενημέρωση<br />
και η εξοικείωση του φαινομένου είναι το κλειδί για να<br />
μάθουν οι υπάλληλοι πώς να εντοπίζουν δόλιες διευθύνσεις<br />
και να αποφεύγουν να πέφτουν θύματα ηλεκτρονικού ψαρέματος.<br />
Η πραγματοποίηση εκπαιδευτικών μαθημάτων κατά<br />
του phishing μπορεί επίσης να αποτελέσει ένα ανταγωνιστικό<br />
πλεονέκτημα για τους MSPs που περιλαμβάνουν αυτήν<br />
την υπηρεσία.<br />
• Ενημερωμένο λογισμικό: Ορισμένα κενά στα πρωτόκολλα<br />
ασφάλειας του κυβερνοχώρου μπορούν να περιοριστούν<br />
με ενημερώσεις, οι οποίες θα βοηθήσουν το σύστημα<br />
να αμυνθεί αυτοτελώς στο μέλλον. Αυτό σημαίνει ότι τόσο οι<br />
MSPs όσο και οι επιχειρήσεις πρέπει να επικαιροποιούν όλες<br />
τις τρέχουσες ενημερώσεις των λογισμικών και τις βελτιστοποιήσεις<br />
του κώδικα για να καλύψουν τις αδυναμίες του συστήματος<br />
και λειτουργίες του.<br />
12 security
Integrated security for Integrated Unified <strong>Security</strong> security for for Integrated RECONNECTING RECONNECTED Unified <strong>Security</strong> world for Unified <strong>Security</strong> security<br />
RECONNECTED world World for for aa<br />
RECONNECTING RECONNECTED world World<br />
RECONNECTING World<br />
NETWORK SECUR<strong>IT</strong>Y<br />
MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />
NETWORK SECUR<strong>IT</strong>Y<br />
NETWORK SECUR<strong>IT</strong>Y<br />
MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />
MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />
Unified <strong>Security</strong> Platform TM<br />
Unified <strong>Security</strong> Platform TM<br />
Unified <strong>Security</strong> Platform TM<br />
CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />
CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />
CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />
Smart <strong>Security</strong>, Simply Done.<br />
Smart <strong>Security</strong>, Simply Done.<br />
Smart <strong>Security</strong>, Simply Done.<br />
Distributor<br />
Digital SIMA SA<br />
Distributor<br />
sales@digitalsima.gr<br />
Digital<br />
Distributor<br />
SIMA SA
T<strong>81</strong>09/10.2023<br />
Law Tech<br />
Παραβίαση δεδομένων<br />
προσωπικού χαρακτήρα με βάση<br />
το GDPR<br />
Ποιες είναι οι βασικές υποχρεώσεις μετά το συμβάν;<br />
παραβίαση δεδομένων προσωπικού χαρακτήρα,<br />
αποτελεί όπως έχουμε αναφέρει και<br />
Η<br />
σε παλαιότερο άρθρο μας μια από τις σημαντικότερες<br />
προκλήσεις που καλείται να αντιμετωπίσει<br />
μια επιχείρηση, ανεξαρτήτως αντικειμένου<br />
- δηλαδή χωρίς να απαιτείται να δραστηριοποιείται<br />
σε αντικείμενο σχετικό με την τεχνολογία. Πέρα από δοκιμασία<br />
των υφιστάμενων συστημάτων, η παραβίαση προσωπικών<br />
δεδομένων συνιστά ταυτόχρονα μια δοκιμασία αντανακλαστικών<br />
και ετοιμότητας μια επιχείρησης που θα κληθεί<br />
να διερευνήσει ένα απρόβλεπτο συμβάν, να περιορίσει τυχόν<br />
κινδύνους και εν γένει να διαχειριστεί μια απαιτητική κατάσταση<br />
που απαιτεί τη συνεργασία διαφορετικών τμημάτων της σε<br />
εξαιρετικά σύντομο χρονικό διάστημα. Όπως έχουμε αναφέρει<br />
στο προηγούμενο άρθρο μας, είναι αναγκαίο οι επιχειρήσεις<br />
να διαθέτουν εσωτερικές διαδικασίες που θα<br />
καθιστούν δυνατή την ανίχνευση του περιστατικού, την<br />
αξιολόγηση του κινδύνου για τα άτομα και θα καθορίζουν την<br />
αναγκαιότητα γνωστοποίησης της παραβίασης των προσωπικών<br />
δεδομένων στην εποπτική αρχή και την ανακοίνωση της<br />
παραβίασης των προσωπικών δεδομένων στα υποκείμενα<br />
των δεδομένων. Η περίπτωση της παραβίασης δεδομένων<br />
απαιτεί άμεση αξιολόγηση από πλευράς της επιχείρησης τόσο<br />
του κατά πόσο έλαβε όντως χώρα παραβίαση προσωπικών<br />
δεδομένων όσο και του κινδύνου (πιθανότητα μη κινδύνου,<br />
κίνδυνος ή υψηλός κίνδυνος) στα υποκείμενα των δεδομένων.<br />
Σε κάθε περίπτωση είναι αναγκαία η λήψη μέτρων για<br />
τον περιορισμό και την αποκατάσταση της παραβίασης και η<br />
εσωτερική καταγραφή/τεκμηρίωση της παραβίασης.<br />
Γνωστοποίηση της παραβίασης στην εποπτική αρχή<br />
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα,<br />
η επιχείρηση που φέρει τον ρόλο του Υπευθύνου<br />
Επεξεργασίας 1 έχει την υποχρέωση να γνωστοποιεί στην<br />
1 Υπεύθυνος Επεξεργασίας είναι σύμφωνα με το άρθρο 4 παρ. 7 του ΓΚΠΔ το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που,<br />
μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·<br />
14 security
Γράφει η Αναστασία Φύλλα<br />
Δικηγόρος LLM Information Technology and Communications Law,<br />
LLM Information Technology and Communications Law<br />
αρμόδια εποπτική αρχή το συντομότερο και αν είναι δυνατόν<br />
εντός 72 ωρών από τότε που απόκτησε γνώση του γεγονότος,<br />
την παραβίαση των προσωπικών δεδομένων εκτός αν<br />
η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα<br />
και τις ελευθερίες των φυσικών προσώπων. Ιδιαίτερα<br />
σημαντικό είναι το γεγονός ότι όταν η γνωστοποίηση<br />
δεν πραγματοποιείται εντός 72 ωρών, πρέπει να συνοδεύεται<br />
από αιτιολόγηση για την καθυστέρηση 2 . Στις περιπτώσεις<br />
που αρμόδια εποπτική αρχή για την γνωστοποίηση είναι η ελληνική<br />
αρχή προστασίας δεδομένων προσωπικού χαρακτήρα,<br />
η γνωστοποίηση γίνεται μέσω της συμπλήρωσης ειδικής<br />
φόρμας που βρίσκεται στην ιστοσελίδα της και ηλεκτρονικής<br />
υποβολής της μέσω της διαδικτυακής πύλης της. Η αρμόδια<br />
αρχή μπορεί να ζητήσει περισσότερες λεπτομέρειες ως μέρος<br />
της έρευνας που διεξάγει σε σχέση με κάποια παραβίαση.<br />
Ανακοίνωση της παραβίασης στο υποκείμενο<br />
των δεδομένων<br />
Όταν η παραβίαση των προσωπικών δεδομένων ενδέχεται<br />
να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες<br />
των φυσικών προσώπων, η επιχείρηση που ενεργεί ως<br />
υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώσει το συντομότερο<br />
δυνατόν την παραβίαση στα υποκείμενα των δεδομένων<br />
3 . Το ελάχιστο περιεχόμενο αυτής της ανακοίνωσης<br />
ορίζεται στον ΓΚΠΔ, όπως και οι εξαιρετικές περιπτώσεις<br />
στις οποίες η ανακοίνωση στα υποκείμενα δεν απαιτείται 4 .<br />
Το όριο κινδύνου το οποίο εξάγεται ως αποτέλεσμα της αξιολόγησης<br />
που διενεργεί η επιχείρηση και το οποίο καθιστά<br />
την ενημέρωση υποχρεωτική στα υποκείμενα είναι υψηλότερο<br />
από αυτό που καθιστά αναγκαία τη γνωστοποίηση στην<br />
εποπτική αρχή 5 . Η ενημέρωση θα πρέπει να γίνεται απευθείας<br />
στα επηρεαζόμενα υποκείμενα και για λόγους διαφάνειας<br />
τα μηνύματα που περιλαμβάνουν τέτοια ενημέρωση δεν θα<br />
πρέπει να αποστέλλονται μαζί με άλλες πληροφορίες όπως<br />
επικαιροποιήσεις και newsletter 6 .<br />
Αξιολόγηση του κινδύνου και του υψηλού κινδύνου<br />
Ένας από τους λόγους που καθιστούν την παραβίαση προσωπικών<br />
δεδομένων μια ιδιαίτερα απαιτητική για την επιχείρηση<br />
κατάσταση, είναι πέρα από την αμεσότητα των ενεργειών και η<br />
κρισιμότητα μιας σειράς σοβαρών αξιολογήσεων στις οποίες<br />
πρέπει να προβεί άμεσα και με ακρίβεια αμέσως μόλις λάβει<br />
γνώση του γεγονότος. Συγκεκριμένα, αμέσως μετά την επέλευση<br />
του περιστατικού, πέρα από την λήψη μέτρων για τον<br />
περιορισμό του, η επιχείρηση θα πρέπει να αξιολογήσει τον<br />
κίνδυνο που πηγάζει από αυτό λαμβάνοντας υπόψη μια σειρά<br />
από παράγοντες. Ο κίνδυνος αυτός υφίσταται όταν η παραβίαση<br />
ενδέχεται να οδηγήσει σε σωματική, υλική ή ηθική βλάβη<br />
για τα πρόσωπα τα δεδομένα των οποίων έχουν παραβιαστεί 7 .<br />
Κατά την αξιολόγηση του κινδύνου θα πρέπει να λαμβάνονται<br />
υπόψη η πιθανότητα και η σοβαρότητα του κινδύνου. Τα ειδικότερα<br />
κριτήρια που συνιστάται να λαμβάνονται υπόψη ορίζονται<br />
στις σχετικές οδηγίες του EDPB 8 .<br />
Λογοδοσία και τεκμηρίωση<br />
Όπως προαναφέραμε, η αξιολόγηση του κινδύνου συνεπάγεται<br />
μεταξύ άλλων τη γνωστοποίηση ή μη της παραβίασης<br />
στην εποπτική αρχή και την ανακοίνωσή της στα υποκείμενα<br />
των δεδομένων. Ανεξαρτήτως όμως των ανωτέρω, σε κάθε<br />
περίπτωση η επιχείρηση θα πρέπει να τηρεί αρχεία τεκμηρίωσης<br />
όλων των παραβιάσεων, όπως προκύπτει και από το<br />
άρθρο 33 παρ. 5 του ΓΚΠΔ. Το ελάχιστα στοιχεία που πρέπει<br />
αυτά να περιλαμβάνουν ορίζονται και πάλι από τον Κανονισμό<br />
και η επιχείρηση θα πρέπει να γνωρίζει ότι η εποπτική<br />
αρχή μπορεί να αποστήσει πρόσβαση στα αρχεία αυτά.<br />
Συνολικά λοιπόν μετά την συνοπτική περιγραφή κάποιων από<br />
τις βασικές υποχρεώσεις της επιχείρησης επισημαίνεται ότι σε<br />
περίπτωση που λάβει χώρα ένα περιστατικό παραβίασης προσωπικών<br />
δεδομένων, είναι ιδιαίτερα σημαντικό να γνωρίζει<br />
κανείς ότι κάθε περίπτωση είναι ξεχωριστή και ως τέτοια<br />
πρέπει να αντιμετωπίζεται, αξιολογώντας εξατομικευμένα<br />
κάθε φορά τις ειδικότερες περιστάσεις που την περιβάλλουν.<br />
Κοινός τόπος όμως σε όλες τις περιπτώσεις είναι ότι οι επιχειρήσεις<br />
θα πρέπει να έχουν θέσει σε ισχύ τις αναγκαίες διαδικασίες<br />
οι οποίες σε μια τέτοια απρόβλεπτη κατάσταση θα<br />
μπορούν να εφαρμοστούν κατευθείαν και χωρίς χρονοτριβή,<br />
με την συνδρομή των κατάλληλων και ενημερωμένων υπαλλήλων<br />
και του εκάστοτε εξειδικευμένου νομικού συμβούλου.<br />
Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα δε συνιστούν<br />
εξειδικευμένη ή εξατομικευμένη νομική συμβουλή.<br />
2 Άρθρο 33 ΓΚΠΔ<br />
3 Άρθρο 34 παρ. 1 ΓΚΠΔ<br />
4 Άρθρο 34 παρ.2 και 3 του ΓΚΠΔ<br />
5 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 82<br />
6 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 88, 89.<br />
7 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 102.<br />
8 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 105.<br />
security<br />
15
T<strong>81</strong>09/10.2023<br />
Cover Issue<br />
Ασφάλεια Επιχειρησιακών<br />
Τεχνολογιών (OT)<br />
Οι Επιχειρησιακές Τεχνολογίες (OT), όταν αναφέρονται στο πλαίσιο της τεχνολογίας και των<br />
επιχειρησιακών διεργασιών, περιλαμβάνουν το υλικό (hardware) και λογισμικό Software που<br />
ανιχνεύει ή προκαλεί μια αλλαγή μέσω της άμεσης παρακολούθησης ή/και ελέγχου φυσικών<br />
συσκευών, διαδικασιών και συμβάντων στο περιβάλλον του οργανισμού.<br />
Εισαγωγή<br />
Ένα χαρακτηριστικό παράδειγμα Επιχειρησιακής Τεχνολογίας<br />
(ΟΤ) είναι τα γνωστά σε όλους μας Συστήματα Βιομηχανικού<br />
Ελέγχου (Industrial Control Systems - ICS), όπως<br />
ένα σύστημα SCADA. Έχοντας ως κέντρο αναφοράς τις Υποδομές<br />
Ζωτικής Σημασίας (Κρίσιμες Υποδομές), οι Επιχειρησιακές<br />
Τεχνολογίες μπορούν να χρησιμοποιηθούν για τον<br />
έλεγχο των σταθμών παραγωγής ενέργειας ή των μέσων<br />
μαζικής μεταφοράς. Ο κύριος στόχος κάθε περιβάλλοντος<br />
Επιχειρησιακής Τεχνολογίας (ΟΤ) αποτελεί η διαχείριση και<br />
ο έλεγχος των φυσικών συσκευών που συνήθως εμπλέκονται<br />
στην παραγωγή ή την παράδοση αγαθών και υπηρεσιών.<br />
Παραδείγματα συστημάτων Επιχειρησιακής Τεχνολογίας<br />
(ΟΤ) περιλαμβάνουν, εκτός των συστημάτων Βιομηχανικού<br />
Ελέγχου (ICS) που προαναφέρθηκαν, αισθητήρες, ρομποτική<br />
και άλλα που χρησιμοποιούνται σε βιομηχανίες υποδομών<br />
ζωτικής σημασίας. Η κύρια ευθύνη των συστημάτων<br />
Επιχειρησιακής Τεχνολογίας (ΟΤ) είναι να διαχειρίζονται τον<br />
έλεγχο και την αυτοματοποίηση των φυσικών διαδικασιών<br />
και των συσκευών που είναι κρίσιμες για τις επιχειρηματικές<br />
λειτουργίες. Σε αντιπαραβολή, ο κύριος στόχος κάθε περιβάλλοντος<br />
Τεχνολογιών Πληροφορικής (<strong>IT</strong>) είναι η διαχείριση<br />
και η επεξεργασία δεδομένων και πληροφοριών και των διαφόρων<br />
συστημάτων μέσω των οποίων ρέει. Παραδείγμα-<br />
16 security
Παναγιώτης Καλαντζής<br />
Cyber <strong>Security</strong> & Data Privacy Expert<br />
τα συστημάτων πληροφορικής περιλαμβάνουν διακομιστές,<br />
υπολογιστές, εφαρμογές λογισμικού, βάσεις δεδομένων<br />
και άλλους πόρους που χρησιμοποιούνται για επικοινωνία,<br />
αποθήκευση δεδομένων και πληροφοριών ή/και ανάλυση.<br />
Η κύρια ευθύνη τους είναι η διαχείριση των δεδομένων και<br />
των πληροφοριών που χρησιμοποιούνται για την υποστήριξη<br />
των επιχειρηματικών λειτουργιών. Ιστορικά, τα περιβάλλοντα<br />
Τεχνολογιών Πληροφορικής (<strong>IT</strong>) και Επιχειρησιακών Τεχνολογιών<br />
(OT) σχεδιάστηκαν για να λειτουργούν ανεξάρτητα,<br />
να διαχειρίζονται χωριστά από διαφορετικές ομάδες με<br />
διαφορετικούς στόχους και να μην έχουν καμία απολύτως<br />
συνδεσιμότητα μεταξύ τους. Αυτές οι συνθήκες, ωστόσο,<br />
έχουν αλλάξει δραματικά την τελευταία δεκαετία — σε<br />
μεγάλο βαθμό λόγω της επιτάχυνσης του ψηφιακού μετασχηματισμού.<br />
Καθώς οι Επιχειρησιακές Τεχνολογίες (OT) διασυνδέονται<br />
σε διαρκώς μεγαλύτερο βαθμό, γίνονται<br />
επίσης περισσότερο εκτεθειμένες σε τρωτά σημεία. Το<br />
υψηλό κόστος του βιομηχανικού εξοπλισμού και η καταστροφή<br />
για τις κοινότητες και τις οικονομίες που θα μπορούσε να<br />
προκαλέσει μια επίθεση είναι βασικοί παράγοντες για τους<br />
οργανισμούς που θέλουν να προστατεύσουν τα βιομηχανικά<br />
τους δίκτυα. Αν συνυπολογίσουμε ότι ο εξοπλισμός είναι ως<br />
επί το πλείστο παλαιού τύπου, καθώς και κανονισμούς ασφαλείας<br />
που ενδέχεται να απαγορεύουν οποιεσδήποτε τροποποιήσεις<br />
στον εξοπλισμό και κανονισμούς συμμόρφωσης<br />
που απαιτούν τη διάθεση ευαίσθητων δεδομένων σε τρίτους,<br />
οι απαιτήσεις ασφάλειας αυξάνονται περαιτέρω. Επιπροσθέτως,<br />
η διεύρυνση της χρήσης Επιχειρησιακών Τεχνολογιών<br />
(OT) που βρίσκουν εφαρμογές και εκτός της βιομηχανίας και<br />
των κρίσιμων υποδομών – χαρακτηριστικό παράδειγμα οι<br />
«έξυπνες» οικιακές συσκευές, τα «έξυπνα» δίκτυα και οι φορετές<br />
(wearable) συσκευές – και γίνεται πανταχού παρούσα,<br />
καταστεί την ανάγκη για ασφάλεια Επιχειρησιακών Τεχνολογιών<br />
(OT) αυξανόμενη εκθετικά.<br />
Κλασσικές προκλήσεις Ασφάλειας<br />
Πληροφοριών για τις Επιχειρησιακές<br />
Τεχνολογίες (OT)<br />
Λαμβάνοντας υπόψη την φύση των Επιχειρησιακών Τεχνολογιών<br />
(OT), μπορούμε να αναλύσουμε το μοναδικό σύνολο<br />
προκλήσεων ασφαλείας καθώς και τις απειλές που αυτές<br />
αντιμετωπίζουν, εκτός των άλλων και λόγο του ρόλου τους<br />
στον έλεγχο και την παρακολούθηση κρίσιμων υποδομών<br />
και βιομηχανικών διαδικασιών. Αυτές οι προκλήσεις, συνοπτικά,<br />
περιλαμβάνουν:<br />
1. Συστήματα παλαιού τύπου: Πολλά συστήματα Επιχειρησιακών<br />
Τεχνολογιών (OT) βασίζονται σε εξοπλισμό και λογι-<br />
σμικό παλαιού τύπου που δεν έχουν σχεδιαστεί με γνώμονα<br />
την ασφάλεια. Αυτά τα παλαιότερα συστήματα ενδέχεται να<br />
μην διαθέτουν τα απαραίτητα χαρακτηριστικά ασφαλείας και<br />
ενημερώσεις, γεγονός που τα καθιστά ευάλωτα σε κυβερνοεπιθέσεις.<br />
2. Έλλειψη διαχείρισης ενημερώσεων κώδικα: Τα<br />
συστήματα Επιχειρησιακών Τεχνολογιών (OT) συχνά δεν<br />
μπορούν να αποσυνδεθούν για ανανέωση εκδόσεων και<br />
ενημερώσεις κώδικα τόσο εύκολα όσο τα συστήματα πληροφορικής.<br />
Αυτό μπορεί να οδηγήσει σε καθυστερήσεις στην<br />
εφαρμογή ενημερώσεων ασφαλείας, αφήνοντας τα συστήματα<br />
εκτεθειμένα σε γνωστά τρωτά σημεία.<br />
3. Περιορισμένος έλεγχος ταυτότητας: Σε ορισμένες περιπτώσεις,<br />
τα συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />
έχουν αδύναμους ή καθόλου μηχανισμούς ελέγχου ταυτότητας,<br />
γεγονός που διευκολύνει τα μη εξουσιοδοτημένα άτομα<br />
να αποκτήσουν πρόσβαση σε υποδομές ζωτικής σημασίας.<br />
4. Φυσική πρόσβαση: Σε αντίθεση με τα συστήματα πληροφορικής,<br />
τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) είναι<br />
συχνά φυσικά προσβάσιμα σε υπαλλήλους και υπεργολάβους.<br />
Αυτό μπορεί να οδηγήσει σε εσωτερικές απειλές και μη<br />
εξουσιοδοτημένη φυσική πρόσβαση σε κρίσιμο εξοπλισμό.<br />
5. Ευπάθειες Zero-day: Τα συστήματα Επιχειρησιακών<br />
Τεχνολογιών (OT) ενδέχεται να χρησιμοποιούν ιδιόκτητο ή<br />
προσαρμοσμένο λογισμικό, καθιστώντας τα ευαίσθητα σε<br />
ευπάθειες μηδενικής ημέρας που δεν είναι δημόσια γνωστά<br />
ή διορθωμένα.<br />
6. Κακόβουλο λογισμικό και Ransomware: Το κακόβουλο<br />
λογισμικό, συμπεριλαμβανομένου του ransomware,<br />
μπορεί να διαταράξει τις λειτουργίες Επιχειρησιακών Τεχνολογιών<br />
(OT) κρυπτογραφώντας δεδομένα ή αναλαμβάνοντας<br />
τον έλεγχο κρίσιμων συστημάτων. Οι επιπτώσεις τέτοιων<br />
επιθέσεων μπορεί να είναι σοβαρές.<br />
7. Κίνδυνοι εφοδιαστικής αλυσίδας: Τα συστήματα Επιχειρησιακών<br />
Τεχνολογιών (OT) βασίζονται σε μια πολύπλοκη<br />
αλυσίδα εφοδιασμού εξοπλισμού και λογισμικού. Τα παραβιασμένα<br />
εξαρτήματα ή λογισμικό που εισάγονται σε οποιοδήποτε<br />
σημείο αυτής της αλυσίδας εφοδιασμού μπορεί να<br />
εγκυμονούν σημαντικούς κινδύνους.<br />
8. Έλλειψη ευαισθητοποίησης για την ασφάλεια: Πολλοί<br />
επαγγελματίες Επιχειρησιακών Τεχνολογιών (OT) έχουν<br />
επικεντρωθεί ιστορικά περισσότερο στην ασφάλεια και την<br />
αξιοπιστία του υλικού παρά στην ασφάλεια στον κυβερνοχώρο.<br />
Αυτή η έλλειψη ενημέρωσης μπορεί να οδηγήσει σε<br />
παραλείψεις ασφαλείας.<br />
9. Επιθέσεις έθνους-κράτους: Οι φορείς που χρηματοδοτούνται<br />
από το κράτος και οι επιθέσεις μέσω μηχανσισμών<br />
security<br />
17
T<strong>81</strong>09/10.2023<br />
Cover Issue<br />
που χρησιμοποιούν προηγμένες επίμονες απειλές (APT) στοχεύουν<br />
κρίσιμες υποδομές με πιθανότητα σημαντικής διακοπής<br />
ή ζημιάς, καθιστώντας τα συστήματα Επιχειρησιακών<br />
Τεχνολογιών (OT) πρωταρχικό στόχο.<br />
10. Ανθρώπινο σφάλμα: Οι μηχανικοί που χειρίζονται και<br />
συντηρούν συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />
μπορεί να εισάγουν ακούσια ευπάθειες ή να κάνουν σφάλματα<br />
διαμόρφωσης που εκθέτουν το σύστημα σε κυβερνοεπιθέσεις.<br />
11. Προκλήσεις συμμόρφωσης: Η τήρηση ρυθμιστικών<br />
απαιτήσεων και προτύπων, όπως το NIST Cybersecurity<br />
Framework ή το ISA/IEC 62443, μπορεί να είναι πρόκληση<br />
για οργανισμούς, ειδικά όταν ασχολούνται με διαφορετικά<br />
περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT).<br />
Πλεονεκτήματα που απορρέουν από την<br />
σύγκλιση Επιχειρησιακών Τεχνολογιών (OT)<br />
και Τεχνολογιών Πληροφορικής (<strong>IT</strong>)<br />
Για πολλά χρόνια, τα βιομηχανικά συστήματα βασίζονταν σε<br />
ιδιόκτητα πρωτόκολλα και λογισμικό, διαχειρίζονταν και παρακολουθούνταν<br />
με χειροκίνητες διεργασίες και δεν είχαν<br />
καμία σύνδεση με τον έξω κόσμο. Για το λόγο αυτό, δεν ήταν<br />
το επίκεντρο επιθέσεων κυβερνοεγκληματιών και στόχος για<br />
τους χάκερ καθώς δεν υπήρχε δικτυακή διεπαφή για επίθεση<br />
και τίποτα για να κερδίσουν ή να καταστρέψουν. Ο μόνος<br />
τρόπος διείσδυσης σε αυτά τα συστήματα ήταν η απόκτηση<br />
φυσικής πρόσβασης σε ένα τερματικό, και αυτό δεν ήταν εύκολο<br />
έργο. Οι Επιχειρησιακές Τεχνολογίες (OT) και οι Τεχνολογίες<br />
Πληροφορικής (<strong>IT</strong>), ήταν ελάχιστα διασυνδεδεμένες<br />
και δεν αντιμετώπιζαν τις ίδιες ευπάθειες ή τις ίδιες απειλές.<br />
Στο σημερινό περιβάλλον, όμως, η κατάσταση έχει αλλάξει<br />
ουσιαστικά, καθώς βλέπουμε όλο και περισσότερες<br />
Επιχειρησιακές Τεχνολογίες (OT) να συνδέονται<br />
στο διαδίκτυο (γνωστό και διαδεδομένο είναι στις μέρες μας<br />
το Διαδίκτυο των Πραγμάτων – Internet of Things), να παράγουν<br />
πλήθος δεδομένων (Big Data) και αναλύσεις νέας<br />
γενιάς (New Generation Analytics), καθώς και να υιοθετούν<br />
νέες δυνατότητες μέσω τεχνολογικών ενοποιήσεων. Η<br />
ενοποίηση των συστημάτων Επιχειρησιακών Τεχνολογιών<br />
(OT) και Τεχνολογιών Πληροφορικής (<strong>IT</strong>) έχει οδηγήσει σε<br />
μεγαλύτερο βαθμό συνδεσιμότητας μεταξύ αυτών των<br />
δύο προηγουμένως ανόμοιων περιβαλλόντων, οδηγώντας<br />
σε βελτιωμένη απόδοση, αυξημένη ορατότητα και έλεγχο<br />
των λειτουργιών και καλύτερες δυνατότητες λήψης αποφάσεων<br />
για έναν οργανισμό. Ένα χαρακτηριστικό παράδειγμα<br />
σύγκλισης <strong>IT</strong>/OT είναι οι βιομηχανικές συσκευές Διαδικτύου<br />
των Πραγμάτων (Internet of Things - IoT), οι οποίες περιλαμβάνουν<br />
τη σύνδεση φυσικών συσκευών, αισθητήρων και<br />
μηχανών σε δίκτυα πληροφορικής, συχνά μέσω του cloud.<br />
Αυτές οι συσκευές επιτρέπουν τη συλλογή δεδομένων, την<br />
απομακρυσμένη παρακολούθηση και την ανάλυση της απόδοσης<br />
– επιτρέποντας σε οργανισμούς υποδομής ζωτικής<br />
σημασίας να βελτιώσουν την αυτοματοποίηση, να προβλέψουν<br />
τη συντήρηση και να λαμβάνουν αποφάσεις σε πραγματικό<br />
χρόνο. Αυτή η μορφή σύγκλισης Επιχειρησιακών<br />
Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (<strong>IT</strong>) επέτρεψε<br />
στους οργανισμούς να επιταχύνουν σημαντικά τις<br />
πρωτοβουλίες τους για ψηφιακό μετασχηματισμό. Συγκλίνοντας<br />
τα συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />
και Τεχνολογιών Πληροφορικής (<strong>IT</strong>), οι οργανισμοί μπορούν<br />
να αυτοματοποιήσουν περαιτέρω τις διαδικασίες τους για<br />
τη μείωση του ανθρώπινου λάθους, την αύξηση της παραγωγικότητας<br />
και τον εξορθολογισμό των λειτουργιών τους.<br />
Μπορούν επίσης να αποκτήσουν βαθύτερες γνώσεις για τις<br />
δραστηριότητές τους και να λάβουν αποφάσεις που βασίζονται<br />
σε δεδομένα με βελτιωμένη ορατότητα στα δεδομένα.<br />
Ως κρίσιμος παράγοντας του ψηφιακού μετασχηματισμού, η<br />
σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />
Πληροφορικής (<strong>IT</strong>) βοηθά στην ευθυγράμμιση των λειτουργικών<br />
διαδικασιών με τις ψηφιακές δυνατότητες, αλλάζοντας<br />
έτσι τους τρόπους με τους οποίους οι επιχειρήσεις προσφέρουν<br />
αξία. Οι οργανισμοί σε όλους τους τομείς εξαρτώνται<br />
από τότε όλο και περισσότερο από νεότερους τύπους κυβερνοφυσικών<br />
συστημάτων και άλλες τεχνολογίες που απαιτούν<br />
και συνεχίζουν να επεκτείνουν τη συνδεσιμότητα μεταξύ συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />
Πληροφορικής (<strong>IT</strong>). Ως αποτέλεσμα, αυτά τα προηγουμένως<br />
ανόμοια περιβάλλοντα συγκλίνουν, οδηγώντας<br />
σε αναμφισβήτητα επιχειρηματικά οφέλη που κυμαίνονται<br />
από μεγαλύτερη αποτελεσματικότητα και βιωσιμότητα έως<br />
καινοτομία.<br />
18 security
security<br />
19
T<strong>81</strong>09/10.2023<br />
Cover Issue<br />
Προκλήσεις λόγω της σύγκλισης<br />
Επιχειρησιακών Τεχνολογιών (OT) και<br />
Τεχνολογιών Πληροφορικής (<strong>IT</strong>)<br />
Η σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />
Πληροφορικής (<strong>IT</strong>) εκτός των προφανών πλεονεκτημάτων,<br />
τροφοδοτεί επίσης νέους κινδύνους και προκλήσεις —<br />
ιδιαίτερα όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο<br />
Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής<br />
(<strong>IT</strong>), με δεδομένο ότι αυτή η μετάβαση από τα κλειστά<br />
σε ανοιχτά συστήματα έχει δημιουργήσει μια σειρά από νέους<br />
κινδύνους για την ασφάλεια που χρήζουν αντιμετώπισης. Για<br />
την αντιμετώπιση τόσο των τυπικών προκλήσεων που προέρχονται<br />
από την φύση των Επιχειρησιακών Τεχνολογιών<br />
(OT), όσο και αυτών των προκλήσεων που απορρέουν από<br />
την σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />
Πληροφορικής (<strong>IT</strong>), πρέπει να έχουμε στο μυαλό μας ότι<br />
τα συστήματα <strong>IT</strong> και OT έχουν πολύ διαφορετικές απαιτήσεις<br />
ασφαλείας και αντιμετωπίζουν μοναδικές απειλές στον<br />
κυβερνοχώρο. Υπάρχει ανάγκη για εξειδικευμένους ελέγχους<br />
ασφαλείας και συνεργασία μεταξύ των ομάδων ασφαλείας <strong>IT</strong><br />
και OT για να διασφαλιστεί ότι τα συστήματά τους προστατεύονται<br />
από απειλές στον κυβερνοχώρο. Για να γίνει αυτό με επιτυχία,<br />
απαιτούνται νέας γενιάς επαγγελματίες ασφαλείας που<br />
έχουν εξειδίκευση τόσο στην Ασφάλεια Πληροφορικής όσο<br />
και στην Ασφάλεια OT για να διασφαλίζουν την ασφάλεια της<br />
υποδομής και των διαδικασιών ζωτικής σημασίας, με μια ενιαία<br />
προσέγγιση κατά των επιθέσεων και να προστατεύσει το<br />
περιβάλλον του οργανισμού με ολιστικό τρόπο. Αυτή η προσέγγιση<br />
θεωρείται ο βέλτιστος τρόπος για την αντιμετώπιση<br />
των προκλήσεων στις οποίες έχει οδηγήσει η σύγκλιση <strong>IT</strong>/OT,<br />
συμπεριλαμβανομένων των κάτωθι:<br />
• Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />
και Τεχνολογιών Πληροφορικής (<strong>IT</strong>) δεν προορίζονταν<br />
ποτέ να συνδεθούν μεταξύ τους. Συσκευές<br />
και συστήματα πληροφορικής αναπτύχθηκαν για τη<br />
διαχείριση και την επεξεργασία πληροφοριών χρησιμοποιώντας<br />
υπολογιστές και λογισμικό. Αυτές οι συσκευές<br />
σχεδιάστηκαν για να συνδέονται στο Διαδίκτυο<br />
και έχουν ασφαλιστεί για την προστασία της εμπιστευτικότητας,<br />
της ακεραιότητας και της διαθεσιμότητας των<br />
πληροφοριών. Οι Επιχειρησιακές Τεχνολογίες (OT) και<br />
Τεχνολογίες Πληροφορικής (<strong>IT</strong>) από την άλλη πλευρά<br />
σχεδιάστηκε αρχικά για τη διαχείριση και τον έλεγχο<br />
φυσικών συσκευών και διεργασιών και δεν προοριζόταν<br />
ποτέ να συνδεθεί στο Διαδίκτυο — ως εκ τούτου η<br />
ασφάλεια δεν ήταν ποτέ ενσωματωμένη στις συσκευές.<br />
Καθώς ο ψηφιακός μετασχηματισμός των οργανισμών<br />
προχωράει και περισσότερα συστήματα πληροφορικής<br />
συγκλίνουν με συσκευές Επιχειρησιακών Τεχνολογιών<br />
(OT), η διασύνδεσή τους έχει διευρύνει την επιφάνεια<br />
επίθεσης για τους εγκληματίες του κυβερνοχώρου, δίνοντάς<br />
τους νέα μονοπάτια σε αυτά τα εγγενώς ανασφαλή<br />
περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT).<br />
• Οι παλαιού τύπου και συσκευές είναι κοινός τόπος.<br />
Ενισχύοντας την εγγενή ανασφάλεια των συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT), πολλές συσκευές<br />
Επιχειρησιακών Τεχνολογιών (OT) κατασκευάστηκαν<br />
πριν από δεκαετίες και συνήθως επικοινωνούν μεταξύ<br />
τους μέσω ιδιόκτητων πρωτοκόλλων που είναι σε<br />
μεγάλο βαθμό ασύμβατα με τις παραδοσιακές λύσεις<br />
ασφάλειας πληροφορικής. Αυτό σημαίνει ότι, λόγω της<br />
πολυπλοκότητας των δομικών στοιχείων των συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT), είναι δύσκολο<br />
για αυτά να χειριστούν τον όγκο και τον τύπο<br />
της κίνησης που δημιουργείται από τις παραδοσιακές<br />
λύσεις πληροφορικής. Εάν χρησιμοποιείται μια παραδοσιακή<br />
λύση ασφάλειας Τεχνολογιών Πληροφορικής<br />
(<strong>IT</strong>) σε ένα στοιχείο Επιχειρησιακών Τεχνολογιών (OT),<br />
μπορεί να οδηγήσει σε καταστροφή καθώς τα συστήματα<br />
Επιχειρησιακών Τεχνολογιών (OT) λειτουργούν<br />
σε πραγματικό χρόνο και δεν μπορούν να αντέξουν<br />
τον λανθάνοντα χρόνο που σχετίζεται με τα συστήματα<br />
Τεχνολογιών Πληροφορικής (<strong>IT</strong>). Η ασυμβατότητά τους<br />
λόγω των διαφορών στο υλικό, το λογισμικό και τα<br />
πρωτόκολλα επικοινωνίας μπορεί να προκαλέσει διακοπές<br />
σε ένα σύστημα Επιχειρησιακών Τεχνολογιών<br />
(OT) που μπορεί να έχει άμεσο και σοβαρό αντίκτυπο<br />
στην ασφάλεια, την παραγωγικότητα και τα έσοδα.<br />
• Έλλειψη ορατότητας της συσκευής και λεπτομερών<br />
δεδομένων. Όπως σημειώθηκε παραπάνω, η<br />
επικράτηση των παλαιών συστημάτων και των ιδιόκτητων<br />
πρωτοκόλλων επικοινωνίας σε περιβάλλοντα<br />
Επιχειρησιακών Τεχνολογιών (OT) τα καθιστά σε μεγάλο<br />
βαθμό ασύμβατα με τις παραδοσιακές λύσεις πληροφορικής<br />
— συμπεριλαμβανομένων εκείνων που<br />
20 security
security<br />
21
T<strong>81</strong>09/10.2023<br />
Cover Issue<br />
Αντιμετώπιση προκλήσεων και ασφάλεια<br />
Επιχειρησιακών Τεχνολογιών (OT)<br />
Η ανάγκη των οργανισμών για κυβερνοασφάλεια εγείρει κρίσιμες<br />
ανησυχίες τόσο για τις Επιχειρησιακές Τεχνολογίες (OT)<br />
όσο και για τις Τεχνολογίες Πληροφορικής (<strong>IT</strong>), αλλά υπάρχρησιμοποιούνται<br />
για την υποστήριξη της ανακάλυψης<br />
και διαχείρισης περιουσιακών στοιχείων. Ως εκ τούτου,<br />
οι ομάδες Ασφαλείας Πληροφοριών συνήθως δυσκολεύονται<br />
να αποκτήσουν έναν πλήρη κατάλογο των<br />
περιουσιακών στοιχείων Επιχειρησιακών Τεχνολογιών<br />
(OT), καθιστώντας αδύνατο τον εντοπισμό και την<br />
αξιολόγηση απειλών και τρωτών σημείων. Χωρίς αναλυτικά<br />
χαρακτηριστικά της συσκευής, όπως το ακριβές<br />
μοντέλο, η έκδοση υλικολογισμικού και η διαμόρφωση,<br />
το προσωπικό ασφαλείας θα δυσκολεύεται επίσης<br />
να αντιστοιχίσει τα στοιχεία με κοινά τρωτά σημεία και<br />
εκθέσεις (CVE).<br />
• Άμεσες συνδέσεις στο Διαδίκτυο. Οι περισσότεροι<br />
οργανισμοί έχουν απευθείας συνδέσεις με το Διαδίκτυο.<br />
Είναι γνωστό ότι μόνο μία συνδεδεμένη στο<br />
Διαδίκτυο συσκευή είναι αρκετή για να παρέχει στους<br />
εισβολείς μια πύλη για να εισάγουν κακόβουλο λογισμικό<br />
στα δίκτυα Επιχειρησιακών Τεχνολογιών (OT).<br />
• Μη ασφαλείς κωδικοί πρόσβασης. Οι χειριστές<br />
χρησιμοποιούν μη ασφαλείς κωδικούς πρόσβασης<br />
για εύκολη είσοδο στα δίκτυα. Αυτό διευκολύνει τους<br />
εισβολείς να χρησιμοποιήσουν την ωμή βία ανακάλυψη<br />
διαπιστευτηρίων για να αποκτήσουν πρόσβαση μη<br />
εξουσιοδοτημένου χειριστή.<br />
• Ξεπερασμένο λειτουργικό σύστημα. Ένα απαρχαιωμένο<br />
λειτουργικό σύστημα που δεν λαμβάνει πλέον<br />
ενημερώσεις ασφαλείας είναι εξαιρετικά ευάλωτο σε<br />
επιθέσεις ασφαλείας. Όλα τα μηχανήματα, συμπεριλαμβανομένων<br />
των σημείων πρόσβασης, πρέπει να<br />
απογραφούν και να επιδιορθωθούν σύμφωνα με τις<br />
πιο πρόσφατες προδιαγραφές των κατασκευαστών<br />
για την αποφυγή συμβιβασμού.<br />
• Ο χρόνος διακοπής λειτουργίας. Σε αντίθεση με τα<br />
παραδοσιακά συστήματα πληροφορικής, όπου η διακοπή<br />
λειτουργίας επηρεάζει κυρίως την πρόσβαση<br />
δεδομένων και τις υπηρεσίες, η διακοπή λειτουργίας<br />
μπορεί να οδηγήσει σε σοβαρές λειτουργικές διακοπές<br />
και οικονομικές απώλειες σε βιομηχανικό πλαίσιο.<br />
• Ευάλωτα πρωτόκολλα. Με τη συμπερίληψη λειτουργιών<br />
όπως ο έλεγχος ταυτότητας και η κρυπτογράφηση,<br />
πολλοί κατασκευαστές αναπτύσσουν ασφαλείς<br />
εναλλακτικές λύσεις σε πρωτόκολλα και εξοπλισμό<br />
που δεν είναι ασφαλή επί του παρόντος.<br />
• <strong>Security</strong> Posture. Η κοινότητα των βιομηχανικών<br />
υπολογιστών έχει παραδοσιακά λάβει ελάχιστη προσοχή<br />
από την ασφάλεια. Ο κλάδος των συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT) υστερεί πολύ πίσω<br />
από τον κλάδο της πληροφορικής όσον αφορά τα<br />
πρότυπα και τις διαδικασίες ασφαλείας, καθώς και τη<br />
συνεργασία με εξωτερικούς ερευνητές ασφάλειας.<br />
• Έλλειψη Ιδιοκτησίας. Η ασαφής ιδιοκτησία και αποδοχή<br />
ευθύνης διαχείρισης ρίσκου μεταξύ ομάδων Επιχειρησιακών<br />
Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής<br />
(<strong>IT</strong>) που καθιστά δύσκολη τη συγκέντρωση,<br />
τη διαχείριση και τη διακυβέρνηση των ενεργειών στον<br />
κυβερνοχώρο Επιχειρησιακών Τεχνολογιών (OT).<br />
• Έλλειψη κοινής στρατηγικής διαχείρισης ρίσκου.<br />
Η συνειδητοποίηση κινδύνου έναντι της ανοχής<br />
κινδύνου οδηγεί σε ανταγωνιστικές επιχειρηματικές<br />
προτεραιότητες για τους υπεύθυνους λήψης<br />
αποφάσεων Επιχειρησιακών Τεχνολογιών (OT) που<br />
πρέπει να αποφασίσουν μεταξύ της αύξησης της παραγωγικότητας<br />
και της ασφάλειας των συσκευών (για<br />
παράδειγμα, αυξημένη παραγωγή έναντι διαχείρισης<br />
ενημερώσεων κώδικα που θα μπορούσε να προκαλέσει<br />
διακοπή στις λειτουργίες)<br />
• Άλλοι Περιορισμοί. επιχειρησιακοί, λειτουργικοί και<br />
τεχνικοί περιορισμοί που σημαίνουν ότι μια συνεχής<br />
διαδικασία μπορεί να εκτελεστεί για τρία χρόνια πριν<br />
από έναν προγραμματισμένο τερματισμό λειτουργίας,<br />
ο οποίος περιορίζει την ικανότητα των ομάδων Επιχειρησιακών<br />
Τεχνολογιών (OT) να επιδιορθώνουν<br />
συσκευές και να εφαρμόζουν λύσεις ευαίσθητες στον<br />
χρόνο (για παράδειγμα, διακοπή παροχής ενέργειας<br />
για ενημέρωση μιας λειτουργικής διακομιστής με<br />
ενημερωμένη έκδοση κώδικα ασφαλείας)<br />
22 security
security<br />
23
T<strong>81</strong>09/10.2023<br />
Cover Issue<br />
χουν θεμελιώδεις διαφορές στον τρόπο προστασίας των δύο<br />
που απαιτούν διαφορετικές προσεγγίσεις. Μία από τις κύριες<br />
διαφορές είναι οι τύποι περιουσιακών στοιχείων<br />
που πρέπει να προστατεύονται σε περιβάλλοντα πληροφορικής<br />
έναντι αυτών των Επιχειρησιακών Τεχνολογιών (OT).<br />
Όπως αναφέρθηκε προηγουμένως, τα συστήματα πληροφορικής<br />
χρησιμοποιούνται κυρίως για την αποθήκευση και<br />
επεξεργασία δεδομένων, ενώ τα συστήματα Επιχειρησιακών<br />
Τεχνολογιών (OT) ελέγχουν φυσικές διαδικασίες και συστήματα.<br />
Αυτό σημαίνει ότι η ασφάλεια στον κυβερνοχώρο<br />
πληροφορικής επικεντρώνεται κυρίως στην προστασία ευαίσθητων<br />
πληροφοριών όπως αριθμοί κοινωνικής ασφάλισης,<br />
προστατευμένες πληροφορίες υγείας (PHI) ή αρχεία εκπαίδευσης.<br />
Ο αντίκτυπος μιας κυβερνοεπίθεσης σε ευαίσθητα<br />
δεδομένα, για παράδειγμα, μπορεί να οδηγήσει σε ζημιά στη<br />
φήμη, κλοπή, οικονομικές απώλειες ή πρόστιμα. Τα συστήματα<br />
Επιχειρησιακών Τεχνολογιών (OT) από την άλλη πλευρά<br />
εστιάζουν στη διασφάλιση της συνέχειας και της αξιοπιστίας<br />
των υποδομών ζωτικής σημασίας. Σε αντίθεση<br />
με τις Τεχνολογίες Πληροφορικής (<strong>IT</strong>), οι συσκευές Επιχειρησιακών<br />
Τεχνολογιών (OT) που παρέχουν αυτές τις κρίσιμες<br />
λειτουργίες μπορούν να έχουν διάρκεια ζωής αρκετών<br />
δεκαετιών και μπορούν να διανεμηθούν ευρέως σε φυσικές<br />
τοποθεσίες ή εγκαταστάσεις. Επίσης συνήθως χρησιμοποιούν<br />
ιδιόκτητα πρωτόκολλα τα οποία δεν μπορούν να αποκρυπτογραφηθούν<br />
χρησιμοποιώντας παραδοσιακά εργαλεία<br />
ασφαλείας, καθιστώντας αδύνατη την πλήρη ορατότητα στο<br />
δίκτυο Επιχειρησιακών Τεχνολογιών (OT). Δεδομένου ότι τα<br />
δίκτυα Επιχειρησιακών Τεχνολογιών (OT) είναι τόσο εύθραυστα,<br />
η χρήση της παραδοσιακής σάρωσης ευπάθειας μπορεί<br />
να προκαλέσει αστοχία της συσκευής Επιχειρησιακών Τεχνολογιών<br />
(OT) και σε ορισμένες περιπτώσεις, ολόκληρες εγκαταστάσεις<br />
μπορούν να τεθούν εκτός σύνδεσης. Επιπλέον, οι<br />
συνδέσεις απομακρυσμένης πρόσβασης χρησιμοποιούνται<br />
συνήθως από το εσωτερικό προσωπικό υποστήριξης ή από<br />
τρίτους προμηθευτές για την εξυπηρέτηση περιουσιακών<br />
στοιχείων Επιχειρησιακών Τεχνολογιών (OT). Η ορατότητα<br />
σε αυτές τις απομακρυσμένες συνεδρίες είναι απαραίτητη για<br />
έλεγχο, διαχείριση αλλαγών και εκτιμήσεις κινδύνου, αλλά οι<br />
παραδοσιακές λύσεις απομακρυσμένης πρόσβασης πληροφορικής<br />
δεν είναι κατάλληλες για βιομηχανικά περιβάλλοντα.<br />
Οι επιπτώσεις των κυβερνοεπιθέσεων σε περιβάλλοντα<br />
Επιχειρησιακών Τεχνολογιών (OT) σε οργανισμούς υποδομής<br />
ζωτικής σημασίας μπορεί να έχουν πολύ πιο ολέθριες<br />
συνέπειες, όπως τερματισμό λειτουργίας εγκαταστάσεων,<br />
δυσλειτουργίες εξοπλισμού και ακόμη και εκρήξεις σταθμών<br />
ηλεκτροπαραγωγής. Αυτές οι συνέπειες επηρεάζουν πολύ<br />
περισσότερο από τα δεδομένα και ενδέχεται να έχουν αρνητικές<br />
επιπτώσεις στην υγεία και την ανθρώπινη ασφάλεια. Ως<br />
γνωστόν, η συνδεσιμότητα αυξάνεται ραγδαία και οι ακούσιες<br />
συνέπειες σε αυτήν τη συνδεσιμότητα θα γίνουν πιο σοβαρές<br />
καθώς οι εγκληματίες του κυβερνοχώρου γίνονται πιο<br />
προχωρημένοι στην πολυπλοκότητα των επιθέσεων τους.<br />
Υπό αυτές τις συνθήκες, η διαχείριση της ασφάλειας Επιχειρησιακών<br />
Τεχνολογιών (OT) είναι ένα από τα πιο σημαντικά<br />
καθήκοντα για τους οργανισμούς. Για να εξασφαλίσουν<br />
ένα περιβάλλον Επιχειρησιακών Τεχνολογιών (OT) από κάθε<br />
είδους απειλή στον κυβερνοχώρο, οι οργανισμοί μπορούν να<br />
δημιουργήσουν ένα πλαίσιο ασφάλειας βασισμένο στις παρακάτω<br />
θεμελιώδεις αρχές και διαδικασίες:<br />
• Ασφαλής πρόσβαση/Κεντρική καταγραφή: Η παροχή<br />
ασφαλούς πρόσβασης αποτελεί πρόκληση για<br />
πολλούς οργανισμούς. Οι οργανισμοί πρέπει να δημιουργήσουν<br />
διαφορετική πρόσβαση για διαφορετικούς<br />
χρήστες μέσω διαφόρων οδών πρόσβασης. Για να<br />
παρέχεται ασφαλής πρόσβαση, η πρόσβαση του χρήστη<br />
θα πρέπει να διασφαλίζεται με έλεγχο ταυτότητας<br />
πολλαπλών παραγόντων. Ο ασφαλής έλεγχος πρόσβασης<br />
μπορεί να επιτευχθεί με κεντρική καταγραφή. Η<br />
κεντρική καταγραφή βοηθά στη διαχείριση και ανάλυση<br />
όλων των αρχείων καταγραφής για τον εντοπισμό<br />
κενών ασφαλείας και τη βελτιστοποίηση της άμυνας.<br />
• Διαχείριση περιουσιακών στοιχείων: Τα συστήματα<br />
Επιχειρησιακών Τεχνολογιών (OT) χρησιμεύουν<br />
ως ο εγκέφαλος κάθε κλάδου και το πρωταρχικό<br />
καθήκον ενός οργανισμού είναι να τα προστατεύει.<br />
Πολλά συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />
αντιμετωπίζουν έλλειψη ορατότητας. Πολλοί οργανισμοί<br />
δεν γνωρίζουν τον ακριβή αριθμό των συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT) που διαθέτουν<br />
24 security
security<br />
25
T<strong>81</strong>09/10.2023<br />
Cover Issue<br />
• Διαχείριση αντιγράφων ασφαλείας: Τα αντίγραφα<br />
ασφαλείας δεδομένων είναι ο πιο αποτελεσματικός<br />
τρόπος ανάκτησης από την απώλεια δεδομένων. Οι<br />
οργανισμοί πρέπει να δημιουργούν τακτικά αντίγραφα<br />
ασφαλείας. Υπάρχουν διαφορετικές μεθοδολογίες<br />
δημιουργίας αντιγράφων ασφαλείας, καθώς και βέλτιστες<br />
πρακτικές για να διασφαλιστεί ότι τα αντίγραφα<br />
ασφαλείας προστατεύονται.<br />
• Ανίχνευση και πρόληψη εισβολής. Οι οργανισμοί<br />
οφείλουν να αναπτύξουν κατάλληλα συστήματα ανίχνευσης<br />
και πρόληψης εισβολής για τον εντοπισμό<br />
και τον αποκλεισμό κακόβουλων δραστηριοτήτων<br />
στα οποία θα περιλάβουν και τα συστήματα Επιχειρησιακών<br />
Τεχνολογιών (OT).<br />
• Εκπαίδευση και ευαισθητοποίηση. Οι οργανισμοί<br />
πρέπει να εκπαιδεύσουν τους υπαλλήλους σχετικά<br />
με τη σημασία της κυβερνοασφάλειας συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT), τις βέλτιστες πρακτικές<br />
και τον τρόπο αναγνώρισης πιθανών απειλών.<br />
• Απόκριση σε περιστατικά ασφάλειας. Κρίσιμο<br />
παράγοντα για την ασφάλεια του οργανισμού, είναι<br />
η καθιέρωση σαφών πρωτόκολλων απόκρισης συμβάντων<br />
για την διασφάλιση της απαραίτητης ταχείας<br />
δράσης σε περίπτωση παραβίασης της ασφάλειας συστημάτων<br />
Επιχειρησιακών Τεχνολογιών (OT).<br />
• Εκτίμηση κινδύνου και τακτικοί έλεγχοι. Οι οργανισμοί<br />
πρέπει να διεξάγουν τακτικές αξιολογήσεις<br />
κινδύνου Επιχειρησιακών Τεχνολογιών (OT) για τον<br />
εντοπισμό τρωτών σημείων των συστημάτων και<br />
δικτύων Επιχειρησιακών Τεχνολογιών (OT) και την<br />
ιεράρχηση των απαραίτητων διορθωτικών μέτρων<br />
ασφάλειας, καθώς και για την αξιολόγηση της αποτελεσματικότητας<br />
των ελέγχων ασφαλείας και τον εντοπισμό<br />
τομέων προς βελτίωση.<br />
• Διαχείριση προμηθευτών. Ο έλεγχος και η παρακολούθηση<br />
των τρίτων προμηθευτών που έχουν πρόσβαση<br />
σε συστήματα Επιχειρησιακών Τεχνολογιών<br />
(OT) για την διασφάλιση ότι οι πρακτικές ασφαλείας<br />
τους ευθυγραμμίζονται με τα πρότυπα του οργανισμού<br />
είναι περισσότερο απαραίτητη από ποτέ.<br />
Συνοψίζοντας, η ασφάλεια Επιχειρησιακών Τεχνολογιών<br />
(OT) είναι μια εργασία υψηλής προτεραιότητας για κάθε<br />
οργανισμό προκειμένου να καλύψει τη ζήτηση της αγοράς<br />
και τη διαθεσιμότητα των εγκαταστάσεων. Λόγω της χαμηλής<br />
ορατότητας των περιουσιακών στοιχείων, η διαχείριση<br />
ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) μπορεί να είναι<br />
δύσκολη για τους οργανισμούς. Ένα αποτελεσματικό πρόστον<br />
οργανισμό τους. Ως μέρος της διαχείρισης περιουσιακών<br />
στοιχείων, κάθε οργανισμός πρέπει να έχει<br />
πλήρη απογραφή των συστημάτων Επιχειρησιακών<br />
Τεχνολογιών (OT). Αυτό θα τους επιτρέψει να γνωρίζουν<br />
τι προστατεύουν και να σχεδιάζουν ανάλογα.<br />
• Ανάλυση ευπάθειας λογισμικού: Οι οργανισμοί<br />
πρέπει να γνωρίζουν όλες τις εκδόσεις λογισμικού,<br />
τις ενημερώσεις και τη συμβατότητα με τα συστήματα<br />
Επιχειρησιακών Τεχνολογιών (OT) στο περιβάλλον<br />
τους. Η σάρωση ευπάθειας είναι επίσης ένα σημαντικό<br />
μέρος της κατανόησης των αδυναμιών.<br />
• Διαχείριση επιδιορθώσεων: Η ενημέρωση κώδικα<br />
είναι ένα σημαντικό μέρος της διαχείρισης υλικού<br />
και λογισμικού. Οι οργανισμοί πρέπει να γνωρίζουν<br />
τις απαιτήσεις επιδιόρθωσης των περιουσιακών στοιχείων<br />
που έχουν στην κατοχή τους. Η επιδιόρθωση<br />
(patching ) συστημάτων Επιχειρησιακών Τεχνολογιών<br />
(OT) είναι μια πολύπλοκη διαδικασία, επομένως η διαδικασία<br />
πρέπει να αντιμετωπίζεται με σύνεση. Αυτό<br />
σημαίνει ότι μερικές φορές, η αυτόματη επιδιόρθωση<br />
Επιχειρησιακών Τεχνολογιών (OT) μπορεί να μην είναι<br />
η καλύτερη προσέγγιση. Ωστόσο, αυτό δεν αποκλείει<br />
την ανάγκη για ένα λεπτομερές σχέδιο επιδιόρθωσης.<br />
• Τμηματοποίηση Δικτύου: Η τμηματοποίηση δικτύου<br />
είναι η σαφής οριοθέτηση μεταξύ μη συνδεδεμένων<br />
δικτύων. Ο στόχος είναι να χωριστούν τα μεγάλα δίκτυα<br />
σύμφωνα με τις αντίστοιχες λειτουργίες τους. Η<br />
τμηματοποίηση μπορεί να βοηθήσει στην απομόνωση<br />
ενός συμβάντος. Για παράδειγμα, μια επίθεση κατά<br />
του δικτύου ανάπτυξης δεν θα επηρεάσει το δίκτυο<br />
πωλήσεων.<br />
26 security
γραμμα ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) μπορεί<br />
να επιτευχθεί με τη σωστή γνώση και τον προσεκτικό σχεδιασμό<br />
και εφαρμογή. Μια κρίσιμη πτυχή για βελτίωση είναι η<br />
αξιολόγηση των περιουσιακών στοιχείων και των λειτουργιών<br />
των Επιχειρησιακών Τεχνολογιών (OT). Ο συνδυασμός<br />
επιχειρησιακών αξιολογήσεων από πάνω προς τα κάτω, σε<br />
επίπεδο οργανισμού με αναλύσεις από κάτω προς τα πάνω,<br />
περιουσιακών στοιχείων προς περιουσιακά στοιχεία, βοηθά<br />
τους οργανισμούς να κατανοήσουν τη σχέση μεταξύ της<br />
ωριμότητας Επιχειρησιακών Τεχνολογιών (OT) και των συγκεκριμένων<br />
κινδύνων σε επίπεδο τοποθεσίας. Αυτό τους<br />
επιτρέπει να συνδέσουν τους κινδύνους με τον επιχειρηματικό<br />
αντίκτυπο για να αναπτύξουν συστάσεις για την αποτροπή<br />
επιθέσεων. Η υιοθέτηση μιας διπλής προσέγγισης (που<br />
αποτελείται από στοιχεία από πάνω προς τα κάτω και από<br />
κάτω προς τα πάνω) για την αξιολόγηση της κυβερνοασφάλειας<br />
Επιχειρησιακών Τεχνολογιών (OT) επιτρέπει στους οργανισμούς<br />
να εντοπίζουν γρήγορα κρίσιμους κινδύνους για<br />
περιβάλλοντα και λειτουργίες Επιχειρησιακών Τεχνολογιών<br />
(OT). Αυτό είναι ένα βασικό σημείο εκκίνησης τους οργανισμούς<br />
στην προσπάθειά τους για να εξασφαλίσουν προστασία<br />
από τις κυβερνοεπιθέσεις που αποτελούν κίνδυνο για τις<br />
δραστηριότητές τους. Τέλος, είναι απαραίτητος ο σχεδιασμός<br />
ενός σχεδίου επιχειρηματικής συνέχειας και αποκατάστασης<br />
από καταστροφές που θα περιλαμβάνει την υποδομή<br />
Επιχειρησιακών Τεχνολογιών (OT). Τις περισσότερες φορές,<br />
η φυσική υποδομή παραβλέπεται, πράγμα που σημαίνει<br />
ότι τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) συχνά<br />
παραλείπεται από τα σχέδια αποκατάστασης καταστροφών<br />
και επιχειρηματικής συνέχειας, με πιθανές καταστροφικές<br />
συνέπειες σε περίπτωση διακοπής λειτουργίας ή κυβερνοεπίθεσης.<br />
Ένα αποτελεσματικό σχέδιο επιχειρηματικής συνέχειας θα<br />
πρέπει να περιλαμβάνει μια ολοκληρωμένη εκτίμηση επιπτώσεων<br />
πιθανών σεναρίων παραβίασης, λεπτομέρειες<br />
για τις ζημιές που θα μπορούσαν να προκληθούν, πόσο καιρό<br />
τα επηρεαζόμενα συστήματα μπορούν να παραμείνουν<br />
εκτός σύνδεσης προτού επηρεάσουν σοβαρά τις λειτουργίες<br />
και μέτρα που πρέπει να ληφθούν για τον μετριασμό του<br />
κινδύνου. Η υιοθέτηση μιας προσέγγισης βασισμένη στον<br />
κίνδυνο για τη φυσική ασφάλεια είναι ζωτικής σημασίας. Για<br />
παράδειγμα, μια κυβερνοεπίθεση στο σύστημα διαχείρισης<br />
κτιρίου ενός συγκροτήματος γραφείων μπορεί να μην προκαλέσει<br />
μαζική αναστάτωση, αλλά μια παρόμοια επίθεση σε<br />
μονάδα επεξεργασίας νερού ή σε σταθμό ηλεκτροπαραγωγής<br />
θα μπορούσε να θέσει σε κίνδυνο την κρίσιμη παροχή<br />
νερού και ενέργειας σε εκατομμύρια ανθρώπους.<br />
Επίλογος<br />
Καθώς οι Επιχειρησιακές Τεχνολογίες (OT) και τα βιομηχανικά<br />
συστήματα συνδέονται περισσότερο, γίνονται επίσης πιο<br />
εκτεθειμένα σε τρωτά σημεία. Το υψηλό κόστος του εξοπλισμού<br />
και η καταστροφική επίπτωση για τις κοινότητες και τις<br />
οικονομίες που θα μπορούσε να προκαλέσει μια επίθεση είναι<br />
βασικοί παράγοντες για τους οργανισμούς που θέλουν να<br />
προστατεύσουν τα βιομηχανικά τους δίκτυα. Αν συνυπολογιστεί<br />
ότι ο εξοπλισμός στην πλειοψηφία των περιπτώσεων<br />
είναι παλαιού τύπου, αλλά και το πλήθος από διαφορετικούς<br />
κανονισμούς ασφαλείας που ενδέχεται να απαγορεύουν<br />
οποιεσδήποτε τροποποιήσεις στον εξοπλισμό αλλά και κανονισμούς<br />
συμμόρφωσης που απαιτούν τη διάθεση ευαίσθητων<br />
δεδομένων σε τρίτους, καθιστά την πρόκληση για την<br />
επίτευξη επαρκούς ασφάλειας εξοπλισμού σημαντική.<br />
Όταν τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) και<br />
Τεχνολογιών Πληροφορικής (<strong>IT</strong>) συνεργάζονται αρμονικά,<br />
ανακαλύπτονται νέες αποτελεσματικότητες, τα συστήματα<br />
μπορούν να παρακολουθούνται και να διαχειρίζονται<br />
εξ αποστάσεως και οι οργανισμοί μπορούν να συνειδητοποιήσουν<br />
τα ίδια οφέλη ασφαλείας που χρησιμοποιούνται<br />
στα διοικητικά συστήματα πληροφορικής. Αυτή η μετάβαση<br />
από τα κλειστά σε ανοιχτά συστήματα έχει δημιουργήσει μια<br />
σειρά από νέους κινδύνους για την ασφάλεια πληροφοριών<br />
που πρέπει να αντιμετωπιστούν αποτελεσματικά για την<br />
ολιστική ασφάλεια των οργανισμών. Για την αντιμετώπιση<br />
των προκλήσεων που αναλύθηκαν, οι οργανισμοί πρέπει να<br />
εφαρμόσουν μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας<br />
Επιχειρησιακών Τεχνολογιών (OT) που περιλαμβάνει<br />
αξιολογήσεις κινδύνου, τμηματοποίηση δικτύου, εκπαίδευση<br />
ευαισθητοποίησης για την ασφάλεια, σχέδια αντιμετώπισης<br />
συμβάντων και χρήση σύγχρονων τεχνολογιών ασφάλειας.<br />
Η συνεργασία μεταξύ των ομάδων <strong>IT</strong> και OT είναι απαραίτητη<br />
για να διασφαλιστεί ότι τόσο η τεχνολογία πληροφοριών όσο<br />
και η επιχειρησιακή τεχνολογία προστατεύονται επαρκώς<br />
από απειλές στον κυβερνοχώρο.<br />
security<br />
27
T<strong>81</strong>09/10.2023<br />
Issue<br />
NIS2 & Industry 4.0:<br />
Δύο αντίρροπες δυνάμεις για το<br />
OT <strong>Security</strong><br />
ρισκόμαστε κάτι λιγότερο από ένα χρόνο από<br />
Β<br />
τη καταληκτική ημερομηνία, 17 Οκτώβρη<br />
2024, που η Οδηγία 2022/2555 Network and<br />
Information <strong>Security</strong> 2 (NIS 2 ) θα πρέπει να<br />
έχει υιοθετηθεί δια νόμου από τα κράτη μέλη<br />
της Ευρωπαϊκής Ένωσης. Η εφαρμογή και οι συνέπειες<br />
σε περίπτωση μη συμμόρφωσης θα είναι άμεση με ισχύ από<br />
τις 18 Οκτώβρη 2024. Η Οδηγία NIS 2 έρχεται να αντικαταστήσει<br />
την NIS που θεσπίστηκε τον Ιούλιο του 2016 και αφορούσε<br />
την ασφάλεια των συστημάτων δικτύου και πληροφοριών.<br />
Η Οδηγία NIS στόχευε στην αύξηση της ανθεκτικότητας<br />
ολόκληρης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο μέσω<br />
ρυθμιστικών μέτρων. Ωστόσο, η νομοθεσία κλήθηκε να<br />
αντιμετωπίσει ορισμένες προκλήσεις στις οποίες δε δόθηκε<br />
κατάλληλη απάντηση, με αποτέλεσμα μια κατακερματισμένη<br />
προσέγγιση σε επίπεδο κρατών μελών.<br />
Διακρίσεις, Προκλήσεις, Υποχρεώσεις<br />
Η νέα οδηγία έρχεται να απαντήσει στις προκλήσεις με ενιαία<br />
προσέγγιση για όλα τα κράτη μέλη και ορίζοντας μια βάση από<br />
μέτρα ασφαλείας. Φυσικά τα κράτη μέλη μπορούν να διαφο-<br />
ροποιηθούν, αλλά μόνο αυστηροποιώντας<br />
το πλαίσιο και επεκτείνοντας το πεδίο εφαρμογής.<br />
Μερικές διαφορές στην NIS 2 είναι:<br />
• Η διεύρυνση των κλάδων που επηρεάζονται<br />
από το νόμο. Συγκεκριμένα<br />
οι οργανισμοί χωρίζονται σε Essential<br />
οντότητες (energy, transport, banking,<br />
financial markets infrastructure, health,<br />
drinking water, wastewater, digital<br />
infrastructure, public administration,<br />
space) και Important οντότητες<br />
(postal and courier services, waste<br />
management, the manufacture/<br />
production/distribution of chemicals,<br />
food production/processing/distribution,<br />
manufacturing, digital providers).<br />
• Η διοίκηση θα έχει ενεργό και καθοριστικό ρόλο στην<br />
εναρμόνιση με την οδηγία.<br />
• Οι αρμόδιες αρχές μπορούν να επιβάλουν διοικητικά<br />
πρόστιμα μέχρι 10 εκ. ευρώ ή το 2% του συνολικού<br />
ετήσιου κύκλου εργασιών του οργανισμού.<br />
• Παρέχεται κατάλογος με τα μέτρα ασφάλειας που<br />
απαιτούνται.<br />
• Οι οργανισμοί θα πρέπει να ελέγχουν επιμελώς τους<br />
συνεργάτες τους για την ασφάλεια της εφοδιαστικής<br />
αλυσίδας.<br />
• Οι οντότητες θα πρέπει να κοινοποιούν, εντός 24 ωρών,<br />
στην αρμόδια αρχή κάθε σημαντική απειλή που θα<br />
μπορούσε να προκαλέσει σημαντικό περιστατικό.<br />
Δυο από τα κυριότερα άρθρα της Οδηγίας είναι το Άρθρο 21 και το<br />
Άρθρο 23. Στο πρώτο δίνεται λίστα με τα απαιτούμενα μέτρα που<br />
χωρίζονται στις τρεις παρακάτω κατηγορίες, ενώ στο δεύτερο<br />
αναλύονται οι υποχρεώσεις για την αναφορά των περιστατικών.<br />
Cyber Strategy / Governance<br />
α. Πολιτικές για την ανάλυση κινδύνου και την ασφάλεια<br />
των πληροφοριακών συστημάτων<br />
1 https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32022L2555&qid=1697417515735<br />
28 security
Του Δημήτρη Τσακτσήρα<br />
Cybersecurity Solutions Manager<br />
Space Hellas www.space.gr<br />
β. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας<br />
των μέτρων διαχείρισης κινδύνων<br />
γ. Εκπαίδευση και ενημέρωση<br />
Detection and Response<br />
δ. Χειρισμός περιστατικών<br />
ε. Διαχείριση αναφορών<br />
στ. Επιχειρησιακή συνέχεια και διαχείριση των κρίσεων<br />
Infrastructure and Application <strong>Security</strong><br />
ζ. Ασφάλεια Πληροφοριών και δικτύου<br />
η. Ανάπτυξη ασφαλών πρακτικών<br />
θ. Ασφάλεια της αλυσίδας εφοδιασμού (προμηθευτές ή<br />
πάροχοι υπηρεσιών των οντοτήτων)<br />
ι. Πολιτικές ελέγχου πρόσβασης και διαχείριση<br />
Οργανισμοί όπως τράπεζες και τηλεπικοινωνιακοί πάροχοι<br />
που είναι ενταγμένοι στην NIS και πρέπει να συμμορφώνονται<br />
και με άλλα πρότυπα έχουν ήδη ένα καλό επίπεδο ασφάλειας<br />
και πληρούν ήδη τις απαιτήσεις. Μια από τις βασικές προκλήσεις<br />
είναι η διαχείριση των αναφορών και η αποτελεσματική<br />
διαδικασία αυτών, ώστε να εξοικονομείται χρόνος από τις ομάδες<br />
ώστε δίνουν έμφαση στην αντιμετώπιση του περιστατικού.<br />
Όμως, οι οργανισμοί που θα ενταχθούν για πρώτη φορά είναι<br />
υποχρεωμένοι να δράσουν άμεσα. Χρειάζεται να εκπονήσουν<br />
μαζί με τους συνεργάτες το πλάνο συμμόρφωσης και να αποφασίσουν<br />
ποια μέτρα της λίστας θα τα καλύψουν με ίδιες δυνάμεις<br />
και ποια θα τα λαμβάνουν ως υπηρεσία. Δεδομένου<br />
της έλλειψης προσωπικού 2 και ιδιαίτερα έμπειρου τα κομμάτια<br />
που κατ’ ελάχιστο μπορούν να καλυφθούν από εξωτερικό<br />
συνεργάτη είναι το Incident Response και Reporting. Για αποδοτικό<br />
Incident Response και Reporting ο συνεργάτης πρέπει<br />
να διαθέτει κατ’ ελάχιστο ένα εξελιγμένο SOC με έμπειρους<br />
αναλυτές και να χρησιμοποιεί EDR/XDR εργαλεία. Μπορεί<br />
η Ευρωπαϊκή Ένωση να απαιτεί την επαύξηση της κυβερνοασφάλειας,<br />
αλλά παράλληλα στηρίζει με συγχρηματοδοτικά<br />
πακέτα μέσω του προγράμματος Digital Europe Programme<br />
(DIG<strong>IT</strong>AL 3 ). Το budget του Cybersecurity Work Programme για<br />
το 2021-2022 ήταν στα 269 εκ. ευρώ, ενώ το WP για το 2023-<br />
2024 4 υπολογίζεται στα 375 εκ. ευρώ.<br />
Η επίδραση στο OT <strong>Security</strong><br />
Οι κλάδοι των επιχειρήσεων και οργανισμών που διαθέτουν<br />
OT υποδομή πρόκειται να δοκιμαστούν περισσότερο. Όπως<br />
έχει αναφερθεί σε προηγούμενο άρθρο βρισκόμαστε στην<br />
4η Βιομηχανική επανάσταση όπου τα βιομηχανικά περιβάλλοντα<br />
προσπαθούν να μετασχηματιστούν ώστε να εκμεταλλευτούν<br />
τις νέες τεχνολογικές δυνατότητες. Αυτό έχει ως<br />
επακόλουθο να έχουν μεγαλύτερο αποτύπωμα στον “έξω”<br />
κόσμο άρα πιο εκτεθειμένα, και ευάλωτα στις κυβερνοεπιθέσεις.<br />
Οι OT ομάδες έχουν κατανοήσει ότι πρέπει<br />
να αυξηθεί η κυβερνοασφάλεια στο περιβάλλον της παραγωγής,<br />
ώστε να προστατευτούν από τις απειλές. Σε διαφορετική<br />
περίπτωση είναι σχεδόν βέβαιο ότι κάποια στιγμή θα<br />
αντιμετωπίσουν κάποια επίθεση που μπορεί να προκαλέσει<br />
από απώλεια κερδών μέχρι σοβαρό αντίκτυπο στη κοινωνία.<br />
Σε αυτή τη συνθήκη έρχεται να προστεθεί η απαίτηση για<br />
συμμόρφωση με την Οδηγία NIS 2 σε λιγότερο από ένα<br />
χρόνο. Με την αναφορά της Οδηγίας ότι η προστασία των<br />
assets των οργανισμών πρέπει να είναι ανάλογη του ρίσκου<br />
που τα ακολουθεί γίνεται αντιληπτό ότι θα πρέπει να<br />
αυξήσουν τα επίπεδα ασφάλειας. Είναι μια δύσκολη άσκηση<br />
λόγω της ιδιαιτερότητας του περιβάλλοντος όπου από τη<br />
μια πρέπει η παραγωγή να είναι αδιάλειπτη και από την άλλη<br />
πρέπει να εφαρμοστούν μέτρα ασφαλείας που να είναι<br />
αποδοτικά χωρίς να επηρεάζουν την παραγωγή. Ο κατάλογος<br />
με τα μέτρα ασφαλείας ορίζει την κατεύθυνση που θα<br />
πρέπει να κινηθούν οι οργανισμοί όμως είναι απαραίτητο για<br />
τις οντότητες με OT υποδομές να δοθούν πιο εξειδικευμένες<br />
Οδηγίες και Πρότυπα. Οδηγίες που θα λαμβάνουν υπόψιν τις<br />
ιδιαιτερότητες του κάθε κλάδου ξεχωριστά. Δύο τέτοια παραδείγματα<br />
είναι το NCCS 5 στον κλάδο της ενέργειας και το<br />
πρότυπο TS 50701 6 για τους σιδηροδρόμους.<br />
Ο χρόνος μετρά αντίστροφα και ακολουθεί μια πολύ απαιτητική<br />
χρονιά όπου θα πρέπει να βρεθεί η ισορροπία μεταξύ<br />
των αντίρροπων δυνάμεων.<br />
2 https://www.isaca.org/about-us/newsroom/press-releases/2023/new-isaca-research-59-percent-of-cybersecurity-teams-are-understaffed<br />
3 https://digital-strategy.ec.europa.eu/en/activities/digital-programme<br />
4 https://ec.europa.eu/newsroom/dae/redirection/document/94610<br />
5 https://acer.europa.eu/news-and-events/news/acer-submits-european-commission-revised-network-code-electricity-cybersecurity<br />
6 https://www.enisa.europa.eu/events/ENISA-ERA_Conference/enisa-era-conference-slides/4-status-update-on-cenelec-wg-26-benoliel-schlehuber.pdf<br />
security<br />
29
T<strong>81</strong>09/10.2023<br />
Issue<br />
Operational Technology<br />
<strong>Security</strong>: Διασφαλίζοντας τα βασικά<br />
αγαθά για την κοινωνία<br />
ταν μιλάμε για Ασφάλεια Πληροφοριών,<br />
Ό<br />
Information <strong>Security</strong>, Cyber <strong>Security</strong>, ή<br />
όπως θέλει ο καθένας να το ονομάσει, το<br />
μυαλό μας πάει αυτόματα στην προστασία<br />
δεδομένων, προσωπικών ή εταιρικών, στην<br />
προστασία από κακόβουλους χρήστες που στόχος τους είναι<br />
να υποκλέψουν δεδομένα, να εξαπατήσουν με όφελος χρηματικά<br />
ποσά, ή να προκαλέσουν βλάβη στη φήμη της επιχείρησης.<br />
Όλα αυτά αφορούν την καθημερινότητα όλων μας,<br />
δεδομένου του ότι ο ψηφιακός κόσμος καταλαμβάνει όλο και<br />
μεγαλύτερο ποσοστό της ζωής μας.<br />
Τι συμβαίνει όμως σε έναν άλλο κόσμο, όπου οι πληροφορίες<br />
που διακινούνται ελέγχουν βιομηχανικές εγκαταστάσεις,<br />
υπάρχουν αισθητήρες που διαχειρίζονται την παραγωγή<br />
ενέργειας ή στρατιωτικές εγκαταστάσεις και ένα<br />
πιθανό συμβάν μπορεί να επιφέρει ζημιές πολλών εκατομμύριων,<br />
να κινδυνέψει η ασφάλεια ενός κράτους ή ακόμα<br />
και να χαθούν ανθρώπινες ζωές; Αυτός είναι ο κόσμος<br />
του Operational Technology (ΟΤ), όπου ουσιαστικά<br />
Hardware και Software παρακολουθεί και ελέγχει<br />
συσκευές και διαδικασίες σε βιομηχανικές υποδομές<br />
και υπηρεσίες κοινής ωφέλειας. Μερικά παραδείγματα<br />
ΟΤ υποδομών είναι οι υποδομές παραγωγής και παροχής<br />
ενέργειας, νοσοκομεία, βιομηχανίες, συστήματα άμυνας,<br />
ναυτιλία και μέσα μαζικής μεταφοράς.<br />
Τα περισσότερα συστήματα ελέγχου της βιομηχανίας βασίζονται<br />
σε τεχνολογίες SCADA (Supervisory Control and<br />
Data Acquisition), PLC (Programmable Logic Controllers)<br />
και DCS (Distributed Control Systems), τα οποία ως επί των<br />
πλείστων και μέχρι πρόσφατα επικοινωνούσαν μέσω κλειστών<br />
και απομονωμένων δικτύων που δεν ακουμπούσαν τις<br />
ΙΤ υποδομές. Η εξέλιξη της τεχνολογίας και η ενσωμάτωση<br />
του Διαδικτύου των Πραγμάτων (IoT) έχουν προκαλέσει<br />
σημαντικές αλλαγές στον κόσμο του βιομηχανικού αυτοματισμού<br />
και της διαχείρισης των συστημάτων OT, οι οποίες<br />
έχουν θέσει νέες προκλήσεις για την ασφάλεια αυτών των<br />
συστημάτων. Το ερώτημα λοιπόν είναι, τι γίνεται σήμερα<br />
με την ασφάλεια αυτών των συστημάτων δεδομένης<br />
της ραγδαίας διάδοσης του IoT, την ανάγκη απομακρυσμένης<br />
παρακολούθησης και διαχείρισης, και του ψηφιακού<br />
μετασχηματισμού; Στο ευρύτερο πλαίσιο του ψηφιακού<br />
μετασχηματισμού, η σύγκλιση μεταξύ OT και <strong>IT</strong> γίνεται<br />
όλο και πιο επιτακτική, με στόχο τη βελτίωση της απόδοσης,<br />
του ελέγχου των συσκευών και της προσθήκης Artificial<br />
Intelligence σε περιβάλλοντα κρίσιμων υποδομών. Αυτό,<br />
ωστόσο, σημαίνει περισσότερες προκλήσεις κυβερνοασφά-<br />
30 security
Των Γιάννη Γράψα<br />
Senior Solutions Architect, Uni Systems<br />
www.unisystems.com<br />
και Βασίλη Μίχα<br />
<strong>Security</strong> Solutions Architect, Uni Systems<br />
www.unisystems.com<br />
λειας και διαχείρισης της τεχνολογίας, καθώς οι απαιτήσεις<br />
για την ασφάλεια OT είναι διαφορετικές από αυτές στην πληροφορική.<br />
Οι συσκευές και τα συστήματα OT συχνά λειτουργούν<br />
σε περιβάλλοντα με υψηλούς κινδύνους και αυστηρές<br />
απαιτήσεις διαθεσιμότητας και ακρίβειας, άρα η ασφάλεια<br />
των υποδομών γίνεται πιο σύνθετη.<br />
Πραγματικά περιστατικά<br />
Τα περιστατικά επίθεσης σε ΟΤ συστήματα είναι πλέον συχνό<br />
φαινόμενο. Στις περισσότερες των περιπτώσεων αποσκοπούν<br />
στο να προκαλέσουν ζημιά στη παραγωγική διαδικασία<br />
του θύματος, και κατ’ επέκταση οικονομική ζημιά.<br />
Μία από τις πλέον διαβόητες OT κυβερνοεπιθέσεις το 2010,<br />
το Stuxnet, επιτεύχθηκε με τη χρήση εξελιγμένου, γι’ αυτό<br />
το σκοπό, κακόβουλου λογισμικού, με στόχο τις πυρηνικές<br />
εγκαταστάσεις του Ιράν. Αντίστοιχα, το 2015 και 2016 η Ουκρανία<br />
δέχτηκε κυβερνοεπιθέσεις στο δίκτυο παροχής ηλεκτρικής<br />
ενέργειας, διακόπτοντας τη λειτουργία κρίσιμων συστημάτων<br />
ΟΤ και επηρεάζοντας χιλιάδες ανθρώπους. Οι επιθέσεις<br />
αποδόθηκαν σε Ρώσους hackers, χρηματοδοτούμενους<br />
από τις μυστικές υπηρεσίες. Αν ισχύει αυτό, τα περιστατικά<br />
αυτά δεν αποτελούν απλές κακόβουλες ενέργειες, αλλά<br />
υποθέσεις διεθνούς κατασκοπείας. Και δεν είναι τα μόνα.<br />
Υπάρχουν καταγεγραμμένα περιστατικά επιθέσεων σε υποδομές<br />
ύδρευσης (Maroochy Water Services Hack & Tofino<br />
Attack), περιστατικά βιομηχανικής κατασκοπείας μέσω κακόβουλου<br />
λογισμικού σε ΟΤ υποδομές (Havex malware), αλλά<br />
και περιστατικά στο χώρο της ναυτιλίας, όπου τα ΟΤ συστήματα<br />
πλειοψηφούν, με προσπάθειες αποπροσανατολισμού<br />
πλοίων μέσω παρεμβολής του GPS, ώστε να προκαλέσουν<br />
οι επιτιθέμενοι οικονομική ζημιά ή να οδηγήσουν το πλοίο<br />
σε περιοχή που ελέγχεται από πειρατές, με σκοπό τα λύτρα.<br />
Bασική προτεραιότητα η ανάπτυξη προηγμένων<br />
μέτρων κυβερνοασφάλειας<br />
Πως μπορούμε όμως να προστατεύσουμε τις ΟΤ υποδομές;<br />
Είναι αρκετή η προσέγγιση της ασφάλειας πληροφοριών<br />
όπως γίνεται στην πληροφορική; Είναι βέβαιο ότι σε πολλές<br />
περιπτώσεις δεν μπορούμε να παρέχουμε ασφάλεια κατά τη<br />
σχεδίαση (<strong>Security</strong> by Design), καθώς πολλά ΟΤ συστήματα<br />
έχουν κατασκευαστεί πολλές δεκαετίες πριν, όταν<br />
δεν υπήρχε καν η έννοια του Cyber <strong>Security</strong>. Στις περιπτώσεις<br />
αυτές, η μόνη λύση είναι η λογική απομόνωση των<br />
συστημάτων αυτών από το υπόλοιπο δίκτυο, και η εφαρμογή<br />
αυστηρών κανόνων στην επικοινωνία τους, με χρήση εξειδικευμένων<br />
συσκευών που μπορούν να ελέγξουν την κίνηση<br />
των ΟΤ συστημάτων παλαιάς κατασκευής. Για τις σύγχρονες<br />
ΟΤ υλοποιήσεις, οι γενικές αρχές της Εμπιστευτικότητας,<br />
Ακεραιότητας και Διαθεσιμότητας (CIA) εξακολουθούν<br />
να αποτελούν τους πυλώνες του ΟΤ <strong>Security</strong>. Η διεξαγωγή<br />
τακτικών Risk Assessments, ο διαχωρισμός των δικτύων, ο<br />
έλεγχος πρόσβασης, η διαχείριση των συμβάντων, η εκπαίδευση<br />
των χρηστών και όλα όσα εφαρμόζονται στην πληροφορική,<br />
προσαρμοσμένα στο βιομηχανικό περιβάλλον και με<br />
τη χρήση εξειδικευμένων λύσεων των κατασκευαστών που<br />
προσφέρουν τις αντίστοιχες απαντήσεις για ΟΤ υποδομές. Και<br />
φυσικά απαραίτητη είναι η συνεργασία μεταξύ των ομάδων<br />
και των τεχνολογιών ΙΤ & ΟΤ security, καθώς και με διεθνείς<br />
οργανισμούς και κυβερνητικούς φορείς. Τέλος, η ασφάλεια<br />
OT, απαιτεί τη συμβολή ειδικών από τους τομείς της αυτοματοποίησης,<br />
της πληροφορικής, της κυβερνοασφάλειας, της<br />
μηχανολογίας και της ηλεκτρολογίας και συνεχή ενημέρωση.<br />
H εμπειρία μας στη Uni Systems, έχει δείξει ότι η διαρκής<br />
επένδυση σε υφιστάμενες συνεργασίες με μεγάλους κατασκευαστές<br />
κυβερνοασφάλειας στον τομέα του ΟΤ, αλλά και<br />
σε νέους συνεργάτες με εξειδικευμένες λύσεις, είναι απαραίτητη.<br />
Στο ίδιο πλαίσιο, έχουμε αναπτύξει ένα σύνολο υπηρεσιών<br />
για ΟΤ υποδομές, συμπεριλαμβανομένων των:<br />
• Συλλογή και ανάλυση απαιτήσεων ασφάλειας<br />
• Σχεδιασμό και Ανάπτυξη συστημάτων ασφαλείας σε<br />
ΟΤ περιβάλλοντα<br />
• Ανάλυση κινδύνου και αξιολόγηση ευπάθειας (Risk<br />
Assessment)<br />
• Δοκιμές Διείσδυσης σε υποδομές ΟΤ<br />
• Συμβουλευτικές υπηρεσίες ασφάλειας<br />
• Εκπαίδευση και ευαισθητοποίηση προσωπικού<br />
Με το αυξανόμενο τοπίο απειλών, οι οργανισμοί οφείλουν<br />
να επενδύουν προληπτικά στην ασφάλεια των ΟΤ υποδομών,<br />
ώστε να προστατεύεται η κοινωνία στο σύνολό της.<br />
Δεν είναι μόνο θέμα προστασίας δεδομένων, αλλά προστασία<br />
της οικονομίας, της κοινωνίας και εν δυνάμει της ανθρώπινης<br />
ζωής.<br />
security<br />
31
T<strong>81</strong>09/10.2023<br />
Issue<br />
Οι Σκοτεινές Πλευρές της Τεχνητής<br />
Νοημοσύνης και πώς αυτή<br />
επηρεάζει τις κυβερνοεπιθέσεις<br />
Η τεχνητή νοημοσύνη αποτελεί μια από τις πιο σημαντικές και επαναστατικές τεχνολογικές<br />
εξελίξεις της τελευταίας δεκαετίας, έχοντας επιφέρει βαθιές αλλαγές και επιδράσεις που<br />
αγγίζουν πολλούς τομείς της καθημερινότητας μας.<br />
Τεχνητή Νοημοσύνη διακυβεύει τον τρόπο<br />
Η<br />
με τον οποίο εργαζόμαστε, επικοινωνούμε,<br />
και ζούμε. Αυτή η εξέλιξη προσφέρει νέες<br />
ευκαιρίες ενώ παράλληλα, προκαλεί πολλές<br />
ανησυχίες. Από τη μια πλευρά, η Τεχνητή<br />
Νοημοσύνη μπορεί να βελτιώσει την απόδοση στον επαγγελματικό<br />
τομέα, να επιλύσει προβλήματα στην υγεία και το<br />
περιβάλλον, και να αυξήσει την ανθρώπινη παραγωγικότητα.<br />
Από την άλλη πλευρά όμως, υπάρχουν σοβαρές ανησυχίες<br />
σχετικά με την ιδιωτικότητα, την αυτονομία, την ανεργία<br />
και την αύξηση των κυβερνοεπιθέσεων, που μπορεί να προκύψουν<br />
από την αυξανόμενη και μη ελεγχόμενη χρήση της.<br />
Χάρη σε αυτά τα νέα δεδομένα, οι κυβερνοεπιθέσεις γίνονται<br />
πιο εξελιγμένες, πιο επικίνδυνες και πολύ πιο δύσκολο<br />
να ανιχνευθούν. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν<br />
αυτήν την τεχνολογία για ταχύτερη εκτέλεση, καθιστώντας<br />
τις επιθέσεις τους πιο αποτελεσματικές και αποδοτικές.<br />
Τύποι κυβερνοεπιθέσεων και πως επηρεάζονται<br />
από την Τεχνητή Νοημοσύνη<br />
Reconnaissance: Οι χάκερς με την χρήση της Τεχνητής Νοημοσύνης,<br />
χρησιμοποιούν διαδικτυακές πλατφόρμες, κοινωνικά<br />
δίκτυα, ακόμα και το dark web για εύρεση στόχου ή<br />
συλλογή πληροφοριών του εκάστοτε στόχου. Στη συνέχεια,<br />
εφαρμόζοντας σε μεγάλους όγκους δεδομένων, γρήγορη<br />
ανάλυση, οι επιτιθέμενοι μπορεί να συγκεντρώσουν πληροφορίες<br />
όπως διευθύνσεις IP, πληροφορίες για τη δομή του<br />
δικτύου, προσβάσιμες θύρες και άλλες σημαντικές πληροφορίες<br />
που τους επιτρέπουν να ετοιμάσουν τις επόμενες<br />
επιθέσεις τους.<br />
Phishing & Social Engineering: Στόχος των κακόβουλων<br />
είναι να εξαπατήσουν τους χρήστες με σκοπό την υποκλοπή<br />
ευαίσθητων πληροφοριών μέσω συνδέσμων και συνημμένων<br />
αρχείων. Με τη χρήση της Τεχνητής Νοημοσύνης, η<br />
ηλεκτρονική αλληλογραφία γίνεται πιο πειστική εφόσον οι<br />
32 security
Αλέξανδρος Κανικλίδης<br />
Manager IthacaLabs,ODYSSEY<br />
www.odyssseycs.com<br />
χάκερς μπορούν να χρησιμοποιήσουν τον σωστό<br />
τρόπο και τόνο γραφής και επαγγελματικής<br />
γλώσσας, αυξάνοντας την αποτελεσματικότητα<br />
και αποδοτικότητα τους. Έτσι, ο παραλήπτης<br />
αυτών των επιθέσεων, βρίσκεται σε μειονεκτική<br />
θέση ως προς την ικανότητα αναγνώρισης αυτών<br />
των επιθέσεων.<br />
Dynamic Attack Adaptation: Κατά τη διάρκεια<br />
του κύκλου μιας επίθεσης, οι χάκερς αλλάζουν<br />
δυναμικά τη στρατηγική τους κάνοντας χρήση της<br />
Τεχνητής Νοημοσύνης, βάσει αυτού που αντιμετωπίζουν<br />
σε πραγματικό χρόνο. Για παράδειγμα,<br />
φανταστείτε έναν επιτιθέμενο που έχει πρόσβαση<br />
στο εσωτερικό δίκτυο ενός οργανισμού. Αν δεν<br />
υπάρχει κάποιος μηχανισμός άμυνας π.χ. EDR, τότε οι χάκερς<br />
θα συνεχίσουν τις λειτουργείες τους με τις παραδοσιακές<br />
μεθόδους που έχουν δοκιμαστεί και αποδειχθεί ως επιτυχημένες<br />
σε προηγούμενες προσπάθειες τους. Εάν όμως<br />
υπάρχει κάποιος μηχανισμός άμυνας, θα αλλάξουν τα σχέδιά<br />
τους αυτόματα χρησιμοποιώντας νέες τακτικές, τεχνικές και<br />
διαδικασίες (TTPs).<br />
AI-Generated Malware: Αυτές οι επιθέσεις αφορούν το<br />
Κακόβουλο λογισμικό το οποίο κάνει χρήση της Τεχνητής<br />
Νοημοσύνης και που μπορεί να αλλάζει δυναμικά τον κώδικα,<br />
τα κανάλια επικοινωνίας και τις διευθύνσεις IP του κέντρου<br />
ελέγχου κατά τη διάρκεια της εκτέλεσης, για να αποφεύγει<br />
τον εντοπισμό του και να παραμένει περισσότερο<br />
στο εσωτερικό δίκτυο. Παραμένοντας κρυμμένοι για μεγάλο<br />
χρονικό διάστημα εντός του δικτύου του στόχου, οι πιθανότητες<br />
επιτυχίας της επίθεσής τους αυξάνεται δραστικά. Αυτό<br />
οφείλεται στην αύξηση χρόνου παραμονής (dwell time),<br />
ο οποίος ορίζεται ως χρόνος παραμονής του κακόβουλου<br />
μέσα στο δίκτυο του οργανισμού, από τη στιγμή παραβίασης<br />
μέχρι τη στιγμή του εντοπισμού του. Καθώς αυτός ο<br />
χρόνος αυξάνεται, αυξάνονται αναλογικά και οι πιθανότητες<br />
επιτυχίας τους.<br />
Disinformation Campaigns: Με τη χρήση της Τεχνητής<br />
Νοημοσύνης γίνονται πιο εύκολες και γρήγορες οι προσπάθειες<br />
για εξάπλωση παραπλανητικών ή ψευδών ειδήσεων<br />
σχετικά με ένα οργανισμό, επηρεάζοντας αυτόματα αρνητικά<br />
το φήμη της επιχείρησης. Ο σκοπός είναι να δημιουργηθεί<br />
χάος εσσωτερικά και παράλληλα ο οργανισμός που<br />
δέχεται επίθεση να αναγκαστεί να διαθέσει περισσότερους<br />
πόρους για περιορισμό της κατάστασης, επηρεάζοντας έτσι<br />
την ομαλή λειτουργία του. Με την εξάπλωση παραπλανητικών<br />
ή ψευδών ειδήσεων σχετικά με ένα οργανισμό επηρεάζεται<br />
άμεσα και η φήμη του οργανισμού έχοντας αντίκτυπο<br />
στις οικονομικές και επιχειρηματικές δραστηριότητες του<br />
οργανισμού.<br />
Impersonation Attacks: Επιθέσεις στις οποίες οι χάκερς<br />
μέσω της τεχνητής νοημοσύνης "μιμούνται" την εμφάνιση, τη<br />
φωνή και τις κινήσεις ενός ατόμου, με σκοπό την παραπλάνηση<br />
του στόχου και την πρόσβαση σε ευαίσθητες πληροφορίες<br />
ή συστήματα. Για παράδειγμα, τα ψηφιακά δημιουργημένα<br />
βίντεο, γνωστά και ως deepfake βίντεο, συνδυάζουν,<br />
αντικαταστούν ή τροποποιούν πρόσωπα σε βίντεο, καθιστώντας<br />
τα πρόσωπα αυτά να φαίνονται σαν να λένε ή κάνουν<br />
κάτι το οποίο όμως δεν έχει συμβεί στην πραγματικότητα.<br />
Αυτό αποτελεί συνηθισμένη τεχνική που χρησιμοποιούν οι<br />
επιτιθέμενοι για να διαπράξουν απάτες και να βλάψουν φυσικά<br />
πρόσωπα αλλά και οργανισμούς.<br />
Exploiting AI Vulnerabilities: Επιθέσεις κατά τις οποίες<br />
οι χάκερς προσπαθούν να παραβιάσουν τα συστήματα μέσω<br />
ευπαθειών και αδυναμιών που εντοπίζουν στην κάθε τεχνολογία.<br />
Μια νέα προσθήκη τεχνολογίας σε ένα οργανισμό<br />
οδηγεί αρκετές φορές σε λανθασμένες παραμετροποιήσεις,<br />
λόγω της απουσίας οδηγιών και της μη ολοκληρωμένης δοκιμασίας<br />
τους στο περιβάλλον του οργανισμού.<br />
Η Τεχνητή Νοημοσύνη έχει επαναπροσδιορίσει τον τρόπο<br />
με τον οποίο οι κυβερνοεπιθέσεις εκτελούνται, καθιστώντας<br />
τες πιο εξελιγμένες, αποδοτικές και δύσκολες στον εντοπισμό<br />
τους. Παρ’ όλο που μπορεί να παραμένουν οι ίδιες στη<br />
φύση τους, η αποτελεσματικότητα τους έχει αυξηθεί σημαντικά.<br />
Τα νέα λοιπόν δεδομένα, καθιστούν όλους τους οργανισμούς<br />
πιθανούς στόχους, ανεξαρτήτως μεγέθους και<br />
τομέα δραστηριότητας. Οι οργανισμοί καλούνται όχι μόνο<br />
να ενισχύσουν την κυβερνοασφάλεια τους, αλλά και την κυβερνοανθεκτικότητα<br />
τους, έτσι ώστε να μπορούν να προβλέπουν,<br />
να προσαρμόζονται, να ανταποκρίνονται και να<br />
ανακάμπτουν γρήγορα.<br />
security<br />
33
T<strong>81</strong>09/10.2023<br />
Issue<br />
Εξειδικευμένη OT ασφάλεια από<br />
την TXOne<br />
Το OT <strong>Security</strong> είναι κατηγορία κυβερνοασφάλειας που ενώ έχει κοινά σημεία με την ασφάλεια<br />
στο <strong>IT</strong>, όταν πάμε να εφαρμόσουμε τις βασικές έννοιες και να βρούμε πρακτικές λύσεις<br />
συνειδητοποιούμε ότι είναι κάτι εντελώς διαφορετικό και απαιτεί άλλη προσέγγιση.<br />
Διαφορές <strong>IT</strong> & OT <strong>Security</strong><br />
Η παραδοσιακή κυβερνοασφάλεια, που προέρχεται από την<br />
πληροφορική, έχει σχεδιαστεί για να προστατεύει τα δίκτυα,<br />
τους χρήστες και τα δεδομένα, με βάση τις ανάγκες της δραστηριότητας<br />
των χρηστών. Το τυπικό μοντέλο ασφάλειας στο<br />
ΙΤ, «CIA» (Confidentiality, Integrity, Availability), δίνει προτεραιότητα<br />
βασικά στην εμπιστευτικότητα, ακολούθως στην ακεραιότητα<br />
και τέλος στη διαθεσιμότητα των δεδομένων.<br />
Με αυτό κατά νου, η στρατηγική για την κυβερνοασφάλεια<br />
είναι η πολιτική μηδενικής εμπιστοσύνης (zero-trust), που σημαίνει<br />
ότι ο χρήστης πρέπει να έχει τα ελάχιστα προνόμια πρόσβασης<br />
στα δεδομένα του όπου κι αν βρίσκονται. Το επίκεντρο<br />
της ασφάλειας πληροφορικής είναι ο χρήστης και η ικανότητά<br />
του να έχει πρόσβαση με εξουσιοδοτημένο και ελεγχόμενο<br />
τρόπο στα δικά του δεδομένα με τα λιγότερα δυνατά προνόμια.<br />
Δίνοντας περισσότερα προνόμια από ό, τι χρειάζεται<br />
είναι κίνδυνος που μεταφράζεται σε παραβιάσεις δεδομένων<br />
και περιστατικά ασφάλειας. Αλλάζοντας το σενάριο και εξετά-<br />
ζοντας τις υποδομές ζωτικής σημασίας και το βιομηχανικό<br />
περιβάλλον OT, ο πρωταρχικός στόχος είναι να διατηρηθεί<br />
η λειτουργία χωρίς κανενός είδους ανοχή για διακοπή.<br />
Το μοντέλο «CIA» δεν μπορεί πλέον να εφαρμοστεί, με τις ίδιες<br />
προτεραιότητες, αλλά πρέπει πρώτα να εξετάσουμε τη διαθεσιμότητα<br />
των υπηρεσιών (υπηρεσίες που είναι απαραίτητες<br />
στην περίπτωση των υποδομών ζωτικής σημασίας), μετά την<br />
ακεραιότητα και, τέλος, την εμπιστευτικότητα.<br />
Μοντέλο AIC<br />
Έτσι, η ασφάλεια OT πρέπει να βασίζεται στη δραστηριότητα<br />
περιουσιακών στοιχείων και υπηρεσιών και σε ένα μοντέλο<br />
«AIC» όπου η διαθεσιμότητα είναι το νούμερο 1 κατά σειρά<br />
προτεραιότητας, η ακεραιότητα είναι το νούμερο 2 και η<br />
εμπιστευτικότητα το νούμερο 3. Επιπλέον, πρέπει να εξετάσουμε<br />
ένα μοντέλο ασφάλειας όπου οι υπηρεσίες και οι μηχανές<br />
συνεργάζονται και λειτουργούν μόνο με ελεγχόμενο και<br />
προστατευμένο τρόπο, χωρίς να κάνουμε υποθέσεις σχετικά<br />
34 security
Σαράντης Χατζηνικολαΐδης<br />
Business Development Manager, Digital SIMA<br />
www.digitalsima.gr<br />
με την αξιοπιστία των υπηρεσιών ή των διαδικασιών, αλλά να<br />
αξιολογούμε συνεχώς την αξιοπιστία του δικτύου και των συστημάτων.<br />
Αυτό το σενάριο εισάγει την έννοια της μηδενικής<br />
εμπιστοσύνης: η αρχιτεκτονική που βασίζεται στην μηδενική<br />
εμπιστοσύνη στο OT περιορίζει τα προγράμματα που μπορούν<br />
να εκτελεστούν και την επικοινωνία τους στο ελάχιστο<br />
απαραίτητο επίπεδο. Η μηδενική εμπιστοσύνη στο OT είναι<br />
μια προσέγγιση για την προστασία συσκευών, δεδομένων και<br />
έξυπνων μηχανών με την υπόθεση ότι όλα τα στοιχεία και λειτουργίες<br />
τους θα πρέπει να αντιμετωπίζονται ως αναξιόπιστα.<br />
Για να υλοποιηθεί η προσέγγιση θα πρέπει να επιτευχθούν<br />
δύο στόχοι:<br />
1. Να διατηρηθούν όλες οι απαραίτητες διαδικασίες και<br />
μηχανήματα ώστε να εξασφαλιστεί η απαιτούμενη<br />
λειτουργικότητα, αποφεύγοντας και μπλοκάροντας<br />
μη εξουσιοδοτημένες διαδικασίες και λειτουργίες.<br />
Έτσι προσφέρεται προστασία από πιθανές κυβερνοεπιθέσεις<br />
ή κακή χρήση και εσφαλμένη ρύθμιση που<br />
προέρχεται από ανθρώπινο λάθος.<br />
2. Προστασία της ακεραιότητας των απαιτούμενων διαδικασιών<br />
και μηχανών που πρέπει να συνεχίσουν να<br />
λειτουργούν χωρίς κανενός είδους διαταραχή στην<br />
κανονική λειτουργία τους.<br />
Δηλαδή υπάρχουν δύο συμπληρωματικές φάσεις: Αποκλεισμός<br />
των «untrusted» και διατήρηση των «trusted».<br />
Οι ολοκληρωμένες λύσεις της TXOne Networks,<br />
H TXOne Networks, συνεργάζεται τόσο με κορυφαίους κατασκευαστές,<br />
όσο και με τους διαχειριστές των υποδομών<br />
για την ανάπτυξη πρακτικής και φιλικής προς τους χρήστες<br />
προσέγγιση στην κυβερνοασφάλεια. Οι τεχνολογίες μηδενικής<br />
εμπιστοσύνης OT που έχουν αναπτυχθεί υπερβαίνουν<br />
τους περιορισμούς της παραδοσιακής ασφάλειας<br />
προσφέροντας εύκολη διαχείριση, μείωση εξόδων και την<br />
ταχύτερη επίλυση των προβλημάτων. Παρέχουμε τρεις διαφορετικές<br />
και συμπληρωματικές λύσεις για την προστασία<br />
της λειτουργικότητας, από τα endpoints έως το δίκτυο:<br />
1. Επιθεώρηση ασφαλείας με φορητή ασφάλεια:<br />
Πρόκειται για ένα USB κλειδί που επιτρέπει τον έλεγχο<br />
των συσκευών για ανίχνευση και καθαρισμό από<br />
κακόβουλο λογισμικό, ανάλυση του συστήματος προς<br />
έλεγχο (HW & SW Inventory) και έλεγχο ευπαθειών σε<br />
Windows (ακόμη και σε legacy λειτουργικά όπως Win<br />
XP) και Linux. Αυτό το USB εκτός από έλεγχο ασφάλειας<br />
προσφέρει και ασφαλή μεταφορά δεδομένων.<br />
2. Προστασία end points με το Stellar: Το Stellar είναι<br />
OT native agent, που προστατεύει legacy και σύγχρονα<br />
συστήματα. Με δυνατότητα αυτόματης εκμάθησης,<br />
αναγνωρίζει και διασφαλίζει εφαρμογές ICS, προσφέροντας<br />
επιπλέον antimalware και device control. Επίσης<br />
παρέχει λειτουργική ακεραιότητα μπλοκάροντας<br />
γνωστό και άγνωστο malware όπως και ανθρώπινα<br />
λάθη, χάρη στην προηγμένη δυνατότητα whitelisting.<br />
3. Δικτυακή προστασία με τα μοντέλα EDGE: Πρόκειται<br />
για ειδικές ruggedized συσκευές που προσφέρουν<br />
IDS/IPS και virtual patching, ενώ παράλληλα<br />
καταμερίζουν ένα πολύπλοκο δίκτυο. Με τη λειτουργία<br />
autolearning μπορούν να υλοποιηθούν πολιτικές<br />
ασφάλειας με απλό και αυτόματο τρόπο.<br />
Στον ταχέως μεταβαλλόμενο κόσμο μας, η ασφάλεια δεν<br />
μπορεί να βασίζεται σε τυχαίους ελέγχους. Η πιστοποίηση<br />
ασφάλειας πρέπει να είναι μια τακτική διαδικασία που<br />
πραγματοποιείται σε πραγματικό χρόνο από εξειδικευμένους<br />
μηχανισμούς. Οι πολιτικές που βασίζονται στη μηδενική<br />
εμπιστοσύνη του OT ενδυναμώνουν τις ομάδες κυβερνοασφάλειας<br />
με πληροφορίες απειλών σε πραγματικό χρόνο,<br />
επιτρέποντάς τους να συμμορφώνονται με κανονιστικά<br />
πλαίσια, ενώ παράλληλα διασφαλίζουν την παραγωγικότητα.<br />
Με την υλοποίηση μηδενικής εμπιστοσύνης με άμυνες που<br />
είναι εγγενείς στο ΟΤ, τα περιστατικά ασφάλειας μπορούν να<br />
προληφθούν και οι ενσωματωμένοι μηχανισμοί ασφάλειας<br />
να είναι διαχειρίσιμοι. H TXOne είναι θυγατρική της Trend<br />
Micro με αποκλειστική δραστηριότητα την OT ασφάλεια. Η<br />
Digital SIMA είναι επίσημος διανομέας των λύσεων TXOne<br />
και Trend Micro στην Ελλάδα.<br />
security<br />
35
T<strong>81</strong>09/10.2023<br />
Issue<br />
Ασφάλεια περιβαλλόντων ΟΤ και η<br />
4η βιομηχανική επανάσταση<br />
4η βιομηχανική επανάσταση εξελίσσεται με<br />
Η<br />
ασταμάτητους ρυθμούς. Ο βιομηχανικός κόσμος<br />
που γνωρίσαμε τα τελευταία 150 χρόνια<br />
αλλάζει και οι συσκευές, τα μηχανήματα<br />
και οι βιομηχανικές εγκαταστάσεις συνδέονται<br />
όλο και στενότερα με τα συστήματα πληροφορικής, με<br />
τα κέντρα δεδομένων και με το υπολογιστικό και αποθηκευτικό<br />
νέφος. Επιχειρησιακή τεχνολογία (OT - Operational<br />
Technology) ονομάζουμε το υλικό και το λογισμικό που χρησιμοποιείται<br />
για την εποπτεία, τη διαχείριση και τον έλεγχο<br />
του φυσικού, επιχειρησιακού και βιομηχανικού εξοπλισμού.<br />
Συνήθως, περιλαμβάνει εποπτικό έλεγχο και<br />
πρόσκτηση δεδομένων (Supervisory Control and Data<br />
Acquisition ή SCADA) και διάφορα βιομηχανικά (Industrial<br />
Control Systems ή ICS) και κατανεμημένα συστήματα ελέγχου<br />
(Distributed Control Systems ή DCS). Πολλές υπηρεσίες<br />
κοινής ωφέλειας και έκτακτης ανάγκης, εγκαταστάσεις (π.χ.<br />
μονάδες επεξεργασίας νερού), επιχειρήσεις παραγωγής και<br />
προμήθειας ηλεκτρικού ρεύματος και φυσικού αερίου, πυρηνικά<br />
εργοστάσια και άλλες κρίσιμης σημασίας υποδομές<br />
βασίζονται σε λύσεις OT για να λειτουργήσουν. Όταν όμως<br />
συνδέονται στο Διαδίκτυο αποτελούν μέρος ενός κυβερνοφυσικού<br />
τοπίου γεμάτου κινδύνους και προκλήσεις.<br />
Σήμερα, οι κυβερνοεπιθέσεις βρίσκονται σε έξαρση -με το<br />
φαινόμενο να μη δείχνει σημάδια κόπωσης- και τέτοιες επιχειρήσεις<br />
και κρίσιμες υποδομές, αργά ή γρήγορα, γίνονται<br />
στόχοι. Παλαιότερα, τα βιομηχανικά συστήματα βασίζονταν<br />
σε εξειδικευμένα και ειδικά προσαρμοσμένα (custom) πρωτόκολλα<br />
και λογισμικό. Η διαχείριση όσο και η εποπτεία τους<br />
ήταν χειροκίνητη και απαιτούσε φυσική πρόσβαση καθώς<br />
δεν ήταν άμεσα συνδεδεμένα στο Διαδίκτυο. Με απλά λόγια,<br />
τα OT και <strong>IT</strong>, δηλαδή η Επιχειρησιακή Τεχνολογία και η Τεχνολογία<br />
Πληροφοριών και Επικοινωνιών δεν μοιράζονταν<br />
πόρους και δεν είχαν τα ίδια τρωτά σημεία. Σήμερα ωστόσο,<br />
στο πλαίσιο των πρωτοβουλιών του ψηφιακού μετασχηματισμού<br />
η σύγκλιση OT και <strong>IT</strong> θεωρείται πλέον δεδομένη.<br />
Σήμερα, όλο και περισσότερα βιομηχανικά συστήματα<br />
παρέχουν πλέον μεγάλα δεδομένα και έξυπνες αναλύσεις ή<br />
ενσωματώνονται με άλλα συστήματα και τεχνολογίες για να<br />
επιτευχθεί αύξηση της αποδοτικότητας και της παραγωγικότητάς<br />
τους. Παρόλα αυτά, αυτή η μετάβαση από τα «κλειστά<br />
συστήματα» σε «ανοικτά» δημιουργεί πλήθος κινδύνων για<br />
την ασφάλεια. Αυτοί οι κίνδυνοι πρέπει να αντιμετωπιστούν.<br />
Προκλήσεις<br />
Η ψηφιοποίηση και η 4η βιομηχανική επανάσταση θέτουν νέες<br />
προκλήσεις και απαιτούν νέες καινοτόμες λύσεις. Τα παλαιότερα<br />
συστήματα OT δεν σχεδιάστηκαν με γνώμονα να είναι<br />
ασφαλή, γεγονός που τα καθιστά ιδιαίτερα ευάλωτα σε κυβερνοεπιθέσεις<br />
και απειλές. Οποιαδήποτε παραβίαση των συστημάτων<br />
βιομηχανικού ελέγχου μπορεί να προκαλέσει σοβαρά<br />
προβλήματα, όπως διακοπές λειτουργίας και της παραγωγής,<br />
κίνδυνοι για την υγεία και την ασφάλεια και περιβαλλοντικές<br />
επιπτώσεις. Σήμερα, η πρόσβαση και η ταυτότητα έχει διαπιστωθεί<br />
ότι «καταναλώνονται» από ένα ευρύ φάσμα ενδιαφερομένων<br />
μερών εντός και εκτός της εταιρείας, γεγονός που<br />
αυξάνει αναλογικά την επιφάνεια επίθεσης καθώς πολλοί εταιρικοί<br />
πόροι βρίσκονται εκτεθειμένοι σε κυβερνοαπειλές. Από<br />
τις φυσικές υποδομές έως τις συσκευές και τις εφαρμογές, τα<br />
πάντα πλέον είναι ευάλωτα σε επιθέσεις και η τάση για κινητικότητα<br />
και συνεργασία μεταξύ επιχειρήσεων δυσχεραίνει την<br />
κατάσταση και αποδυναμώνει την κυβερνοασφάλεια. Όπως<br />
αναφέρθηκε και παραπάνω, μία υποδομή ΟΤ αποτελείται από<br />
36 security
Γιώργος Καπανίρης<br />
Executive Director, NSS<br />
www.nss.gr<br />
εξειδικευμένο εξοπλισμό και λογισμικό που ενδέχεται να μην<br />
σχεδιάστηκε με έμφαση την κυβερνοασφάλεια και την αντοχή<br />
σε κυβερνοεπιθέσεις. Μη παραδοσιακά τερματικά και βιομηχανικές<br />
συσκευές και μηχανήματα IIoT (Industrial<br />
Internet of Things) που βρίσκονται κατά χιλιάδες σε υποδομές<br />
και περιβάλλοντα OT ενδέχεται να μην «τρέχουν» κάποια<br />
σύγχρονη έκδοση ενός λειτουργικού συστήματος ή ακόμα και<br />
να μην έχουν την υπολογιστική ισχύ για την εκτέλεση ενός λογισμικού<br />
ασφαλείας όπως είναι ένα απλό anti-malware. Και<br />
καθώς όλα τείνουν να γίνονται πλέον όλο και πιο «συνδεδεμένα»,<br />
είναι πιο εκτεθειμένα σε ευπάθειες. Όλα τα παραπάνω<br />
περιπλέκουν ακόμη περισσότερο την κατάσταση και αυξάνουν<br />
δραματικά την επιφάνεια επίθεσης καθώς οι όποιες εργασίες<br />
πραγματοποιούνται από ανεπαρκώς θωρακισμένα οικιακά ή<br />
εταιρικά δίκτυα. Οι περισσότερες εταιρείες και οργανισμοί χρησιμοποιούν<br />
συνήθως VPΝ για προνομιακή πρόσβαση -π.χ. από<br />
προμηθευτές, εργαζομένους κ.ά- ωστόσο όπως είναι γνωστό,<br />
τα VPNs, δεν παρέχουν λεπτομερή έλεγχο της πρόσβασης,<br />
δεν παρέχουν δυνατότητα παρακολούθησης των συνεδριών<br />
ή οποιαδήποτε δυνατότητα διαχείρισης και πλέον θεωρούνται<br />
επικίνδυνα για χρήση σε ευαίσθητα περιβάλλοντα πόσο μάλλον<br />
σε υποδομές OT. Αυτή, η «διαχείριση των ενδιαφερομένων<br />
μερών» οδηγεί αναπόφευκτα στην υιοθέτηση τεχνολογιών<br />
διαχείρισης ταυτότητας και πρόσβασης (IAM και PAM).<br />
Το εξελισσόμενο τοπίο απειλών<br />
Η σύγκλιση <strong>IT</strong>-OT, μαζί με το Βιομηχανικό Διαδίκτυο των Πραγμάτων<br />
(IIoT), την Τεχνητή Νοημοσύνη ή το 5G έχουν φέρει την<br />
επανάσταση στις βιομηχανίες παγκοσμίως, μετατρέποντας τον<br />
κλάδο σε ένα υπερσυνδεδεμένο πλαίσιο που εγκυμονεί ευκαιρίες<br />
(π.χ. μείωση κόστους, αύξηση παραγωγικότητας, καινοτομίες<br />
κ.ά.) αλλά και κινδύνους που απαιτούν σωστή προετοιμασία.<br />
Σύμφωνα με μία πρόσφατη έκθεση της Deloitte σε<br />
συνεργασία με την Manufacturers Alliance for Productivity<br />
& Innovation (MAPI), το 40% των εργοστασίων και των επιχειρήσεων<br />
στον παραγωγικό και μεταποιητικό τομέα υπέστη<br />
κυβερνοεπίθεση πέρυσι̇ και το νούμερο είναι εκπληκτικό, αν<br />
σκεφτείτε πόσες τέτοιες επιχειρήσεις υπάρχουν σήμερα!<br />
Οι μεγαλύτερες προκλήσεις που αντιμετωπίζει ο κλάδος είναι:<br />
• H έλλειψη γνώσης στο εσωτερικό των οργανισμών<br />
σχετικά με τις απαιτήσεις κυβερνοασφάλειας για την<br />
διασφάλιση των περιουσιακών στοιχείων OT<br />
• Η απουσία ισχυρών πλαισίων ασφαλείας που να<br />
διέπουν τα συνδεδεμένα με <strong>IT</strong> περιουσιακά στοιχεία<br />
ΟΤ, κάτι που οδηγεί σε ευπάθειες του περιβάλλοντος<br />
παραγωγής<br />
• Η κυβερνοασφάλεια ΟΤ είναι απαιτητική σε πόρους<br />
και χωρίς κατάλληλη καθοδήγηση, οι απαιτήσεις<br />
για ασφάλεια μπαίνουν σε δεύτερη μοίρα σε σχέση<br />
με τους επιχειρηματικούς στόχους.<br />
• Χωρίς μία ισχυρή στρατηγική κυβερνοασφάλειας,<br />
οι ευπάθειες στα συστήματα ΟΤ μπορεί να παραμείνουν<br />
απαρατήρητες για μήνες ή χρόνια μέχρι τελικώς<br />
να εντοπιστούν από κάποιον χάκερ που θα τις εκμεταλλευτεί<br />
για να διαταράξει κρίσιμες λειτουργίες, να<br />
κλέψει δεδομένα ή να ζητήσει λύτρα.<br />
• Όλο και περισσότερες συσκευές και αισθητήρες<br />
διασυνδέονται μεταξύ τους, καθιστώντας το τοπίο<br />
των απειλών πιο επικίνδυνο.<br />
Υπάρχουν πολλά παραδείγματα εισβολέων που εκμεταλλεύονται<br />
τα τρωτά σημεία στα συστήματα ΟΤ, συλλέγουν πληροφορίες<br />
και προετοιμάζουν επιθέσεις χωρίς να γίνονται αντιληπτοί.<br />
Η επίθεση στην Colonial Pipeline που αναφέρθηκε παραπάνω<br />
θα μπορούσε να είχε αποτραπεί με επιδιορθώσεις<br />
λογισμικού, αυστηρή ασφάλεια όσον αφορά την απομακρυσμένη<br />
πρόσβαση και ισχυρό έλεγχο ταυτότητας πολλαπλών<br />
παραγόντων. Πρόσφατα επίσης, ένας σταθμός παραγωγής<br />
ηλεκτρικής ενέργειας στο Κίεβο, στην Ουκρανία, δέχτηκε<br />
επίθεση από χάκερ, οι οποίοι βρήκαν τρόπο να αποκτήσουν<br />
πρόσβαση σε λογαριασμούς υπαλλήλων (π.χ. αξιοποιώντας<br />
τεχνικές κοινωνικής μηχανικής), να κλιμακώσουν τα προνόμια<br />
για να μετακινηθούν στη συνέχεια εσωτερικά στο δίκτυο<br />
θέτοντας σε κίνδυνο ευάλωτα συστήματα OT και προκαλώντας<br />
διακοπές ρεύματος. Τα παραδείγματα αυτά καταδεικνύουν με<br />
σαφήνεια τον αντίκτυπο των κυβερνοεπιθέσεων σε υποδομές<br />
ζωτικής σημασίας και αποδεικνύουν την ανάγκη για μια<br />
στρατηγική κυβερνοασφάλειας <strong>IT</strong>/OT. Επίσης υπογραμμίζουν<br />
τη σημασία της διασφάλισης των ταυτοτήτων και της απομακρυσμένης<br />
πρόσβασης στα περιουσιακά στοιχεία κάθε επιχείρησης,<br />
εργοστασίου και οργανισμού. Και μη ξεχνάμε άλλωστε<br />
και την τεράστια βλάβη που προκαλούν στη φήμη του. Συνοψίζοντας,<br />
αν το περιβάλλον OT ενός εργοστασίου, μίας βιομηχανικής<br />
μονάδας ή εγκατάστασης βρεθεί αντιμέτωπο με κάποια<br />
κυβερνοεπίθεση, οι συνέπειες μπορεί να είναι οι παρακάτω:<br />
• Διακοπή παραγωγής: Η πλήρης διακοπή της παραγωγής<br />
είναι ένα από τα πιθανότερα αποτελέσματα<br />
μιας παραβίασης.<br />
• Οικονομικές επιπτώσεις: Δεδομένου ότι μια κυβερνοεπίθεση<br />
μπορεί να οδηγήσει σε μερική ή ολική<br />
διακοπή της λειτουργίας, οι οικονομικές απώλειες ενδέχεται<br />
να είναι σημαντικές.<br />
• Κίνδυνοι για τη ζωή ή την υγεία: Χωρίς την εφαρμογή<br />
των κατάλληλων μέτρων ασφαλείας, υπάρχει<br />
κίνδυνος παρεμβολών στον εξοπλισμό από τους επι-<br />
security<br />
37
T<strong>81</strong>09/10.2023<br />
Issue<br />
τιθέμενους/hackers. Και αυτό μπορεί να έχει απρόβλεπτες<br />
συνέπειες, από μολύνσεις έως υπερτάσεις<br />
και μέχρι την πρόκληση έκρηξης.<br />
• Νομικές επιπτώσεις: Θα μπορούσαν επίσης να<br />
υπάρξουν σοβαρές νομικές επιπτώσεις για τις επιχειρήσεις<br />
που δεν πληρούν τους κανονισμούς για την<br />
ασφάλεια των δεδομένων, όπως είναι ο Ευρωπαϊκός<br />
Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)<br />
ή οι οδηγίες NIS και NIS 2.<br />
• Κίνδυνοι για τη δημόσια ασφάλεια: Η διακοπή<br />
των δικτύων ενέργειας ή μεταφορών ή η διακοπή της<br />
λειτουργίας υπηρεσιών κοινής ωφέλειας, όπως είναι<br />
επιχειρήσεις φυσικού αερίου και νερού ενδέχεται να<br />
αποτελέσουν απειλή για τη δημόσια ασφάλεια.<br />
Προστασία βιομηχανικών υποδομών και<br />
βέλτιστες πρακτικές<br />
Οι οργανισμοί οφείλουν να κατανοήσουν ότι η διαχείριση της<br />
κυβερνοασφάλειας δεν γίνεται απλώς με τη μεταφορά των<br />
βέλτιστων πρακτικών ασφαλείας ΙΤ στα περιβάλλοντα ΟΤ. Οι<br />
λύσεις απομακρυσμένης πρόσβασης/ υποστήριξης καταναλωτικού<br />
επιπέδου δεν επαρκούν για την προστασία στα πιο<br />
ευαίσθητα περιβάλλοντα.<br />
1) Κατανοώντας τις διαφορές της ασφάλειας ΙΤ και ΟΤ<br />
- Η διάρκεια ζωής του εξοπλισμού και της τεχνολογίας σε<br />
βιομηχανικές μονάδες κυμαίνεται συνήθως μεταξύ 15 και<br />
20 ετών ή και περισσότερο. Οι υπολογιστές στις γραμμές<br />
παραγωγής είναι πλέον αρκετές δεκαετίες παλαιότεροι και<br />
βρίσκονται απομονωμένοι από τα συστήματα πληροφορικής<br />
που βρίσκονται πλέον σε κάθε σύγχρονο δίκτυο, από<br />
τις πλατφόρμες cloud ή από τις νεότερες εφαρμογές. Αντιθέτως,<br />
η διάρκεια εξοπλισμού ΙΤ σπάνια ξεπερνά τα 5 έτη.<br />
Αυτή η διαφορά έχει ως αποτέλεσμα να μην υπάρχουν ή να<br />
μην μπορούν να γίνουν επιδιορθώσεις εξαιτίας περιορισμών<br />
στους πόρους των ξεπερασμένων και ετερογενών τερματικών/<br />
υπολογιστών των περιβαλλόντων ΟΤ.<br />
2) Καθορισμός και εφαρμογή ενός μοντέλου διακυβέρνησης<br />
- Υπάρχουν πολλά μοντέλα διακυβέρνησης και<br />
απαιτήσεις συμμόρφωσης σε παγκόσμιο επίπεδο για τα συστήματα<br />
<strong>IT</strong> ωστόσο η ταχεία εισαγωγή και σύγκλιση της επιχειρησιακής<br />
τεχνολογίας (OT) με τα παραδοσιακά δίκτυα <strong>IT</strong><br />
δημιούργησαν πρόσθετες προκλήσεις για την ενσωμάτωση<br />
ελέγχων ασφαλείας. Οι διαφορετικές τεχνολογίες και δυνατότητες<br />
μεταξύ των συσκευών ΟΤ καθιστούν δύσκολη την<br />
εφαρμογή των απαιτούμενων ελέγχων ασφαλείας από μοντέλα<br />
διακυβέρνησης. Είναι λοιπόν επωφελές για τους οργανισμούς<br />
να εξετάσουν τις βασικές πολιτικές ασφαλείας και διαδικασίες<br />
για τον καθορισμό μίας περιεκτικής κατευθυντήριας<br />
γραμμής και ενός καλά προετοιμασμένου προγράμματος<br />
ασφαλείας που να είναι διαθέσιμο στο προσωπικό και στους<br />
διαχειριστές. Ο στόχος είναι οι πολιτικές και διαδικασίες αυτές<br />
να επικεντρώνονται στον εντοπισμό, στην αντιμετώπιση<br />
και στην πρόληψη περιστατικών κυβερνοασφάλειας.<br />
3) Εξοπλισμός και τοπογραφία δικτύου - Τα βιομηχανικά<br />
δίκτυα δημιουργούνται σταδιακά καθώς η παραγωγή αυξάνεται.<br />
Πολλές φορές όμως, με τη δημιουργία νέων γραμμών<br />
παραγωγής, εγκαθίσταται ετερογενής εξοπλισμός, από<br />
διαφορετικές μάρκες, διαφορετικά δικτυακά στοιχεία κ.ά.<br />
Το αποτέλεσμα είναι μία βιομηχανική υποδομή με ετερογενή<br />
στοιχεία εξοπλισμού που συνδέονται μεταξύ τους και<br />
παράγουν ροές δεδομένων για την παραγωγική διαδικασία,<br />
την εποπτεία ή τον βιομηχανικό έλεγχο. Όμως δεν γίνεται να<br />
προστατεύσετε κάτι που δεν μπορείτε να… δείτε. Μία ανάλυση<br />
των διασυνδέσεων και των εκάστοτε ιδιαιτεροτήτων<br />
της κίνησης των δεδομένων θα βοηθήσει στον εντοπισμό<br />
νέων ή κακόβουλων στοιχείων στα βιομηχανικά συστήματα<br />
ελέγχου (ICS).<br />
4) Εφαρμογή ενός πλαισίου μηδενικής εμπιστοσύνης -<br />
Η προστασία οποιουδήποτε δικτύου ξεκινά με τον προσδιορισμό<br />
κάθε συνδεδεμένου χρήστη, κάθε συνεδρίας και συσκευής<br />
και κάθε περιουσιακού στοιχείου που είναι διαθέσιμο<br />
για πρόσβαση. Για να υιοθετήσετε τη μηδενική εμπιστοσύνη<br />
σε οποιοδήποτε δίκτυο ΟΤ/<strong>IT</strong> εφαρμόστε τα παρακάτω:<br />
• Τμηματοποιήστε το δίκτυο: Παρέχετε πρόσβαση σε<br />
εφαρμογές ανεξάρτητα από τη πρόσβαση στο δίκτυο.<br />
Έτσι, εργολάβοι και προμηθευτές θα έχουν πρόσβαση<br />
μόνο στις απολύτως απαραίτητες εφαρμογές και συστήματα<br />
- χωρίς να απαιτούνται πολύπλοκες διαμορφώσεις<br />
firewall ή VPN.<br />
38 security
• Παρέχετε μικρο-τμηματοποίηση σε επίπεδο εφαρμογής<br />
για να αποτρέψετε χρήστες/υπαλλήλους από<br />
την εύρεση σε εφαρμογές που δεν είναι εξουσιοδοτημένοι<br />
να έχουν πρόσβαση. Έτσι, αποφεύγονται και τα<br />
ανθρώπινα λάθη - μία από τις κύριες αιτίες παραβιάσεων<br />
και διακοπών λειτουργίας.<br />
• Καθιερώστε ένα κεντρικό σημείο ορατότητας και<br />
προσβασιμότητας για όλα τα συστήματα. Καθώς οι<br />
περισσότερες ενσωματώσεις μεταξύ συστημάτων OT<br />
και <strong>IT</strong> οδηγούν σε αυτοματοποίηση, αυξημένη αποδοτικότητα<br />
και μείωση κόστους, είναι καλό να διατηρήσετε<br />
αυτά τα συστήματα γνωστά και διαθέσιμα μόνο<br />
σε εξουσιοδοτημένους χρήστες για να μειώσετε δραστικά<br />
την επιφάνεια επίθεσης.<br />
• που εκτελούνται μέσω απομακρυσμένης πρόσβασης<br />
(π.χ. μέσω καταγραφής on-screen video) για λόγους<br />
ασφάλειας και συμμόρφωσης. Ασκήστε λεπτομερή<br />
έλεγχο στις συνεδρίες, επιβάλλοντας τα ελάχιστα<br />
προνόμια και περιορίζοντας τις εντολές που μπορούν<br />
να εκτελεστούν ανά ταυτότητα/χρήστη.<br />
5) Αξιοποιήστε τα σωστά εργαλεία απομακρυσμένης<br />
πρόσβασης - Αν και τα εργαλεία VPN (Virtual Private<br />
Network) και RDP (Remote Desktop Protocol) χρησιμοποιούνται<br />
κατά κόρον για την απομακρυσμένη πρόσβαση, πλέον<br />
είναι ξεπερασμένα και δεν ανταποκρίνονται επαρκώς στις<br />
απαιτήσεις των σημερινών περιβαλλόντων μηδενικής εμπιστοσύνης<br />
και OT. Εξαλείψτε τη χρήση των VPN και RDP στις<br />
περιπτώσεις που σχετίζονται με προνομιακή πρόσβαση ή με<br />
τη πρόσβαση από τρίτους. Ο ψηφιακός μετασχηματισμός και<br />
η τεχνολογική σύγκλιση οδηγεί στην ανάγκη για ισχυρή βιομηχανική<br />
κυβερνοασφάλεια που όχι μόνο μπορεί να καλύψει<br />
τους βιομηχανικούς περιορισμούς (κύκλος ζωής, κρισιμότητα,<br />
επιχειρησιακή συνέχεια) και να υπερβεί τις πρώτες λύσεις<br />
περιμετρικής ασφάλειας, όπως τα antivirus και τα firewalls<br />
αλλά και που εισέρχεται στο σύγχρονο πεδίο της Διαχείρισης<br />
της Προνομιακής Πρόσβασης (PAM ή Privileged Access<br />
Management) που με τη σειρά της περιλαμβάνει τη Διαχείριση<br />
Ταυτότητας (Identity Management) και την Ασφάλεια<br />
Τερματικών (Endpoint <strong>Security</strong>).<br />
6) Εφαρμογή αξιόπιστων πρακτικών διαχείρισης προνομιακών<br />
διαπιστευτηρίων και ταυτοτήτων - Η κακή χρήση<br />
των κωδικών πρόσβασης αφθονεί σε περιβάλλοντα ΟΤ και<br />
εξακολουθεί να αποτελεί την κύρια αιτία των παραβιάσεων<br />
καθώς κρίσιμης σημασίας διαπιστευτήρια μοιράζονται εσωτερικά<br />
και εξωτερικά και η πρόσβαση δεν περιορίζεται σε<br />
συγκεκριμένες συσκευές ή τμήματα του δικτύου. Είναι απαραίτητο<br />
λοιπόν να μειώσετε τους κινδύνους που σχετίζονται<br />
με τη χρήση προνομιακών διαπιστευτηρίων, εφαρμόζοντας<br />
ισχυρή διακυβέρνηση της πρόσβασης σε κωδικούς πρόσβασης<br />
προνομιακών λογαριασμών και κλειδιά SSH.<br />
7) Διασφάλιση κανονιστικής συμμόρφωσης - Όπως είναι<br />
γνωστό, όλες πλέον οι κυβερνήσεις επιβάλλουν μέτρα<br />
για την αντιμετώπιση των απειλών κυβερνοασφάλειας και<br />
την προστασία των δεδομένων. Με τη χρήση των τεχνολογικών<br />
λύσεων OT.security by WALLIX διασφαλίζετε συμμόρφωση<br />
με τους πλέον αυστηρούς κανονισμούς και νομοθεσίες<br />
σε παγκόσμιο επίπεδο (IEC 62443, GDPR, NIS, NIS<br />
2, HIPAA κ.ά.).<br />
OT.security by WALLIX<br />
Με τις λύσεις OT.security εφαρμόζετε ασφάλεια μηδενικής<br />
εμπιστοσύνης (Zero Trust) στα περιβάλλοντα ΟΤ και επομένως<br />
μπορείτε να προστατεύσετε κάθε πρωτόκολλο και πρόσβαση,<br />
τοπική ή απομακρυσμένη και χωρίς να επηρεάζονται<br />
τα συστήματα παραγωγής.<br />
Η OT.security by<br />
WALLIX με την<br />
απαράμιλλη τεχνογνωσία<br />
OT και το λογισμικό<br />
που έχει πιστοποιηθεί από τη γαλλική Εθνική Υπηρεσία<br />
Κυβερνοασφάλειας παρέχει ειδικά σχεδιασμένες<br />
λύσεις για βιομηχανικά συστήματα ελέγχου. Οι λύσεις tης<br />
OT.security by WALLIX προστατεύουν τα ολοένα και περισσότερο<br />
εκτεθειμένα περιβάλλοντα OT χωρίς να επηρεάζουν<br />
τις βιομηχανικές διαδικασίες. Τα συγκεκριμένα προϊόντα<br />
σχεδιάστηκαν με τρόπο που να λαμβάνει υπόψη τους χρήστες<br />
και τις διαδικασίες, τις παραγωγικές ανάγκες, τους παγκόσμιους<br />
περιορισμούς, τους τομεακούς κανονισμούς και<br />
κρίσιμης σημασίας θέματα ασφάλειας.<br />
security<br />
39
T<strong>81</strong>09/10.2023<br />
Issue<br />
R2D2 …safeguards the grid<br />
Στο Star Wars, η ασφάλεια των μηχανών δεν είναι το δυνατό σημείο των πρωταγωνιστών. Από τον<br />
R2-D2 που ανοίγει την πόρτα του Death Star χρησιμοποιώντας έναν παλιό κωδικό, μέχρι τον C-3PO<br />
που παραβιάζεται από τον Darth Vader, οι μηχανές τους είναι συχνά ευάλωτες σε επιθέσεις.<br />
υτό δεν είναι τυχαίο. Οι μηχανές στο Star<br />
Α<br />
Wars είναι συχνά παλιές και ξεπερασμένες<br />
άρα πιο ευάλωτες σε επιθέσεις. Επιπλέον,<br />
συχνά δεν είναι σωστά συνδεδεμένες<br />
μεταξύ τους ή δε συντηρούνται/ενημερώνονται<br />
σωστά. Αυτό καθιστά πιο δύσκολο για τους διαστημικούς<br />
μας χρήστες να παρακολουθούν και να διαχειρίζονται<br />
την ασφάλεια των συστημάτων.<br />
Ας φύγουμε όμως από το γαλαξία πολύ πολύ<br />
μακριά και ας επιστρέψουμε στη Γη...<br />
…όπου όλα αυτά δεν είναι σενάριο επιστημονικής φαντασίας!<br />
Μηχανές ευάλωτες σε επιθέσεις από ευπάθειες και κενά<br />
ασφαλείας βρίσκονται παντού τριγύρω μας, ξεκινώντας από<br />
τις οικιακές συσκευές μας (όπως τηλεοράσεις, κλιματιστικά,<br />
ψυγεία, πλυντήρια), τον εξειδικευμένο βιομηχανικό εξοπλισμό<br />
(μηχανήματα παραγωγής, ρομπότ, συστήματα ελέγχου)<br />
και ολόκληρα τα συστήματα για τη διαχείριση της υποδομής<br />
μας, όπως τα δίκτυα μεταφοράς και διανομής ηλεκτρικής<br />
ενέργειας, τα συστήματα παροχής νερού και τα συστήματα<br />
συγκοινωνίας. Μπορεί όταν ακούμε για κυβερνοεπιθέσεις<br />
η πρώτη σκέψη που έρχεται στο μυαλό μας να<br />
είναι υπολογιστές, δίκτυα και servers δηλαδή, όμως οι επιθέσεις<br />
δεν περιορίζονται στον τομέα του <strong>IT</strong>.<br />
Οι κυβερνοεπιθέσεις μπορούν να στοχεύσουν βιομηχανικά<br />
συστήματα, γνωστά και ως OT (Operational Technology),<br />
που ελέγχουν τις προαναφερθείσες κρίσιμες υποδομές. Οι<br />
επιπτώσεις μιας τέτοιας επίθεσης μπορούν να είναι καταστροφικές,<br />
οδηγώντας σε διακοπές ρεύματος, διαρροές<br />
νερού ή ακόμη και τραυματισμούς ανθρώπων. Μάλιστα,<br />
τα συστήματα OT είναι συχνά παλαιότερα και πιο ευάλωτα<br />
σε επιθέσεις από τα συστήματα <strong>IT</strong>, και οι επιθέ-<br />
40 security
Αγγελική Ζαπαλίδη<br />
Information <strong>Security</strong> Consultant, Cyber Noesis<br />
www.cybernoesis.com<br />
σεις OT είναι συχνά πιο δύσκολο να εντοπιστούν και<br />
να αντιμετωπιστούν από τις επιθέσεις <strong>IT</strong>. Τα τελευταία<br />
χρόνια έχουν σημειωθεί πολλές και σημαντικές τέτοιες επιθέσεις<br />
που υπογραμμίζουν τη σημασία της ασφάλειας και<br />
αυτών των συστημάτων:<br />
• Το 2021, το Ukrainian Power Grid, το δίκτυο ηλεκτρικής<br />
ενέργειας της Ουκρανίας, έπεσε θύμα μιας<br />
μεγάλης κυβερνοεπίθεσης, που προκάλεσε διακοπές<br />
ρεύματος σε ολόκληρη τη χώρα. Είχαν προηγηθεί<br />
επιθέσεις το 2015 και 2016.<br />
• Το 2020, η Colonial Pipeline, μια εταιρεία που διαχειρίζεται<br />
ένα δίκτυο αγωγών πετρελαίου στις Ηνωμένες<br />
Πολιτείες, έπεσε θύμα μιας ransomware επίθεσης. Η<br />
επίθεση προκάλεσε διακοπές στην παροχή πετρελαίου<br />
σε μεγάλο μέρος των Ηνωμένων Πολιτειών.<br />
• Το 2019, η SolarWinds, μια εταιρεία που παρέχει<br />
λογισμικό διαχείρισης δικτύων, έπεσε θύμα μιας πολύπλοκης<br />
κυβερνοεπίθεσης. Η επίθεση επηρέασε χιλιάδες<br />
εταιρείες και οργανισμούς σε όλο τον κόσμο,<br />
συμπεριλαμβανομένων κυβερνητικών υπηρεσιών,<br />
εταιρειών ενέργειας και εταιρειών παροχής υπηρεσιών<br />
υγείας.<br />
• Το 2017, το WannaCry, μια ransomware επίθεση<br />
που στοχεύει σε εταιρείες και οργανισμούς σε όλο τον<br />
κόσμο, προκάλεσε διακοπές σε επιχειρήσεις και κυβερνητικές<br />
υπηρεσίες αλλά και στον τομέα της υγείας<br />
αφού εμπόδισε τη λειτουργία μαγνητικών τομογράφων<br />
(MRI).<br />
• Το 2016, η NotPetya, μια ransomware επίθεση που<br />
στοχεύει σε εταιρείες και οργανισμούς σε όλο τον κόσμο,<br />
προκάλεσε ζημιές δισεκατομμυρίων δολαρίων.<br />
• Το 2015, η Stuxnet, μια κυβερνοεπίθεση που στοχεύει<br />
σε εγκαταστάσεις πυρηνικής ενέργειας στο Ιράν,<br />
προκάλεσε σοβαρές ζημιές στα συστήματα ελέγχου.<br />
A Droid to the rescue!<br />
Το έργο R 2 D 2 (Reliability, Resilience and Defense<br />
technology for the griD) είναι ένα έργο χρηματοδοτούμενο<br />
από την Ευρωπαϊκή Επιτροπή που αναπτύσσει και επιδεικνύει<br />
καινοτόμες λύσεις για τη βελτίωση της ασφάλειας,<br />
της αξιοπιστίας και της ανθεκτικότητας των συστημάτων ηλεκτρικής<br />
ενέργειας (EPES).<br />
Χάρη στις διαρκώς εξελισσόμενες τεχνολογίες αλλά και τον<br />
ψηφιακό μετασχηματισμό σε πολλούς τομείς τα τελευταία<br />
χρόνια, μεταξύ των οποίων και η ενέργεια, είναι σημαντικό<br />
να προσαρμόζεται αναλόγως και η πρόληψη και προετοιμασία<br />
για τυχόν συμβάντα που απειλούν τη συνέχεια, τη διαθεσιμότητα<br />
και την ομαλή λειτουργία των υποδομών αυτών.<br />
Εύκολα μπορεί να σκεφτεί κανείς ότι ένα σύγχρονο σύστημα<br />
ηλεκτρικής ενέργειας διατρέχει πολλά ρίσκα που απειλούν<br />
τη σωστή λειτουργία του, από ένα ακραίο καιρικό φαινόμενο,<br />
μέχρι μια κακόβουλη κυβερνοεπίθεση. Ο έγκαιρος εντοπισμός<br />
ευπαθειών που καθιστούν τα EPES ευάλωτα σε περίπτωση<br />
τέτοιων συμβάντων είναι βασικός για την πρόληψη<br />
και αντιμετώπιση τους. Ένας από τους βασικούς τομείς εστίασης<br />
του έργου R 2 D 2 είναι η ασφάλεια OT στο ενεργειακό<br />
δίκτυο. Το έργο αναπτύσσει νέες τεχνολογίες για την παρακολούθηση,<br />
τον εντοπισμό και την απόκριση σε απειλές κατά<br />
των EPES. Σκοπός είναι η βελτίωση τόσο της ανθεκτικότητας<br />
όσο και της αξιοπιστίας των EPES απέναντι στις διαρκώς εξελισσόμενες<br />
απειλές, ανθρωπογενείς και μη, για την προστασία<br />
τόσο των παρόχων όσο και των τελικών χρηστών των<br />
δικτύων ενέργειας. Παράλληλα, αποσκοπεί στην αξιοποίηση<br />
γνώσεων των συμμετεχόντων για τη βελτίωση μεθοδολογιών<br />
ελαχιστοποίησης των ρίσκων και το σχεδιασμό προληπτικών<br />
μέτρων για την ακεραιότητα και συντήρηση των φυσικών<br />
αγαθών, και λύσεων σε όλες τις φάσεις αντιμετώπισης<br />
ενός περιστατικού με την υιοθέτηση καινοτόμων τεχνολογιών<br />
ασφαλείας τόσο σε επίπεδο <strong>IT</strong> όσο και OT.<br />
Οι ειδικοί στόχοι του έργου είναι:<br />
1. Συλλογή και ανάλυση δεδομένων από όλους τους ενδιαφερόμενους<br />
για την κατανόηση των τρωτών σημείων και<br />
των απειλών του συστήματος.<br />
2. Ανάπτυξη αρχών και απαιτήσεων για την ενίσχυση της<br />
ευελιξίας και της ασφάλειας του συστήματος.<br />
security<br />
41
T<strong>81</strong>09/10.2023<br />
Issue<br />
κόλυνση των εργασιών συντήρησης. Χρησιμοποιεί, επίσης,<br />
προηγμένες τεχνικές ανάλυσης και συσχέτισης που βασίζονται<br />
σε μεθόδους μηχανικής μάθησης και βαθιάς μάθησης<br />
για τον εντοπισμό απειλών και ευπαθειών, ανάλυση μοτίβων<br />
επίθεσης, ανάλυση κακόβουλου λογισμικού και προτάσεις<br />
αντιμετώπισης, λαμβάνοντας υπόψη τα προγνωστικά<br />
αναλυτικά στοιχεία για την πρόβλεψη απειλών.<br />
Τέλος, το R 2 D 2 χρησιμοποιεί νέες τεχνικές τεχνητής νοημοσύνης<br />
για να εξάγει πληροφορίες από την επεξεργασία δεδομένων<br />
που αποκτήθηκαν από υπάρχουσες πλατφόρμες.<br />
Αυτή η λειτουργία θα επιτρέπει την πρόβλεψη πιθανών αστοχιών<br />
στον εξοπλισμό, σε διαφορετικούς χρονικούς ορίζοντες,<br />
και την αυτοματοποίηση διαδικασιών για τη συντήρηση και<br />
τη διαχείριση των περιουσιακών αγαθών.<br />
3. Ανάπτυξη μέτρων ασφαλείας για την αντιμετώπιση των<br />
κυβερνοεπιθέσεων, με έμφαση στην ευελιξία και τη διαρκής<br />
προσαρμοστικότητα.<br />
4. Εφαρμογή οργανωτικών διαδικασιών και επιχειρησιακών<br />
στρατηγικών για τη δοκιμή της ανθεκτικότητας του συστήματος<br />
με διαφορετικούς τύπους επιθέσεων/σοβαρότητας.<br />
5. Δημιουργία συστήματος συλλογής και ανάλυσης δεδομένων<br />
για την επίλυση περιστατικών ασφάλειας.<br />
6. Χρήση αυτοματοποιημένων και ρομποτικών συσκευών<br />
για την παρακολούθηση και την επισκευή των φυσικών στοιχείων<br />
του συστήματος.<br />
7. Αξιολόγηση της αποτελεσματικότητας των μέτρων ασφαλείας<br />
και της οικονομικής τους αποδοτικότητας.<br />
8. Ανάπτυξη εργαλείων για την επιτάχυνση της αποκατάστασης<br />
του δικτύου μετά από φυσικές καταστροφές.<br />
9. Ανάπτυξη συστάσεων για την προώθηση της ασφάλειας<br />
και της ευελιξίας των συστημάτων ηλεκτρικής ενέργειας.<br />
Πιο αναλυτικά, το R 2 D 2 αποσκοπεί στη βελτίωση της ασφάλειας<br />
των συστημάτων αυτών αντιμετωπίζοντας τις διάφορες<br />
κατηγορίες κινδύνων που απειλούν την ομαλή λειτουργία<br />
τους αναπτύσσοντας τέσσερα καινοτόμα εργαλεία που<br />
βασίζονται σε δεδομένα και αυτοματοποιημένες, ρομποτικές<br />
τεχνολογίες.<br />
Μεταξύ αυτών, ένα εργαλείο αξιολόγησης κινδύνου που<br />
χρησιμοποιεί μια προσέγγιση βάσει δεδομένων και ανάλυσης<br />
αβεβαιότητας για τη μοντελοποίηση των κινδύνων, δίνοντας<br />
προτεραιότητα στην υιοθέτηση ψηφιακών τεχνολογιών και<br />
τεχνολογιών αυτοματισμού για τη βελτίωση της αξιοπιστίας<br />
του ηλεκτρικού εξοπλισμού και των assets και για τη διευ-<br />
Καινοτομία<br />
Το R 2 D 2 αξιοποιεί υφιστάμενα διεθνή πρότυπα και ευρέως<br />
αποδεκτές μεθόδους για τον καθορισμό μεθοδολογιών διαχείρισης<br />
κινδύνου των ενεργειακών συστημάτων κάθε υποτομέα,<br />
σε παλαιότερου τύπου συστήματα και πολύπλοκες<br />
υποδομές δικτύου, αλλά και πολύτιμες πληροφορίες που παρέχονται<br />
από πληροφορίες για απειλές στον κυβερνοχώρο,<br />
εκτιμήσεις ευπάθειας και υποδομές ασφάλειας διαχείρισης<br />
συμβάντων. Στόχος είναι η παρακολούθηση των επιπέδων<br />
κινδύνου και η άμεση ανταπόκριση σε περίπτωση απόκλισης<br />
από αυτά. Επιπλέον, παρέχει μια πλατφόρμα συνεργασίας<br />
για την ανταλλαγή αυτών των πληροφοριών μεταξύ άλλων<br />
ενδιαφερομένων.<br />
Η διαχείριση δεδομένων τόσο για παλαιού τύπου ενεργειακά<br />
δίκτυα όσο και για νέες λύσεις δικτύων που βασίζονται<br />
στο IoT απαιτούν πιο συγκεκριμένη προσέγγιση προκειμένου<br />
να παραδοθεί μια ασφαλής και αποκεντρωμένη λύση<br />
ασφάλειας για πολύπλοκες υποδομές cloud. Τα καινοτόμα<br />
εργαλεία του R 2 D 2 επιτρέπουν την παρακολούθηση των κανονικών<br />
λειτουργιών των ενεργειακών συστημάτων ώστε<br />
να παρέχουν πληροφορίες που επιτρέπουν να ανιχνεύει<br />
επιθέσεις zero-day και να παρακολουθεί συστήματα έξυπνου<br />
δικτύου.<br />
Εν κατακλείδι<br />
Συνολικά, η ασφάλεια των μηχανών στο Star Wars είναι<br />
ένα θέμα που αφήνει πολλά περιθώρια για βελτίωση.<br />
Ωστόσο, αυτό δεν εμποδίζει τους πρωταγωνιστές να σώσουν<br />
τη Γαλαξία, ακόμη και όταν πρέπει να διαχειριστούν συστήματα<br />
που είναι ευάλωτα σε επιθέσεις. Το έργο R 2 D 2 αποσκοπεί<br />
πρακτικά στο να γίνει η ασφάλεια OT πιο προσιτή σε όλους. OT<br />
<strong>Security</strong> for the masses to enjoy δηλαδή…<br />
42 security
Σύγκλιση δικτύων OT/<strong>IT</strong><br />
και κυβερνοασφάλεια<br />
ADAPTERA<br />
Email: info@adaptera.gr, Τηλ.: 2177770188<br />
www.adaptera.gr<br />
α δίκτυα OT είναι ζωτικής σημασίας για τους<br />
Τ<br />
οργανισμούς που δραστηριοποιούνται στην<br />
παραγωγή προϊόντων, την ενέργεια, και σε<br />
άλλους τομείς της βιομηχανίας, και είναι<br />
-φυσικά- στο επίκεντρο του μετασχηματισμού<br />
των επιχειρήσεων αυτών προς τα λεγόμενα "Industry<br />
4.0" τεχνολογικά, λειτουργικά και -κυρίως- επιχειρηματικά<br />
μοντέλα. Ο μετασχηματισμός αυτός σημαίνει ότι *(α)* επιταχύνεται<br />
η σύνδεση των OT και των <strong>IT</strong> δικτύων και *(β)*<br />
παράλληλα πληθαίνουν οι συσκευές IoT που αξιοποιούνται<br />
στην παραγωγή, τη διανομή και στα ίδια τα προϊόντα που<br />
πουλάνε πλέον πολλές εταιρίες.<br />
Η σύγκλιση του OT και του <strong>IT</strong> είναι, πλέον, πραγματικότητα,<br />
και παρότι αυτή η τάση προσφέρει εξαιρετικές ευκαιρίες,<br />
φέρνει -στην εποχή της έντονης διαδικτύωσης και<br />
του cloud computing- σημαντικές προκλήσεις για την<br />
προστασία της παραγωγής, της διανομής και των άλλων θεμελιακών<br />
συστατικών ενός βιομηχανικού οργανισμού. Δεν<br />
είναι υπερβολή να πούμε ότι η κυβερνοασφάλεια για τα OT<br />
δίκτυα και για το industrial IoT (IIoT) απαιτεί να περάσουν οι<br />
οργανισμοί σε ένα νέο μοντέλο προστασίας, το οποίο θα<br />
βασίζεται (α) στη χρήση "best-of-breed" λογισμικών και υπηρεσιών<br />
για την προστασία των βιομηχανικών δικτύων και<br />
πόρων στο edge και (β) θα **εντάσσεται** σε<br />
ένα ισχυρό πλαίσιο και λογισμικό προστασίας<br />
ολόκληρου του enterprise.<br />
Η Microsoft είδε από νωρίς αυτήν την ανάγκη<br />
για κορυφαία προστασία τόσο στο edge,<br />
όσο και στο σύνολο ενός βιομηχανικού οργανισμού,<br />
και γι’ αυτό το λόγο εξαγόρασε<br />
και πρόσθεσε στο εντυπωσιακό μίγμα<br />
cybersecurity προϊόντων που διαθέτει τις<br />
πρωτοποριακές λύσεις για OT security της<br />
CyberX. Η μετεξέλιξη του προϊόντος αυτού<br />
είναι το "Defender for IoT", το οποίο είναι<br />
ένα από τα κορυφαία προϊόντα για την<br />
κυβερνοασφάλεια σε περιβάλλοντα OT/ICS,<br />
και έχει 100δες σχετικές εγκαταστάσεις ανά<br />
τον κόσμο. Επιπλέον, το Defender for IoT<br />
προσφέρει μοναδική κάλυψη τόσο των παραδοσιακών<br />
OT/ICS συστημάτων ("brownfield") όσο και των<br />
νέων IoT συσκευών και δικτύων ("greenfield") που ολοένα<br />
πληθαίνουν στη βιομηχανία, τη διαχείριση κτιρίων και εγκαταστάσεων,<br />
την εφοδιαστική αλυσίδα, τη φυσική ασφάλεια<br />
και αλλού. Η ευελιξία αυτή οφείλεται σε μεγάλο βαθμό στην<br />
agentless αρχιτεκτονική του προϊόντος η οποία, σε συνδυασμό<br />
με τους προηγμένους αλγόριθμους συμπεριφορικής<br />
ανάλυσης (behavioral analytics), επιτρέπει αυτόματη αναγνώριση<br />
και συνεχή παρακολούθηση συσκευών OT και IoT<br />
που μέχρι πρότινος έμεναν στη «σκιά».<br />
Το Defender for IoT είναι -εν κατακλείδι- ένα "best of breed"<br />
λογισμικό προστασίας για OT/ICS περιβάλλοντα που καλύπτει<br />
επιπλέον όλες τις άλλες IoT συσκευές που τρέχει ένας<br />
οργανισμός (π.χ. για BMI, ασφάλεια, logistics, κ.ο.κ.), και<br />
-όπως θα περίμενε κάποιος- ενσωματώνεται αρμονικά στο<br />
παγκόσμιας κλάσης οικοσύστημα ασφαλείας της Microsoft.<br />
H ADAPTERA είναι ειδικευμένος συνεργάτης στο Microsoft<br />
Defender for IoT από το 2020 και, ως μέρος του ομίλου της<br />
Performance Technologies, διαθέτει ειδίκευση τόσο στο<br />
Azure Cloud <strong>Security</strong> όσο και στο Azure Threat Protection.<br />
Επιπλέον έχει μακροχρόνια εμπειρία σε έργα κυβερνοασφάλειας<br />
που βασίζονται σε network visibility και performance<br />
monitoring.<br />
security<br />
43
T<strong>81</strong>09/10.2023<br />
Issue<br />
ORTHOLOGY<br />
www.orthology.gr<br />
5 λόγοι γιατί το RMM της N-ABLE<br />
είναι η απόλυτη λύση διαχείρισης<br />
της πληροφορικής<br />
τον κόσμο της διαχείρισης <strong>IT</strong>, η χρήση των<br />
Σ<br />
σωστών εργαλείων είναι κρίσιμη για την<br />
επιτυχία. Το RMM (Remote Monitoring and<br />
Management) της N-ABLE έχει αναδειχθεί<br />
σε κορυφαία λύση, κερδίζοντας τη φήμη του<br />
ως η απόλυτη επιλογή για τους επαγγελματίες του <strong>IT</strong>. Σε αυτό<br />
το άρθρο, θα εμβαθύνουμε στις πέντε βασικές πτυχές που<br />
ξεχωρίζουν το RMM της N-ABLE και το καθιστούν μια εξαιρετική<br />
επιλογή για τη διαχείριση της ΤΠ.<br />
1. Proactive Monitoring: Το RMM της N-ABLE εφαρμόζει<br />
μια προληπτική προσέγγιση στη διαχείριση της πληροφορικής.<br />
Προσφέρει δυνατότητες παρακολούθησης<br />
σε πραγματικό χρόνο που δίνουν τη δυνατότητα στους<br />
επαγγελματίες του <strong>IT</strong> να προβλέπουν και να αντιμετωπίζουν<br />
τα προβλήματα πριν αυτά κλιμακωθούν. Παρέχοντας<br />
πληροφορίες σχετικά με την υγεία του δικτύου και<br />
των συσκευών, μειώνει τον χρόνο διακοπής λειτουργίας<br />
και διατηρεί την ομαλή λειτουργία των επιχειρήσεων.<br />
2. Στο επίκεντρο η ασφάλεια: Στο σημερινό ψηφιακό<br />
τοπίο, η ασφάλεια είναι αδιαπραγμάτευτη. Το RMM<br />
της N-ABLE ενσωματώνει προηγμένα χαρακτηριστικά<br />
ασφαλείας, όπως antivirus, προστασία από<br />
κακόβουλο λογισμικό και ανίχνευση ransomware,<br />
ως βασικό μέρος της προσφοράς του. Αυτό διασφαλίζει<br />
ότι το δίκτυό σας είναι οχυρωμένο απέναντι στις<br />
εξελισσόμενες απειλές στον κυβερνοχώρο, προστατεύοντας<br />
ευαίσθητα δεδομένα και διατηρώντας την<br />
επιχειρηματική συνέχεια.<br />
3. Απρόσκοπτη επεκτασιμότητα: Το RMM της N-ABLE<br />
κατανοεί ότι τα περιβάλλοντα ΙΤ εξελίσσονται. Είτε διαχειρίζεστε<br />
μια μικρή επιχείρηση είτε μια μεγάλη επιχείρηση,<br />
προσφέρει αβίαστη επεκτασιμότητα. Η προσθήκη<br />
νέων συσκευών ή η επέκταση του δικτύου σας γίνεται<br />
χωρίς προβλήματα, επιτρέποντάς σας να προσαρμόζεστε<br />
στις μεταβαλλόμενες ανάγκες χωρίς διακοπή.<br />
4. Εύκολη ενσωμάτωση: Η ενσωμάτωση είναι μια<br />
κοινή πρόκληση στη διαχείριση της πληροφορικής. Το<br />
RMM της N-ABLE αφαιρεί την πολυπλοκότητα από<br />
αυτή τη διαδικασία, καθώς ενσωματώνεται απρόσκοπτα<br />
με τα υπάρχοντα εργαλεία διαχείρισης <strong>IT</strong>. Αυτό<br />
σημαίνει ότι μπορείτε να δημιουργήσετε ένα ενοποιημένο<br />
οικοσύστημα διαχείρισης, να εξορθολογήσετε<br />
τις ροές εργασίας και να ενισχύσετε τη συνολική επιχειρησιακή<br />
αποδοτικότητα.<br />
5. Data-Driven Insights: Οι τεκμηριωμένες αποφάσεις<br />
οδηγούν στην επιτυχημένη διαχείριση της ΤΠ. Το RMM<br />
της N-ABLE παρέχει προσαρμόσιμες ειδοποιήσεις και<br />
λεπτομερείς αναφορές, προσφέροντας πολύτιμες πληροφορίες<br />
σχετικά με την απόδοση του δικτύου. Αυτές<br />
οι πληροφορίες επιτρέπουν στους επαγγελματίες του<br />
<strong>IT</strong> να κατανοούν την υγεία του συστήματος, να εντοπίζουν<br />
τάσεις και να λαμβάνουν αποφάσεις βάσει δεδομένων<br />
για τη βελτίωση των συνολικών λειτουργιών.<br />
Το RMM της N-ABLE είναι μια λύση που ενσωματώνει τις<br />
ανάγκες και τις προκλήσεις που αντιμετωπίζουν οι<br />
επαγγελματίες του <strong>IT</strong> στο σημερινό συνεχώς εξελισσόμενο<br />
τοπίο. Η προληπτική παρακολούθηση, η προσέγγιση<br />
με επίκεντρο την ασφάλεια, η αβίαστη επεκτασιμότητα, η<br />
απλουστευμένη ενσωμάτωση και οι πληροφορίες που βασίζονται<br />
σε δεδομένα το καθιστούν μια εξαιρετική επιλογή για τη<br />
διαχείριση της ΤΠ. Με την υιοθέτηση του RMM της N-ABLE,<br />
οι επαγγελματίες του <strong>IT</strong> αποκτούν έναν ισχυρό σύμμαχο στη<br />
διαχείριση πολύπλοκων περιβαλλόντων <strong>IT</strong>. Τους δίνει τη δυνατότητα<br />
να μετριάσουν τους κινδύνους, να διατηρήσουν ισχυρή<br />
ασφάλεια και να βελτιστοποιήσουν την απόδοση.<br />
44 security
Κωνσταντίνος Τσιαΐρης<br />
Technical Support Manager, Dataplex<br />
www.dataplex.gr<br />
Η επίδραση της λειτουργικής<br />
τεχνολογίας στην κυβερνοασφάλεια<br />
Προκλήσεις και τρόποι αντιμετώπισης<br />
λειτουργική τεχνολογία (OT) περιλαμβάνει<br />
ένα ευρύ φάσμα προγραμματιζόμενων<br />
Η<br />
συστημάτων και συσκευών που αλληλοεπιδρούν<br />
με το φυσικό περιβάλλον (ή διαχειρίζονται<br />
συσκευές που αλληλοεπιδρούν<br />
με το φυσικό περιβάλλον). Αυτά τα συστήματα και συσκευές<br />
εντοπίζουν ή προκαλούν μια άμεση αλλαγή μέσω της παρακολούθησης<br />
ή/και του ελέγχου συσκευών, διαδικασιών και<br />
συμβάντων (πχ συστήματα βιομηχανικού ελέγχου).<br />
Μεγάλο μέρος του σημερινού OT εξελίχθηκε από την εισαγωγή<br />
δυνατοτήτων πληροφορικής στα υπάρχοντα φυσικά<br />
συστήματα, συχνά αντικαθιστώντας ή συμπληρώνοντας μηχανισμούς<br />
φυσικού ελέγχου. Οι βελτιώσεις στο κόστος και<br />
στην απόδοση ενθάρρυναν αυτήν την εξέλιξη και οδήγησαν<br />
σε πολλές από τις σημερινές «έξυπνες» τεχνολογίες. Μέσα<br />
από την εν λόγω εξέλιξη, αυξήθηκε η συνδεσιμότητα και η<br />
κρισιμότητα αυτών των συστημάτων αλλά παράλληλα ενισχύθηκε<br />
η ανάγκη για περισσότερη ευελιξία, ανθεκτικότητα<br />
και ασφάλεια. Οι επιχειρήσεις μπορεί να θελήσουν να ενσωματώσουν<br />
πρακτικές που προέρχονται από το Εθνικό Ινστιτούτο<br />
Προτύπων και Τεχνολογίας (NIST) και το πλαίσιο<br />
M<strong>IT</strong>ER ATT&CK στις διαδικασίες τους για την αξιολόγηση<br />
των κινδύνων για τα συστήματα αποστολής και OT. Επιπλέον,<br />
η φύση των συστημάτων ΟΤ απαιτεί από τους οργανισμούς<br />
να λαμβάνουν υπόψη πρόσθετους παράγοντες που μπορεί<br />
να μην υπάρχουν κατά τη διεξαγωγή αξιολόγησης κινδύνου<br />
για ένα παραδοσιακό σύστημα πληροφορικής.<br />
Ο αντίκτυπος ενός συμβάντος στον κυβερνοχώρο σε περιβάλλον<br />
ΟΤ μπορεί να περιλαμβάνει τόσο φυσικές όσο και ψηφιακές<br />
επιπτώσεις που πρέπει να ενσωματώσουν οι αξιολογήσεις<br />
κινδύνου. Οι επιπτώσεις αυτές μπορεί να σχετίζονται<br />
με την ασφάλεια ή/και τη διαδικασία αξιολόγησης της ασφάλειας,<br />
με φυσικές επιπτώσεις στον κυβερνοχώρο σε ένα ΟΤ<br />
αλλά και συνέπειες που σχετίζονται με τον κίνδυνο του μη<br />
ψηφιακού ελέγχου σε στοιχεία εντός ενός ΟΤ. Η απομόνωση,<br />
η μηδενική εμπιστοσύνη (zero trust), οι σαφώς καθοριζόμενοι<br />
στόχοι για όλα τα στοιχεία που διαμορφώνουν το<br />
περιβάλλον και η ιεράρχηση των επενδύσεων που θα πρέπει<br />
να υλοποιηθούν, οι διαδικασίες και οι δεξιότητες που θα<br />
υποστηρίξουν τη σύγκλιση ΟΤ/ΙΤ είναι ορισμένες από τις βασικές<br />
παραμέτρους που θα μπορέσουν να οδηγήσουν στην<br />
εφαρμογή ενός ολοκληρωμένου σχεδίου διακυβέρνησης.<br />
Το σχέδιο αυτό σε κάθε περίπτωση θα πρέπει να στοχεύει<br />
στην ελαστικότητα με σκοπό την επιχειρηματική συνέχεια,<br />
την κυβερνοασφάλεια, την παραγωγικότητα, την βελτίωση<br />
του κόστους αλλά και τη βελτίωση της διακυβέρνησης συνολικά.<br />
Οι κατασκευαστές OT/IoT όλα αυτά τα χρόνια έχουν<br />
μεριμνήσει σε πολύ μικρό βαθμό για την ασφάλεια των συσκευών<br />
με αποτέλεσμα να γίνονται πολυάριθμες εγκαταστάσεις,<br />
που χωρίς την απαιτούμενη τεχνογνωσία μπορούν να<br />
αποτελέσουν έναν σημαντικό κίνδυνο για τους οργανισμούς.<br />
Η Dataplex αναγνωρίζοντας την κρισιμότητα της ανάπτυξης<br />
των υποδομών με ασφάλεια, ανθεκτικότητα και ευελιξία παρέχει<br />
ολοκληρωμένες λύσεις για παρακολούθηση των<br />
IoT/OT συσκευών, την ολοκληρωμένη προστασία τους, την<br />
εικονική διόρθωση (virtual patching) καθώς και τη λογική<br />
τμηματοποίηση των ΙΤ/ΟΤ.<br />
Οι λύσεις ασφάλειας και υποστήριξης που παρέχουμε είναι<br />
εξατομικευμένες στις ανάγκες των πελατών μας ενώ διαρκώς<br />
αναπτύσσουμε στρατηγικές συνεργασίες με προμηθευτές<br />
που αξιοποιούν αλγόριθμους τεχνικής νοημοσύνης για<br />
την επίτευξη όλων των παραπάνω.<br />
security<br />
45
T<strong>81</strong>09/10.2023<br />
Issue<br />
Bitdefender: Μήνας Cyber<br />
<strong>Security</strong> Awareness<br />
Οδοιπορικό προς την ανθεκτικότητα της ασφάλειας<br />
παγκόσμιος μήνας ευαισθητοποίησης στην<br />
Ο<br />
Κυβερνοασφάλεια, αποτελεί μια υπενθύμιση<br />
για ανασκόπηση των ενεργειών και των<br />
στρατηγικών που έχουμε υιοθετήσει για την<br />
ασφάλεια των ψηφιακών μας δεδομένων, για<br />
την επαναξιολόγηση πολιτικών και επιλογών που σχετίζονται<br />
άμεσα με τη διαχείριση και την προστασία της υποδομής, για<br />
ενημέρωση σχετικά με τις εξελίξεις, αλλά και έρευνα για το<br />
πως μπορούμε να ενισχύσουμε την ανθεκτικότητα. Το 2004,<br />
την πρώτη χρονιά που το DHS (Department of Homeland<br />
<strong>Security</strong>), όρισε μήνα <strong>Security</strong> Awareness τον Οκτώβριο, δεν<br />
μπορούσαν να φανταστούν την ταχύτητα των εξελίξεων αλλά<br />
και της πολυπλοκότητας γύρω από τις τεχνολογίες που σχετίζονται<br />
με τις ΤΠΕ. Εξελίξεις που οδήγησαν σε σημεία σταθμούς,<br />
όπως η μετάβαση στο Cloud και η ένταξη των IOTs/<br />
OTs στην καθημερινή λειτουργία οργανισμών κι επιχειρήσεων.<br />
Σχεδόν 20 χρόνια αργότερα, οι κυριότεροι φορείς στην<br />
ασφάλεια των ψηφιακών δεδομένων, όπως η ENISA και η<br />
CISA δημοσιεύουν πλέον καθημερινά προειδοποιήσεις για<br />
νέες απειλές σε OS, δίκτυα, εφαρμογές, ενώ η πρόσφατη ευρωπαϊκή<br />
οδηγία NIS 2, εντάσσοντας ακόμη περισσότερες<br />
επιχειρήσεις στις αυστηρές προδιαγραφές, επιβεβαιώνει πως<br />
οι συνθήκες στο ψηφιακό γίγνεσθαι, μόνο πιο επικίνδυνες<br />
αναμένονται. Προσεγγίζοντας επιγραμματικά τα κυριότερα<br />
σημεία που μπορούν να ενισχύσουν την ανθεκτικότητα<br />
στην κυβερνοασφάλεια, παρατηρούμε ότι η κουλτούρα των<br />
οργανισμών ως προς το θέμα, είναι ζωτικής σημασίας,<br />
καθώς η ασφάλεια του οργανισμού είναι τόσο δυνατή,<br />
όσο το πιο αδύναμο σημείο της.<br />
Δέσμευση ηγεσίας: Η κουλτούρα του οργανισμού ξεκινά<br />
από την κορυφή. Η ανώτερη ηγεσία θα πρέπει να επιδείξει<br />
ισχυρή δέσμευση για την ασφάλεια στον κυβερνοχώρο με<br />
την κατανομή πόρων, τον καθορισμό πολιτικών και την προώθηση<br />
μιας κουλτούρας ευαισθητοποίησης για την ασφάλεια.<br />
Εκπαίδευση και Κατάρτιση: Η παροχή ολοκληρωμένης<br />
εκπαίδευσης στον κυβερνοχώρο σε όλο το προσωπικό, ανε-<br />
46 security
Σίσσυ Ρουσιά<br />
Business Development Manager,<br />
Bitdefender Greece & Cyprus, www.bitdefender.gr<br />
ξαρτήτως ρόλου, θα πρέπει να καλύπτει τα βασικά στοιχεία<br />
της κυβερνοασφάλειας, τις κοινές απειλές και τις βέλτιστες<br />
πρακτικές για την ασφάλεια.<br />
Προσομοιώσεις phishing και άλλων επιθέσεων<br />
Σαφείς πολιτικές και διαδικασίες: Οι εργαζόμενοι θα πρέπει<br />
να γνωρίζουν πώς να χειρίζονται ευαίσθητα δεδομένα, να<br />
χρησιμοποιούν ασφαλείς κωδικούς πρόσβασης και να αναφέρουν<br />
περιστατικά ασφαλείας.<br />
Εκπαίδευση αντιμετώπισης περιστατικών: Η εκπαίδευση<br />
του προσωπικού σχετικά με το τι πρέπει να κάνουν σε<br />
περίπτωση συμβάντος ασφαλείας ή παραβίασης, μπορεί να<br />
μειώσει δραματικά τον χρόνο απόκρισης, ενισχύοντας την<br />
ανθεκτικότητα.<br />
Συμμετοχή των εργαζομένων: Η ενθάρρυνση του προσωπικού<br />
μπορεί να περιλαμβάνει την αναφορά ύποπτης δραστηριότητας,<br />
την πρόταση βελτιώσεων ασφάλειας κ.α<br />
Επιβράβευση και αναγνώριση: Αναγνωρίστε και επιβραβεύστε<br />
ενεργά κάθε προσπάθεια για την ασφάλεια στον κυβερνοχώρο<br />
ενισχύοντας την επίγνωση και την επαγρύπνηση.<br />
Τακτικές ενημερώσεις: Το τοπίο απειλών εξελίσσεται συνεχώς<br />
και η εκπαίδευση πρέπει να είναι μια συνεχής διαδικασία.<br />
Εργαλεία και τεχνολογία ασφαλείας: Η επιλογή εργαλείων<br />
και τεχνολογιών βάσει των προκαθορισμένων κριτηρίων<br />
του εκάστοτε οργανισμού, με κύριο γνώμονα την ασφάλεια,<br />
όπως λογισμικό προστασίας τερματικών, συστήματα ανίχνευσης<br />
εισβολών , backups κ.α.<br />
Διεξαγωγή ασκήσεων ασφαλείας: Η συχνή διεξαγωγή<br />
security assessments βοηθά στον εντοπισμό περιοχών που<br />
χρειάζονται βελτίωση.<br />
Τρίτοι προμηθευτές: Οι εξωτερικοί συνεργάτες που έχουν<br />
πρόσβαση στα συστήματα ή στο δίκτυο των οργανισμών, θα<br />
πρέπει να αντιμετωπίζονται ως κομμάτι του οργανισμού και<br />
να υπάρχει μέριμνα και για την δική τους ευαισθητοποίηση<br />
στην κυβερνοασφάλεια (πιστοποιήσεις, απαίτηση ασφάλειας<br />
της υποδομής τους, εκπαίδευση των χρηστών τους κ.α.)<br />
Συνεχής βελτίωση: Η τακτική επαναξιολόγηση της αποτελεσματικότητας<br />
όλων των παραπάνω κρίνεται αναγκαία για<br />
την διατήρηση μιας ζωντανής στρατηγικής άμυνας.<br />
Η οικοδόμηση κουλτούρας με επίγνωση στην ασφάλεια,<br />
είναι μια συνεχής διαδικασία που απαιτεί δέσμευση,<br />
πόρους και συνεργασία σε ολόκληρο τον οργανισμό. Τα<br />
τερματικά, αποτελούν το liaison των κυριότερων σημείων<br />
του οργανισμού και η έγκυρη προστασία τους μπορεί να<br />
επικυρώσει την εφαρμογή των πολιτικών και των ακριβών<br />
επενδύσεων της υποδομής. Οτιδήποτε ανταλλάσσει πληροφορία<br />
εντός και εκτός του εταιρικού περιβάλλοντος, καταλήγει<br />
ή περνάει από τα τερματικά. Χρήστες, δίκτυα, emails,<br />
cloud εφαρμογές καταλήγουν στα τερματικά, όπου η ελλιπής<br />
προστασία τους μπορεί να καταρρίψει και το πιο<br />
καλοσχεδιασμένο μοντέλο κυβερνοασφάλειας. Γι’αυτό,<br />
είναι σημαντικό οι οργανισμοί να έχουν αυστηρά κριτήρια<br />
όταν επιλέγουν λύσεις ασφαλείας για τα τερματικά τους, λαμβάνοντας<br />
υπόψη την κάλυψη δύο σημαντικών παραγόντων<br />
του security: το multivendor περιβάλλον και την συμβατότητα<br />
των εργαλείων που ενισχύει την άμεση απόκριση. Η<br />
Bitdefender, Παγκόσμιος Ηγέτης στον τομέα της κυβερνοασφάλειας,<br />
με όραμα ένα ασφαλές περιβάλλον όπου οι<br />
οργανισμοί θα μπορούν να αναπτύσσουν τις δραστηριότητές<br />
τους περιορίζοντας τον κίνδυνο κυβερνοεπιθέσεων, προσφέρει<br />
ολοκληρωμένες λύσεις προστασίας εσωτερικά της περιμέτρου.<br />
Στοχεύοντας τόσο στην πρόληψη και την θωράκιση<br />
όσο και στην άμεση αντιμετώπιση περιστατικών με στόχο<br />
την ανθεκτικότητα, έχει επιστρατεύσει τεχνολογίες αιχμής<br />
σε μια ενιαία πλατφόρμα cloud ή on-premise, και παρέχει<br />
όλες τις λειτουργίες σε 1 μοναδικό agent, συμβατό για κάθε<br />
λειτουργικό (windows,linux,mac,virtual,mobiles). Σε όλες<br />
τις εκδόσεις, προσφέρει αυξημένη ορατότητα με λειτουργίες<br />
όπως το Risk Management που παρέχει ενημέρωση για<br />
misconfigurations, έλλειψη Patches και misbehaviours<br />
των χρηστών, δίνοντας άμεση εικόνα για τις ευπάθειες<br />
της υποδομής. Ενώ στις εκδόσεις Premium και Enterprise,<br />
η αυτοματοποίηση διαδικασιών μεταξύ Endpoint Protection,<br />
Patch Management, Cloud Email <strong>Security</strong>, EDR και XDR, μπορούν<br />
να βελτιώσουν σημαντικά τους χρόνους απόκρισης, περιορίζοντας<br />
τα false positives. Η διευρυμένη ορατότητα από<br />
άκρη σε άκρη, όπου ανταλλάσσεται πληροφορία, βασισμένη<br />
στο μεγαλύτερο Intelligence Network παγκοσμίως,<br />
ενισχύει την αποδοτικότητα των ομάδων ασφαλείας ενώ τα<br />
ενσωματωμένα εργαλεία όπως το Sand Box Analyzer και το<br />
Forensic Analysis προσφέρουν πληροφορίες που βοηθούν<br />
στην λήψη αποφάσεων. Όσα χρειάζονται οι ομάδες ασφαλείας,<br />
αλλά και οι επιχειρήσεις που δεν διαθέτουν πολυμελή ομάδα<br />
<strong>IT</strong>, για την ασφάλεια και την διαχείριση των endpoints, προσφέρονται<br />
σε μια εύχρηστη ενιαία πλατφόρμα, βραβευμένη<br />
από καταξιωμένους φορείς τους κλάδου για την αποτελεσματικότητά<br />
της. Το Gravity Zone, με zero trust πολυεπίπεδη<br />
αρχιτεκτονική και περισσότερους από 30 μηχανισμούς<br />
ασφαλείας, συνεργάζεται με τα περισσότερα αναγνωρισμένα<br />
SIEM και αποτελεί την value for money επιλογή σε περιβάλλοντα<br />
όπου η ασφάλεια είναι σημαντική. Επικοινωνήστε<br />
με την Bitdefender και ενημερωθείτε για την λύση που ταιριάζει<br />
στις δικές σας ανάγκες: Ελλάδα| 215-5353030 | info@<br />
bitdefender.gr | www.bitdefender.gr<br />
security<br />
47
T<strong>81</strong>09/10.2023<br />
Issue<br />
Οι κατασκευαστές λύσεων και πάροχοι<br />
υπηρεσιών κυβερνοασφάλειας<br />
μπροστά σε νέες προκλήσεις<br />
Η αγορά της κυβερνοασφάλειας εξελίσσεται συνεχώς και προσαρμόζεται στις αναδυόμενες<br />
απειλές και τις τεχνολογικές εξελίξεις.<br />
ι κανονισμοί περί απορρήτου δεδομένων και<br />
Ο<br />
συμμόρφωσης δίνουν έμφαση στην προστασία<br />
ευαίσθητων πληροφοριών. Η ασφάλεια<br />
στο σύννεφο (cloud) έχει γίνει ζωτικής σημασίας<br />
καθώς περισσότεροι οργανισμοί υιοθετούν<br />
σχετικές υποδομές. Η τεχνητή νοημοσύνη και η μηχανική<br />
μάθηση χρησιμοποιούνται για τη βελτίωση των δυνατοτήτων<br />
ανίχνευσης και απόκρισης απειλών. Η ασφάλεια των<br />
συσκευών Internet of Things (IoT) είναι μια αυξανόμενη<br />
ανησυχία. Η αρχιτεκτονική Μηδενικής Εμπιστοσύνης (Zero<br />
Trust) αντικαθιστά τα παραδοσιακά μοντέλα ασφαλείας που<br />
βασίζονται σε περιμετρικά. Η ασφάλεια των κινητών είναι<br />
σημαντική λόγω της ευρείας χρήσης smartphone και tablet.<br />
Ταυτόχρονα, οι λύσεις Threat Intelligence και Analytics<br />
βοηθούν τους οργανισμούς να εντοπίζουν και να ανταποκρίνονται<br />
τάχιστα σε απειλές. Οι Διαχειριζόμενες Υπηρεσίες<br />
Ασφαλείας (Managed <strong>Security</strong> Services) κερδίζουν δημο-<br />
τικότητα καθώς οι επιχειρήσεις αναθέτουν σε εξωτερικούς<br />
συνεργάτες τις λειτουργίες τους στον κυβερνοχώρο. Τα προγράμματα<br />
εκπαίδευσης και ευαισθητοποίησης των χρηστών<br />
στοχεύουν στον μετριασμό των ανθρώπινων σφαλμάτων. Η<br />
ενσωμάτωση και η ενορχήστρωση λύσεων κυβερνοασφάλειας<br />
καθίστανται ουσιαστικές για την αποτελεσματικότητα των<br />
λύσεων αυτών. Η παρακολούθηση αυτών των τάσεων και η<br />
επένδυση στις σωστές στρατηγικές και τεχνολογίες κυβερνοασφάλειας<br />
είναι ζωτικής σημασίας για τους οργανισμούς<br />
να προστατεύουν τα συστήματα και τα δεδομένα τους από<br />
τις εξελισσόμενες απειλές. Αυτές οι τάσεις, ωστόσο, δεν είναι<br />
ο μόνος τομέας στον οποίο θα πρέπει να επικεντρωθούν οι<br />
προμηθευτές και οι πάροχοι υπηρεσιών κυβερνοασφάλειας<br />
για το μέλλον. Μια άλλη τάση που θα πρέπει να βάλουν στο<br />
ραντάρ τους, είναι η ίδια η εξέλιξη / εξαφάνιση της διάκρισης<br />
μεταξύ Προϊόντος και Υπηρεσιών Ασφάλειας<br />
Κυβερνοχώρου.<br />
48 security
Παναγιώτης Καλαντζής<br />
Cyber <strong>Security</strong> & Data Privacy Expert<br />
Εξέλιξη προϊόντων και υπηρεσιών ασφάλειας<br />
στον κυβερνοχώρο<br />
Η διάκριση μεταξύ προϊόντων και υπηρεσιών κυβερνοασφάλειας<br />
γίνεται όλο και πιο θολή. Καθώς προχωράμε στο μέλλον,<br />
η εκτίμηση είναι ότι αυτή η διάκριση θα εξαφανιστεί τελικά<br />
εντελώς. Οι πάροχοι υπηρεσιών έχουν ξεκινήσει και αναπτύσσουν<br />
προϊόντα κυβερνοασφάλειας για να ενισχύσουν την ικανότητά<br />
τους να εξυπηρετούν αποτελεσματικά μια μεγαλύτερη<br />
πελατειακή βάση, να βελτιώνουν την κερδοφορία και να καθιερωθούν<br />
ως πάροχοι προϊόντων και υπηρεσιών. Αυτή η<br />
στρατηγική κίνηση τους καθιστά πιο ελκυστικούς για πιθανούς<br />
επενδυτές και ενισχύει τα μελλοντικά περιθώρια κέρδους. Εν<br />
τω μεταξύ, οι πελάτες / οργανισμοί δεν ενδιαφέρονται πια,<br />
ως επί το πλείστων, στην αγορά απλώς ενός προϊόντος ή μιας<br />
υπηρεσίας. Αναζητούν το επιθυμητό αποτέλεσμα, την βέλτιστη<br />
λύση στους προβληματισμούς τους για την αποδοτική<br />
προστασία των δεδομένων, των πληροφοριακών πόρων, και<br />
εν τέλει του ίδιου του οργανισμού.<br />
Πως θα πρέπει να αντιδράσουν οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών<br />
Για να ακολουθήσει την τάση της ασαφούς διακριτικής γραμμής<br />
μεταξύ προϊόντων και υπηρεσιών κυβερνοασφάλειας,<br />
ένας Κατασκευαστής Λύσεων ή εταιρεία Παροχής Υπηρεσιών<br />
θα πρέπει να εξετάσει τις ακόλουθες ενέργειες:<br />
• Προσαρμογή επιχειρηματικού μοντέλου: Οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει<br />
να αξιολογήσουν το τρέχον επιχειρηματικό μοντέλο<br />
τους και να διερευνήσουν τρόπους για να ενσωματώσουν<br />
προσφορές υπηρεσιών και προϊόντων. Αυτό μπορεί<br />
να περιλαμβάνει την ανάπτυξη συμπληρωματικών<br />
υπηρεσιών για την ενίσχυση της αξίας των υπαρχόντων<br />
προϊόντων ή τη δημιουργία δεσμών προϊόντων-υπηρεσιών<br />
που καλύπτουν τις ανάγκες των πελατών.<br />
• Έμφαση στις ανάγκες των πελατών: Αντί να εστιάζουν<br />
αποκλειστικά στην πώληση προϊόντων ή υπηρεσιών,<br />
οι Κατασκευαστές Λύσεων και οι Πάροχοι<br />
Υπηρεσιών θα πρέπει να δώσουν προτεραιότητα στην<br />
κατανόηση των αναγκών των πελατών και στην παροχή<br />
επιθυμητών αποτελεσμάτων και να προσαρμόσουν<br />
τις προσφορές για να αντιμετωπίσουν συγκεκριμένα<br />
προβλήματα και να παρέχουν ολοκληρωμένες λύσεις<br />
που υπερβαίνουν ένα μεμονωμένο προϊόν ή υπηρεσία.<br />
• Επένδυση στην έρευνα & ανάπτυξη: Οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει<br />
να διαθέσουν πόρους σε πρωτοβουλίες έρευνας και<br />
ανάπτυξης που θα τους επιτρέπουν να καινοτομήσουν<br />
και να εισάγουν νέα προϊόντα και υπηρεσίες. Θα πρέπει<br />
επίσης να διερευνήσουν ευκαιρίες για ενσωμάτωση<br />
τεχνολογίας, αυτοματισμού και τεχνητής νοημοσύνης<br />
για να βελτιώσουν τις προσφορές τους τόσο σε επίπεδο<br />
προσέγγισης, όσο και αποτελέσματος.<br />
• Δημιουργία στρατηγικών συνεργασιών: Οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών θα<br />
πρέπει να βάλουν στο τραπέζι πιθανές συνεργασίες<br />
με άλλες εταιρείες, τόσο εντός όσο και εκτός του κλάδου<br />
της κυβερνοασφάλειας, για να αξιοποιήσουν συμπληρωματικά<br />
πλεονεκτήματα.<br />
• Βελτίωση της επεκτασιμότητας: Οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει να αναπτύξουν<br />
επεκτάσιμες λύσεις με δυνατότητες φιλοξενίας<br />
μιας αυξανόμενης πελατειακής βάσης χωρίς να<br />
θυσιάζεται η ποιότητα του παρεχόμενου προϊόντος ή<br />
υπηρεσίας. • Εστίαση στην εμπειρία του πελάτη: Η<br />
προτεραιότητα στην παροχή εξαιρετικών εμπειριών<br />
πελατών σε ολόκληρο τον κύκλο ζωής του προϊόντος<br />
ή της υπηρεσίας, προσφέροντας παράλληλα εξατομικευμένη<br />
υποστήριξη, προληπτική παρακολούθηση<br />
και συνεχή βελτίωση για την ενίσχυση των μακροπρόθεσμων<br />
σχέσεων με τους πελάτες θα πρέπει να<br />
είναι ο νέος τρόπος λειτουργίας.<br />
• Διαρκής ενημέρωση και ευελιξία: Οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει να<br />
συμβαδίζουν με τις εξελισσόμενες τάσεις, τις αναδυόμενες<br />
τεχνολογίες και τις μεταβαλλόμενες απαιτήσεις<br />
των πελατών, να προσαρμόζονται γρήγορα στις αλλαγές<br />
της αγοράς και να κάνουν τις απαραίτητες προσαρμογές<br />
στις προσφορές και τις στρατηγικές για να<br />
παραμείνουν ανταγωνιστικοί.<br />
• Ελκυστικότητα για επενδυτές: Οι Κατασκευαστές<br />
Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει να επιδεικνύουν<br />
την ικανότητα παροχής τόσο καινοτόμων<br />
προϊόντων όσο και υπηρεσιών υψηλής αξίας για την<br />
προσέλκυση επενδυτών, τονίζοντας τη δυνατότητα<br />
αύξησης εσόδων, επεκτασιμότητας και διαφοροποίησης<br />
της αγοράς για αύξηση του πιθανού επενδυτικού<br />
ενδιαφέροντος.<br />
Υιοθετώντας τις παραπάνω προσεγγίσεις, ένας Κατασκευαστές<br />
Λύσεων ή και Πάροχος Υπηρεσιών κυβερνοασφάλειας<br />
μπορεί να ευθυγραμμιστεί με το εξελισσόμενο τοπίο των<br />
απειλών και της τεχνολογίας, και να τοποθετηθεί με επιτυχία<br />
στην αγορά, ανταποκρινόμενος με την μέγιστη πιθανή<br />
επιτυχία στις προσδοκίες και ανάγκες των σύγχρονων οργανισμών/πελατών.<br />
security<br />
49
T<strong>81</strong>09/10.2023<br />
Issue<br />
Διακοπές, βιβλία και τεχνολογία<br />
Ένας συνδυασμός που ανοίγει τον δρόμο για<br />
συναρπαστικές συζητήσεις.<br />
αθώς το καλοκαίρι που πέρασε ο χρόνος<br />
Κ<br />
επέτρεπε λίγη ανάπαυση, βρήκα την ευκαιρία<br />
να επιστρέψω στον κόσμο της ανάγνωσης.<br />
Είναι αρκετά συνηθισμένο να βρίσκουμε<br />
την ψυχαγωγία μας στην τεχνολογία και<br />
τις οθόνες μας, αλλά φέτος, αποφάσισα να την αναζητήσω<br />
στον ήχο του ξεφυλλίσματος και στη μυρωδιά των σελίδων<br />
των βιβλίων που ευωδίαζαν σχεδόν σαν καινούρια.<br />
Το «καταφύγιο» της βιβλιοθήκης μου για πάνω από δύο<br />
δεκαετίες, επιτέλους, απέκτησε ζωή. Δύο αξιόλογα βιβλία,<br />
που κείτονταν στα ράφια με υπομονή, είχαν την ευκαιρία<br />
να βγουν από τις σελίδες τους και να «κοινωνήσουν» τις<br />
σκέψεις και τις ιδέες τους μαζί μου. Τα βιβλία αυτά, με τους<br />
τίτλους «Τι Δεν Μπορούν Ακόμη να Κάνουν οι Υπολογιστές»<br />
και «Does <strong>IT</strong> Matter», μεταφέρουν τις απόψεις<br />
δύο σημαντικών συγγραφέων, του Hubert L. Dreyfus και<br />
του Nicholas Carr αντίστοιχα,<br />
σχετικά με την τεχνολογία<br />
και την τεχνητή νοημοσύνη.<br />
Όταν άνοιξα τις σελίδες<br />
αυτών των βιβλίων, αισθάνθηκα<br />
σαν να άνοιγα ένα<br />
παράθυρο προς το παρελθόν<br />
και το μέλλον της τεχνολογίας.<br />
Είναι συναρπαστικό να<br />
βλέπουμε πώς οι υπολογιστές<br />
και η τεχνητή νοημοσύνη<br />
«αλληλεπιδρούν» με<br />
την καθημερινότητά μας και<br />
παράλληλα, πόσο μακριά είμαστε<br />
ακόμα από την πλήρη<br />
αξιοποίηση της δυναμικής<br />
τους. Η παγκόσμια εξέλιξη<br />
της τεχνολογίας έχει<br />
οδηγήσει σε εντυπωσιακές<br />
και πολυδιάστατες εξελίξεις<br />
στον τομέα της πληροφορικής.<br />
Οι υπολογιστές<br />
έχουν γίνει αναπόσπαστο κομμάτι της καθημερινότητάς μας,<br />
καλύπτοντας μια ευρεία γκάμα εργασιών.<br />
Παρόλα αυτά, ακόμα και με την ανεπανάληπτη πρόοδο που<br />
έχει σημειωθεί, υπάρχουν πολλά πεδία όπου οι υπολογιστές<br />
αντιμετωπίζουν προκλήσεις και περιορισμούς. Το βιβλίο<br />
«Τι Δεν Μπορούν Ακόμη να Κάνουν οι Υπολογιστές» του<br />
Dreyfus, αποτελεί εκκίνηση για να εξετάσουμε τα όρια της<br />
τεχνολογίας, τη δύναμη της τεχνητής νοημοσύνης και τους<br />
πιθανούς κινδύνους που ενδέχεται να συνοδεύουν τη χρήση<br />
της. Το βιβλίο προσεγγίζει το θέμα της τεχνητής νοημοσύνης<br />
με κριτικό μάτι, αναδεικνύοντας τους περιορισμούς που παραμένουν<br />
στον τομέα αυτό.<br />
Παρόλο που η τεχνολογία έχει επιτύχει απίστευτα αποτελέσματα,<br />
η αναγνώριση συναισθημάτων, η κατανόηση του ανθρώπινου<br />
περιβάλλοντος και η δημιουργικότητα παραμένουν<br />
προκλήσεις. Οι υπολογιστές μπορεί να αναγνωρίζουν<br />
50 security
Του Σταμάτη Πασσά<br />
itSMF Hellas Vice-Chair<br />
πρότυπα, αλλά δυσκολεύονται να ερμηνεύσουν τον βαθύ<br />
νοήμονα τρόπο με τον οποίο λειτουργεί ο ανθρώπινος νους.<br />
Αν και, πριν περίπου μισό σχεδόν αιώνα, ο πρωτοπόρος της<br />
επιστήμης Η/Υ Άλαν Τούρινγκ διατύπωσε την άποψη ότι ένας<br />
ψηφιακός υπολογιστής υψηλής ταχύτητας, προγραμματισμένος<br />
με κανόνες και γεγονότα, θα μπορούσε να επιδείξει νοήμονα<br />
συμπεριφορά. Μετά από χρόνια προσπαθειών, η απόπειρα<br />
να παραχθεί γενική νοημοσύνη έχει αποτύχει;<br />
Η δύναμη της τεχνητής νοημοσύνης είναι παραδόξως<br />
ισχυρή. Αλγόριθμοι μηχανικής μάθησης και νευρωνικά δίκτυα<br />
έχουν επιτύχει απίστευτες επιδόσεις σε εργασίες όπως<br />
η αναγνώριση προτύπων, η φωνητική αναγνώριση και η αυτόνομη<br />
πλοήγηση. Οι εξελίξεις αυτές έχουν αναπτύξει νέες<br />
δυνατότητες στον τομέα της ιατρικής διάγνωσης, της ρομποτικής<br />
και της αυτοματοποίησης εν γένει. Ωστόσο, παρά την<br />
ανεξάντλητη προοπτική, υπάρχει και μια σκοτεινή πλευρά.<br />
Οι μελλοντικοί κίνδυνοι που συνοδεύουν την χρήση της τεχνητής<br />
νοημοσύνης δεν μπορούν να αγνοηθούν. Η αυξανόμενη<br />
εξάρτηση από την τεχνολογία μπορεί να οδηγήσει στην<br />
απώλεια θέσεων εργασίας και σε ανισότητες. Η ιδιωτικότητα<br />
τίθεται σε κίνδυνο με τη συλλογή και αξιοποίηση μεγάλου<br />
όγκου δεδομένων. Οι αποφάσεις που λαμβάνονται από<br />
τους αλγορίθμους μπορούν να είναι αόριστες και δυσνόητες,<br />
επηρεάζοντας την ανθρώπινη ζωή χωρίς την αναγκαία<br />
διαφάνεια και εποπτεία.<br />
Ο Nicholas Carr, μέσα από το βιβλίο του «Does <strong>IT</strong> Matter»,<br />
ρίχνει φως σε έναν άλλον τομέα της τεχνολογίας. Εστιάζει στο<br />
πώς η τεχνολογία πληροφορικής μπορεί να αποτελέσει<br />
μέσο για την επίτευξη ανταγωνιστικού πλεονεκτήματος,<br />
τονίζοντας ότι οι εταιρείες χρειάζεται να επικεντρωθούν<br />
στη διαχείριση των πόρων τους και στην αξιοποίηση της τεχνολογίας<br />
για την υποστήριξη των στρατηγικών στόχων<br />
τους. Αναδεικνύει όμως και τον κίνδυνο της υπερβολικής<br />
εξάρτησης από την τεχνολογία, καθώς η προοδευτική ανάπτυξη<br />
μπορεί να κρύβει και απρόβλεπτες αρνητικές επιπτώσεις.<br />
Με άλλα λόγια, η τεχνολογία μπορεί να δημιουργήσει<br />
προβλήματα, όταν υπερβαίνει τα όρια της πρακτικής χρησιμότητας,<br />
ακόμα και όταν υπερτονίζεται η αυτοματοποίηση σε<br />
κάθε πτυχή της ζωής μας.<br />
Σε κάθε περίπτωση, η εξέλιξη της τεχνολογίας και της<br />
τεχνητής νοημοσύνης είναι αναπόφευκτη. Η ραγδαία<br />
εξέλιξη και υιοθέτηση εργαλείων τεχνητής νοημοσύνης, φάνηκε<br />
φερειπείν από την χρήση της πλατφόρμας ChatGPT το<br />
τελευταίο χρονικό διάστημα. Χρειάστηκαν όντως μόλις πέντε<br />
ημέρες, για να ξεπεράσουν τους 1 εκατομμύριο οι χρήστες<br />
της πλατφόρμας, σε αντιπαραβολή με γνωστές social media<br />
πλατφόρμες βλ. Twitter (εφεξής X), όπου γνώρισε την ίδια<br />
επισκεψιμότητα στην πρόσβασή της σε δύο χρόνια! Ο κατά τα<br />
λεγόμενα «παππούς» της τεχνητής νοημοσύνης Alan Hinton<br />
που πρόσφατα αποχώρησε από την Google που εργαζόταν,<br />
ανέφερε ότι είναι σημαντικό να προσεγγίσουμε την τεχνολογία<br />
με σύνεση και να αντιμετωπίσουμε τους πιθανούς κινδύνους<br />
με προοπτική, προκειμένου να διασφαλίσουμε μια<br />
ισορροπημένη εξέλιξη προς το καλό της ανθρωπότητας. Με<br />
φειδώ, προσοχή και έλεγχο (ηθική της ΑΙ), προτού ανοιχτούμε<br />
στον «ωκεανό» της τεχνητής νοημοσύνης.<br />
Η κριτική προσέγγιση, όπως αυτή που προτείνει το βιβλίο<br />
του Dreyfus και οι σκέψεις του Carr μπορεί να μας βοηθήσει<br />
να αντιμετωπίσουμε αυτές τις προκλήσεις και να διαμορφώσουμε<br />
ένα μέλλον που εκμεταλλεύεται την τεχνολογία<br />
με ενδυνάμωση και σοφία. Φυσικά, όπως σε όλα τα<br />
πράγματα σημαντικό ρόλο διαδραματίζει και η ενημέρωση,<br />
αυτή κυρίως μέσω της εκπαίδευσης, σε όλες τις βαθμίδες<br />
της (πρωτοβάθμια/δευτεροβάθμια/τριτοβάθμια κτλ) και σε<br />
όλες της μορφές της (δημόσια/ιδιωτική). Υπάρχουν χώρες<br />
που έχουν ήδη εκκινήσει σε εθνικό επίπεδο μια μακροχρόνια<br />
προσπάθεια δημιουργώντας στρατηγική (aka National AI<br />
Strategy) που στοχεύει να παράσχει μια κατεύθυνση υψηλού<br />
επιπέδου για την ανάπτυξη, την υιοθέτηση και την εφαρμογή<br />
της τεχνητής νοημοσύνης.<br />
Καθώς σημειώνω τις τελευταίες σκέψεις μου για τη σημασία<br />
της τεχνολογίας στη ζωή μας, παραφράζοντας ένα απόφθεγμα<br />
του Steve Jobs που με έχει εντυπωσιάσει, νιώθω ότι:<br />
«Οι υπολογιστές είναι σαν τα ποδήλατα για τον νου μας - μας<br />
βοηθούν να προχωράμε, αλλά είναι οι ιδέες μας που καθοδηγούν<br />
τη διαδρομή». Αυτό το απόφθεγμα εκφράζει τη βαθιά<br />
σύνδεση μεταξύ της ανθρώπινης δημιουργικότητας και<br />
της τεχνολογίας. Και με αυτό το απόφθεγμα, συνειδητοποιώ<br />
πόσο σημαντικό είναι να συνεχίσουμε να ονειρευόμαστε, να<br />
δημιουργούμε και να καινοτομούμε.<br />
Μετά από κάποια χρόνια, περισσότερα από είκοσι, ή ακόμα<br />
και πιο σύντομα, ένα βιβλίο με τον τίτλο «Does AI Matter»<br />
ίσως να κοσμεί τη βιβλιοθήκη μου. Ποιος ξέρει; Το ερώτημα<br />
«Does AI Matter» αποκτά διαστάσεις σε αυτήν τη νέα εποχή<br />
τεχνητής νοημοσύνης. Αναρωτιέμαι ποιος θα είναι ο ρόλος<br />
της στην καθημερινή μας ζωή, στις επιχειρήσεις και<br />
στην κοινωνία γενικότερα. Μήπως, όπως η τεχνολογία<br />
της πληροφορικής, και η τεχνολογία της τεχνητής νοημοσύνης<br />
θα γίνει ένα απλό εργαλείο;<br />
Ή ίσως θα διαμορφώσει τον τρόπο που σκεφτόμαστε, εργαζόμαστε<br />
και ζούμε, όπως έκανε και η προηγούμενη τεχνολογία;<br />
Και οι απαντήσεις σε αυτά τα ερωτήματα, όπως<br />
και με κάθε νέα τεχνολογική επανάσταση, εξαρτώνται από<br />
εμάς τους ίδιους.<br />
security<br />
51