Στις 11 Σεπτεμβρίου του 2001, ένα αεροπλάνο που είχε καταληφθεί από “ιδιαίτερους” πιλότους, πέρασε όλες τις ζώνες άμυνας του Πενταγώνου των ΗΠΑ και διάλυσε μια από τις πλευρές του. Όποιος πιστεύει ότι μπορεί να ασφαλίσει την εταιρεία του καλύτερα από το Πεντάγωνο των ΗΠΑ δε χρειάζεται να συνεχίσει να διαβάζει αυτό το άρθρο.

Όσοι συνεχίσατε, είναι δεδομένο ότι έχετε συνειδητοποιήσει ότι θα έρθει η στιγμή που κάποιο από τα συστήματά σας θα παραβιαστεί από μη εξουσιοδοτημένους χρήστες. Επομένως, στόχος είναι να αντέξετε το πλήγμα με τις ελάχιστες δυνατές απώλειες. Η ενεργοποίηση του κανονισμού General Data Protection Regulation (GDPR), η οποία θα τεθεί σε ισχύ από τις 25 Μαΐου του 2018, διευρύνει τη γκάμα των “απωλειών”, καθώς για πρώτη φορά στα κράτη-μέλη της Ευρωπαϊκής Ένωσης, η απώλεια δεδομένων λόγω κυβερνοεπίθεσης, είναι πιθανό να φορτώσει την επιχείρηση με πρόστιμο που φτάνει μέχρι και το 4% του παγκόσμιου τζίρου της.

Συνδυάζοντας τα δεδομένα, θα μπορούσαμε να πούμε ότι αυτό που χρειάζονται σήμερα οι επιχειρήσεις είναι ένα δυναμικό σύστημα μέτρησης, το οποίο θα μπορεί κάθε φορά να απεικονίζει με ένα μόνο δείκτη την ετοιμότητά τους απέναντι σε κάθε είδους κυβερνοεπίθεση. Μην αναζητήσετε κάπου αυτό το δείκτη και τη μεθοδολογία που τον δημιουργεί γιατί απλά δεν υπάρχει. Και επειδή δεν υπάρχει δείκτης, προσωρινά δεν υπάρχουν και πιστοποιητές που θα μπορούσαν να βάλουν τη σφραγίδα τους και να εγγυηθούν ότι η επιχείρηση ναι μεν δεν είναι άτρωτη, αλλά τουλάχιστον δε θα πληρώσει πρόστιμο αν παραβιαστεί. Γενικά, η κατάσταση δεν ακούγεται ευχάριστη για τις επιχειρήσεις και ούτε θα έπρεπε, καθώς οι κυβερνοεγκληματίες έχουν γίνει σκληροί και αναζητούν προσωπικά δεδομένα, σχέδια καινοτόμων ιδεών και τον έλεγχο κρίσιμων κυβερνητικών εγκαταστάσεων. Υπάρχουν κάποιες απόψεις που ισχυρίζονται ότι οι πρόσφατες συγκρούσεις των δύο πολεμικών πλοίων των ΗΠΑ δεν ήταν συμπτωματικές.

Και τώρα τι κάνουμε;
Θεωρητικά ότι κάναμε πάντα, αλλά με πιο σοβαρό και μετρημένο τρόπο. O Joseph Carson έχει αναλάβει να προστατεύει τους πελάτες της εταιρείας Thycotic. Για να μπορέσει να κάνει καλύτερα την εργασία του δημιούργησε το Security Measurement Index. Ο δείκτης βασίζεται στο πρότυπο ISO 27001 και σε καλές πρακτικές επιχειρήσεων από διάφορους τομείς και οργανισμούς. Ο δείκτης λειτουργεί συγκριτικά και μέχρι τώρα αξιοποιεί την εμπειρία 400 εταιρειών από όλον τον κόσμο.

Σύμφωνα με μια πρόσφατη αναφορά της Thycotic, το 58% που δοκίμασαν να συγκρίνουν την αποτελεσματικότητα των επενδύσεων τους σε κυβερνοασφάλεια δεν κατάφεραν να “πιάσουν” τη… βάση. Στην ίδια αναφορά αξιοσημείωτη είναι η αποκάλυψη ότι οι επιχειρήσεις δαπανούν περισσότερα από 100 δισεκατομμύρια ευρώ ετησίως για να βελτιώσουν την ασφάλεια τους, αλλά το 32% αυτών αποφασίζουν τις επενδύσεις τους χωρίς να γνωρίζουν πως αυτές συνεισφέρουν σε ένα γενικό δείκτη ασφάλειας. Οι αποφάσεις του 80% των επιχειρήσεων λαμβάνονται χωρίς τη συμμετοχή των εργαζόμενων και χωρίς τη συμμετοχή κάποιας επιτροπής που θα μπορούσε να αξιολογήσει την αποτελεσματικότητα της επένδυσης. Η παρουσία του Data Protection Officer, την οποία επιβάλει ο κανονισμός GDPR, ίσως βελτιώσει την κατάσταση, καθώς ένα τρίτο μάτι θα μπορούσε να δει τα πράγματα από μια διαφορετική σκοπιά. Ωστόσο και πάλι η απουσία εργαλείων σύγκρισης του “πριν” με το “μετά” παραμένει πρόβλημα.

Το ζήτημα έχει απασχολήσει το Information Security Forum, του οποίου ο γενικός διευθυντής Steve Durbin, αναρωτιέται “ποια θα πρέπει να είναι η κοινή γλώσσα που θα μιλούν οι επιχειρήσεις ώστε να έχουν ένα σημείο αναφοράς για την αποτελεσματικότητα των επενδύσεων τους”.

“Συχνά βρισκόμαστε σε αδιέξοδο”, αναφέρει ο ίδιος. “Οι περισσότεροι CISOs αναφέρουν δείκτες αποτελεσματικότητας (KPIs) και δείκτες ρίσκου (KRIs) που δεν μας βοηθούν να βγάλουμε συμπεράσματα και να δώσουμε τις σωστές συμβουλές.” Επομένως, σε αρκετές περιπτώσεις οι CISOs μαντεύουν το στόχο της επένδυσής τους και ενώ νοιάζονται για τον περιορισμό του κόστους, ξοδεύουν πόρους χωρίς να έχουν το αναμενόμενο αποτέλεσμα.

Μια λύση μέχρι να υπάρξει ένας γενικός δείκτης
Προκειμένου να βοηθήσει τις επιχειρήσεις, το ISF ανέπτυξε μια πρακτική προσέγγιση τεσσάρων φάσεων, για την δημιουργία των κατάλληλων KPIs και KRIs. Στην “καρδιά” του σχεδιασμού αυτής της προσπάθειας βρίσκεται η ιδέα του engagement. Οι σχεδιαστές θεωρούν ότι η συνολική γνώση του οργανισμού, εφόσον οργανωθεί με τις σωστές διαδικασίες, μπορεί να οδηγήσει σε πιο αποτελεσματικές επενδύσεις. Στα “θεμέλια” του οικοδομήματος που θα μεταμορφωθεί το βασικό δομικό στοιχείο είναι τα σωστά δεδομένα. Οι διαδικασίες ξεκινούν από τη συλλογή δεδομένων από τις “χρήσιμες” πηγές και μετά την κατάλληλη διαμόρφωση τους, τα δεδομένα φτάνουν λιτά και κατανοητά στους κατάλληλους αποδέκτες.

Η δυσκολία ολοκλήρωσης του έργου βρίσκεται στις διαρκείς αλλαγές που συμβαίνουν τόσο στις πηγές των δεδομένων όσο και στην επιχειρηματική λειτουργία. Ίσως, για παράδειγμα είναι επιτακτικό για μια επιχείρηση να δημιουργήσει ένα νέο προϊόν, το οποίο είναι πιο πιθανό να παραβιαστεί από τα παλαιότερα προϊόντα της ή χρειάζεται να ανοίξει κάποιους από τους servers της για να συνεργαστεί με άλλες επιχειρήσεις, όπως συχνά θα συμβαίνει σε έργα Internet of Things. Σε αυτές τις περιπτώσεις, ο CIO πάει στο σπίτι του για Σαββατοκύριακο να ξεκουραστεί, θεωρώντας ότι όλα είναι σε τάξη, επιστρέφοντας όμως στην εργασία του Δευτέρα πρωί, μια ιδέα του CEO ή του διοικητικού συμβουλίου, δημιουργεί ένα νέο πλαίσιο επιχειρηματικής λειτουργίας.

Πως θα αντέξουν το βάρος οι μικρομεσαίες επιχειρήσεις;
H πραγματικότητα είναι ότι πολλές από αυτές δε θα το αντέξουν. Μια διαρροή προσωπικών δεδομένων από το ηλεκτρονικό κατάστημα που στεγάζεται σε ένα διαμέρισμα πολυκατοικίας θα είναι μάλλον και το τέλος του. Ακόμα όμως και μεγαλύτερες επιχειρήσεις ίσως βρουν πιο συμφέρουσα τη λύση να κλείσουν από το να πληρώσουν το πρόστιμο που θα τους επιβληθεί.

Είναι δεδομένο ότι το outsourcing του Data Protection και του Data Storage θα είναι πρωτεύουσα επιλογή για τις μικρομεσαίες επιχειρήσεις, προκειμένου να μην επιβαρυνθούν με έναν επιπλέον μισθό και με την ευθύνη της προστασίας των δεδομένων. Στο πλαίσιο που διαμορφώνεται, οι επιχειρήσεις θα αναγκαστούν να κάνουν το καλύτερο δυνατό για την προστασία τους και από εκεί και πέρα θα εύχονται να μην τους τύχει. Welcome to a brave new world…