20.12.2023 Views

IT Professional Security - ΤΕΥΧΟΣ 82

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

www.itsecuritypro.gr 11/12.2023 • Τεύχος <strong>82</strong> • Τιμή 5€<br />

Προστατεύοντας την<br />

Εφοδιαστική Αλυσίδα<br />

● The State of<br />

Cybersecurity 2023<br />

by Pylones Hellas<br />

● NIS 2 & Cyber <strong>Security</strong><br />

Compliance Framework<br />

● Δυναμική διαχείριση<br />

κινδύνου με ΤΝ


Ακολουθήστε Online το <strong>Security</strong> Manager<br />

Νέα της Αγοράς<br />

Αναφορές<br />

Εξελίξεις<br />

Αναλύσεις<br />

Απόψεις<br />

Ρεπορτάζ<br />

Λύσεις<br />

Case Studies<br />

Συνεντεύξεις<br />

Παρουσιάσεις<br />

www.securitymanager.gr<br />

✓ ∆είτε Ψηφιακά τα Τεύχη του Περιοδικού<br />

✓ Εγγραφείτε στο Newsletter<br />

✓ ∆ιαβάστε πλούσιο και αποκλειστικό περιεχόµενο<br />

Management Υπηρεσίες Εκπαίδευση Τεχνολογία Αγορά<br />

Video Surveillance Intrusion Alarm Access Control<br />

Fire Safety Smart Home Drones<br />

facebook.com/SecManagerGr<br />

linkedin.com/company/security-manager-mag<br />

Το Σηµείο Αναφοράς και στην Ηλεκτρονική Ενηµέρωση για την Ασφάλεια


T<strong>82</strong>11/12.2023<br />

Editorial<br />

Ορίζοντες Κυβερνοασφάλειας 2024 -<br />

Εξέλιξη και Προοπτικές<br />

Η κυβερνοασφάλεια όχι απλά θα παραμένει μια κρίσιμη<br />

πτυχή της ψηφιακής εποχής και το 2024, αλλά “υπόσχεται”<br />

πολλές και σημαντικές εξελίξεις και προκλήσεις.<br />

Αν θέλαμε συνοπτικά να αναδείξουμε τις κορυφαίες τάσεις,<br />

σχετικά με το τοπίο των απειλών το 2024, θα πρέπει σίγουρα<br />

να αναφέρουμε ότι οι κυβερνοεπιθέσεις θα συνεχίσουν<br />

να γίνονται ολοένα και πιο πολύπλοκές με την ενσωμάτωση<br />

εργαλείων τεχνητής νοημοσύνης, καθιστώντας τις πιο εξελιγμένες<br />

και δύσκολες στον εντοπισμό τους. Οι πωλήσεις<br />

εργαλείων ΤΝ για Spear Phishing θα αυξηθούν στο Dark<br />

Web επιτρέποντας ακόμη και τη μίμηση συγκεκριμένων ατόμων.<br />

Οι επιτιθέμενοι μπορούν να επινοήσουν δημιουργικές<br />

μεθόδους αυτοματισμού συλλέγοντας διαδικτυακά δεδομένα<br />

και τροφοδοτώντας τα σε LLM για να δημιουργήσουν<br />

γράμματα στο στυλ ενός ατόμου που συνδέεται με το θύμα.<br />

Επίσης και το Vishing που βασίζεται σε Τεχνητή Νοημοσύνη<br />

αναμένεται να παρουσιάζει πολύ μεγάλη άνοδο, όπως<br />

επίσης και οι επιθέσεις σε δίκτυα και συσκευές IoT.<br />

Σε ότι αφορά τους στόχους, οι κυβερνοεπιθέσεις που χρηματοδοτούνται<br />

από κράτη για να πλήξουν κρίσιμες υποδομές<br />

άλλων κρατών θα αυξηθούν το επόμενο έτος εν<br />

μέσω αυξανόμενων γεωπολιτικών εντάσεων. Οι κίνδυνοι<br />

στην εφοδιαστική αλυσίδα είναι σίγουρο ότι θα αυξηθούν,<br />

στοχεύοντας μικρότερες επιχειρήσεις με σκοπό να παραβιάσουν<br />

τις πιο σημαντικές με κίνητρο το οικονομικό κέρδος<br />

φυσικά, έως την κατασκοπία. Για αυτό και σε αυτό τεύχος<br />

επιλέξαμε ως βασικό θέμα την προστασία της εφοδιαστικής<br />

αλυσίδα όπου μπορείτε να διαβάσετε μια σειρά από αναλύσεις<br />

και άρθρα που καλύπτουν κάθε πτυχή του πολύ σοβαρού<br />

αυτού ζητήματος.<br />

Σε ότι αφορά τις προσπάθειες αντιμετώπισης των κινδύνων<br />

στο κυβερνοχώρο και με δεδομένα τη συνεχιζόμενη έλλειψη<br />

δεξιοτήτων στον κυβερνοχώρο και τις ανοιχτές θέσεις<br />

για επαγγελματίες στο τομέα της ψηφιακής ασφάλεια να<br />

ξεπερνούν τα 3 εκατομμύρια παγκοσμίως, η ανάγκη για<br />

MSPs και αυτοματοποιημένες πλατφόρμες προστασίας θα<br />

είναι επιτακτική για την αντιμετώπιση του εξελισσόμενου τοπίου<br />

των απειλών.<br />

Αναμφισβήτητα το κορυφαίο γεγονός του 2024 θα είναι η<br />

εφαρμογή της οδηγίας NIS2. Προκειμένου οι επιχειρήσεις<br />

να συμμορφωθούν με την οδηγία θα πρέπει να εφαρμόσουν<br />

μια σειρά τεχνικών & οργανωτικών μέτρων<br />

για την πρόληψη, ανίχνευση, ανταπόκριση και ανάκαμψη<br />

από περιστατικά ασφαλείας κάτι που θα επιφέρει ενίσχυση<br />

των επενδύσεων στην κυβερνοασφάλεια. Παράλληλα μέσα<br />

στο 2024 η ίδρυση της «Εθνικής Αρχής Κυβερνοασφάλειας»<br />

που θα εποπτεύεται από τον Υπουργό Ψηφιακής<br />

Διακυβέρνησης θα αποτελέσει την ενιαία και λειτουργική<br />

δομή στη χώρα μας που θα αναλάβει το σχεδιασμό και την<br />

υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας σε<br />

συνεργασία με άλλες αρμόδιες αρχές.<br />

Βλάσης Αμανατίδης<br />

Εκδότης<br />

Κώστας Νόστης<br />

Αρχισυντάκτης<br />

Βλάσης Αμανατίδης<br />

v.amanatidis@smartpress.gr<br />

Διεύθυνση Επικοινωνίας<br />

& Marketing<br />

Ειρήνη Νόστη<br />

Yπεύθυνος Διαφήμισης<br />

Γιώργος Ιωσηφέλης<br />

Συνεργάτες<br />

Νότης Ηλιόπουλος<br />

Παναγιώτης Καλαντζής<br />

Αριστοτέλης Λυμπερόπουλος<br />

Δημήτρης Σκιάννης<br />

Χρήστος Κοτσακάς<br />

Υπεύθυνη Παραγωγής<br />

Ελένη Καπιτσάκη<br />

DTP<br />

Νίκος Χαλκιαδάκης<br />

Υπεύθυνος Ηλεκτρονικών Μέσων<br />

Δημήτρης Θωμαδάκης<br />

Υπεύθυνη Συνεδρίων<br />

Αγγελική Νόστη<br />

Φωτογραφίες<br />

GENESIS 360<br />

Γραμματεία Εμπορικού<br />

Έλλη Μαστρομανώλη<br />

Λογιστήριο<br />

Ανδρέας Λουλάκης<br />

Τμήμα συνδρομών<br />

support@securitymanager.gr<br />

Consulting by<br />

SPEG Co<br />

τηλ.: 210 5238777,<br />

www.speg.gr, info@speg.gr<br />

Ιδιοκτήτης<br />

Smart Press<br />

Μάγερ 11, 10438, Αθήνα<br />

Τηλ.: 210 5201500, 210 5230000,<br />

www.smartpress.gr<br />

www.itsecuritypro.gr<br />

www.securitymanager.gr<br />

email επικοινωνίας:<br />

info@securitymanager.gr<br />

support@securitymanager.gr<br />

ΚΩΔΙΚΟΣ 01-<strong>82</strong>67<br />

2 security


Cybersecurity<br />

Center<br />

<strong>Security</strong> is embedded in Space Hellas DNA<br />

n<br />

n<br />

n<br />

n<br />

Holistic Cybersecurity approach<br />

Managed & <strong>Professional</strong> Services<br />

Red & Blue Team approach<br />

35 years of excellence & know-how<br />

www.space.gr<br />

security<br />

3


T<strong>82</strong>11/12.2023<br />

Contents<br />

18<br />

22<br />

46<br />

50<br />

52<br />

56<br />

2 | editorial<br />

6 News<br />

Research<br />

18 | Πανελλαδική έρευνα: The State<br />

of Cybersecurity 2023 by Pylones<br />

Hellas<br />

Law<br />

22 | Πως επηρεάζει η νομοθεσία<br />

για τα προσωπικά δεδομένα τις<br />

σχέσεις μιας επιχείρησης με τους<br />

συνεργάτες - υπεργολάβους<br />

Cover issue<br />

24 | Προστατεύοντας την Εφοδιαστική<br />

Αλυσίδα<br />

Issue<br />

36 | Χτίζοντας το οχυρό: οι<br />

συνεργάτες έξω από την πύλη!<br />

38 | Ανάπτυξη της Κυβερνοασφάλειας<br />

στην Εφοδιαστική Αλυσίδα-<br />

Πως η NIS2 Διασφαλίζει την<br />

Ασφάλεια των Κρίσιμων Τομέων;<br />

40 | Ψηφιακή Ασφάλεια στην<br />

Εφοδιαστική Αλυσίδα<br />

44 | Πώς να εντοπίσετε, να μειώσετε<br />

και να αποτρέψετε τους<br />

κινδύνους της εφοδιαστικής<br />

αλυσίδας<br />

46 | Οι Κυβερνοκίνδυνοι που<br />

απειλούν την Εφοδιαστική<br />

Αλυσίδα και ο ρόλος της<br />

ασφάλισης Cyber Insurance<br />

48 | Bitdefender: Η Εφοδιαστική<br />

Αλυσίδα είναι ένας στόχος<br />

δισεκατομμυρίων<br />

50 | Δυναμική διαχείριση κινδύνου με<br />

τη βοήθεια τεχνητής νοημοσύνης<br />

για έλεγχο πρόσβασης σε<br />

Αρχιτεκτονικές Μηδενικής<br />

Εμπιστοσύνης<br />

52 | NIS 2 & Cyber <strong>Security</strong> Compliance<br />

Framework<br />

56 | TeamViewer Tensor: 6 λόγοι για να<br />

το επιλέξετε<br />

Business <strong>IT</strong><br />

4 security


T<strong>82</strong>11/12.2023<br />

News<br />

H All Star Team της παγκόσμιας κοινότητας του ISACA στο ετήσιο<br />

συνέδριο του Athens Chapter<br />

Το ISACA Athens Chapter διοργάνωσε με μεγάλη επιτυχία<br />

το ετήσιο συνέδριο του στις 25 Οκτωβρίου 2023, με θέμα<br />

«Back to digital life, back to virtual reality». Το συνέδριο<br />

πραγματοποιήθηκε με φυσική παρουσία 350 συμμετεχόντων<br />

στην αίθουσα Φάρος του Ιδρύματος Σταύρος Νιάρχος<br />

και μεταδόθηκε διαδικτυακά με συμμετοχή περισσότερων<br />

από 500 θεατών από 180 χώρες. Το συνέδριο απευθύνθηκε<br />

σε επαγγελματίες της ασφάλειας στον κυβερνοχώρο, του <strong>IT</strong><br />

auditing και Assurance, των αναδυόμενων τεχνολογιών καθώς<br />

και σε στελέχη επιχειρήσεων και οργανισμών που ενδιαφέρονται<br />

για την ασφάλεια στον ψηφιακό κόσμο και την εγκαθίδρυση<br />

της ψηφιακής εμπιστοσύνης.<br />

Οι παρουσιάσεις που έλαβαν χώρα έγιναν από τους κορυφαίους<br />

επαγγελματίες του ISACA από το εξωτερικό. Μαζί μας στο<br />

All Star Team («ISACA Legends») ήταν τρία μέλη του ISACA<br />

Hall of Fame (Allan Boardman, Tichaona Zororo και<br />

Arnulfo Dominguez). Επιπλέον, ενθουσίασαν το κοινό με<br />

τις παρουσιάσεις τους οι Ramses Gallego, Mark Thomas,<br />

Bruno Horta Soares, Sanja Kekic, Bjorn Watne, Uros<br />

Zust και Rolf Von Roessing. Κεντρικός παρουσιαστής ήταν<br />

ο Roger Gallego, αδελφός του Ramses, που απέδειξε ότι δύο<br />

Gallegos είναι πάντα καλύτεροι από έναν!<br />

Σημαντικές ομιλίες ήταν των Χρήστου Δημητριάδη, ISACA<br />

Chief Global Strategy Officer και του Αθανάσιου Κοσμόπουλου,<br />

Data Protection Officer του Υπουργείου Ψηφιακής<br />

Διακυβέρνησης.<br />

Το συνέδριο άνοιξε ο Πρόεδρος του Athens Chapter Νικος<br />

Δράκος και ο CEO του ISACA International Erik Prusch. O<br />

τελευταίος ανέφερε ότι συνέδρια τέτοιου επιπέδου αποδεικνύουν<br />

γιατί το ISACA Athens Chapter είναι πρωτοπόρο<br />

στον ISACA παγκοσμίως. Οι χορηγοί του συνεδρίου KPMG,<br />

PWC, Cosmote, Viva και Cyber Noesis/R2D2 συμμετείχαν<br />

με παρουσιάσεις υψηλής ποιότητας και προστιθέμενης αξίας,<br />

ισάξιες αυτών των ISACA Legends! Οι ενότητες του συνεδρίου<br />

που καλύφθηκαν και σε αντίστοιχα roundtables καθώς και σε<br />

ένα ask-me-anything session, ήταν οι εξής:<br />

• Digital trust: Οι συμμετέχοντες έμαθαν για τελευταίες<br />

εξελίξεις στην ψηφιακή εμπιστοσύνη, όπως η χρήση της<br />

τεχνολογίας blockchain και των NFT για τη δημιουργία<br />

νέων εμπειριών στον ψηφιακό κόσμο.<br />

• Cybersecurity: Οι συμμετέχοντες ενημερώθηκαν για<br />

τις τελευταίες απειλές στον κυβερνοχώρο και τις βέλτιστες<br />

πρακτικές για την προστασία των συστημάτων και<br />

των δεδομένων τους στον ψηφιακό κόσμο.<br />

• <strong>IT</strong> Audit and Assurance: Οι συμμετέχοντες έμαθαν<br />

για τα πρότυπα και τις διαδικασίες που χρησιμοποιούνται<br />

για την αξιολόγηση της ασφάλειας και της αποτελεσματικότητας<br />

των συστημάτων πληροφορικής στον<br />

ψηφιακό κόσμο.<br />

• Emerging technologies and AI: Οι συμμετέχοντες<br />

εξοικειώθηκαν με τις τελευταίες τεχνολογίες, όπως η<br />

τεχνητή νοημοσύνη και η μηχανική μάθηση και τον τρόπο<br />

με τον οποίο αυτές επηρεάζουν την ασφάλεια<br />

στον ψηφιακό κόσμο.<br />

Την ημέρα έκλεισε ο δημοφιλής stand-up<br />

comedian Γιώργος Χατζηπαύλου, προσφέροντας<br />

το απαραίτητο γέλιο για το κοινό. Επιπλέον<br />

πληροφόρηση για το συνέδριο μπορείτε<br />

να βρείτε στο ISACAAthensConference.gr<br />

Σας περιμένουμε όλους και όλες στο επόμενο<br />

συνέδριο και εκδηλώσεις του ISACA Athens<br />

Chapter. Όπως είπαν όλοι οι σύνεδροι, «ο πήχης<br />

είναι πλέον ψηλά»! Το ISACA είναι ένας διεθνής<br />

οργανισμός που προωθεί την ασφάλεια<br />

στον κυβερνοχώρο και την ακεραιότητα των<br />

συστημάτων πληροφορικής. Ο οργανισμός έχει<br />

περισσότερα από 140.000 μέλη σε 180 χώρες.<br />

Νίκος Δράκος, Πρόεδρος του ISACA Athens<br />

Chapter<br />

6 security


Business <strong>IT</strong> 7


T<strong>82</strong>11/12.2023<br />

News<br />

Δίκοπο μαχαίρι για τις επιχειρήσεις στην Ελλάδα η Generative AI<br />

σύμφωνα με έρευνα της Kaspersky<br />

Πάνω από 7 στα 10 υψηλόβαθμα στελέχη μεγάλων επιχειρήσεων στην Ελλάδα εκφράζουν<br />

ανησυχία για τη συστηματική χρήση εφαρμογών Generative AI από τους εργαζομένους<br />

Ευκαιρίες αλλά και κινδύνους από τη συστηματική<br />

χρήση εφαρμογών Generative AI διαβλέπουν<br />

τα C-suite στελέχη μεγάλων επιχειρήσεων<br />

στην Ελλάδα. Ο όρος C-Suite χρησιμοποιείται<br />

για να περιγράψει τα μέλη της<br />

διοικητικής ομάδας μίας επιχείρησης, όπως<br />

CEO (Διευθύνων Σύμβουλος), CFO (Διευθυντής<br />

Οικονομικών), CIO (Διευθυντής Πληροφοριών),<br />

COO (Γενικός Διευθυντής Λειτουργιών),<br />

κ.λπ.<br />

Σύμφωνα με τα συμπεράσματα της νέας διεθνούς<br />

έρευνας της Kaspersky που παρουσίασε<br />

σήμερα ο Βασίλης Βλάχος, Channel<br />

Manager της Kaspersky για Ελλάδα και<br />

Κύπρο, η συντριπτική πλειονότητα (92%)<br />

των C-suite στελεχών μεγάλων ελληνικών<br />

επιχειρήσεων παραδέχεται ότι οι εργαζόμενοί τους χρησιμοποιούν<br />

τακτικά εφαρμογές Generative AI (όπως το ChatGPT,<br />

το bard της Google κλπ.). Μάλιστα, τέσσερις στους δέκα<br />

(40%) ανέφεραν ότι οι εφαρμογές αυτές αποτελούν πλέον<br />

βασικό εργαλείο για την υποστήριξη μιας σειράς καθηκόντων.<br />

Ταυτόχρονα, η μεγάλη πλειονότητα του δείγματος (72%) εκφράζει<br />

ανησυχία για τους πιθανούς κινδύνους ασφάλειας<br />

που προκύπτουν από τη συστηματική χρήση εφαρμογών<br />

Generative AI, καθιστώντας πιθανή τη διαρροή ευαίσθητων<br />

δεδομένων αλλά ακόμη και την πλήρη απώλεια ελέγχου των<br />

λειτουργιών της επιχείρησης.<br />

«Είναι γεγονός ότι η ενσωμάτωση εφαρμογών Generative<br />

AI έχει αυξήσει σημαντικά την παραγωγικότητα των εργαζομένων.<br />

Ωστόσο, σύμφωνα με την τελευταία μας έρευνα,<br />

παρότι τα ανώτερα στελέχη γνωρίζουν πως οι εφαρμογές<br />

αυτές αποτελούν στοιχείο της εργασιακής καθημερινότητας<br />

των εργαζομένων, αγνοούν το βαθμό καθώς και τον τρόπο<br />

με τον οποίο αξιοποιούνται. Δεδομένου ότι η χρήση εφαρμογών<br />

Generative AI στους χώρους εργασίας ήρθε για να<br />

μείνει, όσο επεκτείνεται η χρήση τους τόσο πιο δύσκολο θα<br />

είναι να τεθεί πλαίσιο ελέγχου και ασφαλείας για βασικά τμήματα<br />

των επιχειρήσεων όπως το HR, τα οικονομικό τμήμα,<br />

το μάρκετινγκ ή ακόμα και το <strong>IT</strong>», εξηγεί ο Βασίλης Βλάχος<br />

Η ενσωμάτωση εφαρμογών Generative AI έχει ήδη επιφέρει<br />

σημαντικές τομές στη λειτουργία των επιχειρήσεων, ενώ στο<br />

μέλλον αναμένεται να αλλάξει ριζικά τον τρόπο με τον οποίο<br />

οι επιχειρήσεις αναπτύσσονται και τοποθετούνται απέναντι<br />

στην αγορά. Ενδεικτικά, από το δείγμα της έρευνας σχεδόν<br />

όλοι οι συμμετέχοντες (93%) ανέφεραν πως η χρήση<br />

Generative AI έχει τεθεί ως θέμα συζήτησης στις συνεδριάσεις<br />

του Διοικητικού Συμβουλίου των εταιρειών τους κατά<br />

τους τελευταίους 6 μήνες, ενώ πάνω από ένας στους δύο<br />

(54%) πιστεύει ότι οι εφαρμογές Generative AI θα προκαλέσουν<br />

“επανάσταση’’ στον τομέα της τεχνολογίας, όπως<br />

ακριβώς συνέβη και με τη μηχανή αναζήτησης της Google.<br />

Βασικό χαρακτηριστικό των εφαρμογών Generative AI είναι η<br />

συνεχής μάθηση μέσω της εισροής καινούργιων δεδομένων.<br />

Αυτό για τις επιχειρήσεις σημαίνει ότι όταν ένας εργαζόμενος<br />

εισάγει ευαίσθητα δεδομένα του οργανισμού σε κάποια<br />

εφαρμογή, προβαίνει ουσιαστικά σε ακούσια διαρροή δεδομένων.<br />

Στην έρευνα μεγάλο τμήμα των ανώτερων στελεχών<br />

διατυπώνει έντονους προβληματισμούς σχετικά με το γεγονός<br />

αυτό, με την πλειονότητα να φοβάται το ενδεχόμενο οι<br />

εργαζόμενοι να κοινοποιούν ευαίσθητα δεδομένα της εταιρείας<br />

(72%) και των πελατών της (71%) χρησιμοποιώντας<br />

πλατφόρμες Generative AI.<br />

8 security


T<strong>82</strong>11/12.2023<br />

News<br />

Ολοκληρώθηκε η 2η ημερίδα της πρωτοβουλίας “Cybersecurity for<br />

Society” του Ελληνικού Ινστιτούτου Κυβερνοασφάλειας<br />

Το Ελληνικό Ινστιτούτο Κυβερνοασφάλειας διοργάνωσε<br />

τη δεύτερη κατά σειρά ενημερωτική ημερίδα της<br />

πλατφόρμας διαλόγου “Cybersecurity for Society”, με τίτλο<br />

“Cybersecurity Skills Gap: Overcome the gap and<br />

improve resilience“. Σε συνέχεια της θεματικής που αναπτύχθηκε<br />

στην πρώτη ημερίδα της σειράς αυτής, η θεματολογία<br />

εστίασε στην έλλειψη δεξιοτήτων στον κλάδο της κυβερνοασφάλειας.<br />

Στόχος της ημερίδας ήταν να ενισχυθεί η<br />

ανταπόκριση της ελληνικής κοινωνίας σε ζητήματα κυβερνοασφάλειας,<br />

όσο και να επιτευχθεί καλύτερος συντονισμός<br />

των εμπλεκομένων μερών, που αποβλέπουν στη δημιουργία<br />

ενός ασφαλούς ψηφιακού κόσμου που θα επιτρέπει σε<br />

όλους να αξιοποιήσουν χωρίς κινδύνους τα οφέλη που προσφέρουν<br />

οι ψηφιακές τεχνολογίες. Κατά τη διάρκεια της ημερίδας<br />

αναλύθηκαν, θέματα δεξιοτήτων στον κυβερνοχώρο,<br />

μέσω της ανταλλαγής εμπειριών, γνώσεων και πρακτικών<br />

από ειδικούς ευρωπαϊκών οργανισμών, εκπροσώπους της<br />

Πολιτείας, μέλη της ακαδημαϊκής κοινότητας, αλλά και έμπειρα<br />

στελέχη κυβερνοασφάλειας από διάφορους κρίσιμους<br />

κλάδους της αγοράς. Από τη συζήτηση προέκυψαν χρήσιμες<br />

πληροφορίες, αλλά και τακτικές για τη δημιουργία μίας<br />

ολιστικής αντιμετώπισης του προβλήματος.<br />

Η κα. Στέλλα Τσιτσούλα, πρόεδρος του Ελληνικού Ινστιτούτου<br />

Κυβερνοασφάλειας, άνοιξε την εκδήλωση<br />

αναλύοντας τις τρέχουσες, αλλά και μελλοντικές ανάγκες<br />

του κλάδου της κυβερνοασφάλειας, ενώ<br />

ο Δρ. Δημοσθένης Οικονόμου, επικεφαλής<br />

του Capacity Building Unit του Ευρωπαϊκού<br />

Οργανισμού Κυβερνοασφάλειας<br />

(ENISA), ανέλυσε το πρόγραμμα<br />

CyberHEAD, για τις πανεπιστημιακές βάσεις<br />

δεδομένων του τομέα της κυβερνοασφάλειας.<br />

Αντίστοιχα, ο εκπρόσωπος το<br />

υ European Cybersecurity Compete<br />

nce Center, κος Αθανάσιος Κοσμόπουλος,<br />

αναφέρθηκε σε δράσεις επιμόρφωσης<br />

στο πλαίσιο του ECCC, ενώ ο Δρ.<br />

Σωκράτης Κάτσικας, Διευθυντής στο R<br />

esearch and Innovation Center Nor<br />

wegian Center for Cybersecurity κα<br />

ι πρώην υπηρεσιακός υπουργός ψηφιακής<br />

διακυβέρνησης, ανέλυσε τη σημασία<br />

των δεξιοτήτων κυβερνοασφάλειας σε κρίσιμες υποδομές.<br />

Στη συνέχεια, ο κος. Ιωάννης Αλεξάκης, της Εθνικής<br />

Αρχής Κυβερνοασφάλειας, μίλησε για την εθνική προσέγγιση<br />

για την κάλυψη του χάσματος των δεξιοτήτων. Τον<br />

ακαδημαϊκό κόσμο εκπροσώπησε ο Δρ. Χρήστος Ξενάκης,<br />

καθηγητής κυβερνοασφάλειας του τμήματος Ψηφιακών<br />

Συστημάτων, του Πανεπιστημίου Πειραιώς, ο<br />

οποίος παρουσίασε το whitepaper σχετικά με την έλλειψη<br />

cybersecurity skills. Ο κος. Ιωάννης Ηλιάδης, πρόεδρος<br />

του ISC2 – Hellenic Chapter, μίλησε για την ανάγκη συνεχούς<br />

εκπαίδευσης των εργαζομένων του κλάδου, ενώ ο DPO<br />

της κρατικής τηλεόρασης, ΕΡΤ, Δρ. Βασίλης Βασιλόπουλος,<br />

ανέλυσε τακτικές ενημέρωσης για την σημασία του κλάδου.<br />

Οι παρευρισκόμενοι είχαν επίσης τη δυνατότητα να παρακολουθήσουν<br />

μία συζήτηση σε πάνελ, για την έλλειψη δεξιοτήτων<br />

κυβερνοασφάλειας σε κρίσιμες υποδομές χρηματοπιστωτικών<br />

ιδρυμάτων, τηλεπικοινωνιών και μεταφορών,<br />

από κορυφαία στελέχη του κλάδου, συγκεκριμένα των κυρίων<br />

Παναγιώτη Παπαγιαννακόπουλου της ΕΥ, Δημήτριου<br />

Πάτσου της Microsoft, Ιωάννη Σολομάκου της Huawei<br />

και Γιάννη Παυλίδη της Unisystems, σε συντονισμό του<br />

προέδρου του ISACA – Athens Chapter κ. Νίκου Δράκου,<br />

καθώς και να ανταλλάξουν απόψεις για θέματα, τακτικές<br />

και συμβουλές ανάπτυξης των δεξιοτήτων σχετικών με το<br />

αντικείμενο.<br />

10 security


T<strong>82</strong>11/12.2023<br />

News<br />

Οι αναλυτές του WatchGuard Threat Lab δημοσιεύουν προβλέψεις<br />

κυβερνοασφάλειας για το 2024<br />

Η πιο πρόσφατη λίστα προβλέψεων της WatchGuard καλύπτει<br />

τις πιο σημαντικές επιθέσεις και τάσεις ασφάλειας πληροφοριών<br />

που προβλέπεται να εμφανιστούν το 2024, σύμφωνα με την<br />

ερευνητική ομάδα του WatchGuard Threat Lab, και περιλαμβάνει,<br />

τη στόχευση μεγάλων γλωσσικών μοντέλων (LLM) από<br />

κακόβουλα τεχνάσματα μηχανικής κειμένου, τον διπλασιασμό<br />

των ενοποιημένων πλατφορμών ασφαλείας με ισχυρή αυτοματοποίηση<br />

από τους Παρόχους Διαχειριζόμενων Υπηρεσιών<br />

(MSPs), την κλιμάκωση των κακόβουλων ενεργειών από τους<br />

“Vishers” με φωνητικά chatbots που βασίζονται σε AI, τα hacks<br />

σε σύγχρονα ακουστικά VR / MR και πολλά άλλα.Ακολουθεί<br />

μια σύνοψη των κορυφαίων προβλέψεων κυβερνοασφάλειας<br />

από την ομάδα του WatchGuard Threat Lab για το 2024:<br />

• Κόλπα Μηχανικής Κειμένου σε Μεγάλα Γλωσσικά<br />

Μοντέλα (LLMs) – Εταιρείες και άτομα πειραματίζονται<br />

με LLMs για να αυξήσουν τη λειτουργική<br />

αποτελεσματικότητα. Ωστόσο, οι επιτήδειοι μαθαίνουν<br />

πώς να εκμεταλλευτούν τα LLMs για τους δικούς<br />

τους κακόβουλους σκοπούς. Κατά τη διάρκεια του<br />

2024, το WatchGuard Threat Lab προβλέπει ότι ένας<br />

έξυπνος μηχανικός κειμένου – είτε είναι εγκληματίας,<br />

είτε ερευνητής – θα αποκωδικοποιήσει τον κώδικα<br />

και θα παραποιήσει ένα LLM για να διαρρεύσει<br />

ιδιωτικά δεδομένα.<br />

• Οι MSPs Διπλασιάζουν τις Υπηρεσίες Ασφαλείας<br />

μέσω Αυτοματοποιημένων Πλατφορμών – Με περίπου<br />

3,4 εκατομμύρια ανοιχτές θέσεις εργασίας στον<br />

τομέα της κυβερνοασφάλειας και έντονο ανταγωνισμό<br />

για το διαθέσιμο εργασιακό δυναμικό, όλο και περισσότερες<br />

μικρομεσαίες επιχειρήσεις θα απευθυνθούν<br />

σε αξιόπιστους παρόχους διαχειριζόμενων υπηρεσιών<br />

και υπηρεσιών ασφαλείας, γνωστούς ως MSPs και<br />

MSSPs, για να προστατευθούν το 2024. Για να προσαρμοστούν<br />

στην αυξανόμενη ζήτηση και την έλλειψη<br />

προσωπικού, οι MSPs και MSSPs θα επενδύσουν<br />

διπλάσια σε ενοποιημένες πλατφόρμες ασφαλείας με<br />

ισχυρή αυτοματοποίηση χρησιμοποιώντας την τεχνητή<br />

νοημοσύνη (AI) και τη μηχανική μάθηση (ML).<br />

• Οι Πωλήσεις Εργαλείων Τεχνητής Νοημοσύνης<br />

για Spear Phishing Σαρώνουν στο Dark Web – Οι<br />

κυβερνοεγκληματίες μπορούν ήδη να αγοράσουν εργαλεία<br />

στην υποκείμενη αγορά που αποστέλλουν ανεπιθύμητα<br />

email, δημιουργούν αυτόματα πειστικά κείμενα<br />

και συλλέγουν πληροφορίες και συνδέσεις από το<br />

διαδίκτυο και τα κοινωνικά μέσα για ένα συγκεκριμένο<br />

στόχο, αλλά πολλά από αυτά τα εργαλεία είναι ακόμα<br />

χειροκίνητα και απαιτούν από τους επιτιθέμενους να<br />

επικεντρώνονται σε έναν χρήστη ή ομάδα κάθε φορά.<br />

• Το Vishing που Βασίζεται σε Τεχνητή Νοημοσύνη<br />

απογειώνεται το 2024 – Καθώς το Voice over<br />

Internet Protocol (VoIP) και η τεχνολογία αυτοματισμού<br />

διευκολύνουν τη μαζική κλήση χιλιάδων αριθμών,<br />

μόλις ένα πιθανό άτομο πέφτει θύμα σε μια<br />

κλήση, εξακολουθεί να χρειάζεται ένας ανθρώπινος<br />

απατεώνας για να τους παρασύρει. Αυτό το σύστημα<br />

περιορίζει την κλίμακα των λειτουργιών Vishing.<br />

Ωστόσο, αυτό θα μπορούσε να αλλάξει το 2024. Η<br />

WatchGuard προβλέπει ότι ο συνδυασμός πειστικού<br />

deepfake ήχου και LLM, ικανών να διεξάγουν συνομιλίες<br />

με ανυποψίαστα θύματα, θα αυξήσει σημαντικά<br />

την κλίμακα και τον όγκο των κλήσεων Vishing.<br />

• Τα ακουστικά VR/MR επιτρέπουν την αναδημιουργία<br />

περιβαλλόντων χρήστη – Τα ακουστικά<br />

εικονικής και μικτής πραγματικότητας (VR/MR)<br />

αρχίζουν επιτέλους να κερδίζουν μαζική απήχηση.<br />

Ωστόσο, είναι γεγονός ότι όπου εμφανίζονται νέες και<br />

χρήσιμες τεχνολογίες, ακολουθούν εγκληματίες και<br />

κακόβουλοι χάκερ. Το 2024, οι ερευνητές του Threat<br />

Lab προβλέπουν ότι είτε ένας ερευνητής είτε ένας κακόβουλος<br />

χάκερ θα βρει μια τεχνική για να συλλέξει<br />

ορισμένα από τα δεδομένα αισθητήρων από ακουστικά<br />

VR/MR προκειμένου να αναδημιουργήσει το περιβάλλον<br />

στο οποίο παίζουν οι χρήστες.<br />

12 security


T<strong>82</strong>11/12.2023<br />

News<br />

Διατλαντική συνεργασία για την κυβερνοασφάλεια και τις<br />

αναδυόμενες τεχνολογίες<br />

Κατά τη διάρκεια του 9ου διαλόγου ΕΕ-ΗΠΑ για τον κυβερνοχώρο,<br />

που πραγματοποιήθηκε στις Βρυξέλλες, οι δύο πλευρές<br />

συζήτησαν σχετικά με την κοινή τους δέσμευση για μια<br />

ανθεκτική εταιρική σχέση στον τομέα της κυβερνοασφάλειας,<br />

για ένα ανοικτό, διαλειτουργικό, ασφαλές και αξιόπιστο<br />

διαδίκτυο, αλλά και για τη σταθερότητα στον κυβερνοχώρο.<br />

Οι δύο πλευρές επιβεβαίωσαν τη δέσμευσή τους για διατλαντική<br />

συνεργασία και συντονισμό και συμμερίστηκαν την<br />

άποψη ότι το επιδεινούμενο παγκόσμιο περιβάλλον κυβερνοαπειλών,<br />

το οποίο χαρακτηρίζεται από την «παράνομη<br />

στρατιωτική επίθεση» της Ρωσίας κατά της Ουκρανίας και<br />

άλλες εξελίξεις, όπως η διάδοση του ransomware, απαιτεί<br />

βαθύτερη συνεργασία μεταξύ ΕΕ και ΗΠΑ.<br />

Η Ευρωπαϊκή Ένωση και οι ΗΠΑ αντάλλαξαν απόψεις σχετικά<br />

με διάφορα βασικά θέματα γύρω από την κυβερνοασφάλεια,<br />

συμπεριλαμβανομένης της ασφάλειας των ψηφιακών προϊόντων<br />

και των σχετικών προτύπων, της κυβερνοανθεκτικότητας<br />

των υποδομών ζωτικής σημασίας, του αντικτύπου<br />

και των ευκαιριών των αναδυόμενων τεχνολογιών και της<br />

συνεργασίας μεταξύ των οργανισμών κυβερνοασφάλειας<br />

στις δύο πλευρές του Ατλαντικού.<br />

Ο Josep Borrell, Ύπατος Εκπρόσωπος/Αντιπρόεδρος, δήλωσε:<br />

«Η κυβερνοασφάλεια έχει καταστεί αναπόσπαστο μέρος<br />

της διπλωματίας. Μέσω του διαλόγου ΕΕ-ΗΠΑ για τον<br />

κυβερνοχώρο, ενισχύουμε τη διατλαντική συνεργασία και<br />

τη συλλογική μας ανθεκτικότητα για την καταπολέμηση των<br />

κλιμακούμενων απειλών για την κυβερνοασφάλεια που αντιμετωπίζουμε<br />

παγκοσμίως.»<br />

Ο Thierry Breton, ο Ευρωπαίος επίτροπος Βιομηχανίας,<br />

Άμυνας και Τεχνολογίας, δήλωσε πως «το σημερινό δύσκολο<br />

γεωπολιτικό πλαίσιο αποτυπώνει και τις εντεινόμενες απειλές<br />

που αντιμετωπίζουμε στον κυβερνοχώρο. Είναι σημαντικό η<br />

ΕΕ και οι Ηνωμένες Πολιτείες να συνεργαστούν στενά για την<br />

προώθηση ενός ασφαλούς κυβερνοχώρου, μεταξύ άλλων<br />

μέσω της προστασίας των υποδομών ζωτικής σημασίας και<br />

της βελτίωσης της ασφάλειας των ψηφιακών προϊόντων».<br />

Κατά τη διάρκεια του διαλόγου, ο Οργανισμός της Ευρωπαϊκής<br />

Ένωσης για την Κυβερνοασφάλεια (ENISA) και ο Οργανισμός<br />

των Ηνωμένων Πολιτειών για την ασφάλεια στον<br />

κυβερνοχώρο και την ασφάλεια των υποδομών (CISA) επισημοποίησαν<br />

μια συμφωνία συνεργασίας, η οποία καλύπτει<br />

θέματα όπως η ευαισθητοποίηση και η κατάρτιση, η ανταλλαγή<br />

βέλτιστων πρακτικών και η ανταλλαγή γνώσεων για<br />

κοινή επίγνωση της κατάστασης.<br />

Οι δύο πλευρές αποφάσισαν, επίσης, να εμβαθύνουν περαιτέρω<br />

τη συνεργασία τους για την αντιμετώπιση των προκλήσεων<br />

που σχετίζονται με τις αναδυόμενες τεχνολογίες, με ιδιαίτερη<br />

έμφαση στην τεχνητή νοημοσύνη και την μετακβαντική<br />

κρυπτογραφία. Η συνεργασία θα επιδιώξει να προωθήσει<br />

την ασφαλή χρήση της AI σε υποδομές ζωτικής σημασίας. Οι<br />

συμμετέχοντες στο Cyber Dialogue συζήτησαν, επίσης, για<br />

πιθανές κοινές δραστηριότητες στη μετάβαση προς την μετακβαντική<br />

κρυπτογραφία, συμπεριλαμβανομένης της τυποποίησης.<br />

Η ΕΕ και οι ΗΠΑ, σύμφωνα με τη σχετική ανακοίνωση,<br />

ολοκλήρωσαν τον διάλογο επιβεβαιώνοντας τη συνεχή<br />

δέσμευσή τους για την προώθηση ενός παγκόσμιου, ανοικτού,<br />

ελεύθερου, σταθερού και ασφαλούς κυβερνοχώρου,<br />

λαμβάνοντας υπόψιν το διεθνές δίκαιο, συμπεριλαμβανομένου<br />

του σεβασμού των ανθρωπίνων δικαιωμάτων και των<br />

θεμελιωδών ελευθεριών.<br />

14 security


T<strong>82</strong>11/12.2023<br />

News<br />

Αποκάλυψη του RG-RAP73HD: Ήρθε το Wi-Fi 7!<br />

Το RG-RAP73HD είναι ένα νικητήριο μείγμα σχεδιασμού,<br />

μηχανικής και καινοτομίας, που αγκαλιάζει την επιδεξιότητα<br />

της τεχνολογίας Wi-Fi 7. Το Wi-Fi 7, γνωστό και ως 802.11be,<br />

αντιπροσωπεύει την επόμενη εξέλιξη στα ασύρματα δίκτυα.<br />

Με την εντυπωσιακή απόδοση Tri-radio, το RG-RAP73HD είναι<br />

εξοπλισμένο με τη δύναμη να λειτουργεί σε τρεις ξεχωριστές<br />

ζώνες συχνοτήτων, εξασφαλίζοντας αποτελεσματική<br />

μετάδοση και λήψη δεδομένων.<br />

Κύρια ΧαρακτηριστικάQ<br />

• Άκρως Υψηλό Wireless Rate: Το bandwidth<br />

6G/320MHz επιτρέπει στο RG-RAP73HD να παρέχει<br />

μια εξαιρετική ασύρματη ροή. Αυτό μεταφράζεται σε<br />

ταχύτερες μεταφορές δεδομένων, μειωμένη καθυστέρηση<br />

και συνολικά βελτιωμένη εμπειρία χρήστη.<br />

• Η Αποκλειστική Δυνατότητα MLO του Wi-Fi 7:<br />

Η αποκλειστική δυνατότητα του Wi-Fi 7, MLO (Multi-<br />

Link Operation), φέρνει μια καλύτερη εμπειρία ροής.<br />

Το MLO βελτιστοποιεί τις συνδέσεις δικτύου, διασφαλίζοντας<br />

ότι το περιεχόμενο ροής παραμένει αδιάκοπο,<br />

παρέχοντας στους χρήστες ρευστή και χωρίς καθυστέρηση<br />

κατανάλωση πολυμέσων.<br />

• Υψηλή Πυκνότητα Πρόσβασης: Τα σύγχρονα περιβάλλοντα<br />

απαιτούν συνδεσιμότητα υψηλής πυκνότητας<br />

για να φιλοξενήσουν τον αυξανόμενο αριθμό<br />

συσκευών. Το RG-RAP73HD ανταποκρίνεται στην<br />

πρόκληση, μπορώντας να υποστηρίξει έως και 1500<br />

ταυτόχρονες συνδέσεις χωρίς να θυσιάζει την απόδοση<br />

ή τη σταθερότητα.<br />

• Τεχνολογία 4K-QAM: Το RG-RAP73HD ενσωματώνει<br />

την τεχνολογία 4K-QAM, μια καινοτόμο προηγμένη<br />

προσέγγιση που συσκευάζει αποτελεσματικά τα<br />

δεδομένα για τη μετάδοση. Αυτό έχει ως αποτέλεσμα<br />

βελτιωμένες ταχύτητες και μια πιο αξιόπιστη σύνδεση,<br />

ακόμα και σε υπερφορτωμένα δίκτυα.<br />

• Δυνατότητα Enterprise Switch: Πέρα από τον<br />

ρόλο του Access Point, το RG-RAP73HD μπορεί επίσης<br />

να λειτουργήσει ως μέρος μιας εγκατάστασης<br />

Enterprise Switch. Αυτό το καθιστά ιδανικό για τη δημιουργία<br />

ενός στιβαρού και επαγγελματικού δικτύου,<br />

PRO Office Network.<br />

Πολυμορφία σε Διάφορους Χώρους<br />

Ένα από τα καθοριστικά στοιχεία του RG-RAP73HD είναι η<br />

προσαρμοστικότητά του σε διάφορα περιβάλλοντα. Είτε πρόκειται<br />

για ξενοδοχείο που εξυπηρετεί πολλούς επισκέπτες, για<br />

γραφείο με πληθώρα συσκευών, είτε για οποιοδήποτε περιβάλλον<br />

υψηλής πυκνότητας, το RG-RAP73HD παρέχει συνεχώς<br />

αξιόπιστη και υψηλής ταχύτητας συνδεσιμότητα. Αυτή η<br />

προσαρμοστικότητα διασφαλίζει ότι οι εμπειρίες των χρηστών<br />

είναι άψογες, ανεξάρτητα από τις απαιτήσεις που τίθενται στο<br />

δίκτυο. Το RG-RAP73HD Wi-Fi 7 Tri-Radio BE19000<br />

Ceiling Access Point συνιστά μια σημαντική πρόοδο στην<br />

τεχνολογία των ασύρματων δικτύων.<br />

Tο RG-RAP73HD θέτει τα θεμέλια για μια νέα εποχή καινοτομίας<br />

στη συνδεσιμότητα. Είτε βελτιώνει τις εμπειρίες ροής,<br />

είτε δημιουργεί ένα επαγγελματικό γραφείο δίκτυο, το RG-<br />

RAP73HD είναι μια<br />

απόδειξη της δυναμικής<br />

της τεχνολογίας<br />

στον μετασχηματισμό<br />

της συνδεσιμότητας<br />

όπως την<br />

ξέρουμε!<br />

Τα προϊόντα της<br />

Ruijie-Reyee αντιπροσωπεύονται<br />

στην<br />

Ελλάδα από την εταιρεία<br />

PartnerΝΕΤ<br />

τηλ.: 2107100000,<br />

sales@partnernetict.com,<br />

www.<br />

partnernet-ict.com.<br />

16 security


T<strong>82</strong>11/12.2023<br />

Research<br />

Πανελλαδική έρευνα:<br />

The State of Cybersecurity 2023<br />

by Pylones Hellas<br />

Το cyber-budget των ελληνικών εταιρειών αυξήθηκε ραγδαία μέσα στο 2023 σύμφωνα με τα<br />

αποτελέσματα της 4ης Πανελλαδικής έρευνας για την κυβερνοασφάλεια !<br />

Pylones Hellas, πάροχος ψηφιακών τεχνολογιών<br />

και ασφάλειας διαδικτύου, με μακρά<br />

Η<br />

παρουσία 25 και πλέον ετών σε Ελλάδα, Κύπρο<br />

και Ν.Α. Ευρώπη, ανακοινώνει σήμερα<br />

τα αποτελέσματα της 4ης Πανελλαδικής<br />

έρευνας «The State of Cybersecurity 2023», σχετικά με<br />

τα κυριότερα προβλήματα κυβερνοασφάλειας που αντιμετωπίζουν<br />

οι εταιρείες. H έρευνα “The State of Cybersecurity”<br />

αποτελεί από το 2020, έναν ετήσιο θεσμό για την Pylones<br />

Hellas και μία πηγή πληροφόρησης και δεδομένων, για την<br />

πορεία της κυβερνοασφάλειας στην Ελλάδα. Στόχος της<br />

έρευνας, ήταν να διερευνηθεί η πορεία και η πολιτική που<br />

ακολουθούν οι εταιρείες όσον αφορά στην κυβερνοασφάλεια,<br />

τον τρόπο που διαχειρίζονται και αντιμετωπίζουν τις κυβερνοαπειλές,<br />

με απώτερο σκοπό να αναγνωριστεί η πηγή<br />

του προβλήματος. Η έρευνα διενεργήθηκε από την Pylones<br />

Hellas, με την υποστήριξη του τμήματος Ψηφιακών Συστημάτων<br />

του Πανεπιστημίου Πειραιώς με επικεφαλής τον καθηγητή<br />

Χρήστο Ξενάκη, του Hellenic (ISC)² Chapter αλλά<br />

και σε συνεργασία με το περιοδικό <strong>IT</strong> <strong>Security</strong> Pro.<br />

«Για άλλη μία χρονιά αναζητούμε<br />

απαντήσεις για ένα από τα<br />

πιο κρίσιμα ζητήματα του νέου<br />

ψηφιακού κόσμου: Tην κυβερνοασφάλεια<br />

στις ελληνικές<br />

επιχειρήσεις. Μέσα από την πανελλαδική<br />

έρευνα «The State of<br />

Cybersecurity», στοχεύουμε να<br />

διερευνήσουμε την πορεία των<br />

ελληνικών εταιρειών σχετικά με<br />

την κυβερνοασφάλεια, αλλά και<br />

να κατανοήσουμε τον τρόπο με<br />

τον οποίο οι επιχειρήσεις διαχειρίζονται και αντιμετωπίζουν<br />

τις απειλές και τις επιθέσεις. Η ασφάλεια των δεδομένων<br />

18 security


είναι κρίσιμη για κάθε επιχείρηση, και το ζήτημα αυτό επεκτείνεται<br />

πλέον και στον τομέα του cloud λόγω της ανάπτυξής<br />

του. Οι ελληνικές επιχειρήσεις, βάλλονται από πολλαπλά<br />

μέτωπα και η μόνη σανίδα σωτηρίας φαίνεται να είναι η σωστή<br />

ενημέρωση και η πρόληψη», δήλωσε ο κ. Εμμανουήλ<br />

Νέτος, Διευθύνων Σύμβουλος της Pylones Hellas.<br />

Τα πιο κρίσιμα σημεία της έρευνας, μέσα από τις απαντήσεις<br />

των ειδικών του κλάδου είναι τα εξής:<br />

Το προφίλ των συμμετεχόντων<br />

Οι συμμετοχές στην έρευνα “The State of Cybersecurity<br />

2023”, ξεπέρασαν κάθε προηγούμενο, φτάνοντας στις 440<br />

και αποτελούνται από στελέχη και εργαζομένους της πληροφορικής<br />

σε διάφορους κλάδους της αγοράς με τα μεγαλύτερα<br />

ποσοστά να αφορούν, τις εταιρείες τεχνολογίας<br />

(33%), τον δημόσιο τομέα (15%), τον τραπεζικό και χρηματοοικονομικό<br />

κλάδο (9%), τον κλάδο των τηλεπικοινωνιών<br />

(7%) αλλά και τον κλάδο του εμπορίου (5%). Μεγάλο μέρος<br />

των συμμετεχόντων (περίπου 30%), εργάζεται σε μεγάλες<br />

και μεσαίες επιχειρήσεις, ενώ αρκετοί είναι εκείνοι που εργάζονται<br />

σε μικρές επιχειρήσεις, οι οποίες απασχολούν από<br />

1 έως 50 εργαζόμενους (ποσοστό 34%).<br />

Η αύξηση της ανάγκης για κυβερνοασφάλεια<br />

στις επιχειρήσεις<br />

Η ελληνική κοινωνία, δοκιμάστηκε το τελευταίο χρόνο από<br />

αρκετές απειλές και επιθέσεις στον κυβερνοχώρο.<br />

Η γνωστοποίηση αυτών των<br />

περιστατικών έθεσε σε άμεση προτεραιότητα<br />

την προστασία των μηχανογραφικών<br />

συστημάτων με πολλές εταιρείες να<br />

επενδύουν περισσότερο σε αυτήν. Αυτό<br />

αποδεικνύεται και από τα αποτελέσματα<br />

της έρευνας, στην οποία περισσότεροι<br />

από τους μισούς συμμετέχοντες (57%),<br />

δήλωσαν πως ο προϋπολογισμός ασφαλείας<br />

ΙΤ της εταιρείας τους αυξήθηκε<br />

αρκετά τον τελευταίο χρόνο. Μόνο το<br />

26% των ερωτηθέντων, απάντησαν πως το cyber security<br />

budget της εταιρείας τους παρέμεινε το ίδιο. Είναι σημαντικό<br />

να σημειώσουμε ότι το 29% των ερωτηθέντων δήλωσε ότι<br />

η εταιρεία τους έχει υποστεί κάποια κυβερνοεπίθεση, ένας<br />

αριθμός που δεν πρέπει να αγνοηθεί δεδομένου ότι αποτελεί<br />

σχεδόν το 1/3 των εταιρειών στην ελληνική αγορά. Το<br />

58% των ερωτηθέντων δηλώνει πως η εταιρεία τους δεν<br />

έχει υποστεί κυβερνοαπειλή ή επίθεση, απάντηση που εκπλήσσει<br />

αφού η παρουσία κυβερνοαπειλών είναι αυξημένη.<br />

Εδώ, τίθεται ο προβληματισμός αν οι εταιρείες γνωρίζουν ότι<br />

έχουν πέσει θύματα κυβερνοεπιθέσεων ή αν επιλέγουν να<br />

μην αποκαλύπτουν τέτοια συμβάντα δημοσίως.<br />

Στην ερώτηση σχετικά με τους παράγοντες που θεωρούν<br />

πως εμποδίζουν μία επιχείρηση να οικοδομήσει ένα ολοκληρωμένο<br />

πλάνο κυβερνοασφάλειας, η επικρατέστερη απάντηση<br />

σε ποσοστό 44%, αφορούσε την έλλειψη εξειδικευμένου<br />

προσωπικού αλλά και την υποστελέχωση του τμήματος πληροφορικής.<br />

Δύο ακόμη δημοφιλείς απαντήσεις, αφορούσαν<br />

στην έλλειψη χρηματοοικονομικών πόρων (33%) αλλά και<br />

την έλλειψη γενικά της εκπαίδευσης του προσωπικού της<br />

εταιρείας (31%), ανεξάρτητα από το τμήμα στο οποίο απασχολούνται.<br />

Υπάρχει ακόμα η εντύπωση από περισσότερους<br />

από τους μισούς συμμετέχοντες της έρευνας (57%) πως η<br />

εταιρεία τους μπορεί να είναι πλήρως λειτουργική μετά από<br />

μία μεγάλης κλίμακας κυβερνοεπίθεση, σε λιγότερο από 1<br />

εβδομάδα, ενώ οι μισοί περίπου εξ αυτών (29%) θεωρούν<br />

πως χρειάζονται λιγότερες από 3 ημέρες για να γίνει η αποκατάσταση<br />

σε οποιαδήποτε βλάβη των συστημάτων τους.<br />

Οι απαντήσεις αυτές δημιουργούν ιδιαίτερο προβληματισμό<br />

καθώς από μαρτυρίες της αγοράς το διάστημα ανάκαμψης<br />

λειτουργίας μετά από μια κυβερνοεπίθεση είναι συνήθως<br />

πολύ μεγάλο. Έρχεται λοιπόν και πάλι στο προσκήνιο το ενδεχόμενο<br />

είτε οι ελληνικές εταιρείες και οργανισμοί να μην<br />

έχουν δεχθεί πολύ σημαντικές κυβερνοεπιθέσεις είτε να περιορίζουν<br />

τις πληροφορίες που διαδίδουν δημοσίως.<br />

security<br />

19


T<strong>82</strong>11/12.2023<br />

Research<br />

Τα ευάλωτα σημεία και οι κίνδυνοι για την<br />

κυβερνοασφάλεια<br />

Η δημοφιλέστερη απάντηση σχετικά με τα ευάλωτα σημεία<br />

εισόδου που μπορεί να έχει μία επιχείρηση ή οργανισμός<br />

σε ποσοστό 56%, αφορούσε τις φορητές συσκευές και τα<br />

laptops, δηλαδή τις συσκευές που χρησιμοποιούνται άμεσα<br />

από τους εργαζομένους. Ένα ποσοστό 29% των ερωτηθέντων,<br />

δήλωσαν πως οι φορητές συσκευές αποθήκευσης αποτελούν<br />

εξίσου ευάλωτα σημεία εισόδου. Μικρότερα ποσοστά<br />

συγκέντρωσαν οι web servers, 20%, τα συστήματα cloud,<br />

19%, τα APIs και οι συσκευές IoT με ποσοστά 15% και 13%<br />

αντίστοιχα. Όσον αφορά στους τύπους κινδύνων που απειλούν<br />

περισσότερο την ασφάλεια μίας επιχείρησης, επικρατέστερη<br />

απάντηση ήταν το κακόβουλο λογισμικό (malware)<br />

με ποσοστό 35%, ενώ η δεύτερη δημοφιλέστερη απάντηση<br />

με ποσοστό 32% αφορούσε το λεγόμενο “phishing”, το οποίο<br />

αποτελεί έναν από τους πιο συνηθισμένους τρόπους εξαπάτησης<br />

των χρηστών και γίνεται μέσω παραπλανητικών mails,<br />

μηνυμάτων ή διαφημίσεων. Με την αύξηση της μετακίνησης<br />

των επιχειρήσεων και των οργανισμών στο cloud, έχουν αυξηθεί<br />

τόσο οι προκλήσεις όσο και η πιθανότητα απειλών. Ο<br />

εντοπισμός και η αντιμετώπιση περιστατικών ασφαλείας στο<br />

cloud, φαίνεται πως αποτελεί ένα αρκετά δύσβατο μονοπάτι,<br />

όπως δήλωσε το 31% των συμμετεχόντων στην έρευνα.<br />

Ακόμη, η ανάκτηση των δεδομένων στο cloud και η ομαλή<br />

επιχειρησιακή συνέχεια, κρίνεται ως μία ιδιαίτερα μεγάλη<br />

πρόκληση για το 23% των ερωτηθέντων.<br />

63%, ήταν: για να διασφαλιστούν τα δεδομένα της επιχείρησης<br />

ή του οργανισμού, σε περίπτωση κάποιας επίθεσης. Στη<br />

συνέχεια, το 53% των ερωτηθέντων, δήλωσαν πως εξίσου<br />

σημαντική είναι και η άμεση και ομαλή επιχειρησιακή συνέχεια<br />

της εταιρείας.<br />

Βέβαια, μία κυβερνοεπίθεση, μπορεί να συμβεί οποιαδήποτε<br />

στιγμή και σε οποιονδήποτε κλάδο επιχειρήσεων. Γι’<br />

αυτό η κάθε εταιρεία και οργανισμός, οφείλει να εκπαιδεύει<br />

σωστά το προσωπικό της σε θέματα cybersecurity, ώστε<br />

να υπάρχει γνώση και το προσωπικό να βρίσκεται σε επαγρύπνηση.<br />

Στο ερώτημα λοιπόν, σχετικά με την εκπαίδευση<br />

του προσωπικού, το 34% των συμμετεχόντων στην έρευνα,<br />

δήλωσε πως η εταιρεία τους, προσπαθεί να ενσωματώσει<br />

στην κουλτούρα της, την κυβερνοασφάλεια ως γενικότερη<br />

φιλοσοφία.<br />

Ακόμη, πολλές εταιρείες προσπαθούν να εκπαιδεύσουν<br />

το προσωπικό τους με συνεχή ενημέρωση για τις πιθανές<br />

απειλές, ώστε να μπορούν να τις αναγνωρίσουν και να τις<br />

αποτρέψουν, όπως δήλωσε το 27% όσων συμμετείχαν στην<br />

έρευνα. Συγκριτικά με τα αποτελέσματα του 2022, φαίνεται<br />

πως η κυβερνοασφάλεια έχει αρχίσει να εισχωρεί πιο δραστικά<br />

στην κουλτούρα των επιχειρήσεων και να θεωρείται<br />

ένας σημαντικός και απαραίτητος παράγοντας για την ομαλή<br />

λειτουργία τους. Είναι χαρακτηριστικό, πως περισσότεροι<br />

από τους μισούς συμμετέχοντες στην έρευνα, δήλωσαν<br />

πως η εταιρεία στην οποία εργάζονται έχει αυξήσει σημαντικά<br />

τον προϋπολογισμό που αφορά στην κυβερνοαφάλεια,<br />

μέσα στο προηγούμενο έτος.<br />

Οι εταιρείες, φαίνεται να έχουν συνειδητοποιήσει τις επικείμενες<br />

απειλές, ωστόσο, ακόμη χρειάζεται να γίνουν οι<br />

απαραίτητες ενέργειες, ώστε να υπάρχει στρατηγική, σωστή<br />

ενημέρωση του προσωπικού των επιχειρήσεων, αλλά<br />

και ένα σωστά οργανωμένο πλάνο ασφαλείας, το οποίο θα<br />

σταθεί ως ασπίδα, σε οποιαδήποτε απειλή ή επίθεση υποστεί<br />

το μηχανογραφικό σύστημα μίας εταιρείας.<br />

Η καλύτερη<br />

επένδυση είναι η<br />

ασφάλεια!<br />

Στα πλαίσιο της έρευνας,<br />

στο κοινό τέθηκε<br />

και το ερώτημα, για ποιους<br />

λόγους οφείλει η<br />

επιχείρηση να επενδύσει<br />

στο cybersecurity; Η<br />

δημοφιλέστερη φυσικά<br />

απάντηση, με ποσοστό<br />

20 security


T<strong>82</strong>11/12.2023<br />

Law Tech<br />

Πως επηρεάζει η νομοθεσία<br />

για τα προσωπικά δεδομένα τις<br />

σχέσεις μιας επιχείρησης με τους<br />

συνεργάτες- υπεργολάβους της;<br />

ι επιχειρήσεις που δραστηριοποιούνται κατά<br />

Ο<br />

τρόπο που να συμπεριλαμβάνει επεξεργασία<br />

προσωπικών δεδομένων, θα πρέπει να<br />

έχουν υπόψη τους τις υποχρεώσεις συμμόρφωσης<br />

με τη νομοθεσία περί προστασίας<br />

προσωπικών δεδομένων που εμπλέκουν περισσότερα μέρη,<br />

εντός και εκτός της επιχείρησης.<br />

Μια σημαντική διάσταση αυτών των υποχρεώσεων αφορά<br />

τη σχέση της επιχείρησης με τρίτους συνεργάτες, ιδίως στις<br />

περιπτώσεις που η επιχείρηση αναθέτει σε τρίτο την επεξεργασία<br />

δεδομένων για λογαριασμό της στα πλαίσια μιας<br />

υπεργολαβικής ανάθεσης υπηρεσίας (π.χ συνήθως πάροχοι<br />

υπηρεσιών νεφοϋπολογιστικής κτλ) οπότε και η σχέση μεταξύ<br />

των μερών ορίζεται ως Υπεύθυνος Επεξεργασίας (αναθέτουσα<br />

επιχείρηση, στο εξής «ΥΕ») και Εκτελών την Επεξεργασία<br />

(εργολάβος, στο εξής «ΕΕ»). Στο σημείο αυτό πρέπει<br />

να επισημάνουμε ότι η ανωτέρω διάκριση (ΥΕ και ΕΕ), δεν<br />

αποτελεί τη μοναδική συμβατική δυνατότητα στους ρόλους<br />

μεταξύ συνεργατών και ο ορθός προσδιορισμός της εκάστοτε<br />

σχέσης είναι μια σύνθετη νομική άσκηση που θα πρέπει να<br />

διεξάγεται κάθε φορά ξεχωριστά, από εξειδικευμένο νομικό,<br />

και μόνο βάσει των πραγματικών παραμέτρων που χαρακτηρίζουν<br />

την κάθε σχέση. Στο παρόν άρθρο θα ασχοληθούμε<br />

μόνο με τη σχέση μεταξύ ΥΕ και ΕΕ η οποία εμφανίζεται πιο<br />

συχνά στις συναλλαγές.<br />

Τι σημαίνει πρακτικά η σχέση «Υπεύθυνος<br />

Επεξεργασίας και Εκτελών την Επεξεργασία»;<br />

ΥΕ είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή<br />

άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν<br />

τους σκοπούς και τον τρόπο της επεξεργασίας προσωπικών<br />

δεδομένων 1 . Από την άλλη, ΕΕ είναι το φυσικό ή νομικό πρόσωπο,<br />

η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται<br />

προσωπικά δεδομένα για λογαριασμό του ΥΕ 2 .<br />

1 Άρθρο 4 παρ. 7 ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων) στο εξής «ΓΚΠΔ»<br />

2 Άρθρο 4 παρ. 8 ΓΚΠΔ<br />

22 security


Γράφει η Αναστασία Φύλλα<br />

Δικηγόρος LLM Information Technology and Communications Law,<br />

LLM Information Technology and Communications Law<br />

Διακριτικό στοιχείο για τον καθορισμό του ρόλου του ΕΕ<br />

αποτελεί η υποχρέωσή του να ενεργεί για λογαριασμό του<br />

ΥΕ, του οποίου τα συμφέροντα (και όχι τα δικά του) εξυπηρετεί,<br />

εφαρμόζοντας για το σκοπό αυτό τις εντολές που λαμβάνει<br />

από τον ΥΕ τουλάχιστον αναφορικά με το σκοπό και τα<br />

μέσα (τρόπο) της επεξεργασίας 3 . Η ευθύνη του ΥΕ υπογραμμίζεται<br />

στο άρθρο 28 παρ. 1 του ΓΚΠΔ όπου αναφέρεται συγκεκριμένα<br />

ότι «…ο υπεύθυνος επεξεργασίας χρησιμοποιεί<br />

μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς<br />

διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και<br />

οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να<br />

πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται<br />

η προστασία των δικαιωμάτων του υποκειμένου<br />

των δεδομένων».<br />

Πώς μπορεί να πλαισιωθεί η σχέση μεταξύ ΥΕ<br />

και ΕΕ;<br />

Οποιαδήποτε επεξεργασία προσωπικών δεδομένων η οποία<br />

πραγματοποιείται από ΕΕ, θα πρέπει να διέπεται από σύμβαση<br />

ή άλλη νομική πράξη 4 και αυτές πρέπει να συνάπτονται<br />

εγγράφως περιλαμβανομένης της ηλεκτρονικής μορφής 5 .<br />

Αυτό σημαίνει ότι οι επιχειρήσεις θα πρέπει, επιπροσθέτως<br />

της κύριας σύμβασης που ορίζει τα θέματα ουσίας στην παροχή<br />

των υπηρεσιών να μεριμνούν ώστε να συνάπτουν με<br />

τους συνεργάτες τους ΕΕ έγγραφες συμβάσεις με ελάχιστο<br />

περιεχόμενο προβλεπόμενο από τον ΓΚΠΔ. Διαχειριστικά<br />

αυτό σημαίνει ότι πριν την έναρξη της συνεργασίας και άρα<br />

της επεξεργασίας τα μέρη θα πρέπει να συνάπτουν υποχρεωτικά<br />

ένα επιπλέον νομικό κείμενο το οποίο συνηθίζεται να<br />

ονομάζεται συμφωνητικό επεξεργασίας δεδομένων.<br />

Μπορούν τα μέρη να διαμορφώσουν όπως<br />

θέλουν αυτό το συμβατικό κείμενο;<br />

Το συμφωνητικό επεξεργασίας δεδομένων δεν παύει να<br />

αποτελεί ένα κείμενο που ενσωματώνει τη συμβατική βούληση<br />

των μερών, πλην όμως πρέπει να ρυθμίζει υποχρεωτικά<br />

τα ζητήματα που απαριθμεί το άρθρο 28 του ΓΚΠΔ.<br />

Το συμφωνητικό δεν πρέπει απλά να επαναλαμβάνει τις διατάξεις<br />

του ΓΚΠΔ αλλά να περιλαμβάνει συγκεκριμένες<br />

αναφορές σε σχέση με τον τρόπο που θα εκπληρωθούν οι<br />

απαιτήσεις και να καθορίζει το αναγκαίο επίπεδο ασφαλείας<br />

για τη συμφωνηθείσα επεξεργασία 6 . Ενδεικτικά αναφέρουμε<br />

κάποια στοιχεία του απαραίτητου περιεχομένου το οποίο<br />

πρέπει να περιλαμβάνει το αντικείμενο της επεξεργασίας, τη<br />

διάρκεια, τη φύση της επεξεργασίας, τα είδη προσωπικών<br />

δεδομένων, τις κατηγορίες των υποκειμένων των δεδομένων,<br />

τις υποχρεώσεις και τα δικαιώματα του ΥΕ.<br />

Επιπλέον το συμφωνητικό θα πρέπει να προβλέπει ότι ο ΕΕ<br />

επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο<br />

βάσει καταγεγραμμένων εντολών του ΥΕ, διασφαλίζει ότι<br />

τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται<br />

τα προσωπικά δεδομένα έχουν αναλάβει δέσμευση τήρησης<br />

εμπιστευτικότητας, λαμβάνει όλα τα απαιτούμενα μέτρα<br />

δυνάμει του άρθρου 32 του ΓΚΠΔ, τηρεί συγκεκριμένους<br />

όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία,<br />

επικουρεί τον ΥΕ με τα κατάλληλα τεχνικά και οργανωτικά<br />

μέτρα για την εκπλήρωση της υποχρέωσης του ΥΕ να<br />

απαντά σε αιτήματα για άσκηση των δικαιωμάτων του υποκειμένου<br />

των δεδομένων, συνδράμει τον ΥΕ στη διασφάλιση<br />

της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν<br />

από τα άρθρα 32 έως 36 του ΓΚΠΔ, διαγράφει ή επιστρέφει<br />

όλα τα δεδομένα προσωπικού χαρακτήρα στον ΥΕ μετά το<br />

πέρας της παροχής υπηρεσιών επεξεργασίας, θέτει στη διάθεση<br />

του ΥΕ κάθε απαραίτητη πληροφορία προς απόδειξη<br />

της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται<br />

στο άρθρο 28 και επιτρέπει τους ελέγχους, ενημερώνει τον<br />

ΥΕ, εάν κάποια εντολή παραβιάζει τη νομοθεσία για την προστασία<br />

των δεδομένων.<br />

Τι σημαίνουν όλα αυτά πρακτικά για τις<br />

επιχειρήσεις;<br />

H συμμόρφωση με τη νομοθεσία για την προστασία των προσωπικών<br />

δεδομένων είναι μια ακόμα διάσταση που πρέπει<br />

να λαμβάνεται υπόψη σε επίπεδο σχεδιασμού και υλοποίησης<br />

διαδικασιών ακόμα και για την επιλογή από πλευράς των<br />

επιχειρήσεων των κατάλληλων συνεργατών.<br />

Οι επιχειρήσεις λοιπόν θα πρέπει να συνεκτιμούν στην ουσία<br />

όχι μόνο το επίπεδο της καθεαυτήν παρεχόμενης υπηρεσίας<br />

αλλά και επιπλέον παραμέτρους που αφορούν θέματα προστασίας<br />

δεδομένων θέτοντας σε ισχύ τυπικά και ουσιαστικά<br />

συμβατικά κείμενα και διαδικασίες προς διασφάλιση της<br />

απαιτούμενης συμμόρφωσης.<br />

Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα και δε συνιστούν<br />

εξατομικευμένη νομική συμβουλή.<br />

3 Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ, ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΚΑΙ Ο ΕΦΑΡΜΟΣΤΙΚΟΣ ΝΟΜΟΣ (4624/2019), Ιωάννης<br />

Ιγγλεζάκης, INTERACTIVE BOOKS, 3η έκδοση, σελ. 210.<br />

4 Άρθρο 28 παρ. 4 ΓΚΠΔ<br />

5 Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, Adopted on July 2021, παρ. 101.<br />

6 Guidelines 07/2020 ό.π, παρ. 112<br />

security<br />

23


T<strong>82</strong>11/12.2023<br />

Cover Issue<br />

Προστατεύοντας<br />

την Εφοδιαστική Αλυσίδα<br />

Η ανάγκη για την Ασφάλεια της Εφοδιαστικής<br />

Αλυσίδας είναι σήμερα πιο σημαντική από ποτέ<br />

ον τελευταίο καιρό, γινόμαστε όλο και συχνότερα<br />

μάρτυρες κυβερνοεπιθέσεων που<br />

Τ<br />

είτε επικεντρώνονται, είτε έχουν σαν όχημα<br />

και μέθοδο επίθεσης την εκμετάλλευση<br />

αδυναμιών της Εφοδιαστικής Αλυσίδας<br />

των οργανισμών. Οι κυβερνοεπιθέεσεις αυτές, αφορούν<br />

το σύνολο των οργανισμών όσο μεγάλοι ή μικροί είναι αυτοί,<br />

αφού ανεξαρτήτως του μεγέθους τους, αναπόφευκτα<br />

βασίζονται σε μια σειρά από τρίτους οργανισμούς προκειμένου<br />

να παραδώσουν τα αγαθά ή τις υπηρεσίες τους<br />

στους πελάτες. Οι τρίτοι αυτοί οργανισμοί αποτελούν την<br />

Εφοδιαστική Αλυσίδα, στην οποία βασίζεται ο οργανισμός<br />

μας για να λειτουργεί ομαλά και αποτελεσματικά, χωρίς<br />

διακοπές, χαμένες παραδόσεις ή χαμένες παραγγελίες. Ο<br />

ορισμός της Εφοδιαστικής Αλυσίδας περιλαμβάνει επίσης<br />

οποιοδήποτε λογισμικό τρίτων που συμπεριλαμβάνεται<br />

στο λογισμικό του οργανισμού. Εάν ένα βοηθητικό πρόγραμμα<br />

έχει μια ευπάθεια, τότε το σύστημά σας θα κληρονομήσει<br />

αυτήν την ευπάθεια/<br />

Αυτό που παλιά ήταν μια απλή γραμμική αλυσίδα μπορεί,<br />

σήμερα, να είναι εξαιρετικά περίπλοκο. Καθώς στρεφόμαστε<br />

στρατηγικά όλο και περισσότερο στην εξωτερική<br />

ανάθεση (outsoursing) ως αποτελεσματική επιχειρηματική<br />

λύση, είναι ολοένα και πιο σημαντικό οι εξωτερικοί συνεργάτες<br />

/ μέλη της Εφοδιαστικής μας Αλυσίδας να είναι<br />

έμπιστοι και αξιόπιστοι να χειριστούν τα δεδομένα και<br />

τις διαδικασίες του οργανισμού με ασφάλεια ώστε να είμαστε<br />

σε θέση να διασφαλίσουμε την συνολική ασφάλεια και<br />

24 security


Παναγιώτης Καλαντζής<br />

Cyber <strong>Security</strong> & Data Privacy Expert<br />

προστασία της Εφοδιαστικής Αλυσίδας.Όπως κατέδειξε και<br />

η πανδημία, η αβεβαιότητα και η σύγχυση που μπορεί να<br />

προκαλέσει μια διαταραγμένη Εφοδιαστική Αλυσίδα στους<br />

οργανισμούς και την κοινωνία, μπορεί να έχει σημαντική<br />

επίπτωση στην ζωή μας. Επομένως, πρέπει να κάνουμε ό,τι<br />

μπορούμε για να τους προστατεύσουμε από την ευπάθεια.<br />

Σύγχρονα συμβάντα και ανησυχίες των<br />

Υπεύθυνων Ασφάλειας των Οργανισμών<br />

Οι επιθέσεις Εφοδιαστικής Αλυσίδας δεν είναι καινοφανείς.<br />

Η εμβληματική παραβίαση του επιχείρησης Target 1 στα<br />

τέλη του 2013 ήταν μια παραβίαση της Εφοδιαστικής Αλυσίδας.<br />

Οι εισβολείς μπήκαν στο υπολογιστικό περιβάλλον<br />

του οργανισμού χρησιμοποιώντας διαπιστευτήρια που είχαν<br />

κλαπεί από έναν τρίτο πάροχο υπηρεσιών και συστημάτων<br />

HVAC - την εταιρία Fazio Mechanical Services - δηλαδή<br />

μέσω της Εφοδιαστικής Αλυσίδας της Target. Η παραβίαση<br />

της Ticketmaster 2 το 2018 ήταν μια άλλη παραβίαση<br />

της Εφοδιαστικής Αλυσίδας Ένας προμηθευτής λογισμικού<br />

Ticketmaster, - η εταιρία Inbenta - παραβιάστηκε και το λογισμικό<br />

που η εταιρία προμήθευε στην Ticketmaster, μεταξύ<br />

άλλων πελατών, τροποποιήθηκε ώστε να αποτελέσει το<br />

όχημα της επίθεσης, μέσω της αυτόματης λήψης του λογισμικού<br />

ως νέα έκδοση. Το Island Hopping είναι μια άλλη<br />

μορφή επίθεσης στην Εφοδιαστική Αλυσίδα. Το 2017, αποκαλύφθηκε<br />

το Operation Cloud Hopper 3 . Αυτό αποκάλυψε<br />

ότι μια προηγμένη ομάδα κυβερνοεγκληματιών, πιθανώς η<br />

APT10, έθετε σε κίνδυνο τους διαχειριζόμενους πόρους και<br />

υπηρεσίες για να αποκτήσει πρόσβαση στους πελάτες του<br />

πάροχου. Παρά την δημοσιότητα που λαμβάνουν τα περιστατικά<br />

Ασφάλειας Εφοδιαστικής Αλυσίδας, φαίνεται ότι τα<br />

τελευταία δύο χρόνια, η δημοσιοποίηση πιο εκτεταμένων<br />

περιστατικών όπως η SolarWinds 4 , αλλά και το περιστατικό<br />

NotPetya 5 του 2017 που ξεκίνησε επίσης ως επίθεση στην<br />

Εφοδιαστική Αλυσίδα, έχει οδηγήσει τους οργανισμούς να<br />

συνειδητοποιήσουν την πλήρη απειλή από ολοένα και<br />

πιο εξελιγμένες και ευρείας κλίμακας επιθέσεις στην<br />

Εφοδιαστική Αλυσίδα. Σε αυτό το πλαίσιο, οι Υπεύθυνοι<br />

Ασφάλειας των Οργανισμών παγκοσμίως, αλλά και σε όλους<br />

τους επιχειρηματικούς τομείς και κλάδους, έχουν εκφράσεις<br />

πέντε κύριες ανησυχίες για την ασφάλεια της Εφοδιαστικής<br />

Αλυσίδας, που «τους κρατούν ξύπνιους τα βράδια»<br />

1. Προστασία δεδομένων. Τα δεδομένα βρίσκονται στο<br />

επίκεντρο των επιχειρησιακών συναλλαγών και πρέπει<br />

να ασφαλίζονται και να ελέγχονται τόσο όταν αποθηκεύονται,<br />

όσο και όταν μεταδίδονται μέσω δικτύων<br />

επικοινωνίας, για την αποφυγή παραβίασης και απώλεια<br />

δεδομένων. Η ασφαλής ανταλλαγή δεδομένων<br />

περιλαμβάνει επίσης την εμπιστοσύνη της ταυτότητας<br />

του ετέρου μέρους της επικοινωνίας.<br />

2. Τοπικότητα δεδομένων. Τα κρίσιμα δεδομένα του<br />

οργανισμού δυνητικά υπάρχουν σε όλα τα επίπεδα της<br />

Εφοδιαστικής Αλυσίδας και πρέπει να εντοπίζονται, να<br />

ταξινομούνται και να προστατεύονται ανεξάρτητα από<br />

το πού βρίσκονται. Σε κλάδους με αυξημένες κανονιστικές<br />

απαιτήσεις, όπως οι χρηματοοικονομικές<br />

υπηρεσίες και η υγειονομική περίθαλψη, τα δεδομένα<br />

πρέπει να συλλέγονται, να αποθηκεύονται, να διαχειρίζονται,<br />

να χρησιμοποιούνται και να ανταλλάσσονται<br />

σύμφωνα με τα πρότυπα του κλάδου και τις κυβερνητικές<br />

εντολές που ποικίλλουν ανάλογα με τις περιοχές<br />

στις οποίες ο οργανισμός δραστηριοποιείται.<br />

3. Ορατότητα και διακυβέρνηση δεδομένων. Στο σύγχρονο<br />

επιχειρησιακό περιβάλλον, όπου τα δίκτυα μεταξύ<br />

πολλαπλών οργανισμών όχι μόνο διευκολύνουν<br />

την ανταλλαγή δεδομένων, αλλά επιτρέπουν επίσης<br />

πρόσβαση σε δεδομένα, ώστε να μπορούν να προβάλλουν,<br />

να μοιράζονται και να συνεργάζονται. Οι συμμετέχουσες<br />

επιχειρήσεις απαιτούν έλεγχο των δεδομένων<br />

και τη δυνατότητα να αποφασίζουν με ποιον θα τα<br />

μοιραστούν και τι μπορεί να δει κάθε εξουσιοδοτημένο<br />

μέρος.<br />

1 https://www.zdnet.com/article/anatomy-of-the-target-data-breach-missed-opportunities-and-lessons-learned/<br />

2 https://cisomag.com/ticketmaster-hacked-payment-information-of-several-customers-may-have-been-compromised/<br />

3 https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/operation-cloud-hopper-what-you-need-to-know<br />

4 https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know<br />

5 https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/<br />

security<br />

25


T<strong>82</strong>11/12.2023<br />

Cover Issue<br />

4. Πρόληψη απάτης. Σε έναν κύκλο ενχρήματης συναλλαγής,<br />

τα δεδομένα αλλάζουν χέρια πολλές φορές,<br />

άλλοτε σε έντυπη μορφή και άλλοτε ηλεκτρονικά. Κάθε<br />

σημείο στο οποίο ανταλλάσσονται δεδομένα μεταξύ των<br />

μερών ή μεταφέρονται εντός συστημάτων παρουσιάζει<br />

μια ευκαιρία για παραποίηση - κακόβουλα ή ακούσια.<br />

5. Κίνδυνος τρίτων. Καθημερινά προϊόντα και υπηρεσίες<br />

– από κινητά τηλέφωνα μέχρι αυτοκίνητα<br />

– αυξάνονται σε πολυπλοκότητα. Ως αποτέλεσμα, οι<br />

Αλυσίδες Εφοδιασμού συχνά βασίζονται σε τέσσερα<br />

ή περισσότερα επίπεδα προμηθευτών για την παράδοση<br />

των τελικών προϊόντων. Καθένα από αυτά τα<br />

εξωτερικά μέρη μπορεί να εκθέσει τους οργανισμούς<br />

σε νέους κινδύνους με βάση την ικανότητά τους να<br />

διαχειρίζονται σωστά τις δικές τους ευπάθειες.<br />

Αυξημένη επικινδυνότητα, περισσότερο<br />

επιτηδευμένες επιθέσεις<br />

Για να αναπτυχθεί ένα αποτελεσματικό πρόγραμμα προστασίας<br />

της Εφοδιαστικής Αλυσίδας ενός οργανισμού, είναι<br />

σημαντικό να κατανοήσουμε γιατί οι επιθέσεις στον κυβερνοχώρο<br />

όχι μόνο αυξάνονται αλλά και ολοένα και πιο<br />

επιτυχημένες. Ο κύριος λόγος έγκειται στην πολυπλοκότητα<br />

των Αλυσίδων Εφοδιασμού και των ψηφιακών δικτύων<br />

των οργανισμών, τα οποία συχνά είναι πολυεπίπεδα. Για<br />

παράδειγμα, η Εφοδιαστική Αλυσίδα ενός κατασκευαστή αυτοκινήτων<br />

περιλαμβάνει πολυάριθμους πωλητές, κατασκευαστές,<br />

παρόχους υπηρεσιών και πελάτες που βασίζονται σε<br />

άλλους προμηθευτές, οι οποίοι, με τη σειρά τους, εξαρτώνται<br />

ακόμη από άλλους προμηθευτές. Όλοι αυτοί οι προμηθευτές<br />

συνδέονται στο ψηφιακό δίκτυο του οργανισμού και είναι<br />

επίσης συνδεδεμένοι με τα ψηφιακά δίκτυα των πωλητών<br />

και των πελατών τους, μέσω εξοπλισμού και λογισμικού, άλλων<br />

προμηθευτών. Σε ένα τέτοιο περιβάλλον, οι κίνδυνοι για<br />

την ασφάλεια στον κυβερνοχώρο των τρίτων μερών, καθίστανται<br />

επίσης κίνδυνοι του ίδιου του οργανισμού.<br />

Ένας άλλος παράγοντας είναι η χρήση υποδομών cloud.<br />

Καθώς οι Εφοδιαστικές Αλυσίδες μεγαλώνουν, οι οργανισμοί<br />

επενδύουν σε μεγαλύτερα και πιο σύνθετα δίκτυα<br />

προμηθειών, μετατοπίζοντας τον φόρτο εργασίας σε δημόσια<br />

ή ιδιωτικά δίκτυα cloud. Η αλλαγή αυξάνει την εξάρτηση<br />

των εταιρειών στους μηχανισμούς ασφαλείας των παρόχων<br />

cloud και μειώνει την ορατότητα σε πιθανούς κινδύνους.<br />

Ο ταχέως αυξανόμενος αριθμός συσκευών Ιnternet-of-<br />

Τhings που είναι συνδεδεμένες σε δίκτυα είναι επίσης ένας<br />

λόγος. Η τάση αυτή δημιουργεί πολλά ψηφιακά τελικά σημεία<br />

που μπορούν να είναι είσοδοι σε ένα δίκτυο. Τέλος, οι<br />

κυβερνοεγκληματίες χρησιμοποιούν διαρκώς πιο εξελιγμένα<br />

εργαλεία και τεχνικές για να εκμεταλλευτούν τα<br />

τρωτά σημεία στα ψηφιακά δίκτυα και τα πιθανά αδύναμα<br />

σημεία μπορεί να είναι δύσκολο να εντοπιστούν. Αποτέλεσμα<br />

αυτού, οργανισμοί με καθιερωμένες και αυξημένες<br />

δυνατότητες κυβερνοασφάλειας τίθενται σε κίνδυνο μέσω<br />

λιγότερο εξελιγμένων τρίτων μερών που είναι συνδεδεμένα<br />

στο δίκτυό τους.<br />

Υπάρχουν πολλές μορφές επιθέσεων στην Εφοδιαστική<br />

Αλυσίδα, αλλά τρεις είναι οι κύριες και πιο συχνές από αυτές:<br />

1. Επιθέσεις λογισμικού: Αυτές οι επιθέσεις επικεντρώνονται<br />

στον πηγαίο κώδικα του λογισμικού ενός<br />

προμηθευτή, όπου ο εισβολέας εισάγει τον κακόβουλο<br />

κώδικά του σε μια αξιόπιστη εφαρμογή. Υπάρχουν<br />

επίσης περιπτώσεις όπου ένας διακομιστής ενημέρωσης<br />

έχει παραβιαστεί, επιτρέποντας στον εισβολέα να<br />

αντικαταστήσει μια νόμιμη βιβλιοθήκη με τη δική του.<br />

2. Επιθέσεις υλικού: Αυτές οι επιθέσεις στοχεύουν<br />

φυσικές συσκευές όπως κάμερες web, δρομολογη-<br />

26 security


Book a Demo<br />

security<br />

27


T<strong>82</strong>11/12.2023<br />

Cover Issue<br />

τές και πληκτρολόγια. Η πιο διαδεδομένη μορφή περιλαμβάνει<br />

την εισαγωγή backdoors στο υλικό.<br />

3. Επιθέσεις υλικολογισμικού: Αυτός ο τύπος περιλαμβάνει<br />

την έγχυση κακόβουλου λογισμικού στον<br />

κώδικα εκκίνησης. Το κακόβουλο λογισμικό εκτελείται<br />

μετά την εκκίνηση του υπολογιστή, θέτοντας<br />

ολόκληρο το σύστημα σε κίνδυνο. Οι επιθέσεις υλικολογισμικού<br />

είναι γρήγορες, συχνά μη ανιχνεύσιμες<br />

(εκτός εάν προστατεύσετε συγκεκριμένα από αυτές)<br />

και εξαιρετικά επικίνδυνες.<br />

Οι παραπάνω τύποι επιθέσεων συνήθως έχουν σαν αποτέλεσμα<br />

μια ή παραπάνω από τις παρακάτω κύριες απειλές,<br />

που θέτουν σε κίνδυνο ή απενεργοποιούν κάποια ή το σύνολο<br />

των Εφοδιαστικών Αλυσίδων του οργανισμού.<br />

• Εκμετάλλευση ευπαθειών Managed Service.<br />

Πολλοί πάροχοι Εφοδιαστικής Αλυσίδας παρέχουν<br />

υπηρεσίες ή προϊόντα σε πολλούς οργανισμούς ταυτόχρονα<br />

μέσω διαχειριζόμενων υπηρεσιών. Αυτή η<br />

επεκτασιμότητα είναι ένα επιχειρησιακό πλεονέκτημα<br />

για τον πάροχο, αλλά προσελκύει κυβερνοεγκληματίες<br />

που στοχεύουν να προκαλέσουν τον όλεθρο σε<br />

μεγάλο αριθμό οργανισμών μαζικά.<br />

• Ευπάθειες Zero-day. Κενά λογισμικού και ευπάθειες<br />

που ανακαλύφθηκαν από κυβερνοεγκληματίες<br />

πριν από τους σχετικούς κατασκευαστές των αντίστοιχων<br />

λογισμικών ή υλικών ομάδων <strong>IT</strong><br />

• Ευπάθειες λογισμικού. Ο πιο συνηθισμένος τρόπος<br />

για τους κυβερνοεγκληματίες να παραβιάσουν τα<br />

δίκτυα της εφοδιαστικής αλυσίδας είναι μέσω λογισμικού.<br />

Μπορούν να εισάγουν κακόβουλο λογισμικό<br />

μέσω κακόβουλων ενημερώσεων ή τροποποιώντας<br />

τον πηγαίο κώδικά σχετικών λογισμικών ανοιχτού<br />

κώδικα. Η επιτυχία αυτών των επιθέσεων εξαρτάται<br />

συχνά από την εμπιστοσύνη μεταξύ οργανισμών κατά<br />

μήκος της Εφοδιαστικής Αλυσίδας.<br />

• Εμφυτευμένες κερκόπορτες. Οι κυβερνοεγκληματίες<br />

προσπαθούν ολοένα και περισσότερο να υπονομεύσουν<br />

τις κοινώς χρησιμοποιούμενες βιβλιοθήκες<br />

ή να δημιουργήσουν κακόβουλα εκδόσεις αυτών.<br />

Αυτές οι παραβιασμένες βιβλιοθήκες μπορεί να περιλαμβάνουν<br />

κερκόπορτες που έχουν σχεδιαστεί για<br />

να παρέχουν στον κυβερνοεγκληματία πρόσβαση σε<br />

εταιρικά δεδομένα ή συστήματα<br />

• Απειλές που χορηγούνται κρατικές οντότητες. Για<br />

τις ξένες κυβερνήσεις, οι Εφοδιαστικές Αλυσίδες που<br />

ανήκουν σε πολιτικούς αντιπάλους μπορεί να είναι τακτικά<br />

σημαντικές. Ξένοι κυβερνοεγκληματίες επιτίθενται<br />

σε Εφοδιαστικές Αλυσίδες για να διακόψουν ή να σταματήσουν<br />

τη ροή υπηρεσιών κοινής ωφελείας, αγαθών και<br />

υπηρεσιών, να κλέψουν πληροφορίες πληροφοριών, να<br />

αποσταθεροποιήσουν οικονομικές δραστηριότητες ή να<br />

αναλάβουν στρατιωτική δράση. Οργανισμοί με διασυνδέσεις<br />

με ξένους προμηθευτές θα πρέπει να είναι ιδιαίτερα<br />

προσεκτικοί απέναντι σε αυτήν την απειλή<br />

• Παραβιάσεις δεδομένων. Για πολλούς κυβερνοεγκληματίες,<br />

τα προσωπικά και οικονομικά δεδομένα<br />

είναι ο θησαυρός που αναζητούν. Οι Εφοδιαστικές<br />

Αλυσίδες περιλαμβάνουν μια σειρά από οργανισμούς,<br />

μεγάλους και μικρούς. Για έναν έμπειρο χάκερ, η επίθεση<br />

σε έναν μικρότερο οργανισμό με λιγότερο εξελιγμένες<br />

πρακτικές ασφαλείας και λιγότερους πόρους<br />

για συντήρηση λογισμικού είναι απλώς ένα πρώτο<br />

βήμα. Τα κλεμμένα διαπιστευτήρια μπορούν να ανοίξουν<br />

πόρτες σε μεγαλύτερους στόχους με μεγαλύτερες<br />

αποθήκες δεδομένων στην Εφοδιαστική Αλυσίδα.<br />

• Επιθέσεις Ransomware. Κακόβουλο λογισμικό<br />

που κρυπτογραφεί τα δεδομένα ή τα συστήματά του<br />

οργανισμού, καθιστώντας τα άχρηστα έως ότου πληρωθούν<br />

τα λύτρα, μπορεί να διαταράξει τις λειτουργίες<br />

της Εφοδιαστικής Αλυσίδας και να προκαλέσει<br />

σημαντικό χρόνο διακοπής λειτουργίας<br />

• Ευπαθείς / Παραβιασμένοι Συνεργάτες. Πολλοί<br />

οργανισμοί επιτρέπουν σε οργανισμούς τρίτων να<br />

έχουν πρόσβαση στα δίκτυα και τα συστήματά τους.<br />

Εάν ένας κυβερνοεγκληματίας παραβίασε αυτόν τον<br />

προμηθευτή ή συνεργάτη, μπορεί να εκμεταλλευτεί<br />

αυτή τη σχέση εμπιστοσύνης για να αποκτήσει πρόσβαση<br />

στο περιβάλλον του οργανισμού μας.<br />

Τέλος για να δώσουμε το ανάγλυφα το μέγεθος του προβλήματος,<br />

δεν πρέπει να ξεχνάμε ότι ενίοτε, οι ίδιες οι<br />

28 security


security<br />

29


T<strong>82</strong>11/12.2023<br />

Cover Issue<br />

εταιρείες κυβερνοασφάλειας είναι στόχοι επιθέσεων στην<br />

αλυσίδα εφοδιασμού. Για παράδειγμα, το δημοφιλές δωρεάν<br />

εργαλείο εκκαθάρισης, CC Cleaner 6 , προϊόν της Avast,<br />

παραβιάστηκε με μια κερκόπορτα που παρείχε πρόσβαση<br />

σε κυβερνοεγκληματίες στους εκατομμύρια υπολογιστές<br />

στους οποίους ήταν εγκατεστημένο το λογισμικό.<br />

Επάρκεια παραδοσιακών μηχανισμών<br />

κυβερνοασφάλειας και μετατόπιση τρόπου σκέψης<br />

Από τα παραπάνω, καθίσταται προφανές ότι οι παραδοσιακοί<br />

μηχανισμοί ασφάλειας που μπορεί ένας οργανισμός<br />

να έχει υλοποιήσει, δεν είναι πια επαρκείς. Ο<br />

οργανισμός δεν μπορεί να βασίζεται αποκλειστικά στα μέτρα<br />

ασφάλειας του έχει υλοποιήσει εσωτερικά. Δεν μπορεί να<br />

εστιάσει αποκλειστικά στους ανθρώπους, τις διαδικασίες και<br />

τα συστήματα και να υπάρχει η ψευδαίσθηση και ο εφησυχασμός<br />

ότι υπάρχει η μέγιστη δυνατή ασφάλεια. Όσο ο οργανισμός<br />

αποτελεί τμήμα μιας Εφοδιαστικής Αλυσίδας αξιόπιστων<br />

συνεργατών οι οποίοι έχουν πρόσβαση σε δεδομένα<br />

και συστήματα προκειμένου να εκπληρώσουν τον ρόλο τους,<br />

ένα περιστατικό ασφάλειας σε έναν μόνο κρίκο της αλυσίδας<br />

μπορεί να προκαλέσει αλυσιδωτή αντίδραση, επηρεάζοντας<br />

όλους τους άλλους οργανισμούς της Εφοδιαστικής Αλυσίδας.<br />

Είναι απαραίτητη η μετατόπιση του τρόπου σκέψης<br />

των υπεύθυνων του οργανισμού. Η κυβερνοασφάλεια<br />

οργανισμών που βασίζουν την ύπαρξή τους σε μια ομαλή<br />

λειτουργία Εφοδιαστικής Αλυσίδας δίνουν ολοένα και<br />

περισσότερο το προβάδισμα στη διαχείριση των σχετικών<br />

κινδύνων κυβερνοασφάλειας των προμηθευτών τους, όχι<br />

μόνο των δικών τους. Ο καταλύτης για αυτή τη μετατόπιση<br />

είναι διπλός. Πρώτον, οι οργανισμοί αναγνωρίζουν την<br />

ανάγκη για ανθεκτικότητα της Εφοδιαστικής Αλυσίδας ως<br />

αποτέλεσμα της πανδημίας, των γεωπολιτικών αλλαγών,<br />

των δυσμενών καιρικών συνθηκών και άλλων πρόσφατων<br />

γεγονότων που έχουν διαταράξει τους οργανισμούς.<br />

Δεύτερον, οι επιθέσεις κυβερνοασφάλειας σε εταιρικές<br />

Εφοδιαστικές Αλυσίδες αυξάνονται σε αριθμό, σοβαρότητα<br />

και πολυπλοκότητα. Σύμφωνα με το Ινστιτούτο Ponemon 7 ,<br />

το 98% των εταιρειών έχουν επηρεαστεί αρνητικά από μια<br />

παραβίαση που σημειώθηκε σε έναν οργανισμό στο δίκτυό<br />

τους. Το μακροπρόθεσμο κόστος, συμπεριλαμβανομένης<br />

της φήμης και άλλων ζημιών στην εταιρική αξία, μπορεί να<br />

είναι υψηλό.Για να διατηρήσουν την ανθεκτικότητά τους<br />

απέναντι στους κινδύνους κυβερνοασφάλειας στην Εφοδιαστική<br />

Αλυσίδα τους, οι οργανισμοί χρειάζονται μεγαλύτερη<br />

προβολή και επιρροή στα ψηφιακά συστήματα και τις πρακτικές<br />

των προμηθευτών καθώς και των πελατών τους. Με<br />

τον τρόπο αυτό μπορούν να κάνουν αισθητές βελτιώσεις<br />

στη δική τους ανθεκτικότητα εφαρμόζοντας ένα πρόγραμμα<br />

που διαχειρίζεται τους κινδύνους κυβερνοασφάλειας τρίτων<br />

στην Εφοδιαστική Αλυσίδα τους.<br />

Πρόγραμμα διαχείρισης κινδύνων<br />

Οι επιθέσεις στην Εφοδιαστική Αλυσίδα αποτελούν σημαντικό<br />

κίνδυνο για έναν οργανισμό και μπορεί να έχουν δραματικές<br />

επιπτώσεις. Οι οργανισμοί μπορούν να λάβουν μια<br />

ποικιλία μέτρων για να αποτρέψουν επιθέσεις στην αλυσίδα<br />

εφοδιασμού ή να ελαχιστοποιήσουν τον αντίκτυπό τους.<br />

Πυρήνας των μέτρων που ο οργανισμός θα πρέπει να πάρει<br />

για τη διασφάλιση της Εφοδιαστικής Αλυσίδας, αποτελεί η<br />

υλοποίηση ενός - ζωτικής σημασίας στο σημερινό ψηφιακό<br />

τοπίο - προγράμματος διαχείρισης κινδύνων. Πολλοί<br />

οργανισμοί έχουν επί του παρόντος μια κατακερματισμένη<br />

προσέγγιση για την ασφάλεια της Εφοδιαστικής Αλυσίδας<br />

και αντιμετωπίζουν προκλήσεις όπως η αναγνώριση και<br />

διαχείριση κινδύνου, η αξιολόγηση λογισμικού τρίτων, η<br />

περιορισμένη πληροφορία απειλών για έγκαιρη λήψη αποφάσεων<br />

και η έλλειψη επιχειρησιακής ανθεκτικότητας.<br />

Για την εξασφάλιση της Εφοδιαστικής Αλυσίδας, η υιοθέτηση<br />

μιας προληπτικής προσέγγισης που είναι καλά καθορισμένη,<br />

προσαρμοστική και βελτιστοποιημένη από δεδομένα<br />

και τεχνητή νοημοσύνη είναι ένα από τα πιο σημαντικά<br />

πράγματα που μπορεί να κάνει του ένας οργανισμός. Για μια<br />

τέτοια προσέγγιση, είναι απαραίτητη η εφαρμογή των κάτωθι<br />

πέντε κορυφαίων πρακτικών για την ανάπτυξη ενός<br />

σχεδίου διαχείρισης κινδύνων στον κυβερνοχώρο.<br />

6 https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack<br />

7 https://www.securityweek.com/98-of-firms-have-a-supply-chain-relationship-that-has-been-breached-analysis/<br />

30 security


security<br />

31


T<strong>82</strong>11/12.2023<br />

Cover Issue<br />

1. Πραγματοποίηση αξιολογήσεων κινδύνου. Τακτική<br />

αξιολόγηση των κινδύνων στον κυβερνοχώρο που<br />

σχετίζονται με την Εφοδιαστική Αλυσίδα του οργανισμού<br />

-συμπεριλαμβανομένων των συστημάτων και<br />

διαδικασιών που χρησιμοποιούνται από τους προμηθευτές.<br />

Προσδιορισμός τυχόν τρωτών σημείων και<br />

προτεραιοποίηση του μετριασμού των πιο κρίσιμων<br />

με μεγαλύτερο επιχειρηματικό αντίκτυπο.<br />

2. Καθιέρωση πρωτόκολλων ασφαλείας. Ορισμός<br />

σαφών πρωτόκολλων ασφαλείας για τους προμηθευτές,<br />

συμπεριλαμβανομένων κατευθυντήριων γραμμών<br />

για την προστασία δεδομένων, τον έλεγχο πρόσβασης<br />

και την απόκριση συμβάντων. Επιβεβαίωση<br />

ότι οι προμηθευτές διαθέτουν τα απαραίτητα μέτρα<br />

ασφαλείας, όπως τείχη προστασίας, κρυπτογράφηση,<br />

ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας<br />

πολλαπλών παραγόντων.<br />

3. Εφαρμογή συνεχούς παρακολούθησης. Συνεχής<br />

παρακολούθηση της Εφοδιαστικής Αλυσίδας για τυχόν<br />

περιστατικά ασφάλειας, συμπεριλαμβανομένων προσπαθειών<br />

hacking, παραβιάσεων δεδομένων και μολύνσεων<br />

από κακόβουλο λογισμικό. Καθιέρωση ενός<br />

σχεδίου αντιμετώπισης περιστατικών σε περίπτωση<br />

που συμβεί παραβίαση ασφαλείας και περιοδική εκτέλεση<br />

ασκήσεων και δοκιμών για την εξασφάλιση ότι το<br />

σχέδιο θα εκτελεστεί σύμφωνα με τον σχεδιασμό, όταν<br />

έρθει η ώρα τη μυϊκή μνήμη όταν έρθει η ώρα.<br />

4. Ενθάρρυνση της εκπαίδευσης των προμηθευτών.<br />

Οι περισσότεροι οργανισμοί εκπαιδεύουν το εργατικό<br />

δυναμικό τους σε θέματα και πρακτικές που σχετίζο-<br />

νται με την ασφάλεια στον κυβερνοχώρο για την προστασία<br />

των δεδομένων και των περιουσιακών στοιχείων<br />

του οργανισμού. Εάν η δομημένη εκπαίδευση<br />

δεν προσφέρεται από τον προμηθευτή, η επέκταση<br />

της εκπαίδευσης στους προμηθευτές του οργανισμού<br />

σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο<br />

και τη σημασία της προστασίας ευαίσθητων<br />

δεδομένων πρέπει να ενθαρρυνθεί.<br />

5. Τακτικός έλεγχος και ενημέρωση των πολιτικών.<br />

Ο τακτικός έλεγχος και η ενημέρωση των πολιτικών<br />

διαχείρισης κινδύνων στον κυβερνοχώρο είναι απαραίτητη,<br />

ώστε να βοηθήσει να παραμείνει ο οργανισμός<br />

μπροστά από τις εξελισσόμενες απειλές και να διατηρήσει<br />

το επίπεδο ασφάλειας της Εφοδιαστικής Αλυσίδας.<br />

Είναι επίσης αναγκαίος ο προσδιορισμός του κίνδυνου<br />

στον κυβερνοχώρο κατά τη φάση της ενσωμάτωσης ενός<br />

νέου προμηθευτή στην Εφοδιαστική Αλυσίδα του οργανισμού.<br />

Προτού ο οργανισμός συνάψει σύμβαση με έναν προμηθευτή,<br />

πρέπει να προσδιοριστεί όσο το δυνατόν ο κίνδυνος<br />

που η νέα προσθήκη ενέχει.<br />

Συνήθως, αυτό επιτυγχάνεται χρησιμοποιώντας ερωτηματολόγια<br />

ή αξιολογήσεις ασφαλείας που μπορούν να παρέχουν<br />

ένα πλαίσιο σχετικά με τους ελέγχους ασφαλείας των προμηθευτών<br />

σας και τις πρακτικές διαχείρισης κινδύνου. Πρέπει<br />

να αναγνωρίσουμε, ότι τα ερωτηματολόγια παρέχουν μόνο<br />

ένα στιγμιότυπο του κινδύνου. Καθώς οι προμηθευτές μεταμορφώνονται<br />

ψηφιακά, προσθέτουν νέους συνεργάτες και<br />

αναθέτουν λειτουργίες σε τρίτους, ο κίνδυνος στον κυβερνοχώρο<br />

αναδύεται συνεχώς, και πρέπει να αξιολογείται διαρκώς<br />

(ή ανά τακτά χρονικά διαστήματα). Επίσης, είναι άκρως<br />

32 security


απαραίτητος ο σχηματισμός μιας συνεργατικής ανώτερης<br />

ηγετικής ομάδας που μπορεί να εξασφαλίσει συμμετοχή<br />

σε θέματα ασφάλειας, πληροφορικής, προμηθειών, νομικών,<br />

μηχανικών και άλλων σχετικών λειτουργιών, καθώς και να<br />

λαμβάνει αποφάσεις συλλογικά<br />

• Καθιέρωση ενός επίσημου, διαφανούς προγράμματος<br />

διαχείρισης κινδύνων για την αλυσίδα εφοδιασμού με<br />

πολιτικές, διαδικασίες, ευθύνες και επαρκή προϋπολογισμό<br />

και προσωπικό<br />

• Προσδιορισμός και κατηγοριοποίηση των κρίσιμων<br />

προμηθευτών της εταιρείας<br />

• Καθορισμός των συστημάτων που είναι κρίσιμα για τη<br />

διασφάλιση της ακριβούς αναφοράς ουσιωδών αδυναμιών<br />

και σημαντικών ελλείψεων που σχετίζονται<br />

με τον κίνδυνο τρίτων<br />

Είναι αδύνατο να διασφαλιστεί η ασφάλεια από μια επίθεση<br />

στην αλυσίδα εφοδιασμού. Επομένως, ο πρωταρχικός στόχος<br />

της αμυνόμενης πλευράς θα πρέπει να είναι να σταματήσει<br />

την επίθεση σε πρώιμο στάδιο προτού ο επιτιθέμενος<br />

μπορέσει να αποκτήσει βάση μέσα στην υποδομή και να<br />

προκαλέσει ζημιά.<br />

Παρά την αυξανόμενη τεχνολογική πολυπλοκότητα των<br />

επιθέσεων στον κυβερνοχώρο στα δίκτυα της εφοδιαστικής<br />

αλυσίδας, το ανθρώπινο λάθος εξακολουθεί να είναι η<br />

κύρια αιτία παραβιάσεων της ασφάλειας στον κυβερνοχώρο.<br />

Η αύξηση της ευαισθητοποίησης για την ασφάλεια<br />

των πληροφοριών είναι ένα ουσιαστικό επίπεδο άμυνας.<br />

Η εκπαίδευση / ευαισθητοποίηση πρέπει να περιλαμβάνει<br />

κατ’ ελάχιστο<br />

- ασφάλεια στον κυβερνοχώρο<br />

- ασφάλεια των πληροφοριών με ενημέρωση για πιθανούς<br />

φορείς επίθεσης και κοινές τεχνικές επίθεσης<br />

στην αλυσίδα εφοδιασμού σας<br />

- χαρακτηριστικά ασφαλών προμηθευτών, και αναζήτηση<br />

ευπαθειών προμηθευτών<br />

- σενάρια που απεικονίζουν τον αντίκτυπο των επιθέσεων<br />

στον κυβερνοχώρο σε διάφορους ρόλους εργαζομένων,<br />

στον οργανισμό συνολικά και σε συνεργάτες<br />

στην αλυσίδα εφοδιασμού<br />

- εξελισσόμενες τεχνικές απειλών, εργαλεία και μαθήματα<br />

για την βελτίωση των συμπεριφορών τους αναφορικά<br />

με την ασφάλεια στον κυβερνοχώρο<br />

- την σημασία της ασφάλειας σύνδεσης και κωδικού πρόσβασης<br />

για την πρόληψη επιθέσεων στον κυβερνοχώρο<br />

και την ανθεκτικότητα της αλυσίδας εφοδιασμού<br />

- εκπαίδευση και δοκιμές για τον εντοπισμό μηνυμάτων<br />

ηλεκτρονικού ψαρέματος, την προστασία του λο-<br />

γισμικού και των συσκευών τους και την αναγνώριση<br />

κακόβουλου λογισμικού<br />

- ενημερωμένες, σχετικές και ενδιαφέρουσες πληροφορίες<br />

Η προώθηση μιας κουλτούρας κυβερνοασφάλειας στον<br />

οργανισμό και σε ολόκληρη την Εφοδιαστική Αλυσίδα είναι<br />

απαραίτητη για τη διασφάλιση της ακεραιότητας των λειτουργιών.<br />

Η ανοιχτή επικοινωνία και η συνεργασία μεταξύ του<br />

οργανισμού και των συνεργατών στην Εφοδιαστική Αλυσίδα<br />

πρέπει να ενθαρρύνεται, τονίζοντας τη σημασία της κοινής<br />

ευθύνης για τη διατήρηση ενός ασφαλούς ψηφιακού οικοσυστήματος.<br />

Όπως επισημαίνουν οι ειδικοί, η αυτοματοποίηση<br />

της πλειονότητας των χειροκίνητων διαδικασιών στη διαχείριση<br />

της εφοδιαστικής αλυσίδας είναι ζωτικής σημασίας. Είναι<br />

ένα κρίσιμο βήμα προς τη μείωση των κινδύνων που προκύπτουν<br />

από ανθρώπινα λάθη και άλλους τομείς. Ένα σωστά<br />

διαμορφωμένο τείχος προστασίας δεν θα πρέπει μόνο να<br />

αποκλείει μια προσπάθεια πρόσβασης αλλά και να καταγράφει<br />

την ώρα, τον κόμβο που δέχεται επίθεση και τη διεύθυνση<br />

από την οποία πραγματοποιήθηκε η επίθεση. Τα εργαλεία<br />

εκτεταμένης ανίχνευσης και απόκρισης (XDR) ενοποιούν<br />

όλα τα δεδομένα σε μια κεντρική τοποθεσία, επιτρέποντας<br />

στους ειδικούς ασφάλειας να εντοπίζουν άμεσα τις απειλές,<br />

να εντοπίζουν το ταξίδι του εισβολέα στην υποδομή της<br />

εταιρείας και να τις εξουδετερώνουν. Χωρίς αυτή την παρακολούθηση,<br />

οι κυβερνοεγκληματίες μπορούν ενδεχομένως<br />

να παραμείνουν απαρατήρητοι για μήνες, έχοντας πρόσβαση<br />

σε κρίσιμες πληροφορίες όλη την ώρα. Η προσεκτική παρακολούθηση<br />

κάθε τελικού σημείου μπορεί να βοηθήσει στον<br />

έγκαιρο εντοπισμό ύποπτων δραστηριοτήτων. Κάθε διακομιστής<br />

και υπολογιστής στο δίκτυο ενός οργανισμού πρέπει<br />

να συλλέγει αρχεία καταγραφής συμβάντων. Εάν κάποιος<br />

αποκτήσει απομακρυσμένη πρόσβαση στο λογαριασμό ενός<br />

υπαλλήλου και επιχειρήσει να σπάσει κωδικούς πρόσβασης<br />

μέσω επίθεσης ωμής βίας, αυτές οι προσπάθειες ελέγχου<br />

ταυτότητας θα καταγραφούν και θα αντικατοπτρίζονται σε αρ-<br />

security<br />

33


T<strong>82</strong>11/12.2023<br />

Cover Issue<br />

χεία καταγραφής.,Ιδιαίτερη έμφαση θα πρέπει να δοθεί στην<br />

αντιμετώπιση περιστατικών, εστιάζοντας στην ανάπτυξη<br />

στρατηγικών για τον περιορισμό των περιστατικών και<br />

την ελαχιστοποίηση των ζημιών. Είναι ζωτικής σημασίας να<br />

διαμορφωθεί ένα ολοκληρωμένο σχέδιο και να διαδοθεί<br />

σε όλους τους εργαζόμενους, αναφέροντας λεπτομερώς<br />

τις κατάλληλες διαδικασίες που πρέπει να ακολουθούνται<br />

σε καταστάσεις έκτακτης ανάγκης. Αυτό θα μπορούσε να<br />

περιλαμβάνει οδηγίες σχετικά με το ποιος να ειδοποιηθεί<br />

σε περίπτωση απροσδόκητης δέσμευσης σε ένα χώρο αποθήκευσης,<br />

ανακάλυψης άγνωστων αρχείων ή ασυνήθιστης<br />

συμπεριφοράς του συστήματος. Η διασφάλιση ότι όλοι οι<br />

εργαζόμενοι έχουν πλήρη επίγνωση των ρόλων και<br />

των ευθυνών τους είναι πρωταρχικής σημασίας. Επίσης, η<br />

διατήρηση σαφούς και αποτελεσματικής επικοινωνίας τόσο<br />

κατά τη διάρκεια όσο και μετά από ένα περιστατικό είναι<br />

ζωτικής σημασίας.Η αξιολόγηση της στρατηγικής ασφάλειας<br />

θεωρείται αναγκαία για τον προσδιορισμό του κινδύνου<br />

και της συμμόρφωσης. Σε αυτό το πλαίσιο, πρέπει να γίνει<br />

αξιολόγηση της υφιστάμενης διακυβέρνησης ασφάλειας,<br />

συμπεριλαμβανομένων των πτυχών του απορρήτου των<br />

δεδομένων, του κινδύνου τρίτων, και των αναγκών και<br />

κενών συμμόρφωσης με τους κανονιστικούς κανόνες της<br />

πληροφορικής. Αυτό αποτελεί σημαντική προσέγγιση έναντι<br />

των επιχειρηματικών προκλήσεων, απαιτήσεων και στόχων.<br />

Οι πρακτικές της ασφάλειας περιλαμβάνουν την ποσοτικοποίηση<br />

των κινδύνων, την ανάπτυξη προγραμμάτων<br />

ασφαλείας, τη συμμόρφωση με κανονισμούς και πρότυπα,<br />

καθώς και την εκπαίδευση σε θέματα ασφάλειας. Η μείωση<br />

της ευπάθειας περνά από δοκιμές διείσδυσης, με την εντοπισμό<br />

προβλημάτων όπως κακές διαμορφώσεις βάσεων<br />

δεδομένων, ανεπαρκείς πολιτικές κωδικών πρόσβασης και<br />

απομάκρυνση προεπιλεγμένων κωδικών πρόσβασης. Η<br />

χρησιμοποίηση ειδικών σε δοκιμές διείσδυσης<br />

είναι ζωτικής σημασίας για τον εντοπισμό ευπαθών<br />

σημείων σε όλες τις πτυχές νέων και παλαιών<br />

εφαρμογών, υποδομής πληροφορικής<br />

και ανθρώπινου παράγοντα, μέσω προσομοίωσης<br />

phishing και κόκκινης ομαδοποίησης.Η<br />

αναγνώριση και κρυπτογράφηση των δεδομένων<br />

αποτελούν ουσιώδες τμήμα των<br />

προγραμμάτων και των πολιτικών προστασίας<br />

δεδομένων. Τα εν λόγω προγράμματα και πολιτικές<br />

θα πρέπει να ενσωματώνουν εργαλεία<br />

εντοπισμού και ταξινόμησης, με σκοπό τον<br />

εντοπισμό βάσεων δεδομένων και αρχείων<br />

που περιλαμβάνουν ευαίσθητες πληροφορίες<br />

πελατών, οικονομικά δεδομένα και προσωπικά αρχεία. Μόλις<br />

ανιχνευθούν τα δεδομένα, η χρήση των πιο πρόσφατων<br />

προτύπων και πολιτικών κρυπτογράφησης προστατεύει<br />

τα δεδομένα κατά την αποθήκευση και τη μεταφορά, καλύπτοντας<br />

πλήθος τύπων δεδομένων, όπως πληροφορίες<br />

πελατών, οικονομικά στοιχεία, παραγγελίες, αποθέματα,<br />

συσκευές Internet of Things (IoT), υγεία και άλλα. Καθώς<br />

οι συνδέσεις και οι αλληλεξαρτήσεις μεταξύ εταιρειών και<br />

τρίτων αυξάνονται σε όλο το οικοσύστημα της εφοδιαστικής<br />

αλυσίδας, οι οργανισμοί πρέπει να επεκτείνουν τον ορισμό<br />

τους για τη διαχείριση κινδύνου πωλητή για να συμπεριλάβουν<br />

ασφάλεια από άκρο σε άκρο. επιτρέπει στις εταιρείες<br />

να αξιολογούν, να βελτιώνουν, να παρακολουθούν και να<br />

διαχειρίζονται τον κίνδυνο καθ' όλη τη διάρκεια της σχέσης.,<br />

ειδικά δε σε περίπτωση παραβίασης συμμόρφωσης, τερματισμού<br />

λειτουργίας συστήματος ή παραβίασης δεδομένων.<br />

Βέλτιστες πρακτικές<br />

Άλλες βέλτιστες πρακτικές ασφάλειας της Εφοδιαστικής<br />

Αλυσίδας μπορούν να περιλαμβάνουν τα ακόλουθα:<br />

• Αρχή ελάχιστου προνομίου: Η αρχή του ελάχιστου<br />

προνομίου δηλώνει ότι οι χρήστες, οι εφαρμογές, τα<br />

συστήματα κ.λπ. πρέπει να έχουν μόνο την πρόσβαση<br />

και τα δικαιώματα που απαιτούνται για τον ρόλο τους.<br />

Η ελαχιστοποίηση της πρόσβασης περιορίζει τη ζημία<br />

που μπορεί να προκαλέσει μια παραβιασμένη εφαρμογή<br />

ή προμηθευτής.<br />

• Τμηματοποίηση Δικτύου: Η τμηματοποίηση δικτύου<br />

χωρίζει ένα δίκτυο σε πολλά κομμάτια με βάση το σκοπό<br />

και το επίπεδο εμπιστοσύνης. Η τμηματοποίηση δικτύου<br />

καθιστά πιο δύσκολο για έναν εισβολέα να μετακινηθεί<br />

μέσω του εταιρικού δικτύου χωρίς εντοπισμό.<br />

• DevSecOps: Το παράδειγμα (paradigm) DevSecOps<br />

34 security


υποστηρίζει την ενσωμάτωση της ασφάλειας στον<br />

κύκλο ζωής της ανάπτυξης. Λαμβάνοντας υπόψη<br />

πιθανές ανησυχίες για την ασφάλεια νωρίτερα στη<br />

διαδικασία ανάπτυξης, οι οργανισμοί μπορούν ενδεχομένως<br />

να εντοπίσουν και να αποκαταστήσουν τις<br />

ευπάθειες της εφοδιαστικής αλυσίδας πριν οι εφαρμογές<br />

φτάσουν στην παραγωγή.<br />

• Σάρωση ευπαθειών: Οι σαρωτές ευπάθειας έχουν<br />

τη δυνατότητα να εντοπίζουν τόσο γνωστά όσο και<br />

άγνωστα τρωτά σημεία σε μια εφαρμογή. Οι τακτικές<br />

σαρώσεις ευπάθειας επιτρέπουν σε έναν οργανισμό<br />

να εντοπίζει και να ανταποκρίνεται γρήγορα σε νέα<br />

τρωτά σημεία στον κώδικα τρίτων.<br />

• Ανάλυση Σύνθεσης Λογισμικού (SCA): Το SCA<br />

εντοπίζει αυτόματα τις εξαρτήσεις μέσα σε μια εφαρμογή.<br />

Η εκτέλεση SCA επιτρέπει σε έναν οργανισμό<br />

να διατηρήσει την ορατότητα της χρήσης του κώδικα<br />

τρίτων κατασκευαστών και να παρακολουθεί αυτόν<br />

τον κώδικα για τρωτά σημεία ή πιθανές κερκόπορτες.<br />

• Αυτοματοποιημένη ασφάλεια: Η προληπτική άμυνα<br />

είναι απαραίτητη για την ελαχιστοποίηση του κινδύνου<br />

και των επιπτώσεων των επιθέσεων σε έναν οργανισμό.<br />

Οι αναλυτές SOC θα πρέπει να χρησιμοποιούν<br />

άμυνες εστιασμένες στην πρόληψη για την ασφάλεια<br />

των διαδικτυακών εφαρμογών.<br />

• Κυνήγι απειλών: Το κυνήγι απειλών είναι η πρακτική<br />

της προληπτικής αναζήτησης άγνωστων απειλών μέσα<br />

στο περιβάλλον ενός οργανισμού. Το κυνήγι απειλών<br />

μπορεί να βοηθήσει στον εντοπισμό των εισβολέων<br />

που έχουν αποκτήσει πρόσβαση σε εταιρικά συστήματα<br />

μέσω επιθέσεων στην αλυσίδα εφοδιασμού.<br />

Τέλος, είναι αναγκαίο να τονίσουμε ότι η ασφάλεια Εφοδιαστικής<br />

Αλυσίδας είναι μια πολύπλοκη άσκηση. Σε έναν μεγάλο<br />

οργανισμό, ο τεράστιος αριθμός τρίτων μερών μπορεί<br />

να είναι ένα από τα μεγαλύτερα εμπόδια στην εφαρμογή<br />

ενός προγράμματος διαχείρισης κινδύνου. Σε αυτή την περίπτωση,<br />

προτείνεται η σταδιακή εφαρμογή των παραπάνω<br />

μέτρων, δίνοντας προτεραιότητα σε περιοχές, επιχειρηματικές<br />

μονάδες ή σειρές προϊόντων - όποιες περιοχές έχουν<br />

τρίτους που ενέχουν υψηλότερο κίνδυνο.<br />

Επίλογος<br />

Ο αριθμός, η σοβαρότητα και η πολυπλοκότητα των επιθέσεων<br />

στον κυβερνοχώρο αυξάνονται καθώς οι Εφοδιαστικές<br />

Αλυσίδες των εταιρειών γίνονται πιο περίπλοκες, αποτέλεσμα<br />

πολλαπλών επιπέδων δικτύου και πολυάριθμων ψηφιακών<br />

τερματικών σημείων. Σχεδόν όλες οι εταιρείες - 98% - έχουν<br />

επηρεαστεί αρνητικά από μια παραβίαση της κυβερνοασφάλειας<br />

που σημειώθηκε στην Εφοδιαστική τους Αλυσίδα. Η<br />

πρόβλεψη ότι οι επιθέσεις αυτές θα αυξηθούν το 2024 είναι<br />

τεκμηριωμένη και αναπόφευκτη.Οι εταιρείες που διαχειρίζονται<br />

προληπτικά τους κινδύνους κυβερνοασφάλειας τρίτων<br />

μερών μπορούν να βελτιώσουν σημαντικά τη συνολική ανθεκτικότητα<br />

της Εφοδιαστικής Αλυσίδας. Όσο έμμεσα κι αν<br />

είναι συνδεδεμένο ένα σύστημα προμηθευτών με του οργανισμού<br />

σας, οι ευπάθειές του γίνονται δική σας ευθύνη. Είστε<br />

τόσο ασφαλείς όσο ο πιο αδύναμος κρίκος στην Εφοδιαστική<br />

Αλυσίδα. Οι εταιρείες που εφαρμόζουν μια καλά σχεδιασμένη<br />

προσέγγιση για τη διαχείριση της ασφάλειας στον κυβερνοχώρο<br />

της Εφοδιαστικής Αλυσίδας μπορούν να μειώσουν<br />

τους κινδύνους και να μειώσουν το κόστος. Εάν μια επίθεση<br />

στην Εφοδιαστική Αλυσίδα πετύχει, οι συνέπειες μπορεί να<br />

είναι σοβαρές. Θα μπορούσε να οδηγήσει όχι μόνο σε σημαντική<br />

οικονομική ζημιά και στη φήμη ή σε συμβιβασμό της<br />

υποδομής πληροφορικής, αλλά θα μπορούσε επίσης να σταματήσει<br />

εντελώς την παραγωγή ή ακόμη και να προκαλέσει<br />

περιβαλλοντική καταστροφή.<br />

Συμπερασματικά, ο ρόλος της κυβερνοασφάλειας στη<br />

διαχείριση της Εφοδιαστικής Αλυσίδας για τους οργανισμούς<br />

είναι κρίσιμος για τη διασφάλιση της ακεραιότητας<br />

και της επιτυχίας των λειτουργιών τους. Εφαρμόζοντας<br />

βέλτιστες πρακτικές και ενισχύοντας μια κουλτούρα<br />

κυβερνοασφάλειας σε όλη την Εφοδιαστική Αλυσίδα, θα<br />

ενισχύσετε τους κρίκους στην ψηφιακή σας αλυσίδα και θα<br />

προστατεύσετε την επιχείρησή σας από πιθανές απειλές.<br />

Η επένδυση στην κυβερνοασφαλεια της Εφοδιαστικής<br />

Αλυσίδας όχι μόνο βοηθά στην προστασία της μικρής επιχείρησής<br />

σας από πιθανές απειλές, αλλά προσφέρει επίσης<br />

πολλά πρόσθετα οφέλη:<br />

• Βελτιωμένη φήμη: Η επίδειξη της δέσμευσής του<br />

οργανισμού για την κυβερνοασφάλεια Εφοδιαστικής<br />

Αλυσίδας μπορεί να βοηθήσει στην οικοδόμηση εμπιστοσύνης<br />

με τους πελάτες, τους συνεργάτες και τους<br />

ενδιαφερόμενους φορείς.<br />

• Βελτιωμένη λειτουργική αποτελεσματικότητα:<br />

Μια ασφαλής Εφοδιαστική Αλυσίδα είναι λιγότερο<br />

επιρρεπής σε διακοπές, επιτρέποντάς την διατήρηση<br />

να διατηρείτε συνεπών λειτουργιών και την ικανοποίηση<br />

των απαιτήσεων των πελατών.<br />

• Ανταγωνιστικό πλεονέκτημα: Η ιεράρχηση της κυβερνοασφάλειας<br />

Εφοδιαστικής Αλυσίδας σας μπορεί<br />

να δώσει ανταγωνιστικό πλεονέκτημα έναντι ανταγωνιστών<br />

που ενδέχεται να μην λαμβάνουν τις ίδιες<br />

προφυλάξεις<br />

security<br />

35


T<strong>82</strong>11/12.2023<br />

Issue<br />

Χτίζοντας το οχυρό: οι συνεργάτες<br />

έξω από την πύλη!<br />

τη σημερινή ψηφιακή καθημερινότητα και το<br />

Σ<br />

ηλεκτρονικό εμπόριο, οι περισσότερες συναλλαγές<br />

είναι άρρηκτα συνδεδεμένες με<br />

το ψηφιακό αποτύπωμα των επιχειρήσεων.<br />

Λόγω αυτού επιτυγχάνουμε γρήγορες,<br />

άμεσες και αυτοματοποιημένες συναλλαγές, ενώ αναπόφευκτα<br />

ερχόμαστε αντιμέτωποι με περισσότερες ευπάθειες σε<br />

ηλεκτρονικές απειλές. Τα ψηφιακά οχυρά, για τα οποία είμαστε<br />

υπεύθυνοι, έχουν την τάση να χαλαρώνουν τις απαιτήσεις<br />

όταν έχουν απέναντι τους έναν έμπιστο συνεργάτη, προκειμένου<br />

να διεκπεραιώνονται τα θέματα ευκολότερα.<br />

Τι σημαίνει συνεργάτης πρακτικά; Κάποια επιχείρηση<br />

με την οποία διαθέτουμε κάποιο επίπεδο συνεργασίας και<br />

εμπιστοσύνης, το οποίο μεταφράζεται πιθανά σε κάποια<br />

σύμβαση μέσω της οποίας προμηθευόμαστε<br />

ή προμηθεύουμε<br />

ψηφιακά ή μη αγαθά. Ο ψηφιακός<br />

μετασχηματισμός έχει οδηγήσει<br />

σε αμέτρητες e-λύσεις και<br />

εξειδικεύσεις, οπότε οι πολλαπλοί<br />

συνεργάτες είναι κλειδί εξέλιξης<br />

και επιτυχίας για κάθε επιχείρηση.<br />

Φυσικό επακόλουθο είναι με<br />

κάθε επέκταση της υποδομής να<br />

προκύπτουν και νέα ρίσκα.<br />

Ας ξεκινήσουμε με το να κατανοήσουμε<br />

το εύρος των απειλών<br />

και μερικά από τα κυριότερα<br />

ρίσκα. Υποθετικά, κάποιος<br />

συνεργάτης μας πέφτει θύμα<br />

επίθεσης. Αυτό πιθανά σημαίνει<br />

ότι ο οργανισμός μας είναι από<br />

τους επόμενους στόχους. Ισχύει<br />

ωστόσο και το αντίθετο σενάριο<br />

, να είναι ο οργανισμός μας<br />

ο στόχος και οι συνεργάτες μας<br />

να είναι ένας πιο εύκολος τρόπος<br />

εισόδου. Η γενικότερη αρχή αφορά<br />

στην εύκολη πρόσβαση των<br />

συνεργατών μας σε συστήματα<br />

και δεδομένα του οργανισμού<br />

μας, προκειμένου να μας παρέχουν κάποιου είδους υπηρεσία,<br />

όπως τεχνική υποστήριξη, συμβουλευτικές υπηρεσίες,<br />

outsourcing κ.α.. Αν ο οργανισμός μας συμβιβαστεί με ενδεχομένως<br />

χαμηλού επιπέδου ασφάλεια του περιβάλλοντος<br />

συνεργασίας, αποδυναμώνεται η συνολική επιφάνεια άμυνας<br />

του.Ξεκινώντας από το προφανές, το Social Engineering<br />

παραμένει δημοφιλής τρόπος απάτης. Οι γνωστοί-άγνωστοι<br />

συχνά επιλέγουν το supply chain για να εκτελέσουν ένα επιτυχημένο<br />

phishing ή spear-phishing attack.<br />

Ένα καλοσχεδιασμένο κακόβουλο email που εμφανίζεται<br />

σαν γνωστή πηγή είναι πολύ πιο αποδοτικό. Το μόνο που<br />

χρειάζεται να κάνει ένας επιτιθέμενος, είναι να ψάξει για<br />

ανακοινώσεις συνεργασιών, πελατολόγια ή και social media<br />

posts για να διαπιστώσει τυχόν συνεργασίες.<br />

36 security


Του Γιάννη Παυλίδη<br />

Senior <strong>Security</strong> Solutions Architect, Uni Systems<br />

www.unisystems.com<br />

Πέραν αυτού, χρειάζεται περισσότερη προσοχή σε περιπτώσεις<br />

όπου οι υπηρεσίες συνοδεύονται από third-party<br />

συσκευές εντός του δικτύου, όπως IoT devices για την παροχή<br />

υπηρεσιών. Αν η ασφάλεια των συσκευών, και πιο<br />

συγκεκριμένα η τεχνική συμμόρφωση των συσκευών (π.χ.<br />

vulnerability & configuration management) δεν διαχειρίζεται<br />

επαρκώς, πιθανά να υπάρξουν σημεία εισόδου που θα<br />

εξελιχθούν σε ανοιχτή πρόσβαση σε άλλα εσωτερικά πληροφοριακά<br />

συστήματα.<br />

Το ίδιο ισχύει και για vulnerabilities λογισμικού που χρησιμοποιεί<br />

μια επιχείρηση as a Service. Αντίστοιχα και σε αυτή<br />

την περίπτωση, αν δεν υπάρχει πρόγραμμα ελέγχου και<br />

διαχείρισης ευπαθειών, μπορεί η επιχείρηση να είναι υποψήφια<br />

για exploitations. Επιπλέον, ένα σετ από υποκλεμμένα<br />

credentials μπορεί να δώσει πρόσβαση σε πολύτιμα, ευαίσθητα<br />

δεδομένα του οργανισμού μας. Ιδιαίτερη σημασία<br />

θα πρέπει να δοθεί στη σωστή τεκμηρίωση και επαρκή παρακολούθηση<br />

δεικτών (KPIs) για την προμήθεια Managed<br />

Services ή SaaS. Στις περιπτώσεις αυτές, ο πάροχος είναι<br />

υπεύθυνος για την ασφάλεια των λύσεων με βάση το cloud<br />

responsibility matrix, οπότε η παρακολούθηση της ασφάλειας<br />

θα πρέπει να είναι συμβασιοποιημένη και μετρήσιμη.<br />

Η ασφάλεια ενός οργανισμού είναι μια αλυσίδα και είναι<br />

θέμα χρόνου να δοκιμάσει κάποιος να εισέλθει από τον<br />

αδύναμο κρίκο. Κάθε επιχείρηση με σαφές επιχειρηματικό<br />

πλάνο, πλάνο διαχείρισης ασφάλειας και επιχειρησιακής<br />

συνέχειας, οφείλει να λαμβάνει υπόψη τους αναδυόμενους<br />

κινδύνους που απορρέουν από την εμπορική σχέση της με<br />

τους συνεργάτες της. Θυμίζει κάτι; Και εδώ ισχύει η λογική<br />

του Zero Trust.<br />

Πως μπορεί ένας οργανισμός να προστατεύσει<br />

τους πόρους και τα δεδομένα του όταν πρέπει να<br />

δώσει πρόσβαση σε τρίτους;<br />

Ξεκινώντας από τα οργανωτικά μέτρα, μια συνεργασία συνήθως<br />

διασφαλίζεται μέσα από μια σύμβαση. Είναι απαραίτητο<br />

να υπάρχει ενότητα με απαιτήσεις που αφορούν την<br />

ασφάλεια των δεδομένων του οργανισμού. Αυτό μπορεί να<br />

εξασφαλιστεί μέσω πολιτικής ή checklists όπου ορίζουμε<br />

ελάχιστες απαιτήσεις στις συμβάσεις. Ας μην ξεχνάμε άλλωστε<br />

πως κανονισμοί όπως ο GDPR υπενθυμίζουν την ευθύνη<br />

που έχει ο οργανισμός, καθώς αυτός δίνει πρόσβαση και<br />

παρέχει τα δεδομένα.<br />

Στη συνέχεια, καλή πρακτική είναι να ζητείται από συνεργάτες<br />

κάποια αναφορά περί των αντιμέτρων, οργανωτικών ή<br />

τεχνικών, ώστε να αξιολογηθεί η ωριμότητα τους. Κάτι τέτοιο<br />

μπορεί να γίνει με διάφορους τρόπους, ανάλογα πάντα<br />

με την κρισιμότητα των δεδομένων και την επίπτωση που θα<br />

μπορούσε να έχει η πιθανή προσβολή τους.<br />

Ένας τρόπος να γίνει αυτό είναι με την παροχή ερωτηματολογίου,<br />

το οποίο πρώτον θα βοηθήσει τον οργανισμό να<br />

υπολογίσει το ρίσκο πιθανής συνεργασίας με εξωτερικούς<br />

παράγοντες και δεύτερον, θα αποτελέσει ένα πειστήριο δέουσας<br />

επιμέλειας σε περιπτώσεις ελέγχων ή επιθεωρήσεων.<br />

Εκτός αυτού, υπάρχουν διαθέσιμες εξειδικευμένες πλατφόρμες,<br />

οι οποίες μπορούν να ελέγξουν για ευπάθειες της<br />

εξωτερικής υπόστασης ενός οργανισμού, δίνοντας μια εικόνα<br />

περί της ψηφιακής του υγιεινής.<br />

Τέλος, για τις περιπτώσεις όπου τα δεδομένα που διαμοιράζεται<br />

ο οργανισμός απαιτούν μεγαλύτερη ασφάλεια, συνηθίζεται<br />

να ζητούνται συγκεκριμένες πιστοποιήσεις για το<br />

εύρος των υπηρεσιών που παρέχονται, όπως οι ISO<br />

27001, ISO 27701, ISO 22301, PCI DSS, κ.α.. Φυσικά,<br />

οι προηγούμενες θα μπορούσαν να συνοδεύονται από αντίστοιχες<br />

επιθεωρήσεις, δηλαδή ο οργανισμός μας να επιθεωρήσει<br />

τον συνεργάτη. Τέλος, μπορούμε να ζητήσουμε και<br />

περισσότερα δεδομένα, όπως αναφορές προηγούμενων<br />

audits, penetration test reports, κ.α..<br />

Τέλος, να μην ξεχνάμε τον πιο σημαντικό παράγοντα, τον<br />

χρήστη. Καλή εκπαίδευση στο χρήστη ώστε να μπορεί να<br />

αναγνωρίζει, αλλά κυρίως και να αναφέρει τυχόν περιστατικά<br />

που μπορεί να υποπέσουν στην αντίληψη του. Αυτό απαιτεί<br />

συνεχείς εκπαιδεύσεις, newsletters και προσομοιώσεις<br />

phishing επικοινωνιών. Τα παραπάνω μέτρα είναι κυρίως<br />

οργανωτικά, τα οποία συμπληρώνουν τα υπάρχοντα τεχνικά<br />

που διαθέτουμε. Εδώ είναι απαραίτητη μια επανάληψη, Zero<br />

Trust λογική και αρχιτεκτονική. Φερόμαστε στον εξωτερικό<br />

συνεργάτη όπως σε οποιονδήποτε άλλο εξωτερικό<br />

παράγοντα, με μηδενική εμπιστοσύνη, συνεχή επιβεβαίωση<br />

και πολλαπλά μέτρα ασφαλείας, ούτως ώστε αν ένα από αυτά<br />

αποτύχει ένα άλλο να περιορίσει την επίθεση.<br />

Αν θεσπίσουμε συνθήκες συνδεσιμότητας με υψηλή ασφάλεια,<br />

τότε, έχουμε ακόμα μικρότερες πιθανότητες να προσβληθούμε<br />

από κάποια απειλή, ή αν μας προσβάλλει να<br />

περιοριστεί σε μεγάλο βαθμό η επίπτωση στον οργανισμό.<br />

Συνοψίζοντας λοιπόν, το Supply chain cybersecurity είναι<br />

ένα θέμα με διαρκή εξέλιξη και απαιτεί δέουσα προσοχή<br />

από τους επαγγελματίες που χειρίζονται και καθορίζουν<br />

τις συνθήκες συνεργασίας.<br />

Με προσεκτικό σχεδιασμό, θέσπιση τακτικών άμυνας και σεναρίων<br />

αποκατάστασης, ένας οργανισμός μπορεί να χτίσει<br />

ένα γερό ψηφιακό οχυρό που θα αντέχει κάθε είδους επιθέσεις,<br />

ικανό να αντιληφθεί και αμυνθεί σε περίπτωση κάθε<br />

φιλόδοξου Δούρειου Ίππου.<br />

security<br />

37


T<strong>82</strong>11/12.2023<br />

Issue<br />

Ανάπτυξη της Κυβερνοασφάλειας<br />

στην Εφοδιαστική Αλυσίδα<br />

Πως η NIS2 Διασφαλίζει την Ασφάλεια<br />

των Κρίσιμων Τομέων;<br />

ο 2021, μια πλημμύρα από επιθέσεις<br />

Τ<br />

ransomware έπληξε εκατοντάδες εταιρείες<br />

σε όλο τον κόσμο. Μια αλυσίδα παντοπωλείων,<br />

ένας δημόσιος ραδιοτηλεοπτικός φορέας,<br />

σχολεία και ένα εθνικό σιδηροδρομικό<br />

σύστημα χτυπήθηκαν από το κακόβουλο λογισμικό κρυπτογράφησης<br />

αρχείων, προκαλώντας αναστάτωση και αναγκάζοντας<br />

εκατοντάδες επιχειρήσεις να μην μπορούν να λειτουργήσουν.<br />

Τα θύματα είχαν κάτι κοινό: ένα βασικό κομμάτι του<br />

λογισμικού διαχείρισης δικτύου αναπτύχθηκε από την εταιρεία<br />

τεχνολογίας Kaseya. Η εταιρεία αναπτύσσει λογισμικό,<br />

που χρησιμοποιείται για την απομακρυσμένη διαχείριση του<br />

δικτύου και των συσκευών πληροφορικής ενός οργανισμού.<br />

Αυτό το λογισμικό πωλείται σε παρόχους υπηρεσιών οι οποίοι<br />

στη συνέχεια το χρησιμοποιούν για τη διαχείριση των πληροφοριακών<br />

συστημάτων των πελατών τους. Η Kaseya προειδοποίησε<br />

τους πελάτες της να κλείσουν "ΑΜΕΣΑ" τους servers<br />

τους, ενώ η υπηρεσία cloud της αποσύρθηκε εκτός σύνδεσης,<br />

ως προληπτικό μέτρο.Μία από τις μεγαλύτερες απειλές που<br />

αντιμετωπίζουν σήμερα οι οργανισμοί είναι οι επιθέσεις στην<br />

αλυσίδα εφοδιασμού. Ακόμη και αν η εσωτερική ασφάλεια<br />

ενός οργανισμού είναι αυστηρή,<br />

ένα τρίτο μέρος μπορεί μην ανταποκρίνεται<br />

στις απαιτήσεις ασφαλείας,<br />

ανοίγοντας μια διαδρομή για<br />

εκμετάλλευση, από τους εγκληματίες<br />

του κυβερνοχώρου. Σύμφωνα<br />

με την Οδηγία NIS2, οι οργανισμοί<br />

πρέπει να εφαρμόσουν μέτρα για<br />

την ελαχιστοποίηση των κινδύνων,<br />

συμπεριλαμβανομένων εκείνων<br />

που σχετίζονται με τις αλυσίδες<br />

εφοδιασμού και τις σχέσεις με<br />

εξωτερικούς συνεργάτες, όπως<br />

οι άμεσοι προμηθευτές. Συγκεκριμένα,<br />

η Οδηγία τονίζει τα ακόλουθα:<br />

1. Ενίσχυση της Ασφάλειας της Αλυσίδας Εφοδιασμού<br />

- Οι οργανισμοί πρέπει να υιοθετήσουν αυστηρότερες πρακτικές<br />

ασφαλείας στις αλυσίδες εφοδιασμού τους. Αυτό περιλαμβάνει<br />

βελτιωμένα μέτρα για τη διαχείριση περιστατικών,<br />

την ασφάλεια δικτύου, τον έλεγχο πρόσβασης και την κρυπτογράφηση.<br />

Πιο συγκεκριμένα:<br />

• Βελτιωμένα Μέτρα Ασφαλείας: Η οδηγία NIS2<br />

απαιτεί από τις οργανώσεις να υιοθετήσουν αυστηρά<br />

μέτρα κυβερνοασφάλειας. Αυτό βοηθά στην προστασία<br />

των αλυσίδων εφοδιασμού από απειλές, όπως<br />

παραβιάσεις δεδομένων ή χακινγκ, διασφαλίζοντας<br />

την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα<br />

των πληροφοριών της αλυσίδας εφοδιασμού.<br />

• Διαχείριση Κινδύνων: Η οδηγία τονίζει τη σημασία<br />

των πρακτικών διαχείρισης κινδύνων. Αυτό σημαίνει<br />

ότι οι εταιρείες στην αλυσίδα εφοδιασμού πρέπει να<br />

εντοπίσουν, να αξιολογήσουν και να μετριάσουν τους<br />

κινδύνους στην κυβερνοασφάλεια, οδηγώντας σε πιο<br />

ανθεκτικές λειτουργίες.<br />

• Αναφορά Περιστατικών: Η οδηγία NIS2 επιβάλλει<br />

την έγκαιρη αναφορά περιστατικών κυβερνοασφά-<br />

38 security


Nάντια Λιάπη<br />

Director <strong>IT</strong> Services/Governance, Risk & Compliance Services, Space Hellas<br />

www.space.gr<br />

λειας. Αυτό επιτρέπει ταχύτερη ανταπόκριση και ανάκτηση,<br />

μειώνοντας τον αντίκτυπο τέτοιων περιστατικών<br />

στις λειτουργίες της αλυσίδας εφοδιασμού.<br />

• Κοινοποίηση Πληροφοριών: Η οδηγία ενθαρρύνει<br />

την κοινοποίηση πληροφοριών σχετικά με απειλές<br />

και ευπάθειες κυβερνοασφάλειας μεταξύ των οργανισμών.<br />

Αυτή η συνεργατική προσέγγιση μπορεί να<br />

βοηθήσει τις αλυσίδες εφοδιασμού να είναι καλύτερα<br />

προετοιμασμένες και να ανταποκρίνονται πι ο αποτελεσματικά<br />

σε κυβερνοαπειλές.<br />

• Συμμόρφωση και Πρότυπα: Συμμορφούμενες με<br />

την NIS2, οι οντότητες της αλυσίδας εφοδιασμού<br />

ακολουθούν τυποποιημένες πρακτικές κυβερνοασφάλειας.<br />

Αυτή η ενιαία προσέγγιση μπορεί να διευκολύνει<br />

πιο ομαλές αλληλεπιδράσεις και ολοκληρώσεις μεταξύ<br />

διαφορετικών μερών στην αλυσίδα εφοδιασμού.<br />

• Ενισχυμένη Εμπιστοσύνη: Καθώς όλα τα μέρη στην<br />

αλυσίδα εφοδιασμού τηρούν υψηλά πρότυπα κυβερνοασφάλειας,<br />

αυτό χτίζει εμπιστοσύνη μεταξύ τους.<br />

Αυτό είναι ουσιαστικό για την ομαλή λειτουργία των<br />

αλυσίδων εφοδιασμού, ιδιαίτερα σε τομείς όπως οι<br />

χρηματοπιστωτικές υπηρεσίες, η υγεία και οι απαραίτητες<br />

υπηρεσίες.<br />

• Επιχειρησιακή Συνέχεια: Διασφαλίζοντας την κυβερνοασφάλεια,<br />

η NIS2 βοηθά στη διατήρηση της<br />

συνέχειας των επιχειρησιακών λειτουργιών εντός<br />

της αλυσίδας εφοδιασμού. Αυτό είναι ζωτικό για τη<br />

σταθερότητα και την αξιοπιστία των διαδικασιών της<br />

αλυσίδας εφοδιασμού.<br />

2. Ασφάλεια σε Σχέση με τους Προμηθευτές - Επιπλέον,<br />

αναγνωρίζοντας ότι οι απειλές στον κυβερνοχώρο μπορούν<br />

να προέρχονται από τρίτους παρόχους ή υπεργολάβους, η<br />

οδηγία απαιτεί από τους οργανισμούς να διασφαλίζουν ότι οι<br />

προμηθευτές τους ακολουθούν τα κατάλληλα πρότυπα<br />

και πρακτικές ασφαλείας και παρακολουθούν τακτικά την<br />

απόδοση και τη συμμόρφωσή τους.<br />

Οι εταιρείες πρέπει να επιλέξουν μέτρα ασφαλείας που είναι<br />

κατάλληλα για τις ευπάθειες κάθε άμεσου προμηθευτή.<br />

Επιπλέον, πρέπει να αξιολογήσουν το συνολικό επίπεδο<br />

ασφαλείας όλων των προμηθευτών τους, διασφαλίζοντας<br />

έτσι μια ολοκληρωμένη προσέγγιση στη διαχείριση των κινδύνων<br />

της αλυσίδας εφοδιασμού. Αυτές οι απαιτήσεις τονίζουν<br />

τη δέσμευση της Οδηγίας NIS2 στην ενίσχυση της<br />

κυβερνοασφάλειας σε όλες τις πτυχές της λειτουργίας<br />

ενός οργανισμού, ιδίως στο πλαίσιο της διαχείρισης της<br />

αλυσίδας εφοδιασμού και της εμπλοκής τους με τους εξωτερικούς<br />

συνεργάτες.<br />

Προκλήσεις ασφάλειας εφοδιαστικής αλυσίδας<br />

Ορισμένες πιθανές προκλήσεις που ενδέχεται να αντιμετωπίσουν<br />

οι Οργανισμοί για την ασφάλεια της αλυσίδας εφοδιασμού<br />

είναι:<br />

• Η έλλειψη ελέγχου ή διαφάνειας στις πρακτικές, τις<br />

πολιτικές ή τα περιστατικά ασφαλείας των προμηθευτών.<br />

• Η έλλειψη εμπιστοσύνης ή συνεργασίας μεταξύ των<br />

προμηθευτών και του οργανισμού<br />

• Η έλλειψη συνέπειας ή ευθυγράμμισης στα πρότυπα,<br />

τις απαιτήσεις ή τις προσδοκίες ασφαλείας στο σύνολο<br />

της αλυσίδας εφοδιασμού.<br />

• Η έλλειψη πόρων ή δυνατοτήτων για την παρακολούθηση,<br />

τον έλεγχο ή την επαλήθευση της απόδοσης<br />

ασφάλειας ή της συμμόρφωσης των προμηθευτών.<br />

• Η έλλειψη σχεδίων έκτακτης ανάγκης ή εφεδρικών<br />

λύσεων για τον μετριασμό ή την ανάκαμψη από τυχόν<br />

διαταραχές της αλυσίδας εφοδιασμού σας.<br />

Τι μέτρα θα μπορούσε να λάβει ένας οργανισμός<br />

για να ανταποκριθεί στις απαιτήσεις, για τους<br />

προμηθευτές;<br />

• Η σύναψη σαφών συμβάσεων με τους προμηθευτές<br />

που καθορίζουν τις υποχρεώσεις και τις ευθύνες που<br />

αφορούν στην ασφάλεια και τι συμμόρφωση με τις<br />

οδηγίες και τα διεθνή πρότυπα.<br />

• Η ανάπτυξη κοινών κριτηρίων ασφάλειας, κατευθυντήριων<br />

γραμμών ή πλαισίων, που ισχύουν για<br />

όλους τους προμηθευτές στην αλυσίδα εφοδιασμού<br />

και ευθυγραμμίζονται με τις απαιτήσεις της οδηγίας.<br />

• Η συχνή εφαρμογή ελέγχων ασφαλείας, στις δραστηριότητες<br />

και την κατάσταση συμμόρφωσης των<br />

προμηθευτών.<br />

• Η δημιουργία κοινών ομάδων ασφαλείας, που διευκολύνουν<br />

την ανταλλαγή πληροφοριών, τη συνεργασία<br />

και τον συντονισμό μεταξύ των προμηθευτών<br />

και του οργανισμού.<br />

• Η δημιουργία εμπιστοσύνης και αμοιβαίας κατανόησης<br />

με τους προμηθευτές μέσω τακτικής επικοινωνίας<br />

και ανατροφοδότησης.<br />

Η ασφάλεια της εφοδιαστικής αλυσίδας είναι ένα σύνθετο και<br />

δύσκολο ζήτημα που περιλαμβάνει πολλαπλούς παράγοντες,<br />

εξαρτήσεις και διασυνδέσεις — και δεν μπορεί να επιτευχθεί<br />

εν μία νυκτί. Η συμμόρφωση με την οδηγία NIS2, θα βοηθήσει<br />

ιδιαίτερα τους οργανισμούς, να ενισχύσουν την ασφάλεια<br />

τους, διασφαλίζοντας ότι η αλυσίδα εφοδιασμού είναι ασφαλής<br />

και ανθεκτική.<br />

security<br />

39


T<strong>82</strong>11/12.2023<br />

Issue<br />

Ψηφιακή Ασφάλεια στην Εφοδιαστική<br />

Αλυσίδα<br />

ι επιθέσεις στην εφοδιαστική αλυσίδα δεν<br />

Ο<br />

είναι νέο φαινόμενο και συχνά αποφέρουν<br />

τεράστια κέρδη στους κυβερνοεγκληματίες<br />

και τους κακοποιούς. Σύμφωνα με μία σχετικά<br />

πρόσφατη έρευνα της Sophos στην οποία<br />

συμμετείχαν διευθυντές τμημάτων πληροφορικής από 26<br />

χώρες, ένα στα δέκα περίπου θύματα του ransomware (9%)<br />

δήλωσε ότι οι κυβερνοεγκληματίες εισήλθαν στο εταιρικό<br />

δίκτυο μέσω ενός έμπιστου τρίτου μέρους (προμηθευτή ή<br />

συνεργάτη). Και αυτό βεβαίως είναι ιδιαιτέρως ανησυχητικό.<br />

Τι είναι όμως μία επίθεση στην εφοδιαστική αλυσίδα και πως<br />

μπορεί η εταιρεία σας να προστατευτεί και να αποφύγει τις<br />

συντριπτικές ορισμένες φορές επιπτώσεις της;<br />

Επιθέσεις στην εφοδιαστική αλυσίδα<br />

Για την διαχείριση ενός μέρους ή του συνόλου μίας συγκεκριμένης<br />

επιχειρηματικής λειτουργίας (π.χ. logistics, ΙΤ<br />

monitoring) πολλοί οργανισμοί συνεργάζονται με τρίτους,<br />

όπως με εξωτερικές εταιρείες και προμηθευτές. Αν και η δυνατότητα<br />

σύνδεσης τους στο εταιρικό δίκτυο έχει τα οφέλη<br />

της στην επιχειρηματική λειτουργία και στις διαδικασίες (π.χ.<br />

απελευθέρωση εσωτερικών πόρων κ.ά.) εντούτοις εισάγει<br />

σημαντικούς κινδύνους για την ασφάλεια. Στην περίπτωση<br />

μίας τέτοιας επίθεσης, οι κακοποιοί δεν επιχειρούν να παρεισδύσουν<br />

απευθείας από εσάς αλλά εκμεταλλεύονται την<br />

πρόσβαση που έχουν ήδη έμπιστες τρίτες εταιρείες και προμηθευτές<br />

στα συστήματά σας.<br />

Οι… τρίτοι<br />

Οι πάροχοι υπηρεσιών πληροφορικής ή άλλων επαγγελματικών<br />

υπηρεσιών είναι οι συνηθέστεροι εξωτερικοί συνεργάτες<br />

με δυνατότητα σύνδεσης στο δίκτυο ενός οργανισμού.<br />

Πολλοί οργανισμοί και εταιρείες χρησιμοποιούν εξωτερικές<br />

εταιρείες για τη διαχείριση κάποιων τμημάτων ή ακόμα και<br />

του συνόλου μίας επιχειρηματικής λειτουργίας όταν δεν διαθέτουν<br />

εσωτερικά κάποιο τμήμα με τις εξειδικευμένες δεξιότητες<br />

και γνώσεις που απαιτούνται (π.χ. logistics). Οι πάροχοι<br />

υπηρεσιών πληροφορικής ανήκουν επίσης στην ίδια λίστα.<br />

Πρόκειται για εταιρείες στις οποίες έχει ανατεθεί η διαχείριση<br />

της υποδομής <strong>IT</strong> ενός οργανισμού ή και η ασφάλεια της.<br />

Τέτοιες εταιρείες είναι συνήθως πάροχοι διαχειριζόμενων<br />

υπηρεσιών (MSPs) ή πάροχοι διαχειριζόμενων υπηρεσιών<br />

ασφαλείας (MSSPs) και έχει παρατηρηθεί ότι συχνά αποτελούν<br />

βασικούς στόχους επιθέσεων. Οι παραπάνω εταιρείες<br />

αποτελούν ιδιαίτερα ελκυστικούς στόχους για τους κυβερνοεγκληματίες<br />

επειδή στις περισσότερες περιπτώσεις<br />

έχουν στην κατοχή τους τα «κλειδιά» για τα εταιρικά δίκτυα<br />

πολλών διαφορετικών πελατών-εταιρειών. Λαμβάνοντας<br />

40 security


Γιώργος Καπανίρης<br />

Executive Director, NSS<br />

www.nss.gr<br />

υπόψη ότι ο αριθμός των οργανισμών που αναθέτουν την<br />

ασφάλεια πληροφορικής τους σε εξωτερικούς συνεργάτες<br />

αναμένεται να αυξηθεί στο 72%, η στάση ασφαλείας του<br />

τρίτου μέρους είναι υψίστης σημασίας για την ασφάλεια του<br />

οργανισμού σας.<br />

Τύποι επίθεσης<br />

Αν και οι επιθέσεις στην εφοδιαστική αλυσίδα διαφέρουν ως<br />

προς τον τρόπο με τον οποίο πραγματοποιούνται, ο στόχος για<br />

τους επιτιθέμενους είναι στην πλειονότητα των περιπτώσεων<br />

ο ίδιος: να παρεισδύσουν, εκμεταλλευόμενοι κάποια ευπάθεια<br />

στα συστήματα του εξωτερικού συνεργάτη η παρόχου και να<br />

καταχραστούν την έμπιστη πρόσβαση που απολαμβάνει για να<br />

εμφυτεύσουν κακόβουλο λογισμικό στο δίκτυο του συνεργαζόμενου<br />

οργανισμού, να κλέψουν πνευματική ιδιοκτησία ή να<br />

κατασκοπεύσουν εσωτερικές επικοινωνίες.<br />

• Ηλεκτρονικό ψάρεμα - Ένας από τους συνηθέστερους<br />

φορείς επιθέσεων είναι τα μηνύματα ηλεκτρονικού<br />

ψαρέματος (phishing). Οι επιτιθέμενοι στοχεύουν<br />

το τρίτο μέρος (π.χ. πάροχο, προμηθευτή κ.ά.) με μηνύματα<br />

phishing για να παραβιάσουν κάποιο από τα<br />

συστήματα του και να αποκτήσουν πρόσβαση στο δίκτυο<br />

του. Από εκεί, δεν είναι δύσκολο να διεισδύσουν<br />

στα συστήματα των πελατών τους.<br />

• Μολυσμένες ενημερώσεις λογισμικού - Ένας περισσότερο<br />

εξελιγμένος -και δύσκολα αντιμετωπίσιμος-<br />

τρόπος επίθεσης στην εφοδιαστική αλυσίδα είναι<br />

όταν χρησιμοποιείται μία τυπική ενημέρωση λογισμικού.<br />

Ένας κυβερνοεγκληματίας, αφού παρεισδύσει<br />

στα συστήματα και στο δίκτυο του προμηθευτή, ενός<br />

παρόχου υπηρεσιών ή ενός διανομέα, εισάγει κακόβουλο<br />

κώδικα σε πακέτα ενημέρωσης λογισμικού. Στη<br />

συνέχεια, η συγκεκριμένη εταιρεία διανέμει τις ενημερώσεις<br />

στους πελάτες της μολύνοντας εν αγνοία τους<br />

κατά τη διαδικασία τα συστήματα τους.<br />

• Δηλητηριώδη πακέτα - Ένας λιγότερο συνηθισμένος<br />

τύπος επίθεσης, αν και αναμένεται να μας απασχολήσει<br />

συχνότερα στο μέλλον, είναι αυτός που ονομάζουμε<br />

«δηλητηριώδη πακέτα». Καθώς αυξάνεται η χρήση<br />

του cloud, του Docker και άλλων ευέλικτων μεθοδολογιών<br />

ανάπτυξης-εφαρμογής (deployment), αυξάνεται<br />

και η χρήση έτοιμων στοιχείων (components)<br />

για τη συντόμευση του κύκλου ανάπτυξης. Οι κακόβουλοι<br />

φορείς έχουν αρχίσει να παγιδεύουν ορισμένα<br />

κοινόχρηστα containers, βιβλιοθήκες και άλλους<br />

πόρους με την ελπίδα να τα ενσωματώσετε στο προϊόν<br />

σας (π.χ. στην διαδικτυακή εφαρμογή σας).<br />

Πως να αμυνθείτε;<br />

Δεδομένης της πολυπλοκότητας και της φύσης των επιθέσεων<br />

στην εφοδιαστική αλυσίδα, είναι αρκετά δύσκολες στην<br />

αντιμετώπισή τους. Παρόλα αυτά, υπάρχουν μέτρα που μπορεί<br />

να πάρει ένας οργανισμός.<br />

1.Μεταβείτε από την αντιδραστική σε μία προληπτική<br />

προσέγγιση στην κυβερνοασφάλεια - Το κακό της υπόθεσης<br />

είναι ότι μόλις μία επίθεση γίνει αντιληπτή, συνήθως<br />

είναι ήδη πολύ αργά: ο κακοποιός έχει ήδη εγκαταστήσει κακόβουλο<br />

λογισμικό και έχει κλέψει κρίσιμης σημασίας εταιρικά<br />

δεδομένα καθώς ενδέχεται να βρισκόταν για μέρες εντός<br />

του εταιρικού δικτύου χωρίς να γίνει αντιληπτός. Επομένως,<br />

είναι απαραίτητο να αλλάξετε τη νοοτροπία σας: θα πρέπει να<br />

υποθέτετε ότι είστε πάντα εκτεθειμένοι και να προβαίνετε σε<br />

κυνήγι απειλών σχεδόν καθημερινά. Σήμερα, υπάρχουν τεχνολογίες<br />

και υπηρεσίες που μπορούν να υποστηρίξουν αυτή<br />

την προσέγγιση όπως μπορείτε να διαβάσετε και παρακάτω.<br />

2.Παρακολούθηση δεικτών παραβίασης - Σύμφωνα<br />

με έρευνες που έχει διεξάγει η ομάδα Threat Detection &<br />

Response της Sophos, δύο πράγματα έχουν ξεχωρίσει ως<br />

πρώτες ενδείξεις παραβίασης: το ένα είναι η χρήση διαπιστευτηρίων<br />

για απομακρυσμένη πρόσβαση ή για λόγους διαχείρισης<br />

κατά τις ώρες εκτός λειτουργίας της εταιρείας και<br />

το άλλο είναι η κατάχρηση των εργαλείων διαχείρισης συστήματος<br />

για την παρακολούθηση και την εξαγωγή δεδομένων<br />

από το εταιρικό δίκτυο. Σε αντίθεση με τις παραδοσιακές<br />

επιθέσεις με κακόβουλο λογισμικό (malware) που αξιοποιούν<br />

αρχεία υπογραφών για την εκτέλεση του σχεδίου της, οι<br />

επιθέσεις χωρίς αρχεία (fileless) που πραγματοποιούνται με<br />

τη χρήση νόμιμων λογαριασμών και τη χρήση των δικών σας<br />

εργαλείων για την απόκτηση και τη διατήρηση «επιμονής»<br />

(persistence) στο δίκτυο σας αναφέρονται συχνά ως Living<br />

Off the Land (LOL ή LOTL). Οι συγκεκριμένες επιθέσεις δεν<br />

απαιτούν την εγκατάσταση κάποιου script ή κώδικα. Αν και<br />

security<br />

41


T<strong>82</strong>11/12.2023<br />

Issue<br />

Endpoint Detection & Response (EDR)<br />

Μία τεχνολογία που επιτρέπει την καταδίωξη απειλών οι λύσεις<br />

EDR (Endpoint Detection & Response). Το EDR, που συη<br />

ανίχνευση των συγκεκριμένων συμπεριφορών απαιτεί<br />

επαγρύπνηση και δεξιότητα, ένας εκπαιδευμένος αναλυτής<br />

ασφαλείας μπορεί να τις διακρίνει με σαφήνεια και μπορεί να<br />

σας προειδοποιήσει για την επίθεση προτού προκληθεί σημαντική<br />

ζημιά. Αυτό που λοιπόν μπορείτε να κάνετε εσείς είναι<br />

να επενδύσετε σε τεχνολογία και εκπαίδευση για την παρακολούθηση<br />

των συγκεκριμένων δεικτών παραβίασης στο<br />

εσωτερικό του οργανισμού σας ή να αναθέσετε αυτή τη δουλειά<br />

σε έναν πάροχο διαχειριζόμενων υπηρεσιών ανίχνευσης<br />

(εντοπισμού) και απόκρισης (MDR) για λογαριασμό σας.<br />

Η υπηρεσία Sophos MDR, αν «κλίνετε» προς αυτή την προσέγγιση<br />

είναι ότι καλύτερο υπάρχει σε παγκόσμια κλίμακα.<br />

3.Προβείτε σε ελέγχους στην εφοδιαστική αλυσίδα -<br />

Αφού χαρτογραφήσετε με ποιους παρόχους ή τρίτες εταιρείες<br />

είστε συνδεδεμένοι, μπορείτε να εξετάσετε και να αξιολογήσετε<br />

τον τύπο πρόσβασης που έχουν στο δίκτυο σας και<br />

σε ποιες πληροφορίες επιτρέπεται να έχουν πρόσβαση με τη<br />

χρήση των συγκεκριμένων διαπιστευτηρίων. Αν πρόκειται για<br />

κάτι περισσότερο από το ελάχιστο, είναι καιρός να κλειδώσετε<br />

την πρόσβαση και να την περιορίσετε στα απολύτως απαραίτητα.<br />

Ακολουθήστε την τακτική των «ελάχιστων προνομίων».<br />

4.Αξιολογήστε τη στάση ασφαλείας των προμηθευτών<br />

και των επιχειρηματικών σας εταίρων - Υπάρχουν πολλές<br />

προσεγγίσεις για την πραγματοποίηση μιας αξιολόγησης,<br />

αλλά μια δημοφιλής προσέγγιση για τους μεγάλους παρόχους<br />

υπηρεσιών, τους παρόχους υπηρεσιών υπολογιστικού<br />

ή αποθηκευτικού νέφους και τους επεξεργαστές πληρωμών<br />

είναι να προσδιορίσετε σε ποιες και τι είδους πιστοποιήσεις<br />

και ελέγχους υπόκεινται .<br />

5.Να επανεξετάζετε διαρκώς τις διαδικασίες ασφάλειας<br />

πληροφορικής σας - Αν και η στάση ασφαλείας των<br />

προμηθευτών σας είναι κρίσιμης σημασίας για την προστασία<br />

σας από επιθέσεις στην εφοδιαστική αλυσίδα, μην αμελείτε<br />

και τη δική σας «υγιεινή» όσον αφορά την κυβερνοασφάλεια.<br />

Πολλοί οργανισμοί την αγνοούν είτε επειδή δεν γνωρίζουν<br />

από πού να ξεκινήσουν είτε επειδή πιστεύουν ότι δεν είναι<br />

αρκετά σημαντικοί για να στοχοποιηθούν μέσω μίας παραβίασης<br />

σε έναν έμπιστο συνεργάτη.<br />

6.Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών<br />

παραγόντων (MFA) - Οι περισσότεροι οργανισμοί πέφτουν<br />

θύματα επίθεσης στην εφοδιαστική αλυσίδα μέσω κλεμμένης,<br />

αλλά εξουσιοδοτημένης πρόσβασης. Στους παρόχους<br />

υπηρεσιών μάλιστα, αποτελεί κοινή πρακτική να παρέχονται<br />

διαπιστευτήρια που έχουν τα ίδια δικαιώματα και προνόμια<br />

με τους εσωτερικούς υπαλλήλους. Και αυτό, με λίγα λόγια,<br />

σημαίνει ότι δεν είναι υποχρεωμένοι να χρησιμοποιούν έλεγχο<br />

ταυτότητας πολλαπλών παραγόντων, με όλες τις γνωστές<br />

συνέπειες. Αφήστε λοιπόν το SSO (Single Sign-On) που μπορεί<br />

να χρησιμοποιηθεί καταχρηστικά για πρόσβαση σε οποιοδήποτε<br />

σύστημα και ενεργοποιήστε το MFA.<br />

7.Να ελέγχετε την πρόσβαση και τα προνόμια προμηθευτών<br />

και εφαρμογών - Ένα άλλο συνηθισμένο λάθος<br />

είναι η παροχή VPN, RDP ή άλλης τεχνολογίας απομακρυσμένης<br />

πρόσβασης σε τρίτους ώστε να μπορούν να διαχειρίζονται<br />

διάφορες λειτουργίες. Δυστυχώς, αυτή η πρόσβαση<br />

είναι απεριόριστη και για ολόκληρο το εταιρικό δίκτυο, αντί<br />

σε κάποιο τμήμα ή στα απολύτως απαραίτητα για τη δουλειά<br />

τους δεδομένα. Και κάτι τέτοιο, όπως είναι κατανοητό, εγκυμονεί<br />

τεράστιο κίνδυνο. Όλα τα εργαλεία απομακρυσμένης<br />

πρόσβασης πρέπει να απαιτούν έλεγχο ταυτότητας πολλαπλών<br />

παραγόντων και να περιορίζονται σε μεμονωμένους<br />

κεντρικούς υπολογιστές ή συστήματα.<br />

Τεχνολογία και υπηρεσίες<br />

H άμυνα ενάντια στις επιθέσεις στην εφοδιαστική αλυσίδα<br />

είναι από τη φύση της πολύπλοκη και αφορά περισσότερο<br />

τη διαχείριση του κινδύνου που συνδέεται με αυτές και τον<br />

μετριασμό του πλήγματος παρά με οτιδήποτε άλλο. Ευτυχώς,<br />

υπάρχουν διαθέσιμες τεχνολογίες και υπηρεσίες που<br />

μπορούν να σας βοηθήσουν να αντιμετωπίσετε τέτοιες καταστάσεις.<br />

Καταδίωξη απειλών<br />

Όπως αναφέρθηκε και παραπάνω, πρέπει να στραφείτε σε<br />

μια προληπτική προσέγγιση στην κυβερνοασφάλεια για να<br />

προστατεύσετε τον οργανισμό σας από επιθέσεις στην αλυσίδα<br />

εφοδιασμού. Η καταδίωξη απειλών είναι μια εξαιρετική<br />

πρακτική που πρέπει να υιοθετήσετε.<br />

42 security


νήθως ενσωματώνεται σε πλατφόρμες προστασίας τερματικών,<br />

συνδυάζει συνεχή παρακολούθηση σε πραγματικό χρόνο<br />

και δεδομένα τερματικών με δυνατότητες αυτοματοποιημένης<br />

απόκρισης και ανάλυσης. Το Sophos Intercept X με EDR περιλαμβάνει<br />

ισχυρές λειτουργίες EDR. Είναι το πρώτο προϊόν που<br />

σχεδιάστηκε για αναλυτές ασφαλείας και για διαχειριστές πληροφορικής<br />

και σας παρέχει όλα τα εργαλεία που χρειάζεστε<br />

για «καταδίωξη» απειλών (threat hunting) και την ενίσχυση<br />

της υγιεινής των λειτουργιών ασφάλειας πληροφορικής σας.<br />

Διαχειριζόμενες υπηρεσίες εντοπισμού και<br />

απόκρισης (MDR)<br />

Οι πιο καταστροφικές απειλές είναι γενικότερα όσες καθοδηγούνται<br />

από άνθρωπο. Αν και η τεχνολογία, ιδίως τα εργαλεία<br />

καταδίωξης απειλών, όπως το EDR, διαδραματίζει σημαντικό<br />

ρόλο, εξακολουθούν να απαιτούνται έμπειροι χειριστές.<br />

Μια προσέγγιση στην καταδίωξη απειλών που βρίσκεται υπό<br />

την καθοδήγηση του ανθρώπου είναι η συνεργασία με μια<br />

υπηρεσία MDR. Η βραβευμένη υπηρεσία MDR της Sophos<br />

περιλαμβάνει μια εξειδικευμένη ομάδα εμπειρογνωμόνων<br />

κυβερνοασφάλειας, Sophos Threat Detection & Response<br />

Team, που συνεργάζονται με την ομάδα σας και οι οποίοι εργάζονται<br />

όλο το εικοσιτετράωρο για να καταδιώκουν, να επικυρώνουν<br />

και να αποκαθιστούν προληπτικά πιθανές απειλές<br />

και περιστατικά για λογαριασμό σας.<br />

ZTNA Ακολουθήστε την προσέγγιση της<br />

μηδενικής εμπιστοσύνης στην κυβερνοασφάλεια<br />

Η εμπιστοσύνη είναι μια επικίνδυνη λέξη στην πληροφορική,<br />

ειδικά όταν αυτή η εμπιστοσύνη παρέχεται ή χορηγείται χωρίς<br />

προσοχή: όταν δηλαδή θεωρείται δεδομένη, υπονοείται και<br />

δεν αμφισβητείται όπως στην περίπτωση της παραχώρησης<br />

πρόσβασης μέσω VPN (Virtual Private Network). Η δημιουργία<br />

μίας κλειστής περιμέτρου όπου τα πάντα εντός του δικτύου<br />

-χρήστες και συσκευές- είναι έμπιστα και πλήρως αξιόπιστα<br />

έχει αποδειχθεί ότι αποτελεί ένα προβληματικό ή στην καλύτερη<br />

περίπτωση ελαττωματικό σχέδιο.<br />

Παρόλα αυτά, πολλά δίκτυα εξακολουθούν να λειτουργούν<br />

κατ’ αυτόν τον τρόπο. Οποιοσδήποτε έχει πρόσβαση στο δίκτυο,<br />

είτε φυσικά είτε μέσω VPN, έχει ευρεία πρόσβαση<br />

σε οτιδήποτε βρίσκεται εντός του δικτύου, ανεξάρτητα από<br />

το ποιος είναι ή την κατάσταση στην οποία βρίσκεται η συσκευή<br />

του. ΠΡΕΠΕΙ ΝΑ ΤΟ ΑΛΛΑΞΕΤΕ ΑΥΤΟ. Πως; Ονομάζεται<br />

ZTNA ή Zero Trust Network Access. Με τη δικτυακή<br />

πρόσβαση μηδενικής εμπιστοσύνης, δεν υπάρχει κάποιος ή<br />

κάτι που να είναι απεριόριστης εμπιστοσύνης. Η εμπιστοσύνη<br />

πρέπει να κερδίζεται διαρκώς. Η μηδενική εμπιστοσύνη βα-<br />

σίζεται στην αρχή του «μην εμπιστεύεστε τίποτα, επαληθεύστε<br />

τα πάντα, διαρκώς» και επικεντρώνεται στην προστασία των<br />

πόρων ανεξάρτητα από το πού βρίσκονται φυσικά ή ψηφιακά.<br />

Με μία λύση δικτυακής πρόσβασης μηδενικής εμπιστοσύνης<br />

όπως το Sophos ZTNA μπορείτε να προστατευτείτε<br />

από επιθέσεις στην εφοδιαστική αλυσίδα που βασίζονται στην<br />

πρόσβαση των προμηθευτών στα συστήματά σας καθώς μπορείτε<br />

να εφαρμόσετε εξαιρετικά αναλυτικούς ελέγχους πρόσβασης.<br />

Η cloud-based λύση της Sophos επικυρώνει την ταυτότητα<br />

του χρήστη, καθώς και την υγεία και τη συμμόρφωση<br />

της συσκευής πριν από τη χορήγηση πρόσβασης σε πόρους.<br />

Επίσης, επικυρώνει αιτήματα από αξιόπιστους συνεργάτες,<br />

ανεξαρτήτως τοποθεσίας.<br />

• Ενισχυμένη ασφάλεια - Το ZTNA εξαλείφει τους<br />

ευάλωτους VPN clients, ενσωματώνει την υγεία της<br />

συσκευής και καταργεί την απεριόριστη εμπιστοσύνη<br />

και την ευρεία πρόσβαση στο δίκτυο που παρέχει το<br />

VPN. Επιτρέπει την αναλυτική πρόσβαση σε πόρους<br />

που ορίζονται από πολιτικές βάσει υγείας και ταυτότητας<br />

για να ενισχύσει τη στάση ασφαλείας σας.<br />

• Εύκολη διαχείριση - Το Sophos ZTNA σχεδιάστηκε για<br />

να κλιμακώνεται γρήγορα και εύκολα, σε αντίθεση με<br />

τα «παλαιάς κοπής» VPNs και είναι cloud-delivered και<br />

cloud-managed μέσω του κέντρου ελέγχου Sophos<br />

Central. Πρόκειται για μία μοναδική, single-agent,<br />

single-console και single-vendor λύση σε συνδυασμό<br />

με το Sophos Intercept X για εύκολη εγκατάσταση<br />

και διαχείριση. Τα δίκτυα VPN δεν θεωρούνται πλέον<br />

ασφαλής μέθοδος απομακρυσμένης πρόσβασης σε ένα<br />

δίκτυο και έχουν αντικατασταθεί με άλλες τεχνολογίες.<br />

• Διαφανής εμπειρία - Το ZTNA λειτουργεί αξιόπιστα<br />

και απρόσκοπτα παντού χωρίς να μπαίνει στη μέση<br />

ή να δημιουργεί προβλήματα στους χρήστες σας.<br />

Οι τελευταίοι δεν θα καταλάβουν καν ότι υπάρχει,<br />

πράγμα που σημαίνει λιγότερες κλήσεις υποστήριξης<br />

και λιγότερους πονοκεφάλους για την ομάδα υποστήριξης<br />

σας.<br />

Το ZTNA παρέχει μια εξαιρετική εναλλακτική λύση σε σχέση<br />

με τα VPN απομακρυσμένης πρόσβασης, καθώς μπορεί να<br />

προσφέρει πολύ αναλυτικούς ελέγχους σχετικά με το ποιος<br />

μπορεί να έχει πρόσβαση σε τι - κάτι που είναι ζωτικής σημασίας<br />

για την προστασία από επιθέσεις στην αλυσίδα εφοδιασμού.<br />

Το τοπίο των απειλών έχει εξελιχθεί και η παραβίαση<br />

της αλυσίδας εφοδιασμού αποτελεί ζήτημα για όλους τους<br />

οργανισμούς, μικρούς και μεγάλους. Όλοι είμαστε στόχοι<br />

στην εφοδιαστική αλυσίδα κάποιου - και ποτέ δεν ήταν πιο<br />

σημαντικό να ελαχιστοποιήσετε τους κινδύνους.<br />

security<br />

43


T<strong>82</strong>11/12.2023<br />

Issue<br />

Πώς να εντοπίσετε, να μειώσετε και<br />

να αποτρέψετε τους κινδύνους της<br />

εφοδιαστικής αλυσίδας<br />

αθώς οι επιθέσεις στον κυβερνοχώρο και<br />

Κ<br />

οι παραβιάσεις της ασφάλειας έχουν αυξηθεί<br />

τα τελευταία χρόνια, η διαχείριση των<br />

κινδύνων της ψηφιακής αλυσίδας εφοδιασμού<br />

γίνεται πιο δύσκολη. Οι εγκληματίες<br />

του κυβερνοχώρου εκμεταλλεύονται τα τρωτά σημεία στο<br />

οικοσύστημα λιγότερο ασφαλών προμηθευτών και τρίτων<br />

προμηθευτών για να αποκτήσουν πρόσβαση σε μεγαλύτερα<br />

ιδρύματα. Αυτά τα ιδρύματα πρέπει να κοιτάξουν πέρα από<br />

την ωριμότητα της κυβερνοασφάλειας για να είναι επιτυχημένα.<br />

Σε αυτό το άρθρο, θα αναλύσουμε τους 4 κορυφαίους<br />

κινδύνους για την ασφάλεια στον κυβερνοχώρο που αντιμετωπίζουν<br />

ψηφιακές αλυσίδες εφοδιασμού και θα παρέχουμε<br />

πρακτικές συμβουλές για τον μετριασμό τους.<br />

Ποιοι είναι οι πιο συνηθισμένοι κίνδυνοι που<br />

συνδέονται με την εφοδιαστική αλυσίδα;<br />

Οι ψηφιακές αλυσίδες εφοδιασμού αντιμετωπίζουν σημαντικές<br />

προκλήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και<br />

την ασφάλεια στον κυβερνοχώρο. Ακολουθούν τέσσερις τύποι<br />

κινδύνου της εφοδιαστικής αλυσίδας που πρέπει να γνωρίζετε:<br />

1.Νομικοί κίνδυνοι - Οι αλυσίδες εφοδιασμού βασίζονται<br />

σε μεγάλο βαθμό σε συμβατικές σχέσεις. Η διαδικασία αγοράς,<br />

παραγωγής, πώλησης και αποστολής αγαθών υποστηρίζεται<br />

από νομικές συμφωνίες και ως εκ τούτου, οι αλυσίδες<br />

εφοδιασμού είναι ευάλωτες σε νομικούς κινδύνους. Η<br />

συνεργασία με τρίτους αυξάνει τον κίνδυνο λανθασμένου<br />

χειρισμού δεδομένων ή λανθασμένης αποθήκευσης, γεγονός<br />

που μπορεί να θέσει σε κίνδυνο τα προσωπικά στοιχεία<br />

των πελατών. Αυτό αφήνει την επιχείρηση υπεύθυνη για<br />

ακριβά πρόστιμα και νομικές χρεώσεις.<br />

2. Οικονομικοί κίνδυνοι - Οι επιχειρήσεις μπορούν επίσης<br />

να αντιμετωπίσουν οικονομικούς κινδύνους, πολλοί<br />

από τους οποίους οφείλονται στην οικονομική αστάθεια των<br />

προμηθευτών ή την πλήρη χρεοκοπία, αλλά και σε οικονομικές<br />

επιβαρύνσεις που μπορεί να αποτελούν συνέπεια μιας<br />

κυβερνοεπίθεσεις.<br />

3. Προγραμματισμός κινδύνων - Ενώ ζητήματα που σχετίζονται<br />

με τη δήλωση εργασίας είναι κοινές αιτίες κινδύνου<br />

προγραμματισμού, υπάρχουν λιγότερο συχνά ζητήματα που<br />

μπορούν επίσης να δημιουργήσουν καθυστερήσεις. Στον σημερινό<br />

ψηφιακό κόσμο, περισσότερα από τα φυσικά αντικείμενα<br />

γύρω μας αποτελούν πλέον μέρος του Internet of<br />

Things (IoT). Αλλά με τα πρόσθετα πλεονεκτήματα του ψηφιακού<br />

ελέγχου του εξοπλισμού και των διαδικασιών υπάρχει ο<br />

πρόσθετος κίνδυνος αποτυχίας εάν δεν ασφαλιστούν σωστά.<br />

Οι εκμεταλλευόμενες ευπάθειες του εξοπλισμού κατασκευής<br />

ή συσκευασίας μπορούν να κλείσουν βασικά μέρη μιας αλυσίδας<br />

εφοδιασμού για εκτεταμένες χρονικές περιόδους.<br />

4. Περιβαλλοντικοί κίνδυνοι - Οι επιχειρήσεις θεωρούνται<br />

υπεύθυνες για τις δικές τους περιβαλλοντικές επιπτώσεις,<br />

καθώς και για τις επιπτώσεις των πωλητών τους και<br />

άλλων τρίτων συνεργατών. H αύξηση της χρήσης τεχνητής<br />

νοημοσύνης, η μηχανική μάθηση, το cloud computing και ο<br />

αυτοματισμός είναι απαραίτητες για τις επιχειρήσεις που θέλουν<br />

να μειώσουν τις περιβαλλοντικές επιπτώσεις τους, η διευρυμένη<br />

χρήση αυτών των τεχνολογιών μπορεί να ανοίξει<br />

την πόρτα σε πρόσθετες ευπάθειες στον κυβερνοχώρο, εάν<br />

δεν προστατεύεται σωστά.<br />

Πώς να μειώσετε τους κινδύνους της<br />

εφοδιαστικής αλυσίδας στον κυβερνοχώρο<br />

Τώρα που περιγράψατε τους τύπους των κινδύνων, το επόμενο<br />

βήμα είναι να αξιολογήσετε ποιοι κίνδυνοι για την ασφά-<br />

44 security


Λάμπρος Κατσώνης<br />

Solutions Director, GUARDBYTE<br />

www.guardbyte.com.cy<br />

λεια στον κυβερνοχώρο ισχύουν για την ψηφιακή αλυσίδα<br />

εφοδιασμού μιας επιχείρησης και να δημιουργήσετε ένα<br />

σχέδιο για μετριασμό αυτών των κινδύνων προς τα εμπρός.<br />

1. Προσδιορισμός, αξιολόγηση και αντιμετώπιση κινδύνων<br />

προμηθευτών - Ο Μετριασμός του κινδύνου ξεκινά με<br />

την κατανόηση των κινδύνων που αντιμετωπίζουν οι προμηθευτές<br />

σας. Οι επιχειρήσεις πρέπει πρώτα να προσδιορίσουν<br />

από ποιους κινδύνους είναι πιο πιθανό να επηρεαστούν οι<br />

υπάρχοντες προμηθευτές τους και πόση ζημιά θα μπορούσε<br />

να υποστεί η επιχείρηση σε περίπτωση εκμετάλλευσης αυτών<br />

των κινδύνων. Η υποστήριξη των υφιστάμενων σχέσεων προμηθευτών<br />

θα πρέπει να αποτελεί προτεραιότητα νούμερο ένα<br />

πριν προχωρήσουμε στην αξιολόγηση νέων συνεργασιών. Οι<br />

σημερινοί προμηθευτές σας εφαρμόζουν καλή ψηφιακή υγιεινή;<br />

Πώς προστατεύονται τα δεδομένα των πελατών τους; Ποια<br />

είναι μερικά σενάρια που θα μπορούσαν να δημιουργήσουν<br />

αναστάτωση στους προμηθευτές σας;<br />

2. Εξασφαλίστε την ποιότητα του προμηθευτή - Στη συνέχεια,<br />

πραγματοποιήστε ένα ερωτηματολόγιο για να αξιολογήσετε<br />

την ποιότητα των προμηθευτών, συμπεριλαμβανομένης<br />

της ψηφιακής τους ωριμότητας. Ποια είναι τα πρότυπα<br />

και οι πρακτικές για την πολιτική τους για την ασφάλεια στον<br />

κυβερνοχώρο; Ποιος είναι υπεύθυνος για τη διαχείριση της<br />

πολιτικής ασφάλειας πληροφοριών και απορρήτου; Η απάντηση<br />

σε αυτές τις σημαντικές ερωτήσεις (και σε άλλες) θα<br />

αποτρέψει την επιχείρησή σας από το να ανακαλύψει κινδύνους<br />

τρίτων στο μέλλον.<br />

3. Διαφοροποιήστε τους προμηθευτές - Μπορεί να παρασχεθεί<br />

ένα επιπλέον επίπεδο ασφάλειας δημιουργώντας<br />

ποικιλία προμηθευτών, ειδικά για τα πιο σημαντικά στοιχεία<br />

της επιχείρησης. Εάν υπάρχει μόνο ένας προμηθευτής που<br />

παρέχει έναν ιδιαίτερα κρίσιμο πόρο και αυτός δεν λειτουργεί<br />

λόγω επίθεσης κακόβουλου λογισμικού, έχει η εταιρεία<br />

ένα αντίγραφο ασφαλείας;<br />

4. Σκεφτείτε τη βαθμίδα προμηθευτή - Με βαθμίδες προμηθευτών,<br />

οι προμηθευτές ταξινομούνται ανάλογα με το επίπεδο<br />

κινδύνου ασφάλειας που παρουσιάζουν σε έναν οργανισμό.<br />

Όσο λιγότερο κρίσιμος είναι ο κίνδυνος για την ασφάλεια<br />

στον κυβερνοχώρο, τόσο χαμηλότερο είναι το επίπεδο.<br />

Για κάθε προμηθευτή, ποιος θα ήταν ο οικονομικός και χρονικός<br />

αντίκτυπος στην επιχείρηση, εάν ξαφνικά αδυνατεί να<br />

παρέχει τις υπηρεσίες του;<br />

5. Αξιολογήστε τακτικά τους κινδύνους των προμηθευτών-<br />

Τέλος, καθώς οι κίνδυνοι δεν παραμένουν συνεπείς<br />

και αμετάβλητοι με την πάροδο του χρόνου, αυτές οι<br />

αξιολογήσεις θα πρέπει να συνεχίζονται σε τακτική, επαναλαμβανόμενη<br />

βάση για να διασφαλίζεται ότι οι νέοι κίνδυνοι<br />

αποτυπώνονται με ακρίβεια προτού προλάβουν να γίνουν<br />

προβληματικοί. Η διεξαγωγή αξιολογήσεων ρουτίνας διαχείρισης<br />

κινδύνου προμηθευτή θα βοηθήσει την επιχείρησή<br />

σας να εντοπίσει, να αξιολογήσει και να μετριάσει καλύτερα<br />

τυχόν κινδύνους προμηθευτών που διαφορετικά θα μπορούσαν<br />

να περάσουν απαρατήρητοι.<br />

Πώς η <strong>Security</strong>Scorecard μπορεί να βοηθήσει<br />

στην πρόληψη κινδύνων της ψηφιακής<br />

αλυσίδας εφοδιασμού<br />

Μόλις καθορίσετε τους κύριους κινδύνους τρίτων του οργανισμού<br />

σας, ήρθε η ώρα να δημιουργήσετε ένα σύστημα ελέγχου<br />

προμηθευτή και μια διαδικασία επίβλεψης. Και μέρος αυτής<br />

της διαδικασίας επίβλεψης πρέπει να περιλαμβάνει ένα σχέδιο<br />

για τη συνεχή παρακολούθηση κινδύνου από τρίτους. Αν και η<br />

συνεχής παρακολούθηση μπορεί να είναι χρονοβόρα και κουραστική,<br />

υπάρχουν τρόποι αυτοματοποίησης και απλοποίησης<br />

της διαδικασίας. Παρέχοντας προηγμένες αξιολογήσεις ασφαλείας,<br />

αυτοματοποιημένες αξιολογήσεις, διαχείριση κινδύνου<br />

τρίτων και ολοκληρωμένες αξιολογήσεις ασφαλείας τρίτων, η<br />

<strong>Security</strong>Scorecard βοηθά τις επιχειρήσεις να αναγνωρίσουν<br />

και να παρακολουθούν τις ευπάθειες της ψηφιακής αλυσίδας<br />

εφοδιασμού τους. Η <strong>Security</strong>Scorecard καθιστά δυνατή τη συνεχή<br />

παρακολούθηση όλων των οργανισμών στο πολύπλοκο<br />

οικοσύστημα στο οποίο λειτουργούν οι επιχειρήσεις, βοηθώντας<br />

τους οργανισμούς να ωριμάσουν γρήγορα και αποτελεσματικά<br />

τα προγράμματα διαχείρισης κινδύνου της εφοδιαστικής<br />

αλυσίδας. Μειώνοντας τον φόρτο εργασίας που σχετίζεται<br />

με την παρακολούθηση των κινδύνων της ψηφιακής αλυσίδας<br />

εφοδιασμού, μπορείτε να διασφαλίσετε τη συνέχεια της υπηρεσίας<br />

και την ψηφιακή ασφάλεια χωρίς να θέσετε σε κίνδυνο<br />

τους πόρους που απαιτούνται για την επίτευξη των πρωταρχικών<br />

επιχειρηματικών στόχων.<br />

security<br />

45


T<strong>82</strong>11/12.2023<br />

Issue<br />

Οι Κυβερνοκίνδυνοι που απειλούν την<br />

Εφοδιαστική Αλυσίδα και ο ρόλος<br />

της ασφάλισης Cyber Insurance<br />

Σε μια εποχή που κυριαρχείται από τη διασύνδεση και την ψηφιακή εξάρτηση, οι επιχειρήσεις<br />

βασίζονται σε μεγάλο βαθμό σε περίπλοκες αλυσίδες εφοδιασμού για να διασφαλίσουν την<br />

απρόσκοπτη ροή αγαθών και υπηρεσιών. Ωστόσο, μαζί με αυτή τη διασυνδεσιμότητα έρχεται και μια<br />

αυξημένη ευπάθεια σε απειλές στον κυβερνοχώρο, γεγονός που θέτει τις αλυσίδες εφοδιασμού στο<br />

επίκεντρο πιθανών κυβερνοεπιθέσεων.<br />

κατανόηση του τοπίου των κινδύνων στον<br />

Η<br />

κυβερνοχώρο της αλυσίδας εφοδιασμού και<br />

του καθοριστικού ρόλου της ασφάλισης στον<br />

κυβερνοχώρο είναι απαραίτητη για τις επιχειρήσεις<br />

προκειμένου να διασφαλίσουν τις<br />

δραστηριότητές τους απέναντι στις εξελισσόμενες απειλές<br />

στον κυβερνοχώρο. Οι Κυβερνοκίνδυνοι και η διακοπή<br />

επιχειρηματικής δραστηριότητας αποτελούν κορυφαίες<br />

απειλές της λειτουργίας της εφοδιαστικής αλυσίδας.<br />

Το εξελισσόμενο τοπίο απειλών: Τρωτά σημεία<br />

της αλυσίδας εφοδιασμού<br />

Οι αλυσίδες εφοδιασμού έχουν γίνει ολοένα και πιο πολύπλοκες,<br />

με τη συμμετοχή πολλών μερών, από τους κατασκευαστές<br />

και τους προμηθευτές έως τους παρόχους εφοδιαστικής<br />

και τους διανομείς. Αυτή η πολυπλοκότητα δημιουργεί<br />

ένα πλέγμα πιθανών τρωτών σημείων που μπορούν<br />

να εκμεταλλευτούν οι εγκληματίες του κυβερνοχώρου. Η<br />

διασυνδεδεμένη φύση των αλυσίδων εφοδιασμού σημαίνει<br />

46 security


Νίκος Γεωργόπουλος<br />

Digital Risk Insurance Broker, Cromar Insurance Brokers – Co founder DPO Academy<br />

https://www.linkedin.com/in/nikos-georgopoulos/<br />

ότι η παραβίαση ενός κόμβου μπορεί να έχει αλυσιδωτές<br />

επιπτώσεις, επηρεάζοντας ολόκληρο το δίκτυο.<br />

Οι συνήθεις απειλές στον κυβερνοχώρο που στοχεύουν τις<br />

αλυσίδες εφοδιασμού περιλαμβάνουν:<br />

1. Απώλειες δεδομένων: Οι εγκληματίες του κυβερνοχώρου<br />

συχνά στοχεύουν σε ευαίσθητες πληροφορίες, όπως<br />

δεδομένα πελατών, οικονομικά αρχεία και πνευματική ιδιοκτησία.<br />

Ένα περιστατικό παραβίασης ασφάλειας στην αλυσίδα<br />

εφοδιασμού μπορεί να οδηγήσει στην απώλεια κρίσιμων<br />

δεδομένων, πλήτωντας την εταιρική φήμη και δημιουργώντας<br />

οικονομικές απώλειες.<br />

2. Επιθέσεις ransomware: Με την άνοδο του ransomware,<br />

οι χάκερ κρυπτογραφούν τα δεδομένα μιας εταιρείας και<br />

απαιτούν λύτρα για την απελευθέρωσή τους. Οι διαταραχές<br />

της εφοδιαστικής αλυσίδας που προκύπτουν από αυτές τις<br />

επιθέσεις μπορεί να έχουν σοβαρές συνέπειες, οδηγώντας<br />

σε διακοπή της ομαλής λειτουγίας της και δημιοργώντας οικονομικές<br />

απώλειες.<br />

3. Κίνδυνοι τρίτων μερών: Καθώς στις αλυσίδες εφοδιασμού<br />

συμμετέχουν πολλοί εξωτερικοί εταίροι/προμηθευτές/<br />

πάροχοι, οι ενέργειες του ενός μπορεί να επηρεάσουν τους<br />

άλλους. Οι κίνδυνοι στον κυβερνοχώρο μπορεί να προκύψουν<br />

από τρίτους προμηθευτές ή παρόχους υπηρεσιών, οι οποίοι<br />

ενδέχεται να μην διαθέτουν ισχυρά μέτρα κυβερνοασφάλειας.<br />

4. Phishing και κοινωνική μηχανική: Οι εργαζόμενοι στην<br />

αλυσίδα εφοδιασμού μπορεί να αποτελέσουν στόχο μέσω<br />

μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing ή τακτικών<br />

κοινωνικής μηχανικής, δίνοντας την δυνατότητα στους<br />

κυβερνοεγκληματίες να αποκτήσουν πρόσβαση σε πόρους<br />

της και να δημιουργήσουν προβλήματα στην λειτουργία της.<br />

Η ανάγκη για ασφάλιση Cyber Insurance στην<br />

εφοδιαστική αλυσίδα<br />

Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται,<br />

οι παραδοσιακές στρατηγικές διαχείρισης κινδύνων<br />

δεν επαρκούν για την παροχή ολοκληρωμένης προστασίας.<br />

Η ασφάλιση στον κυβερνοχώρο έχει αναδειχθεί ως ένα κρίσιμο<br />

εργαλείο για τις επιχειρήσεις που επιθυμούν να μετριάσουν<br />

τις οικονομικές επιπτώσεις ενός περιστατικού στον<br />

κυβερνοχώρο και να εξασφαλίσουν ταχεία ανάκαμψη. Δείτε<br />

τι προσφέρει η ασφάλιση Cyber Insurance στη διαχείριση<br />

των κινδύνων στον κυβερνοχώρο της αλυσίδας εφοδιασμού:<br />

1. Οικονομική προστασία: Η ασφάλιση στον κυβερνοχώρο<br />

παρέχει οικονομική προστασία καλύπτοντας τις δαπάνες<br />

που συνδέονται με ένα περιστατικό παραβίασης ασφάλειας,<br />

συμπεριλαμβανομένων των νομικών εξόδων, των δαπανών<br />

γνωστοποίησης σε περιπτώσεις απώλειας προσωπικών δεδομένων<br />

και των δαπανών που δημοσίων σχέσεων για τη<br />

προστασία της εταιρικής φήμης.<br />

2. Κάλυψη διακοπής εργασιών: Η ασφάλιση Cyber<br />

Insurance προσφέρει κάλυψη διακοπής εργασιών, αποζημιώνοντας<br />

τις επιχειρήσεις για το εισόδημα που χάνεται κατά<br />

τη διάρκεια ενός συμβάντος στον κυβερνοχώρο. Αυτό είναι<br />

ιδιαίτερα σημαντικό στις αλυσίδες εφοδιασμού, όπου οι διαταραχές<br />

μπορεί να έχουν εκτεταμένες συνέπειες.<br />

3. Αντιμετώπιση περιστατικών και αποκατάσταση: Η<br />

ασφάλιση Cyber Insurance προσφέρει πρόσβαση σε υπηρεσίες<br />

διαχείρισης και αποκατάστασης ώστε να βοηθηθούν οι<br />

επιχειρήσεις να ανακάμψουν αποτελεσματικότερα από ένα<br />

περιστατικό στον κυβερνοχώρο<br />

4. Διαχείριση κινδύνου: Οι πάροχοι ασφάλισης στον κυβερνοχώρο<br />

συχνά προσφέρουν υπηρεσίες διαχείρισης κινδύνου<br />

για να βοηθήσουν τις επιχειρήσεις να αξιολογήσουν<br />

και να βελτιώσουν τη θέση τους στον κυβερνοχώρο. Αυτή η<br />

προληπτική προσέγγιση μπορεί να μειώσει την πιθανότητα<br />

εμφάνισης ενός περιστατικού στον κυβερνοχώρο.<br />

Συμπεράσματα<br />

Καθώς οι αλυσίδες εφοδιασμού ψηφιοποιούνται και διασυνδέονται<br />

όλο και περισσότερο, ο κίνδυνος απειλών στον<br />

κυβερνοχώρο συνεχίζει να αυξάνεται. Η κατανόηση των μοναδικών<br />

τρωτών σημείων εντός των αλυσίδων εφοδιασμού<br />

και η εφαρμογή ισχυρών μέτρων κυβερνοασφάλειας είναι<br />

ζωτικής σημασίας για τις επιχειρήσεις που επιθυμούν να διασφαλίσουν<br />

τις δραστηριότητές τους. Υιοθετώντας μια ολοκληρωμένη<br />

προσέγγιση που συνδυάζει τις βέλτιστες πρακτικές<br />

κυβερνοασφάλειας με τη σωστή ασφαλιστική κάλυψη, οι<br />

επιχειρήσεις μπορούν να διαχειριστούν αποτελεσματικότερα<br />

τους κινδύνους της αλυσίδας εφοδιασμού και να εξασφαλίσουν<br />

ανθεκτικότητα απέναντι σε ένα συνεχώς εξελισσόμενο<br />

τοπίο απειλών.<br />

security<br />

47


T<strong>82</strong>11/12.2023<br />

Issue<br />

Bitdefender: Η Εφοδιαστική<br />

Αλυσίδα είναι ένας στόχος<br />

δισεκατομμυρίων<br />

Καθώς οι οργανισμοί ανταποκρίνονται στον ψηφιακό μετασχηματισμό, εντάσσοντας όλο και<br />

περισσότερο τεχνολογίες και πολιτικές ασφαλείας στις υποδομές τους, η εφοδιαστική αλυσίδα πάντα<br />

θα διατηρεί περισσότερα κενά ασφαλείας κάνοντας πιο εύκολη την μη εξουσιοδοτημένη πρόσβαση<br />

σε ευαίσθητα και κρίσιμα εταιρικά δεδομένα, θέτοντάς την στο στόχαστρο των επιτιθέμενων ως το<br />

colpo grosso «less for more».<br />

λοκληρώνοντας το 2023, οι επιθέσεις στην<br />

Ο<br />

εφοδιαστική αλυσίδα σημειώνουν αύξηση<br />

και αναμένεται να ξεπεράσουν τα<br />

60 δις δολάρια, με τα προγνωστικά να τοποθετούν<br />

αυτή την αύξηση άνω των 80 δις<br />

δολαρίων έως το 2026, ενώ σύμφωνα με τον Gartner έως<br />

το τέλος του 2025, τουλάχιστον το 45% των οργανισμών<br />

παγκοσμίως θα έχει αντίκτυπο από κάποια επίθεση<br />

στην εφοδιαστική αλυσίδα. Ποιοι είναι όμως οι παράγοντες<br />

που την κάνουν τόσο ευάλωτη και πώς μπορεί να ενισχυθεί<br />

η ασφάλεια; Μιλώντας για εφοδιαστική αλυσίδα στον ψηφιακό<br />

κόσμο, αναφερόμαστε κυρίως σε software providers,<br />

hosts, και h/w vendors. Σε πολλές περιπτώσεις, το προϊόν<br />

ή υπηρεσία που προσφέρεται, περιλαμβάνει κομμάτια τρίτων<br />

εταιρειών, που εντέλει συνθέτουν το τελικό προϊόν που<br />

λαμβάνει ένας οργανισμός. Η πολυπλοκότητα αυτού του μοντέλου<br />

δημιουργεί προκλήσεις στον προσδιορισμό και την<br />

διαχείριση καίριων πληροφοριών όπως :<br />

• Το επίπεδο πρόσβασης που έχει ο προμηθευτής στα<br />

συστήματα του οργανισμού και η συχνότητα αυτής<br />

48 security


Σίσσυ Ρουσιά<br />

Business Development Manager, Bitdefender Greece & Cyprus<br />

www.bitdefender.gr<br />

• Η πρόσβαση που έχει ο προμηθευτής στην πνευματική<br />

ιδιοκτησία, τις πληροφορίες πελατών ή άλλα ευαίσθητα<br />

δεδομένα<br />

• Εάν ο προμηθευτής θα μπορούσε να χρησιμοποιηθεί<br />

από τρίτο μέρος ως φορέας για να επιτεθεί ή να διαταράξει<br />

την επιχείρηση ή τους πελάτες<br />

• Το επίπεδο οικονομικής εξάρτησης από τον προμηθευτή<br />

• Ο αντίκτυπος στην επιχείρηση και στους πελάτες εάν ο<br />

προμηθευτής αντιμετωπίσει εκτεταμένη διακοπή των<br />

εργασιών του<br />

• Ο χρόνος και το κόστος αποκατάστασης ή συντήρησης<br />

της επιχείρησης, εάν ξαφνικά χαθεί η πρόσβαση στα<br />

προϊόντα ή τις υπηρεσίες του προμηθευτή<br />

Έχοντας προσδιορίσει τους κρίσιμους προμηθευτές μέσω<br />

της παραπάνω χαρτογράφησης, είναι σημαντικό να καταγραφεί<br />

η διαδικασία αντιμετώπισης συμβάντος ασφαλείας<br />

σε περίπτωση που:<br />

• Ένα κακόβουλο λογισμικό εισάγεται στα συστήματα<br />

του οργανισμού μέσω παραβιασμένου λογισμικού ή<br />

κώδικα που παρέχεται από τρίτο<br />

• Ένας πάροχος υπηρεσιών έχει παραβιαστεί, δίνοντας<br />

σε έναν εισβολέα μη εξουσιοδοτημένη πρόσβαση στα<br />

συστήματα και τα δεδομένα της εταιρείας<br />

• Ένας εμπιστευτικός χρήστης που απασχολείται από<br />

μια οντότητα της εφοδιαστικής αλυσίδας μπορεί να<br />

έχει πρόσβαση στα συστήματά σας για να διεξάγει κακόβουλη<br />

δραστηριότητα<br />

• Στην αλυσίδα εφοδιασμού εισάγονται πλαστά ή παραβιασμένα<br />

εξαρτήματα h/w<br />

• Ο κακός έλεγχος ποιότητας σε μια διαδικασία ανάπτυξης<br />

ή παραγωγής λογισμικού γίνει αντικείμενο εκμετάλλευσης<br />

από κακόβουλο παράγοντα<br />

• Η πρόσβαση στην υπηρεσία διακόπτεται (για παράδειγμα<br />

κατά τη διάρκεια μιας επίθεσης DDoS)<br />

Οι μέθοδοι επιθέσεων στην εφοδιαστική αλυσίδα, δεν διαφέρουν<br />

σημαντικά από εκείνες που χρησιμοποιούνται για μεμονωμένες<br />

επιθέσεις. Ωστόσο είναι δύσκολο να εντοπιστούν<br />

εγκαίρως λόγω της πολυπλοκότητας των συστημάτων ενώ<br />

επιφέρουν τεράστιο αντίκτυπο ειδικότερα όταν αφορούν<br />

κύρια συστήματα και εφαρμογές όπως file repositories,<br />

back office software, hosts κ.α. Βλέποντας τις κύριες μορφές<br />

όπως επιθέσεις μέσω Browsers (μολυσμένα cookies,<br />

session storages κτλ), μέσω Software, Open -Source,<br />

Java Script, Megacart, Cryptojacking, διαπιστώνεται ότι<br />

οι οργανισμοί ακόμη κι αν δεν μπορούν να αποτρέψουν την<br />

παραβίαση του προμηθευτή τους, μπορούν με τα κατάλληλα<br />

εργαλεία να αποτρέψουν τις επιπτώσεις στην υποδομή τους.<br />

Εφαρμόζοντας λύσεις που περιέχουν τεχνολογίες αιχμής<br />

όπως ML, TI, Behavior Analysis, και εντοπισμό<br />

sophisticated απειλών όπως, lateral movements, exploits,<br />

Indicators of Compromise, fileless, malware & ransomware<br />

εντοπισμό και αντιμετώπιση, εύρεση ευπαθειών εφαρμογών<br />

και browsers, οι ομάδες ασφαλείας μπορούν να αντιμετωπίσουν<br />

άμεσα τις επιπτώσεις ενός συμβάντος supply chain<br />

attack, περιορίζοντας τις συνέπειες στην υποδομή τους.<br />

Η Bitdefender, Παγκόσμιος Ηγέτης στον χώρο της κυβερνοασφάλειας,<br />

ακολουθώντας τις ανάγκες των οργανισμών<br />

για ένα πιο ασφαλές ψηφιακό περιβάλλον, προσφέρει<br />

ολοκληρωμένες λύσεις για την ασφάλεια των κρισιμότερων<br />

σημείων της υποδομής. Endpoints- Email – Cloud<br />

– Identity -Ανθρώπινος παράγοντας. Με 1 agent και 1<br />

ενιαία κονσόλα διαχείρισης, οι ομάδες ασφαλείας λαμβάνουν<br />

ολιστική ορατότητα με εύκολη πρόσβαση στην<br />

πληροφορία. Το Live Search που περιλαμβάνεται στο EDR<br />

αποτελεί χρήσιμο εργαλείο έγκαιρης αντιμετώπισης supply<br />

chain attack, προσφέροντας άμεση πληροφορία για το που<br />

βρίσκονται κρίσιμες λειτουργίες όπως Log4J, 3CX και άλλα<br />

παραδείγματα πρόσφατων επιθέσεων. Το Sand Box<br />

Analyzer προσφέρει αναλυτική πληροφορία και βοηθά<br />

στην λήψη αποφάσεων, ενώ το Risk Analytics ενισχύει<br />

την θωράκιση της υποδομής. Ενσωματώνοντας το Patch<br />

Management, αυτοματοποιείται η διαδικασία κάλυψης κενών<br />

ασφαλείας. Με περισσότερους από 30 μηχανισμούς<br />

άμυνας, αναλυτικό Forensic Analysis, zero trust αρχιτεκτονική<br />

και το πιο αποτελεσματικό Threat Detection<br />

παγκοσμίως, το Gravity Zone αποδεικνύεται αποτελεσματική<br />

λύση για έναντι εξελιγμένων επιθέσεων. Οι σύμβουλοι<br />

ασφαλείας της Bitdefender, μπορούν να σας βοηθήσουν να<br />

επιλέξετε την λύση που ταιριάζει στις δικές σας ανάγκες.<br />

Επικοινωνία: info@bitdefender.gr | 215-5353030 |<br />

www.bitdefender.gr<br />

security<br />

49


T<strong>82</strong>11/12.2023<br />

Issue<br />

Kωνσταντίνος Παπαδάτος<br />

Founder & Managing Director,<br />

Cyber Noesis<br />

Δυναμική διαχείριση κινδύνου με<br />

τη βοήθεια τεχνητής νοημοσύνης<br />

για έλεγχο πρόσβασης σε Αρχιτεκτονικές<br />

Μηδενικής Εμπιστοσύνης<br />

Σύγχρονες προκλήσεις<br />

Η ανάγκη ενίσχυσης της κυβερνοασφάλειας στα συστήματα<br />

πληροφοριών των οργανισμών σε ένα συνεχώς εξελισσόμενο<br />

τοπίο των απειλών στον κυβερνοχώρο, θέτει μοναδικές<br />

προκλήσεις και απαιτεί καινοτόμες προσεγγίσεις για να διασφαλιστεί<br />

ότι η ανθεκτικότητα των οργανισμών διατηρείται<br />

σε ένα υψηλό επίπεδο. Οι σύγχρονες απειλές απαιτούν<br />

όχι μόνο την ανάπτυξη αρχιτεκτονικών μηδενικής εμπιστοσύνης,<br />

οι οποίες σταδιακά εφαρμόζονται από οργανισμούς,<br />

αλλά και την ενίσχυσή τους με δυναμικούς ελέγχους πρόσβασης.<br />

Σε αυτό το πλαίσιο, είναι ζωτικής σημασίας να λαμβάνεται<br />

υπόψη το συνολικό επίπεδο κινδύνου που σχετίζεται<br />

με την παραχώρηση πρόσβασης σε κρίσιμους πόρους αλλά<br />

και να αξιολογείται δυναμικά, ακολουθώντας ένα προληπτικό<br />

μοντέλο για την αντιμετώπιση σύγχρονων και αναδυόμενων<br />

απειλών. Επιπροσθέτως, είναι αναγκαία η χρήση μεθόδων<br />

μηχανικής μάθησης για τη λήψη αποφάσεων, με στόχο<br />

την αποτελεσματικότερη διαχείριση των σχετικών κινδύνων,<br />

καθώς και την αποτροπή πιθανών παραβιάσεων και άλλων<br />

κακόβουλων ενεργειών.<br />

Ενισχύοντας την προληπτική θωράκιση των<br />

οργανισμών<br />

Η λύση που αναπτύσσεται στο πλαίσιο των δραστηριοτήτων<br />

έρευνας και ανάπτυξης της Cyber Noesis σε συνεργασία<br />

με το Εργαστήριο Διαδικτυακών Υπηρεσιών και Ασφάλειας<br />

Πληροφοριών, του Διεθνούς Πανεπιστημίου της<br />

Ελλάδος, εισάγει μια καινοτόμο προσέγγιση για την προστασία<br />

των πόρων των οργανισμών έναντι υφιστάμενων και αναδυόμενων<br />

απειλών στον κυβερνοχώρο, και βασίζεται σε τρεις<br />

50 security


Κωνσταντίνος Δεμερτζής<br />

Ερευνητής, Εργαστήριο Διαδικτυακών Υπηρεσιών και<br />

Ασφάλειας Πληροφοριών, Διεθνές Πανεπιστήμιο της Ελλάδος<br />

Κωνσταντίνος Ράντος<br />

Αν. Καθηγητής, Εργαστήριο Διαδικτυακών Υπηρεσιών και<br />

Ασφάλειας Πληροφοριών, Διεθνές Πανεπιστήμιο της Ελλάδος<br />

βασικούς πυλώνες: την Αρχιτεκτονική Μηδενικής Εμπιστοσύνης<br />

(Zero Trust Architecture - ΖΤΑ), τη Διαχείριση<br />

και η Διάδοση Πληροφοριών Κυβερνοαπειλών (Cyber<br />

Threat Intelligence) και τη Δυναμική Διαχείριση Κινδύνων<br />

(Dynamic Risk Management). Η Αρχιτεκτονική Μηδενικής<br />

Εμπιστοσύνης αποτελεί θεμελιώδη πυλώνα της λύσης.<br />

Πρόκειται για ένα μοντέλο ασφάλειας που βασίζεται στην παραδοχή<br />

ότι κανένας χρήστης, συσκευή ή δίκτυο δεν μπορεί να<br />

θεωρείται εγγενώς αξιόπιστο. Η συνεχής αξιολόγηση των αιτημάτων<br />

πρόσβασης σε προστατευόμενους πόρους, τόσο εντός<br />

όσο και εκτός της περιμέτρου, διασφαλίζει ότι μόνο εξουσιοδοτημένες<br />

συσκευές ή/και χρήστες που περνούν τους απαραίτητους<br />

ελέγχους, μπορούν να έχουν πρόσβαση. Η προσέγγιση<br />

αυτή εξαλείφει την έννοια της σιωπηρής εμπιστοσύνης<br />

και ενισχύει τα επίπεδα ασφαλείας του οργανισμού. Σύμφωνα<br />

με την αρχή αυτή, και λαμβάνοντας υπόψη την αρχιτεκτονική<br />

που προτείνει το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας<br />

(National Institute of Standards and Technology) των<br />

ΗΠΑ, η αξιολόγηση των αιτημάτων πρόσβασης σε υπηρεσίες<br />

ή πόρους είναι συνεχής και πραγματοποιείται σε πραγματικό<br />

χρόνο για όλα τα υποκείμενα/συσκευές, συμπεριλαμβανομένων<br />

εκείνων που βρίσκονται εντός της περιμέτρου, λαμβάνοντας<br />

υπόψη ένα εκτενές σύνολο πληροφοριών που σχετίζονται<br />

με αυτή την ενέργεια και οι οποίες αντλούνται από διάφορες<br />

εγκεκριμένες πηγές, όπως πληροφορίες κυβερνοαπειλών,<br />

<strong>Security</strong> Information and Event Management (SIEM)<br />

συστήματα, και συστήματα αυθεντικοποίησης.<br />

Η Διαχείριση και η Διάδοση Πληροφοριών Κυβερνοαπειλών<br />

(Cyber Threat Intelligence – CTI) διαδραματίζει κρίσιμο<br />

ρόλο στην καινοτομία της λύσης και αποτελεί τον δεύτερο<br />

βασικό πυλώνα αυτής. Οι πληροφορίες αυτές αναφέρονται<br />

στα δεδομένα που συλλέγονται, αναλύονται και διανέμονται<br />

για χρήση από τους οργανισμούς για την κατανόηση και την<br />

έγκαιρη ενημέρωση των απειλών στον κυβερνοχώρο, αποκαλύπτοντας<br />

τα κίνητρα, τις μεθοδολογίες, τα πρότυπα και<br />

τα εργαλεία που χρησιμοποιούν οι φορείς των απειλών. Με<br />

τη συλλογή, ανάλυση και διανομή δεδομένων πληροφοριών<br />

σχετικά με κυβερνοαπειλές, οι οργανισμοί μπορούν να αποκτήσουν<br />

βαθύτερη επίγνωση της κατάστασης και να προετοιμαστούν<br />

καλύτερα έναντι επικείμενων απειλών. Επιπρόσθετα,<br />

η λύση αξιοποιεί την υπάρχουσα έρευνα για την αξιολόγηση<br />

των απειλών στον κυβερνοχώρο με ποιοτικά κριτήρια καθώς<br />

και τη χρήση blockchain για την αποθήκευση και διάδοση<br />

πληροφοριών κυβερνοαπειλών. Αυτό επιτρέπει την αξιόπιστη<br />

ανταλλαγή αξιοποιήσιμων πληροφοριών σε (σχεδόν) πραγματικό<br />

χρόνο, διευκολύνοντας την τεκμηριωμένη λήψη αποφάσεων<br />

και τον προληπτικό μετριασμό των κινδύνων.<br />

Ο τρίτος πυλώνας αυτής της λύσης, η Δυναμική Διαχείριση<br />

Κινδύνων απαιτεί τη συνεχή παρακολούθηση και αξιολόγηση<br />

των κινδύνων με τη χρήση σύγχρονων μεθόδων<br />

μηχανικής μάθησης, τεχνικών ανάλυσης και εκτίμησης<br />

κινδύνου. Αξιοποιώντας τις διαθέσιμες πληροφορίες<br />

στο περιβάλλον του οργανισμού, η δυναμική διαχείριση κινδύνων<br />

επιτρέπει την έγκαιρη ανίχνευση και αξιολόγηση των<br />

κινδύνων σε (σχεδόν) πραγματικό χρόνο κατά τη διαδικασία<br />

λήψης αποφάσεων για τον έλεγχο πρόσβασης. Η εκτίμηση<br />

των κινδύνων λαμβάνει υπόψη τις πληροφορίες σχετικά με<br />

τις απειλές στον κυβερνοχώρο, τα μοτίβα επιθέσεων και τα<br />

τρωτά σημεία της υπάρχουσας αρχιτεκτονικής του περιβάλλοντος-στόχου.<br />

Έτσι, αξιολογούνται κατάλληλα οι επιπτώσεις των επιθέσεων<br />

στον οργανισμό, οι πιθανότητες εμφάνισης κάποιων<br />

συμβάντων που σχετίζονται με φορείς απειλών και με μοτίβα<br />

επιθέσεων, αλλά και η κρισιμότητα των αδυναμιών. Αυτή η<br />

προληπτική προσέγγιση δίνει τη δυνατότητα στα συστήματα<br />

λήψης αποφάσεων να αντιμετωπίζουν άμεσα τους κινδύνους,<br />

οδηγώντας σε βελτιωμένη ασφάλεια και επιχειρησιακή<br />

αποτελεσματικότητα.<br />

Η ολοκλήρωση και η συνέργεια αυτών των τομέων οδηγεί σε<br />

μια καινοτόμο προσέγγιση που αντιμετωπίζει τις τρέχουσες<br />

και τις αναδυόμενες απειλές, και στοχεύει στην ενίσχυση<br />

της ωριμότητας της κυβερνοασφάλειας. Με την ενσωμάτωση<br />

στη διαδικασία λήψης αποφάσεων στις αρχιτεκτονικές<br />

μηδενικής εμπιστοσύνης, ευφυών μεθόδων δυναμικής και<br />

προληπτικής αξιολόγησης των κινδύνων που σχετίζονται με<br />

την πρόσβαση σε πόρους των συστημάτων, θα είναι δυνατή<br />

η βέλτιστη θωράκιση των οργανισμών έναντι σύγχρονων και<br />

αναδυόμενων απειλών.<br />

Πανευρωπαϊκή διάκριση<br />

Η προτεινόμενη λύση κατέκτησε το βραβείο στον διαγωνισμό<br />

«Defence Innovation Prize 2023» του European<br />

Defence Agency, στην κατηγορία «Technologies for<br />

Communication and Information Systems».<br />

Το Defence Innovation Prize απονέμεται από το European<br />

Defence Agency (EDA) από το 2018, σε εταιρείες και ερευνητικούς<br />

φορείς που παρουσιάζουν τεχνολογίες, προϊόντα, διαδικασίες<br />

ή υπηρεσίες που εφαρμόζονται στον τομέα της άμυνας.<br />

Το βραβείο προωθεί την καινοτομία στην άμυνα στην Ευρώπη<br />

και παρέχει στις βιομηχανίες, στις μικρομεσαίες επιχειρήσεις<br />

(ΜΜΕ), στους ερευνητικούς οργανισμούς και στα πανεπιστήμια<br />

την ευκαιρία να προβάλουν την τεχνογνωσία τους. Η συγκεκριμένη<br />

διάκριση θεωρείται σημαντική καθώς είναι η πρώτη<br />

φορά που απονέμεται σε Ελληνική εταιρία.<br />

security<br />

51


T<strong>82</strong>11/12.2023<br />

Issue<br />

NIS 2 & Cyber <strong>Security</strong><br />

Compliance Framework<br />

Η Οδηγία NIS 2 αποτελεί τη νέα ευρωπαϊκή οδηγία η οποία στοχεύει στην ενίσχυση της<br />

ασφάλειας δικτύων και πληροφοριακών συστημάτων.<br />

Οδηγία NIS 2 καθορίζει μια σειρά από απαιτήσεις<br />

ασφάλειας που πρέπει να τηρούν οι<br />

Η<br />

essential και important οντότητες (όπως<br />

ορίζονται από την οδηγία). Αυτές περιλαμβάνουν<br />

την εφαρμογή τεχνικών & οργανωτικών<br />

μέτρων για την πρόληψη, ανίχνευση, ανταπόκριση<br />

και ανάκαμψη από περιστατικά ασφαλείας. Συγκεκριμένα,<br />

τα μέτρα τα οποία απαιτούνται για τη συμμόρφωση με την<br />

NIS 2 περιγράφονται στο Άρθρο 21 και οι νέες υποχρεώσεις<br />

κοινοποίησης των περιστατικών στο Άρθρο 23 και συνοψίζονται<br />

ακολούθως:<br />

• Ανάλυση & Διαχείριση Κινδύνων:<br />

o Προσδιορισμός, αξιολόγηση και κατηγοριοποίηση των<br />

περιοχών επικινδυνότητας του οργανισμού<br />

o Επιλογή των κατάλληλων τεχνικών & οργανωτικών<br />

μέτρων προστασίας ώστε να επιτυγχάνεται η Διαθεσιμότητα,<br />

η Εμπιστευτικότητα και η Ακεραιότητα των<br />

δεδομένων<br />

o Συνεχής ανασκόπηση ορθής εφαρμογής των μέτρων<br />

προστασίας (τουλάχιστον μία φορά το χρόνο)<br />

• Διαχείριση Περιστατικών Ασφαλείας:<br />

o Εντοπισμός, ανάλυση και έγκαιρη ανάκαμψη από περιστατικά<br />

ασφάλειας<br />

o Έγκαιρη καταγραφή και γνωστοποίηση των περιστατικών<br />

ασφαλείας στις αρμόδιες αρχές και τις επηρεαζόμενες<br />

οντότητες<br />

• Μέτρα Επιχειρησιακής Συνέχειας:<br />

o Υλοποίηση της πολιτικής και των απαραίτητων διαδικασιών<br />

αντιγράφων ασφαλείας, βάσει των αποτελεσμάτων<br />

της ανάλυσης κινδύνου<br />

o Υλοποίηση των απαραίτητων Σχεδίων Ανάκαμψης<br />

από Καταστροφές (Disaster Recovery Plan), Επιχειρησιακής<br />

Συνέχειας (Business Continuity Plan) και<br />

Διαχείρισης Kρίσεων ( Crisis Management Plan)<br />

• Απαιτήσεις Ασφάλειας Προμηθευτών:<br />

o Εντοπισμός και αναλυτική καταγραφή των κρίσιμων<br />

52 security


Δρ. Θεόδωρος Ντούσκας<br />

Managing Director, ICT PROTECT<br />

www.ictprotect.com<br />

προμηθευτών (στοιχεία επικοινωνίας, χρόνοι απόκρισης<br />

& ανάκαμψης, κλπ.)<br />

o Αξιολόγηση των προμηθευτών επιλέγοντας τον αποτελεσματικότερο<br />

από άποψη ασφάλειας και επιχειρησιακής<br />

συνέχειας<br />

• Απόκτηση, ανάπτυξη και συντήρηση συστήματος:<br />

o Ενσωμάτωση διαδικασιών ελέγχου ασφάλειας σε όλα<br />

τα στάδια του κύκλου ανάπτυξης λογισμικού (Secure<br />

Code Development, Application Threat Modelling, κλπ)<br />

o Ενσωμάτωση διαδικασιών ελέγχου ασφάλειας σε όλα<br />

τα στάδια απόκτησης και συντήρησης συστημάτων<br />

o Ενσωμάτωση διαδικασιών εντοπισμού, άμεσου χειρισμού<br />

και γνωστοποίησης των τεχνικών ευπαθειών<br />

(technical vulnerabilities) στα εμπλεκόμενα μέρη<br />

• Πολιτικές και διαδικασίες για την αξιολόγηση της<br />

αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων<br />

στον κυβερνοχώρο<br />

o Υλοποίηση, ανασκόπηση και επικαιροποίηση των<br />

απαραίτητων διαδικασιών και πολιτικών ασφάλειας.<br />

• “Κυβερνο-υγιεινή” υπολογιστών (cyber hygiene<br />

practices)<br />

o Υιοθέτηση βέλτιστων πρακτικών για την επαρκή παραμετροποίηση<br />

ασφάλειας των συστημάτων(π.χ. CIS,<br />

NIST SP 800-53 κλπ.) συμπεριλαμβάνοντας ενδεικτικά<br />

τις ακόλουθες ενότητες:<br />

■ Hardening, Endpoint <strong>Security</strong>, Password Policy,<br />

Patch Management, Secure Remote Access,<br />

Shadow <strong>IT</strong> Management, Cloud Services<br />

Configuration Review.<br />

• Συνεχής Εκπαίδευση & Επαγρύπνηση χρηστών:<br />

o Διεξαγωγή εκπαιδευτικών προγραμμάτων σε θέματα<br />

ασφάλειας για όλους τους υπαλλήλους του οργανισμού<br />

o Διεξαγωγή σεναρίων επιθέσεων (π.χ phishing,<br />

ransomware, κλπ.) με στόχο την αξιολόγηση των υφιστάμενων<br />

διαδικασιών απόκριση του οργανισμού σε<br />

κρίσιμες καταστάσεις<br />

• Πολιτικές για την κατάλληλη χρήση κρυπτογραφίας:<br />

o Υιοθέτηση τεχνικών κρυπτογράφησης (encryption at<br />

rest, in motion, in use) με στόχο την προστασία των<br />

ευαίσθητων δεδομένων και επικοινωνίας βάσει των<br />

αποτελεσμάτων της ανάλυσης κινδύνου.<br />

• Ασφάλεια ανθρώπινου δυναμικού, πολιτικές ελέγχου<br />

πρόσβασης και διαχείριση πληροφοριακών αγαθών<br />

o Εφαρμογή πολιτικών ελέγχου πρόσβασης & διαχείριση<br />

πληροφοριακών αγαθών, προκειμένου να διασφαλίζεται<br />

ότι η πρόσβαση σε κρίσιμα συστήματα και<br />

δεδομένα.<br />

• Χρήση πολλαπλών παραγόντων, ασφαλής επικοινωνίας<br />

φωνής/βίντεο/κειμένου & ασφαλής επικοινωνία<br />

έκτακτης ανάγκης<br />

• Αναφορά περιστατικών Κυβερνοασφάλειας:<br />

o Εντός 24 ωρών για σημαντικό περιστατικό που προκλήθηκε<br />

από έκνομες ή κακόβουλες ενέργειες ή δύναται<br />

να έχει διασυνοριακό αντίκτυπο<br />

o Εντός 72 ωρών σε κάθε άλλη περίπτωση<br />

Ταυτόχρονα, μέσω της οδηγίας NIS 2 αναδεικνύεται σημαντικά<br />

η ευθύνη της ανώτατης Διοίκησης των οργανισμών.<br />

Η Ανώτατη Διοίκηση των “essential” και “important” οντοτήτων<br />

έχει την τελική ευθύνη για τη διαχείριση κινδύνων. Η<br />

μη συμμόρφωση της διοίκησης με τις απαιτήσεις NIS 2 θα<br />

μπορούσε να έχει σοβαρές συνέπειες, όπως προσωρινές<br />

απαγορεύσεις και διοικητικά πρόστιμα. Οι βασικές αρμοδιότητες<br />

της Ανώτατης Διοίκησης είναι:<br />

• Έγκριση της επάρκειας των μέτρων διαχείρισης κινδύνων<br />

• Επίβλεψη της ορθής εφαρμογής των μέτρων διαχείρισης<br />

κινδύνου<br />

• Συνεχής εκπαίδευση όλου του προσωπικού με στόχο<br />

την εξοικείωση, απόκτηση γνώσεων και δεξιοτήτων<br />

για τον εντοπισμό κινδύνων και την αξιολόγηση των<br />

πρακτικών διαχείρισης κινδύνων στον κυβερνοχώρο<br />

• Ευθύνη (accountability) για τυχόν μη συμμόρφωση<br />

με τις απαιτήσεις της οδηγίας<br />

Επιτακτική είναι πλέον η ανάγκη δημιουργίας ενός γενικού<br />

πλαισίου αναγνώρισης, αξιολόγησης, εφαρμογής και παρακολούθησης<br />

ορθής εφαρμογής των απαιτήσεων ασφάλειας<br />

(Cybersecurity Compliance Framework).<br />

Όλες οι παραπάνω κατευθυντήριες γραμμές και απαιτήσεις<br />

μπορούν να καλυφθούν από γνωστά διεθνή πρότυπα όπως<br />

NIST CSF, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018,<br />

ISO/IEC 27019, ISO/IEC 22301, SOC 2, κ.λπ., και ο πιο αποτελεσματικός<br />

τρόπος συμμόρφωσης με αυτές τις πολύπλοκες<br />

απαιτήσεις είναι η υιοθέτηση ενός Πλαισίου Συμμόρφωσης<br />

Κυβερνοασφάλειας προκειμένου να αξιολογείται και<br />

να βελτιώνεται συνεχώς το επίπεδο ασφάλειας των Πληροφοριακών<br />

Συστημάτων. Η προτεινόμενη μεθοδολογία συμμόρφωσης<br />

της ICT PROTECT για τη Διαχείριση Επικινδυνότητας<br />

στην Ασφάλεια Πληροφοριών προέρχεται από τα διεθνή<br />

πρότυπα, τους κανονισμούς και τις βέλτιστες πρακτικές που<br />

αναφέρονται παραπάνω και αποτελείται από οκτώ φάσεις.<br />

Συγκεκριμένα, το Framework το οποίο προτείνουμε περιγράφεται<br />

στο Infographic1.<br />

Στην ICT PROTECT έχουμε αναπτύξει το Cyber <strong>Security</strong><br />

Compliance Framework και το χρησιμοποιούμε με επιτυ-<br />

security<br />

53


T<strong>82</strong>11/12.2023<br />

Issue<br />

INFOGRAPHIC1<br />

χία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε<br />

τις περίπλοκες απαιτήσεις συμμόρφωσης των<br />

πελατών μας. Το εργαλείο STORM GRC προσφέρει μια δέσμη<br />

στοχευμένων υπηρεσιών στους τελικούς χρήστες, προκειμένου<br />

να τους καθοδηγήσει να διαχειρίζονται με ασφάλεια τα<br />

Πληροφοριακά Συστήματα και να δημιουργούν όλα τα υποχρεωτικά<br />

έγγραφα και αποδεικτικά στοιχεία που απαιτούνται<br />

από το ISO 27001:2022 και τις ειδικές απαιτήσεις της βιομηχανίας<br />

για την ασφάλεια στον κυβερνοχώρο (όπως ΙMO,<br />

BIMCO, TMSA, NERC CIP, NIST CSF κ.λπ.).<br />

βέλτιστων πρακτικών για την προστασία των δεδομένων των<br />

πελατών τους, των υπαλλήλων και συνεργατών τους. Με την<br />

ενδυνάμωση της ασφάλειας και το επίπεδο προστασίας των<br />

προσωπικών δεδομένων και των ηλεκτρονικών υπηρεσιών οι<br />

επιχειρήσεις είναι σε θέση να επιτύχουν ανταγωνιστικό πλεονέκτημα<br />

στην αγορά κερδίζοντας την ευρεία εμπιστοσύνη των<br />

υφιστάμενων και δυνητικών πελατών.<br />

Συμπεράσματα<br />

Η διαχείριση της ασφάλειας και η συμμόρφωση με την ισχύουσα<br />

νομοθεσία αποτελούν απαραίτητες προϋποθέσεις για τη<br />

διεξαγωγή του ηλεκτρονικού επιχειρείν. Αποτελούν προϋπόθεση<br />

για τη διατήρηση υφιστάμενων προϊόντων, υπηρεσιών<br />

και πελατών καθώς και για τη δημιουργία νέων προϊόντων και<br />

υπηρεσιών. Ως εκ τούτου, η ασφάλεια των πληροφοριών είναι<br />

θεμελιώδους σημασίας για την συνέχεια της επιχειρηματικής<br />

δραστηριότητας για μια επιχείρηση. Τόσο οι essential όσο και<br />

οι important οντότητες, πρέπει να είναι σε θέση να αποδείξουν<br />

τη συμμόρφωση με την νομοθεσία και την υιοθέτηση<br />

54 security


T<strong>82</strong>11/12.2023<br />

Issue<br />

ORTHOLOGY<br />

www.orthology.gr<br />

TeamViewer Tensor: 6 λόγοι για να<br />

το επιλέξετε<br />

ο TeamViewer Tensor είναι μια προηγμένη,<br />

επιχειρησιακού επιπέδου έκδοση του<br />

Τ<br />

δημοφιλούς λογισμικού TeamViewer, σχεδιασμένη<br />

ειδικά για μεγαλύτερες επιχειρήσεις<br />

και οργανισμούς. Βασίζεται στις βασικές<br />

λειτουργίες του TeamViewer, το οποίο είναι ευρέως<br />

γνωστό για τις δυνατότητες απομακρυσμένης πρόσβασης<br />

και υποστήριξης, και βελτιώνει αυτές τις λειτουργίες για να<br />

ανταποκρίνεται στις ανάγκες των επιχειρηματικών περιβαλλόντων.<br />

Ακολουθούν 6 λόγοι για τους οποίους η επιλογή του<br />

Tensor είναι μια έξυπνη απόφαση για την επιχείρησή σας:<br />

1. Ασφάλεια 360 για επιχειρήσεις - Η ενασχόληση με την<br />

απομακρυσμένη υποστήριξη ενέχει σημαντικούς κινδύνους<br />

ασφαλείας, όπως για παράδειγμα πλήρης πρόσβαση στα μηχανήματα<br />

της εταιρείας. Οι επιχειρήσεις έχουν ανάγκη από<br />

αποτελεσματικά μέτρα ασφαλείας για την προστασία από<br />

απειλές όπως το Ransomware, εισβολές τρίτων, παραβιάσεις<br />

δεδομένων κ.α. Το TeamViewer Remote παρέχει μια<br />

ισχυρή βάση ασφαλείας, όπως end-to-end κρυπτογράφηση,<br />

κωδικούς απομακρυσμένης συνεδρίας με ένα κλικ, προστασία<br />

από απάτες και πολλά άλλα.<br />

Αποκλειστικά χαρακτηριστικά του Tensor: Α) Πρόσβαση<br />

υπό όρους: Σας δίνει τη δυνατότητα να διαχειριστείτε<br />

τις συνδέσεις με έναν αποκλειστικό rooter, το οποίο φιλοξενείται<br />

στο ιδιωτικό σας cloud από το TeamViewer. Β)Ενιαία<br />

σύνδεση: Ενσωματώνεται με υπάρχοντες παρόχους ID<br />

(όπως Google, Okta ή Azure) για ασφαλή και απλοποιημένη<br />

διαχείριση της πρόσβασης των χρηστών.<br />

2. Ευρεία υποστήριξη συσκευών σε όλες τις πλατφόρμες<br />

- Οι επιχειρήσεις πρέπει συχνά να διαχειρίζονται μια ποικιλία<br />

συσκευών, συμπεριλαμβανομένων των OT και των ενσωματωμένων<br />

συσκευών. Το Tensor υποστηρίζει ένα ευρύ<br />

φάσμα συσκευών, από OT, IoT, Enterprise <strong>IT</strong>, έως τα τυπικά<br />

συστήματα PC, Mac, iOS και Android.<br />

3. Εύκολη ενσωμάτωση με πλατφόρμες τρίτων κατασκευαστών<br />

- Το Tensor ενσωματώνεται αβίαστα με δημοφιλείς<br />

επιχειρηματικές υπηρεσίες και λύσεις, καλύπτοντας τις<br />

ανάγκες μεγάλων επιχειρήσεων. Αυτή η δυνατότητα ουσιαστικά<br />

επιτρέπει στους διαχειριστές <strong>IT</strong> να παρέχουν υποστήριξη<br />

με ένα κλικ μέσω πλατφορμών έκδοσης εισιτηρίων. Το<br />

Tensor είναι συμβατό με περισσότερες από 20 σημαντικές<br />

υπηρεσίες επιχειρήσεων, όπως το Zendesk, το Salesforce,<br />

το M365, το Okta, το Jira και το JAMF.<br />

4. Διασφάλιση της συμμόρφωσης και της προστασίας<br />

των επιχειρήσεων: Ολοκληρωμένη δυνατότητα ελέγχου<br />

Το Tensor προσφέρει εκτεταμένες λειτουργίες ελέγχου<br />

και καταγραφής για κανονιστική συμμόρφωση και προστασία<br />

από ψευδείς ισχυρισμούς. Καταγράφει όλες τις συνεδρίες<br />

απομακρυσμένου ελέγχου, προσβάσιμες μέσω του API του<br />

TeamViewer, εξασφαλίζοντας όχι μόνο την απαραίτητη διαφάνεια<br />

αλλά και συμμόρφωση.<br />

5. Απλοποιημένη διαχείριση admin - Σε μεγάλες επιχειρήσεις<br />

με πολλά τμήματα που χρησιμοποιούν το Tensor, η<br />

πλατφόρμα επιτρέπει τη δημιουργία πολλαπλών λογαριασμών<br />

διαχειριστή (admin), εξαλείφοντας την ανάγκη κοινής<br />

χρήσης διαπιστευτηρίων. Το Tensor παρέχει εξατομικευμένες<br />

συνδέσεις για διαφορετικά τμήματα πληροφορικής μέσω<br />

των εργαζομένων Tensor Agent και Light Agent.<br />

6. Επεκτασιμότητα για να ταιριάζει με την ανάπτυξη<br />

της επιχείρησης - Καθώς η επιχείρησή σας επεκτείνεται, το<br />

Tensor προσαρμόζεται συνεχώς. Υποστηρίζει έναν αυξανόμενο<br />

αριθμό συσκευών, τοποθεσιών και τύπων θέσεων εργασίας<br />

(τόσο εντός γραφείου όσο και απομακρυσμένων). Προσφέρει<br />

βελτιωμένη μαζική ανάπτυξη (πέρα από την ανάπτυξη<br />

πακέτων MSI) για εύκολη ανάπτυξη του TeamViewer με συγκεκριμένες<br />

πολιτικές της κάθε ομάδας. Το μοντέλο αδειοδότησης<br />

pay-per-value επιτρέπει στους πελάτες να πληρώνουν<br />

μόνο για τις υπηρεσίες που χρησιμοποιούν, καθιστώντας το<br />

οικονομικά αποδοτικό και επεκτάσιμο.<br />

56 security


ΤΟ ΣΗΜΕΊΟ ΑΝΑΦΟΡΑΣ ΣΤΗΝ<br />

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ MANAGEMENT<br />

ΚΑΙ ΤΙΣ ΤΕΧΝΟΛΟΓΊΕΣ<br />

ΓΙΑ ΤΗ ΦΥΣΊΚΗ ΑΣΦΑΛΕΊΑ<br />

Το <strong>Security</strong> Manager αποτελεί το πρώτο και μοναδικό επαγγελματικό περιοδικό<br />

στην Ελλάδα που ειδικεύεται συνολικά στα θέματα φυσικής ασφάλειας,<br />

αποτελώντας μαζί με την ηλεκτρονική του έκδοση www.securitymanager.gr<br />

το μέσο με τη μεγαλύτερη επιρροή στους επαγγελματίες του χώρου<br />

εδώ και πάνω από 15 Χρόνια!

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!