26.10.2023 Views

IT Professional Security - ΤΕΥΧΟΣ 81

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

SHOW MORE
SHOW LESS
  • No tags were found...

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

www.itsecuritypro.gr 09/10.2023 • Τεύχος <strong>81</strong> • Τιμή 5€<br />

Ασφάλεια Επιχειρησιακών<br />

Τεχνολογιών (OT)<br />

● Οι Σκοτεινές Πλευρές<br />

της Τεχνητής Νοημοσύνης<br />

● Παραβίαση δεδομένων<br />

προσωπικού χαρακτήρα


25ο Συνέδριο<br />

14.12.23<br />

DIGINVEST IN GREECE:<br />

NEW HORIZONS<br />

www.infocomworld.gr<br />

DIVANI CARAVEL HOTEL<br />

ΧΡΟΝΙΑ<br />

ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ ΣΤΗΝ ΕΛΛΑΔΑ<br />

1993 - 2023


T<strong>81</strong>09/10.2023<br />

Editorial<br />

Από το Cyber<strong>Security</strong> ...στο Cyber<br />

Resilience!<br />

Στη σύγχρονη ψηφιακή εποχή, όπου οι προκλήσεις σχετικά<br />

με τις απειλές στον κυβερνοχώρο ενισχύονται ποσοτικά και<br />

εξελίσσονται ποιοτικά, οι όροι κυβερνοασφάλεια και κυβερνο-ανθεκτικότητα<br />

συγκλίνουν, αλληλοεπιδρούν και αποτελούν<br />

τους δυο βασικούς πυλώνες για την προστασία των<br />

οργανισμών.<br />

Η σύνδεση μεταξύ κυβερνοασφάλειας και κυβερνοανθεκτικότητας<br />

είναι σήμερα ιδιαίτερα στενή και αμοιβαία ενισχυτική.<br />

Για να διατηρηθεί η κυβερνοανθεκτικότητα ενός<br />

οργανισμού, η κυβερνοασφάλεια πρέπει να αποτελεί<br />

αναπόσπαστο τμήμα της στρατηγικής του. Η προστασία<br />

από κυβερνοεπιθέσεις προϋποθέτει την εφαρμογή ασφαλών<br />

πρακτικών και τεχνολογικών λύσεων που εξασφαλίζουν την<br />

ακεραιότητα και τη διαθεσιμότητα των δεδομένων.<br />

Ταυτόχρονα, οι οργανισμοί πρέπει να αναπτύσσουν σχέδια<br />

ανθεκτικότητας που να τους επιτρέπουν να αντιμετωπίσουν<br />

και να ανακάμψουν από επιθέσεις με όσο το δυνατόν λιγότερες<br />

ανεπιθύμητες συνέπειες. Αυτό περιλαμβάνει τη δημιουργία<br />

εφεδρικών συστημάτων, την εκπαίδευση του προσωπικού<br />

και την ανάπτυξη σχεδίων ανάκαμψης.<br />

Ο στόχος ενός προγράμματος ανθεκτικότητας στον κυβερνοχώρο<br />

είναι να διασφαλίσει την επιχειρηματική συνέχεια,<br />

παρά τις προκλήσεις ασφαλείας που εξελίσσονται<br />

συνεχώς. Μια καλή στρατηγική σε αυτόν τον τομέα μπορεί<br />

να συμβάλλει στη μείωση του αντίκτυπου μιας επίθεσης, διασφαλίζοντας<br />

τη συνεχή επιχειρηματική λειτουργία.<br />

Η ανθεκτικότητα στον κυβερνοχώρο συνδυάζει περισσότερες<br />

και διαφορετικές μεταξύ τους τεχνολογίες, μέτρα και<br />

πρακτικές που παρέχουν πολλαπλά επίπεδα προστασίας<br />

και αποκατάστασης από καταστροφές, όπου σε αυτά περιλαμβάνονται<br />

μέτρα φυσικής ασφάλειας. Ένας τρόπος για τη<br />

βελτιστοποίηση της ανθεκτικότητας στον κυβερνοχώρο είναι<br />

η ενθάρρυνση τακτικών αξιολογήσεων κυβερνοασφάλειας<br />

για τον εντοπισμό πιθανών τρωτών σημείων και αδυναμιών<br />

του οργανισμού. Αυτές οι αξιολογήσεις μπορούν να<br />

βοηθήσουν τις εταιρείες να εντοπίσουν τομείς στους οποίους<br />

πρέπει να ενισχύσουν την κυβερνοασφάλεια και την ανθεκτικότητά<br />

τους. Ένας άλλος τρόπος για τη βελτίωση της ανθεκτικότητας<br />

στον κυβερνοχώρο είναι η δημιουργία σχεδίων<br />

αντιμετώπισης περιστατικών και η διεξαγωγή τακτικών<br />

ασκήσεων για τη δοκιμή αυτών των σχεδίων. Τα σχέδια<br />

αντιμετώπισης συμβάντων θα πρέπει να επανεξετάζονται και<br />

να ενημερώνονται περιοδικά ενώ σε αντίθεση με την ασφάλεια<br />

στον κυβερνοχώρο, η οποία είναι κυρίως ευθύνη των<br />

ομάδων πληροφορικής, η ανθεκτικότητα στον κυβερνοχώρο<br />

περιλαμβάνει όλους στον οργανισμό.<br />

Σε αυτό το πλαίσιο, αξίζει επίσης να αναφερθούμε και στη<br />

νέα ευρωπαϊκή οδηγία CER που προσδιορίζει τους κανόνες<br />

για την ενίσχυση της ανθεκτικότητας υποδομών ζωτικής<br />

σημασίας αποτυπώνοντας σε μεγάλο βαθμό την κρισιμότητα<br />

αυτής της προσέγγισης.<br />

Βλάσης Αμανατίδης<br />

Εκδότης<br />

Κώστας Νόστης<br />

Αρχισυντάκτης<br />

Βλάσης Αμανατίδης<br />

v.amanatidis@smartpress.gr<br />

Διεύθυνση Επικοινωνίας<br />

& Marketing<br />

Ειρήνη Νόστη<br />

Yπεύθυνος Διαφήμισης<br />

Γιώργος Ιωσηφέλης<br />

Συνεργάτες<br />

Νότης Ηλιόπουλος<br />

Παναγιώτης Καλαντζής<br />

Αριστοτέλης Λυμπερόπουλος<br />

Δημήτρης Σκιάννης<br />

Χρήστος Κοτσακάς<br />

Υπεύθυνη Παραγωγής<br />

Ελένη Καπιτσάκη<br />

DTP<br />

Νίκος Χαλκιαδάκης<br />

Υπεύθυνος Ηλεκτρονικών Μέσων<br />

Δημήτρης Θωμαδάκης<br />

Υπεύθυνη Συνεδρίων<br />

Αγγελική Νόστη<br />

Φωτογραφίες<br />

GENESIS 360<br />

Γραμματεία Εμπορικού<br />

Έλλη Μαστρομανώλη<br />

Λογιστήριο<br />

Ανδρέας Λουλάκης<br />

Τμήμα συνδρομών<br />

support@securitymanager.gr<br />

Consulting by<br />

SPEG Co<br />

τηλ.: 210 5238777,<br />

www.speg.gr, info@speg.gr<br />

Ιδιοκτήτης<br />

Smart Press<br />

Μάγερ 11, 10438, Αθήνα<br />

Τηλ.: 210 5201500, 210 5230000,<br />

www.smartpress.gr<br />

www.itsecuritypro.gr<br />

www.securitymanager.gr<br />

email επικοινωνίας:<br />

info@securitymanager.gr<br />

support@securitymanager.gr<br />

ΚΩΔΙΚΟΣ 01-8267<br />

2 security


Cybersecurity<br />

Center<br />

<strong>Security</strong> is embedded in Space Hellas DNA<br />

n<br />

n<br />

n<br />

n<br />

Holistic Cybersecurity approach<br />

Managed & <strong>Professional</strong> Services<br />

Red & Blue Team approach<br />

35 years of excellence & know-how<br />

www.space.gr<br />

security<br />

3


T<strong>81</strong>09/10.2023<br />

Contents<br />

14<br />

32<br />

40<br />

45<br />

46<br />

48<br />

2 | editorial<br />

6 News<br />

Law Tech<br />

14 | Παραβίαση δεδομένων<br />

προσωπικού χαρακτήρα<br />

με βάση το GDPR<br />

Ποιες είναι οι βασικές υποχρεώσεις<br />

μετά το συμβάν;<br />

Cover issue<br />

18 | Ασφάλεια Επιχειρησιακών<br />

Τεχνολογιών (OT)<br />

Issue<br />

28 | NIS2 & Industry 4.0: Δύο<br />

αντίρροπες δυνάμεις για το OT<br />

<strong>Security</strong><br />

30 | Operational Technology <strong>Security</strong>:<br />

Διασφαλίζοντας τα βασικά αγαθά<br />

για την κοινωνία<br />

32 | Οι Σκοτεινές Πλευρές της<br />

Τεχνητής Νοημοσύνης και<br />

πώς αυτή επηρεάζει τις<br />

κυβερνοεπιθέσεις<br />

34 | Εξειδικευμένη OT ασφάλεια από<br />

την TXOne<br />

36 | Ασφάλεια περιβαλλόντων ΟΤ και<br />

η 4η βιομηχανική επανάσταση<br />

40 | R2D2 …safeguards the grid<br />

43 | Σύγκλιση δικτύων OT/<strong>IT</strong> και<br />

κυβερνοασφάλεια<br />

44 | 5 λόγοι γιατί το RMM της N-<br />

ABLE είναι η απόλυτη λύση<br />

διαχείρισης της πληροφορικής<br />

45 | Η επίδραση της λειτουργικής<br />

τεχνολογίας στην<br />

κυβερνοασφάλεια<br />

46 | Bitdefender: Μήνας Cyber<br />

<strong>Security</strong> Awareness<br />

Οδοιπορικό προς την ανθεκτικότητα<br />

της ασφάλειας<br />

48 | Οι κατασκευαστές λύσεων και πάροχοι<br />

υπηρεσιών κυβερνοασφάλειας<br />

μπροστά σε νέες προκλήσεις<br />

50 | Διακοπές, βιβλία και τεχνολογία<br />

Business <strong>IT</strong><br />

4 security


T<strong>81</strong>09/10.2023<br />

News<br />

Υπογράφηκε η συμφωνία χρηματοδότησης για το ενοποιημένο SOC<br />

από το Υπουργείο Ψηφιακής Διακυβέρνησης<br />

Τη συμφωνία Grant Agreement για το «Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας<br />

(SOC–<strong>Security</strong> Operations Center)» υπέγραψε ο Υπουργός Ψηφιακής Διακυβέρνησης<br />

Δημήτρης Παπαστεργίου.<br />

Ο Υπουργός Ψηφιακής Διακυβέρνησης Δημήτρης Παπαστεργίου<br />

υπέγραψε τη Συμφωνία Χρηματοδότησης (Grant<br />

Agreement) με το Ευρωπαϊκό Κέντρο Ικανοτήτων Κυβερνοασφάλειας<br />

(ECCC), από την οποία θα χρηματοδοτηθεί η ανάπτυξη<br />

και η λειτουργία του «Ενοποιημένου Κέντρου Αναφοράς<br />

Κυβερνοασφάλειας (SOC–<strong>Security</strong> Operations Center)».<br />

Το Grant Agreement υλοποιείται στο πλαίσιο του χρηματοδοτικού<br />

Προγράμματος «Ψηφιακή Ευρώπη» (DEP) και ο προϋπολογισμός<br />

του έργου ανέρχεται στα 9.7 εκατ. ευρώ, από τα<br />

οποία το 50% είναι Ευρωπαϊκή χρηματοδότηση και το 50% θα<br />

καλυφθεί από διαθέσιμους Εθνικούς πόρους.<br />

Η ανάπτυξη του «Ενοποιημένου Κέντρου Αναφοράς Κυβερνοασφάλειας»,<br />

θα υλοποιηθεί με τη σύμπραξη της Εθνικής<br />

Αρχής Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης<br />

και ενός συνόλου δυναμικών ελληνικών ερευνητικών<br />

και ιδιωτικών φορέων, οι οποίοι δραστηριοποιούνται<br />

στον τομέα αυτό.<br />

Το «Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας», θα<br />

προσφέρει στην Ελλάδα μία στρατηγικής σημασίας τεχνική<br />

υποδομή, καθώς και πολύτιμη τεχνογνωσία, για την πρόληψη<br />

και αντιμετώπιση κακόβουλων ενεργειών στον κυβερνοχώρο.<br />

Συγχρόνως θα παρέχει δωρεάν τις απαραίτητες υπηρεσίες για<br />

τη διασφάλιση των διασυνδεδεμένων ψηφιακών συστημάτων<br />

δημόσιων και ιδιωτικών φορέων.<br />

Με τον τρόπο αυτό η Ελλάδα, συμμετέχοντας παράλληλα<br />

σε κοινή ομάδα άλλων κρατών<br />

μελών της Ε.Ε. (Κύπρος, Μάλτα,<br />

Βουλγαρία) για την ανάπτυξη<br />

αντίστοιχης διασυνοριακής υποδομής,<br />

πρωτοστατεί στην υλοποίηση<br />

της «ευρωπαϊκής ασπίδας<br />

κυβερνοασφάλειας», και θωρακίζει<br />

τον ελληνικό κυβερνοχώρο<br />

και τις εθνικές κρίσιμες υποδομές<br />

από σύγχρονες απειλές.<br />

Το «Ενοποιημένο Κέντρο Αναφοράς<br />

Κυβερνοασφάλειας», μεταξύ<br />

άλλων:<br />

• Έχει ως στόχους την ανάπτυξη, την υποστήριξη και την<br />

ενδυνάμωση των ικανοτήτων σε εθνικό επίπεδο για<br />

την έγκαιρη ανίχνευση και αντιμετώπιση κυβερνοαπειλών<br />

σε όλη την Επικράτεια, ιδίως μέσω της ενίσχυσης<br />

των δυνατοτήτων έγκαιρης προειδοποίησης, ανίχνευσης<br />

και αντιμετώπισης κυβερνοεπιθέσεων, με τη χρήση<br />

σύγχρονων εργαλείων τεχνητής νοημοσύνης και μηχανικής<br />

μάθησης,<br />

• Ορίζεται ως το κεντρικό σημείο του «Εθνικού Δικτύου<br />

SOC», το οποίο αποτελείται από τα τομεακά SOC και<br />

υποστηρίζει τους οργανισμούς που μετέχουν σε αυτό<br />

στην αναγνώριση, διαχείριση, αντιμετώπιση και ανάκαμψη<br />

από κυβερνοεπιθέσεις<br />

• Μπορεί, ως μοναδικό κεντρικό σημείο αναφοράς των<br />

υφιστάμενων SOC σε εθνικό επίπεδο, να αποκτά εμπεριστατωμένη<br />

εικόνα για το συνολικό επίπεδο κυβερνοασφάλειας<br />

της χώρας.<br />

Ο Υπουργός Ψηφιακής Διακυβέρνησης Δημήτρης Παπαστεργίου<br />

δήλωσε: « Το Grant Agreement, θέτει τις βάσεις για<br />

την υλοποίηση ενός εμβληματικού έργου για την ενίσχυση της<br />

κυβερνοασφάλειας στη χώρα μας. Το «Ενοποιημένο SOC» θα<br />

συμβάλλει καθοριστικά στην ενδυνάμωση της ψηφιακής μετάβασης<br />

της Ελλάδας, στην ενίσχυση της κυβερνοανθεκτικότητας<br />

κρίσιμων δημόσιων και ιδιωτικών φορέων και βεβαίως στην<br />

ασφαλή καθημερινή χρήση του διαδικτύου από τους πολίτες».<br />

6 security


Business <strong>IT</strong> 7


T<strong>81</strong>09/10.2023<br />

News<br />

Καινοτόμα Προϊόντα Grandstream από την PartnerNET: Νέα<br />

Managed Network Switches GWN7806 και GWN7806P για<br />

Υψηλή Απόδοση και Ασφάλεια”<br />

Η Grandstream, μια κορυφαία εταιρεία παροχής λύσεων επικοινωνίας<br />

και δικτύωσης, συνεχίζει να ανανεώνει τη γκάμα<br />

των προϊόντων της με την προσθήκη δύο νέων Switches<br />

δικτύου Layer 2+ με 48 θύρες. Τα νέα αυτά Switches,<br />

GWN7806 και GWN7806P, είναι σχεδιασμένα για να προσφέρουν<br />

υψηλή απόδοση και ασφάλεια, ανταποκρινόμενοι στις<br />

ανάγκες των επιχειρήσεων των μεσαίων έως μεγάλων επιχειρήσεων.<br />

Τα GWN7806 και GWN7806P ανήκουν στην οικογένεια<br />

GWN7800 Layer 2+ Managed Network Switches της<br />

Grandstream. Με την προσθήκη αυτών των Switches, η σειρά<br />

GWN7800 πλέον περιλαμβάνει 8 διαφορετικά μοντέλα, καλύπτοντας<br />

μια ευρεία γκάμα απαιτήσεων. Αυτά τα μοντέλα παρέχουν<br />

επιλογές με 8, 16, 24 ή 48 θύρες Gigabit Ethernet και<br />

θύρες SFP 2, 4 ή 6 Gigabit για σύνδεση με άλλες συσκευές. Διαθέτουν<br />

προηγμένες δυνατότητες ασφαλείας, ελέγχου δικτύου<br />

και διαχείρισης, καθιστώντας τα ιδανικά για επαγγελματική<br />

ανάπτυξη υψηλής απόδοσης. Με ενσωματωμένη προστασία<br />

ασφαλείας, εξελιγμένη διαχείριση του δικτύου, υποστήριξη<br />

IPv6 και IPv4, καθώς και δυνατότητα στοίβαξης για διαχείριση<br />

πολλαπλών διακοπτών, οι GWN7806 και GWN7806P παρέχουν<br />

τα εργαλεία που χρειάζονται οι επιχειρήσεις για τη δημιουργία<br />

αξιόπιστων και ασφαλών δικτύων. Μερικά ακόμα χαρακτηριστικά<br />

των GWN7806 και GWN7806P είναι η υποστήριξη<br />

PoE (GWN7806P) με έως και 30W ανά θύρα, καθώς και έξυπνο<br />

έλεγχο ισχύος για δυναμική κατανομή αλλά και οι πολλαπλές<br />

επιλογές ασφαλείας, όπως επιθεώρηση ARP, προστασία<br />

πηγής IP, αντιμετώπιση επιθέσεων DoS και παρακολούθηση<br />

DHCP. Υποστηρίζουν επίσης διαφορετικές επιλογές διαχείρισης,<br />

συμπεριλαμβανομένου του τοπικού περιβάλλοντος του<br />

web user, του Command Line Interface (CLI), του GWN.Cloud<br />

και του GWN Manager. Είναι προφανές ότι τα Managed<br />

Network Switches GWN7806 και GWN7806P ανταποκρίνονται<br />

στις αναγκαίες απαιτήσεις για υψηλή απόδοση, ασφάλεια<br />

και διαχείριση, καθιστώντας τη Grandstream μια εξέχουσα<br />

επιλογή στον κόσμο των ενοποιημένων λύσεων επικοινωνίας<br />

και δικτύωσης. Τα προϊόντα της Grandstream αντιπροσωπεύονται<br />

στην Ελλάδα από την εταιρεία PartnerΝΕΤ στο επίσημο<br />

portal www.eshop.partnernet.gr, τηλ.: 2107100000, sales@<br />

partnernet-ict.com, www.partnernet-ict.com.<br />

Η Bitdefender διακρίθηκε από τον Gartner Peer Insights ως Customers’<br />

Choice για Πλατφόρμες Endpoint Protection Platforms EMEA<br />

Η Bitdefender, διακρίθηκε στο Customers’ Choice στην<br />

περιοχή EMEA 2023 από τον Gartner® Peer Insights Voice<br />

of the Customer για τις Πλατφόρμες Endpoint Protection<br />

(EPP). Επιπλέον, διακρίθηκε ως Strong Performer στο EPP<br />

για την Β.Αμερική, στο MidSize Enterprise, Κυβερνητικό &<br />

Δημόσιο τομέα, καθώς και στον χώρο της εκπαίδευσης. Το<br />

Gartner Peer Insights είναι μια διαδικτυακή πλατφόρμα αξιολογήσεων<br />

λογισμικού και υπηρεσιών πληροφορικής . Το Voice<br />

of the Customer συγκεντρώνει αξιολογήσεις από επαγγελματίες<br />

της πληροφορικής σε ένα συγκεκριμένο τμήμα της αγοράς<br />

που μπορεί να βοηθήσει στη λήψη αποφάσεων , καθώς<br />

βασίζεται σε διορατικά, αμερόληπτα και επικυρωμένα σχόλια<br />

πελατών από πραγματικές εγκαταστάσεις. Οι αξιολογήσεις του<br />

Gartner Peer Insights, βασίζονται στο προϊόν Bitdefender<br />

GravityZone Platform, μια ενοποιημένη πλατφόρμα ασφαλείας<br />

και ανάλυσης ρίσκου, που προσφέρει προηγμένο Endpoint<br />

Protection (EPP), Endpoint Detection and Response (EDR),<br />

Extended Detection and Response (XDR) και cloud κονσόλα<br />

για φυσικές και virtual μηχανές, καθώς και για and multicloud<br />

περιβάλλοντα.<br />

8 security


T<strong>81</strong>09/10.2023<br />

News<br />

Η Pylones Hellas παρουσίασαν τον νέο στρατηγικό της συνεργάτη<br />

την <strong>Security</strong>HQ<br />

Σε μία ξεχωριστή ημέρα αφιερωμένη στη νέα συνεργασία με<br />

την <strong>Security</strong> HQ, η Pylones Hellas, σύστησε το νέο στρατηγικό<br />

συνεργάτη της, με την συνοδεία μίας εξαιρετικής γευστικής<br />

εμπειρίας στο βραβευμένο εστιατόριο Aleria. Η συνολική<br />

εικόνα που διαμορφώθηκε από το κοινό, φαίνεται να προμηνύει<br />

μία εξαιρετική πορεία για τις νέες υπηρεσίες που θα<br />

προσφέρονται στην ελληνική αγορά της κυβερνοασφάλειας. Η<br />

Pylones συνειδητοποίησε πως η αγορά έχει σοβαρές ελλείψεις<br />

στα SOC Services όπως SLAs, SOC ομάδες με λίγους πιστοποιημένους<br />

Analysts, χωρίς global view ή υψηλά κόστη. Έτσι,<br />

αποφάσισε να συνεργαστεί με την <strong>Security</strong>HQ που ικανοποιεί<br />

αυτές τις ανάγκες στο έπακρο, με 6 data centers globaly, πάνω<br />

από 300 certified security analysts, παρέχοντας επιπλέον μια<br />

μοναδική μεθοδολογία, έναν σημαντικό αριθμό use cases. Η<br />

<strong>Security</strong>HQ κατέχει ηγετική θέση παγκοσμίως ως Managed<br />

<strong>Security</strong> Services Provider (MSSP) και έχει πελάτες μερι-<br />

κές από τις μεγαλύτερες εταιρείες τηλεπικοινωνιών, τραπεζών,<br />

αεροπορικών εταιρειών και δημόσιων οργανισμών σε όλο τον<br />

κόσμο. Με ομπρέλα την <strong>Security</strong>HQ, η Pylones αγκαλιάζει με<br />

τις νέες υπηρεσίες που ανοίγονται, τις υπάρχουσες υπηρεσίες<br />

που παρέχει, βάζοντας στην αγορά «Όχι Άλλο Ένα SOC Team» {<br />

Not JUST Another SOC Team } αλλά ολοκληρωμένες και αναβαθμισμένες<br />

SOC υπηρεσίες.<br />

Τιμητική διάκριση της Space Hellas στα “2023 W<strong>IT</strong>SA Global<br />

Innovation & Tech Excellence Awards”<br />

H Space Hellas βραβεύτηκε στα<br />

W<strong>IT</strong>SA 2023 ως Merit Winner στην<br />

κατηγορία «Sustainable Growth/<br />

Circular Economy Award, Private<br />

Sector/NGO», για το έργο “Εγκατάσταση<br />

Μετεωρολογικών Σταθμών &<br />

Ανάπτυξη Υποδομής Διαδικτυακής<br />

Πύλης της Εθνικής Μετεωρολογικής<br />

Υπηρεσίας”, στο πλαίσιο του Παγκόσμιου<br />

Συνεδρίου Πληροφορικής<br />

“WC<strong>IT</strong> 2023” στο Κούτσινγκ της Μαλαισίας, την Πέμπτη 5 Οκτωβρίου.<br />

Το έργο αφορά την αναβάθμιση του Δικτύου Μετεωρολογικών<br />

Σταθμών της Εθνικής Μετεωρολογικής Υπηρεσίας με<br />

την προμήθεια, εγκατάσταση και λειτουργία συνολικά εκατόν<br />

τριών συστημάτων πέντε διαφορετικών τύπων, την αναβάθμιση<br />

του κεντρικού μηχανογραφικού και τηλεπικοινωνιακού συστήματος,<br />

καθώς και την υποδομή υλικού και λογισμικού για την<br />

παραγωγή και διανομή μέσω Διαδικτύου (Portal) δεδομένων<br />

από επιφανειακούς σταθμούς, μετεωρολογικών προβλέψεων,<br />

κλιματικών προϊόντων κ.λπ. σε κάθε ενδιαφερόμενο για την κάλυψη<br />

των αναγκών της ΕΜΥ. Στόχος του έργου είναι η παροχή<br />

ολοκληρωμένων, μετεωρολογικών πληροφοριών<br />

σε κρίσιμους παραγωγικούς<br />

και αναπτυξιακούς τομείς, σε δημόσιους<br />

φορείς, σε εκπαιδευτικά και ερευνητικά<br />

ιδρύματα, καθώς και στον απλό πολίτη, με<br />

φιλικό τρόπο μέσω του διαδικτύου ή άλλων<br />

σύγχρονων πηγών πληροφόρησης.<br />

Ο Διευθύνων Σύμβουλος της Space<br />

Hellas, Δρ. Ιωάννης Μερτζάνης, δήλωσε:<br />

«Είμαστε χαρούμενοι που για μια<br />

ακόμη φορά η εταιρεία μας διακρίθηκε από τον Παγκόσμιο<br />

Σύνδεσμο Καινοτομίας και Υπηρεσιών Τεχνολογίας. Η διάκρισή<br />

μας ως Merit Winner των 2023 W<strong>IT</strong>SA Global Innovation &<br />

Tech Excellence Awards, στην κατηγορία «Sustainable Growth/<br />

Circular Economy (Private Sector/NGO)», μας τιμά ιδιαίτερα. Το<br />

έργο αναβάθμισης του δικτύου των μετεωρολογικών σταθμών<br />

της Εθνικής Μετεωρολογικής Υπηρεσίας για το οποίο διακριθήκαμε<br />

είναι πολύ σημαντικό, λόγω και της κλιματικής αλλαγής.<br />

Τα οφέλη του έργου πολλαπλά, καθώς από τη μετεωρολογική<br />

πληροφορία επηρεάζονται τόσο οι κρατικές υπηρεσίες, όσο και<br />

οι φορείς που σχετίζονται με την Πολιτική Προστασία.»<br />

10 security


T<strong>81</strong>09/10.2023<br />

News<br />

Ολοκληρώθηκε η 1η ημερίδα της πρωτοβουλίας “Cybersecurity for<br />

Society” από το Ελληνικό Ινστιτούτο Κυβερνοασφάλειας<br />

Το νεοσύστατο Ελληνικό Ινστιτούτο Κυβερνοασφάλειας<br />

διοργάνωσε την πρώτη ενημερωτική ημερίδα της πρωτοβουλίας<br />

“Cybersecurity for Society“, η οποία είχε θεματικό<br />

τίτλο “Ενίσχυση των δεξιοτήτων και ικανοτήτων<br />

κυβερνοασφάλειας, για την κοινωνία”. Η ημερίδα που<br />

ήταν ανοιχτή και ελεύθερη για το κοινό, διεξήχθη την Τετάρτη<br />

4 Οκτωβρίου 2023, στο αμφιθέατρο του Ιδρύματος Βασίλη<br />

και Ελίζας Γουλανδρή. Πρόκειται για την πρώτη από μια σειρά<br />

αντίστοιχων εκδηλώσεων, που διοργανώνονται με σκοπό,<br />

τόσο να ενισχυθεί η ανταπόκριση της ελληνικής κοινωνίας σε<br />

ζητήματα κυβερνοασφάλειας, όσο και να επιτευχθεί καλύτερος<br />

συντονισμός των εμπλεκομένων μερών, που αποβλέπουν<br />

στη δημιουργία ενός ασφαλούς ψηφιακού κόσμου που<br />

θα επιτρέπει σε όλους να αξιοποιήσουν χωρίς κινδύνους τα<br />

οφέλη που προσφέρουν οι ψηφιακές τεχνολογίες. Η κα Στέλλα<br />

Τσιτσούλα, πρόεδρος του Ελληνικού Ινστιτούτου Κυβερνοασφάλειας,<br />

άνοιξε την εκδήλωση αναλύοντας την τρέχουσα<br />

κατάσταση όσων αφορά στις δεξιότητες στον τομέα της<br />

κυβερνοασφάλειας, ενώ ο Δρ. Δημοσθένης Οικονόμου,<br />

επικεφαλής του Capacity Building Unit, ENISA, παρουσίασε<br />

λεπτομέρειες για το Ευρωπαϊκό Πλαίσιο Δεξιοτήτων Κυβερνοασφάλειας<br />

του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας<br />

(ENISA). Αντίστοιχα ο εκπρόσωπος της Εθνικής Αρχής<br />

Κυβερνοασφάλειας, κος Ιωάννης Πανολίας, αναφέρθηκε<br />

στην Ακαδημία Ψηφιακών Δεξιοτήτων.<br />

Βασικοί παράγοντες για το παρόν και το μέλλον της<br />

κυβερνοασφάλειας στις επιχειρήσεις<br />

Με αφορμή τον μήνα κυβερνοασφάλειας. η Watchguard αποτυπώνει<br />

εργαλεία και ενέργειες που μπορείτε να υιοθετήσετε<br />

για να κάνετε τα επιχειρηματικά συστήματα πιο ασφαλή:<br />

• Ασφαλείς κωδικοί πρόσβασης και διαχειριστής κωδικών<br />

πρόσβασης: η βάση ενός καλού πρωτοκόλλου ασφάλειας<br />

στον κυβερνοχώρο είναι η χρήση ενός ισχυρού, μοναδικού<br />

και τελικά ασφαλή κωδικού πρόσβασης. Αυτός είναι<br />

ένας από τους απλούστερους, αλλά σημαντικότερους τρόπους<br />

για να διασφαλιστεί ότι τα συστήματα κυβερνοχώρου<br />

των επιχειρήσεων και των χρηστών παραμένουν ασφαλή.<br />

Πιο εξελιγμένες λύσεις έχουν επίσης αναπτυχθεί τα τελευταία<br />

χρόνια για τη βελτίωση της διαχείρισης κωδικών πρόσβασης,<br />

όπως οι διαχειριστές στοιχείων σύνδεσης.<br />

• Έλεγχος ταυτότητας πολλών παραγόντων (MFA): αυτό<br />

το μέτρο απαιτεί από τους χρήστες να συνδεθούν επαληθεύοντας<br />

την ταυτότητά τους με διάφορους τρόπους, αποτρέποντας<br />

την σύνδεση από μη εξουσιοδοτημένο εκπρόσωπο.<br />

• Αναγνώριση και αναφορά περιπτώσεων ηλεκτρονικού<br />

ψαρέματος (phishing): Το ηλεκτρονικό ψάρεμα<br />

(phishing) είναι μία από τις πιο κοινές μορφές επίθεσης που<br />

στοχεύει ιδιαίτερα τις τερματικές συσκευές. Αυτή η απειλή<br />

εμφανίζεται κατά την αποστολή μηνυμάτων ηλεκτρονικού<br />

ταχυδρομείου που πλαστοπροσωπούν την ταυτότητα των<br />

οργανισμών ενδιαφέροντος με στόχο την απόκτηση προσωπικών<br />

και τραπεζικών δεδομένων από τον χρήστη. Η ενημέρωση<br />

και η εξοικείωση του φαινομένου είναι το κλειδί για να<br />

μάθουν οι υπάλληλοι πώς να εντοπίζουν δόλιες διευθύνσεις<br />

και να αποφεύγουν να πέφτουν θύματα ηλεκτρονικού ψαρέματος.<br />

Η πραγματοποίηση εκπαιδευτικών μαθημάτων κατά<br />

του phishing μπορεί επίσης να αποτελέσει ένα ανταγωνιστικό<br />

πλεονέκτημα για τους MSPs που περιλαμβάνουν αυτήν<br />

την υπηρεσία.<br />

• Ενημερωμένο λογισμικό: Ορισμένα κενά στα πρωτόκολλα<br />

ασφάλειας του κυβερνοχώρου μπορούν να περιοριστούν<br />

με ενημερώσεις, οι οποίες θα βοηθήσουν το σύστημα<br />

να αμυνθεί αυτοτελώς στο μέλλον. Αυτό σημαίνει ότι τόσο οι<br />

MSPs όσο και οι επιχειρήσεις πρέπει να επικαιροποιούν όλες<br />

τις τρέχουσες ενημερώσεις των λογισμικών και τις βελτιστοποιήσεις<br />

του κώδικα για να καλύψουν τις αδυναμίες του συστήματος<br />

και λειτουργίες του.<br />

12 security


Integrated security for Integrated Unified <strong>Security</strong> security for for Integrated RECONNECTING RECONNECTED Unified <strong>Security</strong> world for Unified <strong>Security</strong> security<br />

RECONNECTED world World for for aa<br />

RECONNECTING RECONNECTED world World<br />

RECONNECTING World<br />

NETWORK SECUR<strong>IT</strong>Y<br />

MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />

NETWORK SECUR<strong>IT</strong>Y<br />

NETWORK SECUR<strong>IT</strong>Y<br />

MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />

MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />

Unified <strong>Security</strong> Platform TM<br />

Unified <strong>Security</strong> Platform TM<br />

Unified <strong>Security</strong> Platform TM<br />

CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />

CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />

CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />

Smart <strong>Security</strong>, Simply Done.<br />

Smart <strong>Security</strong>, Simply Done.<br />

Smart <strong>Security</strong>, Simply Done.<br />

Distributor<br />

Digital SIMA SA<br />

Distributor<br />

sales@digitalsima.gr<br />

Digital<br />

Distributor<br />

SIMA SA


T<strong>81</strong>09/10.2023<br />

Law Tech<br />

Παραβίαση δεδομένων<br />

προσωπικού χαρακτήρα με βάση<br />

το GDPR<br />

Ποιες είναι οι βασικές υποχρεώσεις μετά το συμβάν;<br />

παραβίαση δεδομένων προσωπικού χαρακτήρα,<br />

αποτελεί όπως έχουμε αναφέρει και<br />

Η<br />

σε παλαιότερο άρθρο μας μια από τις σημαντικότερες<br />

προκλήσεις που καλείται να αντιμετωπίσει<br />

μια επιχείρηση, ανεξαρτήτως αντικειμένου<br />

- δηλαδή χωρίς να απαιτείται να δραστηριοποιείται<br />

σε αντικείμενο σχετικό με την τεχνολογία. Πέρα από δοκιμασία<br />

των υφιστάμενων συστημάτων, η παραβίαση προσωπικών<br />

δεδομένων συνιστά ταυτόχρονα μια δοκιμασία αντανακλαστικών<br />

και ετοιμότητας μια επιχείρησης που θα κληθεί<br />

να διερευνήσει ένα απρόβλεπτο συμβάν, να περιορίσει τυχόν<br />

κινδύνους και εν γένει να διαχειριστεί μια απαιτητική κατάσταση<br />

που απαιτεί τη συνεργασία διαφορετικών τμημάτων της σε<br />

εξαιρετικά σύντομο χρονικό διάστημα. Όπως έχουμε αναφέρει<br />

στο προηγούμενο άρθρο μας, είναι αναγκαίο οι επιχειρήσεις<br />

να διαθέτουν εσωτερικές διαδικασίες που θα<br />

καθιστούν δυνατή την ανίχνευση του περιστατικού, την<br />

αξιολόγηση του κινδύνου για τα άτομα και θα καθορίζουν την<br />

αναγκαιότητα γνωστοποίησης της παραβίασης των προσωπικών<br />

δεδομένων στην εποπτική αρχή και την ανακοίνωση της<br />

παραβίασης των προσωπικών δεδομένων στα υποκείμενα<br />

των δεδομένων. Η περίπτωση της παραβίασης δεδομένων<br />

απαιτεί άμεση αξιολόγηση από πλευράς της επιχείρησης τόσο<br />

του κατά πόσο έλαβε όντως χώρα παραβίαση προσωπικών<br />

δεδομένων όσο και του κινδύνου (πιθανότητα μη κινδύνου,<br />

κίνδυνος ή υψηλός κίνδυνος) στα υποκείμενα των δεδομένων.<br />

Σε κάθε περίπτωση είναι αναγκαία η λήψη μέτρων για<br />

τον περιορισμό και την αποκατάσταση της παραβίασης και η<br />

εσωτερική καταγραφή/τεκμηρίωση της παραβίασης.<br />

Γνωστοποίηση της παραβίασης στην εποπτική αρχή<br />

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα,<br />

η επιχείρηση που φέρει τον ρόλο του Υπευθύνου<br />

Επεξεργασίας 1 έχει την υποχρέωση να γνωστοποιεί στην<br />

1 Υπεύθυνος Επεξεργασίας είναι σύμφωνα με το άρθρο 4 παρ. 7 του ΓΚΠΔ το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που,<br />

μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·<br />

14 security


Γράφει η Αναστασία Φύλλα<br />

Δικηγόρος LLM Information Technology and Communications Law,<br />

LLM Information Technology and Communications Law<br />

αρμόδια εποπτική αρχή το συντομότερο και αν είναι δυνατόν<br />

εντός 72 ωρών από τότε που απόκτησε γνώση του γεγονότος,<br />

την παραβίαση των προσωπικών δεδομένων εκτός αν<br />

η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα<br />

και τις ελευθερίες των φυσικών προσώπων. Ιδιαίτερα<br />

σημαντικό είναι το γεγονός ότι όταν η γνωστοποίηση<br />

δεν πραγματοποιείται εντός 72 ωρών, πρέπει να συνοδεύεται<br />

από αιτιολόγηση για την καθυστέρηση 2 . Στις περιπτώσεις<br />

που αρμόδια εποπτική αρχή για την γνωστοποίηση είναι η ελληνική<br />

αρχή προστασίας δεδομένων προσωπικού χαρακτήρα,<br />

η γνωστοποίηση γίνεται μέσω της συμπλήρωσης ειδικής<br />

φόρμας που βρίσκεται στην ιστοσελίδα της και ηλεκτρονικής<br />

υποβολής της μέσω της διαδικτυακής πύλης της. Η αρμόδια<br />

αρχή μπορεί να ζητήσει περισσότερες λεπτομέρειες ως μέρος<br />

της έρευνας που διεξάγει σε σχέση με κάποια παραβίαση.<br />

Ανακοίνωση της παραβίασης στο υποκείμενο<br />

των δεδομένων<br />

Όταν η παραβίαση των προσωπικών δεδομένων ενδέχεται<br />

να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες<br />

των φυσικών προσώπων, η επιχείρηση που ενεργεί ως<br />

υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώσει το συντομότερο<br />

δυνατόν την παραβίαση στα υποκείμενα των δεδομένων<br />

3 . Το ελάχιστο περιεχόμενο αυτής της ανακοίνωσης<br />

ορίζεται στον ΓΚΠΔ, όπως και οι εξαιρετικές περιπτώσεις<br />

στις οποίες η ανακοίνωση στα υποκείμενα δεν απαιτείται 4 .<br />

Το όριο κινδύνου το οποίο εξάγεται ως αποτέλεσμα της αξιολόγησης<br />

που διενεργεί η επιχείρηση και το οποίο καθιστά<br />

την ενημέρωση υποχρεωτική στα υποκείμενα είναι υψηλότερο<br />

από αυτό που καθιστά αναγκαία τη γνωστοποίηση στην<br />

εποπτική αρχή 5 . Η ενημέρωση θα πρέπει να γίνεται απευθείας<br />

στα επηρεαζόμενα υποκείμενα και για λόγους διαφάνειας<br />

τα μηνύματα που περιλαμβάνουν τέτοια ενημέρωση δεν θα<br />

πρέπει να αποστέλλονται μαζί με άλλες πληροφορίες όπως<br />

επικαιροποιήσεις και newsletter 6 .<br />

Αξιολόγηση του κινδύνου και του υψηλού κινδύνου<br />

Ένας από τους λόγους που καθιστούν την παραβίαση προσωπικών<br />

δεδομένων μια ιδιαίτερα απαιτητική για την επιχείρηση<br />

κατάσταση, είναι πέρα από την αμεσότητα των ενεργειών και η<br />

κρισιμότητα μιας σειράς σοβαρών αξιολογήσεων στις οποίες<br />

πρέπει να προβεί άμεσα και με ακρίβεια αμέσως μόλις λάβει<br />

γνώση του γεγονότος. Συγκεκριμένα, αμέσως μετά την επέλευση<br />

του περιστατικού, πέρα από την λήψη μέτρων για τον<br />

περιορισμό του, η επιχείρηση θα πρέπει να αξιολογήσει τον<br />

κίνδυνο που πηγάζει από αυτό λαμβάνοντας υπόψη μια σειρά<br />

από παράγοντες. Ο κίνδυνος αυτός υφίσταται όταν η παραβίαση<br />

ενδέχεται να οδηγήσει σε σωματική, υλική ή ηθική βλάβη<br />

για τα πρόσωπα τα δεδομένα των οποίων έχουν παραβιαστεί 7 .<br />

Κατά την αξιολόγηση του κινδύνου θα πρέπει να λαμβάνονται<br />

υπόψη η πιθανότητα και η σοβαρότητα του κινδύνου. Τα ειδικότερα<br />

κριτήρια που συνιστάται να λαμβάνονται υπόψη ορίζονται<br />

στις σχετικές οδηγίες του EDPB 8 .<br />

Λογοδοσία και τεκμηρίωση<br />

Όπως προαναφέραμε, η αξιολόγηση του κινδύνου συνεπάγεται<br />

μεταξύ άλλων τη γνωστοποίηση ή μη της παραβίασης<br />

στην εποπτική αρχή και την ανακοίνωσή της στα υποκείμενα<br />

των δεδομένων. Ανεξαρτήτως όμως των ανωτέρω, σε κάθε<br />

περίπτωση η επιχείρηση θα πρέπει να τηρεί αρχεία τεκμηρίωσης<br />

όλων των παραβιάσεων, όπως προκύπτει και από το<br />

άρθρο 33 παρ. 5 του ΓΚΠΔ. Το ελάχιστα στοιχεία που πρέπει<br />

αυτά να περιλαμβάνουν ορίζονται και πάλι από τον Κανονισμό<br />

και η επιχείρηση θα πρέπει να γνωρίζει ότι η εποπτική<br />

αρχή μπορεί να αποστήσει πρόσβαση στα αρχεία αυτά.<br />

Συνολικά λοιπόν μετά την συνοπτική περιγραφή κάποιων από<br />

τις βασικές υποχρεώσεις της επιχείρησης επισημαίνεται ότι σε<br />

περίπτωση που λάβει χώρα ένα περιστατικό παραβίασης προσωπικών<br />

δεδομένων, είναι ιδιαίτερα σημαντικό να γνωρίζει<br />

κανείς ότι κάθε περίπτωση είναι ξεχωριστή και ως τέτοια<br />

πρέπει να αντιμετωπίζεται, αξιολογώντας εξατομικευμένα<br />

κάθε φορά τις ειδικότερες περιστάσεις που την περιβάλλουν.<br />

Κοινός τόπος όμως σε όλες τις περιπτώσεις είναι ότι οι επιχειρήσεις<br />

θα πρέπει να έχουν θέσει σε ισχύ τις αναγκαίες διαδικασίες<br />

οι οποίες σε μια τέτοια απρόβλεπτη κατάσταση θα<br />

μπορούν να εφαρμοστούν κατευθείαν και χωρίς χρονοτριβή,<br />

με την συνδρομή των κατάλληλων και ενημερωμένων υπαλλήλων<br />

και του εκάστοτε εξειδικευμένου νομικού συμβούλου.<br />

Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα δε συνιστούν<br />

εξειδικευμένη ή εξατομικευμένη νομική συμβουλή.<br />

2 Άρθρο 33 ΓΚΠΔ<br />

3 Άρθρο 34 παρ. 1 ΓΚΠΔ<br />

4 Άρθρο 34 παρ.2 και 3 του ΓΚΠΔ<br />

5 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 82<br />

6 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 88, 89.<br />

7 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 102.<br />

8 EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 105.<br />

security<br />

15


T<strong>81</strong>09/10.2023<br />

Cover Issue<br />

Ασφάλεια Επιχειρησιακών<br />

Τεχνολογιών (OT)<br />

Οι Επιχειρησιακές Τεχνολογίες (OT), όταν αναφέρονται στο πλαίσιο της τεχνολογίας και των<br />

επιχειρησιακών διεργασιών, περιλαμβάνουν το υλικό (hardware) και λογισμικό Software που<br />

ανιχνεύει ή προκαλεί μια αλλαγή μέσω της άμεσης παρακολούθησης ή/και ελέγχου φυσικών<br />

συσκευών, διαδικασιών και συμβάντων στο περιβάλλον του οργανισμού.<br />

Εισαγωγή<br />

Ένα χαρακτηριστικό παράδειγμα Επιχειρησιακής Τεχνολογίας<br />

(ΟΤ) είναι τα γνωστά σε όλους μας Συστήματα Βιομηχανικού<br />

Ελέγχου (Industrial Control Systems - ICS), όπως<br />

ένα σύστημα SCADA. Έχοντας ως κέντρο αναφοράς τις Υποδομές<br />

Ζωτικής Σημασίας (Κρίσιμες Υποδομές), οι Επιχειρησιακές<br />

Τεχνολογίες μπορούν να χρησιμοποιηθούν για τον<br />

έλεγχο των σταθμών παραγωγής ενέργειας ή των μέσων<br />

μαζικής μεταφοράς. Ο κύριος στόχος κάθε περιβάλλοντος<br />

Επιχειρησιακής Τεχνολογίας (ΟΤ) αποτελεί η διαχείριση και<br />

ο έλεγχος των φυσικών συσκευών που συνήθως εμπλέκονται<br />

στην παραγωγή ή την παράδοση αγαθών και υπηρεσιών.<br />

Παραδείγματα συστημάτων Επιχειρησιακής Τεχνολογίας<br />

(ΟΤ) περιλαμβάνουν, εκτός των συστημάτων Βιομηχανικού<br />

Ελέγχου (ICS) που προαναφέρθηκαν, αισθητήρες, ρομποτική<br />

και άλλα που χρησιμοποιούνται σε βιομηχανίες υποδομών<br />

ζωτικής σημασίας. Η κύρια ευθύνη των συστημάτων<br />

Επιχειρησιακής Τεχνολογίας (ΟΤ) είναι να διαχειρίζονται τον<br />

έλεγχο και την αυτοματοποίηση των φυσικών διαδικασιών<br />

και των συσκευών που είναι κρίσιμες για τις επιχειρηματικές<br />

λειτουργίες. Σε αντιπαραβολή, ο κύριος στόχος κάθε περιβάλλοντος<br />

Τεχνολογιών Πληροφορικής (<strong>IT</strong>) είναι η διαχείριση<br />

και η επεξεργασία δεδομένων και πληροφοριών και των διαφόρων<br />

συστημάτων μέσω των οποίων ρέει. Παραδείγμα-<br />

16 security


Παναγιώτης Καλαντζής<br />

Cyber <strong>Security</strong> & Data Privacy Expert<br />

τα συστημάτων πληροφορικής περιλαμβάνουν διακομιστές,<br />

υπολογιστές, εφαρμογές λογισμικού, βάσεις δεδομένων<br />

και άλλους πόρους που χρησιμοποιούνται για επικοινωνία,<br />

αποθήκευση δεδομένων και πληροφοριών ή/και ανάλυση.<br />

Η κύρια ευθύνη τους είναι η διαχείριση των δεδομένων και<br />

των πληροφοριών που χρησιμοποιούνται για την υποστήριξη<br />

των επιχειρηματικών λειτουργιών. Ιστορικά, τα περιβάλλοντα<br />

Τεχνολογιών Πληροφορικής (<strong>IT</strong>) και Επιχειρησιακών Τεχνολογιών<br />

(OT) σχεδιάστηκαν για να λειτουργούν ανεξάρτητα,<br />

να διαχειρίζονται χωριστά από διαφορετικές ομάδες με<br />

διαφορετικούς στόχους και να μην έχουν καμία απολύτως<br />

συνδεσιμότητα μεταξύ τους. Αυτές οι συνθήκες, ωστόσο,<br />

έχουν αλλάξει δραματικά την τελευταία δεκαετία — σε<br />

μεγάλο βαθμό λόγω της επιτάχυνσης του ψηφιακού μετασχηματισμού.<br />

Καθώς οι Επιχειρησιακές Τεχνολογίες (OT) διασυνδέονται<br />

σε διαρκώς μεγαλύτερο βαθμό, γίνονται<br />

επίσης περισσότερο εκτεθειμένες σε τρωτά σημεία. Το<br />

υψηλό κόστος του βιομηχανικού εξοπλισμού και η καταστροφή<br />

για τις κοινότητες και τις οικονομίες που θα μπορούσε να<br />

προκαλέσει μια επίθεση είναι βασικοί παράγοντες για τους<br />

οργανισμούς που θέλουν να προστατεύσουν τα βιομηχανικά<br />

τους δίκτυα. Αν συνυπολογίσουμε ότι ο εξοπλισμός είναι ως<br />

επί το πλείστο παλαιού τύπου, καθώς και κανονισμούς ασφαλείας<br />

που ενδέχεται να απαγορεύουν οποιεσδήποτε τροποποιήσεις<br />

στον εξοπλισμό και κανονισμούς συμμόρφωσης<br />

που απαιτούν τη διάθεση ευαίσθητων δεδομένων σε τρίτους,<br />

οι απαιτήσεις ασφάλειας αυξάνονται περαιτέρω. Επιπροσθέτως,<br />

η διεύρυνση της χρήσης Επιχειρησιακών Τεχνολογιών<br />

(OT) που βρίσκουν εφαρμογές και εκτός της βιομηχανίας και<br />

των κρίσιμων υποδομών – χαρακτηριστικό παράδειγμα οι<br />

«έξυπνες» οικιακές συσκευές, τα «έξυπνα» δίκτυα και οι φορετές<br />

(wearable) συσκευές – και γίνεται πανταχού παρούσα,<br />

καταστεί την ανάγκη για ασφάλεια Επιχειρησιακών Τεχνολογιών<br />

(OT) αυξανόμενη εκθετικά.<br />

Κλασσικές προκλήσεις Ασφάλειας<br />

Πληροφοριών για τις Επιχειρησιακές<br />

Τεχνολογίες (OT)<br />

Λαμβάνοντας υπόψη την φύση των Επιχειρησιακών Τεχνολογιών<br />

(OT), μπορούμε να αναλύσουμε το μοναδικό σύνολο<br />

προκλήσεων ασφαλείας καθώς και τις απειλές που αυτές<br />

αντιμετωπίζουν, εκτός των άλλων και λόγο του ρόλου τους<br />

στον έλεγχο και την παρακολούθηση κρίσιμων υποδομών<br />

και βιομηχανικών διαδικασιών. Αυτές οι προκλήσεις, συνοπτικά,<br />

περιλαμβάνουν:<br />

1. Συστήματα παλαιού τύπου: Πολλά συστήματα Επιχειρησιακών<br />

Τεχνολογιών (OT) βασίζονται σε εξοπλισμό και λογι-<br />

σμικό παλαιού τύπου που δεν έχουν σχεδιαστεί με γνώμονα<br />

την ασφάλεια. Αυτά τα παλαιότερα συστήματα ενδέχεται να<br />

μην διαθέτουν τα απαραίτητα χαρακτηριστικά ασφαλείας και<br />

ενημερώσεις, γεγονός που τα καθιστά ευάλωτα σε κυβερνοεπιθέσεις.<br />

2. Έλλειψη διαχείρισης ενημερώσεων κώδικα: Τα<br />

συστήματα Επιχειρησιακών Τεχνολογιών (OT) συχνά δεν<br />

μπορούν να αποσυνδεθούν για ανανέωση εκδόσεων και<br />

ενημερώσεις κώδικα τόσο εύκολα όσο τα συστήματα πληροφορικής.<br />

Αυτό μπορεί να οδηγήσει σε καθυστερήσεις στην<br />

εφαρμογή ενημερώσεων ασφαλείας, αφήνοντας τα συστήματα<br />

εκτεθειμένα σε γνωστά τρωτά σημεία.<br />

3. Περιορισμένος έλεγχος ταυτότητας: Σε ορισμένες περιπτώσεις,<br />

τα συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />

έχουν αδύναμους ή καθόλου μηχανισμούς ελέγχου ταυτότητας,<br />

γεγονός που διευκολύνει τα μη εξουσιοδοτημένα άτομα<br />

να αποκτήσουν πρόσβαση σε υποδομές ζωτικής σημασίας.<br />

4. Φυσική πρόσβαση: Σε αντίθεση με τα συστήματα πληροφορικής,<br />

τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) είναι<br />

συχνά φυσικά προσβάσιμα σε υπαλλήλους και υπεργολάβους.<br />

Αυτό μπορεί να οδηγήσει σε εσωτερικές απειλές και μη<br />

εξουσιοδοτημένη φυσική πρόσβαση σε κρίσιμο εξοπλισμό.<br />

5. Ευπάθειες Zero-day: Τα συστήματα Επιχειρησιακών<br />

Τεχνολογιών (OT) ενδέχεται να χρησιμοποιούν ιδιόκτητο ή<br />

προσαρμοσμένο λογισμικό, καθιστώντας τα ευαίσθητα σε<br />

ευπάθειες μηδενικής ημέρας που δεν είναι δημόσια γνωστά<br />

ή διορθωμένα.<br />

6. Κακόβουλο λογισμικό και Ransomware: Το κακόβουλο<br />

λογισμικό, συμπεριλαμβανομένου του ransomware,<br />

μπορεί να διαταράξει τις λειτουργίες Επιχειρησιακών Τεχνολογιών<br />

(OT) κρυπτογραφώντας δεδομένα ή αναλαμβάνοντας<br />

τον έλεγχο κρίσιμων συστημάτων. Οι επιπτώσεις τέτοιων<br />

επιθέσεων μπορεί να είναι σοβαρές.<br />

7. Κίνδυνοι εφοδιαστικής αλυσίδας: Τα συστήματα Επιχειρησιακών<br />

Τεχνολογιών (OT) βασίζονται σε μια πολύπλοκη<br />

αλυσίδα εφοδιασμού εξοπλισμού και λογισμικού. Τα παραβιασμένα<br />

εξαρτήματα ή λογισμικό που εισάγονται σε οποιοδήποτε<br />

σημείο αυτής της αλυσίδας εφοδιασμού μπορεί να<br />

εγκυμονούν σημαντικούς κινδύνους.<br />

8. Έλλειψη ευαισθητοποίησης για την ασφάλεια: Πολλοί<br />

επαγγελματίες Επιχειρησιακών Τεχνολογιών (OT) έχουν<br />

επικεντρωθεί ιστορικά περισσότερο στην ασφάλεια και την<br />

αξιοπιστία του υλικού παρά στην ασφάλεια στον κυβερνοχώρο.<br />

Αυτή η έλλειψη ενημέρωσης μπορεί να οδηγήσει σε<br />

παραλείψεις ασφαλείας.<br />

9. Επιθέσεις έθνους-κράτους: Οι φορείς που χρηματοδοτούνται<br />

από το κράτος και οι επιθέσεις μέσω μηχανσισμών<br />

security<br />

17


T<strong>81</strong>09/10.2023<br />

Cover Issue<br />

που χρησιμοποιούν προηγμένες επίμονες απειλές (APT) στοχεύουν<br />

κρίσιμες υποδομές με πιθανότητα σημαντικής διακοπής<br />

ή ζημιάς, καθιστώντας τα συστήματα Επιχειρησιακών<br />

Τεχνολογιών (OT) πρωταρχικό στόχο.<br />

10. Ανθρώπινο σφάλμα: Οι μηχανικοί που χειρίζονται και<br />

συντηρούν συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />

μπορεί να εισάγουν ακούσια ευπάθειες ή να κάνουν σφάλματα<br />

διαμόρφωσης που εκθέτουν το σύστημα σε κυβερνοεπιθέσεις.<br />

11. Προκλήσεις συμμόρφωσης: Η τήρηση ρυθμιστικών<br />

απαιτήσεων και προτύπων, όπως το NIST Cybersecurity<br />

Framework ή το ISA/IEC 62443, μπορεί να είναι πρόκληση<br />

για οργανισμούς, ειδικά όταν ασχολούνται με διαφορετικά<br />

περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT).<br />

Πλεονεκτήματα που απορρέουν από την<br />

σύγκλιση Επιχειρησιακών Τεχνολογιών (OT)<br />

και Τεχνολογιών Πληροφορικής (<strong>IT</strong>)<br />

Για πολλά χρόνια, τα βιομηχανικά συστήματα βασίζονταν σε<br />

ιδιόκτητα πρωτόκολλα και λογισμικό, διαχειρίζονταν και παρακολουθούνταν<br />

με χειροκίνητες διεργασίες και δεν είχαν<br />

καμία σύνδεση με τον έξω κόσμο. Για το λόγο αυτό, δεν ήταν<br />

το επίκεντρο επιθέσεων κυβερνοεγκληματιών και στόχος για<br />

τους χάκερ καθώς δεν υπήρχε δικτυακή διεπαφή για επίθεση<br />

και τίποτα για να κερδίσουν ή να καταστρέψουν. Ο μόνος<br />

τρόπος διείσδυσης σε αυτά τα συστήματα ήταν η απόκτηση<br />

φυσικής πρόσβασης σε ένα τερματικό, και αυτό δεν ήταν εύκολο<br />

έργο. Οι Επιχειρησιακές Τεχνολογίες (OT) και οι Τεχνολογίες<br />

Πληροφορικής (<strong>IT</strong>), ήταν ελάχιστα διασυνδεδεμένες<br />

και δεν αντιμετώπιζαν τις ίδιες ευπάθειες ή τις ίδιες απειλές.<br />

Στο σημερινό περιβάλλον, όμως, η κατάσταση έχει αλλάξει<br />

ουσιαστικά, καθώς βλέπουμε όλο και περισσότερες<br />

Επιχειρησιακές Τεχνολογίες (OT) να συνδέονται<br />

στο διαδίκτυο (γνωστό και διαδεδομένο είναι στις μέρες μας<br />

το Διαδίκτυο των Πραγμάτων – Internet of Things), να παράγουν<br />

πλήθος δεδομένων (Big Data) και αναλύσεις νέας<br />

γενιάς (New Generation Analytics), καθώς και να υιοθετούν<br />

νέες δυνατότητες μέσω τεχνολογικών ενοποιήσεων. Η<br />

ενοποίηση των συστημάτων Επιχειρησιακών Τεχνολογιών<br />

(OT) και Τεχνολογιών Πληροφορικής (<strong>IT</strong>) έχει οδηγήσει σε<br />

μεγαλύτερο βαθμό συνδεσιμότητας μεταξύ αυτών των<br />

δύο προηγουμένως ανόμοιων περιβαλλόντων, οδηγώντας<br />

σε βελτιωμένη απόδοση, αυξημένη ορατότητα και έλεγχο<br />

των λειτουργιών και καλύτερες δυνατότητες λήψης αποφάσεων<br />

για έναν οργανισμό. Ένα χαρακτηριστικό παράδειγμα<br />

σύγκλισης <strong>IT</strong>/OT είναι οι βιομηχανικές συσκευές Διαδικτύου<br />

των Πραγμάτων (Internet of Things - IoT), οι οποίες περιλαμβάνουν<br />

τη σύνδεση φυσικών συσκευών, αισθητήρων και<br />

μηχανών σε δίκτυα πληροφορικής, συχνά μέσω του cloud.<br />

Αυτές οι συσκευές επιτρέπουν τη συλλογή δεδομένων, την<br />

απομακρυσμένη παρακολούθηση και την ανάλυση της απόδοσης<br />

– επιτρέποντας σε οργανισμούς υποδομής ζωτικής<br />

σημασίας να βελτιώσουν την αυτοματοποίηση, να προβλέψουν<br />

τη συντήρηση και να λαμβάνουν αποφάσεις σε πραγματικό<br />

χρόνο. Αυτή η μορφή σύγκλισης Επιχειρησιακών<br />

Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (<strong>IT</strong>) επέτρεψε<br />

στους οργανισμούς να επιταχύνουν σημαντικά τις<br />

πρωτοβουλίες τους για ψηφιακό μετασχηματισμό. Συγκλίνοντας<br />

τα συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />

και Τεχνολογιών Πληροφορικής (<strong>IT</strong>), οι οργανισμοί μπορούν<br />

να αυτοματοποιήσουν περαιτέρω τις διαδικασίες τους για<br />

τη μείωση του ανθρώπινου λάθους, την αύξηση της παραγωγικότητας<br />

και τον εξορθολογισμό των λειτουργιών τους.<br />

Μπορούν επίσης να αποκτήσουν βαθύτερες γνώσεις για τις<br />

δραστηριότητές τους και να λάβουν αποφάσεις που βασίζονται<br />

σε δεδομένα με βελτιωμένη ορατότητα στα δεδομένα.<br />

Ως κρίσιμος παράγοντας του ψηφιακού μετασχηματισμού, η<br />

σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />

Πληροφορικής (<strong>IT</strong>) βοηθά στην ευθυγράμμιση των λειτουργικών<br />

διαδικασιών με τις ψηφιακές δυνατότητες, αλλάζοντας<br />

έτσι τους τρόπους με τους οποίους οι επιχειρήσεις προσφέρουν<br />

αξία. Οι οργανισμοί σε όλους τους τομείς εξαρτώνται<br />

από τότε όλο και περισσότερο από νεότερους τύπους κυβερνοφυσικών<br />

συστημάτων και άλλες τεχνολογίες που απαιτούν<br />

και συνεχίζουν να επεκτείνουν τη συνδεσιμότητα μεταξύ συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />

Πληροφορικής (<strong>IT</strong>). Ως αποτέλεσμα, αυτά τα προηγουμένως<br />

ανόμοια περιβάλλοντα συγκλίνουν, οδηγώντας<br />

σε αναμφισβήτητα επιχειρηματικά οφέλη που κυμαίνονται<br />

από μεγαλύτερη αποτελεσματικότητα και βιωσιμότητα έως<br />

καινοτομία.<br />

18 security


security<br />

19


T<strong>81</strong>09/10.2023<br />

Cover Issue<br />

Προκλήσεις λόγω της σύγκλισης<br />

Επιχειρησιακών Τεχνολογιών (OT) και<br />

Τεχνολογιών Πληροφορικής (<strong>IT</strong>)<br />

Η σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />

Πληροφορικής (<strong>IT</strong>) εκτός των προφανών πλεονεκτημάτων,<br />

τροφοδοτεί επίσης νέους κινδύνους και προκλήσεις —<br />

ιδιαίτερα όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο<br />

Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής<br />

(<strong>IT</strong>), με δεδομένο ότι αυτή η μετάβαση από τα κλειστά<br />

σε ανοιχτά συστήματα έχει δημιουργήσει μια σειρά από νέους<br />

κινδύνους για την ασφάλεια που χρήζουν αντιμετώπισης. Για<br />

την αντιμετώπιση τόσο των τυπικών προκλήσεων που προέρχονται<br />

από την φύση των Επιχειρησιακών Τεχνολογιών<br />

(OT), όσο και αυτών των προκλήσεων που απορρέουν από<br />

την σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών<br />

Πληροφορικής (<strong>IT</strong>), πρέπει να έχουμε στο μυαλό μας ότι<br />

τα συστήματα <strong>IT</strong> και OT έχουν πολύ διαφορετικές απαιτήσεις<br />

ασφαλείας και αντιμετωπίζουν μοναδικές απειλές στον<br />

κυβερνοχώρο. Υπάρχει ανάγκη για εξειδικευμένους ελέγχους<br />

ασφαλείας και συνεργασία μεταξύ των ομάδων ασφαλείας <strong>IT</strong><br />

και OT για να διασφαλιστεί ότι τα συστήματά τους προστατεύονται<br />

από απειλές στον κυβερνοχώρο. Για να γίνει αυτό με επιτυχία,<br />

απαιτούνται νέας γενιάς επαγγελματίες ασφαλείας που<br />

έχουν εξειδίκευση τόσο στην Ασφάλεια Πληροφορικής όσο<br />

και στην Ασφάλεια OT για να διασφαλίζουν την ασφάλεια της<br />

υποδομής και των διαδικασιών ζωτικής σημασίας, με μια ενιαία<br />

προσέγγιση κατά των επιθέσεων και να προστατεύσει το<br />

περιβάλλον του οργανισμού με ολιστικό τρόπο. Αυτή η προσέγγιση<br />

θεωρείται ο βέλτιστος τρόπος για την αντιμετώπιση<br />

των προκλήσεων στις οποίες έχει οδηγήσει η σύγκλιση <strong>IT</strong>/OT,<br />

συμπεριλαμβανομένων των κάτωθι:<br />

• Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />

και Τεχνολογιών Πληροφορικής (<strong>IT</strong>) δεν προορίζονταν<br />

ποτέ να συνδεθούν μεταξύ τους. Συσκευές<br />

και συστήματα πληροφορικής αναπτύχθηκαν για τη<br />

διαχείριση και την επεξεργασία πληροφοριών χρησιμοποιώντας<br />

υπολογιστές και λογισμικό. Αυτές οι συσκευές<br />

σχεδιάστηκαν για να συνδέονται στο Διαδίκτυο<br />

και έχουν ασφαλιστεί για την προστασία της εμπιστευτικότητας,<br />

της ακεραιότητας και της διαθεσιμότητας των<br />

πληροφοριών. Οι Επιχειρησιακές Τεχνολογίες (OT) και<br />

Τεχνολογίες Πληροφορικής (<strong>IT</strong>) από την άλλη πλευρά<br />

σχεδιάστηκε αρχικά για τη διαχείριση και τον έλεγχο<br />

φυσικών συσκευών και διεργασιών και δεν προοριζόταν<br />

ποτέ να συνδεθεί στο Διαδίκτυο — ως εκ τούτου η<br />

ασφάλεια δεν ήταν ποτέ ενσωματωμένη στις συσκευές.<br />

Καθώς ο ψηφιακός μετασχηματισμός των οργανισμών<br />

προχωράει και περισσότερα συστήματα πληροφορικής<br />

συγκλίνουν με συσκευές Επιχειρησιακών Τεχνολογιών<br />

(OT), η διασύνδεσή τους έχει διευρύνει την επιφάνεια<br />

επίθεσης για τους εγκληματίες του κυβερνοχώρου, δίνοντάς<br />

τους νέα μονοπάτια σε αυτά τα εγγενώς ανασφαλή<br />

περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT).<br />

• Οι παλαιού τύπου και συσκευές είναι κοινός τόπος.<br />

Ενισχύοντας την εγγενή ανασφάλεια των συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT), πολλές συσκευές<br />

Επιχειρησιακών Τεχνολογιών (OT) κατασκευάστηκαν<br />

πριν από δεκαετίες και συνήθως επικοινωνούν μεταξύ<br />

τους μέσω ιδιόκτητων πρωτοκόλλων που είναι σε<br />

μεγάλο βαθμό ασύμβατα με τις παραδοσιακές λύσεις<br />

ασφάλειας πληροφορικής. Αυτό σημαίνει ότι, λόγω της<br />

πολυπλοκότητας των δομικών στοιχείων των συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT), είναι δύσκολο<br />

για αυτά να χειριστούν τον όγκο και τον τύπο<br />

της κίνησης που δημιουργείται από τις παραδοσιακές<br />

λύσεις πληροφορικής. Εάν χρησιμοποιείται μια παραδοσιακή<br />

λύση ασφάλειας Τεχνολογιών Πληροφορικής<br />

(<strong>IT</strong>) σε ένα στοιχείο Επιχειρησιακών Τεχνολογιών (OT),<br />

μπορεί να οδηγήσει σε καταστροφή καθώς τα συστήματα<br />

Επιχειρησιακών Τεχνολογιών (OT) λειτουργούν<br />

σε πραγματικό χρόνο και δεν μπορούν να αντέξουν<br />

τον λανθάνοντα χρόνο που σχετίζεται με τα συστήματα<br />

Τεχνολογιών Πληροφορικής (<strong>IT</strong>). Η ασυμβατότητά τους<br />

λόγω των διαφορών στο υλικό, το λογισμικό και τα<br />

πρωτόκολλα επικοινωνίας μπορεί να προκαλέσει διακοπές<br />

σε ένα σύστημα Επιχειρησιακών Τεχνολογιών<br />

(OT) που μπορεί να έχει άμεσο και σοβαρό αντίκτυπο<br />

στην ασφάλεια, την παραγωγικότητα και τα έσοδα.<br />

• Έλλειψη ορατότητας της συσκευής και λεπτομερών<br />

δεδομένων. Όπως σημειώθηκε παραπάνω, η<br />

επικράτηση των παλαιών συστημάτων και των ιδιόκτητων<br />

πρωτοκόλλων επικοινωνίας σε περιβάλλοντα<br />

Επιχειρησιακών Τεχνολογιών (OT) τα καθιστά σε μεγάλο<br />

βαθμό ασύμβατα με τις παραδοσιακές λύσεις πληροφορικής<br />

— συμπεριλαμβανομένων εκείνων που<br />

20 security


security<br />

21


T<strong>81</strong>09/10.2023<br />

Cover Issue<br />

Αντιμετώπιση προκλήσεων και ασφάλεια<br />

Επιχειρησιακών Τεχνολογιών (OT)<br />

Η ανάγκη των οργανισμών για κυβερνοασφάλεια εγείρει κρίσιμες<br />

ανησυχίες τόσο για τις Επιχειρησιακές Τεχνολογίες (OT)<br />

όσο και για τις Τεχνολογίες Πληροφορικής (<strong>IT</strong>), αλλά υπάρχρησιμοποιούνται<br />

για την υποστήριξη της ανακάλυψης<br />

και διαχείρισης περιουσιακών στοιχείων. Ως εκ τούτου,<br />

οι ομάδες Ασφαλείας Πληροφοριών συνήθως δυσκολεύονται<br />

να αποκτήσουν έναν πλήρη κατάλογο των<br />

περιουσιακών στοιχείων Επιχειρησιακών Τεχνολογιών<br />

(OT), καθιστώντας αδύνατο τον εντοπισμό και την<br />

αξιολόγηση απειλών και τρωτών σημείων. Χωρίς αναλυτικά<br />

χαρακτηριστικά της συσκευής, όπως το ακριβές<br />

μοντέλο, η έκδοση υλικολογισμικού και η διαμόρφωση,<br />

το προσωπικό ασφαλείας θα δυσκολεύεται επίσης<br />

να αντιστοιχίσει τα στοιχεία με κοινά τρωτά σημεία και<br />

εκθέσεις (CVE).<br />

• Άμεσες συνδέσεις στο Διαδίκτυο. Οι περισσότεροι<br />

οργανισμοί έχουν απευθείας συνδέσεις με το Διαδίκτυο.<br />

Είναι γνωστό ότι μόνο μία συνδεδεμένη στο<br />

Διαδίκτυο συσκευή είναι αρκετή για να παρέχει στους<br />

εισβολείς μια πύλη για να εισάγουν κακόβουλο λογισμικό<br />

στα δίκτυα Επιχειρησιακών Τεχνολογιών (OT).<br />

• Μη ασφαλείς κωδικοί πρόσβασης. Οι χειριστές<br />

χρησιμοποιούν μη ασφαλείς κωδικούς πρόσβασης<br />

για εύκολη είσοδο στα δίκτυα. Αυτό διευκολύνει τους<br />

εισβολείς να χρησιμοποιήσουν την ωμή βία ανακάλυψη<br />

διαπιστευτηρίων για να αποκτήσουν πρόσβαση μη<br />

εξουσιοδοτημένου χειριστή.<br />

• Ξεπερασμένο λειτουργικό σύστημα. Ένα απαρχαιωμένο<br />

λειτουργικό σύστημα που δεν λαμβάνει πλέον<br />

ενημερώσεις ασφαλείας είναι εξαιρετικά ευάλωτο σε<br />

επιθέσεις ασφαλείας. Όλα τα μηχανήματα, συμπεριλαμβανομένων<br />

των σημείων πρόσβασης, πρέπει να<br />

απογραφούν και να επιδιορθωθούν σύμφωνα με τις<br />

πιο πρόσφατες προδιαγραφές των κατασκευαστών<br />

για την αποφυγή συμβιβασμού.<br />

• Ο χρόνος διακοπής λειτουργίας. Σε αντίθεση με τα<br />

παραδοσιακά συστήματα πληροφορικής, όπου η διακοπή<br />

λειτουργίας επηρεάζει κυρίως την πρόσβαση<br />

δεδομένων και τις υπηρεσίες, η διακοπή λειτουργίας<br />

μπορεί να οδηγήσει σε σοβαρές λειτουργικές διακοπές<br />

και οικονομικές απώλειες σε βιομηχανικό πλαίσιο.<br />

• Ευάλωτα πρωτόκολλα. Με τη συμπερίληψη λειτουργιών<br />

όπως ο έλεγχος ταυτότητας και η κρυπτογράφηση,<br />

πολλοί κατασκευαστές αναπτύσσουν ασφαλείς<br />

εναλλακτικές λύσεις σε πρωτόκολλα και εξοπλισμό<br />

που δεν είναι ασφαλή επί του παρόντος.<br />

• <strong>Security</strong> Posture. Η κοινότητα των βιομηχανικών<br />

υπολογιστών έχει παραδοσιακά λάβει ελάχιστη προσοχή<br />

από την ασφάλεια. Ο κλάδος των συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT) υστερεί πολύ πίσω<br />

από τον κλάδο της πληροφορικής όσον αφορά τα<br />

πρότυπα και τις διαδικασίες ασφαλείας, καθώς και τη<br />

συνεργασία με εξωτερικούς ερευνητές ασφάλειας.<br />

• Έλλειψη Ιδιοκτησίας. Η ασαφής ιδιοκτησία και αποδοχή<br />

ευθύνης διαχείρισης ρίσκου μεταξύ ομάδων Επιχειρησιακών<br />

Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής<br />

(<strong>IT</strong>) που καθιστά δύσκολη τη συγκέντρωση,<br />

τη διαχείριση και τη διακυβέρνηση των ενεργειών στον<br />

κυβερνοχώρο Επιχειρησιακών Τεχνολογιών (OT).<br />

• Έλλειψη κοινής στρατηγικής διαχείρισης ρίσκου.<br />

Η συνειδητοποίηση κινδύνου έναντι της ανοχής<br />

κινδύνου οδηγεί σε ανταγωνιστικές επιχειρηματικές<br />

προτεραιότητες για τους υπεύθυνους λήψης<br />

αποφάσεων Επιχειρησιακών Τεχνολογιών (OT) που<br />

πρέπει να αποφασίσουν μεταξύ της αύξησης της παραγωγικότητας<br />

και της ασφάλειας των συσκευών (για<br />

παράδειγμα, αυξημένη παραγωγή έναντι διαχείρισης<br />

ενημερώσεων κώδικα που θα μπορούσε να προκαλέσει<br />

διακοπή στις λειτουργίες)<br />

• Άλλοι Περιορισμοί. επιχειρησιακοί, λειτουργικοί και<br />

τεχνικοί περιορισμοί που σημαίνουν ότι μια συνεχής<br />

διαδικασία μπορεί να εκτελεστεί για τρία χρόνια πριν<br />

από έναν προγραμματισμένο τερματισμό λειτουργίας,<br />

ο οποίος περιορίζει την ικανότητα των ομάδων Επιχειρησιακών<br />

Τεχνολογιών (OT) να επιδιορθώνουν<br />

συσκευές και να εφαρμόζουν λύσεις ευαίσθητες στον<br />

χρόνο (για παράδειγμα, διακοπή παροχής ενέργειας<br />

για ενημέρωση μιας λειτουργικής διακομιστής με<br />

ενημερωμένη έκδοση κώδικα ασφαλείας)<br />

22 security


security<br />

23


T<strong>81</strong>09/10.2023<br />

Cover Issue<br />

χουν θεμελιώδεις διαφορές στον τρόπο προστασίας των δύο<br />

που απαιτούν διαφορετικές προσεγγίσεις. Μία από τις κύριες<br />

διαφορές είναι οι τύποι περιουσιακών στοιχείων<br />

που πρέπει να προστατεύονται σε περιβάλλοντα πληροφορικής<br />

έναντι αυτών των Επιχειρησιακών Τεχνολογιών (OT).<br />

Όπως αναφέρθηκε προηγουμένως, τα συστήματα πληροφορικής<br />

χρησιμοποιούνται κυρίως για την αποθήκευση και<br />

επεξεργασία δεδομένων, ενώ τα συστήματα Επιχειρησιακών<br />

Τεχνολογιών (OT) ελέγχουν φυσικές διαδικασίες και συστήματα.<br />

Αυτό σημαίνει ότι η ασφάλεια στον κυβερνοχώρο<br />

πληροφορικής επικεντρώνεται κυρίως στην προστασία ευαίσθητων<br />

πληροφοριών όπως αριθμοί κοινωνικής ασφάλισης,<br />

προστατευμένες πληροφορίες υγείας (PHI) ή αρχεία εκπαίδευσης.<br />

Ο αντίκτυπος μιας κυβερνοεπίθεσης σε ευαίσθητα<br />

δεδομένα, για παράδειγμα, μπορεί να οδηγήσει σε ζημιά στη<br />

φήμη, κλοπή, οικονομικές απώλειες ή πρόστιμα. Τα συστήματα<br />

Επιχειρησιακών Τεχνολογιών (OT) από την άλλη πλευρά<br />

εστιάζουν στη διασφάλιση της συνέχειας και της αξιοπιστίας<br />

των υποδομών ζωτικής σημασίας. Σε αντίθεση<br />

με τις Τεχνολογίες Πληροφορικής (<strong>IT</strong>), οι συσκευές Επιχειρησιακών<br />

Τεχνολογιών (OT) που παρέχουν αυτές τις κρίσιμες<br />

λειτουργίες μπορούν να έχουν διάρκεια ζωής αρκετών<br />

δεκαετιών και μπορούν να διανεμηθούν ευρέως σε φυσικές<br />

τοποθεσίες ή εγκαταστάσεις. Επίσης συνήθως χρησιμοποιούν<br />

ιδιόκτητα πρωτόκολλα τα οποία δεν μπορούν να αποκρυπτογραφηθούν<br />

χρησιμοποιώντας παραδοσιακά εργαλεία<br />

ασφαλείας, καθιστώντας αδύνατη την πλήρη ορατότητα στο<br />

δίκτυο Επιχειρησιακών Τεχνολογιών (OT). Δεδομένου ότι τα<br />

δίκτυα Επιχειρησιακών Τεχνολογιών (OT) είναι τόσο εύθραυστα,<br />

η χρήση της παραδοσιακής σάρωσης ευπάθειας μπορεί<br />

να προκαλέσει αστοχία της συσκευής Επιχειρησιακών Τεχνολογιών<br />

(OT) και σε ορισμένες περιπτώσεις, ολόκληρες εγκαταστάσεις<br />

μπορούν να τεθούν εκτός σύνδεσης. Επιπλέον, οι<br />

συνδέσεις απομακρυσμένης πρόσβασης χρησιμοποιούνται<br />

συνήθως από το εσωτερικό προσωπικό υποστήριξης ή από<br />

τρίτους προμηθευτές για την εξυπηρέτηση περιουσιακών<br />

στοιχείων Επιχειρησιακών Τεχνολογιών (OT). Η ορατότητα<br />

σε αυτές τις απομακρυσμένες συνεδρίες είναι απαραίτητη για<br />

έλεγχο, διαχείριση αλλαγών και εκτιμήσεις κινδύνου, αλλά οι<br />

παραδοσιακές λύσεις απομακρυσμένης πρόσβασης πληροφορικής<br />

δεν είναι κατάλληλες για βιομηχανικά περιβάλλοντα.<br />

Οι επιπτώσεις των κυβερνοεπιθέσεων σε περιβάλλοντα<br />

Επιχειρησιακών Τεχνολογιών (OT) σε οργανισμούς υποδομής<br />

ζωτικής σημασίας μπορεί να έχουν πολύ πιο ολέθριες<br />

συνέπειες, όπως τερματισμό λειτουργίας εγκαταστάσεων,<br />

δυσλειτουργίες εξοπλισμού και ακόμη και εκρήξεις σταθμών<br />

ηλεκτροπαραγωγής. Αυτές οι συνέπειες επηρεάζουν πολύ<br />

περισσότερο από τα δεδομένα και ενδέχεται να έχουν αρνητικές<br />

επιπτώσεις στην υγεία και την ανθρώπινη ασφάλεια. Ως<br />

γνωστόν, η συνδεσιμότητα αυξάνεται ραγδαία και οι ακούσιες<br />

συνέπειες σε αυτήν τη συνδεσιμότητα θα γίνουν πιο σοβαρές<br />

καθώς οι εγκληματίες του κυβερνοχώρου γίνονται πιο<br />

προχωρημένοι στην πολυπλοκότητα των επιθέσεων τους.<br />

Υπό αυτές τις συνθήκες, η διαχείριση της ασφάλειας Επιχειρησιακών<br />

Τεχνολογιών (OT) είναι ένα από τα πιο σημαντικά<br />

καθήκοντα για τους οργανισμούς. Για να εξασφαλίσουν<br />

ένα περιβάλλον Επιχειρησιακών Τεχνολογιών (OT) από κάθε<br />

είδους απειλή στον κυβερνοχώρο, οι οργανισμοί μπορούν να<br />

δημιουργήσουν ένα πλαίσιο ασφάλειας βασισμένο στις παρακάτω<br />

θεμελιώδεις αρχές και διαδικασίες:<br />

• Ασφαλής πρόσβαση/Κεντρική καταγραφή: Η παροχή<br />

ασφαλούς πρόσβασης αποτελεί πρόκληση για<br />

πολλούς οργανισμούς. Οι οργανισμοί πρέπει να δημιουργήσουν<br />

διαφορετική πρόσβαση για διαφορετικούς<br />

χρήστες μέσω διαφόρων οδών πρόσβασης. Για να<br />

παρέχεται ασφαλής πρόσβαση, η πρόσβαση του χρήστη<br />

θα πρέπει να διασφαλίζεται με έλεγχο ταυτότητας<br />

πολλαπλών παραγόντων. Ο ασφαλής έλεγχος πρόσβασης<br />

μπορεί να επιτευχθεί με κεντρική καταγραφή. Η<br />

κεντρική καταγραφή βοηθά στη διαχείριση και ανάλυση<br />

όλων των αρχείων καταγραφής για τον εντοπισμό<br />

κενών ασφαλείας και τη βελτιστοποίηση της άμυνας.<br />

• Διαχείριση περιουσιακών στοιχείων: Τα συστήματα<br />

Επιχειρησιακών Τεχνολογιών (OT) χρησιμεύουν<br />

ως ο εγκέφαλος κάθε κλάδου και το πρωταρχικό<br />

καθήκον ενός οργανισμού είναι να τα προστατεύει.<br />

Πολλά συστήματα Επιχειρησιακών Τεχνολογιών (OT)<br />

αντιμετωπίζουν έλλειψη ορατότητας. Πολλοί οργανισμοί<br />

δεν γνωρίζουν τον ακριβή αριθμό των συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT) που διαθέτουν<br />

24 security


security<br />

25


T<strong>81</strong>09/10.2023<br />

Cover Issue<br />

• Διαχείριση αντιγράφων ασφαλείας: Τα αντίγραφα<br />

ασφαλείας δεδομένων είναι ο πιο αποτελεσματικός<br />

τρόπος ανάκτησης από την απώλεια δεδομένων. Οι<br />

οργανισμοί πρέπει να δημιουργούν τακτικά αντίγραφα<br />

ασφαλείας. Υπάρχουν διαφορετικές μεθοδολογίες<br />

δημιουργίας αντιγράφων ασφαλείας, καθώς και βέλτιστες<br />

πρακτικές για να διασφαλιστεί ότι τα αντίγραφα<br />

ασφαλείας προστατεύονται.<br />

• Ανίχνευση και πρόληψη εισβολής. Οι οργανισμοί<br />

οφείλουν να αναπτύξουν κατάλληλα συστήματα ανίχνευσης<br />

και πρόληψης εισβολής για τον εντοπισμό<br />

και τον αποκλεισμό κακόβουλων δραστηριοτήτων<br />

στα οποία θα περιλάβουν και τα συστήματα Επιχειρησιακών<br />

Τεχνολογιών (OT).<br />

• Εκπαίδευση και ευαισθητοποίηση. Οι οργανισμοί<br />

πρέπει να εκπαιδεύσουν τους υπαλλήλους σχετικά<br />

με τη σημασία της κυβερνοασφάλειας συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT), τις βέλτιστες πρακτικές<br />

και τον τρόπο αναγνώρισης πιθανών απειλών.<br />

• Απόκριση σε περιστατικά ασφάλειας. Κρίσιμο<br />

παράγοντα για την ασφάλεια του οργανισμού, είναι<br />

η καθιέρωση σαφών πρωτόκολλων απόκρισης συμβάντων<br />

για την διασφάλιση της απαραίτητης ταχείας<br />

δράσης σε περίπτωση παραβίασης της ασφάλειας συστημάτων<br />

Επιχειρησιακών Τεχνολογιών (OT).<br />

• Εκτίμηση κινδύνου και τακτικοί έλεγχοι. Οι οργανισμοί<br />

πρέπει να διεξάγουν τακτικές αξιολογήσεις<br />

κινδύνου Επιχειρησιακών Τεχνολογιών (OT) για τον<br />

εντοπισμό τρωτών σημείων των συστημάτων και<br />

δικτύων Επιχειρησιακών Τεχνολογιών (OT) και την<br />

ιεράρχηση των απαραίτητων διορθωτικών μέτρων<br />

ασφάλειας, καθώς και για την αξιολόγηση της αποτελεσματικότητας<br />

των ελέγχων ασφαλείας και τον εντοπισμό<br />

τομέων προς βελτίωση.<br />

• Διαχείριση προμηθευτών. Ο έλεγχος και η παρακολούθηση<br />

των τρίτων προμηθευτών που έχουν πρόσβαση<br />

σε συστήματα Επιχειρησιακών Τεχνολογιών<br />

(OT) για την διασφάλιση ότι οι πρακτικές ασφαλείας<br />

τους ευθυγραμμίζονται με τα πρότυπα του οργανισμού<br />

είναι περισσότερο απαραίτητη από ποτέ.<br />

Συνοψίζοντας, η ασφάλεια Επιχειρησιακών Τεχνολογιών<br />

(OT) είναι μια εργασία υψηλής προτεραιότητας για κάθε<br />

οργανισμό προκειμένου να καλύψει τη ζήτηση της αγοράς<br />

και τη διαθεσιμότητα των εγκαταστάσεων. Λόγω της χαμηλής<br />

ορατότητας των περιουσιακών στοιχείων, η διαχείριση<br />

ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) μπορεί να είναι<br />

δύσκολη για τους οργανισμούς. Ένα αποτελεσματικό πρόστον<br />

οργανισμό τους. Ως μέρος της διαχείρισης περιουσιακών<br />

στοιχείων, κάθε οργανισμός πρέπει να έχει<br />

πλήρη απογραφή των συστημάτων Επιχειρησιακών<br />

Τεχνολογιών (OT). Αυτό θα τους επιτρέψει να γνωρίζουν<br />

τι προστατεύουν και να σχεδιάζουν ανάλογα.<br />

• Ανάλυση ευπάθειας λογισμικού: Οι οργανισμοί<br />

πρέπει να γνωρίζουν όλες τις εκδόσεις λογισμικού,<br />

τις ενημερώσεις και τη συμβατότητα με τα συστήματα<br />

Επιχειρησιακών Τεχνολογιών (OT) στο περιβάλλον<br />

τους. Η σάρωση ευπάθειας είναι επίσης ένα σημαντικό<br />

μέρος της κατανόησης των αδυναμιών.<br />

• Διαχείριση επιδιορθώσεων: Η ενημέρωση κώδικα<br />

είναι ένα σημαντικό μέρος της διαχείρισης υλικού<br />

και λογισμικού. Οι οργανισμοί πρέπει να γνωρίζουν<br />

τις απαιτήσεις επιδιόρθωσης των περιουσιακών στοιχείων<br />

που έχουν στην κατοχή τους. Η επιδιόρθωση<br />

(patching ) συστημάτων Επιχειρησιακών Τεχνολογιών<br />

(OT) είναι μια πολύπλοκη διαδικασία, επομένως η διαδικασία<br />

πρέπει να αντιμετωπίζεται με σύνεση. Αυτό<br />

σημαίνει ότι μερικές φορές, η αυτόματη επιδιόρθωση<br />

Επιχειρησιακών Τεχνολογιών (OT) μπορεί να μην είναι<br />

η καλύτερη προσέγγιση. Ωστόσο, αυτό δεν αποκλείει<br />

την ανάγκη για ένα λεπτομερές σχέδιο επιδιόρθωσης.<br />

• Τμηματοποίηση Δικτύου: Η τμηματοποίηση δικτύου<br />

είναι η σαφής οριοθέτηση μεταξύ μη συνδεδεμένων<br />

δικτύων. Ο στόχος είναι να χωριστούν τα μεγάλα δίκτυα<br />

σύμφωνα με τις αντίστοιχες λειτουργίες τους. Η<br />

τμηματοποίηση μπορεί να βοηθήσει στην απομόνωση<br />

ενός συμβάντος. Για παράδειγμα, μια επίθεση κατά<br />

του δικτύου ανάπτυξης δεν θα επηρεάσει το δίκτυο<br />

πωλήσεων.<br />

26 security


γραμμα ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) μπορεί<br />

να επιτευχθεί με τη σωστή γνώση και τον προσεκτικό σχεδιασμό<br />

και εφαρμογή. Μια κρίσιμη πτυχή για βελτίωση είναι η<br />

αξιολόγηση των περιουσιακών στοιχείων και των λειτουργιών<br />

των Επιχειρησιακών Τεχνολογιών (OT). Ο συνδυασμός<br />

επιχειρησιακών αξιολογήσεων από πάνω προς τα κάτω, σε<br />

επίπεδο οργανισμού με αναλύσεις από κάτω προς τα πάνω,<br />

περιουσιακών στοιχείων προς περιουσιακά στοιχεία, βοηθά<br />

τους οργανισμούς να κατανοήσουν τη σχέση μεταξύ της<br />

ωριμότητας Επιχειρησιακών Τεχνολογιών (OT) και των συγκεκριμένων<br />

κινδύνων σε επίπεδο τοποθεσίας. Αυτό τους<br />

επιτρέπει να συνδέσουν τους κινδύνους με τον επιχειρηματικό<br />

αντίκτυπο για να αναπτύξουν συστάσεις για την αποτροπή<br />

επιθέσεων. Η υιοθέτηση μιας διπλής προσέγγισης (που<br />

αποτελείται από στοιχεία από πάνω προς τα κάτω και από<br />

κάτω προς τα πάνω) για την αξιολόγηση της κυβερνοασφάλειας<br />

Επιχειρησιακών Τεχνολογιών (OT) επιτρέπει στους οργανισμούς<br />

να εντοπίζουν γρήγορα κρίσιμους κινδύνους για<br />

περιβάλλοντα και λειτουργίες Επιχειρησιακών Τεχνολογιών<br />

(OT). Αυτό είναι ένα βασικό σημείο εκκίνησης τους οργανισμούς<br />

στην προσπάθειά τους για να εξασφαλίσουν προστασία<br />

από τις κυβερνοεπιθέσεις που αποτελούν κίνδυνο για τις<br />

δραστηριότητές τους. Τέλος, είναι απαραίτητος ο σχεδιασμός<br />

ενός σχεδίου επιχειρηματικής συνέχειας και αποκατάστασης<br />

από καταστροφές που θα περιλαμβάνει την υποδομή<br />

Επιχειρησιακών Τεχνολογιών (OT). Τις περισσότερες φορές,<br />

η φυσική υποδομή παραβλέπεται, πράγμα που σημαίνει<br />

ότι τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) συχνά<br />

παραλείπεται από τα σχέδια αποκατάστασης καταστροφών<br />

και επιχειρηματικής συνέχειας, με πιθανές καταστροφικές<br />

συνέπειες σε περίπτωση διακοπής λειτουργίας ή κυβερνοεπίθεσης.<br />

Ένα αποτελεσματικό σχέδιο επιχειρηματικής συνέχειας θα<br />

πρέπει να περιλαμβάνει μια ολοκληρωμένη εκτίμηση επιπτώσεων<br />

πιθανών σεναρίων παραβίασης, λεπτομέρειες<br />

για τις ζημιές που θα μπορούσαν να προκληθούν, πόσο καιρό<br />

τα επηρεαζόμενα συστήματα μπορούν να παραμείνουν<br />

εκτός σύνδεσης προτού επηρεάσουν σοβαρά τις λειτουργίες<br />

και μέτρα που πρέπει να ληφθούν για τον μετριασμό του<br />

κινδύνου. Η υιοθέτηση μιας προσέγγισης βασισμένη στον<br />

κίνδυνο για τη φυσική ασφάλεια είναι ζωτικής σημασίας. Για<br />

παράδειγμα, μια κυβερνοεπίθεση στο σύστημα διαχείρισης<br />

κτιρίου ενός συγκροτήματος γραφείων μπορεί να μην προκαλέσει<br />

μαζική αναστάτωση, αλλά μια παρόμοια επίθεση σε<br />

μονάδα επεξεργασίας νερού ή σε σταθμό ηλεκτροπαραγωγής<br />

θα μπορούσε να θέσει σε κίνδυνο την κρίσιμη παροχή<br />

νερού και ενέργειας σε εκατομμύρια ανθρώπους.<br />

Επίλογος<br />

Καθώς οι Επιχειρησιακές Τεχνολογίες (OT) και τα βιομηχανικά<br />

συστήματα συνδέονται περισσότερο, γίνονται επίσης πιο<br />

εκτεθειμένα σε τρωτά σημεία. Το υψηλό κόστος του εξοπλισμού<br />

και η καταστροφική επίπτωση για τις κοινότητες και τις<br />

οικονομίες που θα μπορούσε να προκαλέσει μια επίθεση είναι<br />

βασικοί παράγοντες για τους οργανισμούς που θέλουν να<br />

προστατεύσουν τα βιομηχανικά τους δίκτυα. Αν συνυπολογιστεί<br />

ότι ο εξοπλισμός στην πλειοψηφία των περιπτώσεων<br />

είναι παλαιού τύπου, αλλά και το πλήθος από διαφορετικούς<br />

κανονισμούς ασφαλείας που ενδέχεται να απαγορεύουν<br />

οποιεσδήποτε τροποποιήσεις στον εξοπλισμό αλλά και κανονισμούς<br />

συμμόρφωσης που απαιτούν τη διάθεση ευαίσθητων<br />

δεδομένων σε τρίτους, καθιστά την πρόκληση για την<br />

επίτευξη επαρκούς ασφάλειας εξοπλισμού σημαντική.<br />

Όταν τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) και<br />

Τεχνολογιών Πληροφορικής (<strong>IT</strong>) συνεργάζονται αρμονικά,<br />

ανακαλύπτονται νέες αποτελεσματικότητες, τα συστήματα<br />

μπορούν να παρακολουθούνται και να διαχειρίζονται<br />

εξ αποστάσεως και οι οργανισμοί μπορούν να συνειδητοποιήσουν<br />

τα ίδια οφέλη ασφαλείας που χρησιμοποιούνται<br />

στα διοικητικά συστήματα πληροφορικής. Αυτή η μετάβαση<br />

από τα κλειστά σε ανοιχτά συστήματα έχει δημιουργήσει μια<br />

σειρά από νέους κινδύνους για την ασφάλεια πληροφοριών<br />

που πρέπει να αντιμετωπιστούν αποτελεσματικά για την<br />

ολιστική ασφάλεια των οργανισμών. Για την αντιμετώπιση<br />

των προκλήσεων που αναλύθηκαν, οι οργανισμοί πρέπει να<br />

εφαρμόσουν μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας<br />

Επιχειρησιακών Τεχνολογιών (OT) που περιλαμβάνει<br />

αξιολογήσεις κινδύνου, τμηματοποίηση δικτύου, εκπαίδευση<br />

ευαισθητοποίησης για την ασφάλεια, σχέδια αντιμετώπισης<br />

συμβάντων και χρήση σύγχρονων τεχνολογιών ασφάλειας.<br />

Η συνεργασία μεταξύ των ομάδων <strong>IT</strong> και OT είναι απαραίτητη<br />

για να διασφαλιστεί ότι τόσο η τεχνολογία πληροφοριών όσο<br />

και η επιχειρησιακή τεχνολογία προστατεύονται επαρκώς<br />

από απειλές στον κυβερνοχώρο.<br />

security<br />

27


T<strong>81</strong>09/10.2023<br />

Issue<br />

NIS2 & Industry 4.0:<br />

Δύο αντίρροπες δυνάμεις για το<br />

OT <strong>Security</strong><br />

ρισκόμαστε κάτι λιγότερο από ένα χρόνο από<br />

Β<br />

τη καταληκτική ημερομηνία, 17 Οκτώβρη<br />

2024, που η Οδηγία 2022/2555 Network and<br />

Information <strong>Security</strong> 2 (NIS 2 ) θα πρέπει να<br />

έχει υιοθετηθεί δια νόμου από τα κράτη μέλη<br />

της Ευρωπαϊκής Ένωσης. Η εφαρμογή και οι συνέπειες<br />

σε περίπτωση μη συμμόρφωσης θα είναι άμεση με ισχύ από<br />

τις 18 Οκτώβρη 2024. Η Οδηγία NIS 2 έρχεται να αντικαταστήσει<br />

την NIS που θεσπίστηκε τον Ιούλιο του 2016 και αφορούσε<br />

την ασφάλεια των συστημάτων δικτύου και πληροφοριών.<br />

Η Οδηγία NIS στόχευε στην αύξηση της ανθεκτικότητας<br />

ολόκληρης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο μέσω<br />

ρυθμιστικών μέτρων. Ωστόσο, η νομοθεσία κλήθηκε να<br />

αντιμετωπίσει ορισμένες προκλήσεις στις οποίες δε δόθηκε<br />

κατάλληλη απάντηση, με αποτέλεσμα μια κατακερματισμένη<br />

προσέγγιση σε επίπεδο κρατών μελών.<br />

Διακρίσεις, Προκλήσεις, Υποχρεώσεις<br />

Η νέα οδηγία έρχεται να απαντήσει στις προκλήσεις με ενιαία<br />

προσέγγιση για όλα τα κράτη μέλη και ορίζοντας μια βάση από<br />

μέτρα ασφαλείας. Φυσικά τα κράτη μέλη μπορούν να διαφο-<br />

ροποιηθούν, αλλά μόνο αυστηροποιώντας<br />

το πλαίσιο και επεκτείνοντας το πεδίο εφαρμογής.<br />

Μερικές διαφορές στην NIS 2 είναι:<br />

• Η διεύρυνση των κλάδων που επηρεάζονται<br />

από το νόμο. Συγκεκριμένα<br />

οι οργανισμοί χωρίζονται σε Essential<br />

οντότητες (energy, transport, banking,<br />

financial markets infrastructure, health,<br />

drinking water, wastewater, digital<br />

infrastructure, public administration,<br />

space) και Important οντότητες<br />

(postal and courier services, waste<br />

management, the manufacture/<br />

production/distribution of chemicals,<br />

food production/processing/distribution,<br />

manufacturing, digital providers).<br />

• Η διοίκηση θα έχει ενεργό και καθοριστικό ρόλο στην<br />

εναρμόνιση με την οδηγία.<br />

• Οι αρμόδιες αρχές μπορούν να επιβάλουν διοικητικά<br />

πρόστιμα μέχρι 10 εκ. ευρώ ή το 2% του συνολικού<br />

ετήσιου κύκλου εργασιών του οργανισμού.<br />

• Παρέχεται κατάλογος με τα μέτρα ασφάλειας που<br />

απαιτούνται.<br />

• Οι οργανισμοί θα πρέπει να ελέγχουν επιμελώς τους<br />

συνεργάτες τους για την ασφάλεια της εφοδιαστικής<br />

αλυσίδας.<br />

• Οι οντότητες θα πρέπει να κοινοποιούν, εντός 24 ωρών,<br />

στην αρμόδια αρχή κάθε σημαντική απειλή που θα<br />

μπορούσε να προκαλέσει σημαντικό περιστατικό.<br />

Δυο από τα κυριότερα άρθρα της Οδηγίας είναι το Άρθρο 21 και το<br />

Άρθρο 23. Στο πρώτο δίνεται λίστα με τα απαιτούμενα μέτρα που<br />

χωρίζονται στις τρεις παρακάτω κατηγορίες, ενώ στο δεύτερο<br />

αναλύονται οι υποχρεώσεις για την αναφορά των περιστατικών.<br />

Cyber Strategy / Governance<br />

α. Πολιτικές για την ανάλυση κινδύνου και την ασφάλεια<br />

των πληροφοριακών συστημάτων<br />

1 https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32022L2555&qid=1697417515735<br />

28 security


Του Δημήτρη Τσακτσήρα<br />

Cybersecurity Solutions Manager<br />

Space Hellas www.space.gr<br />

β. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας<br />

των μέτρων διαχείρισης κινδύνων<br />

γ. Εκπαίδευση και ενημέρωση<br />

Detection and Response<br />

δ. Χειρισμός περιστατικών<br />

ε. Διαχείριση αναφορών<br />

στ. Επιχειρησιακή συνέχεια και διαχείριση των κρίσεων<br />

Infrastructure and Application <strong>Security</strong><br />

ζ. Ασφάλεια Πληροφοριών και δικτύου<br />

η. Ανάπτυξη ασφαλών πρακτικών<br />

θ. Ασφάλεια της αλυσίδας εφοδιασμού (προμηθευτές ή<br />

πάροχοι υπηρεσιών των οντοτήτων)<br />

ι. Πολιτικές ελέγχου πρόσβασης και διαχείριση<br />

Οργανισμοί όπως τράπεζες και τηλεπικοινωνιακοί πάροχοι<br />

που είναι ενταγμένοι στην NIS και πρέπει να συμμορφώνονται<br />

και με άλλα πρότυπα έχουν ήδη ένα καλό επίπεδο ασφάλειας<br />

και πληρούν ήδη τις απαιτήσεις. Μια από τις βασικές προκλήσεις<br />

είναι η διαχείριση των αναφορών και η αποτελεσματική<br />

διαδικασία αυτών, ώστε να εξοικονομείται χρόνος από τις ομάδες<br />

ώστε δίνουν έμφαση στην αντιμετώπιση του περιστατικού.<br />

Όμως, οι οργανισμοί που θα ενταχθούν για πρώτη φορά είναι<br />

υποχρεωμένοι να δράσουν άμεσα. Χρειάζεται να εκπονήσουν<br />

μαζί με τους συνεργάτες το πλάνο συμμόρφωσης και να αποφασίσουν<br />

ποια μέτρα της λίστας θα τα καλύψουν με ίδιες δυνάμεις<br />

και ποια θα τα λαμβάνουν ως υπηρεσία. Δεδομένου<br />

της έλλειψης προσωπικού 2 και ιδιαίτερα έμπειρου τα κομμάτια<br />

που κατ’ ελάχιστο μπορούν να καλυφθούν από εξωτερικό<br />

συνεργάτη είναι το Incident Response και Reporting. Για αποδοτικό<br />

Incident Response και Reporting ο συνεργάτης πρέπει<br />

να διαθέτει κατ’ ελάχιστο ένα εξελιγμένο SOC με έμπειρους<br />

αναλυτές και να χρησιμοποιεί EDR/XDR εργαλεία. Μπορεί<br />

η Ευρωπαϊκή Ένωση να απαιτεί την επαύξηση της κυβερνοασφάλειας,<br />

αλλά παράλληλα στηρίζει με συγχρηματοδοτικά<br />

πακέτα μέσω του προγράμματος Digital Europe Programme<br />

(DIG<strong>IT</strong>AL 3 ). Το budget του Cybersecurity Work Programme για<br />

το 2021-2022 ήταν στα 269 εκ. ευρώ, ενώ το WP για το 2023-<br />

2024 4 υπολογίζεται στα 375 εκ. ευρώ.<br />

Η επίδραση στο OT <strong>Security</strong><br />

Οι κλάδοι των επιχειρήσεων και οργανισμών που διαθέτουν<br />

OT υποδομή πρόκειται να δοκιμαστούν περισσότερο. Όπως<br />

έχει αναφερθεί σε προηγούμενο άρθρο βρισκόμαστε στην<br />

4η Βιομηχανική επανάσταση όπου τα βιομηχανικά περιβάλλοντα<br />

προσπαθούν να μετασχηματιστούν ώστε να εκμεταλλευτούν<br />

τις νέες τεχνολογικές δυνατότητες. Αυτό έχει ως<br />

επακόλουθο να έχουν μεγαλύτερο αποτύπωμα στον “έξω”<br />

κόσμο άρα πιο εκτεθειμένα, και ευάλωτα στις κυβερνοεπιθέσεις.<br />

Οι OT ομάδες έχουν κατανοήσει ότι πρέπει<br />

να αυξηθεί η κυβερνοασφάλεια στο περιβάλλον της παραγωγής,<br />

ώστε να προστατευτούν από τις απειλές. Σε διαφορετική<br />

περίπτωση είναι σχεδόν βέβαιο ότι κάποια στιγμή θα<br />

αντιμετωπίσουν κάποια επίθεση που μπορεί να προκαλέσει<br />

από απώλεια κερδών μέχρι σοβαρό αντίκτυπο στη κοινωνία.<br />

Σε αυτή τη συνθήκη έρχεται να προστεθεί η απαίτηση για<br />

συμμόρφωση με την Οδηγία NIS 2 σε λιγότερο από ένα<br />

χρόνο. Με την αναφορά της Οδηγίας ότι η προστασία των<br />

assets των οργανισμών πρέπει να είναι ανάλογη του ρίσκου<br />

που τα ακολουθεί γίνεται αντιληπτό ότι θα πρέπει να<br />

αυξήσουν τα επίπεδα ασφάλειας. Είναι μια δύσκολη άσκηση<br />

λόγω της ιδιαιτερότητας του περιβάλλοντος όπου από τη<br />

μια πρέπει η παραγωγή να είναι αδιάλειπτη και από την άλλη<br />

πρέπει να εφαρμοστούν μέτρα ασφαλείας που να είναι<br />

αποδοτικά χωρίς να επηρεάζουν την παραγωγή. Ο κατάλογος<br />

με τα μέτρα ασφαλείας ορίζει την κατεύθυνση που θα<br />

πρέπει να κινηθούν οι οργανισμοί όμως είναι απαραίτητο για<br />

τις οντότητες με OT υποδομές να δοθούν πιο εξειδικευμένες<br />

Οδηγίες και Πρότυπα. Οδηγίες που θα λαμβάνουν υπόψιν τις<br />

ιδιαιτερότητες του κάθε κλάδου ξεχωριστά. Δύο τέτοια παραδείγματα<br />

είναι το NCCS 5 στον κλάδο της ενέργειας και το<br />

πρότυπο TS 50701 6 για τους σιδηροδρόμους.<br />

Ο χρόνος μετρά αντίστροφα και ακολουθεί μια πολύ απαιτητική<br />

χρονιά όπου θα πρέπει να βρεθεί η ισορροπία μεταξύ<br />

των αντίρροπων δυνάμεων.<br />

2 https://www.isaca.org/about-us/newsroom/press-releases/2023/new-isaca-research-59-percent-of-cybersecurity-teams-are-understaffed<br />

3 https://digital-strategy.ec.europa.eu/en/activities/digital-programme<br />

4 https://ec.europa.eu/newsroom/dae/redirection/document/94610<br />

5 https://acer.europa.eu/news-and-events/news/acer-submits-european-commission-revised-network-code-electricity-cybersecurity<br />

6 https://www.enisa.europa.eu/events/ENISA-ERA_Conference/enisa-era-conference-slides/4-status-update-on-cenelec-wg-26-benoliel-schlehuber.pdf<br />

security<br />

29


T<strong>81</strong>09/10.2023<br />

Issue<br />

Operational Technology<br />

<strong>Security</strong>: Διασφαλίζοντας τα βασικά<br />

αγαθά για την κοινωνία<br />

ταν μιλάμε για Ασφάλεια Πληροφοριών,<br />

Ό<br />

Information <strong>Security</strong>, Cyber <strong>Security</strong>, ή<br />

όπως θέλει ο καθένας να το ονομάσει, το<br />

μυαλό μας πάει αυτόματα στην προστασία<br />

δεδομένων, προσωπικών ή εταιρικών, στην<br />

προστασία από κακόβουλους χρήστες που στόχος τους είναι<br />

να υποκλέψουν δεδομένα, να εξαπατήσουν με όφελος χρηματικά<br />

ποσά, ή να προκαλέσουν βλάβη στη φήμη της επιχείρησης.<br />

Όλα αυτά αφορούν την καθημερινότητα όλων μας,<br />

δεδομένου του ότι ο ψηφιακός κόσμος καταλαμβάνει όλο και<br />

μεγαλύτερο ποσοστό της ζωής μας.<br />

Τι συμβαίνει όμως σε έναν άλλο κόσμο, όπου οι πληροφορίες<br />

που διακινούνται ελέγχουν βιομηχανικές εγκαταστάσεις,<br />

υπάρχουν αισθητήρες που διαχειρίζονται την παραγωγή<br />

ενέργειας ή στρατιωτικές εγκαταστάσεις και ένα<br />

πιθανό συμβάν μπορεί να επιφέρει ζημιές πολλών εκατομμύριων,<br />

να κινδυνέψει η ασφάλεια ενός κράτους ή ακόμα<br />

και να χαθούν ανθρώπινες ζωές; Αυτός είναι ο κόσμος<br />

του Operational Technology (ΟΤ), όπου ουσιαστικά<br />

Hardware και Software παρακολουθεί και ελέγχει<br />

συσκευές και διαδικασίες σε βιομηχανικές υποδομές<br />

και υπηρεσίες κοινής ωφέλειας. Μερικά παραδείγματα<br />

ΟΤ υποδομών είναι οι υποδομές παραγωγής και παροχής<br />

ενέργειας, νοσοκομεία, βιομηχανίες, συστήματα άμυνας,<br />

ναυτιλία και μέσα μαζικής μεταφοράς.<br />

Τα περισσότερα συστήματα ελέγχου της βιομηχανίας βασίζονται<br />

σε τεχνολογίες SCADA (Supervisory Control and<br />

Data Acquisition), PLC (Programmable Logic Controllers)<br />

και DCS (Distributed Control Systems), τα οποία ως επί των<br />

πλείστων και μέχρι πρόσφατα επικοινωνούσαν μέσω κλειστών<br />

και απομονωμένων δικτύων που δεν ακουμπούσαν τις<br />

ΙΤ υποδομές. Η εξέλιξη της τεχνολογίας και η ενσωμάτωση<br />

του Διαδικτύου των Πραγμάτων (IoT) έχουν προκαλέσει<br />

σημαντικές αλλαγές στον κόσμο του βιομηχανικού αυτοματισμού<br />

και της διαχείρισης των συστημάτων OT, οι οποίες<br />

έχουν θέσει νέες προκλήσεις για την ασφάλεια αυτών των<br />

συστημάτων. Το ερώτημα λοιπόν είναι, τι γίνεται σήμερα<br />

με την ασφάλεια αυτών των συστημάτων δεδομένης<br />

της ραγδαίας διάδοσης του IoT, την ανάγκη απομακρυσμένης<br />

παρακολούθησης και διαχείρισης, και του ψηφιακού<br />

μετασχηματισμού; Στο ευρύτερο πλαίσιο του ψηφιακού<br />

μετασχηματισμού, η σύγκλιση μεταξύ OT και <strong>IT</strong> γίνεται<br />

όλο και πιο επιτακτική, με στόχο τη βελτίωση της απόδοσης,<br />

του ελέγχου των συσκευών και της προσθήκης Artificial<br />

Intelligence σε περιβάλλοντα κρίσιμων υποδομών. Αυτό,<br />

ωστόσο, σημαίνει περισσότερες προκλήσεις κυβερνοασφά-<br />

30 security


Των Γιάννη Γράψα<br />

Senior Solutions Architect, Uni Systems<br />

www.unisystems.com<br />

και Βασίλη Μίχα<br />

<strong>Security</strong> Solutions Architect, Uni Systems<br />

www.unisystems.com<br />

λειας και διαχείρισης της τεχνολογίας, καθώς οι απαιτήσεις<br />

για την ασφάλεια OT είναι διαφορετικές από αυτές στην πληροφορική.<br />

Οι συσκευές και τα συστήματα OT συχνά λειτουργούν<br />

σε περιβάλλοντα με υψηλούς κινδύνους και αυστηρές<br />

απαιτήσεις διαθεσιμότητας και ακρίβειας, άρα η ασφάλεια<br />

των υποδομών γίνεται πιο σύνθετη.<br />

Πραγματικά περιστατικά<br />

Τα περιστατικά επίθεσης σε ΟΤ συστήματα είναι πλέον συχνό<br />

φαινόμενο. Στις περισσότερες των περιπτώσεων αποσκοπούν<br />

στο να προκαλέσουν ζημιά στη παραγωγική διαδικασία<br />

του θύματος, και κατ’ επέκταση οικονομική ζημιά.<br />

Μία από τις πλέον διαβόητες OT κυβερνοεπιθέσεις το 2010,<br />

το Stuxnet, επιτεύχθηκε με τη χρήση εξελιγμένου, γι’ αυτό<br />

το σκοπό, κακόβουλου λογισμικού, με στόχο τις πυρηνικές<br />

εγκαταστάσεις του Ιράν. Αντίστοιχα, το 2015 και 2016 η Ουκρανία<br />

δέχτηκε κυβερνοεπιθέσεις στο δίκτυο παροχής ηλεκτρικής<br />

ενέργειας, διακόπτοντας τη λειτουργία κρίσιμων συστημάτων<br />

ΟΤ και επηρεάζοντας χιλιάδες ανθρώπους. Οι επιθέσεις<br />

αποδόθηκαν σε Ρώσους hackers, χρηματοδοτούμενους<br />

από τις μυστικές υπηρεσίες. Αν ισχύει αυτό, τα περιστατικά<br />

αυτά δεν αποτελούν απλές κακόβουλες ενέργειες, αλλά<br />

υποθέσεις διεθνούς κατασκοπείας. Και δεν είναι τα μόνα.<br />

Υπάρχουν καταγεγραμμένα περιστατικά επιθέσεων σε υποδομές<br />

ύδρευσης (Maroochy Water Services Hack & Tofino<br />

Attack), περιστατικά βιομηχανικής κατασκοπείας μέσω κακόβουλου<br />

λογισμικού σε ΟΤ υποδομές (Havex malware), αλλά<br />

και περιστατικά στο χώρο της ναυτιλίας, όπου τα ΟΤ συστήματα<br />

πλειοψηφούν, με προσπάθειες αποπροσανατολισμού<br />

πλοίων μέσω παρεμβολής του GPS, ώστε να προκαλέσουν<br />

οι επιτιθέμενοι οικονομική ζημιά ή να οδηγήσουν το πλοίο<br />

σε περιοχή που ελέγχεται από πειρατές, με σκοπό τα λύτρα.<br />

Bασική προτεραιότητα η ανάπτυξη προηγμένων<br />

μέτρων κυβερνοασφάλειας<br />

Πως μπορούμε όμως να προστατεύσουμε τις ΟΤ υποδομές;<br />

Είναι αρκετή η προσέγγιση της ασφάλειας πληροφοριών<br />

όπως γίνεται στην πληροφορική; Είναι βέβαιο ότι σε πολλές<br />

περιπτώσεις δεν μπορούμε να παρέχουμε ασφάλεια κατά τη<br />

σχεδίαση (<strong>Security</strong> by Design), καθώς πολλά ΟΤ συστήματα<br />

έχουν κατασκευαστεί πολλές δεκαετίες πριν, όταν<br />

δεν υπήρχε καν η έννοια του Cyber <strong>Security</strong>. Στις περιπτώσεις<br />

αυτές, η μόνη λύση είναι η λογική απομόνωση των<br />

συστημάτων αυτών από το υπόλοιπο δίκτυο, και η εφαρμογή<br />

αυστηρών κανόνων στην επικοινωνία τους, με χρήση εξειδικευμένων<br />

συσκευών που μπορούν να ελέγξουν την κίνηση<br />

των ΟΤ συστημάτων παλαιάς κατασκευής. Για τις σύγχρονες<br />

ΟΤ υλοποιήσεις, οι γενικές αρχές της Εμπιστευτικότητας,<br />

Ακεραιότητας και Διαθεσιμότητας (CIA) εξακολουθούν<br />

να αποτελούν τους πυλώνες του ΟΤ <strong>Security</strong>. Η διεξαγωγή<br />

τακτικών Risk Assessments, ο διαχωρισμός των δικτύων, ο<br />

έλεγχος πρόσβασης, η διαχείριση των συμβάντων, η εκπαίδευση<br />

των χρηστών και όλα όσα εφαρμόζονται στην πληροφορική,<br />

προσαρμοσμένα στο βιομηχανικό περιβάλλον και με<br />

τη χρήση εξειδικευμένων λύσεων των κατασκευαστών που<br />

προσφέρουν τις αντίστοιχες απαντήσεις για ΟΤ υποδομές. Και<br />

φυσικά απαραίτητη είναι η συνεργασία μεταξύ των ομάδων<br />

και των τεχνολογιών ΙΤ & ΟΤ security, καθώς και με διεθνείς<br />

οργανισμούς και κυβερνητικούς φορείς. Τέλος, η ασφάλεια<br />

OT, απαιτεί τη συμβολή ειδικών από τους τομείς της αυτοματοποίησης,<br />

της πληροφορικής, της κυβερνοασφάλειας, της<br />

μηχανολογίας και της ηλεκτρολογίας και συνεχή ενημέρωση.<br />

H εμπειρία μας στη Uni Systems, έχει δείξει ότι η διαρκής<br />

επένδυση σε υφιστάμενες συνεργασίες με μεγάλους κατασκευαστές<br />

κυβερνοασφάλειας στον τομέα του ΟΤ, αλλά και<br />

σε νέους συνεργάτες με εξειδικευμένες λύσεις, είναι απαραίτητη.<br />

Στο ίδιο πλαίσιο, έχουμε αναπτύξει ένα σύνολο υπηρεσιών<br />

για ΟΤ υποδομές, συμπεριλαμβανομένων των:<br />

• Συλλογή και ανάλυση απαιτήσεων ασφάλειας<br />

• Σχεδιασμό και Ανάπτυξη συστημάτων ασφαλείας σε<br />

ΟΤ περιβάλλοντα<br />

• Ανάλυση κινδύνου και αξιολόγηση ευπάθειας (Risk<br />

Assessment)<br />

• Δοκιμές Διείσδυσης σε υποδομές ΟΤ<br />

• Συμβουλευτικές υπηρεσίες ασφάλειας<br />

• Εκπαίδευση και ευαισθητοποίηση προσωπικού<br />

Με το αυξανόμενο τοπίο απειλών, οι οργανισμοί οφείλουν<br />

να επενδύουν προληπτικά στην ασφάλεια των ΟΤ υποδομών,<br />

ώστε να προστατεύεται η κοινωνία στο σύνολό της.<br />

Δεν είναι μόνο θέμα προστασίας δεδομένων, αλλά προστασία<br />

της οικονομίας, της κοινωνίας και εν δυνάμει της ανθρώπινης<br />

ζωής.<br />

security<br />

31


T<strong>81</strong>09/10.2023<br />

Issue<br />

Οι Σκοτεινές Πλευρές της Τεχνητής<br />

Νοημοσύνης και πώς αυτή<br />

επηρεάζει τις κυβερνοεπιθέσεις<br />

Η τεχνητή νοημοσύνη αποτελεί μια από τις πιο σημαντικές και επαναστατικές τεχνολογικές<br />

εξελίξεις της τελευταίας δεκαετίας, έχοντας επιφέρει βαθιές αλλαγές και επιδράσεις που<br />

αγγίζουν πολλούς τομείς της καθημερινότητας μας.<br />

Τεχνητή Νοημοσύνη διακυβεύει τον τρόπο<br />

Η<br />

με τον οποίο εργαζόμαστε, επικοινωνούμε,<br />

και ζούμε. Αυτή η εξέλιξη προσφέρει νέες<br />

ευκαιρίες ενώ παράλληλα, προκαλεί πολλές<br />

ανησυχίες. Από τη μια πλευρά, η Τεχνητή<br />

Νοημοσύνη μπορεί να βελτιώσει την απόδοση στον επαγγελματικό<br />

τομέα, να επιλύσει προβλήματα στην υγεία και το<br />

περιβάλλον, και να αυξήσει την ανθρώπινη παραγωγικότητα.<br />

Από την άλλη πλευρά όμως, υπάρχουν σοβαρές ανησυχίες<br />

σχετικά με την ιδιωτικότητα, την αυτονομία, την ανεργία<br />

και την αύξηση των κυβερνοεπιθέσεων, που μπορεί να προκύψουν<br />

από την αυξανόμενη και μη ελεγχόμενη χρήση της.<br />

Χάρη σε αυτά τα νέα δεδομένα, οι κυβερνοεπιθέσεις γίνονται<br />

πιο εξελιγμένες, πιο επικίνδυνες και πολύ πιο δύσκολο<br />

να ανιχνευθούν. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν<br />

αυτήν την τεχνολογία για ταχύτερη εκτέλεση, καθιστώντας<br />

τις επιθέσεις τους πιο αποτελεσματικές και αποδοτικές.<br />

Τύποι κυβερνοεπιθέσεων και πως επηρεάζονται<br />

από την Τεχνητή Νοημοσύνη<br />

Reconnaissance: Οι χάκερς με την χρήση της Τεχνητής Νοημοσύνης,<br />

χρησιμοποιούν διαδικτυακές πλατφόρμες, κοινωνικά<br />

δίκτυα, ακόμα και το dark web για εύρεση στόχου ή<br />

συλλογή πληροφοριών του εκάστοτε στόχου. Στη συνέχεια,<br />

εφαρμόζοντας σε μεγάλους όγκους δεδομένων, γρήγορη<br />

ανάλυση, οι επιτιθέμενοι μπορεί να συγκεντρώσουν πληροφορίες<br />

όπως διευθύνσεις IP, πληροφορίες για τη δομή του<br />

δικτύου, προσβάσιμες θύρες και άλλες σημαντικές πληροφορίες<br />

που τους επιτρέπουν να ετοιμάσουν τις επόμενες<br />

επιθέσεις τους.<br />

Phishing & Social Engineering: Στόχος των κακόβουλων<br />

είναι να εξαπατήσουν τους χρήστες με σκοπό την υποκλοπή<br />

ευαίσθητων πληροφοριών μέσω συνδέσμων και συνημμένων<br />

αρχείων. Με τη χρήση της Τεχνητής Νοημοσύνης, η<br />

ηλεκτρονική αλληλογραφία γίνεται πιο πειστική εφόσον οι<br />

32 security


Αλέξανδρος Κανικλίδης<br />

Manager IthacaLabs,ODYSSEY<br />

www.odyssseycs.com<br />

χάκερς μπορούν να χρησιμοποιήσουν τον σωστό<br />

τρόπο και τόνο γραφής και επαγγελματικής<br />

γλώσσας, αυξάνοντας την αποτελεσματικότητα<br />

και αποδοτικότητα τους. Έτσι, ο παραλήπτης<br />

αυτών των επιθέσεων, βρίσκεται σε μειονεκτική<br />

θέση ως προς την ικανότητα αναγνώρισης αυτών<br />

των επιθέσεων.<br />

Dynamic Attack Adaptation: Κατά τη διάρκεια<br />

του κύκλου μιας επίθεσης, οι χάκερς αλλάζουν<br />

δυναμικά τη στρατηγική τους κάνοντας χρήση της<br />

Τεχνητής Νοημοσύνης, βάσει αυτού που αντιμετωπίζουν<br />

σε πραγματικό χρόνο. Για παράδειγμα,<br />

φανταστείτε έναν επιτιθέμενο που έχει πρόσβαση<br />

στο εσωτερικό δίκτυο ενός οργανισμού. Αν δεν<br />

υπάρχει κάποιος μηχανισμός άμυνας π.χ. EDR, τότε οι χάκερς<br />

θα συνεχίσουν τις λειτουργείες τους με τις παραδοσιακές<br />

μεθόδους που έχουν δοκιμαστεί και αποδειχθεί ως επιτυχημένες<br />

σε προηγούμενες προσπάθειες τους. Εάν όμως<br />

υπάρχει κάποιος μηχανισμός άμυνας, θα αλλάξουν τα σχέδιά<br />

τους αυτόματα χρησιμοποιώντας νέες τακτικές, τεχνικές και<br />

διαδικασίες (TTPs).<br />

AI-Generated Malware: Αυτές οι επιθέσεις αφορούν το<br />

Κακόβουλο λογισμικό το οποίο κάνει χρήση της Τεχνητής<br />

Νοημοσύνης και που μπορεί να αλλάζει δυναμικά τον κώδικα,<br />

τα κανάλια επικοινωνίας και τις διευθύνσεις IP του κέντρου<br />

ελέγχου κατά τη διάρκεια της εκτέλεσης, για να αποφεύγει<br />

τον εντοπισμό του και να παραμένει περισσότερο<br />

στο εσωτερικό δίκτυο. Παραμένοντας κρυμμένοι για μεγάλο<br />

χρονικό διάστημα εντός του δικτύου του στόχου, οι πιθανότητες<br />

επιτυχίας της επίθεσής τους αυξάνεται δραστικά. Αυτό<br />

οφείλεται στην αύξηση χρόνου παραμονής (dwell time),<br />

ο οποίος ορίζεται ως χρόνος παραμονής του κακόβουλου<br />

μέσα στο δίκτυο του οργανισμού, από τη στιγμή παραβίασης<br />

μέχρι τη στιγμή του εντοπισμού του. Καθώς αυτός ο<br />

χρόνος αυξάνεται, αυξάνονται αναλογικά και οι πιθανότητες<br />

επιτυχίας τους.<br />

Disinformation Campaigns: Με τη χρήση της Τεχνητής<br />

Νοημοσύνης γίνονται πιο εύκολες και γρήγορες οι προσπάθειες<br />

για εξάπλωση παραπλανητικών ή ψευδών ειδήσεων<br />

σχετικά με ένα οργανισμό, επηρεάζοντας αυτόματα αρνητικά<br />

το φήμη της επιχείρησης. Ο σκοπός είναι να δημιουργηθεί<br />

χάος εσσωτερικά και παράλληλα ο οργανισμός που<br />

δέχεται επίθεση να αναγκαστεί να διαθέσει περισσότερους<br />

πόρους για περιορισμό της κατάστασης, επηρεάζοντας έτσι<br />

την ομαλή λειτουργία του. Με την εξάπλωση παραπλανητικών<br />

ή ψευδών ειδήσεων σχετικά με ένα οργανισμό επηρεάζεται<br />

άμεσα και η φήμη του οργανισμού έχοντας αντίκτυπο<br />

στις οικονομικές και επιχειρηματικές δραστηριότητες του<br />

οργανισμού.<br />

Impersonation Attacks: Επιθέσεις στις οποίες οι χάκερς<br />

μέσω της τεχνητής νοημοσύνης "μιμούνται" την εμφάνιση, τη<br />

φωνή και τις κινήσεις ενός ατόμου, με σκοπό την παραπλάνηση<br />

του στόχου και την πρόσβαση σε ευαίσθητες πληροφορίες<br />

ή συστήματα. Για παράδειγμα, τα ψηφιακά δημιουργημένα<br />

βίντεο, γνωστά και ως deepfake βίντεο, συνδυάζουν,<br />

αντικαταστούν ή τροποποιούν πρόσωπα σε βίντεο, καθιστώντας<br />

τα πρόσωπα αυτά να φαίνονται σαν να λένε ή κάνουν<br />

κάτι το οποίο όμως δεν έχει συμβεί στην πραγματικότητα.<br />

Αυτό αποτελεί συνηθισμένη τεχνική που χρησιμοποιούν οι<br />

επιτιθέμενοι για να διαπράξουν απάτες και να βλάψουν φυσικά<br />

πρόσωπα αλλά και οργανισμούς.<br />

Exploiting AI Vulnerabilities: Επιθέσεις κατά τις οποίες<br />

οι χάκερς προσπαθούν να παραβιάσουν τα συστήματα μέσω<br />

ευπαθειών και αδυναμιών που εντοπίζουν στην κάθε τεχνολογία.<br />

Μια νέα προσθήκη τεχνολογίας σε ένα οργανισμό<br />

οδηγεί αρκετές φορές σε λανθασμένες παραμετροποιήσεις,<br />

λόγω της απουσίας οδηγιών και της μη ολοκληρωμένης δοκιμασίας<br />

τους στο περιβάλλον του οργανισμού.<br />

Η Τεχνητή Νοημοσύνη έχει επαναπροσδιορίσει τον τρόπο<br />

με τον οποίο οι κυβερνοεπιθέσεις εκτελούνται, καθιστώντας<br />

τες πιο εξελιγμένες, αποδοτικές και δύσκολες στον εντοπισμό<br />

τους. Παρ’ όλο που μπορεί να παραμένουν οι ίδιες στη<br />

φύση τους, η αποτελεσματικότητα τους έχει αυξηθεί σημαντικά.<br />

Τα νέα λοιπόν δεδομένα, καθιστούν όλους τους οργανισμούς<br />

πιθανούς στόχους, ανεξαρτήτως μεγέθους και<br />

τομέα δραστηριότητας. Οι οργανισμοί καλούνται όχι μόνο<br />

να ενισχύσουν την κυβερνοασφάλεια τους, αλλά και την κυβερνοανθεκτικότητα<br />

τους, έτσι ώστε να μπορούν να προβλέπουν,<br />

να προσαρμόζονται, να ανταποκρίνονται και να<br />

ανακάμπτουν γρήγορα.<br />

security<br />

33


T<strong>81</strong>09/10.2023<br />

Issue<br />

Εξειδικευμένη OT ασφάλεια από<br />

την TXOne<br />

Το OT <strong>Security</strong> είναι κατηγορία κυβερνοασφάλειας που ενώ έχει κοινά σημεία με την ασφάλεια<br />

στο <strong>IT</strong>, όταν πάμε να εφαρμόσουμε τις βασικές έννοιες και να βρούμε πρακτικές λύσεις<br />

συνειδητοποιούμε ότι είναι κάτι εντελώς διαφορετικό και απαιτεί άλλη προσέγγιση.<br />

Διαφορές <strong>IT</strong> & OT <strong>Security</strong><br />

Η παραδοσιακή κυβερνοασφάλεια, που προέρχεται από την<br />

πληροφορική, έχει σχεδιαστεί για να προστατεύει τα δίκτυα,<br />

τους χρήστες και τα δεδομένα, με βάση τις ανάγκες της δραστηριότητας<br />

των χρηστών. Το τυπικό μοντέλο ασφάλειας στο<br />

ΙΤ, «CIA» (Confidentiality, Integrity, Availability), δίνει προτεραιότητα<br />

βασικά στην εμπιστευτικότητα, ακολούθως στην ακεραιότητα<br />

και τέλος στη διαθεσιμότητα των δεδομένων.<br />

Με αυτό κατά νου, η στρατηγική για την κυβερνοασφάλεια<br />

είναι η πολιτική μηδενικής εμπιστοσύνης (zero-trust), που σημαίνει<br />

ότι ο χρήστης πρέπει να έχει τα ελάχιστα προνόμια πρόσβασης<br />

στα δεδομένα του όπου κι αν βρίσκονται. Το επίκεντρο<br />

της ασφάλειας πληροφορικής είναι ο χρήστης και η ικανότητά<br />

του να έχει πρόσβαση με εξουσιοδοτημένο και ελεγχόμενο<br />

τρόπο στα δικά του δεδομένα με τα λιγότερα δυνατά προνόμια.<br />

Δίνοντας περισσότερα προνόμια από ό, τι χρειάζεται<br />

είναι κίνδυνος που μεταφράζεται σε παραβιάσεις δεδομένων<br />

και περιστατικά ασφάλειας. Αλλάζοντας το σενάριο και εξετά-<br />

ζοντας τις υποδομές ζωτικής σημασίας και το βιομηχανικό<br />

περιβάλλον OT, ο πρωταρχικός στόχος είναι να διατηρηθεί<br />

η λειτουργία χωρίς κανενός είδους ανοχή για διακοπή.<br />

Το μοντέλο «CIA» δεν μπορεί πλέον να εφαρμοστεί, με τις ίδιες<br />

προτεραιότητες, αλλά πρέπει πρώτα να εξετάσουμε τη διαθεσιμότητα<br />

των υπηρεσιών (υπηρεσίες που είναι απαραίτητες<br />

στην περίπτωση των υποδομών ζωτικής σημασίας), μετά την<br />

ακεραιότητα και, τέλος, την εμπιστευτικότητα.<br />

Μοντέλο AIC<br />

Έτσι, η ασφάλεια OT πρέπει να βασίζεται στη δραστηριότητα<br />

περιουσιακών στοιχείων και υπηρεσιών και σε ένα μοντέλο<br />

«AIC» όπου η διαθεσιμότητα είναι το νούμερο 1 κατά σειρά<br />

προτεραιότητας, η ακεραιότητα είναι το νούμερο 2 και η<br />

εμπιστευτικότητα το νούμερο 3. Επιπλέον, πρέπει να εξετάσουμε<br />

ένα μοντέλο ασφάλειας όπου οι υπηρεσίες και οι μηχανές<br />

συνεργάζονται και λειτουργούν μόνο με ελεγχόμενο και<br />

προστατευμένο τρόπο, χωρίς να κάνουμε υποθέσεις σχετικά<br />

34 security


Σαράντης Χατζηνικολαΐδης<br />

Business Development Manager, Digital SIMA<br />

www.digitalsima.gr<br />

με την αξιοπιστία των υπηρεσιών ή των διαδικασιών, αλλά να<br />

αξιολογούμε συνεχώς την αξιοπιστία του δικτύου και των συστημάτων.<br />

Αυτό το σενάριο εισάγει την έννοια της μηδενικής<br />

εμπιστοσύνης: η αρχιτεκτονική που βασίζεται στην μηδενική<br />

εμπιστοσύνη στο OT περιορίζει τα προγράμματα που μπορούν<br />

να εκτελεστούν και την επικοινωνία τους στο ελάχιστο<br />

απαραίτητο επίπεδο. Η μηδενική εμπιστοσύνη στο OT είναι<br />

μια προσέγγιση για την προστασία συσκευών, δεδομένων και<br />

έξυπνων μηχανών με την υπόθεση ότι όλα τα στοιχεία και λειτουργίες<br />

τους θα πρέπει να αντιμετωπίζονται ως αναξιόπιστα.<br />

Για να υλοποιηθεί η προσέγγιση θα πρέπει να επιτευχθούν<br />

δύο στόχοι:<br />

1. Να διατηρηθούν όλες οι απαραίτητες διαδικασίες και<br />

μηχανήματα ώστε να εξασφαλιστεί η απαιτούμενη<br />

λειτουργικότητα, αποφεύγοντας και μπλοκάροντας<br />

μη εξουσιοδοτημένες διαδικασίες και λειτουργίες.<br />

Έτσι προσφέρεται προστασία από πιθανές κυβερνοεπιθέσεις<br />

ή κακή χρήση και εσφαλμένη ρύθμιση που<br />

προέρχεται από ανθρώπινο λάθος.<br />

2. Προστασία της ακεραιότητας των απαιτούμενων διαδικασιών<br />

και μηχανών που πρέπει να συνεχίσουν να<br />

λειτουργούν χωρίς κανενός είδους διαταραχή στην<br />

κανονική λειτουργία τους.<br />

Δηλαδή υπάρχουν δύο συμπληρωματικές φάσεις: Αποκλεισμός<br />

των «untrusted» και διατήρηση των «trusted».<br />

Οι ολοκληρωμένες λύσεις της TXOne Networks,<br />

H TXOne Networks, συνεργάζεται τόσο με κορυφαίους κατασκευαστές,<br />

όσο και με τους διαχειριστές των υποδομών<br />

για την ανάπτυξη πρακτικής και φιλικής προς τους χρήστες<br />

προσέγγιση στην κυβερνοασφάλεια. Οι τεχνολογίες μηδενικής<br />

εμπιστοσύνης OT που έχουν αναπτυχθεί υπερβαίνουν<br />

τους περιορισμούς της παραδοσιακής ασφάλειας<br />

προσφέροντας εύκολη διαχείριση, μείωση εξόδων και την<br />

ταχύτερη επίλυση των προβλημάτων. Παρέχουμε τρεις διαφορετικές<br />

και συμπληρωματικές λύσεις για την προστασία<br />

της λειτουργικότητας, από τα endpoints έως το δίκτυο:<br />

1. Επιθεώρηση ασφαλείας με φορητή ασφάλεια:<br />

Πρόκειται για ένα USB κλειδί που επιτρέπει τον έλεγχο<br />

των συσκευών για ανίχνευση και καθαρισμό από<br />

κακόβουλο λογισμικό, ανάλυση του συστήματος προς<br />

έλεγχο (HW & SW Inventory) και έλεγχο ευπαθειών σε<br />

Windows (ακόμη και σε legacy λειτουργικά όπως Win<br />

XP) και Linux. Αυτό το USB εκτός από έλεγχο ασφάλειας<br />

προσφέρει και ασφαλή μεταφορά δεδομένων.<br />

2. Προστασία end points με το Stellar: Το Stellar είναι<br />

OT native agent, που προστατεύει legacy και σύγχρονα<br />

συστήματα. Με δυνατότητα αυτόματης εκμάθησης,<br />

αναγνωρίζει και διασφαλίζει εφαρμογές ICS, προσφέροντας<br />

επιπλέον antimalware και device control. Επίσης<br />

παρέχει λειτουργική ακεραιότητα μπλοκάροντας<br />

γνωστό και άγνωστο malware όπως και ανθρώπινα<br />

λάθη, χάρη στην προηγμένη δυνατότητα whitelisting.<br />

3. Δικτυακή προστασία με τα μοντέλα EDGE: Πρόκειται<br />

για ειδικές ruggedized συσκευές που προσφέρουν<br />

IDS/IPS και virtual patching, ενώ παράλληλα<br />

καταμερίζουν ένα πολύπλοκο δίκτυο. Με τη λειτουργία<br />

autolearning μπορούν να υλοποιηθούν πολιτικές<br />

ασφάλειας με απλό και αυτόματο τρόπο.<br />

Στον ταχέως μεταβαλλόμενο κόσμο μας, η ασφάλεια δεν<br />

μπορεί να βασίζεται σε τυχαίους ελέγχους. Η πιστοποίηση<br />

ασφάλειας πρέπει να είναι μια τακτική διαδικασία που<br />

πραγματοποιείται σε πραγματικό χρόνο από εξειδικευμένους<br />

μηχανισμούς. Οι πολιτικές που βασίζονται στη μηδενική<br />

εμπιστοσύνη του OT ενδυναμώνουν τις ομάδες κυβερνοασφάλειας<br />

με πληροφορίες απειλών σε πραγματικό χρόνο,<br />

επιτρέποντάς τους να συμμορφώνονται με κανονιστικά<br />

πλαίσια, ενώ παράλληλα διασφαλίζουν την παραγωγικότητα.<br />

Με την υλοποίηση μηδενικής εμπιστοσύνης με άμυνες που<br />

είναι εγγενείς στο ΟΤ, τα περιστατικά ασφάλειας μπορούν να<br />

προληφθούν και οι ενσωματωμένοι μηχανισμοί ασφάλειας<br />

να είναι διαχειρίσιμοι. H TXOne είναι θυγατρική της Trend<br />

Micro με αποκλειστική δραστηριότητα την OT ασφάλεια. Η<br />

Digital SIMA είναι επίσημος διανομέας των λύσεων TXOne<br />

και Trend Micro στην Ελλάδα.<br />

security<br />

35


T<strong>81</strong>09/10.2023<br />

Issue<br />

Ασφάλεια περιβαλλόντων ΟΤ και η<br />

4η βιομηχανική επανάσταση<br />

4η βιομηχανική επανάσταση εξελίσσεται με<br />

Η<br />

ασταμάτητους ρυθμούς. Ο βιομηχανικός κόσμος<br />

που γνωρίσαμε τα τελευταία 150 χρόνια<br />

αλλάζει και οι συσκευές, τα μηχανήματα<br />

και οι βιομηχανικές εγκαταστάσεις συνδέονται<br />

όλο και στενότερα με τα συστήματα πληροφορικής, με<br />

τα κέντρα δεδομένων και με το υπολογιστικό και αποθηκευτικό<br />

νέφος. Επιχειρησιακή τεχνολογία (OT - Operational<br />

Technology) ονομάζουμε το υλικό και το λογισμικό που χρησιμοποιείται<br />

για την εποπτεία, τη διαχείριση και τον έλεγχο<br />

του φυσικού, επιχειρησιακού και βιομηχανικού εξοπλισμού.<br />

Συνήθως, περιλαμβάνει εποπτικό έλεγχο και<br />

πρόσκτηση δεδομένων (Supervisory Control and Data<br />

Acquisition ή SCADA) και διάφορα βιομηχανικά (Industrial<br />

Control Systems ή ICS) και κατανεμημένα συστήματα ελέγχου<br />

(Distributed Control Systems ή DCS). Πολλές υπηρεσίες<br />

κοινής ωφέλειας και έκτακτης ανάγκης, εγκαταστάσεις (π.χ.<br />

μονάδες επεξεργασίας νερού), επιχειρήσεις παραγωγής και<br />

προμήθειας ηλεκτρικού ρεύματος και φυσικού αερίου, πυρηνικά<br />

εργοστάσια και άλλες κρίσιμης σημασίας υποδομές<br />

βασίζονται σε λύσεις OT για να λειτουργήσουν. Όταν όμως<br />

συνδέονται στο Διαδίκτυο αποτελούν μέρος ενός κυβερνοφυσικού<br />

τοπίου γεμάτου κινδύνους και προκλήσεις.<br />

Σήμερα, οι κυβερνοεπιθέσεις βρίσκονται σε έξαρση -με το<br />

φαινόμενο να μη δείχνει σημάδια κόπωσης- και τέτοιες επιχειρήσεις<br />

και κρίσιμες υποδομές, αργά ή γρήγορα, γίνονται<br />

στόχοι. Παλαιότερα, τα βιομηχανικά συστήματα βασίζονταν<br />

σε εξειδικευμένα και ειδικά προσαρμοσμένα (custom) πρωτόκολλα<br />

και λογισμικό. Η διαχείριση όσο και η εποπτεία τους<br />

ήταν χειροκίνητη και απαιτούσε φυσική πρόσβαση καθώς<br />

δεν ήταν άμεσα συνδεδεμένα στο Διαδίκτυο. Με απλά λόγια,<br />

τα OT και <strong>IT</strong>, δηλαδή η Επιχειρησιακή Τεχνολογία και η Τεχνολογία<br />

Πληροφοριών και Επικοινωνιών δεν μοιράζονταν<br />

πόρους και δεν είχαν τα ίδια τρωτά σημεία. Σήμερα ωστόσο,<br />

στο πλαίσιο των πρωτοβουλιών του ψηφιακού μετασχηματισμού<br />

η σύγκλιση OT και <strong>IT</strong> θεωρείται πλέον δεδομένη.<br />

Σήμερα, όλο και περισσότερα βιομηχανικά συστήματα<br />

παρέχουν πλέον μεγάλα δεδομένα και έξυπνες αναλύσεις ή<br />

ενσωματώνονται με άλλα συστήματα και τεχνολογίες για να<br />

επιτευχθεί αύξηση της αποδοτικότητας και της παραγωγικότητάς<br />

τους. Παρόλα αυτά, αυτή η μετάβαση από τα «κλειστά<br />

συστήματα» σε «ανοικτά» δημιουργεί πλήθος κινδύνων για<br />

την ασφάλεια. Αυτοί οι κίνδυνοι πρέπει να αντιμετωπιστούν.<br />

Προκλήσεις<br />

Η ψηφιοποίηση και η 4η βιομηχανική επανάσταση θέτουν νέες<br />

προκλήσεις και απαιτούν νέες καινοτόμες λύσεις. Τα παλαιότερα<br />

συστήματα OT δεν σχεδιάστηκαν με γνώμονα να είναι<br />

ασφαλή, γεγονός που τα καθιστά ιδιαίτερα ευάλωτα σε κυβερνοεπιθέσεις<br />

και απειλές. Οποιαδήποτε παραβίαση των συστημάτων<br />

βιομηχανικού ελέγχου μπορεί να προκαλέσει σοβαρά<br />

προβλήματα, όπως διακοπές λειτουργίας και της παραγωγής,<br />

κίνδυνοι για την υγεία και την ασφάλεια και περιβαλλοντικές<br />

επιπτώσεις. Σήμερα, η πρόσβαση και η ταυτότητα έχει διαπιστωθεί<br />

ότι «καταναλώνονται» από ένα ευρύ φάσμα ενδιαφερομένων<br />

μερών εντός και εκτός της εταιρείας, γεγονός που<br />

αυξάνει αναλογικά την επιφάνεια επίθεσης καθώς πολλοί εταιρικοί<br />

πόροι βρίσκονται εκτεθειμένοι σε κυβερνοαπειλές. Από<br />

τις φυσικές υποδομές έως τις συσκευές και τις εφαρμογές, τα<br />

πάντα πλέον είναι ευάλωτα σε επιθέσεις και η τάση για κινητικότητα<br />

και συνεργασία μεταξύ επιχειρήσεων δυσχεραίνει την<br />

κατάσταση και αποδυναμώνει την κυβερνοασφάλεια. Όπως<br />

αναφέρθηκε και παραπάνω, μία υποδομή ΟΤ αποτελείται από<br />

36 security


Γιώργος Καπανίρης<br />

Executive Director, NSS<br />

www.nss.gr<br />

εξειδικευμένο εξοπλισμό και λογισμικό που ενδέχεται να μην<br />

σχεδιάστηκε με έμφαση την κυβερνοασφάλεια και την αντοχή<br />

σε κυβερνοεπιθέσεις. Μη παραδοσιακά τερματικά και βιομηχανικές<br />

συσκευές και μηχανήματα IIoT (Industrial<br />

Internet of Things) που βρίσκονται κατά χιλιάδες σε υποδομές<br />

και περιβάλλοντα OT ενδέχεται να μην «τρέχουν» κάποια<br />

σύγχρονη έκδοση ενός λειτουργικού συστήματος ή ακόμα και<br />

να μην έχουν την υπολογιστική ισχύ για την εκτέλεση ενός λογισμικού<br />

ασφαλείας όπως είναι ένα απλό anti-malware. Και<br />

καθώς όλα τείνουν να γίνονται πλέον όλο και πιο «συνδεδεμένα»,<br />

είναι πιο εκτεθειμένα σε ευπάθειες. Όλα τα παραπάνω<br />

περιπλέκουν ακόμη περισσότερο την κατάσταση και αυξάνουν<br />

δραματικά την επιφάνεια επίθεσης καθώς οι όποιες εργασίες<br />

πραγματοποιούνται από ανεπαρκώς θωρακισμένα οικιακά ή<br />

εταιρικά δίκτυα. Οι περισσότερες εταιρείες και οργανισμοί χρησιμοποιούν<br />

συνήθως VPΝ για προνομιακή πρόσβαση -π.χ. από<br />

προμηθευτές, εργαζομένους κ.ά- ωστόσο όπως είναι γνωστό,<br />

τα VPNs, δεν παρέχουν λεπτομερή έλεγχο της πρόσβασης,<br />

δεν παρέχουν δυνατότητα παρακολούθησης των συνεδριών<br />

ή οποιαδήποτε δυνατότητα διαχείρισης και πλέον θεωρούνται<br />

επικίνδυνα για χρήση σε ευαίσθητα περιβάλλοντα πόσο μάλλον<br />

σε υποδομές OT. Αυτή, η «διαχείριση των ενδιαφερομένων<br />

μερών» οδηγεί αναπόφευκτα στην υιοθέτηση τεχνολογιών<br />

διαχείρισης ταυτότητας και πρόσβασης (IAM και PAM).<br />

Το εξελισσόμενο τοπίο απειλών<br />

Η σύγκλιση <strong>IT</strong>-OT, μαζί με το Βιομηχανικό Διαδίκτυο των Πραγμάτων<br />

(IIoT), την Τεχνητή Νοημοσύνη ή το 5G έχουν φέρει την<br />

επανάσταση στις βιομηχανίες παγκοσμίως, μετατρέποντας τον<br />

κλάδο σε ένα υπερσυνδεδεμένο πλαίσιο που εγκυμονεί ευκαιρίες<br />

(π.χ. μείωση κόστους, αύξηση παραγωγικότητας, καινοτομίες<br />

κ.ά.) αλλά και κινδύνους που απαιτούν σωστή προετοιμασία.<br />

Σύμφωνα με μία πρόσφατη έκθεση της Deloitte σε<br />

συνεργασία με την Manufacturers Alliance for Productivity<br />

& Innovation (MAPI), το 40% των εργοστασίων και των επιχειρήσεων<br />

στον παραγωγικό και μεταποιητικό τομέα υπέστη<br />

κυβερνοεπίθεση πέρυσι̇ και το νούμερο είναι εκπληκτικό, αν<br />

σκεφτείτε πόσες τέτοιες επιχειρήσεις υπάρχουν σήμερα!<br />

Οι μεγαλύτερες προκλήσεις που αντιμετωπίζει ο κλάδος είναι:<br />

• H έλλειψη γνώσης στο εσωτερικό των οργανισμών<br />

σχετικά με τις απαιτήσεις κυβερνοασφάλειας για την<br />

διασφάλιση των περιουσιακών στοιχείων OT<br />

• Η απουσία ισχυρών πλαισίων ασφαλείας που να<br />

διέπουν τα συνδεδεμένα με <strong>IT</strong> περιουσιακά στοιχεία<br />

ΟΤ, κάτι που οδηγεί σε ευπάθειες του περιβάλλοντος<br />

παραγωγής<br />

• Η κυβερνοασφάλεια ΟΤ είναι απαιτητική σε πόρους<br />

και χωρίς κατάλληλη καθοδήγηση, οι απαιτήσεις<br />

για ασφάλεια μπαίνουν σε δεύτερη μοίρα σε σχέση<br />

με τους επιχειρηματικούς στόχους.<br />

• Χωρίς μία ισχυρή στρατηγική κυβερνοασφάλειας,<br />

οι ευπάθειες στα συστήματα ΟΤ μπορεί να παραμείνουν<br />

απαρατήρητες για μήνες ή χρόνια μέχρι τελικώς<br />

να εντοπιστούν από κάποιον χάκερ που θα τις εκμεταλλευτεί<br />

για να διαταράξει κρίσιμες λειτουργίες, να<br />

κλέψει δεδομένα ή να ζητήσει λύτρα.<br />

• Όλο και περισσότερες συσκευές και αισθητήρες<br />

διασυνδέονται μεταξύ τους, καθιστώντας το τοπίο<br />

των απειλών πιο επικίνδυνο.<br />

Υπάρχουν πολλά παραδείγματα εισβολέων που εκμεταλλεύονται<br />

τα τρωτά σημεία στα συστήματα ΟΤ, συλλέγουν πληροφορίες<br />

και προετοιμάζουν επιθέσεις χωρίς να γίνονται αντιληπτοί.<br />

Η επίθεση στην Colonial Pipeline που αναφέρθηκε παραπάνω<br />

θα μπορούσε να είχε αποτραπεί με επιδιορθώσεις<br />

λογισμικού, αυστηρή ασφάλεια όσον αφορά την απομακρυσμένη<br />

πρόσβαση και ισχυρό έλεγχο ταυτότητας πολλαπλών<br />

παραγόντων. Πρόσφατα επίσης, ένας σταθμός παραγωγής<br />

ηλεκτρικής ενέργειας στο Κίεβο, στην Ουκρανία, δέχτηκε<br />

επίθεση από χάκερ, οι οποίοι βρήκαν τρόπο να αποκτήσουν<br />

πρόσβαση σε λογαριασμούς υπαλλήλων (π.χ. αξιοποιώντας<br />

τεχνικές κοινωνικής μηχανικής), να κλιμακώσουν τα προνόμια<br />

για να μετακινηθούν στη συνέχεια εσωτερικά στο δίκτυο<br />

θέτοντας σε κίνδυνο ευάλωτα συστήματα OT και προκαλώντας<br />

διακοπές ρεύματος. Τα παραδείγματα αυτά καταδεικνύουν με<br />

σαφήνεια τον αντίκτυπο των κυβερνοεπιθέσεων σε υποδομές<br />

ζωτικής σημασίας και αποδεικνύουν την ανάγκη για μια<br />

στρατηγική κυβερνοασφάλειας <strong>IT</strong>/OT. Επίσης υπογραμμίζουν<br />

τη σημασία της διασφάλισης των ταυτοτήτων και της απομακρυσμένης<br />

πρόσβασης στα περιουσιακά στοιχεία κάθε επιχείρησης,<br />

εργοστασίου και οργανισμού. Και μη ξεχνάμε άλλωστε<br />

και την τεράστια βλάβη που προκαλούν στη φήμη του. Συνοψίζοντας,<br />

αν το περιβάλλον OT ενός εργοστασίου, μίας βιομηχανικής<br />

μονάδας ή εγκατάστασης βρεθεί αντιμέτωπο με κάποια<br />

κυβερνοεπίθεση, οι συνέπειες μπορεί να είναι οι παρακάτω:<br />

• Διακοπή παραγωγής: Η πλήρης διακοπή της παραγωγής<br />

είναι ένα από τα πιθανότερα αποτελέσματα<br />

μιας παραβίασης.<br />

• Οικονομικές επιπτώσεις: Δεδομένου ότι μια κυβερνοεπίθεση<br />

μπορεί να οδηγήσει σε μερική ή ολική<br />

διακοπή της λειτουργίας, οι οικονομικές απώλειες ενδέχεται<br />

να είναι σημαντικές.<br />

• Κίνδυνοι για τη ζωή ή την υγεία: Χωρίς την εφαρμογή<br />

των κατάλληλων μέτρων ασφαλείας, υπάρχει<br />

κίνδυνος παρεμβολών στον εξοπλισμό από τους επι-<br />

security<br />

37


T<strong>81</strong>09/10.2023<br />

Issue<br />

τιθέμενους/hackers. Και αυτό μπορεί να έχει απρόβλεπτες<br />

συνέπειες, από μολύνσεις έως υπερτάσεις<br />

και μέχρι την πρόκληση έκρηξης.<br />

• Νομικές επιπτώσεις: Θα μπορούσαν επίσης να<br />

υπάρξουν σοβαρές νομικές επιπτώσεις για τις επιχειρήσεις<br />

που δεν πληρούν τους κανονισμούς για την<br />

ασφάλεια των δεδομένων, όπως είναι ο Ευρωπαϊκός<br />

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)<br />

ή οι οδηγίες NIS και NIS 2.<br />

• Κίνδυνοι για τη δημόσια ασφάλεια: Η διακοπή<br />

των δικτύων ενέργειας ή μεταφορών ή η διακοπή της<br />

λειτουργίας υπηρεσιών κοινής ωφέλειας, όπως είναι<br />

επιχειρήσεις φυσικού αερίου και νερού ενδέχεται να<br />

αποτελέσουν απειλή για τη δημόσια ασφάλεια.<br />

Προστασία βιομηχανικών υποδομών και<br />

βέλτιστες πρακτικές<br />

Οι οργανισμοί οφείλουν να κατανοήσουν ότι η διαχείριση της<br />

κυβερνοασφάλειας δεν γίνεται απλώς με τη μεταφορά των<br />

βέλτιστων πρακτικών ασφαλείας ΙΤ στα περιβάλλοντα ΟΤ. Οι<br />

λύσεις απομακρυσμένης πρόσβασης/ υποστήριξης καταναλωτικού<br />

επιπέδου δεν επαρκούν για την προστασία στα πιο<br />

ευαίσθητα περιβάλλοντα.<br />

1) Κατανοώντας τις διαφορές της ασφάλειας ΙΤ και ΟΤ<br />

- Η διάρκεια ζωής του εξοπλισμού και της τεχνολογίας σε<br />

βιομηχανικές μονάδες κυμαίνεται συνήθως μεταξύ 15 και<br />

20 ετών ή και περισσότερο. Οι υπολογιστές στις γραμμές<br />

παραγωγής είναι πλέον αρκετές δεκαετίες παλαιότεροι και<br />

βρίσκονται απομονωμένοι από τα συστήματα πληροφορικής<br />

που βρίσκονται πλέον σε κάθε σύγχρονο δίκτυο, από<br />

τις πλατφόρμες cloud ή από τις νεότερες εφαρμογές. Αντιθέτως,<br />

η διάρκεια εξοπλισμού ΙΤ σπάνια ξεπερνά τα 5 έτη.<br />

Αυτή η διαφορά έχει ως αποτέλεσμα να μην υπάρχουν ή να<br />

μην μπορούν να γίνουν επιδιορθώσεις εξαιτίας περιορισμών<br />

στους πόρους των ξεπερασμένων και ετερογενών τερματικών/<br />

υπολογιστών των περιβαλλόντων ΟΤ.<br />

2) Καθορισμός και εφαρμογή ενός μοντέλου διακυβέρνησης<br />

- Υπάρχουν πολλά μοντέλα διακυβέρνησης και<br />

απαιτήσεις συμμόρφωσης σε παγκόσμιο επίπεδο για τα συστήματα<br />

<strong>IT</strong> ωστόσο η ταχεία εισαγωγή και σύγκλιση της επιχειρησιακής<br />

τεχνολογίας (OT) με τα παραδοσιακά δίκτυα <strong>IT</strong><br />

δημιούργησαν πρόσθετες προκλήσεις για την ενσωμάτωση<br />

ελέγχων ασφαλείας. Οι διαφορετικές τεχνολογίες και δυνατότητες<br />

μεταξύ των συσκευών ΟΤ καθιστούν δύσκολη την<br />

εφαρμογή των απαιτούμενων ελέγχων ασφαλείας από μοντέλα<br />

διακυβέρνησης. Είναι λοιπόν επωφελές για τους οργανισμούς<br />

να εξετάσουν τις βασικές πολιτικές ασφαλείας και διαδικασίες<br />

για τον καθορισμό μίας περιεκτικής κατευθυντήριας<br />

γραμμής και ενός καλά προετοιμασμένου προγράμματος<br />

ασφαλείας που να είναι διαθέσιμο στο προσωπικό και στους<br />

διαχειριστές. Ο στόχος είναι οι πολιτικές και διαδικασίες αυτές<br />

να επικεντρώνονται στον εντοπισμό, στην αντιμετώπιση<br />

και στην πρόληψη περιστατικών κυβερνοασφάλειας.<br />

3) Εξοπλισμός και τοπογραφία δικτύου - Τα βιομηχανικά<br />

δίκτυα δημιουργούνται σταδιακά καθώς η παραγωγή αυξάνεται.<br />

Πολλές φορές όμως, με τη δημιουργία νέων γραμμών<br />

παραγωγής, εγκαθίσταται ετερογενής εξοπλισμός, από<br />

διαφορετικές μάρκες, διαφορετικά δικτυακά στοιχεία κ.ά.<br />

Το αποτέλεσμα είναι μία βιομηχανική υποδομή με ετερογενή<br />

στοιχεία εξοπλισμού που συνδέονται μεταξύ τους και<br />

παράγουν ροές δεδομένων για την παραγωγική διαδικασία,<br />

την εποπτεία ή τον βιομηχανικό έλεγχο. Όμως δεν γίνεται να<br />

προστατεύσετε κάτι που δεν μπορείτε να… δείτε. Μία ανάλυση<br />

των διασυνδέσεων και των εκάστοτε ιδιαιτεροτήτων<br />

της κίνησης των δεδομένων θα βοηθήσει στον εντοπισμό<br />

νέων ή κακόβουλων στοιχείων στα βιομηχανικά συστήματα<br />

ελέγχου (ICS).<br />

4) Εφαρμογή ενός πλαισίου μηδενικής εμπιστοσύνης -<br />

Η προστασία οποιουδήποτε δικτύου ξεκινά με τον προσδιορισμό<br />

κάθε συνδεδεμένου χρήστη, κάθε συνεδρίας και συσκευής<br />

και κάθε περιουσιακού στοιχείου που είναι διαθέσιμο<br />

για πρόσβαση. Για να υιοθετήσετε τη μηδενική εμπιστοσύνη<br />

σε οποιοδήποτε δίκτυο ΟΤ/<strong>IT</strong> εφαρμόστε τα παρακάτω:<br />

• Τμηματοποιήστε το δίκτυο: Παρέχετε πρόσβαση σε<br />

εφαρμογές ανεξάρτητα από τη πρόσβαση στο δίκτυο.<br />

Έτσι, εργολάβοι και προμηθευτές θα έχουν πρόσβαση<br />

μόνο στις απολύτως απαραίτητες εφαρμογές και συστήματα<br />

- χωρίς να απαιτούνται πολύπλοκες διαμορφώσεις<br />

firewall ή VPN.<br />

38 security


• Παρέχετε μικρο-τμηματοποίηση σε επίπεδο εφαρμογής<br />

για να αποτρέψετε χρήστες/υπαλλήλους από<br />

την εύρεση σε εφαρμογές που δεν είναι εξουσιοδοτημένοι<br />

να έχουν πρόσβαση. Έτσι, αποφεύγονται και τα<br />

ανθρώπινα λάθη - μία από τις κύριες αιτίες παραβιάσεων<br />

και διακοπών λειτουργίας.<br />

• Καθιερώστε ένα κεντρικό σημείο ορατότητας και<br />

προσβασιμότητας για όλα τα συστήματα. Καθώς οι<br />

περισσότερες ενσωματώσεις μεταξύ συστημάτων OT<br />

και <strong>IT</strong> οδηγούν σε αυτοματοποίηση, αυξημένη αποδοτικότητα<br />

και μείωση κόστους, είναι καλό να διατηρήσετε<br />

αυτά τα συστήματα γνωστά και διαθέσιμα μόνο<br />

σε εξουσιοδοτημένους χρήστες για να μειώσετε δραστικά<br />

την επιφάνεια επίθεσης.<br />

• που εκτελούνται μέσω απομακρυσμένης πρόσβασης<br />

(π.χ. μέσω καταγραφής on-screen video) για λόγους<br />

ασφάλειας και συμμόρφωσης. Ασκήστε λεπτομερή<br />

έλεγχο στις συνεδρίες, επιβάλλοντας τα ελάχιστα<br />

προνόμια και περιορίζοντας τις εντολές που μπορούν<br />

να εκτελεστούν ανά ταυτότητα/χρήστη.<br />

5) Αξιοποιήστε τα σωστά εργαλεία απομακρυσμένης<br />

πρόσβασης - Αν και τα εργαλεία VPN (Virtual Private<br />

Network) και RDP (Remote Desktop Protocol) χρησιμοποιούνται<br />

κατά κόρον για την απομακρυσμένη πρόσβαση, πλέον<br />

είναι ξεπερασμένα και δεν ανταποκρίνονται επαρκώς στις<br />

απαιτήσεις των σημερινών περιβαλλόντων μηδενικής εμπιστοσύνης<br />

και OT. Εξαλείψτε τη χρήση των VPN και RDP στις<br />

περιπτώσεις που σχετίζονται με προνομιακή πρόσβαση ή με<br />

τη πρόσβαση από τρίτους. Ο ψηφιακός μετασχηματισμός και<br />

η τεχνολογική σύγκλιση οδηγεί στην ανάγκη για ισχυρή βιομηχανική<br />

κυβερνοασφάλεια που όχι μόνο μπορεί να καλύψει<br />

τους βιομηχανικούς περιορισμούς (κύκλος ζωής, κρισιμότητα,<br />

επιχειρησιακή συνέχεια) και να υπερβεί τις πρώτες λύσεις<br />

περιμετρικής ασφάλειας, όπως τα antivirus και τα firewalls<br />

αλλά και που εισέρχεται στο σύγχρονο πεδίο της Διαχείρισης<br />

της Προνομιακής Πρόσβασης (PAM ή Privileged Access<br />

Management) που με τη σειρά της περιλαμβάνει τη Διαχείριση<br />

Ταυτότητας (Identity Management) και την Ασφάλεια<br />

Τερματικών (Endpoint <strong>Security</strong>).<br />

6) Εφαρμογή αξιόπιστων πρακτικών διαχείρισης προνομιακών<br />

διαπιστευτηρίων και ταυτοτήτων - Η κακή χρήση<br />

των κωδικών πρόσβασης αφθονεί σε περιβάλλοντα ΟΤ και<br />

εξακολουθεί να αποτελεί την κύρια αιτία των παραβιάσεων<br />

καθώς κρίσιμης σημασίας διαπιστευτήρια μοιράζονται εσωτερικά<br />

και εξωτερικά και η πρόσβαση δεν περιορίζεται σε<br />

συγκεκριμένες συσκευές ή τμήματα του δικτύου. Είναι απαραίτητο<br />

λοιπόν να μειώσετε τους κινδύνους που σχετίζονται<br />

με τη χρήση προνομιακών διαπιστευτηρίων, εφαρμόζοντας<br />

ισχυρή διακυβέρνηση της πρόσβασης σε κωδικούς πρόσβασης<br />

προνομιακών λογαριασμών και κλειδιά SSH.<br />

7) Διασφάλιση κανονιστικής συμμόρφωσης - Όπως είναι<br />

γνωστό, όλες πλέον οι κυβερνήσεις επιβάλλουν μέτρα<br />

για την αντιμετώπιση των απειλών κυβερνοασφάλειας και<br />

την προστασία των δεδομένων. Με τη χρήση των τεχνολογικών<br />

λύσεων OT.security by WALLIX διασφαλίζετε συμμόρφωση<br />

με τους πλέον αυστηρούς κανονισμούς και νομοθεσίες<br />

σε παγκόσμιο επίπεδο (IEC 62443, GDPR, NIS, NIS<br />

2, HIPAA κ.ά.).<br />

OT.security by WALLIX<br />

Με τις λύσεις OT.security εφαρμόζετε ασφάλεια μηδενικής<br />

εμπιστοσύνης (Zero Trust) στα περιβάλλοντα ΟΤ και επομένως<br />

μπορείτε να προστατεύσετε κάθε πρωτόκολλο και πρόσβαση,<br />

τοπική ή απομακρυσμένη και χωρίς να επηρεάζονται<br />

τα συστήματα παραγωγής.<br />

Η OT.security by<br />

WALLIX με την<br />

απαράμιλλη τεχνογνωσία<br />

OT και το λογισμικό<br />

που έχει πιστοποιηθεί από τη γαλλική Εθνική Υπηρεσία<br />

Κυβερνοασφάλειας παρέχει ειδικά σχεδιασμένες<br />

λύσεις για βιομηχανικά συστήματα ελέγχου. Οι λύσεις tης<br />

OT.security by WALLIX προστατεύουν τα ολοένα και περισσότερο<br />

εκτεθειμένα περιβάλλοντα OT χωρίς να επηρεάζουν<br />

τις βιομηχανικές διαδικασίες. Τα συγκεκριμένα προϊόντα<br />

σχεδιάστηκαν με τρόπο που να λαμβάνει υπόψη τους χρήστες<br />

και τις διαδικασίες, τις παραγωγικές ανάγκες, τους παγκόσμιους<br />

περιορισμούς, τους τομεακούς κανονισμούς και<br />

κρίσιμης σημασίας θέματα ασφάλειας.<br />

security<br />

39


T<strong>81</strong>09/10.2023<br />

Issue<br />

R2D2 …safeguards the grid<br />

Στο Star Wars, η ασφάλεια των μηχανών δεν είναι το δυνατό σημείο των πρωταγωνιστών. Από τον<br />

R2-D2 που ανοίγει την πόρτα του Death Star χρησιμοποιώντας έναν παλιό κωδικό, μέχρι τον C-3PO<br />

που παραβιάζεται από τον Darth Vader, οι μηχανές τους είναι συχνά ευάλωτες σε επιθέσεις.<br />

υτό δεν είναι τυχαίο. Οι μηχανές στο Star<br />

Α<br />

Wars είναι συχνά παλιές και ξεπερασμένες<br />

άρα πιο ευάλωτες σε επιθέσεις. Επιπλέον,<br />

συχνά δεν είναι σωστά συνδεδεμένες<br />

μεταξύ τους ή δε συντηρούνται/ενημερώνονται<br />

σωστά. Αυτό καθιστά πιο δύσκολο για τους διαστημικούς<br />

μας χρήστες να παρακολουθούν και να διαχειρίζονται<br />

την ασφάλεια των συστημάτων.<br />

Ας φύγουμε όμως από το γαλαξία πολύ πολύ<br />

μακριά και ας επιστρέψουμε στη Γη...<br />

…όπου όλα αυτά δεν είναι σενάριο επιστημονικής φαντασίας!<br />

Μηχανές ευάλωτες σε επιθέσεις από ευπάθειες και κενά<br />

ασφαλείας βρίσκονται παντού τριγύρω μας, ξεκινώντας από<br />

τις οικιακές συσκευές μας (όπως τηλεοράσεις, κλιματιστικά,<br />

ψυγεία, πλυντήρια), τον εξειδικευμένο βιομηχανικό εξοπλισμό<br />

(μηχανήματα παραγωγής, ρομπότ, συστήματα ελέγχου)<br />

και ολόκληρα τα συστήματα για τη διαχείριση της υποδομής<br />

μας, όπως τα δίκτυα μεταφοράς και διανομής ηλεκτρικής<br />

ενέργειας, τα συστήματα παροχής νερού και τα συστήματα<br />

συγκοινωνίας. Μπορεί όταν ακούμε για κυβερνοεπιθέσεις<br />

η πρώτη σκέψη που έρχεται στο μυαλό μας να<br />

είναι υπολογιστές, δίκτυα και servers δηλαδή, όμως οι επιθέσεις<br />

δεν περιορίζονται στον τομέα του <strong>IT</strong>.<br />

Οι κυβερνοεπιθέσεις μπορούν να στοχεύσουν βιομηχανικά<br />

συστήματα, γνωστά και ως OT (Operational Technology),<br />

που ελέγχουν τις προαναφερθείσες κρίσιμες υποδομές. Οι<br />

επιπτώσεις μιας τέτοιας επίθεσης μπορούν να είναι καταστροφικές,<br />

οδηγώντας σε διακοπές ρεύματος, διαρροές<br />

νερού ή ακόμη και τραυματισμούς ανθρώπων. Μάλιστα,<br />

τα συστήματα OT είναι συχνά παλαιότερα και πιο ευάλωτα<br />

σε επιθέσεις από τα συστήματα <strong>IT</strong>, και οι επιθέ-<br />

40 security


Αγγελική Ζαπαλίδη<br />

Information <strong>Security</strong> Consultant, Cyber Noesis<br />

www.cybernoesis.com<br />

σεις OT είναι συχνά πιο δύσκολο να εντοπιστούν και<br />

να αντιμετωπιστούν από τις επιθέσεις <strong>IT</strong>. Τα τελευταία<br />

χρόνια έχουν σημειωθεί πολλές και σημαντικές τέτοιες επιθέσεις<br />

που υπογραμμίζουν τη σημασία της ασφάλειας και<br />

αυτών των συστημάτων:<br />

• Το 2021, το Ukrainian Power Grid, το δίκτυο ηλεκτρικής<br />

ενέργειας της Ουκρανίας, έπεσε θύμα μιας<br />

μεγάλης κυβερνοεπίθεσης, που προκάλεσε διακοπές<br />

ρεύματος σε ολόκληρη τη χώρα. Είχαν προηγηθεί<br />

επιθέσεις το 2015 και 2016.<br />

• Το 2020, η Colonial Pipeline, μια εταιρεία που διαχειρίζεται<br />

ένα δίκτυο αγωγών πετρελαίου στις Ηνωμένες<br />

Πολιτείες, έπεσε θύμα μιας ransomware επίθεσης. Η<br />

επίθεση προκάλεσε διακοπές στην παροχή πετρελαίου<br />

σε μεγάλο μέρος των Ηνωμένων Πολιτειών.<br />

• Το 2019, η SolarWinds, μια εταιρεία που παρέχει<br />

λογισμικό διαχείρισης δικτύων, έπεσε θύμα μιας πολύπλοκης<br />

κυβερνοεπίθεσης. Η επίθεση επηρέασε χιλιάδες<br />

εταιρείες και οργανισμούς σε όλο τον κόσμο,<br />

συμπεριλαμβανομένων κυβερνητικών υπηρεσιών,<br />

εταιρειών ενέργειας και εταιρειών παροχής υπηρεσιών<br />

υγείας.<br />

• Το 2017, το WannaCry, μια ransomware επίθεση<br />

που στοχεύει σε εταιρείες και οργανισμούς σε όλο τον<br />

κόσμο, προκάλεσε διακοπές σε επιχειρήσεις και κυβερνητικές<br />

υπηρεσίες αλλά και στον τομέα της υγείας<br />

αφού εμπόδισε τη λειτουργία μαγνητικών τομογράφων<br />

(MRI).<br />

• Το 2016, η NotPetya, μια ransomware επίθεση που<br />

στοχεύει σε εταιρείες και οργανισμούς σε όλο τον κόσμο,<br />

προκάλεσε ζημιές δισεκατομμυρίων δολαρίων.<br />

• Το 2015, η Stuxnet, μια κυβερνοεπίθεση που στοχεύει<br />

σε εγκαταστάσεις πυρηνικής ενέργειας στο Ιράν,<br />

προκάλεσε σοβαρές ζημιές στα συστήματα ελέγχου.<br />

A Droid to the rescue!<br />

Το έργο R 2 D 2 (Reliability, Resilience and Defense<br />

technology for the griD) είναι ένα έργο χρηματοδοτούμενο<br />

από την Ευρωπαϊκή Επιτροπή που αναπτύσσει και επιδεικνύει<br />

καινοτόμες λύσεις για τη βελτίωση της ασφάλειας,<br />

της αξιοπιστίας και της ανθεκτικότητας των συστημάτων ηλεκτρικής<br />

ενέργειας (EPES).<br />

Χάρη στις διαρκώς εξελισσόμενες τεχνολογίες αλλά και τον<br />

ψηφιακό μετασχηματισμό σε πολλούς τομείς τα τελευταία<br />

χρόνια, μεταξύ των οποίων και η ενέργεια, είναι σημαντικό<br />

να προσαρμόζεται αναλόγως και η πρόληψη και προετοιμασία<br />

για τυχόν συμβάντα που απειλούν τη συνέχεια, τη διαθεσιμότητα<br />

και την ομαλή λειτουργία των υποδομών αυτών.<br />

Εύκολα μπορεί να σκεφτεί κανείς ότι ένα σύγχρονο σύστημα<br />

ηλεκτρικής ενέργειας διατρέχει πολλά ρίσκα που απειλούν<br />

τη σωστή λειτουργία του, από ένα ακραίο καιρικό φαινόμενο,<br />

μέχρι μια κακόβουλη κυβερνοεπίθεση. Ο έγκαιρος εντοπισμός<br />

ευπαθειών που καθιστούν τα EPES ευάλωτα σε περίπτωση<br />

τέτοιων συμβάντων είναι βασικός για την πρόληψη<br />

και αντιμετώπιση τους. Ένας από τους βασικούς τομείς εστίασης<br />

του έργου R 2 D 2 είναι η ασφάλεια OT στο ενεργειακό<br />

δίκτυο. Το έργο αναπτύσσει νέες τεχνολογίες για την παρακολούθηση,<br />

τον εντοπισμό και την απόκριση σε απειλές κατά<br />

των EPES. Σκοπός είναι η βελτίωση τόσο της ανθεκτικότητας<br />

όσο και της αξιοπιστίας των EPES απέναντι στις διαρκώς εξελισσόμενες<br />

απειλές, ανθρωπογενείς και μη, για την προστασία<br />

τόσο των παρόχων όσο και των τελικών χρηστών των<br />

δικτύων ενέργειας. Παράλληλα, αποσκοπεί στην αξιοποίηση<br />

γνώσεων των συμμετεχόντων για τη βελτίωση μεθοδολογιών<br />

ελαχιστοποίησης των ρίσκων και το σχεδιασμό προληπτικών<br />

μέτρων για την ακεραιότητα και συντήρηση των φυσικών<br />

αγαθών, και λύσεων σε όλες τις φάσεις αντιμετώπισης<br />

ενός περιστατικού με την υιοθέτηση καινοτόμων τεχνολογιών<br />

ασφαλείας τόσο σε επίπεδο <strong>IT</strong> όσο και OT.<br />

Οι ειδικοί στόχοι του έργου είναι:<br />

1. Συλλογή και ανάλυση δεδομένων από όλους τους ενδιαφερόμενους<br />

για την κατανόηση των τρωτών σημείων και<br />

των απειλών του συστήματος.<br />

2. Ανάπτυξη αρχών και απαιτήσεων για την ενίσχυση της<br />

ευελιξίας και της ασφάλειας του συστήματος.<br />

security<br />

41


T<strong>81</strong>09/10.2023<br />

Issue<br />

κόλυνση των εργασιών συντήρησης. Χρησιμοποιεί, επίσης,<br />

προηγμένες τεχνικές ανάλυσης και συσχέτισης που βασίζονται<br />

σε μεθόδους μηχανικής μάθησης και βαθιάς μάθησης<br />

για τον εντοπισμό απειλών και ευπαθειών, ανάλυση μοτίβων<br />

επίθεσης, ανάλυση κακόβουλου λογισμικού και προτάσεις<br />

αντιμετώπισης, λαμβάνοντας υπόψη τα προγνωστικά<br />

αναλυτικά στοιχεία για την πρόβλεψη απειλών.<br />

Τέλος, το R 2 D 2 χρησιμοποιεί νέες τεχνικές τεχνητής νοημοσύνης<br />

για να εξάγει πληροφορίες από την επεξεργασία δεδομένων<br />

που αποκτήθηκαν από υπάρχουσες πλατφόρμες.<br />

Αυτή η λειτουργία θα επιτρέπει την πρόβλεψη πιθανών αστοχιών<br />

στον εξοπλισμό, σε διαφορετικούς χρονικούς ορίζοντες,<br />

και την αυτοματοποίηση διαδικασιών για τη συντήρηση και<br />

τη διαχείριση των περιουσιακών αγαθών.<br />

3. Ανάπτυξη μέτρων ασφαλείας για την αντιμετώπιση των<br />

κυβερνοεπιθέσεων, με έμφαση στην ευελιξία και τη διαρκής<br />

προσαρμοστικότητα.<br />

4. Εφαρμογή οργανωτικών διαδικασιών και επιχειρησιακών<br />

στρατηγικών για τη δοκιμή της ανθεκτικότητας του συστήματος<br />

με διαφορετικούς τύπους επιθέσεων/σοβαρότητας.<br />

5. Δημιουργία συστήματος συλλογής και ανάλυσης δεδομένων<br />

για την επίλυση περιστατικών ασφάλειας.<br />

6. Χρήση αυτοματοποιημένων και ρομποτικών συσκευών<br />

για την παρακολούθηση και την επισκευή των φυσικών στοιχείων<br />

του συστήματος.<br />

7. Αξιολόγηση της αποτελεσματικότητας των μέτρων ασφαλείας<br />

και της οικονομικής τους αποδοτικότητας.<br />

8. Ανάπτυξη εργαλείων για την επιτάχυνση της αποκατάστασης<br />

του δικτύου μετά από φυσικές καταστροφές.<br />

9. Ανάπτυξη συστάσεων για την προώθηση της ασφάλειας<br />

και της ευελιξίας των συστημάτων ηλεκτρικής ενέργειας.<br />

Πιο αναλυτικά, το R 2 D 2 αποσκοπεί στη βελτίωση της ασφάλειας<br />

των συστημάτων αυτών αντιμετωπίζοντας τις διάφορες<br />

κατηγορίες κινδύνων που απειλούν την ομαλή λειτουργία<br />

τους αναπτύσσοντας τέσσερα καινοτόμα εργαλεία που<br />

βασίζονται σε δεδομένα και αυτοματοποιημένες, ρομποτικές<br />

τεχνολογίες.<br />

Μεταξύ αυτών, ένα εργαλείο αξιολόγησης κινδύνου που<br />

χρησιμοποιεί μια προσέγγιση βάσει δεδομένων και ανάλυσης<br />

αβεβαιότητας για τη μοντελοποίηση των κινδύνων, δίνοντας<br />

προτεραιότητα στην υιοθέτηση ψηφιακών τεχνολογιών και<br />

τεχνολογιών αυτοματισμού για τη βελτίωση της αξιοπιστίας<br />

του ηλεκτρικού εξοπλισμού και των assets και για τη διευ-<br />

Καινοτομία<br />

Το R 2 D 2 αξιοποιεί υφιστάμενα διεθνή πρότυπα και ευρέως<br />

αποδεκτές μεθόδους για τον καθορισμό μεθοδολογιών διαχείρισης<br />

κινδύνου των ενεργειακών συστημάτων κάθε υποτομέα,<br />

σε παλαιότερου τύπου συστήματα και πολύπλοκες<br />

υποδομές δικτύου, αλλά και πολύτιμες πληροφορίες που παρέχονται<br />

από πληροφορίες για απειλές στον κυβερνοχώρο,<br />

εκτιμήσεις ευπάθειας και υποδομές ασφάλειας διαχείρισης<br />

συμβάντων. Στόχος είναι η παρακολούθηση των επιπέδων<br />

κινδύνου και η άμεση ανταπόκριση σε περίπτωση απόκλισης<br />

από αυτά. Επιπλέον, παρέχει μια πλατφόρμα συνεργασίας<br />

για την ανταλλαγή αυτών των πληροφοριών μεταξύ άλλων<br />

ενδιαφερομένων.<br />

Η διαχείριση δεδομένων τόσο για παλαιού τύπου ενεργειακά<br />

δίκτυα όσο και για νέες λύσεις δικτύων που βασίζονται<br />

στο IoT απαιτούν πιο συγκεκριμένη προσέγγιση προκειμένου<br />

να παραδοθεί μια ασφαλής και αποκεντρωμένη λύση<br />

ασφάλειας για πολύπλοκες υποδομές cloud. Τα καινοτόμα<br />

εργαλεία του R 2 D 2 επιτρέπουν την παρακολούθηση των κανονικών<br />

λειτουργιών των ενεργειακών συστημάτων ώστε<br />

να παρέχουν πληροφορίες που επιτρέπουν να ανιχνεύει<br />

επιθέσεις zero-day και να παρακολουθεί συστήματα έξυπνου<br />

δικτύου.<br />

Εν κατακλείδι<br />

Συνολικά, η ασφάλεια των μηχανών στο Star Wars είναι<br />

ένα θέμα που αφήνει πολλά περιθώρια για βελτίωση.<br />

Ωστόσο, αυτό δεν εμποδίζει τους πρωταγωνιστές να σώσουν<br />

τη Γαλαξία, ακόμη και όταν πρέπει να διαχειριστούν συστήματα<br />

που είναι ευάλωτα σε επιθέσεις. Το έργο R 2 D 2 αποσκοπεί<br />

πρακτικά στο να γίνει η ασφάλεια OT πιο προσιτή σε όλους. OT<br />

<strong>Security</strong> for the masses to enjoy δηλαδή…<br />

42 security


Σύγκλιση δικτύων OT/<strong>IT</strong><br />

και κυβερνοασφάλεια<br />

ADAPTERA<br />

Email: info@adaptera.gr, Τηλ.: 2177770188<br />

www.adaptera.gr<br />

α δίκτυα OT είναι ζωτικής σημασίας για τους<br />

Τ<br />

οργανισμούς που δραστηριοποιούνται στην<br />

παραγωγή προϊόντων, την ενέργεια, και σε<br />

άλλους τομείς της βιομηχανίας, και είναι<br />

-φυσικά- στο επίκεντρο του μετασχηματισμού<br />

των επιχειρήσεων αυτών προς τα λεγόμενα "Industry<br />

4.0" τεχνολογικά, λειτουργικά και -κυρίως- επιχειρηματικά<br />

μοντέλα. Ο μετασχηματισμός αυτός σημαίνει ότι *(α)* επιταχύνεται<br />

η σύνδεση των OT και των <strong>IT</strong> δικτύων και *(β)*<br />

παράλληλα πληθαίνουν οι συσκευές IoT που αξιοποιούνται<br />

στην παραγωγή, τη διανομή και στα ίδια τα προϊόντα που<br />

πουλάνε πλέον πολλές εταιρίες.<br />

Η σύγκλιση του OT και του <strong>IT</strong> είναι, πλέον, πραγματικότητα,<br />

και παρότι αυτή η τάση προσφέρει εξαιρετικές ευκαιρίες,<br />

φέρνει -στην εποχή της έντονης διαδικτύωσης και<br />

του cloud computing- σημαντικές προκλήσεις για την<br />

προστασία της παραγωγής, της διανομής και των άλλων θεμελιακών<br />

συστατικών ενός βιομηχανικού οργανισμού. Δεν<br />

είναι υπερβολή να πούμε ότι η κυβερνοασφάλεια για τα OT<br />

δίκτυα και για το industrial IoT (IIoT) απαιτεί να περάσουν οι<br />

οργανισμοί σε ένα νέο μοντέλο προστασίας, το οποίο θα<br />

βασίζεται (α) στη χρήση "best-of-breed" λογισμικών και υπηρεσιών<br />

για την προστασία των βιομηχανικών δικτύων και<br />

πόρων στο edge και (β) θα **εντάσσεται** σε<br />

ένα ισχυρό πλαίσιο και λογισμικό προστασίας<br />

ολόκληρου του enterprise.<br />

Η Microsoft είδε από νωρίς αυτήν την ανάγκη<br />

για κορυφαία προστασία τόσο στο edge,<br />

όσο και στο σύνολο ενός βιομηχανικού οργανισμού,<br />

και γι’ αυτό το λόγο εξαγόρασε<br />

και πρόσθεσε στο εντυπωσιακό μίγμα<br />

cybersecurity προϊόντων που διαθέτει τις<br />

πρωτοποριακές λύσεις για OT security της<br />

CyberX. Η μετεξέλιξη του προϊόντος αυτού<br />

είναι το "Defender for IoT", το οποίο είναι<br />

ένα από τα κορυφαία προϊόντα για την<br />

κυβερνοασφάλεια σε περιβάλλοντα OT/ICS,<br />

και έχει 100δες σχετικές εγκαταστάσεις ανά<br />

τον κόσμο. Επιπλέον, το Defender for IoT<br />

προσφέρει μοναδική κάλυψη τόσο των παραδοσιακών<br />

OT/ICS συστημάτων ("brownfield") όσο και των<br />

νέων IoT συσκευών και δικτύων ("greenfield") που ολοένα<br />

πληθαίνουν στη βιομηχανία, τη διαχείριση κτιρίων και εγκαταστάσεων,<br />

την εφοδιαστική αλυσίδα, τη φυσική ασφάλεια<br />

και αλλού. Η ευελιξία αυτή οφείλεται σε μεγάλο βαθμό στην<br />

agentless αρχιτεκτονική του προϊόντος η οποία, σε συνδυασμό<br />

με τους προηγμένους αλγόριθμους συμπεριφορικής<br />

ανάλυσης (behavioral analytics), επιτρέπει αυτόματη αναγνώριση<br />

και συνεχή παρακολούθηση συσκευών OT και IoT<br />

που μέχρι πρότινος έμεναν στη «σκιά».<br />

Το Defender for IoT είναι -εν κατακλείδι- ένα "best of breed"<br />

λογισμικό προστασίας για OT/ICS περιβάλλοντα που καλύπτει<br />

επιπλέον όλες τις άλλες IoT συσκευές που τρέχει ένας<br />

οργανισμός (π.χ. για BMI, ασφάλεια, logistics, κ.ο.κ.), και<br />

-όπως θα περίμενε κάποιος- ενσωματώνεται αρμονικά στο<br />

παγκόσμιας κλάσης οικοσύστημα ασφαλείας της Microsoft.<br />

H ADAPTERA είναι ειδικευμένος συνεργάτης στο Microsoft<br />

Defender for IoT από το 2020 και, ως μέρος του ομίλου της<br />

Performance Technologies, διαθέτει ειδίκευση τόσο στο<br />

Azure Cloud <strong>Security</strong> όσο και στο Azure Threat Protection.<br />

Επιπλέον έχει μακροχρόνια εμπειρία σε έργα κυβερνοασφάλειας<br />

που βασίζονται σε network visibility και performance<br />

monitoring.<br />

security<br />

43


T<strong>81</strong>09/10.2023<br />

Issue<br />

ORTHOLOGY<br />

www.orthology.gr<br />

5 λόγοι γιατί το RMM της N-ABLE<br />

είναι η απόλυτη λύση διαχείρισης<br />

της πληροφορικής<br />

τον κόσμο της διαχείρισης <strong>IT</strong>, η χρήση των<br />

Σ<br />

σωστών εργαλείων είναι κρίσιμη για την<br />

επιτυχία. Το RMM (Remote Monitoring and<br />

Management) της N-ABLE έχει αναδειχθεί<br />

σε κορυφαία λύση, κερδίζοντας τη φήμη του<br />

ως η απόλυτη επιλογή για τους επαγγελματίες του <strong>IT</strong>. Σε αυτό<br />

το άρθρο, θα εμβαθύνουμε στις πέντε βασικές πτυχές που<br />

ξεχωρίζουν το RMM της N-ABLE και το καθιστούν μια εξαιρετική<br />

επιλογή για τη διαχείριση της ΤΠ.<br />

1. Proactive Monitoring: Το RMM της N-ABLE εφαρμόζει<br />

μια προληπτική προσέγγιση στη διαχείριση της πληροφορικής.<br />

Προσφέρει δυνατότητες παρακολούθησης<br />

σε πραγματικό χρόνο που δίνουν τη δυνατότητα στους<br />

επαγγελματίες του <strong>IT</strong> να προβλέπουν και να αντιμετωπίζουν<br />

τα προβλήματα πριν αυτά κλιμακωθούν. Παρέχοντας<br />

πληροφορίες σχετικά με την υγεία του δικτύου και<br />

των συσκευών, μειώνει τον χρόνο διακοπής λειτουργίας<br />

και διατηρεί την ομαλή λειτουργία των επιχειρήσεων.<br />

2. Στο επίκεντρο η ασφάλεια: Στο σημερινό ψηφιακό<br />

τοπίο, η ασφάλεια είναι αδιαπραγμάτευτη. Το RMM<br />

της N-ABLE ενσωματώνει προηγμένα χαρακτηριστικά<br />

ασφαλείας, όπως antivirus, προστασία από<br />

κακόβουλο λογισμικό και ανίχνευση ransomware,<br />

ως βασικό μέρος της προσφοράς του. Αυτό διασφαλίζει<br />

ότι το δίκτυό σας είναι οχυρωμένο απέναντι στις<br />

εξελισσόμενες απειλές στον κυβερνοχώρο, προστατεύοντας<br />

ευαίσθητα δεδομένα και διατηρώντας την<br />

επιχειρηματική συνέχεια.<br />

3. Απρόσκοπτη επεκτασιμότητα: Το RMM της N-ABLE<br />

κατανοεί ότι τα περιβάλλοντα ΙΤ εξελίσσονται. Είτε διαχειρίζεστε<br />

μια μικρή επιχείρηση είτε μια μεγάλη επιχείρηση,<br />

προσφέρει αβίαστη επεκτασιμότητα. Η προσθήκη<br />

νέων συσκευών ή η επέκταση του δικτύου σας γίνεται<br />

χωρίς προβλήματα, επιτρέποντάς σας να προσαρμόζεστε<br />

στις μεταβαλλόμενες ανάγκες χωρίς διακοπή.<br />

4. Εύκολη ενσωμάτωση: Η ενσωμάτωση είναι μια<br />

κοινή πρόκληση στη διαχείριση της πληροφορικής. Το<br />

RMM της N-ABLE αφαιρεί την πολυπλοκότητα από<br />

αυτή τη διαδικασία, καθώς ενσωματώνεται απρόσκοπτα<br />

με τα υπάρχοντα εργαλεία διαχείρισης <strong>IT</strong>. Αυτό<br />

σημαίνει ότι μπορείτε να δημιουργήσετε ένα ενοποιημένο<br />

οικοσύστημα διαχείρισης, να εξορθολογήσετε<br />

τις ροές εργασίας και να ενισχύσετε τη συνολική επιχειρησιακή<br />

αποδοτικότητα.<br />

5. Data-Driven Insights: Οι τεκμηριωμένες αποφάσεις<br />

οδηγούν στην επιτυχημένη διαχείριση της ΤΠ. Το RMM<br />

της N-ABLE παρέχει προσαρμόσιμες ειδοποιήσεις και<br />

λεπτομερείς αναφορές, προσφέροντας πολύτιμες πληροφορίες<br />

σχετικά με την απόδοση του δικτύου. Αυτές<br />

οι πληροφορίες επιτρέπουν στους επαγγελματίες του<br />

<strong>IT</strong> να κατανοούν την υγεία του συστήματος, να εντοπίζουν<br />

τάσεις και να λαμβάνουν αποφάσεις βάσει δεδομένων<br />

για τη βελτίωση των συνολικών λειτουργιών.<br />

Το RMM της N-ABLE είναι μια λύση που ενσωματώνει τις<br />

ανάγκες και τις προκλήσεις που αντιμετωπίζουν οι<br />

επαγγελματίες του <strong>IT</strong> στο σημερινό συνεχώς εξελισσόμενο<br />

τοπίο. Η προληπτική παρακολούθηση, η προσέγγιση<br />

με επίκεντρο την ασφάλεια, η αβίαστη επεκτασιμότητα, η<br />

απλουστευμένη ενσωμάτωση και οι πληροφορίες που βασίζονται<br />

σε δεδομένα το καθιστούν μια εξαιρετική επιλογή για τη<br />

διαχείριση της ΤΠ. Με την υιοθέτηση του RMM της N-ABLE,<br />

οι επαγγελματίες του <strong>IT</strong> αποκτούν έναν ισχυρό σύμμαχο στη<br />

διαχείριση πολύπλοκων περιβαλλόντων <strong>IT</strong>. Τους δίνει τη δυνατότητα<br />

να μετριάσουν τους κινδύνους, να διατηρήσουν ισχυρή<br />

ασφάλεια και να βελτιστοποιήσουν την απόδοση.<br />

44 security


Κωνσταντίνος Τσιαΐρης<br />

Technical Support Manager, Dataplex<br />

www.dataplex.gr<br />

Η επίδραση της λειτουργικής<br />

τεχνολογίας στην κυβερνοασφάλεια<br />

Προκλήσεις και τρόποι αντιμετώπισης<br />

λειτουργική τεχνολογία (OT) περιλαμβάνει<br />

ένα ευρύ φάσμα προγραμματιζόμενων<br />

Η<br />

συστημάτων και συσκευών που αλληλοεπιδρούν<br />

με το φυσικό περιβάλλον (ή διαχειρίζονται<br />

συσκευές που αλληλοεπιδρούν<br />

με το φυσικό περιβάλλον). Αυτά τα συστήματα και συσκευές<br />

εντοπίζουν ή προκαλούν μια άμεση αλλαγή μέσω της παρακολούθησης<br />

ή/και του ελέγχου συσκευών, διαδικασιών και<br />

συμβάντων (πχ συστήματα βιομηχανικού ελέγχου).<br />

Μεγάλο μέρος του σημερινού OT εξελίχθηκε από την εισαγωγή<br />

δυνατοτήτων πληροφορικής στα υπάρχοντα φυσικά<br />

συστήματα, συχνά αντικαθιστώντας ή συμπληρώνοντας μηχανισμούς<br />

φυσικού ελέγχου. Οι βελτιώσεις στο κόστος και<br />

στην απόδοση ενθάρρυναν αυτήν την εξέλιξη και οδήγησαν<br />

σε πολλές από τις σημερινές «έξυπνες» τεχνολογίες. Μέσα<br />

από την εν λόγω εξέλιξη, αυξήθηκε η συνδεσιμότητα και η<br />

κρισιμότητα αυτών των συστημάτων αλλά παράλληλα ενισχύθηκε<br />

η ανάγκη για περισσότερη ευελιξία, ανθεκτικότητα<br />

και ασφάλεια. Οι επιχειρήσεις μπορεί να θελήσουν να ενσωματώσουν<br />

πρακτικές που προέρχονται από το Εθνικό Ινστιτούτο<br />

Προτύπων και Τεχνολογίας (NIST) και το πλαίσιο<br />

M<strong>IT</strong>ER ATT&CK στις διαδικασίες τους για την αξιολόγηση<br />

των κινδύνων για τα συστήματα αποστολής και OT. Επιπλέον,<br />

η φύση των συστημάτων ΟΤ απαιτεί από τους οργανισμούς<br />

να λαμβάνουν υπόψη πρόσθετους παράγοντες που μπορεί<br />

να μην υπάρχουν κατά τη διεξαγωγή αξιολόγησης κινδύνου<br />

για ένα παραδοσιακό σύστημα πληροφορικής.<br />

Ο αντίκτυπος ενός συμβάντος στον κυβερνοχώρο σε περιβάλλον<br />

ΟΤ μπορεί να περιλαμβάνει τόσο φυσικές όσο και ψηφιακές<br />

επιπτώσεις που πρέπει να ενσωματώσουν οι αξιολογήσεις<br />

κινδύνου. Οι επιπτώσεις αυτές μπορεί να σχετίζονται<br />

με την ασφάλεια ή/και τη διαδικασία αξιολόγησης της ασφάλειας,<br />

με φυσικές επιπτώσεις στον κυβερνοχώρο σε ένα ΟΤ<br />

αλλά και συνέπειες που σχετίζονται με τον κίνδυνο του μη<br />

ψηφιακού ελέγχου σε στοιχεία εντός ενός ΟΤ. Η απομόνωση,<br />

η μηδενική εμπιστοσύνη (zero trust), οι σαφώς καθοριζόμενοι<br />

στόχοι για όλα τα στοιχεία που διαμορφώνουν το<br />

περιβάλλον και η ιεράρχηση των επενδύσεων που θα πρέπει<br />

να υλοποιηθούν, οι διαδικασίες και οι δεξιότητες που θα<br />

υποστηρίξουν τη σύγκλιση ΟΤ/ΙΤ είναι ορισμένες από τις βασικές<br />

παραμέτρους που θα μπορέσουν να οδηγήσουν στην<br />

εφαρμογή ενός ολοκληρωμένου σχεδίου διακυβέρνησης.<br />

Το σχέδιο αυτό σε κάθε περίπτωση θα πρέπει να στοχεύει<br />

στην ελαστικότητα με σκοπό την επιχειρηματική συνέχεια,<br />

την κυβερνοασφάλεια, την παραγωγικότητα, την βελτίωση<br />

του κόστους αλλά και τη βελτίωση της διακυβέρνησης συνολικά.<br />

Οι κατασκευαστές OT/IoT όλα αυτά τα χρόνια έχουν<br />

μεριμνήσει σε πολύ μικρό βαθμό για την ασφάλεια των συσκευών<br />

με αποτέλεσμα να γίνονται πολυάριθμες εγκαταστάσεις,<br />

που χωρίς την απαιτούμενη τεχνογνωσία μπορούν να<br />

αποτελέσουν έναν σημαντικό κίνδυνο για τους οργανισμούς.<br />

Η Dataplex αναγνωρίζοντας την κρισιμότητα της ανάπτυξης<br />

των υποδομών με ασφάλεια, ανθεκτικότητα και ευελιξία παρέχει<br />

ολοκληρωμένες λύσεις για παρακολούθηση των<br />

IoT/OT συσκευών, την ολοκληρωμένη προστασία τους, την<br />

εικονική διόρθωση (virtual patching) καθώς και τη λογική<br />

τμηματοποίηση των ΙΤ/ΟΤ.<br />

Οι λύσεις ασφάλειας και υποστήριξης που παρέχουμε είναι<br />

εξατομικευμένες στις ανάγκες των πελατών μας ενώ διαρκώς<br />

αναπτύσσουμε στρατηγικές συνεργασίες με προμηθευτές<br />

που αξιοποιούν αλγόριθμους τεχνικής νοημοσύνης για<br />

την επίτευξη όλων των παραπάνω.<br />

security<br />

45


T<strong>81</strong>09/10.2023<br />

Issue<br />

Bitdefender: Μήνας Cyber<br />

<strong>Security</strong> Awareness<br />

Οδοιπορικό προς την ανθεκτικότητα της ασφάλειας<br />

παγκόσμιος μήνας ευαισθητοποίησης στην<br />

Ο<br />

Κυβερνοασφάλεια, αποτελεί μια υπενθύμιση<br />

για ανασκόπηση των ενεργειών και των<br />

στρατηγικών που έχουμε υιοθετήσει για την<br />

ασφάλεια των ψηφιακών μας δεδομένων, για<br />

την επαναξιολόγηση πολιτικών και επιλογών που σχετίζονται<br />

άμεσα με τη διαχείριση και την προστασία της υποδομής, για<br />

ενημέρωση σχετικά με τις εξελίξεις, αλλά και έρευνα για το<br />

πως μπορούμε να ενισχύσουμε την ανθεκτικότητα. Το 2004,<br />

την πρώτη χρονιά που το DHS (Department of Homeland<br />

<strong>Security</strong>), όρισε μήνα <strong>Security</strong> Awareness τον Οκτώβριο, δεν<br />

μπορούσαν να φανταστούν την ταχύτητα των εξελίξεων αλλά<br />

και της πολυπλοκότητας γύρω από τις τεχνολογίες που σχετίζονται<br />

με τις ΤΠΕ. Εξελίξεις που οδήγησαν σε σημεία σταθμούς,<br />

όπως η μετάβαση στο Cloud και η ένταξη των IOTs/<br />

OTs στην καθημερινή λειτουργία οργανισμών κι επιχειρήσεων.<br />

Σχεδόν 20 χρόνια αργότερα, οι κυριότεροι φορείς στην<br />

ασφάλεια των ψηφιακών δεδομένων, όπως η ENISA και η<br />

CISA δημοσιεύουν πλέον καθημερινά προειδοποιήσεις για<br />

νέες απειλές σε OS, δίκτυα, εφαρμογές, ενώ η πρόσφατη ευρωπαϊκή<br />

οδηγία NIS 2, εντάσσοντας ακόμη περισσότερες<br />

επιχειρήσεις στις αυστηρές προδιαγραφές, επιβεβαιώνει πως<br />

οι συνθήκες στο ψηφιακό γίγνεσθαι, μόνο πιο επικίνδυνες<br />

αναμένονται. Προσεγγίζοντας επιγραμματικά τα κυριότερα<br />

σημεία που μπορούν να ενισχύσουν την ανθεκτικότητα<br />

στην κυβερνοασφάλεια, παρατηρούμε ότι η κουλτούρα των<br />

οργανισμών ως προς το θέμα, είναι ζωτικής σημασίας,<br />

καθώς η ασφάλεια του οργανισμού είναι τόσο δυνατή,<br />

όσο το πιο αδύναμο σημείο της.<br />

Δέσμευση ηγεσίας: Η κουλτούρα του οργανισμού ξεκινά<br />

από την κορυφή. Η ανώτερη ηγεσία θα πρέπει να επιδείξει<br />

ισχυρή δέσμευση για την ασφάλεια στον κυβερνοχώρο με<br />

την κατανομή πόρων, τον καθορισμό πολιτικών και την προώθηση<br />

μιας κουλτούρας ευαισθητοποίησης για την ασφάλεια.<br />

Εκπαίδευση και Κατάρτιση: Η παροχή ολοκληρωμένης<br />

εκπαίδευσης στον κυβερνοχώρο σε όλο το προσωπικό, ανε-<br />

46 security


Σίσσυ Ρουσιά<br />

Business Development Manager,<br />

Bitdefender Greece & Cyprus, www.bitdefender.gr<br />

ξαρτήτως ρόλου, θα πρέπει να καλύπτει τα βασικά στοιχεία<br />

της κυβερνοασφάλειας, τις κοινές απειλές και τις βέλτιστες<br />

πρακτικές για την ασφάλεια.<br />

Προσομοιώσεις phishing και άλλων επιθέσεων<br />

Σαφείς πολιτικές και διαδικασίες: Οι εργαζόμενοι θα πρέπει<br />

να γνωρίζουν πώς να χειρίζονται ευαίσθητα δεδομένα, να<br />

χρησιμοποιούν ασφαλείς κωδικούς πρόσβασης και να αναφέρουν<br />

περιστατικά ασφαλείας.<br />

Εκπαίδευση αντιμετώπισης περιστατικών: Η εκπαίδευση<br />

του προσωπικού σχετικά με το τι πρέπει να κάνουν σε<br />

περίπτωση συμβάντος ασφαλείας ή παραβίασης, μπορεί να<br />

μειώσει δραματικά τον χρόνο απόκρισης, ενισχύοντας την<br />

ανθεκτικότητα.<br />

Συμμετοχή των εργαζομένων: Η ενθάρρυνση του προσωπικού<br />

μπορεί να περιλαμβάνει την αναφορά ύποπτης δραστηριότητας,<br />

την πρόταση βελτιώσεων ασφάλειας κ.α<br />

Επιβράβευση και αναγνώριση: Αναγνωρίστε και επιβραβεύστε<br />

ενεργά κάθε προσπάθεια για την ασφάλεια στον κυβερνοχώρο<br />

ενισχύοντας την επίγνωση και την επαγρύπνηση.<br />

Τακτικές ενημερώσεις: Το τοπίο απειλών εξελίσσεται συνεχώς<br />

και η εκπαίδευση πρέπει να είναι μια συνεχής διαδικασία.<br />

Εργαλεία και τεχνολογία ασφαλείας: Η επιλογή εργαλείων<br />

και τεχνολογιών βάσει των προκαθορισμένων κριτηρίων<br />

του εκάστοτε οργανισμού, με κύριο γνώμονα την ασφάλεια,<br />

όπως λογισμικό προστασίας τερματικών, συστήματα ανίχνευσης<br />

εισβολών , backups κ.α.<br />

Διεξαγωγή ασκήσεων ασφαλείας: Η συχνή διεξαγωγή<br />

security assessments βοηθά στον εντοπισμό περιοχών που<br />

χρειάζονται βελτίωση.<br />

Τρίτοι προμηθευτές: Οι εξωτερικοί συνεργάτες που έχουν<br />

πρόσβαση στα συστήματα ή στο δίκτυο των οργανισμών, θα<br />

πρέπει να αντιμετωπίζονται ως κομμάτι του οργανισμού και<br />

να υπάρχει μέριμνα και για την δική τους ευαισθητοποίηση<br />

στην κυβερνοασφάλεια (πιστοποιήσεις, απαίτηση ασφάλειας<br />

της υποδομής τους, εκπαίδευση των χρηστών τους κ.α.)<br />

Συνεχής βελτίωση: Η τακτική επαναξιολόγηση της αποτελεσματικότητας<br />

όλων των παραπάνω κρίνεται αναγκαία για<br />

την διατήρηση μιας ζωντανής στρατηγικής άμυνας.<br />

Η οικοδόμηση κουλτούρας με επίγνωση στην ασφάλεια,<br />

είναι μια συνεχής διαδικασία που απαιτεί δέσμευση,<br />

πόρους και συνεργασία σε ολόκληρο τον οργανισμό. Τα<br />

τερματικά, αποτελούν το liaison των κυριότερων σημείων<br />

του οργανισμού και η έγκυρη προστασία τους μπορεί να<br />

επικυρώσει την εφαρμογή των πολιτικών και των ακριβών<br />

επενδύσεων της υποδομής. Οτιδήποτε ανταλλάσσει πληροφορία<br />

εντός και εκτός του εταιρικού περιβάλλοντος, καταλήγει<br />

ή περνάει από τα τερματικά. Χρήστες, δίκτυα, emails,<br />

cloud εφαρμογές καταλήγουν στα τερματικά, όπου η ελλιπής<br />

προστασία τους μπορεί να καταρρίψει και το πιο<br />

καλοσχεδιασμένο μοντέλο κυβερνοασφάλειας. Γι’αυτό,<br />

είναι σημαντικό οι οργανισμοί να έχουν αυστηρά κριτήρια<br />

όταν επιλέγουν λύσεις ασφαλείας για τα τερματικά τους, λαμβάνοντας<br />

υπόψη την κάλυψη δύο σημαντικών παραγόντων<br />

του security: το multivendor περιβάλλον και την συμβατότητα<br />

των εργαλείων που ενισχύει την άμεση απόκριση. Η<br />

Bitdefender, Παγκόσμιος Ηγέτης στον τομέα της κυβερνοασφάλειας,<br />

με όραμα ένα ασφαλές περιβάλλον όπου οι<br />

οργανισμοί θα μπορούν να αναπτύσσουν τις δραστηριότητές<br />

τους περιορίζοντας τον κίνδυνο κυβερνοεπιθέσεων, προσφέρει<br />

ολοκληρωμένες λύσεις προστασίας εσωτερικά της περιμέτρου.<br />

Στοχεύοντας τόσο στην πρόληψη και την θωράκιση<br />

όσο και στην άμεση αντιμετώπιση περιστατικών με στόχο<br />

την ανθεκτικότητα, έχει επιστρατεύσει τεχνολογίες αιχμής<br />

σε μια ενιαία πλατφόρμα cloud ή on-premise, και παρέχει<br />

όλες τις λειτουργίες σε 1 μοναδικό agent, συμβατό για κάθε<br />

λειτουργικό (windows,linux,mac,virtual,mobiles). Σε όλες<br />

τις εκδόσεις, προσφέρει αυξημένη ορατότητα με λειτουργίες<br />

όπως το Risk Management που παρέχει ενημέρωση για<br />

misconfigurations, έλλειψη Patches και misbehaviours<br />

των χρηστών, δίνοντας άμεση εικόνα για τις ευπάθειες<br />

της υποδομής. Ενώ στις εκδόσεις Premium και Enterprise,<br />

η αυτοματοποίηση διαδικασιών μεταξύ Endpoint Protection,<br />

Patch Management, Cloud Email <strong>Security</strong>, EDR και XDR, μπορούν<br />

να βελτιώσουν σημαντικά τους χρόνους απόκρισης, περιορίζοντας<br />

τα false positives. Η διευρυμένη ορατότητα από<br />

άκρη σε άκρη, όπου ανταλλάσσεται πληροφορία, βασισμένη<br />

στο μεγαλύτερο Intelligence Network παγκοσμίως,<br />

ενισχύει την αποδοτικότητα των ομάδων ασφαλείας ενώ τα<br />

ενσωματωμένα εργαλεία όπως το Sand Box Analyzer και το<br />

Forensic Analysis προσφέρουν πληροφορίες που βοηθούν<br />

στην λήψη αποφάσεων. Όσα χρειάζονται οι ομάδες ασφαλείας,<br />

αλλά και οι επιχειρήσεις που δεν διαθέτουν πολυμελή ομάδα<br />

<strong>IT</strong>, για την ασφάλεια και την διαχείριση των endpoints, προσφέρονται<br />

σε μια εύχρηστη ενιαία πλατφόρμα, βραβευμένη<br />

από καταξιωμένους φορείς τους κλάδου για την αποτελεσματικότητά<br />

της. Το Gravity Zone, με zero trust πολυεπίπεδη<br />

αρχιτεκτονική και περισσότερους από 30 μηχανισμούς<br />

ασφαλείας, συνεργάζεται με τα περισσότερα αναγνωρισμένα<br />

SIEM και αποτελεί την value for money επιλογή σε περιβάλλοντα<br />

όπου η ασφάλεια είναι σημαντική. Επικοινωνήστε<br />

με την Bitdefender και ενημερωθείτε για την λύση που ταιριάζει<br />

στις δικές σας ανάγκες: Ελλάδα| 215-5353030 | info@<br />

bitdefender.gr | www.bitdefender.gr<br />

security<br />

47


T<strong>81</strong>09/10.2023<br />

Issue<br />

Οι κατασκευαστές λύσεων και πάροχοι<br />

υπηρεσιών κυβερνοασφάλειας<br />

μπροστά σε νέες προκλήσεις<br />

Η αγορά της κυβερνοασφάλειας εξελίσσεται συνεχώς και προσαρμόζεται στις αναδυόμενες<br />

απειλές και τις τεχνολογικές εξελίξεις.<br />

ι κανονισμοί περί απορρήτου δεδομένων και<br />

Ο<br />

συμμόρφωσης δίνουν έμφαση στην προστασία<br />

ευαίσθητων πληροφοριών. Η ασφάλεια<br />

στο σύννεφο (cloud) έχει γίνει ζωτικής σημασίας<br />

καθώς περισσότεροι οργανισμοί υιοθετούν<br />

σχετικές υποδομές. Η τεχνητή νοημοσύνη και η μηχανική<br />

μάθηση χρησιμοποιούνται για τη βελτίωση των δυνατοτήτων<br />

ανίχνευσης και απόκρισης απειλών. Η ασφάλεια των<br />

συσκευών Internet of Things (IoT) είναι μια αυξανόμενη<br />

ανησυχία. Η αρχιτεκτονική Μηδενικής Εμπιστοσύνης (Zero<br />

Trust) αντικαθιστά τα παραδοσιακά μοντέλα ασφαλείας που<br />

βασίζονται σε περιμετρικά. Η ασφάλεια των κινητών είναι<br />

σημαντική λόγω της ευρείας χρήσης smartphone και tablet.<br />

Ταυτόχρονα, οι λύσεις Threat Intelligence και Analytics<br />

βοηθούν τους οργανισμούς να εντοπίζουν και να ανταποκρίνονται<br />

τάχιστα σε απειλές. Οι Διαχειριζόμενες Υπηρεσίες<br />

Ασφαλείας (Managed <strong>Security</strong> Services) κερδίζουν δημο-<br />

τικότητα καθώς οι επιχειρήσεις αναθέτουν σε εξωτερικούς<br />

συνεργάτες τις λειτουργίες τους στον κυβερνοχώρο. Τα προγράμματα<br />

εκπαίδευσης και ευαισθητοποίησης των χρηστών<br />

στοχεύουν στον μετριασμό των ανθρώπινων σφαλμάτων. Η<br />

ενσωμάτωση και η ενορχήστρωση λύσεων κυβερνοασφάλειας<br />

καθίστανται ουσιαστικές για την αποτελεσματικότητα των<br />

λύσεων αυτών. Η παρακολούθηση αυτών των τάσεων και η<br />

επένδυση στις σωστές στρατηγικές και τεχνολογίες κυβερνοασφάλειας<br />

είναι ζωτικής σημασίας για τους οργανισμούς<br />

να προστατεύουν τα συστήματα και τα δεδομένα τους από<br />

τις εξελισσόμενες απειλές. Αυτές οι τάσεις, ωστόσο, δεν είναι<br />

ο μόνος τομέας στον οποίο θα πρέπει να επικεντρωθούν οι<br />

προμηθευτές και οι πάροχοι υπηρεσιών κυβερνοασφάλειας<br />

για το μέλλον. Μια άλλη τάση που θα πρέπει να βάλουν στο<br />

ραντάρ τους, είναι η ίδια η εξέλιξη / εξαφάνιση της διάκρισης<br />

μεταξύ Προϊόντος και Υπηρεσιών Ασφάλειας<br />

Κυβερνοχώρου.<br />

48 security


Παναγιώτης Καλαντζής<br />

Cyber <strong>Security</strong> & Data Privacy Expert<br />

Εξέλιξη προϊόντων και υπηρεσιών ασφάλειας<br />

στον κυβερνοχώρο<br />

Η διάκριση μεταξύ προϊόντων και υπηρεσιών κυβερνοασφάλειας<br />

γίνεται όλο και πιο θολή. Καθώς προχωράμε στο μέλλον,<br />

η εκτίμηση είναι ότι αυτή η διάκριση θα εξαφανιστεί τελικά<br />

εντελώς. Οι πάροχοι υπηρεσιών έχουν ξεκινήσει και αναπτύσσουν<br />

προϊόντα κυβερνοασφάλειας για να ενισχύσουν την ικανότητά<br />

τους να εξυπηρετούν αποτελεσματικά μια μεγαλύτερη<br />

πελατειακή βάση, να βελτιώνουν την κερδοφορία και να καθιερωθούν<br />

ως πάροχοι προϊόντων και υπηρεσιών. Αυτή η<br />

στρατηγική κίνηση τους καθιστά πιο ελκυστικούς για πιθανούς<br />

επενδυτές και ενισχύει τα μελλοντικά περιθώρια κέρδους. Εν<br />

τω μεταξύ, οι πελάτες / οργανισμοί δεν ενδιαφέρονται πια,<br />

ως επί το πλείστων, στην αγορά απλώς ενός προϊόντος ή μιας<br />

υπηρεσίας. Αναζητούν το επιθυμητό αποτέλεσμα, την βέλτιστη<br />

λύση στους προβληματισμούς τους για την αποδοτική<br />

προστασία των δεδομένων, των πληροφοριακών πόρων, και<br />

εν τέλει του ίδιου του οργανισμού.<br />

Πως θα πρέπει να αντιδράσουν οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών<br />

Για να ακολουθήσει την τάση της ασαφούς διακριτικής γραμμής<br />

μεταξύ προϊόντων και υπηρεσιών κυβερνοασφάλειας,<br />

ένας Κατασκευαστής Λύσεων ή εταιρεία Παροχής Υπηρεσιών<br />

θα πρέπει να εξετάσει τις ακόλουθες ενέργειες:<br />

• Προσαρμογή επιχειρηματικού μοντέλου: Οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει<br />

να αξιολογήσουν το τρέχον επιχειρηματικό μοντέλο<br />

τους και να διερευνήσουν τρόπους για να ενσωματώσουν<br />

προσφορές υπηρεσιών και προϊόντων. Αυτό μπορεί<br />

να περιλαμβάνει την ανάπτυξη συμπληρωματικών<br />

υπηρεσιών για την ενίσχυση της αξίας των υπαρχόντων<br />

προϊόντων ή τη δημιουργία δεσμών προϊόντων-υπηρεσιών<br />

που καλύπτουν τις ανάγκες των πελατών.<br />

• Έμφαση στις ανάγκες των πελατών: Αντί να εστιάζουν<br />

αποκλειστικά στην πώληση προϊόντων ή υπηρεσιών,<br />

οι Κατασκευαστές Λύσεων και οι Πάροχοι<br />

Υπηρεσιών θα πρέπει να δώσουν προτεραιότητα στην<br />

κατανόηση των αναγκών των πελατών και στην παροχή<br />

επιθυμητών αποτελεσμάτων και να προσαρμόσουν<br />

τις προσφορές για να αντιμετωπίσουν συγκεκριμένα<br />

προβλήματα και να παρέχουν ολοκληρωμένες λύσεις<br />

που υπερβαίνουν ένα μεμονωμένο προϊόν ή υπηρεσία.<br />

• Επένδυση στην έρευνα & ανάπτυξη: Οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει<br />

να διαθέσουν πόρους σε πρωτοβουλίες έρευνας και<br />

ανάπτυξης που θα τους επιτρέπουν να καινοτομήσουν<br />

και να εισάγουν νέα προϊόντα και υπηρεσίες. Θα πρέπει<br />

επίσης να διερευνήσουν ευκαιρίες για ενσωμάτωση<br />

τεχνολογίας, αυτοματισμού και τεχνητής νοημοσύνης<br />

για να βελτιώσουν τις προσφορές τους τόσο σε επίπεδο<br />

προσέγγισης, όσο και αποτελέσματος.<br />

• Δημιουργία στρατηγικών συνεργασιών: Οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών θα<br />

πρέπει να βάλουν στο τραπέζι πιθανές συνεργασίες<br />

με άλλες εταιρείες, τόσο εντός όσο και εκτός του κλάδου<br />

της κυβερνοασφάλειας, για να αξιοποιήσουν συμπληρωματικά<br />

πλεονεκτήματα.<br />

• Βελτίωση της επεκτασιμότητας: Οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει να αναπτύξουν<br />

επεκτάσιμες λύσεις με δυνατότητες φιλοξενίας<br />

μιας αυξανόμενης πελατειακής βάσης χωρίς να<br />

θυσιάζεται η ποιότητα του παρεχόμενου προϊόντος ή<br />

υπηρεσίας. • Εστίαση στην εμπειρία του πελάτη: Η<br />

προτεραιότητα στην παροχή εξαιρετικών εμπειριών<br />

πελατών σε ολόκληρο τον κύκλο ζωής του προϊόντος<br />

ή της υπηρεσίας, προσφέροντας παράλληλα εξατομικευμένη<br />

υποστήριξη, προληπτική παρακολούθηση<br />

και συνεχή βελτίωση για την ενίσχυση των μακροπρόθεσμων<br />

σχέσεων με τους πελάτες θα πρέπει να<br />

είναι ο νέος τρόπος λειτουργίας.<br />

• Διαρκής ενημέρωση και ευελιξία: Οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει να<br />

συμβαδίζουν με τις εξελισσόμενες τάσεις, τις αναδυόμενες<br />

τεχνολογίες και τις μεταβαλλόμενες απαιτήσεις<br />

των πελατών, να προσαρμόζονται γρήγορα στις αλλαγές<br />

της αγοράς και να κάνουν τις απαραίτητες προσαρμογές<br />

στις προσφορές και τις στρατηγικές για να<br />

παραμείνουν ανταγωνιστικοί.<br />

• Ελκυστικότητα για επενδυτές: Οι Κατασκευαστές<br />

Λύσεων και οι Πάροχοι Υπηρεσιών θα πρέπει να επιδεικνύουν<br />

την ικανότητα παροχής τόσο καινοτόμων<br />

προϊόντων όσο και υπηρεσιών υψηλής αξίας για την<br />

προσέλκυση επενδυτών, τονίζοντας τη δυνατότητα<br />

αύξησης εσόδων, επεκτασιμότητας και διαφοροποίησης<br />

της αγοράς για αύξηση του πιθανού επενδυτικού<br />

ενδιαφέροντος.<br />

Υιοθετώντας τις παραπάνω προσεγγίσεις, ένας Κατασκευαστές<br />

Λύσεων ή και Πάροχος Υπηρεσιών κυβερνοασφάλειας<br />

μπορεί να ευθυγραμμιστεί με το εξελισσόμενο τοπίο των<br />

απειλών και της τεχνολογίας, και να τοποθετηθεί με επιτυχία<br />

στην αγορά, ανταποκρινόμενος με την μέγιστη πιθανή<br />

επιτυχία στις προσδοκίες και ανάγκες των σύγχρονων οργανισμών/πελατών.<br />

security<br />

49


T<strong>81</strong>09/10.2023<br />

Issue<br />

Διακοπές, βιβλία και τεχνολογία<br />

Ένας συνδυασμός που ανοίγει τον δρόμο για<br />

συναρπαστικές συζητήσεις.<br />

αθώς το καλοκαίρι που πέρασε ο χρόνος<br />

Κ<br />

επέτρεπε λίγη ανάπαυση, βρήκα την ευκαιρία<br />

να επιστρέψω στον κόσμο της ανάγνωσης.<br />

Είναι αρκετά συνηθισμένο να βρίσκουμε<br />

την ψυχαγωγία μας στην τεχνολογία και<br />

τις οθόνες μας, αλλά φέτος, αποφάσισα να την αναζητήσω<br />

στον ήχο του ξεφυλλίσματος και στη μυρωδιά των σελίδων<br />

των βιβλίων που ευωδίαζαν σχεδόν σαν καινούρια.<br />

Το «καταφύγιο» της βιβλιοθήκης μου για πάνω από δύο<br />

δεκαετίες, επιτέλους, απέκτησε ζωή. Δύο αξιόλογα βιβλία,<br />

που κείτονταν στα ράφια με υπομονή, είχαν την ευκαιρία<br />

να βγουν από τις σελίδες τους και να «κοινωνήσουν» τις<br />

σκέψεις και τις ιδέες τους μαζί μου. Τα βιβλία αυτά, με τους<br />

τίτλους «Τι Δεν Μπορούν Ακόμη να Κάνουν οι Υπολογιστές»<br />

και «Does <strong>IT</strong> Matter», μεταφέρουν τις απόψεις<br />

δύο σημαντικών συγγραφέων, του Hubert L. Dreyfus και<br />

του Nicholas Carr αντίστοιχα,<br />

σχετικά με την τεχνολογία<br />

και την τεχνητή νοημοσύνη.<br />

Όταν άνοιξα τις σελίδες<br />

αυτών των βιβλίων, αισθάνθηκα<br />

σαν να άνοιγα ένα<br />

παράθυρο προς το παρελθόν<br />

και το μέλλον της τεχνολογίας.<br />

Είναι συναρπαστικό να<br />

βλέπουμε πώς οι υπολογιστές<br />

και η τεχνητή νοημοσύνη<br />

«αλληλεπιδρούν» με<br />

την καθημερινότητά μας και<br />

παράλληλα, πόσο μακριά είμαστε<br />

ακόμα από την πλήρη<br />

αξιοποίηση της δυναμικής<br />

τους. Η παγκόσμια εξέλιξη<br />

της τεχνολογίας έχει<br />

οδηγήσει σε εντυπωσιακές<br />

και πολυδιάστατες εξελίξεις<br />

στον τομέα της πληροφορικής.<br />

Οι υπολογιστές<br />

έχουν γίνει αναπόσπαστο κομμάτι της καθημερινότητάς μας,<br />

καλύπτοντας μια ευρεία γκάμα εργασιών.<br />

Παρόλα αυτά, ακόμα και με την ανεπανάληπτη πρόοδο που<br />

έχει σημειωθεί, υπάρχουν πολλά πεδία όπου οι υπολογιστές<br />

αντιμετωπίζουν προκλήσεις και περιορισμούς. Το βιβλίο<br />

«Τι Δεν Μπορούν Ακόμη να Κάνουν οι Υπολογιστές» του<br />

Dreyfus, αποτελεί εκκίνηση για να εξετάσουμε τα όρια της<br />

τεχνολογίας, τη δύναμη της τεχνητής νοημοσύνης και τους<br />

πιθανούς κινδύνους που ενδέχεται να συνοδεύουν τη χρήση<br />

της. Το βιβλίο προσεγγίζει το θέμα της τεχνητής νοημοσύνης<br />

με κριτικό μάτι, αναδεικνύοντας τους περιορισμούς που παραμένουν<br />

στον τομέα αυτό.<br />

Παρόλο που η τεχνολογία έχει επιτύχει απίστευτα αποτελέσματα,<br />

η αναγνώριση συναισθημάτων, η κατανόηση του ανθρώπινου<br />

περιβάλλοντος και η δημιουργικότητα παραμένουν<br />

προκλήσεις. Οι υπολογιστές μπορεί να αναγνωρίζουν<br />

50 security


Του Σταμάτη Πασσά<br />

itSMF Hellas Vice-Chair<br />

πρότυπα, αλλά δυσκολεύονται να ερμηνεύσουν τον βαθύ<br />

νοήμονα τρόπο με τον οποίο λειτουργεί ο ανθρώπινος νους.<br />

Αν και, πριν περίπου μισό σχεδόν αιώνα, ο πρωτοπόρος της<br />

επιστήμης Η/Υ Άλαν Τούρινγκ διατύπωσε την άποψη ότι ένας<br />

ψηφιακός υπολογιστής υψηλής ταχύτητας, προγραμματισμένος<br />

με κανόνες και γεγονότα, θα μπορούσε να επιδείξει νοήμονα<br />

συμπεριφορά. Μετά από χρόνια προσπαθειών, η απόπειρα<br />

να παραχθεί γενική νοημοσύνη έχει αποτύχει;<br />

Η δύναμη της τεχνητής νοημοσύνης είναι παραδόξως<br />

ισχυρή. Αλγόριθμοι μηχανικής μάθησης και νευρωνικά δίκτυα<br />

έχουν επιτύχει απίστευτες επιδόσεις σε εργασίες όπως<br />

η αναγνώριση προτύπων, η φωνητική αναγνώριση και η αυτόνομη<br />

πλοήγηση. Οι εξελίξεις αυτές έχουν αναπτύξει νέες<br />

δυνατότητες στον τομέα της ιατρικής διάγνωσης, της ρομποτικής<br />

και της αυτοματοποίησης εν γένει. Ωστόσο, παρά την<br />

ανεξάντλητη προοπτική, υπάρχει και μια σκοτεινή πλευρά.<br />

Οι μελλοντικοί κίνδυνοι που συνοδεύουν την χρήση της τεχνητής<br />

νοημοσύνης δεν μπορούν να αγνοηθούν. Η αυξανόμενη<br />

εξάρτηση από την τεχνολογία μπορεί να οδηγήσει στην<br />

απώλεια θέσεων εργασίας και σε ανισότητες. Η ιδιωτικότητα<br />

τίθεται σε κίνδυνο με τη συλλογή και αξιοποίηση μεγάλου<br />

όγκου δεδομένων. Οι αποφάσεις που λαμβάνονται από<br />

τους αλγορίθμους μπορούν να είναι αόριστες και δυσνόητες,<br />

επηρεάζοντας την ανθρώπινη ζωή χωρίς την αναγκαία<br />

διαφάνεια και εποπτεία.<br />

Ο Nicholas Carr, μέσα από το βιβλίο του «Does <strong>IT</strong> Matter»,<br />

ρίχνει φως σε έναν άλλον τομέα της τεχνολογίας. Εστιάζει στο<br />

πώς η τεχνολογία πληροφορικής μπορεί να αποτελέσει<br />

μέσο για την επίτευξη ανταγωνιστικού πλεονεκτήματος,<br />

τονίζοντας ότι οι εταιρείες χρειάζεται να επικεντρωθούν<br />

στη διαχείριση των πόρων τους και στην αξιοποίηση της τεχνολογίας<br />

για την υποστήριξη των στρατηγικών στόχων<br />

τους. Αναδεικνύει όμως και τον κίνδυνο της υπερβολικής<br />

εξάρτησης από την τεχνολογία, καθώς η προοδευτική ανάπτυξη<br />

μπορεί να κρύβει και απρόβλεπτες αρνητικές επιπτώσεις.<br />

Με άλλα λόγια, η τεχνολογία μπορεί να δημιουργήσει<br />

προβλήματα, όταν υπερβαίνει τα όρια της πρακτικής χρησιμότητας,<br />

ακόμα και όταν υπερτονίζεται η αυτοματοποίηση σε<br />

κάθε πτυχή της ζωής μας.<br />

Σε κάθε περίπτωση, η εξέλιξη της τεχνολογίας και της<br />

τεχνητής νοημοσύνης είναι αναπόφευκτη. Η ραγδαία<br />

εξέλιξη και υιοθέτηση εργαλείων τεχνητής νοημοσύνης, φάνηκε<br />

φερειπείν από την χρήση της πλατφόρμας ChatGPT το<br />

τελευταίο χρονικό διάστημα. Χρειάστηκαν όντως μόλις πέντε<br />

ημέρες, για να ξεπεράσουν τους 1 εκατομμύριο οι χρήστες<br />

της πλατφόρμας, σε αντιπαραβολή με γνωστές social media<br />

πλατφόρμες βλ. Twitter (εφεξής X), όπου γνώρισε την ίδια<br />

επισκεψιμότητα στην πρόσβασή της σε δύο χρόνια! Ο κατά τα<br />

λεγόμενα «παππούς» της τεχνητής νοημοσύνης Alan Hinton<br />

που πρόσφατα αποχώρησε από την Google που εργαζόταν,<br />

ανέφερε ότι είναι σημαντικό να προσεγγίσουμε την τεχνολογία<br />

με σύνεση και να αντιμετωπίσουμε τους πιθανούς κινδύνους<br />

με προοπτική, προκειμένου να διασφαλίσουμε μια<br />

ισορροπημένη εξέλιξη προς το καλό της ανθρωπότητας. Με<br />

φειδώ, προσοχή και έλεγχο (ηθική της ΑΙ), προτού ανοιχτούμε<br />

στον «ωκεανό» της τεχνητής νοημοσύνης.<br />

Η κριτική προσέγγιση, όπως αυτή που προτείνει το βιβλίο<br />

του Dreyfus και οι σκέψεις του Carr μπορεί να μας βοηθήσει<br />

να αντιμετωπίσουμε αυτές τις προκλήσεις και να διαμορφώσουμε<br />

ένα μέλλον που εκμεταλλεύεται την τεχνολογία<br />

με ενδυνάμωση και σοφία. Φυσικά, όπως σε όλα τα<br />

πράγματα σημαντικό ρόλο διαδραματίζει και η ενημέρωση,<br />

αυτή κυρίως μέσω της εκπαίδευσης, σε όλες τις βαθμίδες<br />

της (πρωτοβάθμια/δευτεροβάθμια/τριτοβάθμια κτλ) και σε<br />

όλες της μορφές της (δημόσια/ιδιωτική). Υπάρχουν χώρες<br />

που έχουν ήδη εκκινήσει σε εθνικό επίπεδο μια μακροχρόνια<br />

προσπάθεια δημιουργώντας στρατηγική (aka National AI<br />

Strategy) που στοχεύει να παράσχει μια κατεύθυνση υψηλού<br />

επιπέδου για την ανάπτυξη, την υιοθέτηση και την εφαρμογή<br />

της τεχνητής νοημοσύνης.<br />

Καθώς σημειώνω τις τελευταίες σκέψεις μου για τη σημασία<br />

της τεχνολογίας στη ζωή μας, παραφράζοντας ένα απόφθεγμα<br />

του Steve Jobs που με έχει εντυπωσιάσει, νιώθω ότι:<br />

«Οι υπολογιστές είναι σαν τα ποδήλατα για τον νου μας - μας<br />

βοηθούν να προχωράμε, αλλά είναι οι ιδέες μας που καθοδηγούν<br />

τη διαδρομή». Αυτό το απόφθεγμα εκφράζει τη βαθιά<br />

σύνδεση μεταξύ της ανθρώπινης δημιουργικότητας και<br />

της τεχνολογίας. Και με αυτό το απόφθεγμα, συνειδητοποιώ<br />

πόσο σημαντικό είναι να συνεχίσουμε να ονειρευόμαστε, να<br />

δημιουργούμε και να καινοτομούμε.<br />

Μετά από κάποια χρόνια, περισσότερα από είκοσι, ή ακόμα<br />

και πιο σύντομα, ένα βιβλίο με τον τίτλο «Does AI Matter»<br />

ίσως να κοσμεί τη βιβλιοθήκη μου. Ποιος ξέρει; Το ερώτημα<br />

«Does AI Matter» αποκτά διαστάσεις σε αυτήν τη νέα εποχή<br />

τεχνητής νοημοσύνης. Αναρωτιέμαι ποιος θα είναι ο ρόλος<br />

της στην καθημερινή μας ζωή, στις επιχειρήσεις και<br />

στην κοινωνία γενικότερα. Μήπως, όπως η τεχνολογία<br />

της πληροφορικής, και η τεχνολογία της τεχνητής νοημοσύνης<br />

θα γίνει ένα απλό εργαλείο;<br />

Ή ίσως θα διαμορφώσει τον τρόπο που σκεφτόμαστε, εργαζόμαστε<br />

και ζούμε, όπως έκανε και η προηγούμενη τεχνολογία;<br />

Και οι απαντήσεις σε αυτά τα ερωτήματα, όπως<br />

και με κάθε νέα τεχνολογική επανάσταση, εξαρτώνται από<br />

εμάς τους ίδιους.<br />

security<br />

51

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!