IT Professional Security - ΤΕΥΧΟΣ 82
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
www.itsecuritypro.gr 11/12.2023 • Τεύχος <strong>82</strong> • Τιμή 5€<br />
Προστατεύοντας την<br />
Εφοδιαστική Αλυσίδα<br />
● The State of<br />
Cybersecurity 2023<br />
by Pylones Hellas<br />
● NIS 2 & Cyber <strong>Security</strong><br />
Compliance Framework<br />
● Δυναμική διαχείριση<br />
κινδύνου με ΤΝ
Ακολουθήστε Online το <strong>Security</strong> Manager<br />
Νέα της Αγοράς<br />
Αναφορές<br />
Εξελίξεις<br />
Αναλύσεις<br />
Απόψεις<br />
Ρεπορτάζ<br />
Λύσεις<br />
Case Studies<br />
Συνεντεύξεις<br />
Παρουσιάσεις<br />
www.securitymanager.gr<br />
✓ ∆είτε Ψηφιακά τα Τεύχη του Περιοδικού<br />
✓ Εγγραφείτε στο Newsletter<br />
✓ ∆ιαβάστε πλούσιο και αποκλειστικό περιεχόµενο<br />
Management Υπηρεσίες Εκπαίδευση Τεχνολογία Αγορά<br />
Video Surveillance Intrusion Alarm Access Control<br />
Fire Safety Smart Home Drones<br />
facebook.com/SecManagerGr<br />
linkedin.com/company/security-manager-mag<br />
Το Σηµείο Αναφοράς και στην Ηλεκτρονική Ενηµέρωση για την Ασφάλεια
T<strong>82</strong>11/12.2023<br />
Editorial<br />
Ορίζοντες Κυβερνοασφάλειας 2024 -<br />
Εξέλιξη και Προοπτικές<br />
Η κυβερνοασφάλεια όχι απλά θα παραμένει μια κρίσιμη<br />
πτυχή της ψηφιακής εποχής και το 2024, αλλά “υπόσχεται”<br />
πολλές και σημαντικές εξελίξεις και προκλήσεις.<br />
Αν θέλαμε συνοπτικά να αναδείξουμε τις κορυφαίες τάσεις,<br />
σχετικά με το τοπίο των απειλών το 2024, θα πρέπει σίγουρα<br />
να αναφέρουμε ότι οι κυβερνοεπιθέσεις θα συνεχίσουν<br />
να γίνονται ολοένα και πιο πολύπλοκές με την ενσωμάτωση<br />
εργαλείων τεχνητής νοημοσύνης, καθιστώντας τις πιο εξελιγμένες<br />
και δύσκολες στον εντοπισμό τους. Οι πωλήσεις<br />
εργαλείων ΤΝ για Spear Phishing θα αυξηθούν στο Dark<br />
Web επιτρέποντας ακόμη και τη μίμηση συγκεκριμένων ατόμων.<br />
Οι επιτιθέμενοι μπορούν να επινοήσουν δημιουργικές<br />
μεθόδους αυτοματισμού συλλέγοντας διαδικτυακά δεδομένα<br />
και τροφοδοτώντας τα σε LLM για να δημιουργήσουν<br />
γράμματα στο στυλ ενός ατόμου που συνδέεται με το θύμα.<br />
Επίσης και το Vishing που βασίζεται σε Τεχνητή Νοημοσύνη<br />
αναμένεται να παρουσιάζει πολύ μεγάλη άνοδο, όπως<br />
επίσης και οι επιθέσεις σε δίκτυα και συσκευές IoT.<br />
Σε ότι αφορά τους στόχους, οι κυβερνοεπιθέσεις που χρηματοδοτούνται<br />
από κράτη για να πλήξουν κρίσιμες υποδομές<br />
άλλων κρατών θα αυξηθούν το επόμενο έτος εν<br />
μέσω αυξανόμενων γεωπολιτικών εντάσεων. Οι κίνδυνοι<br />
στην εφοδιαστική αλυσίδα είναι σίγουρο ότι θα αυξηθούν,<br />
στοχεύοντας μικρότερες επιχειρήσεις με σκοπό να παραβιάσουν<br />
τις πιο σημαντικές με κίνητρο το οικονομικό κέρδος<br />
φυσικά, έως την κατασκοπία. Για αυτό και σε αυτό τεύχος<br />
επιλέξαμε ως βασικό θέμα την προστασία της εφοδιαστικής<br />
αλυσίδα όπου μπορείτε να διαβάσετε μια σειρά από αναλύσεις<br />
και άρθρα που καλύπτουν κάθε πτυχή του πολύ σοβαρού<br />
αυτού ζητήματος.<br />
Σε ότι αφορά τις προσπάθειες αντιμετώπισης των κινδύνων<br />
στο κυβερνοχώρο και με δεδομένα τη συνεχιζόμενη έλλειψη<br />
δεξιοτήτων στον κυβερνοχώρο και τις ανοιχτές θέσεις<br />
για επαγγελματίες στο τομέα της ψηφιακής ασφάλεια να<br />
ξεπερνούν τα 3 εκατομμύρια παγκοσμίως, η ανάγκη για<br />
MSPs και αυτοματοποιημένες πλατφόρμες προστασίας θα<br />
είναι επιτακτική για την αντιμετώπιση του εξελισσόμενου τοπίου<br />
των απειλών.<br />
Αναμφισβήτητα το κορυφαίο γεγονός του 2024 θα είναι η<br />
εφαρμογή της οδηγίας NIS2. Προκειμένου οι επιχειρήσεις<br />
να συμμορφωθούν με την οδηγία θα πρέπει να εφαρμόσουν<br />
μια σειρά τεχνικών & οργανωτικών μέτρων<br />
για την πρόληψη, ανίχνευση, ανταπόκριση και ανάκαμψη<br />
από περιστατικά ασφαλείας κάτι που θα επιφέρει ενίσχυση<br />
των επενδύσεων στην κυβερνοασφάλεια. Παράλληλα μέσα<br />
στο 2024 η ίδρυση της «Εθνικής Αρχής Κυβερνοασφάλειας»<br />
που θα εποπτεύεται από τον Υπουργό Ψηφιακής<br />
Διακυβέρνησης θα αποτελέσει την ενιαία και λειτουργική<br />
δομή στη χώρα μας που θα αναλάβει το σχεδιασμό και την<br />
υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας σε<br />
συνεργασία με άλλες αρμόδιες αρχές.<br />
Βλάσης Αμανατίδης<br />
Εκδότης<br />
Κώστας Νόστης<br />
Αρχισυντάκτης<br />
Βλάσης Αμανατίδης<br />
v.amanatidis@smartpress.gr<br />
Διεύθυνση Επικοινωνίας<br />
& Marketing<br />
Ειρήνη Νόστη<br />
Yπεύθυνος Διαφήμισης<br />
Γιώργος Ιωσηφέλης<br />
Συνεργάτες<br />
Νότης Ηλιόπουλος<br />
Παναγιώτης Καλαντζής<br />
Αριστοτέλης Λυμπερόπουλος<br />
Δημήτρης Σκιάννης<br />
Χρήστος Κοτσακάς<br />
Υπεύθυνη Παραγωγής<br />
Ελένη Καπιτσάκη<br />
DTP<br />
Νίκος Χαλκιαδάκης<br />
Υπεύθυνος Ηλεκτρονικών Μέσων<br />
Δημήτρης Θωμαδάκης<br />
Υπεύθυνη Συνεδρίων<br />
Αγγελική Νόστη<br />
Φωτογραφίες<br />
GENESIS 360<br />
Γραμματεία Εμπορικού<br />
Έλλη Μαστρομανώλη<br />
Λογιστήριο<br />
Ανδρέας Λουλάκης<br />
Τμήμα συνδρομών<br />
support@securitymanager.gr<br />
Consulting by<br />
SPEG Co<br />
τηλ.: 210 5238777,<br />
www.speg.gr, info@speg.gr<br />
Ιδιοκτήτης<br />
Smart Press<br />
Μάγερ 11, 10438, Αθήνα<br />
Τηλ.: 210 5201500, 210 5230000,<br />
www.smartpress.gr<br />
www.itsecuritypro.gr<br />
www.securitymanager.gr<br />
email επικοινωνίας:<br />
info@securitymanager.gr<br />
support@securitymanager.gr<br />
ΚΩΔΙΚΟΣ 01-<strong>82</strong>67<br />
2 security
Cybersecurity<br />
Center<br />
<strong>Security</strong> is embedded in Space Hellas DNA<br />
n<br />
n<br />
n<br />
n<br />
Holistic Cybersecurity approach<br />
Managed & <strong>Professional</strong> Services<br />
Red & Blue Team approach<br />
35 years of excellence & know-how<br />
www.space.gr<br />
security<br />
3
T<strong>82</strong>11/12.2023<br />
Contents<br />
18<br />
22<br />
46<br />
50<br />
52<br />
56<br />
2 | editorial<br />
6 News<br />
Research<br />
18 | Πανελλαδική έρευνα: The State<br />
of Cybersecurity 2023 by Pylones<br />
Hellas<br />
Law<br />
22 | Πως επηρεάζει η νομοθεσία<br />
για τα προσωπικά δεδομένα τις<br />
σχέσεις μιας επιχείρησης με τους<br />
συνεργάτες - υπεργολάβους<br />
Cover issue<br />
24 | Προστατεύοντας την Εφοδιαστική<br />
Αλυσίδα<br />
Issue<br />
36 | Χτίζοντας το οχυρό: οι<br />
συνεργάτες έξω από την πύλη!<br />
38 | Ανάπτυξη της Κυβερνοασφάλειας<br />
στην Εφοδιαστική Αλυσίδα-<br />
Πως η NIS2 Διασφαλίζει την<br />
Ασφάλεια των Κρίσιμων Τομέων;<br />
40 | Ψηφιακή Ασφάλεια στην<br />
Εφοδιαστική Αλυσίδα<br />
44 | Πώς να εντοπίσετε, να μειώσετε<br />
και να αποτρέψετε τους<br />
κινδύνους της εφοδιαστικής<br />
αλυσίδας<br />
46 | Οι Κυβερνοκίνδυνοι που<br />
απειλούν την Εφοδιαστική<br />
Αλυσίδα και ο ρόλος της<br />
ασφάλισης Cyber Insurance<br />
48 | Bitdefender: Η Εφοδιαστική<br />
Αλυσίδα είναι ένας στόχος<br />
δισεκατομμυρίων<br />
50 | Δυναμική διαχείριση κινδύνου με<br />
τη βοήθεια τεχνητής νοημοσύνης<br />
για έλεγχο πρόσβασης σε<br />
Αρχιτεκτονικές Μηδενικής<br />
Εμπιστοσύνης<br />
52 | NIS 2 & Cyber <strong>Security</strong> Compliance<br />
Framework<br />
56 | TeamViewer Tensor: 6 λόγοι για να<br />
το επιλέξετε<br />
Business <strong>IT</strong><br />
4 security
T<strong>82</strong>11/12.2023<br />
News<br />
H All Star Team της παγκόσμιας κοινότητας του ISACA στο ετήσιο<br />
συνέδριο του Athens Chapter<br />
Το ISACA Athens Chapter διοργάνωσε με μεγάλη επιτυχία<br />
το ετήσιο συνέδριο του στις 25 Οκτωβρίου 2023, με θέμα<br />
«Back to digital life, back to virtual reality». Το συνέδριο<br />
πραγματοποιήθηκε με φυσική παρουσία 350 συμμετεχόντων<br />
στην αίθουσα Φάρος του Ιδρύματος Σταύρος Νιάρχος<br />
και μεταδόθηκε διαδικτυακά με συμμετοχή περισσότερων<br />
από 500 θεατών από 180 χώρες. Το συνέδριο απευθύνθηκε<br />
σε επαγγελματίες της ασφάλειας στον κυβερνοχώρο, του <strong>IT</strong><br />
auditing και Assurance, των αναδυόμενων τεχνολογιών καθώς<br />
και σε στελέχη επιχειρήσεων και οργανισμών που ενδιαφέρονται<br />
για την ασφάλεια στον ψηφιακό κόσμο και την εγκαθίδρυση<br />
της ψηφιακής εμπιστοσύνης.<br />
Οι παρουσιάσεις που έλαβαν χώρα έγιναν από τους κορυφαίους<br />
επαγγελματίες του ISACA από το εξωτερικό. Μαζί μας στο<br />
All Star Team («ISACA Legends») ήταν τρία μέλη του ISACA<br />
Hall of Fame (Allan Boardman, Tichaona Zororo και<br />
Arnulfo Dominguez). Επιπλέον, ενθουσίασαν το κοινό με<br />
τις παρουσιάσεις τους οι Ramses Gallego, Mark Thomas,<br />
Bruno Horta Soares, Sanja Kekic, Bjorn Watne, Uros<br />
Zust και Rolf Von Roessing. Κεντρικός παρουσιαστής ήταν<br />
ο Roger Gallego, αδελφός του Ramses, που απέδειξε ότι δύο<br />
Gallegos είναι πάντα καλύτεροι από έναν!<br />
Σημαντικές ομιλίες ήταν των Χρήστου Δημητριάδη, ISACA<br />
Chief Global Strategy Officer και του Αθανάσιου Κοσμόπουλου,<br />
Data Protection Officer του Υπουργείου Ψηφιακής<br />
Διακυβέρνησης.<br />
Το συνέδριο άνοιξε ο Πρόεδρος του Athens Chapter Νικος<br />
Δράκος και ο CEO του ISACA International Erik Prusch. O<br />
τελευταίος ανέφερε ότι συνέδρια τέτοιου επιπέδου αποδεικνύουν<br />
γιατί το ISACA Athens Chapter είναι πρωτοπόρο<br />
στον ISACA παγκοσμίως. Οι χορηγοί του συνεδρίου KPMG,<br />
PWC, Cosmote, Viva και Cyber Noesis/R2D2 συμμετείχαν<br />
με παρουσιάσεις υψηλής ποιότητας και προστιθέμενης αξίας,<br />
ισάξιες αυτών των ISACA Legends! Οι ενότητες του συνεδρίου<br />
που καλύφθηκαν και σε αντίστοιχα roundtables καθώς και σε<br />
ένα ask-me-anything session, ήταν οι εξής:<br />
• Digital trust: Οι συμμετέχοντες έμαθαν για τελευταίες<br />
εξελίξεις στην ψηφιακή εμπιστοσύνη, όπως η χρήση της<br />
τεχνολογίας blockchain και των NFT για τη δημιουργία<br />
νέων εμπειριών στον ψηφιακό κόσμο.<br />
• Cybersecurity: Οι συμμετέχοντες ενημερώθηκαν για<br />
τις τελευταίες απειλές στον κυβερνοχώρο και τις βέλτιστες<br />
πρακτικές για την προστασία των συστημάτων και<br />
των δεδομένων τους στον ψηφιακό κόσμο.<br />
• <strong>IT</strong> Audit and Assurance: Οι συμμετέχοντες έμαθαν<br />
για τα πρότυπα και τις διαδικασίες που χρησιμοποιούνται<br />
για την αξιολόγηση της ασφάλειας και της αποτελεσματικότητας<br />
των συστημάτων πληροφορικής στον<br />
ψηφιακό κόσμο.<br />
• Emerging technologies and AI: Οι συμμετέχοντες<br />
εξοικειώθηκαν με τις τελευταίες τεχνολογίες, όπως η<br />
τεχνητή νοημοσύνη και η μηχανική μάθηση και τον τρόπο<br />
με τον οποίο αυτές επηρεάζουν την ασφάλεια<br />
στον ψηφιακό κόσμο.<br />
Την ημέρα έκλεισε ο δημοφιλής stand-up<br />
comedian Γιώργος Χατζηπαύλου, προσφέροντας<br />
το απαραίτητο γέλιο για το κοινό. Επιπλέον<br />
πληροφόρηση για το συνέδριο μπορείτε<br />
να βρείτε στο ISACAAthensConference.gr<br />
Σας περιμένουμε όλους και όλες στο επόμενο<br />
συνέδριο και εκδηλώσεις του ISACA Athens<br />
Chapter. Όπως είπαν όλοι οι σύνεδροι, «ο πήχης<br />
είναι πλέον ψηλά»! Το ISACA είναι ένας διεθνής<br />
οργανισμός που προωθεί την ασφάλεια<br />
στον κυβερνοχώρο και την ακεραιότητα των<br />
συστημάτων πληροφορικής. Ο οργανισμός έχει<br />
περισσότερα από 140.000 μέλη σε 180 χώρες.<br />
Νίκος Δράκος, Πρόεδρος του ISACA Athens<br />
Chapter<br />
6 security
Business <strong>IT</strong> 7
T<strong>82</strong>11/12.2023<br />
News<br />
Δίκοπο μαχαίρι για τις επιχειρήσεις στην Ελλάδα η Generative AI<br />
σύμφωνα με έρευνα της Kaspersky<br />
Πάνω από 7 στα 10 υψηλόβαθμα στελέχη μεγάλων επιχειρήσεων στην Ελλάδα εκφράζουν<br />
ανησυχία για τη συστηματική χρήση εφαρμογών Generative AI από τους εργαζομένους<br />
Ευκαιρίες αλλά και κινδύνους από τη συστηματική<br />
χρήση εφαρμογών Generative AI διαβλέπουν<br />
τα C-suite στελέχη μεγάλων επιχειρήσεων<br />
στην Ελλάδα. Ο όρος C-Suite χρησιμοποιείται<br />
για να περιγράψει τα μέλη της<br />
διοικητικής ομάδας μίας επιχείρησης, όπως<br />
CEO (Διευθύνων Σύμβουλος), CFO (Διευθυντής<br />
Οικονομικών), CIO (Διευθυντής Πληροφοριών),<br />
COO (Γενικός Διευθυντής Λειτουργιών),<br />
κ.λπ.<br />
Σύμφωνα με τα συμπεράσματα της νέας διεθνούς<br />
έρευνας της Kaspersky που παρουσίασε<br />
σήμερα ο Βασίλης Βλάχος, Channel<br />
Manager της Kaspersky για Ελλάδα και<br />
Κύπρο, η συντριπτική πλειονότητα (92%)<br />
των C-suite στελεχών μεγάλων ελληνικών<br />
επιχειρήσεων παραδέχεται ότι οι εργαζόμενοί τους χρησιμοποιούν<br />
τακτικά εφαρμογές Generative AI (όπως το ChatGPT,<br />
το bard της Google κλπ.). Μάλιστα, τέσσερις στους δέκα<br />
(40%) ανέφεραν ότι οι εφαρμογές αυτές αποτελούν πλέον<br />
βασικό εργαλείο για την υποστήριξη μιας σειράς καθηκόντων.<br />
Ταυτόχρονα, η μεγάλη πλειονότητα του δείγματος (72%) εκφράζει<br />
ανησυχία για τους πιθανούς κινδύνους ασφάλειας<br />
που προκύπτουν από τη συστηματική χρήση εφαρμογών<br />
Generative AI, καθιστώντας πιθανή τη διαρροή ευαίσθητων<br />
δεδομένων αλλά ακόμη και την πλήρη απώλεια ελέγχου των<br />
λειτουργιών της επιχείρησης.<br />
«Είναι γεγονός ότι η ενσωμάτωση εφαρμογών Generative<br />
AI έχει αυξήσει σημαντικά την παραγωγικότητα των εργαζομένων.<br />
Ωστόσο, σύμφωνα με την τελευταία μας έρευνα,<br />
παρότι τα ανώτερα στελέχη γνωρίζουν πως οι εφαρμογές<br />
αυτές αποτελούν στοιχείο της εργασιακής καθημερινότητας<br />
των εργαζομένων, αγνοούν το βαθμό καθώς και τον τρόπο<br />
με τον οποίο αξιοποιούνται. Δεδομένου ότι η χρήση εφαρμογών<br />
Generative AI στους χώρους εργασίας ήρθε για να<br />
μείνει, όσο επεκτείνεται η χρήση τους τόσο πιο δύσκολο θα<br />
είναι να τεθεί πλαίσιο ελέγχου και ασφαλείας για βασικά τμήματα<br />
των επιχειρήσεων όπως το HR, τα οικονομικό τμήμα,<br />
το μάρκετινγκ ή ακόμα και το <strong>IT</strong>», εξηγεί ο Βασίλης Βλάχος<br />
Η ενσωμάτωση εφαρμογών Generative AI έχει ήδη επιφέρει<br />
σημαντικές τομές στη λειτουργία των επιχειρήσεων, ενώ στο<br />
μέλλον αναμένεται να αλλάξει ριζικά τον τρόπο με τον οποίο<br />
οι επιχειρήσεις αναπτύσσονται και τοποθετούνται απέναντι<br />
στην αγορά. Ενδεικτικά, από το δείγμα της έρευνας σχεδόν<br />
όλοι οι συμμετέχοντες (93%) ανέφεραν πως η χρήση<br />
Generative AI έχει τεθεί ως θέμα συζήτησης στις συνεδριάσεις<br />
του Διοικητικού Συμβουλίου των εταιρειών τους κατά<br />
τους τελευταίους 6 μήνες, ενώ πάνω από ένας στους δύο<br />
(54%) πιστεύει ότι οι εφαρμογές Generative AI θα προκαλέσουν<br />
“επανάσταση’’ στον τομέα της τεχνολογίας, όπως<br />
ακριβώς συνέβη και με τη μηχανή αναζήτησης της Google.<br />
Βασικό χαρακτηριστικό των εφαρμογών Generative AI είναι η<br />
συνεχής μάθηση μέσω της εισροής καινούργιων δεδομένων.<br />
Αυτό για τις επιχειρήσεις σημαίνει ότι όταν ένας εργαζόμενος<br />
εισάγει ευαίσθητα δεδομένα του οργανισμού σε κάποια<br />
εφαρμογή, προβαίνει ουσιαστικά σε ακούσια διαρροή δεδομένων.<br />
Στην έρευνα μεγάλο τμήμα των ανώτερων στελεχών<br />
διατυπώνει έντονους προβληματισμούς σχετικά με το γεγονός<br />
αυτό, με την πλειονότητα να φοβάται το ενδεχόμενο οι<br />
εργαζόμενοι να κοινοποιούν ευαίσθητα δεδομένα της εταιρείας<br />
(72%) και των πελατών της (71%) χρησιμοποιώντας<br />
πλατφόρμες Generative AI.<br />
8 security
T<strong>82</strong>11/12.2023<br />
News<br />
Ολοκληρώθηκε η 2η ημερίδα της πρωτοβουλίας “Cybersecurity for<br />
Society” του Ελληνικού Ινστιτούτου Κυβερνοασφάλειας<br />
Το Ελληνικό Ινστιτούτο Κυβερνοασφάλειας διοργάνωσε<br />
τη δεύτερη κατά σειρά ενημερωτική ημερίδα της<br />
πλατφόρμας διαλόγου “Cybersecurity for Society”, με τίτλο<br />
“Cybersecurity Skills Gap: Overcome the gap and<br />
improve resilience“. Σε συνέχεια της θεματικής που αναπτύχθηκε<br />
στην πρώτη ημερίδα της σειράς αυτής, η θεματολογία<br />
εστίασε στην έλλειψη δεξιοτήτων στον κλάδο της κυβερνοασφάλειας.<br />
Στόχος της ημερίδας ήταν να ενισχυθεί η<br />
ανταπόκριση της ελληνικής κοινωνίας σε ζητήματα κυβερνοασφάλειας,<br />
όσο και να επιτευχθεί καλύτερος συντονισμός<br />
των εμπλεκομένων μερών, που αποβλέπουν στη δημιουργία<br />
ενός ασφαλούς ψηφιακού κόσμου που θα επιτρέπει σε<br />
όλους να αξιοποιήσουν χωρίς κινδύνους τα οφέλη που προσφέρουν<br />
οι ψηφιακές τεχνολογίες. Κατά τη διάρκεια της ημερίδας<br />
αναλύθηκαν, θέματα δεξιοτήτων στον κυβερνοχώρο,<br />
μέσω της ανταλλαγής εμπειριών, γνώσεων και πρακτικών<br />
από ειδικούς ευρωπαϊκών οργανισμών, εκπροσώπους της<br />
Πολιτείας, μέλη της ακαδημαϊκής κοινότητας, αλλά και έμπειρα<br />
στελέχη κυβερνοασφάλειας από διάφορους κρίσιμους<br />
κλάδους της αγοράς. Από τη συζήτηση προέκυψαν χρήσιμες<br />
πληροφορίες, αλλά και τακτικές για τη δημιουργία μίας<br />
ολιστικής αντιμετώπισης του προβλήματος.<br />
Η κα. Στέλλα Τσιτσούλα, πρόεδρος του Ελληνικού Ινστιτούτου<br />
Κυβερνοασφάλειας, άνοιξε την εκδήλωση<br />
αναλύοντας τις τρέχουσες, αλλά και μελλοντικές ανάγκες<br />
του κλάδου της κυβερνοασφάλειας, ενώ<br />
ο Δρ. Δημοσθένης Οικονόμου, επικεφαλής<br />
του Capacity Building Unit του Ευρωπαϊκού<br />
Οργανισμού Κυβερνοασφάλειας<br />
(ENISA), ανέλυσε το πρόγραμμα<br />
CyberHEAD, για τις πανεπιστημιακές βάσεις<br />
δεδομένων του τομέα της κυβερνοασφάλειας.<br />
Αντίστοιχα, ο εκπρόσωπος το<br />
υ European Cybersecurity Compete<br />
nce Center, κος Αθανάσιος Κοσμόπουλος,<br />
αναφέρθηκε σε δράσεις επιμόρφωσης<br />
στο πλαίσιο του ECCC, ενώ ο Δρ.<br />
Σωκράτης Κάτσικας, Διευθυντής στο R<br />
esearch and Innovation Center Nor<br />
wegian Center for Cybersecurity κα<br />
ι πρώην υπηρεσιακός υπουργός ψηφιακής<br />
διακυβέρνησης, ανέλυσε τη σημασία<br />
των δεξιοτήτων κυβερνοασφάλειας σε κρίσιμες υποδομές.<br />
Στη συνέχεια, ο κος. Ιωάννης Αλεξάκης, της Εθνικής<br />
Αρχής Κυβερνοασφάλειας, μίλησε για την εθνική προσέγγιση<br />
για την κάλυψη του χάσματος των δεξιοτήτων. Τον<br />
ακαδημαϊκό κόσμο εκπροσώπησε ο Δρ. Χρήστος Ξενάκης,<br />
καθηγητής κυβερνοασφάλειας του τμήματος Ψηφιακών<br />
Συστημάτων, του Πανεπιστημίου Πειραιώς, ο<br />
οποίος παρουσίασε το whitepaper σχετικά με την έλλειψη<br />
cybersecurity skills. Ο κος. Ιωάννης Ηλιάδης, πρόεδρος<br />
του ISC2 – Hellenic Chapter, μίλησε για την ανάγκη συνεχούς<br />
εκπαίδευσης των εργαζομένων του κλάδου, ενώ ο DPO<br />
της κρατικής τηλεόρασης, ΕΡΤ, Δρ. Βασίλης Βασιλόπουλος,<br />
ανέλυσε τακτικές ενημέρωσης για την σημασία του κλάδου.<br />
Οι παρευρισκόμενοι είχαν επίσης τη δυνατότητα να παρακολουθήσουν<br />
μία συζήτηση σε πάνελ, για την έλλειψη δεξιοτήτων<br />
κυβερνοασφάλειας σε κρίσιμες υποδομές χρηματοπιστωτικών<br />
ιδρυμάτων, τηλεπικοινωνιών και μεταφορών,<br />
από κορυφαία στελέχη του κλάδου, συγκεκριμένα των κυρίων<br />
Παναγιώτη Παπαγιαννακόπουλου της ΕΥ, Δημήτριου<br />
Πάτσου της Microsoft, Ιωάννη Σολομάκου της Huawei<br />
και Γιάννη Παυλίδη της Unisystems, σε συντονισμό του<br />
προέδρου του ISACA – Athens Chapter κ. Νίκου Δράκου,<br />
καθώς και να ανταλλάξουν απόψεις για θέματα, τακτικές<br />
και συμβουλές ανάπτυξης των δεξιοτήτων σχετικών με το<br />
αντικείμενο.<br />
10 security
T<strong>82</strong>11/12.2023<br />
News<br />
Οι αναλυτές του WatchGuard Threat Lab δημοσιεύουν προβλέψεις<br />
κυβερνοασφάλειας για το 2024<br />
Η πιο πρόσφατη λίστα προβλέψεων της WatchGuard καλύπτει<br />
τις πιο σημαντικές επιθέσεις και τάσεις ασφάλειας πληροφοριών<br />
που προβλέπεται να εμφανιστούν το 2024, σύμφωνα με την<br />
ερευνητική ομάδα του WatchGuard Threat Lab, και περιλαμβάνει,<br />
τη στόχευση μεγάλων γλωσσικών μοντέλων (LLM) από<br />
κακόβουλα τεχνάσματα μηχανικής κειμένου, τον διπλασιασμό<br />
των ενοποιημένων πλατφορμών ασφαλείας με ισχυρή αυτοματοποίηση<br />
από τους Παρόχους Διαχειριζόμενων Υπηρεσιών<br />
(MSPs), την κλιμάκωση των κακόβουλων ενεργειών από τους<br />
“Vishers” με φωνητικά chatbots που βασίζονται σε AI, τα hacks<br />
σε σύγχρονα ακουστικά VR / MR και πολλά άλλα.Ακολουθεί<br />
μια σύνοψη των κορυφαίων προβλέψεων κυβερνοασφάλειας<br />
από την ομάδα του WatchGuard Threat Lab για το 2024:<br />
• Κόλπα Μηχανικής Κειμένου σε Μεγάλα Γλωσσικά<br />
Μοντέλα (LLMs) – Εταιρείες και άτομα πειραματίζονται<br />
με LLMs για να αυξήσουν τη λειτουργική<br />
αποτελεσματικότητα. Ωστόσο, οι επιτήδειοι μαθαίνουν<br />
πώς να εκμεταλλευτούν τα LLMs για τους δικούς<br />
τους κακόβουλους σκοπούς. Κατά τη διάρκεια του<br />
2024, το WatchGuard Threat Lab προβλέπει ότι ένας<br />
έξυπνος μηχανικός κειμένου – είτε είναι εγκληματίας,<br />
είτε ερευνητής – θα αποκωδικοποιήσει τον κώδικα<br />
και θα παραποιήσει ένα LLM για να διαρρεύσει<br />
ιδιωτικά δεδομένα.<br />
• Οι MSPs Διπλασιάζουν τις Υπηρεσίες Ασφαλείας<br />
μέσω Αυτοματοποιημένων Πλατφορμών – Με περίπου<br />
3,4 εκατομμύρια ανοιχτές θέσεις εργασίας στον<br />
τομέα της κυβερνοασφάλειας και έντονο ανταγωνισμό<br />
για το διαθέσιμο εργασιακό δυναμικό, όλο και περισσότερες<br />
μικρομεσαίες επιχειρήσεις θα απευθυνθούν<br />
σε αξιόπιστους παρόχους διαχειριζόμενων υπηρεσιών<br />
και υπηρεσιών ασφαλείας, γνωστούς ως MSPs και<br />
MSSPs, για να προστατευθούν το 2024. Για να προσαρμοστούν<br />
στην αυξανόμενη ζήτηση και την έλλειψη<br />
προσωπικού, οι MSPs και MSSPs θα επενδύσουν<br />
διπλάσια σε ενοποιημένες πλατφόρμες ασφαλείας με<br />
ισχυρή αυτοματοποίηση χρησιμοποιώντας την τεχνητή<br />
νοημοσύνη (AI) και τη μηχανική μάθηση (ML).<br />
• Οι Πωλήσεις Εργαλείων Τεχνητής Νοημοσύνης<br />
για Spear Phishing Σαρώνουν στο Dark Web – Οι<br />
κυβερνοεγκληματίες μπορούν ήδη να αγοράσουν εργαλεία<br />
στην υποκείμενη αγορά που αποστέλλουν ανεπιθύμητα<br />
email, δημιουργούν αυτόματα πειστικά κείμενα<br />
και συλλέγουν πληροφορίες και συνδέσεις από το<br />
διαδίκτυο και τα κοινωνικά μέσα για ένα συγκεκριμένο<br />
στόχο, αλλά πολλά από αυτά τα εργαλεία είναι ακόμα<br />
χειροκίνητα και απαιτούν από τους επιτιθέμενους να<br />
επικεντρώνονται σε έναν χρήστη ή ομάδα κάθε φορά.<br />
• Το Vishing που Βασίζεται σε Τεχνητή Νοημοσύνη<br />
απογειώνεται το 2024 – Καθώς το Voice over<br />
Internet Protocol (VoIP) και η τεχνολογία αυτοματισμού<br />
διευκολύνουν τη μαζική κλήση χιλιάδων αριθμών,<br />
μόλις ένα πιθανό άτομο πέφτει θύμα σε μια<br />
κλήση, εξακολουθεί να χρειάζεται ένας ανθρώπινος<br />
απατεώνας για να τους παρασύρει. Αυτό το σύστημα<br />
περιορίζει την κλίμακα των λειτουργιών Vishing.<br />
Ωστόσο, αυτό θα μπορούσε να αλλάξει το 2024. Η<br />
WatchGuard προβλέπει ότι ο συνδυασμός πειστικού<br />
deepfake ήχου και LLM, ικανών να διεξάγουν συνομιλίες<br />
με ανυποψίαστα θύματα, θα αυξήσει σημαντικά<br />
την κλίμακα και τον όγκο των κλήσεων Vishing.<br />
• Τα ακουστικά VR/MR επιτρέπουν την αναδημιουργία<br />
περιβαλλόντων χρήστη – Τα ακουστικά<br />
εικονικής και μικτής πραγματικότητας (VR/MR)<br />
αρχίζουν επιτέλους να κερδίζουν μαζική απήχηση.<br />
Ωστόσο, είναι γεγονός ότι όπου εμφανίζονται νέες και<br />
χρήσιμες τεχνολογίες, ακολουθούν εγκληματίες και<br />
κακόβουλοι χάκερ. Το 2024, οι ερευνητές του Threat<br />
Lab προβλέπουν ότι είτε ένας ερευνητής είτε ένας κακόβουλος<br />
χάκερ θα βρει μια τεχνική για να συλλέξει<br />
ορισμένα από τα δεδομένα αισθητήρων από ακουστικά<br />
VR/MR προκειμένου να αναδημιουργήσει το περιβάλλον<br />
στο οποίο παίζουν οι χρήστες.<br />
12 security
T<strong>82</strong>11/12.2023<br />
News<br />
Διατλαντική συνεργασία για την κυβερνοασφάλεια και τις<br />
αναδυόμενες τεχνολογίες<br />
Κατά τη διάρκεια του 9ου διαλόγου ΕΕ-ΗΠΑ για τον κυβερνοχώρο,<br />
που πραγματοποιήθηκε στις Βρυξέλλες, οι δύο πλευρές<br />
συζήτησαν σχετικά με την κοινή τους δέσμευση για μια<br />
ανθεκτική εταιρική σχέση στον τομέα της κυβερνοασφάλειας,<br />
για ένα ανοικτό, διαλειτουργικό, ασφαλές και αξιόπιστο<br />
διαδίκτυο, αλλά και για τη σταθερότητα στον κυβερνοχώρο.<br />
Οι δύο πλευρές επιβεβαίωσαν τη δέσμευσή τους για διατλαντική<br />
συνεργασία και συντονισμό και συμμερίστηκαν την<br />
άποψη ότι το επιδεινούμενο παγκόσμιο περιβάλλον κυβερνοαπειλών,<br />
το οποίο χαρακτηρίζεται από την «παράνομη<br />
στρατιωτική επίθεση» της Ρωσίας κατά της Ουκρανίας και<br />
άλλες εξελίξεις, όπως η διάδοση του ransomware, απαιτεί<br />
βαθύτερη συνεργασία μεταξύ ΕΕ και ΗΠΑ.<br />
Η Ευρωπαϊκή Ένωση και οι ΗΠΑ αντάλλαξαν απόψεις σχετικά<br />
με διάφορα βασικά θέματα γύρω από την κυβερνοασφάλεια,<br />
συμπεριλαμβανομένης της ασφάλειας των ψηφιακών προϊόντων<br />
και των σχετικών προτύπων, της κυβερνοανθεκτικότητας<br />
των υποδομών ζωτικής σημασίας, του αντικτύπου<br />
και των ευκαιριών των αναδυόμενων τεχνολογιών και της<br />
συνεργασίας μεταξύ των οργανισμών κυβερνοασφάλειας<br />
στις δύο πλευρές του Ατλαντικού.<br />
Ο Josep Borrell, Ύπατος Εκπρόσωπος/Αντιπρόεδρος, δήλωσε:<br />
«Η κυβερνοασφάλεια έχει καταστεί αναπόσπαστο μέρος<br />
της διπλωματίας. Μέσω του διαλόγου ΕΕ-ΗΠΑ για τον<br />
κυβερνοχώρο, ενισχύουμε τη διατλαντική συνεργασία και<br />
τη συλλογική μας ανθεκτικότητα για την καταπολέμηση των<br />
κλιμακούμενων απειλών για την κυβερνοασφάλεια που αντιμετωπίζουμε<br />
παγκοσμίως.»<br />
Ο Thierry Breton, ο Ευρωπαίος επίτροπος Βιομηχανίας,<br />
Άμυνας και Τεχνολογίας, δήλωσε πως «το σημερινό δύσκολο<br />
γεωπολιτικό πλαίσιο αποτυπώνει και τις εντεινόμενες απειλές<br />
που αντιμετωπίζουμε στον κυβερνοχώρο. Είναι σημαντικό η<br />
ΕΕ και οι Ηνωμένες Πολιτείες να συνεργαστούν στενά για την<br />
προώθηση ενός ασφαλούς κυβερνοχώρου, μεταξύ άλλων<br />
μέσω της προστασίας των υποδομών ζωτικής σημασίας και<br />
της βελτίωσης της ασφάλειας των ψηφιακών προϊόντων».<br />
Κατά τη διάρκεια του διαλόγου, ο Οργανισμός της Ευρωπαϊκής<br />
Ένωσης για την Κυβερνοασφάλεια (ENISA) και ο Οργανισμός<br />
των Ηνωμένων Πολιτειών για την ασφάλεια στον<br />
κυβερνοχώρο και την ασφάλεια των υποδομών (CISA) επισημοποίησαν<br />
μια συμφωνία συνεργασίας, η οποία καλύπτει<br />
θέματα όπως η ευαισθητοποίηση και η κατάρτιση, η ανταλλαγή<br />
βέλτιστων πρακτικών και η ανταλλαγή γνώσεων για<br />
κοινή επίγνωση της κατάστασης.<br />
Οι δύο πλευρές αποφάσισαν, επίσης, να εμβαθύνουν περαιτέρω<br />
τη συνεργασία τους για την αντιμετώπιση των προκλήσεων<br />
που σχετίζονται με τις αναδυόμενες τεχνολογίες, με ιδιαίτερη<br />
έμφαση στην τεχνητή νοημοσύνη και την μετακβαντική<br />
κρυπτογραφία. Η συνεργασία θα επιδιώξει να προωθήσει<br />
την ασφαλή χρήση της AI σε υποδομές ζωτικής σημασίας. Οι<br />
συμμετέχοντες στο Cyber Dialogue συζήτησαν, επίσης, για<br />
πιθανές κοινές δραστηριότητες στη μετάβαση προς την μετακβαντική<br />
κρυπτογραφία, συμπεριλαμβανομένης της τυποποίησης.<br />
Η ΕΕ και οι ΗΠΑ, σύμφωνα με τη σχετική ανακοίνωση,<br />
ολοκλήρωσαν τον διάλογο επιβεβαιώνοντας τη συνεχή<br />
δέσμευσή τους για την προώθηση ενός παγκόσμιου, ανοικτού,<br />
ελεύθερου, σταθερού και ασφαλούς κυβερνοχώρου,<br />
λαμβάνοντας υπόψιν το διεθνές δίκαιο, συμπεριλαμβανομένου<br />
του σεβασμού των ανθρωπίνων δικαιωμάτων και των<br />
θεμελιωδών ελευθεριών.<br />
14 security
T<strong>82</strong>11/12.2023<br />
News<br />
Αποκάλυψη του RG-RAP73HD: Ήρθε το Wi-Fi 7!<br />
Το RG-RAP73HD είναι ένα νικητήριο μείγμα σχεδιασμού,<br />
μηχανικής και καινοτομίας, που αγκαλιάζει την επιδεξιότητα<br />
της τεχνολογίας Wi-Fi 7. Το Wi-Fi 7, γνωστό και ως 802.11be,<br />
αντιπροσωπεύει την επόμενη εξέλιξη στα ασύρματα δίκτυα.<br />
Με την εντυπωσιακή απόδοση Tri-radio, το RG-RAP73HD είναι<br />
εξοπλισμένο με τη δύναμη να λειτουργεί σε τρεις ξεχωριστές<br />
ζώνες συχνοτήτων, εξασφαλίζοντας αποτελεσματική<br />
μετάδοση και λήψη δεδομένων.<br />
Κύρια ΧαρακτηριστικάQ<br />
• Άκρως Υψηλό Wireless Rate: Το bandwidth<br />
6G/320MHz επιτρέπει στο RG-RAP73HD να παρέχει<br />
μια εξαιρετική ασύρματη ροή. Αυτό μεταφράζεται σε<br />
ταχύτερες μεταφορές δεδομένων, μειωμένη καθυστέρηση<br />
και συνολικά βελτιωμένη εμπειρία χρήστη.<br />
• Η Αποκλειστική Δυνατότητα MLO του Wi-Fi 7:<br />
Η αποκλειστική δυνατότητα του Wi-Fi 7, MLO (Multi-<br />
Link Operation), φέρνει μια καλύτερη εμπειρία ροής.<br />
Το MLO βελτιστοποιεί τις συνδέσεις δικτύου, διασφαλίζοντας<br />
ότι το περιεχόμενο ροής παραμένει αδιάκοπο,<br />
παρέχοντας στους χρήστες ρευστή και χωρίς καθυστέρηση<br />
κατανάλωση πολυμέσων.<br />
• Υψηλή Πυκνότητα Πρόσβασης: Τα σύγχρονα περιβάλλοντα<br />
απαιτούν συνδεσιμότητα υψηλής πυκνότητας<br />
για να φιλοξενήσουν τον αυξανόμενο αριθμό<br />
συσκευών. Το RG-RAP73HD ανταποκρίνεται στην<br />
πρόκληση, μπορώντας να υποστηρίξει έως και 1500<br />
ταυτόχρονες συνδέσεις χωρίς να θυσιάζει την απόδοση<br />
ή τη σταθερότητα.<br />
• Τεχνολογία 4K-QAM: Το RG-RAP73HD ενσωματώνει<br />
την τεχνολογία 4K-QAM, μια καινοτόμο προηγμένη<br />
προσέγγιση που συσκευάζει αποτελεσματικά τα<br />
δεδομένα για τη μετάδοση. Αυτό έχει ως αποτέλεσμα<br />
βελτιωμένες ταχύτητες και μια πιο αξιόπιστη σύνδεση,<br />
ακόμα και σε υπερφορτωμένα δίκτυα.<br />
• Δυνατότητα Enterprise Switch: Πέρα από τον<br />
ρόλο του Access Point, το RG-RAP73HD μπορεί επίσης<br />
να λειτουργήσει ως μέρος μιας εγκατάστασης<br />
Enterprise Switch. Αυτό το καθιστά ιδανικό για τη δημιουργία<br />
ενός στιβαρού και επαγγελματικού δικτύου,<br />
PRO Office Network.<br />
Πολυμορφία σε Διάφορους Χώρους<br />
Ένα από τα καθοριστικά στοιχεία του RG-RAP73HD είναι η<br />
προσαρμοστικότητά του σε διάφορα περιβάλλοντα. Είτε πρόκειται<br />
για ξενοδοχείο που εξυπηρετεί πολλούς επισκέπτες, για<br />
γραφείο με πληθώρα συσκευών, είτε για οποιοδήποτε περιβάλλον<br />
υψηλής πυκνότητας, το RG-RAP73HD παρέχει συνεχώς<br />
αξιόπιστη και υψηλής ταχύτητας συνδεσιμότητα. Αυτή η<br />
προσαρμοστικότητα διασφαλίζει ότι οι εμπειρίες των χρηστών<br />
είναι άψογες, ανεξάρτητα από τις απαιτήσεις που τίθενται στο<br />
δίκτυο. Το RG-RAP73HD Wi-Fi 7 Tri-Radio BE19000<br />
Ceiling Access Point συνιστά μια σημαντική πρόοδο στην<br />
τεχνολογία των ασύρματων δικτύων.<br />
Tο RG-RAP73HD θέτει τα θεμέλια για μια νέα εποχή καινοτομίας<br />
στη συνδεσιμότητα. Είτε βελτιώνει τις εμπειρίες ροής,<br />
είτε δημιουργεί ένα επαγγελματικό γραφείο δίκτυο, το RG-<br />
RAP73HD είναι μια<br />
απόδειξη της δυναμικής<br />
της τεχνολογίας<br />
στον μετασχηματισμό<br />
της συνδεσιμότητας<br />
όπως την<br />
ξέρουμε!<br />
Τα προϊόντα της<br />
Ruijie-Reyee αντιπροσωπεύονται<br />
στην<br />
Ελλάδα από την εταιρεία<br />
PartnerΝΕΤ<br />
τηλ.: 2107100000,<br />
sales@partnernetict.com,<br />
www.<br />
partnernet-ict.com.<br />
16 security
T<strong>82</strong>11/12.2023<br />
Research<br />
Πανελλαδική έρευνα:<br />
The State of Cybersecurity 2023<br />
by Pylones Hellas<br />
Το cyber-budget των ελληνικών εταιρειών αυξήθηκε ραγδαία μέσα στο 2023 σύμφωνα με τα<br />
αποτελέσματα της 4ης Πανελλαδικής έρευνας για την κυβερνοασφάλεια !<br />
Pylones Hellas, πάροχος ψηφιακών τεχνολογιών<br />
και ασφάλειας διαδικτύου, με μακρά<br />
Η<br />
παρουσία 25 και πλέον ετών σε Ελλάδα, Κύπρο<br />
και Ν.Α. Ευρώπη, ανακοινώνει σήμερα<br />
τα αποτελέσματα της 4ης Πανελλαδικής<br />
έρευνας «The State of Cybersecurity 2023», σχετικά με<br />
τα κυριότερα προβλήματα κυβερνοασφάλειας που αντιμετωπίζουν<br />
οι εταιρείες. H έρευνα “The State of Cybersecurity”<br />
αποτελεί από το 2020, έναν ετήσιο θεσμό για την Pylones<br />
Hellas και μία πηγή πληροφόρησης και δεδομένων, για την<br />
πορεία της κυβερνοασφάλειας στην Ελλάδα. Στόχος της<br />
έρευνας, ήταν να διερευνηθεί η πορεία και η πολιτική που<br />
ακολουθούν οι εταιρείες όσον αφορά στην κυβερνοασφάλεια,<br />
τον τρόπο που διαχειρίζονται και αντιμετωπίζουν τις κυβερνοαπειλές,<br />
με απώτερο σκοπό να αναγνωριστεί η πηγή<br />
του προβλήματος. Η έρευνα διενεργήθηκε από την Pylones<br />
Hellas, με την υποστήριξη του τμήματος Ψηφιακών Συστημάτων<br />
του Πανεπιστημίου Πειραιώς με επικεφαλής τον καθηγητή<br />
Χρήστο Ξενάκη, του Hellenic (ISC)² Chapter αλλά<br />
και σε συνεργασία με το περιοδικό <strong>IT</strong> <strong>Security</strong> Pro.<br />
«Για άλλη μία χρονιά αναζητούμε<br />
απαντήσεις για ένα από τα<br />
πιο κρίσιμα ζητήματα του νέου<br />
ψηφιακού κόσμου: Tην κυβερνοασφάλεια<br />
στις ελληνικές<br />
επιχειρήσεις. Μέσα από την πανελλαδική<br />
έρευνα «The State of<br />
Cybersecurity», στοχεύουμε να<br />
διερευνήσουμε την πορεία των<br />
ελληνικών εταιρειών σχετικά με<br />
την κυβερνοασφάλεια, αλλά και<br />
να κατανοήσουμε τον τρόπο με<br />
τον οποίο οι επιχειρήσεις διαχειρίζονται και αντιμετωπίζουν<br />
τις απειλές και τις επιθέσεις. Η ασφάλεια των δεδομένων<br />
18 security
είναι κρίσιμη για κάθε επιχείρηση, και το ζήτημα αυτό επεκτείνεται<br />
πλέον και στον τομέα του cloud λόγω της ανάπτυξής<br />
του. Οι ελληνικές επιχειρήσεις, βάλλονται από πολλαπλά<br />
μέτωπα και η μόνη σανίδα σωτηρίας φαίνεται να είναι η σωστή<br />
ενημέρωση και η πρόληψη», δήλωσε ο κ. Εμμανουήλ<br />
Νέτος, Διευθύνων Σύμβουλος της Pylones Hellas.<br />
Τα πιο κρίσιμα σημεία της έρευνας, μέσα από τις απαντήσεις<br />
των ειδικών του κλάδου είναι τα εξής:<br />
Το προφίλ των συμμετεχόντων<br />
Οι συμμετοχές στην έρευνα “The State of Cybersecurity<br />
2023”, ξεπέρασαν κάθε προηγούμενο, φτάνοντας στις 440<br />
και αποτελούνται από στελέχη και εργαζομένους της πληροφορικής<br />
σε διάφορους κλάδους της αγοράς με τα μεγαλύτερα<br />
ποσοστά να αφορούν, τις εταιρείες τεχνολογίας<br />
(33%), τον δημόσιο τομέα (15%), τον τραπεζικό και χρηματοοικονομικό<br />
κλάδο (9%), τον κλάδο των τηλεπικοινωνιών<br />
(7%) αλλά και τον κλάδο του εμπορίου (5%). Μεγάλο μέρος<br />
των συμμετεχόντων (περίπου 30%), εργάζεται σε μεγάλες<br />
και μεσαίες επιχειρήσεις, ενώ αρκετοί είναι εκείνοι που εργάζονται<br />
σε μικρές επιχειρήσεις, οι οποίες απασχολούν από<br />
1 έως 50 εργαζόμενους (ποσοστό 34%).<br />
Η αύξηση της ανάγκης για κυβερνοασφάλεια<br />
στις επιχειρήσεις<br />
Η ελληνική κοινωνία, δοκιμάστηκε το τελευταίο χρόνο από<br />
αρκετές απειλές και επιθέσεις στον κυβερνοχώρο.<br />
Η γνωστοποίηση αυτών των<br />
περιστατικών έθεσε σε άμεση προτεραιότητα<br />
την προστασία των μηχανογραφικών<br />
συστημάτων με πολλές εταιρείες να<br />
επενδύουν περισσότερο σε αυτήν. Αυτό<br />
αποδεικνύεται και από τα αποτελέσματα<br />
της έρευνας, στην οποία περισσότεροι<br />
από τους μισούς συμμετέχοντες (57%),<br />
δήλωσαν πως ο προϋπολογισμός ασφαλείας<br />
ΙΤ της εταιρείας τους αυξήθηκε<br />
αρκετά τον τελευταίο χρόνο. Μόνο το<br />
26% των ερωτηθέντων, απάντησαν πως το cyber security<br />
budget της εταιρείας τους παρέμεινε το ίδιο. Είναι σημαντικό<br />
να σημειώσουμε ότι το 29% των ερωτηθέντων δήλωσε ότι<br />
η εταιρεία τους έχει υποστεί κάποια κυβερνοεπίθεση, ένας<br />
αριθμός που δεν πρέπει να αγνοηθεί δεδομένου ότι αποτελεί<br />
σχεδόν το 1/3 των εταιρειών στην ελληνική αγορά. Το<br />
58% των ερωτηθέντων δηλώνει πως η εταιρεία τους δεν<br />
έχει υποστεί κυβερνοαπειλή ή επίθεση, απάντηση που εκπλήσσει<br />
αφού η παρουσία κυβερνοαπειλών είναι αυξημένη.<br />
Εδώ, τίθεται ο προβληματισμός αν οι εταιρείες γνωρίζουν ότι<br />
έχουν πέσει θύματα κυβερνοεπιθέσεων ή αν επιλέγουν να<br />
μην αποκαλύπτουν τέτοια συμβάντα δημοσίως.<br />
Στην ερώτηση σχετικά με τους παράγοντες που θεωρούν<br />
πως εμποδίζουν μία επιχείρηση να οικοδομήσει ένα ολοκληρωμένο<br />
πλάνο κυβερνοασφάλειας, η επικρατέστερη απάντηση<br />
σε ποσοστό 44%, αφορούσε την έλλειψη εξειδικευμένου<br />
προσωπικού αλλά και την υποστελέχωση του τμήματος πληροφορικής.<br />
Δύο ακόμη δημοφιλείς απαντήσεις, αφορούσαν<br />
στην έλλειψη χρηματοοικονομικών πόρων (33%) αλλά και<br />
την έλλειψη γενικά της εκπαίδευσης του προσωπικού της<br />
εταιρείας (31%), ανεξάρτητα από το τμήμα στο οποίο απασχολούνται.<br />
Υπάρχει ακόμα η εντύπωση από περισσότερους<br />
από τους μισούς συμμετέχοντες της έρευνας (57%) πως η<br />
εταιρεία τους μπορεί να είναι πλήρως λειτουργική μετά από<br />
μία μεγάλης κλίμακας κυβερνοεπίθεση, σε λιγότερο από 1<br />
εβδομάδα, ενώ οι μισοί περίπου εξ αυτών (29%) θεωρούν<br />
πως χρειάζονται λιγότερες από 3 ημέρες για να γίνει η αποκατάσταση<br />
σε οποιαδήποτε βλάβη των συστημάτων τους.<br />
Οι απαντήσεις αυτές δημιουργούν ιδιαίτερο προβληματισμό<br />
καθώς από μαρτυρίες της αγοράς το διάστημα ανάκαμψης<br />
λειτουργίας μετά από μια κυβερνοεπίθεση είναι συνήθως<br />
πολύ μεγάλο. Έρχεται λοιπόν και πάλι στο προσκήνιο το ενδεχόμενο<br />
είτε οι ελληνικές εταιρείες και οργανισμοί να μην<br />
έχουν δεχθεί πολύ σημαντικές κυβερνοεπιθέσεις είτε να περιορίζουν<br />
τις πληροφορίες που διαδίδουν δημοσίως.<br />
security<br />
19
T<strong>82</strong>11/12.2023<br />
Research<br />
Τα ευάλωτα σημεία και οι κίνδυνοι για την<br />
κυβερνοασφάλεια<br />
Η δημοφιλέστερη απάντηση σχετικά με τα ευάλωτα σημεία<br />
εισόδου που μπορεί να έχει μία επιχείρηση ή οργανισμός<br />
σε ποσοστό 56%, αφορούσε τις φορητές συσκευές και τα<br />
laptops, δηλαδή τις συσκευές που χρησιμοποιούνται άμεσα<br />
από τους εργαζομένους. Ένα ποσοστό 29% των ερωτηθέντων,<br />
δήλωσαν πως οι φορητές συσκευές αποθήκευσης αποτελούν<br />
εξίσου ευάλωτα σημεία εισόδου. Μικρότερα ποσοστά<br />
συγκέντρωσαν οι web servers, 20%, τα συστήματα cloud,<br />
19%, τα APIs και οι συσκευές IoT με ποσοστά 15% και 13%<br />
αντίστοιχα. Όσον αφορά στους τύπους κινδύνων που απειλούν<br />
περισσότερο την ασφάλεια μίας επιχείρησης, επικρατέστερη<br />
απάντηση ήταν το κακόβουλο λογισμικό (malware)<br />
με ποσοστό 35%, ενώ η δεύτερη δημοφιλέστερη απάντηση<br />
με ποσοστό 32% αφορούσε το λεγόμενο “phishing”, το οποίο<br />
αποτελεί έναν από τους πιο συνηθισμένους τρόπους εξαπάτησης<br />
των χρηστών και γίνεται μέσω παραπλανητικών mails,<br />
μηνυμάτων ή διαφημίσεων. Με την αύξηση της μετακίνησης<br />
των επιχειρήσεων και των οργανισμών στο cloud, έχουν αυξηθεί<br />
τόσο οι προκλήσεις όσο και η πιθανότητα απειλών. Ο<br />
εντοπισμός και η αντιμετώπιση περιστατικών ασφαλείας στο<br />
cloud, φαίνεται πως αποτελεί ένα αρκετά δύσβατο μονοπάτι,<br />
όπως δήλωσε το 31% των συμμετεχόντων στην έρευνα.<br />
Ακόμη, η ανάκτηση των δεδομένων στο cloud και η ομαλή<br />
επιχειρησιακή συνέχεια, κρίνεται ως μία ιδιαίτερα μεγάλη<br />
πρόκληση για το 23% των ερωτηθέντων.<br />
63%, ήταν: για να διασφαλιστούν τα δεδομένα της επιχείρησης<br />
ή του οργανισμού, σε περίπτωση κάποιας επίθεσης. Στη<br />
συνέχεια, το 53% των ερωτηθέντων, δήλωσαν πως εξίσου<br />
σημαντική είναι και η άμεση και ομαλή επιχειρησιακή συνέχεια<br />
της εταιρείας.<br />
Βέβαια, μία κυβερνοεπίθεση, μπορεί να συμβεί οποιαδήποτε<br />
στιγμή και σε οποιονδήποτε κλάδο επιχειρήσεων. Γι’<br />
αυτό η κάθε εταιρεία και οργανισμός, οφείλει να εκπαιδεύει<br />
σωστά το προσωπικό της σε θέματα cybersecurity, ώστε<br />
να υπάρχει γνώση και το προσωπικό να βρίσκεται σε επαγρύπνηση.<br />
Στο ερώτημα λοιπόν, σχετικά με την εκπαίδευση<br />
του προσωπικού, το 34% των συμμετεχόντων στην έρευνα,<br />
δήλωσε πως η εταιρεία τους, προσπαθεί να ενσωματώσει<br />
στην κουλτούρα της, την κυβερνοασφάλεια ως γενικότερη<br />
φιλοσοφία.<br />
Ακόμη, πολλές εταιρείες προσπαθούν να εκπαιδεύσουν<br />
το προσωπικό τους με συνεχή ενημέρωση για τις πιθανές<br />
απειλές, ώστε να μπορούν να τις αναγνωρίσουν και να τις<br />
αποτρέψουν, όπως δήλωσε το 27% όσων συμμετείχαν στην<br />
έρευνα. Συγκριτικά με τα αποτελέσματα του 2022, φαίνεται<br />
πως η κυβερνοασφάλεια έχει αρχίσει να εισχωρεί πιο δραστικά<br />
στην κουλτούρα των επιχειρήσεων και να θεωρείται<br />
ένας σημαντικός και απαραίτητος παράγοντας για την ομαλή<br />
λειτουργία τους. Είναι χαρακτηριστικό, πως περισσότεροι<br />
από τους μισούς συμμετέχοντες στην έρευνα, δήλωσαν<br />
πως η εταιρεία στην οποία εργάζονται έχει αυξήσει σημαντικά<br />
τον προϋπολογισμό που αφορά στην κυβερνοαφάλεια,<br />
μέσα στο προηγούμενο έτος.<br />
Οι εταιρείες, φαίνεται να έχουν συνειδητοποιήσει τις επικείμενες<br />
απειλές, ωστόσο, ακόμη χρειάζεται να γίνουν οι<br />
απαραίτητες ενέργειες, ώστε να υπάρχει στρατηγική, σωστή<br />
ενημέρωση του προσωπικού των επιχειρήσεων, αλλά<br />
και ένα σωστά οργανωμένο πλάνο ασφαλείας, το οποίο θα<br />
σταθεί ως ασπίδα, σε οποιαδήποτε απειλή ή επίθεση υποστεί<br />
το μηχανογραφικό σύστημα μίας εταιρείας.<br />
Η καλύτερη<br />
επένδυση είναι η<br />
ασφάλεια!<br />
Στα πλαίσιο της έρευνας,<br />
στο κοινό τέθηκε<br />
και το ερώτημα, για ποιους<br />
λόγους οφείλει η<br />
επιχείρηση να επενδύσει<br />
στο cybersecurity; Η<br />
δημοφιλέστερη φυσικά<br />
απάντηση, με ποσοστό<br />
20 security
T<strong>82</strong>11/12.2023<br />
Law Tech<br />
Πως επηρεάζει η νομοθεσία<br />
για τα προσωπικά δεδομένα τις<br />
σχέσεις μιας επιχείρησης με τους<br />
συνεργάτες- υπεργολάβους της;<br />
ι επιχειρήσεις που δραστηριοποιούνται κατά<br />
Ο<br />
τρόπο που να συμπεριλαμβάνει επεξεργασία<br />
προσωπικών δεδομένων, θα πρέπει να<br />
έχουν υπόψη τους τις υποχρεώσεις συμμόρφωσης<br />
με τη νομοθεσία περί προστασίας<br />
προσωπικών δεδομένων που εμπλέκουν περισσότερα μέρη,<br />
εντός και εκτός της επιχείρησης.<br />
Μια σημαντική διάσταση αυτών των υποχρεώσεων αφορά<br />
τη σχέση της επιχείρησης με τρίτους συνεργάτες, ιδίως στις<br />
περιπτώσεις που η επιχείρηση αναθέτει σε τρίτο την επεξεργασία<br />
δεδομένων για λογαριασμό της στα πλαίσια μιας<br />
υπεργολαβικής ανάθεσης υπηρεσίας (π.χ συνήθως πάροχοι<br />
υπηρεσιών νεφοϋπολογιστικής κτλ) οπότε και η σχέση μεταξύ<br />
των μερών ορίζεται ως Υπεύθυνος Επεξεργασίας (αναθέτουσα<br />
επιχείρηση, στο εξής «ΥΕ») και Εκτελών την Επεξεργασία<br />
(εργολάβος, στο εξής «ΕΕ»). Στο σημείο αυτό πρέπει<br />
να επισημάνουμε ότι η ανωτέρω διάκριση (ΥΕ και ΕΕ), δεν<br />
αποτελεί τη μοναδική συμβατική δυνατότητα στους ρόλους<br />
μεταξύ συνεργατών και ο ορθός προσδιορισμός της εκάστοτε<br />
σχέσης είναι μια σύνθετη νομική άσκηση που θα πρέπει να<br />
διεξάγεται κάθε φορά ξεχωριστά, από εξειδικευμένο νομικό,<br />
και μόνο βάσει των πραγματικών παραμέτρων που χαρακτηρίζουν<br />
την κάθε σχέση. Στο παρόν άρθρο θα ασχοληθούμε<br />
μόνο με τη σχέση μεταξύ ΥΕ και ΕΕ η οποία εμφανίζεται πιο<br />
συχνά στις συναλλαγές.<br />
Τι σημαίνει πρακτικά η σχέση «Υπεύθυνος<br />
Επεξεργασίας και Εκτελών την Επεξεργασία»;<br />
ΥΕ είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή<br />
άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν<br />
τους σκοπούς και τον τρόπο της επεξεργασίας προσωπικών<br />
δεδομένων 1 . Από την άλλη, ΕΕ είναι το φυσικό ή νομικό πρόσωπο,<br />
η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται<br />
προσωπικά δεδομένα για λογαριασμό του ΥΕ 2 .<br />
1 Άρθρο 4 παρ. 7 ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων) στο εξής «ΓΚΠΔ»<br />
2 Άρθρο 4 παρ. 8 ΓΚΠΔ<br />
22 security
Γράφει η Αναστασία Φύλλα<br />
Δικηγόρος LLM Information Technology and Communications Law,<br />
LLM Information Technology and Communications Law<br />
Διακριτικό στοιχείο για τον καθορισμό του ρόλου του ΕΕ<br />
αποτελεί η υποχρέωσή του να ενεργεί για λογαριασμό του<br />
ΥΕ, του οποίου τα συμφέροντα (και όχι τα δικά του) εξυπηρετεί,<br />
εφαρμόζοντας για το σκοπό αυτό τις εντολές που λαμβάνει<br />
από τον ΥΕ τουλάχιστον αναφορικά με το σκοπό και τα<br />
μέσα (τρόπο) της επεξεργασίας 3 . Η ευθύνη του ΥΕ υπογραμμίζεται<br />
στο άρθρο 28 παρ. 1 του ΓΚΠΔ όπου αναφέρεται συγκεκριμένα<br />
ότι «…ο υπεύθυνος επεξεργασίας χρησιμοποιεί<br />
μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς<br />
διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και<br />
οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να<br />
πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται<br />
η προστασία των δικαιωμάτων του υποκειμένου<br />
των δεδομένων».<br />
Πώς μπορεί να πλαισιωθεί η σχέση μεταξύ ΥΕ<br />
και ΕΕ;<br />
Οποιαδήποτε επεξεργασία προσωπικών δεδομένων η οποία<br />
πραγματοποιείται από ΕΕ, θα πρέπει να διέπεται από σύμβαση<br />
ή άλλη νομική πράξη 4 και αυτές πρέπει να συνάπτονται<br />
εγγράφως περιλαμβανομένης της ηλεκτρονικής μορφής 5 .<br />
Αυτό σημαίνει ότι οι επιχειρήσεις θα πρέπει, επιπροσθέτως<br />
της κύριας σύμβασης που ορίζει τα θέματα ουσίας στην παροχή<br />
των υπηρεσιών να μεριμνούν ώστε να συνάπτουν με<br />
τους συνεργάτες τους ΕΕ έγγραφες συμβάσεις με ελάχιστο<br />
περιεχόμενο προβλεπόμενο από τον ΓΚΠΔ. Διαχειριστικά<br />
αυτό σημαίνει ότι πριν την έναρξη της συνεργασίας και άρα<br />
της επεξεργασίας τα μέρη θα πρέπει να συνάπτουν υποχρεωτικά<br />
ένα επιπλέον νομικό κείμενο το οποίο συνηθίζεται να<br />
ονομάζεται συμφωνητικό επεξεργασίας δεδομένων.<br />
Μπορούν τα μέρη να διαμορφώσουν όπως<br />
θέλουν αυτό το συμβατικό κείμενο;<br />
Το συμφωνητικό επεξεργασίας δεδομένων δεν παύει να<br />
αποτελεί ένα κείμενο που ενσωματώνει τη συμβατική βούληση<br />
των μερών, πλην όμως πρέπει να ρυθμίζει υποχρεωτικά<br />
τα ζητήματα που απαριθμεί το άρθρο 28 του ΓΚΠΔ.<br />
Το συμφωνητικό δεν πρέπει απλά να επαναλαμβάνει τις διατάξεις<br />
του ΓΚΠΔ αλλά να περιλαμβάνει συγκεκριμένες<br />
αναφορές σε σχέση με τον τρόπο που θα εκπληρωθούν οι<br />
απαιτήσεις και να καθορίζει το αναγκαίο επίπεδο ασφαλείας<br />
για τη συμφωνηθείσα επεξεργασία 6 . Ενδεικτικά αναφέρουμε<br />
κάποια στοιχεία του απαραίτητου περιεχομένου το οποίο<br />
πρέπει να περιλαμβάνει το αντικείμενο της επεξεργασίας, τη<br />
διάρκεια, τη φύση της επεξεργασίας, τα είδη προσωπικών<br />
δεδομένων, τις κατηγορίες των υποκειμένων των δεδομένων,<br />
τις υποχρεώσεις και τα δικαιώματα του ΥΕ.<br />
Επιπλέον το συμφωνητικό θα πρέπει να προβλέπει ότι ο ΕΕ<br />
επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο<br />
βάσει καταγεγραμμένων εντολών του ΥΕ, διασφαλίζει ότι<br />
τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται<br />
τα προσωπικά δεδομένα έχουν αναλάβει δέσμευση τήρησης<br />
εμπιστευτικότητας, λαμβάνει όλα τα απαιτούμενα μέτρα<br />
δυνάμει του άρθρου 32 του ΓΚΠΔ, τηρεί συγκεκριμένους<br />
όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία,<br />
επικουρεί τον ΥΕ με τα κατάλληλα τεχνικά και οργανωτικά<br />
μέτρα για την εκπλήρωση της υποχρέωσης του ΥΕ να<br />
απαντά σε αιτήματα για άσκηση των δικαιωμάτων του υποκειμένου<br />
των δεδομένων, συνδράμει τον ΥΕ στη διασφάλιση<br />
της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν<br />
από τα άρθρα 32 έως 36 του ΓΚΠΔ, διαγράφει ή επιστρέφει<br />
όλα τα δεδομένα προσωπικού χαρακτήρα στον ΥΕ μετά το<br />
πέρας της παροχής υπηρεσιών επεξεργασίας, θέτει στη διάθεση<br />
του ΥΕ κάθε απαραίτητη πληροφορία προς απόδειξη<br />
της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται<br />
στο άρθρο 28 και επιτρέπει τους ελέγχους, ενημερώνει τον<br />
ΥΕ, εάν κάποια εντολή παραβιάζει τη νομοθεσία για την προστασία<br />
των δεδομένων.<br />
Τι σημαίνουν όλα αυτά πρακτικά για τις<br />
επιχειρήσεις;<br />
H συμμόρφωση με τη νομοθεσία για την προστασία των προσωπικών<br />
δεδομένων είναι μια ακόμα διάσταση που πρέπει<br />
να λαμβάνεται υπόψη σε επίπεδο σχεδιασμού και υλοποίησης<br />
διαδικασιών ακόμα και για την επιλογή από πλευράς των<br />
επιχειρήσεων των κατάλληλων συνεργατών.<br />
Οι επιχειρήσεις λοιπόν θα πρέπει να συνεκτιμούν στην ουσία<br />
όχι μόνο το επίπεδο της καθεαυτήν παρεχόμενης υπηρεσίας<br />
αλλά και επιπλέον παραμέτρους που αφορούν θέματα προστασίας<br />
δεδομένων θέτοντας σε ισχύ τυπικά και ουσιαστικά<br />
συμβατικά κείμενα και διαδικασίες προς διασφάλιση της<br />
απαιτούμενης συμμόρφωσης.<br />
Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα και δε συνιστούν<br />
εξατομικευμένη νομική συμβουλή.<br />
3 Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ, ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΚΑΙ Ο ΕΦΑΡΜΟΣΤΙΚΟΣ ΝΟΜΟΣ (4624/2019), Ιωάννης<br />
Ιγγλεζάκης, INTERACTIVE BOOKS, 3η έκδοση, σελ. 210.<br />
4 Άρθρο 28 παρ. 4 ΓΚΠΔ<br />
5 Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, Adopted on July 2021, παρ. 101.<br />
6 Guidelines 07/2020 ό.π, παρ. 112<br />
security<br />
23
T<strong>82</strong>11/12.2023<br />
Cover Issue<br />
Προστατεύοντας<br />
την Εφοδιαστική Αλυσίδα<br />
Η ανάγκη για την Ασφάλεια της Εφοδιαστικής<br />
Αλυσίδας είναι σήμερα πιο σημαντική από ποτέ<br />
ον τελευταίο καιρό, γινόμαστε όλο και συχνότερα<br />
μάρτυρες κυβερνοεπιθέσεων που<br />
Τ<br />
είτε επικεντρώνονται, είτε έχουν σαν όχημα<br />
και μέθοδο επίθεσης την εκμετάλλευση<br />
αδυναμιών της Εφοδιαστικής Αλυσίδας<br />
των οργανισμών. Οι κυβερνοεπιθέεσεις αυτές, αφορούν<br />
το σύνολο των οργανισμών όσο μεγάλοι ή μικροί είναι αυτοί,<br />
αφού ανεξαρτήτως του μεγέθους τους, αναπόφευκτα<br />
βασίζονται σε μια σειρά από τρίτους οργανισμούς προκειμένου<br />
να παραδώσουν τα αγαθά ή τις υπηρεσίες τους<br />
στους πελάτες. Οι τρίτοι αυτοί οργανισμοί αποτελούν την<br />
Εφοδιαστική Αλυσίδα, στην οποία βασίζεται ο οργανισμός<br />
μας για να λειτουργεί ομαλά και αποτελεσματικά, χωρίς<br />
διακοπές, χαμένες παραδόσεις ή χαμένες παραγγελίες. Ο<br />
ορισμός της Εφοδιαστικής Αλυσίδας περιλαμβάνει επίσης<br />
οποιοδήποτε λογισμικό τρίτων που συμπεριλαμβάνεται<br />
στο λογισμικό του οργανισμού. Εάν ένα βοηθητικό πρόγραμμα<br />
έχει μια ευπάθεια, τότε το σύστημά σας θα κληρονομήσει<br />
αυτήν την ευπάθεια/<br />
Αυτό που παλιά ήταν μια απλή γραμμική αλυσίδα μπορεί,<br />
σήμερα, να είναι εξαιρετικά περίπλοκο. Καθώς στρεφόμαστε<br />
στρατηγικά όλο και περισσότερο στην εξωτερική<br />
ανάθεση (outsoursing) ως αποτελεσματική επιχειρηματική<br />
λύση, είναι ολοένα και πιο σημαντικό οι εξωτερικοί συνεργάτες<br />
/ μέλη της Εφοδιαστικής μας Αλυσίδας να είναι<br />
έμπιστοι και αξιόπιστοι να χειριστούν τα δεδομένα και<br />
τις διαδικασίες του οργανισμού με ασφάλεια ώστε να είμαστε<br />
σε θέση να διασφαλίσουμε την συνολική ασφάλεια και<br />
24 security
Παναγιώτης Καλαντζής<br />
Cyber <strong>Security</strong> & Data Privacy Expert<br />
προστασία της Εφοδιαστικής Αλυσίδας.Όπως κατέδειξε και<br />
η πανδημία, η αβεβαιότητα και η σύγχυση που μπορεί να<br />
προκαλέσει μια διαταραγμένη Εφοδιαστική Αλυσίδα στους<br />
οργανισμούς και την κοινωνία, μπορεί να έχει σημαντική<br />
επίπτωση στην ζωή μας. Επομένως, πρέπει να κάνουμε ό,τι<br />
μπορούμε για να τους προστατεύσουμε από την ευπάθεια.<br />
Σύγχρονα συμβάντα και ανησυχίες των<br />
Υπεύθυνων Ασφάλειας των Οργανισμών<br />
Οι επιθέσεις Εφοδιαστικής Αλυσίδας δεν είναι καινοφανείς.<br />
Η εμβληματική παραβίαση του επιχείρησης Target 1 στα<br />
τέλη του 2013 ήταν μια παραβίαση της Εφοδιαστικής Αλυσίδας.<br />
Οι εισβολείς μπήκαν στο υπολογιστικό περιβάλλον<br />
του οργανισμού χρησιμοποιώντας διαπιστευτήρια που είχαν<br />
κλαπεί από έναν τρίτο πάροχο υπηρεσιών και συστημάτων<br />
HVAC - την εταιρία Fazio Mechanical Services - δηλαδή<br />
μέσω της Εφοδιαστικής Αλυσίδας της Target. Η παραβίαση<br />
της Ticketmaster 2 το 2018 ήταν μια άλλη παραβίαση<br />
της Εφοδιαστικής Αλυσίδας Ένας προμηθευτής λογισμικού<br />
Ticketmaster, - η εταιρία Inbenta - παραβιάστηκε και το λογισμικό<br />
που η εταιρία προμήθευε στην Ticketmaster, μεταξύ<br />
άλλων πελατών, τροποποιήθηκε ώστε να αποτελέσει το<br />
όχημα της επίθεσης, μέσω της αυτόματης λήψης του λογισμικού<br />
ως νέα έκδοση. Το Island Hopping είναι μια άλλη<br />
μορφή επίθεσης στην Εφοδιαστική Αλυσίδα. Το 2017, αποκαλύφθηκε<br />
το Operation Cloud Hopper 3 . Αυτό αποκάλυψε<br />
ότι μια προηγμένη ομάδα κυβερνοεγκληματιών, πιθανώς η<br />
APT10, έθετε σε κίνδυνο τους διαχειριζόμενους πόρους και<br />
υπηρεσίες για να αποκτήσει πρόσβαση στους πελάτες του<br />
πάροχου. Παρά την δημοσιότητα που λαμβάνουν τα περιστατικά<br />
Ασφάλειας Εφοδιαστικής Αλυσίδας, φαίνεται ότι τα<br />
τελευταία δύο χρόνια, η δημοσιοποίηση πιο εκτεταμένων<br />
περιστατικών όπως η SolarWinds 4 , αλλά και το περιστατικό<br />
NotPetya 5 του 2017 που ξεκίνησε επίσης ως επίθεση στην<br />
Εφοδιαστική Αλυσίδα, έχει οδηγήσει τους οργανισμούς να<br />
συνειδητοποιήσουν την πλήρη απειλή από ολοένα και<br />
πιο εξελιγμένες και ευρείας κλίμακας επιθέσεις στην<br />
Εφοδιαστική Αλυσίδα. Σε αυτό το πλαίσιο, οι Υπεύθυνοι<br />
Ασφάλειας των Οργανισμών παγκοσμίως, αλλά και σε όλους<br />
τους επιχειρηματικούς τομείς και κλάδους, έχουν εκφράσεις<br />
πέντε κύριες ανησυχίες για την ασφάλεια της Εφοδιαστικής<br />
Αλυσίδας, που «τους κρατούν ξύπνιους τα βράδια»<br />
1. Προστασία δεδομένων. Τα δεδομένα βρίσκονται στο<br />
επίκεντρο των επιχειρησιακών συναλλαγών και πρέπει<br />
να ασφαλίζονται και να ελέγχονται τόσο όταν αποθηκεύονται,<br />
όσο και όταν μεταδίδονται μέσω δικτύων<br />
επικοινωνίας, για την αποφυγή παραβίασης και απώλεια<br />
δεδομένων. Η ασφαλής ανταλλαγή δεδομένων<br />
περιλαμβάνει επίσης την εμπιστοσύνη της ταυτότητας<br />
του ετέρου μέρους της επικοινωνίας.<br />
2. Τοπικότητα δεδομένων. Τα κρίσιμα δεδομένα του<br />
οργανισμού δυνητικά υπάρχουν σε όλα τα επίπεδα της<br />
Εφοδιαστικής Αλυσίδας και πρέπει να εντοπίζονται, να<br />
ταξινομούνται και να προστατεύονται ανεξάρτητα από<br />
το πού βρίσκονται. Σε κλάδους με αυξημένες κανονιστικές<br />
απαιτήσεις, όπως οι χρηματοοικονομικές<br />
υπηρεσίες και η υγειονομική περίθαλψη, τα δεδομένα<br />
πρέπει να συλλέγονται, να αποθηκεύονται, να διαχειρίζονται,<br />
να χρησιμοποιούνται και να ανταλλάσσονται<br />
σύμφωνα με τα πρότυπα του κλάδου και τις κυβερνητικές<br />
εντολές που ποικίλλουν ανάλογα με τις περιοχές<br />
στις οποίες ο οργανισμός δραστηριοποιείται.<br />
3. Ορατότητα και διακυβέρνηση δεδομένων. Στο σύγχρονο<br />
επιχειρησιακό περιβάλλον, όπου τα δίκτυα μεταξύ<br />
πολλαπλών οργανισμών όχι μόνο διευκολύνουν<br />
την ανταλλαγή δεδομένων, αλλά επιτρέπουν επίσης<br />
πρόσβαση σε δεδομένα, ώστε να μπορούν να προβάλλουν,<br />
να μοιράζονται και να συνεργάζονται. Οι συμμετέχουσες<br />
επιχειρήσεις απαιτούν έλεγχο των δεδομένων<br />
και τη δυνατότητα να αποφασίζουν με ποιον θα τα<br />
μοιραστούν και τι μπορεί να δει κάθε εξουσιοδοτημένο<br />
μέρος.<br />
1 https://www.zdnet.com/article/anatomy-of-the-target-data-breach-missed-opportunities-and-lessons-learned/<br />
2 https://cisomag.com/ticketmaster-hacked-payment-information-of-several-customers-may-have-been-compromised/<br />
3 https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/operation-cloud-hopper-what-you-need-to-know<br />
4 https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know<br />
5 https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/<br />
security<br />
25
T<strong>82</strong>11/12.2023<br />
Cover Issue<br />
4. Πρόληψη απάτης. Σε έναν κύκλο ενχρήματης συναλλαγής,<br />
τα δεδομένα αλλάζουν χέρια πολλές φορές,<br />
άλλοτε σε έντυπη μορφή και άλλοτε ηλεκτρονικά. Κάθε<br />
σημείο στο οποίο ανταλλάσσονται δεδομένα μεταξύ των<br />
μερών ή μεταφέρονται εντός συστημάτων παρουσιάζει<br />
μια ευκαιρία για παραποίηση - κακόβουλα ή ακούσια.<br />
5. Κίνδυνος τρίτων. Καθημερινά προϊόντα και υπηρεσίες<br />
– από κινητά τηλέφωνα μέχρι αυτοκίνητα<br />
– αυξάνονται σε πολυπλοκότητα. Ως αποτέλεσμα, οι<br />
Αλυσίδες Εφοδιασμού συχνά βασίζονται σε τέσσερα<br />
ή περισσότερα επίπεδα προμηθευτών για την παράδοση<br />
των τελικών προϊόντων. Καθένα από αυτά τα<br />
εξωτερικά μέρη μπορεί να εκθέσει τους οργανισμούς<br />
σε νέους κινδύνους με βάση την ικανότητά τους να<br />
διαχειρίζονται σωστά τις δικές τους ευπάθειες.<br />
Αυξημένη επικινδυνότητα, περισσότερο<br />
επιτηδευμένες επιθέσεις<br />
Για να αναπτυχθεί ένα αποτελεσματικό πρόγραμμα προστασίας<br />
της Εφοδιαστικής Αλυσίδας ενός οργανισμού, είναι<br />
σημαντικό να κατανοήσουμε γιατί οι επιθέσεις στον κυβερνοχώρο<br />
όχι μόνο αυξάνονται αλλά και ολοένα και πιο<br />
επιτυχημένες. Ο κύριος λόγος έγκειται στην πολυπλοκότητα<br />
των Αλυσίδων Εφοδιασμού και των ψηφιακών δικτύων<br />
των οργανισμών, τα οποία συχνά είναι πολυεπίπεδα. Για<br />
παράδειγμα, η Εφοδιαστική Αλυσίδα ενός κατασκευαστή αυτοκινήτων<br />
περιλαμβάνει πολυάριθμους πωλητές, κατασκευαστές,<br />
παρόχους υπηρεσιών και πελάτες που βασίζονται σε<br />
άλλους προμηθευτές, οι οποίοι, με τη σειρά τους, εξαρτώνται<br />
ακόμη από άλλους προμηθευτές. Όλοι αυτοί οι προμηθευτές<br />
συνδέονται στο ψηφιακό δίκτυο του οργανισμού και είναι<br />
επίσης συνδεδεμένοι με τα ψηφιακά δίκτυα των πωλητών<br />
και των πελατών τους, μέσω εξοπλισμού και λογισμικού, άλλων<br />
προμηθευτών. Σε ένα τέτοιο περιβάλλον, οι κίνδυνοι για<br />
την ασφάλεια στον κυβερνοχώρο των τρίτων μερών, καθίστανται<br />
επίσης κίνδυνοι του ίδιου του οργανισμού.<br />
Ένας άλλος παράγοντας είναι η χρήση υποδομών cloud.<br />
Καθώς οι Εφοδιαστικές Αλυσίδες μεγαλώνουν, οι οργανισμοί<br />
επενδύουν σε μεγαλύτερα και πιο σύνθετα δίκτυα<br />
προμηθειών, μετατοπίζοντας τον φόρτο εργασίας σε δημόσια<br />
ή ιδιωτικά δίκτυα cloud. Η αλλαγή αυξάνει την εξάρτηση<br />
των εταιρειών στους μηχανισμούς ασφαλείας των παρόχων<br />
cloud και μειώνει την ορατότητα σε πιθανούς κινδύνους.<br />
Ο ταχέως αυξανόμενος αριθμός συσκευών Ιnternet-of-<br />
Τhings που είναι συνδεδεμένες σε δίκτυα είναι επίσης ένας<br />
λόγος. Η τάση αυτή δημιουργεί πολλά ψηφιακά τελικά σημεία<br />
που μπορούν να είναι είσοδοι σε ένα δίκτυο. Τέλος, οι<br />
κυβερνοεγκληματίες χρησιμοποιούν διαρκώς πιο εξελιγμένα<br />
εργαλεία και τεχνικές για να εκμεταλλευτούν τα<br />
τρωτά σημεία στα ψηφιακά δίκτυα και τα πιθανά αδύναμα<br />
σημεία μπορεί να είναι δύσκολο να εντοπιστούν. Αποτέλεσμα<br />
αυτού, οργανισμοί με καθιερωμένες και αυξημένες<br />
δυνατότητες κυβερνοασφάλειας τίθενται σε κίνδυνο μέσω<br />
λιγότερο εξελιγμένων τρίτων μερών που είναι συνδεδεμένα<br />
στο δίκτυό τους.<br />
Υπάρχουν πολλές μορφές επιθέσεων στην Εφοδιαστική<br />
Αλυσίδα, αλλά τρεις είναι οι κύριες και πιο συχνές από αυτές:<br />
1. Επιθέσεις λογισμικού: Αυτές οι επιθέσεις επικεντρώνονται<br />
στον πηγαίο κώδικα του λογισμικού ενός<br />
προμηθευτή, όπου ο εισβολέας εισάγει τον κακόβουλο<br />
κώδικά του σε μια αξιόπιστη εφαρμογή. Υπάρχουν<br />
επίσης περιπτώσεις όπου ένας διακομιστής ενημέρωσης<br />
έχει παραβιαστεί, επιτρέποντας στον εισβολέα να<br />
αντικαταστήσει μια νόμιμη βιβλιοθήκη με τη δική του.<br />
2. Επιθέσεις υλικού: Αυτές οι επιθέσεις στοχεύουν<br />
φυσικές συσκευές όπως κάμερες web, δρομολογη-<br />
26 security
Book a Demo<br />
security<br />
27
T<strong>82</strong>11/12.2023<br />
Cover Issue<br />
τές και πληκτρολόγια. Η πιο διαδεδομένη μορφή περιλαμβάνει<br />
την εισαγωγή backdoors στο υλικό.<br />
3. Επιθέσεις υλικολογισμικού: Αυτός ο τύπος περιλαμβάνει<br />
την έγχυση κακόβουλου λογισμικού στον<br />
κώδικα εκκίνησης. Το κακόβουλο λογισμικό εκτελείται<br />
μετά την εκκίνηση του υπολογιστή, θέτοντας<br />
ολόκληρο το σύστημα σε κίνδυνο. Οι επιθέσεις υλικολογισμικού<br />
είναι γρήγορες, συχνά μη ανιχνεύσιμες<br />
(εκτός εάν προστατεύσετε συγκεκριμένα από αυτές)<br />
και εξαιρετικά επικίνδυνες.<br />
Οι παραπάνω τύποι επιθέσεων συνήθως έχουν σαν αποτέλεσμα<br />
μια ή παραπάνω από τις παρακάτω κύριες απειλές,<br />
που θέτουν σε κίνδυνο ή απενεργοποιούν κάποια ή το σύνολο<br />
των Εφοδιαστικών Αλυσίδων του οργανισμού.<br />
• Εκμετάλλευση ευπαθειών Managed Service.<br />
Πολλοί πάροχοι Εφοδιαστικής Αλυσίδας παρέχουν<br />
υπηρεσίες ή προϊόντα σε πολλούς οργανισμούς ταυτόχρονα<br />
μέσω διαχειριζόμενων υπηρεσιών. Αυτή η<br />
επεκτασιμότητα είναι ένα επιχειρησιακό πλεονέκτημα<br />
για τον πάροχο, αλλά προσελκύει κυβερνοεγκληματίες<br />
που στοχεύουν να προκαλέσουν τον όλεθρο σε<br />
μεγάλο αριθμό οργανισμών μαζικά.<br />
• Ευπάθειες Zero-day. Κενά λογισμικού και ευπάθειες<br />
που ανακαλύφθηκαν από κυβερνοεγκληματίες<br />
πριν από τους σχετικούς κατασκευαστές των αντίστοιχων<br />
λογισμικών ή υλικών ομάδων <strong>IT</strong><br />
• Ευπάθειες λογισμικού. Ο πιο συνηθισμένος τρόπος<br />
για τους κυβερνοεγκληματίες να παραβιάσουν τα<br />
δίκτυα της εφοδιαστικής αλυσίδας είναι μέσω λογισμικού.<br />
Μπορούν να εισάγουν κακόβουλο λογισμικό<br />
μέσω κακόβουλων ενημερώσεων ή τροποποιώντας<br />
τον πηγαίο κώδικά σχετικών λογισμικών ανοιχτού<br />
κώδικα. Η επιτυχία αυτών των επιθέσεων εξαρτάται<br />
συχνά από την εμπιστοσύνη μεταξύ οργανισμών κατά<br />
μήκος της Εφοδιαστικής Αλυσίδας.<br />
• Εμφυτευμένες κερκόπορτες. Οι κυβερνοεγκληματίες<br />
προσπαθούν ολοένα και περισσότερο να υπονομεύσουν<br />
τις κοινώς χρησιμοποιούμενες βιβλιοθήκες<br />
ή να δημιουργήσουν κακόβουλα εκδόσεις αυτών.<br />
Αυτές οι παραβιασμένες βιβλιοθήκες μπορεί να περιλαμβάνουν<br />
κερκόπορτες που έχουν σχεδιαστεί για<br />
να παρέχουν στον κυβερνοεγκληματία πρόσβαση σε<br />
εταιρικά δεδομένα ή συστήματα<br />
• Απειλές που χορηγούνται κρατικές οντότητες. Για<br />
τις ξένες κυβερνήσεις, οι Εφοδιαστικές Αλυσίδες που<br />
ανήκουν σε πολιτικούς αντιπάλους μπορεί να είναι τακτικά<br />
σημαντικές. Ξένοι κυβερνοεγκληματίες επιτίθενται<br />
σε Εφοδιαστικές Αλυσίδες για να διακόψουν ή να σταματήσουν<br />
τη ροή υπηρεσιών κοινής ωφελείας, αγαθών και<br />
υπηρεσιών, να κλέψουν πληροφορίες πληροφοριών, να<br />
αποσταθεροποιήσουν οικονομικές δραστηριότητες ή να<br />
αναλάβουν στρατιωτική δράση. Οργανισμοί με διασυνδέσεις<br />
με ξένους προμηθευτές θα πρέπει να είναι ιδιαίτερα<br />
προσεκτικοί απέναντι σε αυτήν την απειλή<br />
• Παραβιάσεις δεδομένων. Για πολλούς κυβερνοεγκληματίες,<br />
τα προσωπικά και οικονομικά δεδομένα<br />
είναι ο θησαυρός που αναζητούν. Οι Εφοδιαστικές<br />
Αλυσίδες περιλαμβάνουν μια σειρά από οργανισμούς,<br />
μεγάλους και μικρούς. Για έναν έμπειρο χάκερ, η επίθεση<br />
σε έναν μικρότερο οργανισμό με λιγότερο εξελιγμένες<br />
πρακτικές ασφαλείας και λιγότερους πόρους<br />
για συντήρηση λογισμικού είναι απλώς ένα πρώτο<br />
βήμα. Τα κλεμμένα διαπιστευτήρια μπορούν να ανοίξουν<br />
πόρτες σε μεγαλύτερους στόχους με μεγαλύτερες<br />
αποθήκες δεδομένων στην Εφοδιαστική Αλυσίδα.<br />
• Επιθέσεις Ransomware. Κακόβουλο λογισμικό<br />
που κρυπτογραφεί τα δεδομένα ή τα συστήματά του<br />
οργανισμού, καθιστώντας τα άχρηστα έως ότου πληρωθούν<br />
τα λύτρα, μπορεί να διαταράξει τις λειτουργίες<br />
της Εφοδιαστικής Αλυσίδας και να προκαλέσει<br />
σημαντικό χρόνο διακοπής λειτουργίας<br />
• Ευπαθείς / Παραβιασμένοι Συνεργάτες. Πολλοί<br />
οργανισμοί επιτρέπουν σε οργανισμούς τρίτων να<br />
έχουν πρόσβαση στα δίκτυα και τα συστήματά τους.<br />
Εάν ένας κυβερνοεγκληματίας παραβίασε αυτόν τον<br />
προμηθευτή ή συνεργάτη, μπορεί να εκμεταλλευτεί<br />
αυτή τη σχέση εμπιστοσύνης για να αποκτήσει πρόσβαση<br />
στο περιβάλλον του οργανισμού μας.<br />
Τέλος για να δώσουμε το ανάγλυφα το μέγεθος του προβλήματος,<br />
δεν πρέπει να ξεχνάμε ότι ενίοτε, οι ίδιες οι<br />
28 security
security<br />
29
T<strong>82</strong>11/12.2023<br />
Cover Issue<br />
εταιρείες κυβερνοασφάλειας είναι στόχοι επιθέσεων στην<br />
αλυσίδα εφοδιασμού. Για παράδειγμα, το δημοφιλές δωρεάν<br />
εργαλείο εκκαθάρισης, CC Cleaner 6 , προϊόν της Avast,<br />
παραβιάστηκε με μια κερκόπορτα που παρείχε πρόσβαση<br />
σε κυβερνοεγκληματίες στους εκατομμύρια υπολογιστές<br />
στους οποίους ήταν εγκατεστημένο το λογισμικό.<br />
Επάρκεια παραδοσιακών μηχανισμών<br />
κυβερνοασφάλειας και μετατόπιση τρόπου σκέψης<br />
Από τα παραπάνω, καθίσταται προφανές ότι οι παραδοσιακοί<br />
μηχανισμοί ασφάλειας που μπορεί ένας οργανισμός<br />
να έχει υλοποιήσει, δεν είναι πια επαρκείς. Ο<br />
οργανισμός δεν μπορεί να βασίζεται αποκλειστικά στα μέτρα<br />
ασφάλειας του έχει υλοποιήσει εσωτερικά. Δεν μπορεί να<br />
εστιάσει αποκλειστικά στους ανθρώπους, τις διαδικασίες και<br />
τα συστήματα και να υπάρχει η ψευδαίσθηση και ο εφησυχασμός<br />
ότι υπάρχει η μέγιστη δυνατή ασφάλεια. Όσο ο οργανισμός<br />
αποτελεί τμήμα μιας Εφοδιαστικής Αλυσίδας αξιόπιστων<br />
συνεργατών οι οποίοι έχουν πρόσβαση σε δεδομένα<br />
και συστήματα προκειμένου να εκπληρώσουν τον ρόλο τους,<br />
ένα περιστατικό ασφάλειας σε έναν μόνο κρίκο της αλυσίδας<br />
μπορεί να προκαλέσει αλυσιδωτή αντίδραση, επηρεάζοντας<br />
όλους τους άλλους οργανισμούς της Εφοδιαστικής Αλυσίδας.<br />
Είναι απαραίτητη η μετατόπιση του τρόπου σκέψης<br />
των υπεύθυνων του οργανισμού. Η κυβερνοασφάλεια<br />
οργανισμών που βασίζουν την ύπαρξή τους σε μια ομαλή<br />
λειτουργία Εφοδιαστικής Αλυσίδας δίνουν ολοένα και<br />
περισσότερο το προβάδισμα στη διαχείριση των σχετικών<br />
κινδύνων κυβερνοασφάλειας των προμηθευτών τους, όχι<br />
μόνο των δικών τους. Ο καταλύτης για αυτή τη μετατόπιση<br />
είναι διπλός. Πρώτον, οι οργανισμοί αναγνωρίζουν την<br />
ανάγκη για ανθεκτικότητα της Εφοδιαστικής Αλυσίδας ως<br />
αποτέλεσμα της πανδημίας, των γεωπολιτικών αλλαγών,<br />
των δυσμενών καιρικών συνθηκών και άλλων πρόσφατων<br />
γεγονότων που έχουν διαταράξει τους οργανισμούς.<br />
Δεύτερον, οι επιθέσεις κυβερνοασφάλειας σε εταιρικές<br />
Εφοδιαστικές Αλυσίδες αυξάνονται σε αριθμό, σοβαρότητα<br />
και πολυπλοκότητα. Σύμφωνα με το Ινστιτούτο Ponemon 7 ,<br />
το 98% των εταιρειών έχουν επηρεαστεί αρνητικά από μια<br />
παραβίαση που σημειώθηκε σε έναν οργανισμό στο δίκτυό<br />
τους. Το μακροπρόθεσμο κόστος, συμπεριλαμβανομένης<br />
της φήμης και άλλων ζημιών στην εταιρική αξία, μπορεί να<br />
είναι υψηλό.Για να διατηρήσουν την ανθεκτικότητά τους<br />
απέναντι στους κινδύνους κυβερνοασφάλειας στην Εφοδιαστική<br />
Αλυσίδα τους, οι οργανισμοί χρειάζονται μεγαλύτερη<br />
προβολή και επιρροή στα ψηφιακά συστήματα και τις πρακτικές<br />
των προμηθευτών καθώς και των πελατών τους. Με<br />
τον τρόπο αυτό μπορούν να κάνουν αισθητές βελτιώσεις<br />
στη δική τους ανθεκτικότητα εφαρμόζοντας ένα πρόγραμμα<br />
που διαχειρίζεται τους κινδύνους κυβερνοασφάλειας τρίτων<br />
στην Εφοδιαστική Αλυσίδα τους.<br />
Πρόγραμμα διαχείρισης κινδύνων<br />
Οι επιθέσεις στην Εφοδιαστική Αλυσίδα αποτελούν σημαντικό<br />
κίνδυνο για έναν οργανισμό και μπορεί να έχουν δραματικές<br />
επιπτώσεις. Οι οργανισμοί μπορούν να λάβουν μια<br />
ποικιλία μέτρων για να αποτρέψουν επιθέσεις στην αλυσίδα<br />
εφοδιασμού ή να ελαχιστοποιήσουν τον αντίκτυπό τους.<br />
Πυρήνας των μέτρων που ο οργανισμός θα πρέπει να πάρει<br />
για τη διασφάλιση της Εφοδιαστικής Αλυσίδας, αποτελεί η<br />
υλοποίηση ενός - ζωτικής σημασίας στο σημερινό ψηφιακό<br />
τοπίο - προγράμματος διαχείρισης κινδύνων. Πολλοί<br />
οργανισμοί έχουν επί του παρόντος μια κατακερματισμένη<br />
προσέγγιση για την ασφάλεια της Εφοδιαστικής Αλυσίδας<br />
και αντιμετωπίζουν προκλήσεις όπως η αναγνώριση και<br />
διαχείριση κινδύνου, η αξιολόγηση λογισμικού τρίτων, η<br />
περιορισμένη πληροφορία απειλών για έγκαιρη λήψη αποφάσεων<br />
και η έλλειψη επιχειρησιακής ανθεκτικότητας.<br />
Για την εξασφάλιση της Εφοδιαστικής Αλυσίδας, η υιοθέτηση<br />
μιας προληπτικής προσέγγισης που είναι καλά καθορισμένη,<br />
προσαρμοστική και βελτιστοποιημένη από δεδομένα<br />
και τεχνητή νοημοσύνη είναι ένα από τα πιο σημαντικά<br />
πράγματα που μπορεί να κάνει του ένας οργανισμός. Για μια<br />
τέτοια προσέγγιση, είναι απαραίτητη η εφαρμογή των κάτωθι<br />
πέντε κορυφαίων πρακτικών για την ανάπτυξη ενός<br />
σχεδίου διαχείρισης κινδύνων στον κυβερνοχώρο.<br />
6 https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack<br />
7 https://www.securityweek.com/98-of-firms-have-a-supply-chain-relationship-that-has-been-breached-analysis/<br />
30 security
security<br />
31
T<strong>82</strong>11/12.2023<br />
Cover Issue<br />
1. Πραγματοποίηση αξιολογήσεων κινδύνου. Τακτική<br />
αξιολόγηση των κινδύνων στον κυβερνοχώρο που<br />
σχετίζονται με την Εφοδιαστική Αλυσίδα του οργανισμού<br />
-συμπεριλαμβανομένων των συστημάτων και<br />
διαδικασιών που χρησιμοποιούνται από τους προμηθευτές.<br />
Προσδιορισμός τυχόν τρωτών σημείων και<br />
προτεραιοποίηση του μετριασμού των πιο κρίσιμων<br />
με μεγαλύτερο επιχειρηματικό αντίκτυπο.<br />
2. Καθιέρωση πρωτόκολλων ασφαλείας. Ορισμός<br />
σαφών πρωτόκολλων ασφαλείας για τους προμηθευτές,<br />
συμπεριλαμβανομένων κατευθυντήριων γραμμών<br />
για την προστασία δεδομένων, τον έλεγχο πρόσβασης<br />
και την απόκριση συμβάντων. Επιβεβαίωση<br />
ότι οι προμηθευτές διαθέτουν τα απαραίτητα μέτρα<br />
ασφαλείας, όπως τείχη προστασίας, κρυπτογράφηση,<br />
ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας<br />
πολλαπλών παραγόντων.<br />
3. Εφαρμογή συνεχούς παρακολούθησης. Συνεχής<br />
παρακολούθηση της Εφοδιαστικής Αλυσίδας για τυχόν<br />
περιστατικά ασφάλειας, συμπεριλαμβανομένων προσπαθειών<br />
hacking, παραβιάσεων δεδομένων και μολύνσεων<br />
από κακόβουλο λογισμικό. Καθιέρωση ενός<br />
σχεδίου αντιμετώπισης περιστατικών σε περίπτωση<br />
που συμβεί παραβίαση ασφαλείας και περιοδική εκτέλεση<br />
ασκήσεων και δοκιμών για την εξασφάλιση ότι το<br />
σχέδιο θα εκτελεστεί σύμφωνα με τον σχεδιασμό, όταν<br />
έρθει η ώρα τη μυϊκή μνήμη όταν έρθει η ώρα.<br />
4. Ενθάρρυνση της εκπαίδευσης των προμηθευτών.<br />
Οι περισσότεροι οργανισμοί εκπαιδεύουν το εργατικό<br />
δυναμικό τους σε θέματα και πρακτικές που σχετίζο-<br />
νται με την ασφάλεια στον κυβερνοχώρο για την προστασία<br />
των δεδομένων και των περιουσιακών στοιχείων<br />
του οργανισμού. Εάν η δομημένη εκπαίδευση<br />
δεν προσφέρεται από τον προμηθευτή, η επέκταση<br />
της εκπαίδευσης στους προμηθευτές του οργανισμού<br />
σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο<br />
και τη σημασία της προστασίας ευαίσθητων<br />
δεδομένων πρέπει να ενθαρρυνθεί.<br />
5. Τακτικός έλεγχος και ενημέρωση των πολιτικών.<br />
Ο τακτικός έλεγχος και η ενημέρωση των πολιτικών<br />
διαχείρισης κινδύνων στον κυβερνοχώρο είναι απαραίτητη,<br />
ώστε να βοηθήσει να παραμείνει ο οργανισμός<br />
μπροστά από τις εξελισσόμενες απειλές και να διατηρήσει<br />
το επίπεδο ασφάλειας της Εφοδιαστικής Αλυσίδας.<br />
Είναι επίσης αναγκαίος ο προσδιορισμός του κίνδυνου<br />
στον κυβερνοχώρο κατά τη φάση της ενσωμάτωσης ενός<br />
νέου προμηθευτή στην Εφοδιαστική Αλυσίδα του οργανισμού.<br />
Προτού ο οργανισμός συνάψει σύμβαση με έναν προμηθευτή,<br />
πρέπει να προσδιοριστεί όσο το δυνατόν ο κίνδυνος<br />
που η νέα προσθήκη ενέχει.<br />
Συνήθως, αυτό επιτυγχάνεται χρησιμοποιώντας ερωτηματολόγια<br />
ή αξιολογήσεις ασφαλείας που μπορούν να παρέχουν<br />
ένα πλαίσιο σχετικά με τους ελέγχους ασφαλείας των προμηθευτών<br />
σας και τις πρακτικές διαχείρισης κινδύνου. Πρέπει<br />
να αναγνωρίσουμε, ότι τα ερωτηματολόγια παρέχουν μόνο<br />
ένα στιγμιότυπο του κινδύνου. Καθώς οι προμηθευτές μεταμορφώνονται<br />
ψηφιακά, προσθέτουν νέους συνεργάτες και<br />
αναθέτουν λειτουργίες σε τρίτους, ο κίνδυνος στον κυβερνοχώρο<br />
αναδύεται συνεχώς, και πρέπει να αξιολογείται διαρκώς<br />
(ή ανά τακτά χρονικά διαστήματα). Επίσης, είναι άκρως<br />
32 security
απαραίτητος ο σχηματισμός μιας συνεργατικής ανώτερης<br />
ηγετικής ομάδας που μπορεί να εξασφαλίσει συμμετοχή<br />
σε θέματα ασφάλειας, πληροφορικής, προμηθειών, νομικών,<br />
μηχανικών και άλλων σχετικών λειτουργιών, καθώς και να<br />
λαμβάνει αποφάσεις συλλογικά<br />
• Καθιέρωση ενός επίσημου, διαφανούς προγράμματος<br />
διαχείρισης κινδύνων για την αλυσίδα εφοδιασμού με<br />
πολιτικές, διαδικασίες, ευθύνες και επαρκή προϋπολογισμό<br />
και προσωπικό<br />
• Προσδιορισμός και κατηγοριοποίηση των κρίσιμων<br />
προμηθευτών της εταιρείας<br />
• Καθορισμός των συστημάτων που είναι κρίσιμα για τη<br />
διασφάλιση της ακριβούς αναφοράς ουσιωδών αδυναμιών<br />
και σημαντικών ελλείψεων που σχετίζονται<br />
με τον κίνδυνο τρίτων<br />
Είναι αδύνατο να διασφαλιστεί η ασφάλεια από μια επίθεση<br />
στην αλυσίδα εφοδιασμού. Επομένως, ο πρωταρχικός στόχος<br />
της αμυνόμενης πλευράς θα πρέπει να είναι να σταματήσει<br />
την επίθεση σε πρώιμο στάδιο προτού ο επιτιθέμενος<br />
μπορέσει να αποκτήσει βάση μέσα στην υποδομή και να<br />
προκαλέσει ζημιά.<br />
Παρά την αυξανόμενη τεχνολογική πολυπλοκότητα των<br />
επιθέσεων στον κυβερνοχώρο στα δίκτυα της εφοδιαστικής<br />
αλυσίδας, το ανθρώπινο λάθος εξακολουθεί να είναι η<br />
κύρια αιτία παραβιάσεων της ασφάλειας στον κυβερνοχώρο.<br />
Η αύξηση της ευαισθητοποίησης για την ασφάλεια<br />
των πληροφοριών είναι ένα ουσιαστικό επίπεδο άμυνας.<br />
Η εκπαίδευση / ευαισθητοποίηση πρέπει να περιλαμβάνει<br />
κατ’ ελάχιστο<br />
- ασφάλεια στον κυβερνοχώρο<br />
- ασφάλεια των πληροφοριών με ενημέρωση για πιθανούς<br />
φορείς επίθεσης και κοινές τεχνικές επίθεσης<br />
στην αλυσίδα εφοδιασμού σας<br />
- χαρακτηριστικά ασφαλών προμηθευτών, και αναζήτηση<br />
ευπαθειών προμηθευτών<br />
- σενάρια που απεικονίζουν τον αντίκτυπο των επιθέσεων<br />
στον κυβερνοχώρο σε διάφορους ρόλους εργαζομένων,<br />
στον οργανισμό συνολικά και σε συνεργάτες<br />
στην αλυσίδα εφοδιασμού<br />
- εξελισσόμενες τεχνικές απειλών, εργαλεία και μαθήματα<br />
για την βελτίωση των συμπεριφορών τους αναφορικά<br />
με την ασφάλεια στον κυβερνοχώρο<br />
- την σημασία της ασφάλειας σύνδεσης και κωδικού πρόσβασης<br />
για την πρόληψη επιθέσεων στον κυβερνοχώρο<br />
και την ανθεκτικότητα της αλυσίδας εφοδιασμού<br />
- εκπαίδευση και δοκιμές για τον εντοπισμό μηνυμάτων<br />
ηλεκτρονικού ψαρέματος, την προστασία του λο-<br />
γισμικού και των συσκευών τους και την αναγνώριση<br />
κακόβουλου λογισμικού<br />
- ενημερωμένες, σχετικές και ενδιαφέρουσες πληροφορίες<br />
Η προώθηση μιας κουλτούρας κυβερνοασφάλειας στον<br />
οργανισμό και σε ολόκληρη την Εφοδιαστική Αλυσίδα είναι<br />
απαραίτητη για τη διασφάλιση της ακεραιότητας των λειτουργιών.<br />
Η ανοιχτή επικοινωνία και η συνεργασία μεταξύ του<br />
οργανισμού και των συνεργατών στην Εφοδιαστική Αλυσίδα<br />
πρέπει να ενθαρρύνεται, τονίζοντας τη σημασία της κοινής<br />
ευθύνης για τη διατήρηση ενός ασφαλούς ψηφιακού οικοσυστήματος.<br />
Όπως επισημαίνουν οι ειδικοί, η αυτοματοποίηση<br />
της πλειονότητας των χειροκίνητων διαδικασιών στη διαχείριση<br />
της εφοδιαστικής αλυσίδας είναι ζωτικής σημασίας. Είναι<br />
ένα κρίσιμο βήμα προς τη μείωση των κινδύνων που προκύπτουν<br />
από ανθρώπινα λάθη και άλλους τομείς. Ένα σωστά<br />
διαμορφωμένο τείχος προστασίας δεν θα πρέπει μόνο να<br />
αποκλείει μια προσπάθεια πρόσβασης αλλά και να καταγράφει<br />
την ώρα, τον κόμβο που δέχεται επίθεση και τη διεύθυνση<br />
από την οποία πραγματοποιήθηκε η επίθεση. Τα εργαλεία<br />
εκτεταμένης ανίχνευσης και απόκρισης (XDR) ενοποιούν<br />
όλα τα δεδομένα σε μια κεντρική τοποθεσία, επιτρέποντας<br />
στους ειδικούς ασφάλειας να εντοπίζουν άμεσα τις απειλές,<br />
να εντοπίζουν το ταξίδι του εισβολέα στην υποδομή της<br />
εταιρείας και να τις εξουδετερώνουν. Χωρίς αυτή την παρακολούθηση,<br />
οι κυβερνοεγκληματίες μπορούν ενδεχομένως<br />
να παραμείνουν απαρατήρητοι για μήνες, έχοντας πρόσβαση<br />
σε κρίσιμες πληροφορίες όλη την ώρα. Η προσεκτική παρακολούθηση<br />
κάθε τελικού σημείου μπορεί να βοηθήσει στον<br />
έγκαιρο εντοπισμό ύποπτων δραστηριοτήτων. Κάθε διακομιστής<br />
και υπολογιστής στο δίκτυο ενός οργανισμού πρέπει<br />
να συλλέγει αρχεία καταγραφής συμβάντων. Εάν κάποιος<br />
αποκτήσει απομακρυσμένη πρόσβαση στο λογαριασμό ενός<br />
υπαλλήλου και επιχειρήσει να σπάσει κωδικούς πρόσβασης<br />
μέσω επίθεσης ωμής βίας, αυτές οι προσπάθειες ελέγχου<br />
ταυτότητας θα καταγραφούν και θα αντικατοπτρίζονται σε αρ-<br />
security<br />
33
T<strong>82</strong>11/12.2023<br />
Cover Issue<br />
χεία καταγραφής.,Ιδιαίτερη έμφαση θα πρέπει να δοθεί στην<br />
αντιμετώπιση περιστατικών, εστιάζοντας στην ανάπτυξη<br />
στρατηγικών για τον περιορισμό των περιστατικών και<br />
την ελαχιστοποίηση των ζημιών. Είναι ζωτικής σημασίας να<br />
διαμορφωθεί ένα ολοκληρωμένο σχέδιο και να διαδοθεί<br />
σε όλους τους εργαζόμενους, αναφέροντας λεπτομερώς<br />
τις κατάλληλες διαδικασίες που πρέπει να ακολουθούνται<br />
σε καταστάσεις έκτακτης ανάγκης. Αυτό θα μπορούσε να<br />
περιλαμβάνει οδηγίες σχετικά με το ποιος να ειδοποιηθεί<br />
σε περίπτωση απροσδόκητης δέσμευσης σε ένα χώρο αποθήκευσης,<br />
ανακάλυψης άγνωστων αρχείων ή ασυνήθιστης<br />
συμπεριφοράς του συστήματος. Η διασφάλιση ότι όλοι οι<br />
εργαζόμενοι έχουν πλήρη επίγνωση των ρόλων και<br />
των ευθυνών τους είναι πρωταρχικής σημασίας. Επίσης, η<br />
διατήρηση σαφούς και αποτελεσματικής επικοινωνίας τόσο<br />
κατά τη διάρκεια όσο και μετά από ένα περιστατικό είναι<br />
ζωτικής σημασίας.Η αξιολόγηση της στρατηγικής ασφάλειας<br />
θεωρείται αναγκαία για τον προσδιορισμό του κινδύνου<br />
και της συμμόρφωσης. Σε αυτό το πλαίσιο, πρέπει να γίνει<br />
αξιολόγηση της υφιστάμενης διακυβέρνησης ασφάλειας,<br />
συμπεριλαμβανομένων των πτυχών του απορρήτου των<br />
δεδομένων, του κινδύνου τρίτων, και των αναγκών και<br />
κενών συμμόρφωσης με τους κανονιστικούς κανόνες της<br />
πληροφορικής. Αυτό αποτελεί σημαντική προσέγγιση έναντι<br />
των επιχειρηματικών προκλήσεων, απαιτήσεων και στόχων.<br />
Οι πρακτικές της ασφάλειας περιλαμβάνουν την ποσοτικοποίηση<br />
των κινδύνων, την ανάπτυξη προγραμμάτων<br />
ασφαλείας, τη συμμόρφωση με κανονισμούς και πρότυπα,<br />
καθώς και την εκπαίδευση σε θέματα ασφάλειας. Η μείωση<br />
της ευπάθειας περνά από δοκιμές διείσδυσης, με την εντοπισμό<br />
προβλημάτων όπως κακές διαμορφώσεις βάσεων<br />
δεδομένων, ανεπαρκείς πολιτικές κωδικών πρόσβασης και<br />
απομάκρυνση προεπιλεγμένων κωδικών πρόσβασης. Η<br />
χρησιμοποίηση ειδικών σε δοκιμές διείσδυσης<br />
είναι ζωτικής σημασίας για τον εντοπισμό ευπαθών<br />
σημείων σε όλες τις πτυχές νέων και παλαιών<br />
εφαρμογών, υποδομής πληροφορικής<br />
και ανθρώπινου παράγοντα, μέσω προσομοίωσης<br />
phishing και κόκκινης ομαδοποίησης.Η<br />
αναγνώριση και κρυπτογράφηση των δεδομένων<br />
αποτελούν ουσιώδες τμήμα των<br />
προγραμμάτων και των πολιτικών προστασίας<br />
δεδομένων. Τα εν λόγω προγράμματα και πολιτικές<br />
θα πρέπει να ενσωματώνουν εργαλεία<br />
εντοπισμού και ταξινόμησης, με σκοπό τον<br />
εντοπισμό βάσεων δεδομένων και αρχείων<br />
που περιλαμβάνουν ευαίσθητες πληροφορίες<br />
πελατών, οικονομικά δεδομένα και προσωπικά αρχεία. Μόλις<br />
ανιχνευθούν τα δεδομένα, η χρήση των πιο πρόσφατων<br />
προτύπων και πολιτικών κρυπτογράφησης προστατεύει<br />
τα δεδομένα κατά την αποθήκευση και τη μεταφορά, καλύπτοντας<br />
πλήθος τύπων δεδομένων, όπως πληροφορίες<br />
πελατών, οικονομικά στοιχεία, παραγγελίες, αποθέματα,<br />
συσκευές Internet of Things (IoT), υγεία και άλλα. Καθώς<br />
οι συνδέσεις και οι αλληλεξαρτήσεις μεταξύ εταιρειών και<br />
τρίτων αυξάνονται σε όλο το οικοσύστημα της εφοδιαστικής<br />
αλυσίδας, οι οργανισμοί πρέπει να επεκτείνουν τον ορισμό<br />
τους για τη διαχείριση κινδύνου πωλητή για να συμπεριλάβουν<br />
ασφάλεια από άκρο σε άκρο. επιτρέπει στις εταιρείες<br />
να αξιολογούν, να βελτιώνουν, να παρακολουθούν και να<br />
διαχειρίζονται τον κίνδυνο καθ' όλη τη διάρκεια της σχέσης.,<br />
ειδικά δε σε περίπτωση παραβίασης συμμόρφωσης, τερματισμού<br />
λειτουργίας συστήματος ή παραβίασης δεδομένων.<br />
Βέλτιστες πρακτικές<br />
Άλλες βέλτιστες πρακτικές ασφάλειας της Εφοδιαστικής<br />
Αλυσίδας μπορούν να περιλαμβάνουν τα ακόλουθα:<br />
• Αρχή ελάχιστου προνομίου: Η αρχή του ελάχιστου<br />
προνομίου δηλώνει ότι οι χρήστες, οι εφαρμογές, τα<br />
συστήματα κ.λπ. πρέπει να έχουν μόνο την πρόσβαση<br />
και τα δικαιώματα που απαιτούνται για τον ρόλο τους.<br />
Η ελαχιστοποίηση της πρόσβασης περιορίζει τη ζημία<br />
που μπορεί να προκαλέσει μια παραβιασμένη εφαρμογή<br />
ή προμηθευτής.<br />
• Τμηματοποίηση Δικτύου: Η τμηματοποίηση δικτύου<br />
χωρίζει ένα δίκτυο σε πολλά κομμάτια με βάση το σκοπό<br />
και το επίπεδο εμπιστοσύνης. Η τμηματοποίηση δικτύου<br />
καθιστά πιο δύσκολο για έναν εισβολέα να μετακινηθεί<br />
μέσω του εταιρικού δικτύου χωρίς εντοπισμό.<br />
• DevSecOps: Το παράδειγμα (paradigm) DevSecOps<br />
34 security
υποστηρίζει την ενσωμάτωση της ασφάλειας στον<br />
κύκλο ζωής της ανάπτυξης. Λαμβάνοντας υπόψη<br />
πιθανές ανησυχίες για την ασφάλεια νωρίτερα στη<br />
διαδικασία ανάπτυξης, οι οργανισμοί μπορούν ενδεχομένως<br />
να εντοπίσουν και να αποκαταστήσουν τις<br />
ευπάθειες της εφοδιαστικής αλυσίδας πριν οι εφαρμογές<br />
φτάσουν στην παραγωγή.<br />
• Σάρωση ευπαθειών: Οι σαρωτές ευπάθειας έχουν<br />
τη δυνατότητα να εντοπίζουν τόσο γνωστά όσο και<br />
άγνωστα τρωτά σημεία σε μια εφαρμογή. Οι τακτικές<br />
σαρώσεις ευπάθειας επιτρέπουν σε έναν οργανισμό<br />
να εντοπίζει και να ανταποκρίνεται γρήγορα σε νέα<br />
τρωτά σημεία στον κώδικα τρίτων.<br />
• Ανάλυση Σύνθεσης Λογισμικού (SCA): Το SCA<br />
εντοπίζει αυτόματα τις εξαρτήσεις μέσα σε μια εφαρμογή.<br />
Η εκτέλεση SCA επιτρέπει σε έναν οργανισμό<br />
να διατηρήσει την ορατότητα της χρήσης του κώδικα<br />
τρίτων κατασκευαστών και να παρακολουθεί αυτόν<br />
τον κώδικα για τρωτά σημεία ή πιθανές κερκόπορτες.<br />
• Αυτοματοποιημένη ασφάλεια: Η προληπτική άμυνα<br />
είναι απαραίτητη για την ελαχιστοποίηση του κινδύνου<br />
και των επιπτώσεων των επιθέσεων σε έναν οργανισμό.<br />
Οι αναλυτές SOC θα πρέπει να χρησιμοποιούν<br />
άμυνες εστιασμένες στην πρόληψη για την ασφάλεια<br />
των διαδικτυακών εφαρμογών.<br />
• Κυνήγι απειλών: Το κυνήγι απειλών είναι η πρακτική<br />
της προληπτικής αναζήτησης άγνωστων απειλών μέσα<br />
στο περιβάλλον ενός οργανισμού. Το κυνήγι απειλών<br />
μπορεί να βοηθήσει στον εντοπισμό των εισβολέων<br />
που έχουν αποκτήσει πρόσβαση σε εταιρικά συστήματα<br />
μέσω επιθέσεων στην αλυσίδα εφοδιασμού.<br />
Τέλος, είναι αναγκαίο να τονίσουμε ότι η ασφάλεια Εφοδιαστικής<br />
Αλυσίδας είναι μια πολύπλοκη άσκηση. Σε έναν μεγάλο<br />
οργανισμό, ο τεράστιος αριθμός τρίτων μερών μπορεί<br />
να είναι ένα από τα μεγαλύτερα εμπόδια στην εφαρμογή<br />
ενός προγράμματος διαχείρισης κινδύνου. Σε αυτή την περίπτωση,<br />
προτείνεται η σταδιακή εφαρμογή των παραπάνω<br />
μέτρων, δίνοντας προτεραιότητα σε περιοχές, επιχειρηματικές<br />
μονάδες ή σειρές προϊόντων - όποιες περιοχές έχουν<br />
τρίτους που ενέχουν υψηλότερο κίνδυνο.<br />
Επίλογος<br />
Ο αριθμός, η σοβαρότητα και η πολυπλοκότητα των επιθέσεων<br />
στον κυβερνοχώρο αυξάνονται καθώς οι Εφοδιαστικές<br />
Αλυσίδες των εταιρειών γίνονται πιο περίπλοκες, αποτέλεσμα<br />
πολλαπλών επιπέδων δικτύου και πολυάριθμων ψηφιακών<br />
τερματικών σημείων. Σχεδόν όλες οι εταιρείες - 98% - έχουν<br />
επηρεαστεί αρνητικά από μια παραβίαση της κυβερνοασφάλειας<br />
που σημειώθηκε στην Εφοδιαστική τους Αλυσίδα. Η<br />
πρόβλεψη ότι οι επιθέσεις αυτές θα αυξηθούν το 2024 είναι<br />
τεκμηριωμένη και αναπόφευκτη.Οι εταιρείες που διαχειρίζονται<br />
προληπτικά τους κινδύνους κυβερνοασφάλειας τρίτων<br />
μερών μπορούν να βελτιώσουν σημαντικά τη συνολική ανθεκτικότητα<br />
της Εφοδιαστικής Αλυσίδας. Όσο έμμεσα κι αν<br />
είναι συνδεδεμένο ένα σύστημα προμηθευτών με του οργανισμού<br />
σας, οι ευπάθειές του γίνονται δική σας ευθύνη. Είστε<br />
τόσο ασφαλείς όσο ο πιο αδύναμος κρίκος στην Εφοδιαστική<br />
Αλυσίδα. Οι εταιρείες που εφαρμόζουν μια καλά σχεδιασμένη<br />
προσέγγιση για τη διαχείριση της ασφάλειας στον κυβερνοχώρο<br />
της Εφοδιαστικής Αλυσίδας μπορούν να μειώσουν<br />
τους κινδύνους και να μειώσουν το κόστος. Εάν μια επίθεση<br />
στην Εφοδιαστική Αλυσίδα πετύχει, οι συνέπειες μπορεί να<br />
είναι σοβαρές. Θα μπορούσε να οδηγήσει όχι μόνο σε σημαντική<br />
οικονομική ζημιά και στη φήμη ή σε συμβιβασμό της<br />
υποδομής πληροφορικής, αλλά θα μπορούσε επίσης να σταματήσει<br />
εντελώς την παραγωγή ή ακόμη και να προκαλέσει<br />
περιβαλλοντική καταστροφή.<br />
Συμπερασματικά, ο ρόλος της κυβερνοασφάλειας στη<br />
διαχείριση της Εφοδιαστικής Αλυσίδας για τους οργανισμούς<br />
είναι κρίσιμος για τη διασφάλιση της ακεραιότητας<br />
και της επιτυχίας των λειτουργιών τους. Εφαρμόζοντας<br />
βέλτιστες πρακτικές και ενισχύοντας μια κουλτούρα<br />
κυβερνοασφάλειας σε όλη την Εφοδιαστική Αλυσίδα, θα<br />
ενισχύσετε τους κρίκους στην ψηφιακή σας αλυσίδα και θα<br />
προστατεύσετε την επιχείρησή σας από πιθανές απειλές.<br />
Η επένδυση στην κυβερνοασφαλεια της Εφοδιαστικής<br />
Αλυσίδας όχι μόνο βοηθά στην προστασία της μικρής επιχείρησής<br />
σας από πιθανές απειλές, αλλά προσφέρει επίσης<br />
πολλά πρόσθετα οφέλη:<br />
• Βελτιωμένη φήμη: Η επίδειξη της δέσμευσής του<br />
οργανισμού για την κυβερνοασφάλεια Εφοδιαστικής<br />
Αλυσίδας μπορεί να βοηθήσει στην οικοδόμηση εμπιστοσύνης<br />
με τους πελάτες, τους συνεργάτες και τους<br />
ενδιαφερόμενους φορείς.<br />
• Βελτιωμένη λειτουργική αποτελεσματικότητα:<br />
Μια ασφαλής Εφοδιαστική Αλυσίδα είναι λιγότερο<br />
επιρρεπής σε διακοπές, επιτρέποντάς την διατήρηση<br />
να διατηρείτε συνεπών λειτουργιών και την ικανοποίηση<br />
των απαιτήσεων των πελατών.<br />
• Ανταγωνιστικό πλεονέκτημα: Η ιεράρχηση της κυβερνοασφάλειας<br />
Εφοδιαστικής Αλυσίδας σας μπορεί<br />
να δώσει ανταγωνιστικό πλεονέκτημα έναντι ανταγωνιστών<br />
που ενδέχεται να μην λαμβάνουν τις ίδιες<br />
προφυλάξεις<br />
security<br />
35
T<strong>82</strong>11/12.2023<br />
Issue<br />
Χτίζοντας το οχυρό: οι συνεργάτες<br />
έξω από την πύλη!<br />
τη σημερινή ψηφιακή καθημερινότητα και το<br />
Σ<br />
ηλεκτρονικό εμπόριο, οι περισσότερες συναλλαγές<br />
είναι άρρηκτα συνδεδεμένες με<br />
το ψηφιακό αποτύπωμα των επιχειρήσεων.<br />
Λόγω αυτού επιτυγχάνουμε γρήγορες,<br />
άμεσες και αυτοματοποιημένες συναλλαγές, ενώ αναπόφευκτα<br />
ερχόμαστε αντιμέτωποι με περισσότερες ευπάθειες σε<br />
ηλεκτρονικές απειλές. Τα ψηφιακά οχυρά, για τα οποία είμαστε<br />
υπεύθυνοι, έχουν την τάση να χαλαρώνουν τις απαιτήσεις<br />
όταν έχουν απέναντι τους έναν έμπιστο συνεργάτη, προκειμένου<br />
να διεκπεραιώνονται τα θέματα ευκολότερα.<br />
Τι σημαίνει συνεργάτης πρακτικά; Κάποια επιχείρηση<br />
με την οποία διαθέτουμε κάποιο επίπεδο συνεργασίας και<br />
εμπιστοσύνης, το οποίο μεταφράζεται πιθανά σε κάποια<br />
σύμβαση μέσω της οποίας προμηθευόμαστε<br />
ή προμηθεύουμε<br />
ψηφιακά ή μη αγαθά. Ο ψηφιακός<br />
μετασχηματισμός έχει οδηγήσει<br />
σε αμέτρητες e-λύσεις και<br />
εξειδικεύσεις, οπότε οι πολλαπλοί<br />
συνεργάτες είναι κλειδί εξέλιξης<br />
και επιτυχίας για κάθε επιχείρηση.<br />
Φυσικό επακόλουθο είναι με<br />
κάθε επέκταση της υποδομής να<br />
προκύπτουν και νέα ρίσκα.<br />
Ας ξεκινήσουμε με το να κατανοήσουμε<br />
το εύρος των απειλών<br />
και μερικά από τα κυριότερα<br />
ρίσκα. Υποθετικά, κάποιος<br />
συνεργάτης μας πέφτει θύμα<br />
επίθεσης. Αυτό πιθανά σημαίνει<br />
ότι ο οργανισμός μας είναι από<br />
τους επόμενους στόχους. Ισχύει<br />
ωστόσο και το αντίθετο σενάριο<br />
, να είναι ο οργανισμός μας<br />
ο στόχος και οι συνεργάτες μας<br />
να είναι ένας πιο εύκολος τρόπος<br />
εισόδου. Η γενικότερη αρχή αφορά<br />
στην εύκολη πρόσβαση των<br />
συνεργατών μας σε συστήματα<br />
και δεδομένα του οργανισμού<br />
μας, προκειμένου να μας παρέχουν κάποιου είδους υπηρεσία,<br />
όπως τεχνική υποστήριξη, συμβουλευτικές υπηρεσίες,<br />
outsourcing κ.α.. Αν ο οργανισμός μας συμβιβαστεί με ενδεχομένως<br />
χαμηλού επιπέδου ασφάλεια του περιβάλλοντος<br />
συνεργασίας, αποδυναμώνεται η συνολική επιφάνεια άμυνας<br />
του.Ξεκινώντας από το προφανές, το Social Engineering<br />
παραμένει δημοφιλής τρόπος απάτης. Οι γνωστοί-άγνωστοι<br />
συχνά επιλέγουν το supply chain για να εκτελέσουν ένα επιτυχημένο<br />
phishing ή spear-phishing attack.<br />
Ένα καλοσχεδιασμένο κακόβουλο email που εμφανίζεται<br />
σαν γνωστή πηγή είναι πολύ πιο αποδοτικό. Το μόνο που<br />
χρειάζεται να κάνει ένας επιτιθέμενος, είναι να ψάξει για<br />
ανακοινώσεις συνεργασιών, πελατολόγια ή και social media<br />
posts για να διαπιστώσει τυχόν συνεργασίες.<br />
36 security
Του Γιάννη Παυλίδη<br />
Senior <strong>Security</strong> Solutions Architect, Uni Systems<br />
www.unisystems.com<br />
Πέραν αυτού, χρειάζεται περισσότερη προσοχή σε περιπτώσεις<br />
όπου οι υπηρεσίες συνοδεύονται από third-party<br />
συσκευές εντός του δικτύου, όπως IoT devices για την παροχή<br />
υπηρεσιών. Αν η ασφάλεια των συσκευών, και πιο<br />
συγκεκριμένα η τεχνική συμμόρφωση των συσκευών (π.χ.<br />
vulnerability & configuration management) δεν διαχειρίζεται<br />
επαρκώς, πιθανά να υπάρξουν σημεία εισόδου που θα<br />
εξελιχθούν σε ανοιχτή πρόσβαση σε άλλα εσωτερικά πληροφοριακά<br />
συστήματα.<br />
Το ίδιο ισχύει και για vulnerabilities λογισμικού που χρησιμοποιεί<br />
μια επιχείρηση as a Service. Αντίστοιχα και σε αυτή<br />
την περίπτωση, αν δεν υπάρχει πρόγραμμα ελέγχου και<br />
διαχείρισης ευπαθειών, μπορεί η επιχείρηση να είναι υποψήφια<br />
για exploitations. Επιπλέον, ένα σετ από υποκλεμμένα<br />
credentials μπορεί να δώσει πρόσβαση σε πολύτιμα, ευαίσθητα<br />
δεδομένα του οργανισμού μας. Ιδιαίτερη σημασία<br />
θα πρέπει να δοθεί στη σωστή τεκμηρίωση και επαρκή παρακολούθηση<br />
δεικτών (KPIs) για την προμήθεια Managed<br />
Services ή SaaS. Στις περιπτώσεις αυτές, ο πάροχος είναι<br />
υπεύθυνος για την ασφάλεια των λύσεων με βάση το cloud<br />
responsibility matrix, οπότε η παρακολούθηση της ασφάλειας<br />
θα πρέπει να είναι συμβασιοποιημένη και μετρήσιμη.<br />
Η ασφάλεια ενός οργανισμού είναι μια αλυσίδα και είναι<br />
θέμα χρόνου να δοκιμάσει κάποιος να εισέλθει από τον<br />
αδύναμο κρίκο. Κάθε επιχείρηση με σαφές επιχειρηματικό<br />
πλάνο, πλάνο διαχείρισης ασφάλειας και επιχειρησιακής<br />
συνέχειας, οφείλει να λαμβάνει υπόψη τους αναδυόμενους<br />
κινδύνους που απορρέουν από την εμπορική σχέση της με<br />
τους συνεργάτες της. Θυμίζει κάτι; Και εδώ ισχύει η λογική<br />
του Zero Trust.<br />
Πως μπορεί ένας οργανισμός να προστατεύσει<br />
τους πόρους και τα δεδομένα του όταν πρέπει να<br />
δώσει πρόσβαση σε τρίτους;<br />
Ξεκινώντας από τα οργανωτικά μέτρα, μια συνεργασία συνήθως<br />
διασφαλίζεται μέσα από μια σύμβαση. Είναι απαραίτητο<br />
να υπάρχει ενότητα με απαιτήσεις που αφορούν την<br />
ασφάλεια των δεδομένων του οργανισμού. Αυτό μπορεί να<br />
εξασφαλιστεί μέσω πολιτικής ή checklists όπου ορίζουμε<br />
ελάχιστες απαιτήσεις στις συμβάσεις. Ας μην ξεχνάμε άλλωστε<br />
πως κανονισμοί όπως ο GDPR υπενθυμίζουν την ευθύνη<br />
που έχει ο οργανισμός, καθώς αυτός δίνει πρόσβαση και<br />
παρέχει τα δεδομένα.<br />
Στη συνέχεια, καλή πρακτική είναι να ζητείται από συνεργάτες<br />
κάποια αναφορά περί των αντιμέτρων, οργανωτικών ή<br />
τεχνικών, ώστε να αξιολογηθεί η ωριμότητα τους. Κάτι τέτοιο<br />
μπορεί να γίνει με διάφορους τρόπους, ανάλογα πάντα<br />
με την κρισιμότητα των δεδομένων και την επίπτωση που θα<br />
μπορούσε να έχει η πιθανή προσβολή τους.<br />
Ένας τρόπος να γίνει αυτό είναι με την παροχή ερωτηματολογίου,<br />
το οποίο πρώτον θα βοηθήσει τον οργανισμό να<br />
υπολογίσει το ρίσκο πιθανής συνεργασίας με εξωτερικούς<br />
παράγοντες και δεύτερον, θα αποτελέσει ένα πειστήριο δέουσας<br />
επιμέλειας σε περιπτώσεις ελέγχων ή επιθεωρήσεων.<br />
Εκτός αυτού, υπάρχουν διαθέσιμες εξειδικευμένες πλατφόρμες,<br />
οι οποίες μπορούν να ελέγξουν για ευπάθειες της<br />
εξωτερικής υπόστασης ενός οργανισμού, δίνοντας μια εικόνα<br />
περί της ψηφιακής του υγιεινής.<br />
Τέλος, για τις περιπτώσεις όπου τα δεδομένα που διαμοιράζεται<br />
ο οργανισμός απαιτούν μεγαλύτερη ασφάλεια, συνηθίζεται<br />
να ζητούνται συγκεκριμένες πιστοποιήσεις για το<br />
εύρος των υπηρεσιών που παρέχονται, όπως οι ISO<br />
27001, ISO 27701, ISO 22301, PCI DSS, κ.α.. Φυσικά,<br />
οι προηγούμενες θα μπορούσαν να συνοδεύονται από αντίστοιχες<br />
επιθεωρήσεις, δηλαδή ο οργανισμός μας να επιθεωρήσει<br />
τον συνεργάτη. Τέλος, μπορούμε να ζητήσουμε και<br />
περισσότερα δεδομένα, όπως αναφορές προηγούμενων<br />
audits, penetration test reports, κ.α..<br />
Τέλος, να μην ξεχνάμε τον πιο σημαντικό παράγοντα, τον<br />
χρήστη. Καλή εκπαίδευση στο χρήστη ώστε να μπορεί να<br />
αναγνωρίζει, αλλά κυρίως και να αναφέρει τυχόν περιστατικά<br />
που μπορεί να υποπέσουν στην αντίληψη του. Αυτό απαιτεί<br />
συνεχείς εκπαιδεύσεις, newsletters και προσομοιώσεις<br />
phishing επικοινωνιών. Τα παραπάνω μέτρα είναι κυρίως<br />
οργανωτικά, τα οποία συμπληρώνουν τα υπάρχοντα τεχνικά<br />
που διαθέτουμε. Εδώ είναι απαραίτητη μια επανάληψη, Zero<br />
Trust λογική και αρχιτεκτονική. Φερόμαστε στον εξωτερικό<br />
συνεργάτη όπως σε οποιονδήποτε άλλο εξωτερικό<br />
παράγοντα, με μηδενική εμπιστοσύνη, συνεχή επιβεβαίωση<br />
και πολλαπλά μέτρα ασφαλείας, ούτως ώστε αν ένα από αυτά<br />
αποτύχει ένα άλλο να περιορίσει την επίθεση.<br />
Αν θεσπίσουμε συνθήκες συνδεσιμότητας με υψηλή ασφάλεια,<br />
τότε, έχουμε ακόμα μικρότερες πιθανότητες να προσβληθούμε<br />
από κάποια απειλή, ή αν μας προσβάλλει να<br />
περιοριστεί σε μεγάλο βαθμό η επίπτωση στον οργανισμό.<br />
Συνοψίζοντας λοιπόν, το Supply chain cybersecurity είναι<br />
ένα θέμα με διαρκή εξέλιξη και απαιτεί δέουσα προσοχή<br />
από τους επαγγελματίες που χειρίζονται και καθορίζουν<br />
τις συνθήκες συνεργασίας.<br />
Με προσεκτικό σχεδιασμό, θέσπιση τακτικών άμυνας και σεναρίων<br />
αποκατάστασης, ένας οργανισμός μπορεί να χτίσει<br />
ένα γερό ψηφιακό οχυρό που θα αντέχει κάθε είδους επιθέσεις,<br />
ικανό να αντιληφθεί και αμυνθεί σε περίπτωση κάθε<br />
φιλόδοξου Δούρειου Ίππου.<br />
security<br />
37
T<strong>82</strong>11/12.2023<br />
Issue<br />
Ανάπτυξη της Κυβερνοασφάλειας<br />
στην Εφοδιαστική Αλυσίδα<br />
Πως η NIS2 Διασφαλίζει την Ασφάλεια<br />
των Κρίσιμων Τομέων;<br />
ο 2021, μια πλημμύρα από επιθέσεις<br />
Τ<br />
ransomware έπληξε εκατοντάδες εταιρείες<br />
σε όλο τον κόσμο. Μια αλυσίδα παντοπωλείων,<br />
ένας δημόσιος ραδιοτηλεοπτικός φορέας,<br />
σχολεία και ένα εθνικό σιδηροδρομικό<br />
σύστημα χτυπήθηκαν από το κακόβουλο λογισμικό κρυπτογράφησης<br />
αρχείων, προκαλώντας αναστάτωση και αναγκάζοντας<br />
εκατοντάδες επιχειρήσεις να μην μπορούν να λειτουργήσουν.<br />
Τα θύματα είχαν κάτι κοινό: ένα βασικό κομμάτι του<br />
λογισμικού διαχείρισης δικτύου αναπτύχθηκε από την εταιρεία<br />
τεχνολογίας Kaseya. Η εταιρεία αναπτύσσει λογισμικό,<br />
που χρησιμοποιείται για την απομακρυσμένη διαχείριση του<br />
δικτύου και των συσκευών πληροφορικής ενός οργανισμού.<br />
Αυτό το λογισμικό πωλείται σε παρόχους υπηρεσιών οι οποίοι<br />
στη συνέχεια το χρησιμοποιούν για τη διαχείριση των πληροφοριακών<br />
συστημάτων των πελατών τους. Η Kaseya προειδοποίησε<br />
τους πελάτες της να κλείσουν "ΑΜΕΣΑ" τους servers<br />
τους, ενώ η υπηρεσία cloud της αποσύρθηκε εκτός σύνδεσης,<br />
ως προληπτικό μέτρο.Μία από τις μεγαλύτερες απειλές που<br />
αντιμετωπίζουν σήμερα οι οργανισμοί είναι οι επιθέσεις στην<br />
αλυσίδα εφοδιασμού. Ακόμη και αν η εσωτερική ασφάλεια<br />
ενός οργανισμού είναι αυστηρή,<br />
ένα τρίτο μέρος μπορεί μην ανταποκρίνεται<br />
στις απαιτήσεις ασφαλείας,<br />
ανοίγοντας μια διαδρομή για<br />
εκμετάλλευση, από τους εγκληματίες<br />
του κυβερνοχώρου. Σύμφωνα<br />
με την Οδηγία NIS2, οι οργανισμοί<br />
πρέπει να εφαρμόσουν μέτρα για<br />
την ελαχιστοποίηση των κινδύνων,<br />
συμπεριλαμβανομένων εκείνων<br />
που σχετίζονται με τις αλυσίδες<br />
εφοδιασμού και τις σχέσεις με<br />
εξωτερικούς συνεργάτες, όπως<br />
οι άμεσοι προμηθευτές. Συγκεκριμένα,<br />
η Οδηγία τονίζει τα ακόλουθα:<br />
1. Ενίσχυση της Ασφάλειας της Αλυσίδας Εφοδιασμού<br />
- Οι οργανισμοί πρέπει να υιοθετήσουν αυστηρότερες πρακτικές<br />
ασφαλείας στις αλυσίδες εφοδιασμού τους. Αυτό περιλαμβάνει<br />
βελτιωμένα μέτρα για τη διαχείριση περιστατικών,<br />
την ασφάλεια δικτύου, τον έλεγχο πρόσβασης και την κρυπτογράφηση.<br />
Πιο συγκεκριμένα:<br />
• Βελτιωμένα Μέτρα Ασφαλείας: Η οδηγία NIS2<br />
απαιτεί από τις οργανώσεις να υιοθετήσουν αυστηρά<br />
μέτρα κυβερνοασφάλειας. Αυτό βοηθά στην προστασία<br />
των αλυσίδων εφοδιασμού από απειλές, όπως<br />
παραβιάσεις δεδομένων ή χακινγκ, διασφαλίζοντας<br />
την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα<br />
των πληροφοριών της αλυσίδας εφοδιασμού.<br />
• Διαχείριση Κινδύνων: Η οδηγία τονίζει τη σημασία<br />
των πρακτικών διαχείρισης κινδύνων. Αυτό σημαίνει<br />
ότι οι εταιρείες στην αλυσίδα εφοδιασμού πρέπει να<br />
εντοπίσουν, να αξιολογήσουν και να μετριάσουν τους<br />
κινδύνους στην κυβερνοασφάλεια, οδηγώντας σε πιο<br />
ανθεκτικές λειτουργίες.<br />
• Αναφορά Περιστατικών: Η οδηγία NIS2 επιβάλλει<br />
την έγκαιρη αναφορά περιστατικών κυβερνοασφά-<br />
38 security
Nάντια Λιάπη<br />
Director <strong>IT</strong> Services/Governance, Risk & Compliance Services, Space Hellas<br />
www.space.gr<br />
λειας. Αυτό επιτρέπει ταχύτερη ανταπόκριση και ανάκτηση,<br />
μειώνοντας τον αντίκτυπο τέτοιων περιστατικών<br />
στις λειτουργίες της αλυσίδας εφοδιασμού.<br />
• Κοινοποίηση Πληροφοριών: Η οδηγία ενθαρρύνει<br />
την κοινοποίηση πληροφοριών σχετικά με απειλές<br />
και ευπάθειες κυβερνοασφάλειας μεταξύ των οργανισμών.<br />
Αυτή η συνεργατική προσέγγιση μπορεί να<br />
βοηθήσει τις αλυσίδες εφοδιασμού να είναι καλύτερα<br />
προετοιμασμένες και να ανταποκρίνονται πι ο αποτελεσματικά<br />
σε κυβερνοαπειλές.<br />
• Συμμόρφωση και Πρότυπα: Συμμορφούμενες με<br />
την NIS2, οι οντότητες της αλυσίδας εφοδιασμού<br />
ακολουθούν τυποποιημένες πρακτικές κυβερνοασφάλειας.<br />
Αυτή η ενιαία προσέγγιση μπορεί να διευκολύνει<br />
πιο ομαλές αλληλεπιδράσεις και ολοκληρώσεις μεταξύ<br />
διαφορετικών μερών στην αλυσίδα εφοδιασμού.<br />
• Ενισχυμένη Εμπιστοσύνη: Καθώς όλα τα μέρη στην<br />
αλυσίδα εφοδιασμού τηρούν υψηλά πρότυπα κυβερνοασφάλειας,<br />
αυτό χτίζει εμπιστοσύνη μεταξύ τους.<br />
Αυτό είναι ουσιαστικό για την ομαλή λειτουργία των<br />
αλυσίδων εφοδιασμού, ιδιαίτερα σε τομείς όπως οι<br />
χρηματοπιστωτικές υπηρεσίες, η υγεία και οι απαραίτητες<br />
υπηρεσίες.<br />
• Επιχειρησιακή Συνέχεια: Διασφαλίζοντας την κυβερνοασφάλεια,<br />
η NIS2 βοηθά στη διατήρηση της<br />
συνέχειας των επιχειρησιακών λειτουργιών εντός<br />
της αλυσίδας εφοδιασμού. Αυτό είναι ζωτικό για τη<br />
σταθερότητα και την αξιοπιστία των διαδικασιών της<br />
αλυσίδας εφοδιασμού.<br />
2. Ασφάλεια σε Σχέση με τους Προμηθευτές - Επιπλέον,<br />
αναγνωρίζοντας ότι οι απειλές στον κυβερνοχώρο μπορούν<br />
να προέρχονται από τρίτους παρόχους ή υπεργολάβους, η<br />
οδηγία απαιτεί από τους οργανισμούς να διασφαλίζουν ότι οι<br />
προμηθευτές τους ακολουθούν τα κατάλληλα πρότυπα<br />
και πρακτικές ασφαλείας και παρακολουθούν τακτικά την<br />
απόδοση και τη συμμόρφωσή τους.<br />
Οι εταιρείες πρέπει να επιλέξουν μέτρα ασφαλείας που είναι<br />
κατάλληλα για τις ευπάθειες κάθε άμεσου προμηθευτή.<br />
Επιπλέον, πρέπει να αξιολογήσουν το συνολικό επίπεδο<br />
ασφαλείας όλων των προμηθευτών τους, διασφαλίζοντας<br />
έτσι μια ολοκληρωμένη προσέγγιση στη διαχείριση των κινδύνων<br />
της αλυσίδας εφοδιασμού. Αυτές οι απαιτήσεις τονίζουν<br />
τη δέσμευση της Οδηγίας NIS2 στην ενίσχυση της<br />
κυβερνοασφάλειας σε όλες τις πτυχές της λειτουργίας<br />
ενός οργανισμού, ιδίως στο πλαίσιο της διαχείρισης της<br />
αλυσίδας εφοδιασμού και της εμπλοκής τους με τους εξωτερικούς<br />
συνεργάτες.<br />
Προκλήσεις ασφάλειας εφοδιαστικής αλυσίδας<br />
Ορισμένες πιθανές προκλήσεις που ενδέχεται να αντιμετωπίσουν<br />
οι Οργανισμοί για την ασφάλεια της αλυσίδας εφοδιασμού<br />
είναι:<br />
• Η έλλειψη ελέγχου ή διαφάνειας στις πρακτικές, τις<br />
πολιτικές ή τα περιστατικά ασφαλείας των προμηθευτών.<br />
• Η έλλειψη εμπιστοσύνης ή συνεργασίας μεταξύ των<br />
προμηθευτών και του οργανισμού<br />
• Η έλλειψη συνέπειας ή ευθυγράμμισης στα πρότυπα,<br />
τις απαιτήσεις ή τις προσδοκίες ασφαλείας στο σύνολο<br />
της αλυσίδας εφοδιασμού.<br />
• Η έλλειψη πόρων ή δυνατοτήτων για την παρακολούθηση,<br />
τον έλεγχο ή την επαλήθευση της απόδοσης<br />
ασφάλειας ή της συμμόρφωσης των προμηθευτών.<br />
• Η έλλειψη σχεδίων έκτακτης ανάγκης ή εφεδρικών<br />
λύσεων για τον μετριασμό ή την ανάκαμψη από τυχόν<br />
διαταραχές της αλυσίδας εφοδιασμού σας.<br />
Τι μέτρα θα μπορούσε να λάβει ένας οργανισμός<br />
για να ανταποκριθεί στις απαιτήσεις, για τους<br />
προμηθευτές;<br />
• Η σύναψη σαφών συμβάσεων με τους προμηθευτές<br />
που καθορίζουν τις υποχρεώσεις και τις ευθύνες που<br />
αφορούν στην ασφάλεια και τι συμμόρφωση με τις<br />
οδηγίες και τα διεθνή πρότυπα.<br />
• Η ανάπτυξη κοινών κριτηρίων ασφάλειας, κατευθυντήριων<br />
γραμμών ή πλαισίων, που ισχύουν για<br />
όλους τους προμηθευτές στην αλυσίδα εφοδιασμού<br />
και ευθυγραμμίζονται με τις απαιτήσεις της οδηγίας.<br />
• Η συχνή εφαρμογή ελέγχων ασφαλείας, στις δραστηριότητες<br />
και την κατάσταση συμμόρφωσης των<br />
προμηθευτών.<br />
• Η δημιουργία κοινών ομάδων ασφαλείας, που διευκολύνουν<br />
την ανταλλαγή πληροφοριών, τη συνεργασία<br />
και τον συντονισμό μεταξύ των προμηθευτών<br />
και του οργανισμού.<br />
• Η δημιουργία εμπιστοσύνης και αμοιβαίας κατανόησης<br />
με τους προμηθευτές μέσω τακτικής επικοινωνίας<br />
και ανατροφοδότησης.<br />
Η ασφάλεια της εφοδιαστικής αλυσίδας είναι ένα σύνθετο και<br />
δύσκολο ζήτημα που περιλαμβάνει πολλαπλούς παράγοντες,<br />
εξαρτήσεις και διασυνδέσεις — και δεν μπορεί να επιτευχθεί<br />
εν μία νυκτί. Η συμμόρφωση με την οδηγία NIS2, θα βοηθήσει<br />
ιδιαίτερα τους οργανισμούς, να ενισχύσουν την ασφάλεια<br />
τους, διασφαλίζοντας ότι η αλυσίδα εφοδιασμού είναι ασφαλής<br />
και ανθεκτική.<br />
security<br />
39
T<strong>82</strong>11/12.2023<br />
Issue<br />
Ψηφιακή Ασφάλεια στην Εφοδιαστική<br />
Αλυσίδα<br />
ι επιθέσεις στην εφοδιαστική αλυσίδα δεν<br />
Ο<br />
είναι νέο φαινόμενο και συχνά αποφέρουν<br />
τεράστια κέρδη στους κυβερνοεγκληματίες<br />
και τους κακοποιούς. Σύμφωνα με μία σχετικά<br />
πρόσφατη έρευνα της Sophos στην οποία<br />
συμμετείχαν διευθυντές τμημάτων πληροφορικής από 26<br />
χώρες, ένα στα δέκα περίπου θύματα του ransomware (9%)<br />
δήλωσε ότι οι κυβερνοεγκληματίες εισήλθαν στο εταιρικό<br />
δίκτυο μέσω ενός έμπιστου τρίτου μέρους (προμηθευτή ή<br />
συνεργάτη). Και αυτό βεβαίως είναι ιδιαιτέρως ανησυχητικό.<br />
Τι είναι όμως μία επίθεση στην εφοδιαστική αλυσίδα και πως<br />
μπορεί η εταιρεία σας να προστατευτεί και να αποφύγει τις<br />
συντριπτικές ορισμένες φορές επιπτώσεις της;<br />
Επιθέσεις στην εφοδιαστική αλυσίδα<br />
Για την διαχείριση ενός μέρους ή του συνόλου μίας συγκεκριμένης<br />
επιχειρηματικής λειτουργίας (π.χ. logistics, ΙΤ<br />
monitoring) πολλοί οργανισμοί συνεργάζονται με τρίτους,<br />
όπως με εξωτερικές εταιρείες και προμηθευτές. Αν και η δυνατότητα<br />
σύνδεσης τους στο εταιρικό δίκτυο έχει τα οφέλη<br />
της στην επιχειρηματική λειτουργία και στις διαδικασίες (π.χ.<br />
απελευθέρωση εσωτερικών πόρων κ.ά.) εντούτοις εισάγει<br />
σημαντικούς κινδύνους για την ασφάλεια. Στην περίπτωση<br />
μίας τέτοιας επίθεσης, οι κακοποιοί δεν επιχειρούν να παρεισδύσουν<br />
απευθείας από εσάς αλλά εκμεταλλεύονται την<br />
πρόσβαση που έχουν ήδη έμπιστες τρίτες εταιρείες και προμηθευτές<br />
στα συστήματά σας.<br />
Οι… τρίτοι<br />
Οι πάροχοι υπηρεσιών πληροφορικής ή άλλων επαγγελματικών<br />
υπηρεσιών είναι οι συνηθέστεροι εξωτερικοί συνεργάτες<br />
με δυνατότητα σύνδεσης στο δίκτυο ενός οργανισμού.<br />
Πολλοί οργανισμοί και εταιρείες χρησιμοποιούν εξωτερικές<br />
εταιρείες για τη διαχείριση κάποιων τμημάτων ή ακόμα και<br />
του συνόλου μίας επιχειρηματικής λειτουργίας όταν δεν διαθέτουν<br />
εσωτερικά κάποιο τμήμα με τις εξειδικευμένες δεξιότητες<br />
και γνώσεις που απαιτούνται (π.χ. logistics). Οι πάροχοι<br />
υπηρεσιών πληροφορικής ανήκουν επίσης στην ίδια λίστα.<br />
Πρόκειται για εταιρείες στις οποίες έχει ανατεθεί η διαχείριση<br />
της υποδομής <strong>IT</strong> ενός οργανισμού ή και η ασφάλεια της.<br />
Τέτοιες εταιρείες είναι συνήθως πάροχοι διαχειριζόμενων<br />
υπηρεσιών (MSPs) ή πάροχοι διαχειριζόμενων υπηρεσιών<br />
ασφαλείας (MSSPs) και έχει παρατηρηθεί ότι συχνά αποτελούν<br />
βασικούς στόχους επιθέσεων. Οι παραπάνω εταιρείες<br />
αποτελούν ιδιαίτερα ελκυστικούς στόχους για τους κυβερνοεγκληματίες<br />
επειδή στις περισσότερες περιπτώσεις<br />
έχουν στην κατοχή τους τα «κλειδιά» για τα εταιρικά δίκτυα<br />
πολλών διαφορετικών πελατών-εταιρειών. Λαμβάνοντας<br />
40 security
Γιώργος Καπανίρης<br />
Executive Director, NSS<br />
www.nss.gr<br />
υπόψη ότι ο αριθμός των οργανισμών που αναθέτουν την<br />
ασφάλεια πληροφορικής τους σε εξωτερικούς συνεργάτες<br />
αναμένεται να αυξηθεί στο 72%, η στάση ασφαλείας του<br />
τρίτου μέρους είναι υψίστης σημασίας για την ασφάλεια του<br />
οργανισμού σας.<br />
Τύποι επίθεσης<br />
Αν και οι επιθέσεις στην εφοδιαστική αλυσίδα διαφέρουν ως<br />
προς τον τρόπο με τον οποίο πραγματοποιούνται, ο στόχος για<br />
τους επιτιθέμενους είναι στην πλειονότητα των περιπτώσεων<br />
ο ίδιος: να παρεισδύσουν, εκμεταλλευόμενοι κάποια ευπάθεια<br />
στα συστήματα του εξωτερικού συνεργάτη η παρόχου και να<br />
καταχραστούν την έμπιστη πρόσβαση που απολαμβάνει για να<br />
εμφυτεύσουν κακόβουλο λογισμικό στο δίκτυο του συνεργαζόμενου<br />
οργανισμού, να κλέψουν πνευματική ιδιοκτησία ή να<br />
κατασκοπεύσουν εσωτερικές επικοινωνίες.<br />
• Ηλεκτρονικό ψάρεμα - Ένας από τους συνηθέστερους<br />
φορείς επιθέσεων είναι τα μηνύματα ηλεκτρονικού<br />
ψαρέματος (phishing). Οι επιτιθέμενοι στοχεύουν<br />
το τρίτο μέρος (π.χ. πάροχο, προμηθευτή κ.ά.) με μηνύματα<br />
phishing για να παραβιάσουν κάποιο από τα<br />
συστήματα του και να αποκτήσουν πρόσβαση στο δίκτυο<br />
του. Από εκεί, δεν είναι δύσκολο να διεισδύσουν<br />
στα συστήματα των πελατών τους.<br />
• Μολυσμένες ενημερώσεις λογισμικού - Ένας περισσότερο<br />
εξελιγμένος -και δύσκολα αντιμετωπίσιμος-<br />
τρόπος επίθεσης στην εφοδιαστική αλυσίδα είναι<br />
όταν χρησιμοποιείται μία τυπική ενημέρωση λογισμικού.<br />
Ένας κυβερνοεγκληματίας, αφού παρεισδύσει<br />
στα συστήματα και στο δίκτυο του προμηθευτή, ενός<br />
παρόχου υπηρεσιών ή ενός διανομέα, εισάγει κακόβουλο<br />
κώδικα σε πακέτα ενημέρωσης λογισμικού. Στη<br />
συνέχεια, η συγκεκριμένη εταιρεία διανέμει τις ενημερώσεις<br />
στους πελάτες της μολύνοντας εν αγνοία τους<br />
κατά τη διαδικασία τα συστήματα τους.<br />
• Δηλητηριώδη πακέτα - Ένας λιγότερο συνηθισμένος<br />
τύπος επίθεσης, αν και αναμένεται να μας απασχολήσει<br />
συχνότερα στο μέλλον, είναι αυτός που ονομάζουμε<br />
«δηλητηριώδη πακέτα». Καθώς αυξάνεται η χρήση<br />
του cloud, του Docker και άλλων ευέλικτων μεθοδολογιών<br />
ανάπτυξης-εφαρμογής (deployment), αυξάνεται<br />
και η χρήση έτοιμων στοιχείων (components)<br />
για τη συντόμευση του κύκλου ανάπτυξης. Οι κακόβουλοι<br />
φορείς έχουν αρχίσει να παγιδεύουν ορισμένα<br />
κοινόχρηστα containers, βιβλιοθήκες και άλλους<br />
πόρους με την ελπίδα να τα ενσωματώσετε στο προϊόν<br />
σας (π.χ. στην διαδικτυακή εφαρμογή σας).<br />
Πως να αμυνθείτε;<br />
Δεδομένης της πολυπλοκότητας και της φύσης των επιθέσεων<br />
στην εφοδιαστική αλυσίδα, είναι αρκετά δύσκολες στην<br />
αντιμετώπισή τους. Παρόλα αυτά, υπάρχουν μέτρα που μπορεί<br />
να πάρει ένας οργανισμός.<br />
1.Μεταβείτε από την αντιδραστική σε μία προληπτική<br />
προσέγγιση στην κυβερνοασφάλεια - Το κακό της υπόθεσης<br />
είναι ότι μόλις μία επίθεση γίνει αντιληπτή, συνήθως<br />
είναι ήδη πολύ αργά: ο κακοποιός έχει ήδη εγκαταστήσει κακόβουλο<br />
λογισμικό και έχει κλέψει κρίσιμης σημασίας εταιρικά<br />
δεδομένα καθώς ενδέχεται να βρισκόταν για μέρες εντός<br />
του εταιρικού δικτύου χωρίς να γίνει αντιληπτός. Επομένως,<br />
είναι απαραίτητο να αλλάξετε τη νοοτροπία σας: θα πρέπει να<br />
υποθέτετε ότι είστε πάντα εκτεθειμένοι και να προβαίνετε σε<br />
κυνήγι απειλών σχεδόν καθημερινά. Σήμερα, υπάρχουν τεχνολογίες<br />
και υπηρεσίες που μπορούν να υποστηρίξουν αυτή<br />
την προσέγγιση όπως μπορείτε να διαβάσετε και παρακάτω.<br />
2.Παρακολούθηση δεικτών παραβίασης - Σύμφωνα<br />
με έρευνες που έχει διεξάγει η ομάδα Threat Detection &<br />
Response της Sophos, δύο πράγματα έχουν ξεχωρίσει ως<br />
πρώτες ενδείξεις παραβίασης: το ένα είναι η χρήση διαπιστευτηρίων<br />
για απομακρυσμένη πρόσβαση ή για λόγους διαχείρισης<br />
κατά τις ώρες εκτός λειτουργίας της εταιρείας και<br />
το άλλο είναι η κατάχρηση των εργαλείων διαχείρισης συστήματος<br />
για την παρακολούθηση και την εξαγωγή δεδομένων<br />
από το εταιρικό δίκτυο. Σε αντίθεση με τις παραδοσιακές<br />
επιθέσεις με κακόβουλο λογισμικό (malware) που αξιοποιούν<br />
αρχεία υπογραφών για την εκτέλεση του σχεδίου της, οι<br />
επιθέσεις χωρίς αρχεία (fileless) που πραγματοποιούνται με<br />
τη χρήση νόμιμων λογαριασμών και τη χρήση των δικών σας<br />
εργαλείων για την απόκτηση και τη διατήρηση «επιμονής»<br />
(persistence) στο δίκτυο σας αναφέρονται συχνά ως Living<br />
Off the Land (LOL ή LOTL). Οι συγκεκριμένες επιθέσεις δεν<br />
απαιτούν την εγκατάσταση κάποιου script ή κώδικα. Αν και<br />
security<br />
41
T<strong>82</strong>11/12.2023<br />
Issue<br />
Endpoint Detection & Response (EDR)<br />
Μία τεχνολογία που επιτρέπει την καταδίωξη απειλών οι λύσεις<br />
EDR (Endpoint Detection & Response). Το EDR, που συη<br />
ανίχνευση των συγκεκριμένων συμπεριφορών απαιτεί<br />
επαγρύπνηση και δεξιότητα, ένας εκπαιδευμένος αναλυτής<br />
ασφαλείας μπορεί να τις διακρίνει με σαφήνεια και μπορεί να<br />
σας προειδοποιήσει για την επίθεση προτού προκληθεί σημαντική<br />
ζημιά. Αυτό που λοιπόν μπορείτε να κάνετε εσείς είναι<br />
να επενδύσετε σε τεχνολογία και εκπαίδευση για την παρακολούθηση<br />
των συγκεκριμένων δεικτών παραβίασης στο<br />
εσωτερικό του οργανισμού σας ή να αναθέσετε αυτή τη δουλειά<br />
σε έναν πάροχο διαχειριζόμενων υπηρεσιών ανίχνευσης<br />
(εντοπισμού) και απόκρισης (MDR) για λογαριασμό σας.<br />
Η υπηρεσία Sophos MDR, αν «κλίνετε» προς αυτή την προσέγγιση<br />
είναι ότι καλύτερο υπάρχει σε παγκόσμια κλίμακα.<br />
3.Προβείτε σε ελέγχους στην εφοδιαστική αλυσίδα -<br />
Αφού χαρτογραφήσετε με ποιους παρόχους ή τρίτες εταιρείες<br />
είστε συνδεδεμένοι, μπορείτε να εξετάσετε και να αξιολογήσετε<br />
τον τύπο πρόσβασης που έχουν στο δίκτυο σας και<br />
σε ποιες πληροφορίες επιτρέπεται να έχουν πρόσβαση με τη<br />
χρήση των συγκεκριμένων διαπιστευτηρίων. Αν πρόκειται για<br />
κάτι περισσότερο από το ελάχιστο, είναι καιρός να κλειδώσετε<br />
την πρόσβαση και να την περιορίσετε στα απολύτως απαραίτητα.<br />
Ακολουθήστε την τακτική των «ελάχιστων προνομίων».<br />
4.Αξιολογήστε τη στάση ασφαλείας των προμηθευτών<br />
και των επιχειρηματικών σας εταίρων - Υπάρχουν πολλές<br />
προσεγγίσεις για την πραγματοποίηση μιας αξιολόγησης,<br />
αλλά μια δημοφιλής προσέγγιση για τους μεγάλους παρόχους<br />
υπηρεσιών, τους παρόχους υπηρεσιών υπολογιστικού<br />
ή αποθηκευτικού νέφους και τους επεξεργαστές πληρωμών<br />
είναι να προσδιορίσετε σε ποιες και τι είδους πιστοποιήσεις<br />
και ελέγχους υπόκεινται .<br />
5.Να επανεξετάζετε διαρκώς τις διαδικασίες ασφάλειας<br />
πληροφορικής σας - Αν και η στάση ασφαλείας των<br />
προμηθευτών σας είναι κρίσιμης σημασίας για την προστασία<br />
σας από επιθέσεις στην εφοδιαστική αλυσίδα, μην αμελείτε<br />
και τη δική σας «υγιεινή» όσον αφορά την κυβερνοασφάλεια.<br />
Πολλοί οργανισμοί την αγνοούν είτε επειδή δεν γνωρίζουν<br />
από πού να ξεκινήσουν είτε επειδή πιστεύουν ότι δεν είναι<br />
αρκετά σημαντικοί για να στοχοποιηθούν μέσω μίας παραβίασης<br />
σε έναν έμπιστο συνεργάτη.<br />
6.Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών<br />
παραγόντων (MFA) - Οι περισσότεροι οργανισμοί πέφτουν<br />
θύματα επίθεσης στην εφοδιαστική αλυσίδα μέσω κλεμμένης,<br />
αλλά εξουσιοδοτημένης πρόσβασης. Στους παρόχους<br />
υπηρεσιών μάλιστα, αποτελεί κοινή πρακτική να παρέχονται<br />
διαπιστευτήρια που έχουν τα ίδια δικαιώματα και προνόμια<br />
με τους εσωτερικούς υπαλλήλους. Και αυτό, με λίγα λόγια,<br />
σημαίνει ότι δεν είναι υποχρεωμένοι να χρησιμοποιούν έλεγχο<br />
ταυτότητας πολλαπλών παραγόντων, με όλες τις γνωστές<br />
συνέπειες. Αφήστε λοιπόν το SSO (Single Sign-On) που μπορεί<br />
να χρησιμοποιηθεί καταχρηστικά για πρόσβαση σε οποιοδήποτε<br />
σύστημα και ενεργοποιήστε το MFA.<br />
7.Να ελέγχετε την πρόσβαση και τα προνόμια προμηθευτών<br />
και εφαρμογών - Ένα άλλο συνηθισμένο λάθος<br />
είναι η παροχή VPN, RDP ή άλλης τεχνολογίας απομακρυσμένης<br />
πρόσβασης σε τρίτους ώστε να μπορούν να διαχειρίζονται<br />
διάφορες λειτουργίες. Δυστυχώς, αυτή η πρόσβαση<br />
είναι απεριόριστη και για ολόκληρο το εταιρικό δίκτυο, αντί<br />
σε κάποιο τμήμα ή στα απολύτως απαραίτητα για τη δουλειά<br />
τους δεδομένα. Και κάτι τέτοιο, όπως είναι κατανοητό, εγκυμονεί<br />
τεράστιο κίνδυνο. Όλα τα εργαλεία απομακρυσμένης<br />
πρόσβασης πρέπει να απαιτούν έλεγχο ταυτότητας πολλαπλών<br />
παραγόντων και να περιορίζονται σε μεμονωμένους<br />
κεντρικούς υπολογιστές ή συστήματα.<br />
Τεχνολογία και υπηρεσίες<br />
H άμυνα ενάντια στις επιθέσεις στην εφοδιαστική αλυσίδα<br />
είναι από τη φύση της πολύπλοκη και αφορά περισσότερο<br />
τη διαχείριση του κινδύνου που συνδέεται με αυτές και τον<br />
μετριασμό του πλήγματος παρά με οτιδήποτε άλλο. Ευτυχώς,<br />
υπάρχουν διαθέσιμες τεχνολογίες και υπηρεσίες που<br />
μπορούν να σας βοηθήσουν να αντιμετωπίσετε τέτοιες καταστάσεις.<br />
Καταδίωξη απειλών<br />
Όπως αναφέρθηκε και παραπάνω, πρέπει να στραφείτε σε<br />
μια προληπτική προσέγγιση στην κυβερνοασφάλεια για να<br />
προστατεύσετε τον οργανισμό σας από επιθέσεις στην αλυσίδα<br />
εφοδιασμού. Η καταδίωξη απειλών είναι μια εξαιρετική<br />
πρακτική που πρέπει να υιοθετήσετε.<br />
42 security
νήθως ενσωματώνεται σε πλατφόρμες προστασίας τερματικών,<br />
συνδυάζει συνεχή παρακολούθηση σε πραγματικό χρόνο<br />
και δεδομένα τερματικών με δυνατότητες αυτοματοποιημένης<br />
απόκρισης και ανάλυσης. Το Sophos Intercept X με EDR περιλαμβάνει<br />
ισχυρές λειτουργίες EDR. Είναι το πρώτο προϊόν που<br />
σχεδιάστηκε για αναλυτές ασφαλείας και για διαχειριστές πληροφορικής<br />
και σας παρέχει όλα τα εργαλεία που χρειάζεστε<br />
για «καταδίωξη» απειλών (threat hunting) και την ενίσχυση<br />
της υγιεινής των λειτουργιών ασφάλειας πληροφορικής σας.<br />
Διαχειριζόμενες υπηρεσίες εντοπισμού και<br />
απόκρισης (MDR)<br />
Οι πιο καταστροφικές απειλές είναι γενικότερα όσες καθοδηγούνται<br />
από άνθρωπο. Αν και η τεχνολογία, ιδίως τα εργαλεία<br />
καταδίωξης απειλών, όπως το EDR, διαδραματίζει σημαντικό<br />
ρόλο, εξακολουθούν να απαιτούνται έμπειροι χειριστές.<br />
Μια προσέγγιση στην καταδίωξη απειλών που βρίσκεται υπό<br />
την καθοδήγηση του ανθρώπου είναι η συνεργασία με μια<br />
υπηρεσία MDR. Η βραβευμένη υπηρεσία MDR της Sophos<br />
περιλαμβάνει μια εξειδικευμένη ομάδα εμπειρογνωμόνων<br />
κυβερνοασφάλειας, Sophos Threat Detection & Response<br />
Team, που συνεργάζονται με την ομάδα σας και οι οποίοι εργάζονται<br />
όλο το εικοσιτετράωρο για να καταδιώκουν, να επικυρώνουν<br />
και να αποκαθιστούν προληπτικά πιθανές απειλές<br />
και περιστατικά για λογαριασμό σας.<br />
ZTNA Ακολουθήστε την προσέγγιση της<br />
μηδενικής εμπιστοσύνης στην κυβερνοασφάλεια<br />
Η εμπιστοσύνη είναι μια επικίνδυνη λέξη στην πληροφορική,<br />
ειδικά όταν αυτή η εμπιστοσύνη παρέχεται ή χορηγείται χωρίς<br />
προσοχή: όταν δηλαδή θεωρείται δεδομένη, υπονοείται και<br />
δεν αμφισβητείται όπως στην περίπτωση της παραχώρησης<br />
πρόσβασης μέσω VPN (Virtual Private Network). Η δημιουργία<br />
μίας κλειστής περιμέτρου όπου τα πάντα εντός του δικτύου<br />
-χρήστες και συσκευές- είναι έμπιστα και πλήρως αξιόπιστα<br />
έχει αποδειχθεί ότι αποτελεί ένα προβληματικό ή στην καλύτερη<br />
περίπτωση ελαττωματικό σχέδιο.<br />
Παρόλα αυτά, πολλά δίκτυα εξακολουθούν να λειτουργούν<br />
κατ’ αυτόν τον τρόπο. Οποιοσδήποτε έχει πρόσβαση στο δίκτυο,<br />
είτε φυσικά είτε μέσω VPN, έχει ευρεία πρόσβαση<br />
σε οτιδήποτε βρίσκεται εντός του δικτύου, ανεξάρτητα από<br />
το ποιος είναι ή την κατάσταση στην οποία βρίσκεται η συσκευή<br />
του. ΠΡΕΠΕΙ ΝΑ ΤΟ ΑΛΛΑΞΕΤΕ ΑΥΤΟ. Πως; Ονομάζεται<br />
ZTNA ή Zero Trust Network Access. Με τη δικτυακή<br />
πρόσβαση μηδενικής εμπιστοσύνης, δεν υπάρχει κάποιος ή<br />
κάτι που να είναι απεριόριστης εμπιστοσύνης. Η εμπιστοσύνη<br />
πρέπει να κερδίζεται διαρκώς. Η μηδενική εμπιστοσύνη βα-<br />
σίζεται στην αρχή του «μην εμπιστεύεστε τίποτα, επαληθεύστε<br />
τα πάντα, διαρκώς» και επικεντρώνεται στην προστασία των<br />
πόρων ανεξάρτητα από το πού βρίσκονται φυσικά ή ψηφιακά.<br />
Με μία λύση δικτυακής πρόσβασης μηδενικής εμπιστοσύνης<br />
όπως το Sophos ZTNA μπορείτε να προστατευτείτε<br />
από επιθέσεις στην εφοδιαστική αλυσίδα που βασίζονται στην<br />
πρόσβαση των προμηθευτών στα συστήματά σας καθώς μπορείτε<br />
να εφαρμόσετε εξαιρετικά αναλυτικούς ελέγχους πρόσβασης.<br />
Η cloud-based λύση της Sophos επικυρώνει την ταυτότητα<br />
του χρήστη, καθώς και την υγεία και τη συμμόρφωση<br />
της συσκευής πριν από τη χορήγηση πρόσβασης σε πόρους.<br />
Επίσης, επικυρώνει αιτήματα από αξιόπιστους συνεργάτες,<br />
ανεξαρτήτως τοποθεσίας.<br />
• Ενισχυμένη ασφάλεια - Το ZTNA εξαλείφει τους<br />
ευάλωτους VPN clients, ενσωματώνει την υγεία της<br />
συσκευής και καταργεί την απεριόριστη εμπιστοσύνη<br />
και την ευρεία πρόσβαση στο δίκτυο που παρέχει το<br />
VPN. Επιτρέπει την αναλυτική πρόσβαση σε πόρους<br />
που ορίζονται από πολιτικές βάσει υγείας και ταυτότητας<br />
για να ενισχύσει τη στάση ασφαλείας σας.<br />
• Εύκολη διαχείριση - Το Sophos ZTNA σχεδιάστηκε για<br />
να κλιμακώνεται γρήγορα και εύκολα, σε αντίθεση με<br />
τα «παλαιάς κοπής» VPNs και είναι cloud-delivered και<br />
cloud-managed μέσω του κέντρου ελέγχου Sophos<br />
Central. Πρόκειται για μία μοναδική, single-agent,<br />
single-console και single-vendor λύση σε συνδυασμό<br />
με το Sophos Intercept X για εύκολη εγκατάσταση<br />
και διαχείριση. Τα δίκτυα VPN δεν θεωρούνται πλέον<br />
ασφαλής μέθοδος απομακρυσμένης πρόσβασης σε ένα<br />
δίκτυο και έχουν αντικατασταθεί με άλλες τεχνολογίες.<br />
• Διαφανής εμπειρία - Το ZTNA λειτουργεί αξιόπιστα<br />
και απρόσκοπτα παντού χωρίς να μπαίνει στη μέση<br />
ή να δημιουργεί προβλήματα στους χρήστες σας.<br />
Οι τελευταίοι δεν θα καταλάβουν καν ότι υπάρχει,<br />
πράγμα που σημαίνει λιγότερες κλήσεις υποστήριξης<br />
και λιγότερους πονοκεφάλους για την ομάδα υποστήριξης<br />
σας.<br />
Το ZTNA παρέχει μια εξαιρετική εναλλακτική λύση σε σχέση<br />
με τα VPN απομακρυσμένης πρόσβασης, καθώς μπορεί να<br />
προσφέρει πολύ αναλυτικούς ελέγχους σχετικά με το ποιος<br />
μπορεί να έχει πρόσβαση σε τι - κάτι που είναι ζωτικής σημασίας<br />
για την προστασία από επιθέσεις στην αλυσίδα εφοδιασμού.<br />
Το τοπίο των απειλών έχει εξελιχθεί και η παραβίαση<br />
της αλυσίδας εφοδιασμού αποτελεί ζήτημα για όλους τους<br />
οργανισμούς, μικρούς και μεγάλους. Όλοι είμαστε στόχοι<br />
στην εφοδιαστική αλυσίδα κάποιου - και ποτέ δεν ήταν πιο<br />
σημαντικό να ελαχιστοποιήσετε τους κινδύνους.<br />
security<br />
43
T<strong>82</strong>11/12.2023<br />
Issue<br />
Πώς να εντοπίσετε, να μειώσετε και<br />
να αποτρέψετε τους κινδύνους της<br />
εφοδιαστικής αλυσίδας<br />
αθώς οι επιθέσεις στον κυβερνοχώρο και<br />
Κ<br />
οι παραβιάσεις της ασφάλειας έχουν αυξηθεί<br />
τα τελευταία χρόνια, η διαχείριση των<br />
κινδύνων της ψηφιακής αλυσίδας εφοδιασμού<br />
γίνεται πιο δύσκολη. Οι εγκληματίες<br />
του κυβερνοχώρου εκμεταλλεύονται τα τρωτά σημεία στο<br />
οικοσύστημα λιγότερο ασφαλών προμηθευτών και τρίτων<br />
προμηθευτών για να αποκτήσουν πρόσβαση σε μεγαλύτερα<br />
ιδρύματα. Αυτά τα ιδρύματα πρέπει να κοιτάξουν πέρα από<br />
την ωριμότητα της κυβερνοασφάλειας για να είναι επιτυχημένα.<br />
Σε αυτό το άρθρο, θα αναλύσουμε τους 4 κορυφαίους<br />
κινδύνους για την ασφάλεια στον κυβερνοχώρο που αντιμετωπίζουν<br />
ψηφιακές αλυσίδες εφοδιασμού και θα παρέχουμε<br />
πρακτικές συμβουλές για τον μετριασμό τους.<br />
Ποιοι είναι οι πιο συνηθισμένοι κίνδυνοι που<br />
συνδέονται με την εφοδιαστική αλυσίδα;<br />
Οι ψηφιακές αλυσίδες εφοδιασμού αντιμετωπίζουν σημαντικές<br />
προκλήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και<br />
την ασφάλεια στον κυβερνοχώρο. Ακολουθούν τέσσερις τύποι<br />
κινδύνου της εφοδιαστικής αλυσίδας που πρέπει να γνωρίζετε:<br />
1.Νομικοί κίνδυνοι - Οι αλυσίδες εφοδιασμού βασίζονται<br />
σε μεγάλο βαθμό σε συμβατικές σχέσεις. Η διαδικασία αγοράς,<br />
παραγωγής, πώλησης και αποστολής αγαθών υποστηρίζεται<br />
από νομικές συμφωνίες και ως εκ τούτου, οι αλυσίδες<br />
εφοδιασμού είναι ευάλωτες σε νομικούς κινδύνους. Η<br />
συνεργασία με τρίτους αυξάνει τον κίνδυνο λανθασμένου<br />
χειρισμού δεδομένων ή λανθασμένης αποθήκευσης, γεγονός<br />
που μπορεί να θέσει σε κίνδυνο τα προσωπικά στοιχεία<br />
των πελατών. Αυτό αφήνει την επιχείρηση υπεύθυνη για<br />
ακριβά πρόστιμα και νομικές χρεώσεις.<br />
2. Οικονομικοί κίνδυνοι - Οι επιχειρήσεις μπορούν επίσης<br />
να αντιμετωπίσουν οικονομικούς κινδύνους, πολλοί<br />
από τους οποίους οφείλονται στην οικονομική αστάθεια των<br />
προμηθευτών ή την πλήρη χρεοκοπία, αλλά και σε οικονομικές<br />
επιβαρύνσεις που μπορεί να αποτελούν συνέπεια μιας<br />
κυβερνοεπίθεσεις.<br />
3. Προγραμματισμός κινδύνων - Ενώ ζητήματα που σχετίζονται<br />
με τη δήλωση εργασίας είναι κοινές αιτίες κινδύνου<br />
προγραμματισμού, υπάρχουν λιγότερο συχνά ζητήματα που<br />
μπορούν επίσης να δημιουργήσουν καθυστερήσεις. Στον σημερινό<br />
ψηφιακό κόσμο, περισσότερα από τα φυσικά αντικείμενα<br />
γύρω μας αποτελούν πλέον μέρος του Internet of<br />
Things (IoT). Αλλά με τα πρόσθετα πλεονεκτήματα του ψηφιακού<br />
ελέγχου του εξοπλισμού και των διαδικασιών υπάρχει ο<br />
πρόσθετος κίνδυνος αποτυχίας εάν δεν ασφαλιστούν σωστά.<br />
Οι εκμεταλλευόμενες ευπάθειες του εξοπλισμού κατασκευής<br />
ή συσκευασίας μπορούν να κλείσουν βασικά μέρη μιας αλυσίδας<br />
εφοδιασμού για εκτεταμένες χρονικές περιόδους.<br />
4. Περιβαλλοντικοί κίνδυνοι - Οι επιχειρήσεις θεωρούνται<br />
υπεύθυνες για τις δικές τους περιβαλλοντικές επιπτώσεις,<br />
καθώς και για τις επιπτώσεις των πωλητών τους και<br />
άλλων τρίτων συνεργατών. H αύξηση της χρήσης τεχνητής<br />
νοημοσύνης, η μηχανική μάθηση, το cloud computing και ο<br />
αυτοματισμός είναι απαραίτητες για τις επιχειρήσεις που θέλουν<br />
να μειώσουν τις περιβαλλοντικές επιπτώσεις τους, η διευρυμένη<br />
χρήση αυτών των τεχνολογιών μπορεί να ανοίξει<br />
την πόρτα σε πρόσθετες ευπάθειες στον κυβερνοχώρο, εάν<br />
δεν προστατεύεται σωστά.<br />
Πώς να μειώσετε τους κινδύνους της<br />
εφοδιαστικής αλυσίδας στον κυβερνοχώρο<br />
Τώρα που περιγράψατε τους τύπους των κινδύνων, το επόμενο<br />
βήμα είναι να αξιολογήσετε ποιοι κίνδυνοι για την ασφά-<br />
44 security
Λάμπρος Κατσώνης<br />
Solutions Director, GUARDBYTE<br />
www.guardbyte.com.cy<br />
λεια στον κυβερνοχώρο ισχύουν για την ψηφιακή αλυσίδα<br />
εφοδιασμού μιας επιχείρησης και να δημιουργήσετε ένα<br />
σχέδιο για μετριασμό αυτών των κινδύνων προς τα εμπρός.<br />
1. Προσδιορισμός, αξιολόγηση και αντιμετώπιση κινδύνων<br />
προμηθευτών - Ο Μετριασμός του κινδύνου ξεκινά με<br />
την κατανόηση των κινδύνων που αντιμετωπίζουν οι προμηθευτές<br />
σας. Οι επιχειρήσεις πρέπει πρώτα να προσδιορίσουν<br />
από ποιους κινδύνους είναι πιο πιθανό να επηρεαστούν οι<br />
υπάρχοντες προμηθευτές τους και πόση ζημιά θα μπορούσε<br />
να υποστεί η επιχείρηση σε περίπτωση εκμετάλλευσης αυτών<br />
των κινδύνων. Η υποστήριξη των υφιστάμενων σχέσεων προμηθευτών<br />
θα πρέπει να αποτελεί προτεραιότητα νούμερο ένα<br />
πριν προχωρήσουμε στην αξιολόγηση νέων συνεργασιών. Οι<br />
σημερινοί προμηθευτές σας εφαρμόζουν καλή ψηφιακή υγιεινή;<br />
Πώς προστατεύονται τα δεδομένα των πελατών τους; Ποια<br />
είναι μερικά σενάρια που θα μπορούσαν να δημιουργήσουν<br />
αναστάτωση στους προμηθευτές σας;<br />
2. Εξασφαλίστε την ποιότητα του προμηθευτή - Στη συνέχεια,<br />
πραγματοποιήστε ένα ερωτηματολόγιο για να αξιολογήσετε<br />
την ποιότητα των προμηθευτών, συμπεριλαμβανομένης<br />
της ψηφιακής τους ωριμότητας. Ποια είναι τα πρότυπα<br />
και οι πρακτικές για την πολιτική τους για την ασφάλεια στον<br />
κυβερνοχώρο; Ποιος είναι υπεύθυνος για τη διαχείριση της<br />
πολιτικής ασφάλειας πληροφοριών και απορρήτου; Η απάντηση<br />
σε αυτές τις σημαντικές ερωτήσεις (και σε άλλες) θα<br />
αποτρέψει την επιχείρησή σας από το να ανακαλύψει κινδύνους<br />
τρίτων στο μέλλον.<br />
3. Διαφοροποιήστε τους προμηθευτές - Μπορεί να παρασχεθεί<br />
ένα επιπλέον επίπεδο ασφάλειας δημιουργώντας<br />
ποικιλία προμηθευτών, ειδικά για τα πιο σημαντικά στοιχεία<br />
της επιχείρησης. Εάν υπάρχει μόνο ένας προμηθευτής που<br />
παρέχει έναν ιδιαίτερα κρίσιμο πόρο και αυτός δεν λειτουργεί<br />
λόγω επίθεσης κακόβουλου λογισμικού, έχει η εταιρεία<br />
ένα αντίγραφο ασφαλείας;<br />
4. Σκεφτείτε τη βαθμίδα προμηθευτή - Με βαθμίδες προμηθευτών,<br />
οι προμηθευτές ταξινομούνται ανάλογα με το επίπεδο<br />
κινδύνου ασφάλειας που παρουσιάζουν σε έναν οργανισμό.<br />
Όσο λιγότερο κρίσιμος είναι ο κίνδυνος για την ασφάλεια<br />
στον κυβερνοχώρο, τόσο χαμηλότερο είναι το επίπεδο.<br />
Για κάθε προμηθευτή, ποιος θα ήταν ο οικονομικός και χρονικός<br />
αντίκτυπος στην επιχείρηση, εάν ξαφνικά αδυνατεί να<br />
παρέχει τις υπηρεσίες του;<br />
5. Αξιολογήστε τακτικά τους κινδύνους των προμηθευτών-<br />
Τέλος, καθώς οι κίνδυνοι δεν παραμένουν συνεπείς<br />
και αμετάβλητοι με την πάροδο του χρόνου, αυτές οι<br />
αξιολογήσεις θα πρέπει να συνεχίζονται σε τακτική, επαναλαμβανόμενη<br />
βάση για να διασφαλίζεται ότι οι νέοι κίνδυνοι<br />
αποτυπώνονται με ακρίβεια προτού προλάβουν να γίνουν<br />
προβληματικοί. Η διεξαγωγή αξιολογήσεων ρουτίνας διαχείρισης<br />
κινδύνου προμηθευτή θα βοηθήσει την επιχείρησή<br />
σας να εντοπίσει, να αξιολογήσει και να μετριάσει καλύτερα<br />
τυχόν κινδύνους προμηθευτών που διαφορετικά θα μπορούσαν<br />
να περάσουν απαρατήρητοι.<br />
Πώς η <strong>Security</strong>Scorecard μπορεί να βοηθήσει<br />
στην πρόληψη κινδύνων της ψηφιακής<br />
αλυσίδας εφοδιασμού<br />
Μόλις καθορίσετε τους κύριους κινδύνους τρίτων του οργανισμού<br />
σας, ήρθε η ώρα να δημιουργήσετε ένα σύστημα ελέγχου<br />
προμηθευτή και μια διαδικασία επίβλεψης. Και μέρος αυτής<br />
της διαδικασίας επίβλεψης πρέπει να περιλαμβάνει ένα σχέδιο<br />
για τη συνεχή παρακολούθηση κινδύνου από τρίτους. Αν και η<br />
συνεχής παρακολούθηση μπορεί να είναι χρονοβόρα και κουραστική,<br />
υπάρχουν τρόποι αυτοματοποίησης και απλοποίησης<br />
της διαδικασίας. Παρέχοντας προηγμένες αξιολογήσεις ασφαλείας,<br />
αυτοματοποιημένες αξιολογήσεις, διαχείριση κινδύνου<br />
τρίτων και ολοκληρωμένες αξιολογήσεις ασφαλείας τρίτων, η<br />
<strong>Security</strong>Scorecard βοηθά τις επιχειρήσεις να αναγνωρίσουν<br />
και να παρακολουθούν τις ευπάθειες της ψηφιακής αλυσίδας<br />
εφοδιασμού τους. Η <strong>Security</strong>Scorecard καθιστά δυνατή τη συνεχή<br />
παρακολούθηση όλων των οργανισμών στο πολύπλοκο<br />
οικοσύστημα στο οποίο λειτουργούν οι επιχειρήσεις, βοηθώντας<br />
τους οργανισμούς να ωριμάσουν γρήγορα και αποτελεσματικά<br />
τα προγράμματα διαχείρισης κινδύνου της εφοδιαστικής<br />
αλυσίδας. Μειώνοντας τον φόρτο εργασίας που σχετίζεται<br />
με την παρακολούθηση των κινδύνων της ψηφιακής αλυσίδας<br />
εφοδιασμού, μπορείτε να διασφαλίσετε τη συνέχεια της υπηρεσίας<br />
και την ψηφιακή ασφάλεια χωρίς να θέσετε σε κίνδυνο<br />
τους πόρους που απαιτούνται για την επίτευξη των πρωταρχικών<br />
επιχειρηματικών στόχων.<br />
security<br />
45
T<strong>82</strong>11/12.2023<br />
Issue<br />
Οι Κυβερνοκίνδυνοι που απειλούν την<br />
Εφοδιαστική Αλυσίδα και ο ρόλος<br />
της ασφάλισης Cyber Insurance<br />
Σε μια εποχή που κυριαρχείται από τη διασύνδεση και την ψηφιακή εξάρτηση, οι επιχειρήσεις<br />
βασίζονται σε μεγάλο βαθμό σε περίπλοκες αλυσίδες εφοδιασμού για να διασφαλίσουν την<br />
απρόσκοπτη ροή αγαθών και υπηρεσιών. Ωστόσο, μαζί με αυτή τη διασυνδεσιμότητα έρχεται και μια<br />
αυξημένη ευπάθεια σε απειλές στον κυβερνοχώρο, γεγονός που θέτει τις αλυσίδες εφοδιασμού στο<br />
επίκεντρο πιθανών κυβερνοεπιθέσεων.<br />
κατανόηση του τοπίου των κινδύνων στον<br />
Η<br />
κυβερνοχώρο της αλυσίδας εφοδιασμού και<br />
του καθοριστικού ρόλου της ασφάλισης στον<br />
κυβερνοχώρο είναι απαραίτητη για τις επιχειρήσεις<br />
προκειμένου να διασφαλίσουν τις<br />
δραστηριότητές τους απέναντι στις εξελισσόμενες απειλές<br />
στον κυβερνοχώρο. Οι Κυβερνοκίνδυνοι και η διακοπή<br />
επιχειρηματικής δραστηριότητας αποτελούν κορυφαίες<br />
απειλές της λειτουργίας της εφοδιαστικής αλυσίδας.<br />
Το εξελισσόμενο τοπίο απειλών: Τρωτά σημεία<br />
της αλυσίδας εφοδιασμού<br />
Οι αλυσίδες εφοδιασμού έχουν γίνει ολοένα και πιο πολύπλοκες,<br />
με τη συμμετοχή πολλών μερών, από τους κατασκευαστές<br />
και τους προμηθευτές έως τους παρόχους εφοδιαστικής<br />
και τους διανομείς. Αυτή η πολυπλοκότητα δημιουργεί<br />
ένα πλέγμα πιθανών τρωτών σημείων που μπορούν<br />
να εκμεταλλευτούν οι εγκληματίες του κυβερνοχώρου. Η<br />
διασυνδεδεμένη φύση των αλυσίδων εφοδιασμού σημαίνει<br />
46 security
Νίκος Γεωργόπουλος<br />
Digital Risk Insurance Broker, Cromar Insurance Brokers – Co founder DPO Academy<br />
https://www.linkedin.com/in/nikos-georgopoulos/<br />
ότι η παραβίαση ενός κόμβου μπορεί να έχει αλυσιδωτές<br />
επιπτώσεις, επηρεάζοντας ολόκληρο το δίκτυο.<br />
Οι συνήθεις απειλές στον κυβερνοχώρο που στοχεύουν τις<br />
αλυσίδες εφοδιασμού περιλαμβάνουν:<br />
1. Απώλειες δεδομένων: Οι εγκληματίες του κυβερνοχώρου<br />
συχνά στοχεύουν σε ευαίσθητες πληροφορίες, όπως<br />
δεδομένα πελατών, οικονομικά αρχεία και πνευματική ιδιοκτησία.<br />
Ένα περιστατικό παραβίασης ασφάλειας στην αλυσίδα<br />
εφοδιασμού μπορεί να οδηγήσει στην απώλεια κρίσιμων<br />
δεδομένων, πλήτωντας την εταιρική φήμη και δημιουργώντας<br />
οικονομικές απώλειες.<br />
2. Επιθέσεις ransomware: Με την άνοδο του ransomware,<br />
οι χάκερ κρυπτογραφούν τα δεδομένα μιας εταιρείας και<br />
απαιτούν λύτρα για την απελευθέρωσή τους. Οι διαταραχές<br />
της εφοδιαστικής αλυσίδας που προκύπτουν από αυτές τις<br />
επιθέσεις μπορεί να έχουν σοβαρές συνέπειες, οδηγώντας<br />
σε διακοπή της ομαλής λειτουγίας της και δημιοργώντας οικονομικές<br />
απώλειες.<br />
3. Κίνδυνοι τρίτων μερών: Καθώς στις αλυσίδες εφοδιασμού<br />
συμμετέχουν πολλοί εξωτερικοί εταίροι/προμηθευτές/<br />
πάροχοι, οι ενέργειες του ενός μπορεί να επηρεάσουν τους<br />
άλλους. Οι κίνδυνοι στον κυβερνοχώρο μπορεί να προκύψουν<br />
από τρίτους προμηθευτές ή παρόχους υπηρεσιών, οι οποίοι<br />
ενδέχεται να μην διαθέτουν ισχυρά μέτρα κυβερνοασφάλειας.<br />
4. Phishing και κοινωνική μηχανική: Οι εργαζόμενοι στην<br />
αλυσίδα εφοδιασμού μπορεί να αποτελέσουν στόχο μέσω<br />
μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing ή τακτικών<br />
κοινωνικής μηχανικής, δίνοντας την δυνατότητα στους<br />
κυβερνοεγκληματίες να αποκτήσουν πρόσβαση σε πόρους<br />
της και να δημιουργήσουν προβλήματα στην λειτουργία της.<br />
Η ανάγκη για ασφάλιση Cyber Insurance στην<br />
εφοδιαστική αλυσίδα<br />
Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται,<br />
οι παραδοσιακές στρατηγικές διαχείρισης κινδύνων<br />
δεν επαρκούν για την παροχή ολοκληρωμένης προστασίας.<br />
Η ασφάλιση στον κυβερνοχώρο έχει αναδειχθεί ως ένα κρίσιμο<br />
εργαλείο για τις επιχειρήσεις που επιθυμούν να μετριάσουν<br />
τις οικονομικές επιπτώσεις ενός περιστατικού στον<br />
κυβερνοχώρο και να εξασφαλίσουν ταχεία ανάκαμψη. Δείτε<br />
τι προσφέρει η ασφάλιση Cyber Insurance στη διαχείριση<br />
των κινδύνων στον κυβερνοχώρο της αλυσίδας εφοδιασμού:<br />
1. Οικονομική προστασία: Η ασφάλιση στον κυβερνοχώρο<br />
παρέχει οικονομική προστασία καλύπτοντας τις δαπάνες<br />
που συνδέονται με ένα περιστατικό παραβίασης ασφάλειας,<br />
συμπεριλαμβανομένων των νομικών εξόδων, των δαπανών<br />
γνωστοποίησης σε περιπτώσεις απώλειας προσωπικών δεδομένων<br />
και των δαπανών που δημοσίων σχέσεων για τη<br />
προστασία της εταιρικής φήμης.<br />
2. Κάλυψη διακοπής εργασιών: Η ασφάλιση Cyber<br />
Insurance προσφέρει κάλυψη διακοπής εργασιών, αποζημιώνοντας<br />
τις επιχειρήσεις για το εισόδημα που χάνεται κατά<br />
τη διάρκεια ενός συμβάντος στον κυβερνοχώρο. Αυτό είναι<br />
ιδιαίτερα σημαντικό στις αλυσίδες εφοδιασμού, όπου οι διαταραχές<br />
μπορεί να έχουν εκτεταμένες συνέπειες.<br />
3. Αντιμετώπιση περιστατικών και αποκατάσταση: Η<br />
ασφάλιση Cyber Insurance προσφέρει πρόσβαση σε υπηρεσίες<br />
διαχείρισης και αποκατάστασης ώστε να βοηθηθούν οι<br />
επιχειρήσεις να ανακάμψουν αποτελεσματικότερα από ένα<br />
περιστατικό στον κυβερνοχώρο<br />
4. Διαχείριση κινδύνου: Οι πάροχοι ασφάλισης στον κυβερνοχώρο<br />
συχνά προσφέρουν υπηρεσίες διαχείρισης κινδύνου<br />
για να βοηθήσουν τις επιχειρήσεις να αξιολογήσουν<br />
και να βελτιώσουν τη θέση τους στον κυβερνοχώρο. Αυτή η<br />
προληπτική προσέγγιση μπορεί να μειώσει την πιθανότητα<br />
εμφάνισης ενός περιστατικού στον κυβερνοχώρο.<br />
Συμπεράσματα<br />
Καθώς οι αλυσίδες εφοδιασμού ψηφιοποιούνται και διασυνδέονται<br />
όλο και περισσότερο, ο κίνδυνος απειλών στον<br />
κυβερνοχώρο συνεχίζει να αυξάνεται. Η κατανόηση των μοναδικών<br />
τρωτών σημείων εντός των αλυσίδων εφοδιασμού<br />
και η εφαρμογή ισχυρών μέτρων κυβερνοασφάλειας είναι<br />
ζωτικής σημασίας για τις επιχειρήσεις που επιθυμούν να διασφαλίσουν<br />
τις δραστηριότητές τους. Υιοθετώντας μια ολοκληρωμένη<br />
προσέγγιση που συνδυάζει τις βέλτιστες πρακτικές<br />
κυβερνοασφάλειας με τη σωστή ασφαλιστική κάλυψη, οι<br />
επιχειρήσεις μπορούν να διαχειριστούν αποτελεσματικότερα<br />
τους κινδύνους της αλυσίδας εφοδιασμού και να εξασφαλίσουν<br />
ανθεκτικότητα απέναντι σε ένα συνεχώς εξελισσόμενο<br />
τοπίο απειλών.<br />
security<br />
47
T<strong>82</strong>11/12.2023<br />
Issue<br />
Bitdefender: Η Εφοδιαστική<br />
Αλυσίδα είναι ένας στόχος<br />
δισεκατομμυρίων<br />
Καθώς οι οργανισμοί ανταποκρίνονται στον ψηφιακό μετασχηματισμό, εντάσσοντας όλο και<br />
περισσότερο τεχνολογίες και πολιτικές ασφαλείας στις υποδομές τους, η εφοδιαστική αλυσίδα πάντα<br />
θα διατηρεί περισσότερα κενά ασφαλείας κάνοντας πιο εύκολη την μη εξουσιοδοτημένη πρόσβαση<br />
σε ευαίσθητα και κρίσιμα εταιρικά δεδομένα, θέτοντάς την στο στόχαστρο των επιτιθέμενων ως το<br />
colpo grosso «less for more».<br />
λοκληρώνοντας το 2023, οι επιθέσεις στην<br />
Ο<br />
εφοδιαστική αλυσίδα σημειώνουν αύξηση<br />
και αναμένεται να ξεπεράσουν τα<br />
60 δις δολάρια, με τα προγνωστικά να τοποθετούν<br />
αυτή την αύξηση άνω των 80 δις<br />
δολαρίων έως το 2026, ενώ σύμφωνα με τον Gartner έως<br />
το τέλος του 2025, τουλάχιστον το 45% των οργανισμών<br />
παγκοσμίως θα έχει αντίκτυπο από κάποια επίθεση<br />
στην εφοδιαστική αλυσίδα. Ποιοι είναι όμως οι παράγοντες<br />
που την κάνουν τόσο ευάλωτη και πώς μπορεί να ενισχυθεί<br />
η ασφάλεια; Μιλώντας για εφοδιαστική αλυσίδα στον ψηφιακό<br />
κόσμο, αναφερόμαστε κυρίως σε software providers,<br />
hosts, και h/w vendors. Σε πολλές περιπτώσεις, το προϊόν<br />
ή υπηρεσία που προσφέρεται, περιλαμβάνει κομμάτια τρίτων<br />
εταιρειών, που εντέλει συνθέτουν το τελικό προϊόν που<br />
λαμβάνει ένας οργανισμός. Η πολυπλοκότητα αυτού του μοντέλου<br />
δημιουργεί προκλήσεις στον προσδιορισμό και την<br />
διαχείριση καίριων πληροφοριών όπως :<br />
• Το επίπεδο πρόσβασης που έχει ο προμηθευτής στα<br />
συστήματα του οργανισμού και η συχνότητα αυτής<br />
48 security
Σίσσυ Ρουσιά<br />
Business Development Manager, Bitdefender Greece & Cyprus<br />
www.bitdefender.gr<br />
• Η πρόσβαση που έχει ο προμηθευτής στην πνευματική<br />
ιδιοκτησία, τις πληροφορίες πελατών ή άλλα ευαίσθητα<br />
δεδομένα<br />
• Εάν ο προμηθευτής θα μπορούσε να χρησιμοποιηθεί<br />
από τρίτο μέρος ως φορέας για να επιτεθεί ή να διαταράξει<br />
την επιχείρηση ή τους πελάτες<br />
• Το επίπεδο οικονομικής εξάρτησης από τον προμηθευτή<br />
• Ο αντίκτυπος στην επιχείρηση και στους πελάτες εάν ο<br />
προμηθευτής αντιμετωπίσει εκτεταμένη διακοπή των<br />
εργασιών του<br />
• Ο χρόνος και το κόστος αποκατάστασης ή συντήρησης<br />
της επιχείρησης, εάν ξαφνικά χαθεί η πρόσβαση στα<br />
προϊόντα ή τις υπηρεσίες του προμηθευτή<br />
Έχοντας προσδιορίσει τους κρίσιμους προμηθευτές μέσω<br />
της παραπάνω χαρτογράφησης, είναι σημαντικό να καταγραφεί<br />
η διαδικασία αντιμετώπισης συμβάντος ασφαλείας<br />
σε περίπτωση που:<br />
• Ένα κακόβουλο λογισμικό εισάγεται στα συστήματα<br />
του οργανισμού μέσω παραβιασμένου λογισμικού ή<br />
κώδικα που παρέχεται από τρίτο<br />
• Ένας πάροχος υπηρεσιών έχει παραβιαστεί, δίνοντας<br />
σε έναν εισβολέα μη εξουσιοδοτημένη πρόσβαση στα<br />
συστήματα και τα δεδομένα της εταιρείας<br />
• Ένας εμπιστευτικός χρήστης που απασχολείται από<br />
μια οντότητα της εφοδιαστικής αλυσίδας μπορεί να<br />
έχει πρόσβαση στα συστήματά σας για να διεξάγει κακόβουλη<br />
δραστηριότητα<br />
• Στην αλυσίδα εφοδιασμού εισάγονται πλαστά ή παραβιασμένα<br />
εξαρτήματα h/w<br />
• Ο κακός έλεγχος ποιότητας σε μια διαδικασία ανάπτυξης<br />
ή παραγωγής λογισμικού γίνει αντικείμενο εκμετάλλευσης<br />
από κακόβουλο παράγοντα<br />
• Η πρόσβαση στην υπηρεσία διακόπτεται (για παράδειγμα<br />
κατά τη διάρκεια μιας επίθεσης DDoS)<br />
Οι μέθοδοι επιθέσεων στην εφοδιαστική αλυσίδα, δεν διαφέρουν<br />
σημαντικά από εκείνες που χρησιμοποιούνται για μεμονωμένες<br />
επιθέσεις. Ωστόσο είναι δύσκολο να εντοπιστούν<br />
εγκαίρως λόγω της πολυπλοκότητας των συστημάτων ενώ<br />
επιφέρουν τεράστιο αντίκτυπο ειδικότερα όταν αφορούν<br />
κύρια συστήματα και εφαρμογές όπως file repositories,<br />
back office software, hosts κ.α. Βλέποντας τις κύριες μορφές<br />
όπως επιθέσεις μέσω Browsers (μολυσμένα cookies,<br />
session storages κτλ), μέσω Software, Open -Source,<br />
Java Script, Megacart, Cryptojacking, διαπιστώνεται ότι<br />
οι οργανισμοί ακόμη κι αν δεν μπορούν να αποτρέψουν την<br />
παραβίαση του προμηθευτή τους, μπορούν με τα κατάλληλα<br />
εργαλεία να αποτρέψουν τις επιπτώσεις στην υποδομή τους.<br />
Εφαρμόζοντας λύσεις που περιέχουν τεχνολογίες αιχμής<br />
όπως ML, TI, Behavior Analysis, και εντοπισμό<br />
sophisticated απειλών όπως, lateral movements, exploits,<br />
Indicators of Compromise, fileless, malware & ransomware<br />
εντοπισμό και αντιμετώπιση, εύρεση ευπαθειών εφαρμογών<br />
και browsers, οι ομάδες ασφαλείας μπορούν να αντιμετωπίσουν<br />
άμεσα τις επιπτώσεις ενός συμβάντος supply chain<br />
attack, περιορίζοντας τις συνέπειες στην υποδομή τους.<br />
Η Bitdefender, Παγκόσμιος Ηγέτης στον χώρο της κυβερνοασφάλειας,<br />
ακολουθώντας τις ανάγκες των οργανισμών<br />
για ένα πιο ασφαλές ψηφιακό περιβάλλον, προσφέρει<br />
ολοκληρωμένες λύσεις για την ασφάλεια των κρισιμότερων<br />
σημείων της υποδομής. Endpoints- Email – Cloud<br />
– Identity -Ανθρώπινος παράγοντας. Με 1 agent και 1<br />
ενιαία κονσόλα διαχείρισης, οι ομάδες ασφαλείας λαμβάνουν<br />
ολιστική ορατότητα με εύκολη πρόσβαση στην<br />
πληροφορία. Το Live Search που περιλαμβάνεται στο EDR<br />
αποτελεί χρήσιμο εργαλείο έγκαιρης αντιμετώπισης supply<br />
chain attack, προσφέροντας άμεση πληροφορία για το που<br />
βρίσκονται κρίσιμες λειτουργίες όπως Log4J, 3CX και άλλα<br />
παραδείγματα πρόσφατων επιθέσεων. Το Sand Box<br />
Analyzer προσφέρει αναλυτική πληροφορία και βοηθά<br />
στην λήψη αποφάσεων, ενώ το Risk Analytics ενισχύει<br />
την θωράκιση της υποδομής. Ενσωματώνοντας το Patch<br />
Management, αυτοματοποιείται η διαδικασία κάλυψης κενών<br />
ασφαλείας. Με περισσότερους από 30 μηχανισμούς<br />
άμυνας, αναλυτικό Forensic Analysis, zero trust αρχιτεκτονική<br />
και το πιο αποτελεσματικό Threat Detection<br />
παγκοσμίως, το Gravity Zone αποδεικνύεται αποτελεσματική<br />
λύση για έναντι εξελιγμένων επιθέσεων. Οι σύμβουλοι<br />
ασφαλείας της Bitdefender, μπορούν να σας βοηθήσουν να<br />
επιλέξετε την λύση που ταιριάζει στις δικές σας ανάγκες.<br />
Επικοινωνία: info@bitdefender.gr | 215-5353030 |<br />
www.bitdefender.gr<br />
security<br />
49
T<strong>82</strong>11/12.2023<br />
Issue<br />
Kωνσταντίνος Παπαδάτος<br />
Founder & Managing Director,<br />
Cyber Noesis<br />
Δυναμική διαχείριση κινδύνου με<br />
τη βοήθεια τεχνητής νοημοσύνης<br />
για έλεγχο πρόσβασης σε Αρχιτεκτονικές<br />
Μηδενικής Εμπιστοσύνης<br />
Σύγχρονες προκλήσεις<br />
Η ανάγκη ενίσχυσης της κυβερνοασφάλειας στα συστήματα<br />
πληροφοριών των οργανισμών σε ένα συνεχώς εξελισσόμενο<br />
τοπίο των απειλών στον κυβερνοχώρο, θέτει μοναδικές<br />
προκλήσεις και απαιτεί καινοτόμες προσεγγίσεις για να διασφαλιστεί<br />
ότι η ανθεκτικότητα των οργανισμών διατηρείται<br />
σε ένα υψηλό επίπεδο. Οι σύγχρονες απειλές απαιτούν<br />
όχι μόνο την ανάπτυξη αρχιτεκτονικών μηδενικής εμπιστοσύνης,<br />
οι οποίες σταδιακά εφαρμόζονται από οργανισμούς,<br />
αλλά και την ενίσχυσή τους με δυναμικούς ελέγχους πρόσβασης.<br />
Σε αυτό το πλαίσιο, είναι ζωτικής σημασίας να λαμβάνεται<br />
υπόψη το συνολικό επίπεδο κινδύνου που σχετίζεται<br />
με την παραχώρηση πρόσβασης σε κρίσιμους πόρους αλλά<br />
και να αξιολογείται δυναμικά, ακολουθώντας ένα προληπτικό<br />
μοντέλο για την αντιμετώπιση σύγχρονων και αναδυόμενων<br />
απειλών. Επιπροσθέτως, είναι αναγκαία η χρήση μεθόδων<br />
μηχανικής μάθησης για τη λήψη αποφάσεων, με στόχο<br />
την αποτελεσματικότερη διαχείριση των σχετικών κινδύνων,<br />
καθώς και την αποτροπή πιθανών παραβιάσεων και άλλων<br />
κακόβουλων ενεργειών.<br />
Ενισχύοντας την προληπτική θωράκιση των<br />
οργανισμών<br />
Η λύση που αναπτύσσεται στο πλαίσιο των δραστηριοτήτων<br />
έρευνας και ανάπτυξης της Cyber Noesis σε συνεργασία<br />
με το Εργαστήριο Διαδικτυακών Υπηρεσιών και Ασφάλειας<br />
Πληροφοριών, του Διεθνούς Πανεπιστημίου της<br />
Ελλάδος, εισάγει μια καινοτόμο προσέγγιση για την προστασία<br />
των πόρων των οργανισμών έναντι υφιστάμενων και αναδυόμενων<br />
απειλών στον κυβερνοχώρο, και βασίζεται σε τρεις<br />
50 security
Κωνσταντίνος Δεμερτζής<br />
Ερευνητής, Εργαστήριο Διαδικτυακών Υπηρεσιών και<br />
Ασφάλειας Πληροφοριών, Διεθνές Πανεπιστήμιο της Ελλάδος<br />
Κωνσταντίνος Ράντος<br />
Αν. Καθηγητής, Εργαστήριο Διαδικτυακών Υπηρεσιών και<br />
Ασφάλειας Πληροφοριών, Διεθνές Πανεπιστήμιο της Ελλάδος<br />
βασικούς πυλώνες: την Αρχιτεκτονική Μηδενικής Εμπιστοσύνης<br />
(Zero Trust Architecture - ΖΤΑ), τη Διαχείριση<br />
και η Διάδοση Πληροφοριών Κυβερνοαπειλών (Cyber<br />
Threat Intelligence) και τη Δυναμική Διαχείριση Κινδύνων<br />
(Dynamic Risk Management). Η Αρχιτεκτονική Μηδενικής<br />
Εμπιστοσύνης αποτελεί θεμελιώδη πυλώνα της λύσης.<br />
Πρόκειται για ένα μοντέλο ασφάλειας που βασίζεται στην παραδοχή<br />
ότι κανένας χρήστης, συσκευή ή δίκτυο δεν μπορεί να<br />
θεωρείται εγγενώς αξιόπιστο. Η συνεχής αξιολόγηση των αιτημάτων<br />
πρόσβασης σε προστατευόμενους πόρους, τόσο εντός<br />
όσο και εκτός της περιμέτρου, διασφαλίζει ότι μόνο εξουσιοδοτημένες<br />
συσκευές ή/και χρήστες που περνούν τους απαραίτητους<br />
ελέγχους, μπορούν να έχουν πρόσβαση. Η προσέγγιση<br />
αυτή εξαλείφει την έννοια της σιωπηρής εμπιστοσύνης<br />
και ενισχύει τα επίπεδα ασφαλείας του οργανισμού. Σύμφωνα<br />
με την αρχή αυτή, και λαμβάνοντας υπόψη την αρχιτεκτονική<br />
που προτείνει το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας<br />
(National Institute of Standards and Technology) των<br />
ΗΠΑ, η αξιολόγηση των αιτημάτων πρόσβασης σε υπηρεσίες<br />
ή πόρους είναι συνεχής και πραγματοποιείται σε πραγματικό<br />
χρόνο για όλα τα υποκείμενα/συσκευές, συμπεριλαμβανομένων<br />
εκείνων που βρίσκονται εντός της περιμέτρου, λαμβάνοντας<br />
υπόψη ένα εκτενές σύνολο πληροφοριών που σχετίζονται<br />
με αυτή την ενέργεια και οι οποίες αντλούνται από διάφορες<br />
εγκεκριμένες πηγές, όπως πληροφορίες κυβερνοαπειλών,<br />
<strong>Security</strong> Information and Event Management (SIEM)<br />
συστήματα, και συστήματα αυθεντικοποίησης.<br />
Η Διαχείριση και η Διάδοση Πληροφοριών Κυβερνοαπειλών<br />
(Cyber Threat Intelligence – CTI) διαδραματίζει κρίσιμο<br />
ρόλο στην καινοτομία της λύσης και αποτελεί τον δεύτερο<br />
βασικό πυλώνα αυτής. Οι πληροφορίες αυτές αναφέρονται<br />
στα δεδομένα που συλλέγονται, αναλύονται και διανέμονται<br />
για χρήση από τους οργανισμούς για την κατανόηση και την<br />
έγκαιρη ενημέρωση των απειλών στον κυβερνοχώρο, αποκαλύπτοντας<br />
τα κίνητρα, τις μεθοδολογίες, τα πρότυπα και<br />
τα εργαλεία που χρησιμοποιούν οι φορείς των απειλών. Με<br />
τη συλλογή, ανάλυση και διανομή δεδομένων πληροφοριών<br />
σχετικά με κυβερνοαπειλές, οι οργανισμοί μπορούν να αποκτήσουν<br />
βαθύτερη επίγνωση της κατάστασης και να προετοιμαστούν<br />
καλύτερα έναντι επικείμενων απειλών. Επιπρόσθετα,<br />
η λύση αξιοποιεί την υπάρχουσα έρευνα για την αξιολόγηση<br />
των απειλών στον κυβερνοχώρο με ποιοτικά κριτήρια καθώς<br />
και τη χρήση blockchain για την αποθήκευση και διάδοση<br />
πληροφοριών κυβερνοαπειλών. Αυτό επιτρέπει την αξιόπιστη<br />
ανταλλαγή αξιοποιήσιμων πληροφοριών σε (σχεδόν) πραγματικό<br />
χρόνο, διευκολύνοντας την τεκμηριωμένη λήψη αποφάσεων<br />
και τον προληπτικό μετριασμό των κινδύνων.<br />
Ο τρίτος πυλώνας αυτής της λύσης, η Δυναμική Διαχείριση<br />
Κινδύνων απαιτεί τη συνεχή παρακολούθηση και αξιολόγηση<br />
των κινδύνων με τη χρήση σύγχρονων μεθόδων<br />
μηχανικής μάθησης, τεχνικών ανάλυσης και εκτίμησης<br />
κινδύνου. Αξιοποιώντας τις διαθέσιμες πληροφορίες<br />
στο περιβάλλον του οργανισμού, η δυναμική διαχείριση κινδύνων<br />
επιτρέπει την έγκαιρη ανίχνευση και αξιολόγηση των<br />
κινδύνων σε (σχεδόν) πραγματικό χρόνο κατά τη διαδικασία<br />
λήψης αποφάσεων για τον έλεγχο πρόσβασης. Η εκτίμηση<br />
των κινδύνων λαμβάνει υπόψη τις πληροφορίες σχετικά με<br />
τις απειλές στον κυβερνοχώρο, τα μοτίβα επιθέσεων και τα<br />
τρωτά σημεία της υπάρχουσας αρχιτεκτονικής του περιβάλλοντος-στόχου.<br />
Έτσι, αξιολογούνται κατάλληλα οι επιπτώσεις των επιθέσεων<br />
στον οργανισμό, οι πιθανότητες εμφάνισης κάποιων<br />
συμβάντων που σχετίζονται με φορείς απειλών και με μοτίβα<br />
επιθέσεων, αλλά και η κρισιμότητα των αδυναμιών. Αυτή η<br />
προληπτική προσέγγιση δίνει τη δυνατότητα στα συστήματα<br />
λήψης αποφάσεων να αντιμετωπίζουν άμεσα τους κινδύνους,<br />
οδηγώντας σε βελτιωμένη ασφάλεια και επιχειρησιακή<br />
αποτελεσματικότητα.<br />
Η ολοκλήρωση και η συνέργεια αυτών των τομέων οδηγεί σε<br />
μια καινοτόμο προσέγγιση που αντιμετωπίζει τις τρέχουσες<br />
και τις αναδυόμενες απειλές, και στοχεύει στην ενίσχυση<br />
της ωριμότητας της κυβερνοασφάλειας. Με την ενσωμάτωση<br />
στη διαδικασία λήψης αποφάσεων στις αρχιτεκτονικές<br />
μηδενικής εμπιστοσύνης, ευφυών μεθόδων δυναμικής και<br />
προληπτικής αξιολόγησης των κινδύνων που σχετίζονται με<br />
την πρόσβαση σε πόρους των συστημάτων, θα είναι δυνατή<br />
η βέλτιστη θωράκιση των οργανισμών έναντι σύγχρονων και<br />
αναδυόμενων απειλών.<br />
Πανευρωπαϊκή διάκριση<br />
Η προτεινόμενη λύση κατέκτησε το βραβείο στον διαγωνισμό<br />
«Defence Innovation Prize 2023» του European<br />
Defence Agency, στην κατηγορία «Technologies for<br />
Communication and Information Systems».<br />
Το Defence Innovation Prize απονέμεται από το European<br />
Defence Agency (EDA) από το 2018, σε εταιρείες και ερευνητικούς<br />
φορείς που παρουσιάζουν τεχνολογίες, προϊόντα, διαδικασίες<br />
ή υπηρεσίες που εφαρμόζονται στον τομέα της άμυνας.<br />
Το βραβείο προωθεί την καινοτομία στην άμυνα στην Ευρώπη<br />
και παρέχει στις βιομηχανίες, στις μικρομεσαίες επιχειρήσεις<br />
(ΜΜΕ), στους ερευνητικούς οργανισμούς και στα πανεπιστήμια<br />
την ευκαιρία να προβάλουν την τεχνογνωσία τους. Η συγκεκριμένη<br />
διάκριση θεωρείται σημαντική καθώς είναι η πρώτη<br />
φορά που απονέμεται σε Ελληνική εταιρία.<br />
security<br />
51
T<strong>82</strong>11/12.2023<br />
Issue<br />
NIS 2 & Cyber <strong>Security</strong><br />
Compliance Framework<br />
Η Οδηγία NIS 2 αποτελεί τη νέα ευρωπαϊκή οδηγία η οποία στοχεύει στην ενίσχυση της<br />
ασφάλειας δικτύων και πληροφοριακών συστημάτων.<br />
Οδηγία NIS 2 καθορίζει μια σειρά από απαιτήσεις<br />
ασφάλειας που πρέπει να τηρούν οι<br />
Η<br />
essential και important οντότητες (όπως<br />
ορίζονται από την οδηγία). Αυτές περιλαμβάνουν<br />
την εφαρμογή τεχνικών & οργανωτικών<br />
μέτρων για την πρόληψη, ανίχνευση, ανταπόκριση<br />
και ανάκαμψη από περιστατικά ασφαλείας. Συγκεκριμένα,<br />
τα μέτρα τα οποία απαιτούνται για τη συμμόρφωση με την<br />
NIS 2 περιγράφονται στο Άρθρο 21 και οι νέες υποχρεώσεις<br />
κοινοποίησης των περιστατικών στο Άρθρο 23 και συνοψίζονται<br />
ακολούθως:<br />
• Ανάλυση & Διαχείριση Κινδύνων:<br />
o Προσδιορισμός, αξιολόγηση και κατηγοριοποίηση των<br />
περιοχών επικινδυνότητας του οργανισμού<br />
o Επιλογή των κατάλληλων τεχνικών & οργανωτικών<br />
μέτρων προστασίας ώστε να επιτυγχάνεται η Διαθεσιμότητα,<br />
η Εμπιστευτικότητα και η Ακεραιότητα των<br />
δεδομένων<br />
o Συνεχής ανασκόπηση ορθής εφαρμογής των μέτρων<br />
προστασίας (τουλάχιστον μία φορά το χρόνο)<br />
• Διαχείριση Περιστατικών Ασφαλείας:<br />
o Εντοπισμός, ανάλυση και έγκαιρη ανάκαμψη από περιστατικά<br />
ασφάλειας<br />
o Έγκαιρη καταγραφή και γνωστοποίηση των περιστατικών<br />
ασφαλείας στις αρμόδιες αρχές και τις επηρεαζόμενες<br />
οντότητες<br />
• Μέτρα Επιχειρησιακής Συνέχειας:<br />
o Υλοποίηση της πολιτικής και των απαραίτητων διαδικασιών<br />
αντιγράφων ασφαλείας, βάσει των αποτελεσμάτων<br />
της ανάλυσης κινδύνου<br />
o Υλοποίηση των απαραίτητων Σχεδίων Ανάκαμψης<br />
από Καταστροφές (Disaster Recovery Plan), Επιχειρησιακής<br />
Συνέχειας (Business Continuity Plan) και<br />
Διαχείρισης Kρίσεων ( Crisis Management Plan)<br />
• Απαιτήσεις Ασφάλειας Προμηθευτών:<br />
o Εντοπισμός και αναλυτική καταγραφή των κρίσιμων<br />
52 security
Δρ. Θεόδωρος Ντούσκας<br />
Managing Director, ICT PROTECT<br />
www.ictprotect.com<br />
προμηθευτών (στοιχεία επικοινωνίας, χρόνοι απόκρισης<br />
& ανάκαμψης, κλπ.)<br />
o Αξιολόγηση των προμηθευτών επιλέγοντας τον αποτελεσματικότερο<br />
από άποψη ασφάλειας και επιχειρησιακής<br />
συνέχειας<br />
• Απόκτηση, ανάπτυξη και συντήρηση συστήματος:<br />
o Ενσωμάτωση διαδικασιών ελέγχου ασφάλειας σε όλα<br />
τα στάδια του κύκλου ανάπτυξης λογισμικού (Secure<br />
Code Development, Application Threat Modelling, κλπ)<br />
o Ενσωμάτωση διαδικασιών ελέγχου ασφάλειας σε όλα<br />
τα στάδια απόκτησης και συντήρησης συστημάτων<br />
o Ενσωμάτωση διαδικασιών εντοπισμού, άμεσου χειρισμού<br />
και γνωστοποίησης των τεχνικών ευπαθειών<br />
(technical vulnerabilities) στα εμπλεκόμενα μέρη<br />
• Πολιτικές και διαδικασίες για την αξιολόγηση της<br />
αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων<br />
στον κυβερνοχώρο<br />
o Υλοποίηση, ανασκόπηση και επικαιροποίηση των<br />
απαραίτητων διαδικασιών και πολιτικών ασφάλειας.<br />
• “Κυβερνο-υγιεινή” υπολογιστών (cyber hygiene<br />
practices)<br />
o Υιοθέτηση βέλτιστων πρακτικών για την επαρκή παραμετροποίηση<br />
ασφάλειας των συστημάτων(π.χ. CIS,<br />
NIST SP 800-53 κλπ.) συμπεριλαμβάνοντας ενδεικτικά<br />
τις ακόλουθες ενότητες:<br />
■ Hardening, Endpoint <strong>Security</strong>, Password Policy,<br />
Patch Management, Secure Remote Access,<br />
Shadow <strong>IT</strong> Management, Cloud Services<br />
Configuration Review.<br />
• Συνεχής Εκπαίδευση & Επαγρύπνηση χρηστών:<br />
o Διεξαγωγή εκπαιδευτικών προγραμμάτων σε θέματα<br />
ασφάλειας για όλους τους υπαλλήλους του οργανισμού<br />
o Διεξαγωγή σεναρίων επιθέσεων (π.χ phishing,<br />
ransomware, κλπ.) με στόχο την αξιολόγηση των υφιστάμενων<br />
διαδικασιών απόκριση του οργανισμού σε<br />
κρίσιμες καταστάσεις<br />
• Πολιτικές για την κατάλληλη χρήση κρυπτογραφίας:<br />
o Υιοθέτηση τεχνικών κρυπτογράφησης (encryption at<br />
rest, in motion, in use) με στόχο την προστασία των<br />
ευαίσθητων δεδομένων και επικοινωνίας βάσει των<br />
αποτελεσμάτων της ανάλυσης κινδύνου.<br />
• Ασφάλεια ανθρώπινου δυναμικού, πολιτικές ελέγχου<br />
πρόσβασης και διαχείριση πληροφοριακών αγαθών<br />
o Εφαρμογή πολιτικών ελέγχου πρόσβασης & διαχείριση<br />
πληροφοριακών αγαθών, προκειμένου να διασφαλίζεται<br />
ότι η πρόσβαση σε κρίσιμα συστήματα και<br />
δεδομένα.<br />
• Χρήση πολλαπλών παραγόντων, ασφαλής επικοινωνίας<br />
φωνής/βίντεο/κειμένου & ασφαλής επικοινωνία<br />
έκτακτης ανάγκης<br />
• Αναφορά περιστατικών Κυβερνοασφάλειας:<br />
o Εντός 24 ωρών για σημαντικό περιστατικό που προκλήθηκε<br />
από έκνομες ή κακόβουλες ενέργειες ή δύναται<br />
να έχει διασυνοριακό αντίκτυπο<br />
o Εντός 72 ωρών σε κάθε άλλη περίπτωση<br />
Ταυτόχρονα, μέσω της οδηγίας NIS 2 αναδεικνύεται σημαντικά<br />
η ευθύνη της ανώτατης Διοίκησης των οργανισμών.<br />
Η Ανώτατη Διοίκηση των “essential” και “important” οντοτήτων<br />
έχει την τελική ευθύνη για τη διαχείριση κινδύνων. Η<br />
μη συμμόρφωση της διοίκησης με τις απαιτήσεις NIS 2 θα<br />
μπορούσε να έχει σοβαρές συνέπειες, όπως προσωρινές<br />
απαγορεύσεις και διοικητικά πρόστιμα. Οι βασικές αρμοδιότητες<br />
της Ανώτατης Διοίκησης είναι:<br />
• Έγκριση της επάρκειας των μέτρων διαχείρισης κινδύνων<br />
• Επίβλεψη της ορθής εφαρμογής των μέτρων διαχείρισης<br />
κινδύνου<br />
• Συνεχής εκπαίδευση όλου του προσωπικού με στόχο<br />
την εξοικείωση, απόκτηση γνώσεων και δεξιοτήτων<br />
για τον εντοπισμό κινδύνων και την αξιολόγηση των<br />
πρακτικών διαχείρισης κινδύνων στον κυβερνοχώρο<br />
• Ευθύνη (accountability) για τυχόν μη συμμόρφωση<br />
με τις απαιτήσεις της οδηγίας<br />
Επιτακτική είναι πλέον η ανάγκη δημιουργίας ενός γενικού<br />
πλαισίου αναγνώρισης, αξιολόγησης, εφαρμογής και παρακολούθησης<br />
ορθής εφαρμογής των απαιτήσεων ασφάλειας<br />
(Cybersecurity Compliance Framework).<br />
Όλες οι παραπάνω κατευθυντήριες γραμμές και απαιτήσεις<br />
μπορούν να καλυφθούν από γνωστά διεθνή πρότυπα όπως<br />
NIST CSF, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018,<br />
ISO/IEC 27019, ISO/IEC 22301, SOC 2, κ.λπ., και ο πιο αποτελεσματικός<br />
τρόπος συμμόρφωσης με αυτές τις πολύπλοκες<br />
απαιτήσεις είναι η υιοθέτηση ενός Πλαισίου Συμμόρφωσης<br />
Κυβερνοασφάλειας προκειμένου να αξιολογείται και<br />
να βελτιώνεται συνεχώς το επίπεδο ασφάλειας των Πληροφοριακών<br />
Συστημάτων. Η προτεινόμενη μεθοδολογία συμμόρφωσης<br />
της ICT PROTECT για τη Διαχείριση Επικινδυνότητας<br />
στην Ασφάλεια Πληροφοριών προέρχεται από τα διεθνή<br />
πρότυπα, τους κανονισμούς και τις βέλτιστες πρακτικές που<br />
αναφέρονται παραπάνω και αποτελείται από οκτώ φάσεις.<br />
Συγκεκριμένα, το Framework το οποίο προτείνουμε περιγράφεται<br />
στο Infographic1.<br />
Στην ICT PROTECT έχουμε αναπτύξει το Cyber <strong>Security</strong><br />
Compliance Framework και το χρησιμοποιούμε με επιτυ-<br />
security<br />
53
T<strong>82</strong>11/12.2023<br />
Issue<br />
INFOGRAPHIC1<br />
χία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε<br />
τις περίπλοκες απαιτήσεις συμμόρφωσης των<br />
πελατών μας. Το εργαλείο STORM GRC προσφέρει μια δέσμη<br />
στοχευμένων υπηρεσιών στους τελικούς χρήστες, προκειμένου<br />
να τους καθοδηγήσει να διαχειρίζονται με ασφάλεια τα<br />
Πληροφοριακά Συστήματα και να δημιουργούν όλα τα υποχρεωτικά<br />
έγγραφα και αποδεικτικά στοιχεία που απαιτούνται<br />
από το ISO 27001:2022 και τις ειδικές απαιτήσεις της βιομηχανίας<br />
για την ασφάλεια στον κυβερνοχώρο (όπως ΙMO,<br />
BIMCO, TMSA, NERC CIP, NIST CSF κ.λπ.).<br />
βέλτιστων πρακτικών για την προστασία των δεδομένων των<br />
πελατών τους, των υπαλλήλων και συνεργατών τους. Με την<br />
ενδυνάμωση της ασφάλειας και το επίπεδο προστασίας των<br />
προσωπικών δεδομένων και των ηλεκτρονικών υπηρεσιών οι<br />
επιχειρήσεις είναι σε θέση να επιτύχουν ανταγωνιστικό πλεονέκτημα<br />
στην αγορά κερδίζοντας την ευρεία εμπιστοσύνη των<br />
υφιστάμενων και δυνητικών πελατών.<br />
Συμπεράσματα<br />
Η διαχείριση της ασφάλειας και η συμμόρφωση με την ισχύουσα<br />
νομοθεσία αποτελούν απαραίτητες προϋποθέσεις για τη<br />
διεξαγωγή του ηλεκτρονικού επιχειρείν. Αποτελούν προϋπόθεση<br />
για τη διατήρηση υφιστάμενων προϊόντων, υπηρεσιών<br />
και πελατών καθώς και για τη δημιουργία νέων προϊόντων και<br />
υπηρεσιών. Ως εκ τούτου, η ασφάλεια των πληροφοριών είναι<br />
θεμελιώδους σημασίας για την συνέχεια της επιχειρηματικής<br />
δραστηριότητας για μια επιχείρηση. Τόσο οι essential όσο και<br />
οι important οντότητες, πρέπει να είναι σε θέση να αποδείξουν<br />
τη συμμόρφωση με την νομοθεσία και την υιοθέτηση<br />
54 security
T<strong>82</strong>11/12.2023<br />
Issue<br />
ORTHOLOGY<br />
www.orthology.gr<br />
TeamViewer Tensor: 6 λόγοι για να<br />
το επιλέξετε<br />
ο TeamViewer Tensor είναι μια προηγμένη,<br />
επιχειρησιακού επιπέδου έκδοση του<br />
Τ<br />
δημοφιλούς λογισμικού TeamViewer, σχεδιασμένη<br />
ειδικά για μεγαλύτερες επιχειρήσεις<br />
και οργανισμούς. Βασίζεται στις βασικές<br />
λειτουργίες του TeamViewer, το οποίο είναι ευρέως<br />
γνωστό για τις δυνατότητες απομακρυσμένης πρόσβασης<br />
και υποστήριξης, και βελτιώνει αυτές τις λειτουργίες για να<br />
ανταποκρίνεται στις ανάγκες των επιχειρηματικών περιβαλλόντων.<br />
Ακολουθούν 6 λόγοι για τους οποίους η επιλογή του<br />
Tensor είναι μια έξυπνη απόφαση για την επιχείρησή σας:<br />
1. Ασφάλεια 360 για επιχειρήσεις - Η ενασχόληση με την<br />
απομακρυσμένη υποστήριξη ενέχει σημαντικούς κινδύνους<br />
ασφαλείας, όπως για παράδειγμα πλήρης πρόσβαση στα μηχανήματα<br />
της εταιρείας. Οι επιχειρήσεις έχουν ανάγκη από<br />
αποτελεσματικά μέτρα ασφαλείας για την προστασία από<br />
απειλές όπως το Ransomware, εισβολές τρίτων, παραβιάσεις<br />
δεδομένων κ.α. Το TeamViewer Remote παρέχει μια<br />
ισχυρή βάση ασφαλείας, όπως end-to-end κρυπτογράφηση,<br />
κωδικούς απομακρυσμένης συνεδρίας με ένα κλικ, προστασία<br />
από απάτες και πολλά άλλα.<br />
Αποκλειστικά χαρακτηριστικά του Tensor: Α) Πρόσβαση<br />
υπό όρους: Σας δίνει τη δυνατότητα να διαχειριστείτε<br />
τις συνδέσεις με έναν αποκλειστικό rooter, το οποίο φιλοξενείται<br />
στο ιδιωτικό σας cloud από το TeamViewer. Β)Ενιαία<br />
σύνδεση: Ενσωματώνεται με υπάρχοντες παρόχους ID<br />
(όπως Google, Okta ή Azure) για ασφαλή και απλοποιημένη<br />
διαχείριση της πρόσβασης των χρηστών.<br />
2. Ευρεία υποστήριξη συσκευών σε όλες τις πλατφόρμες<br />
- Οι επιχειρήσεις πρέπει συχνά να διαχειρίζονται μια ποικιλία<br />
συσκευών, συμπεριλαμβανομένων των OT και των ενσωματωμένων<br />
συσκευών. Το Tensor υποστηρίζει ένα ευρύ<br />
φάσμα συσκευών, από OT, IoT, Enterprise <strong>IT</strong>, έως τα τυπικά<br />
συστήματα PC, Mac, iOS και Android.<br />
3. Εύκολη ενσωμάτωση με πλατφόρμες τρίτων κατασκευαστών<br />
- Το Tensor ενσωματώνεται αβίαστα με δημοφιλείς<br />
επιχειρηματικές υπηρεσίες και λύσεις, καλύπτοντας τις<br />
ανάγκες μεγάλων επιχειρήσεων. Αυτή η δυνατότητα ουσιαστικά<br />
επιτρέπει στους διαχειριστές <strong>IT</strong> να παρέχουν υποστήριξη<br />
με ένα κλικ μέσω πλατφορμών έκδοσης εισιτηρίων. Το<br />
Tensor είναι συμβατό με περισσότερες από 20 σημαντικές<br />
υπηρεσίες επιχειρήσεων, όπως το Zendesk, το Salesforce,<br />
το M365, το Okta, το Jira και το JAMF.<br />
4. Διασφάλιση της συμμόρφωσης και της προστασίας<br />
των επιχειρήσεων: Ολοκληρωμένη δυνατότητα ελέγχου<br />
Το Tensor προσφέρει εκτεταμένες λειτουργίες ελέγχου<br />
και καταγραφής για κανονιστική συμμόρφωση και προστασία<br />
από ψευδείς ισχυρισμούς. Καταγράφει όλες τις συνεδρίες<br />
απομακρυσμένου ελέγχου, προσβάσιμες μέσω του API του<br />
TeamViewer, εξασφαλίζοντας όχι μόνο την απαραίτητη διαφάνεια<br />
αλλά και συμμόρφωση.<br />
5. Απλοποιημένη διαχείριση admin - Σε μεγάλες επιχειρήσεις<br />
με πολλά τμήματα που χρησιμοποιούν το Tensor, η<br />
πλατφόρμα επιτρέπει τη δημιουργία πολλαπλών λογαριασμών<br />
διαχειριστή (admin), εξαλείφοντας την ανάγκη κοινής<br />
χρήσης διαπιστευτηρίων. Το Tensor παρέχει εξατομικευμένες<br />
συνδέσεις για διαφορετικά τμήματα πληροφορικής μέσω<br />
των εργαζομένων Tensor Agent και Light Agent.<br />
6. Επεκτασιμότητα για να ταιριάζει με την ανάπτυξη<br />
της επιχείρησης - Καθώς η επιχείρησή σας επεκτείνεται, το<br />
Tensor προσαρμόζεται συνεχώς. Υποστηρίζει έναν αυξανόμενο<br />
αριθμό συσκευών, τοποθεσιών και τύπων θέσεων εργασίας<br />
(τόσο εντός γραφείου όσο και απομακρυσμένων). Προσφέρει<br />
βελτιωμένη μαζική ανάπτυξη (πέρα από την ανάπτυξη<br />
πακέτων MSI) για εύκολη ανάπτυξη του TeamViewer με συγκεκριμένες<br />
πολιτικές της κάθε ομάδας. Το μοντέλο αδειοδότησης<br />
pay-per-value επιτρέπει στους πελάτες να πληρώνουν<br />
μόνο για τις υπηρεσίες που χρησιμοποιούν, καθιστώντας το<br />
οικονομικά αποδοτικό και επεκτάσιμο.<br />
56 security
ΤΟ ΣΗΜΕΊΟ ΑΝΑΦΟΡΑΣ ΣΤΗΝ<br />
ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ MANAGEMENT<br />
ΚΑΙ ΤΙΣ ΤΕΧΝΟΛΟΓΊΕΣ<br />
ΓΙΑ ΤΗ ΦΥΣΊΚΗ ΑΣΦΑΛΕΊΑ<br />
Το <strong>Security</strong> Manager αποτελεί το πρώτο και μοναδικό επαγγελματικό περιοδικό<br />
στην Ελλάδα που ειδικεύεται συνολικά στα θέματα φυσικής ασφάλειας,<br />
αποτελώντας μαζί με την ηλεκτρονική του έκδοση www.securitymanager.gr<br />
το μέσο με τη μεγαλύτερη επιρροή στους επαγγελματίες του χώρου<br />
εδώ και πάνω από 15 Χρόνια!