Με άκρως ενδιαφέρουσες παρουσιάσεις για τις μελλοντικές τάσεις, όχι μόνο στην κυβερνοασφάλεια, αλλά στο ψηφιακό επιχειρείν και τις έγκυρες απόψεις διακεκριμένων CISOs, που μιλούν από πρώτο χέρι για τον μεταβαλλόμενο ρόλο της Ασφάλειας Πληροφοριών από πρώτο χέρι έδωσε και φέτος το στίγμα του το Information Security Conference, το οποίο πλέον αποτελεί το ετήσιο meeting point των “who is who” στo Information Security.

Η στρατηγική ταυτότητα του συνεδρίου, αλλά και η επιτυχία του οφείλεται στη συμβολή της οργανωτικής επιτροπής του, η οποία αποτελείτο από τους Μιχαήλ Μαυροφοράκη, Διευθυντή Διακυβέρνησης Πληροφορικής & CISO Ομίλου της Εθνικής Τράπεζας, Γεράσιμο Μοσχονά, Group Information Security Officer & Manager της Alpha Bank και Χριστό Τόπακα. Head Group IT Security & Control Ομίλου Τράπεζας Πειραιώς. Στον χαιρετισμό του στο συνέδριο, ο Μιχαήλ Μαυροφοράκης έδωσε ιδιαίτερη έμφαση στον business ρόλο που καλείται να παίξει η Ασφάλεια Πληροφοριών στο πλαίσιο της ψηφιοποίησης των επιχειρήσεων. Χαιρετισμό στο συνέδριο απεύθυνε και ο Κώστας Παπαδάτος, Πρόεδρος του (ISC) 2 Greek Chapter.

Το μεταβαλλόμενο τοπίο των ψηφιακών απειλών
Η μετάβαση από το IT στο IoT δεν περιορίζεται στο «ο» και η ψηφιοποίηση του επιχειρείν δημιουργεί όχι μόνο ευκαιρίες, αλλά και νέες απειλές για τους οργανισμούς. Στην παρουσίαση με τίτλο «From IT to IoT: the role of CISO in an interconnected world with evolving cyber threats», η οποία άνοιξε τις εργασίες του 4th Information Security Conference, ο Γεράσιμος Μοσχονάς έδωσε έμφαση στη μεταβαλλόμενη φύση των ψηφιακών απειλών αλλά και στο νέο κανονιστικό περιβάλλον, τα οποία δημιουργούν νέες απαιτήσεις για τον ρόλο του CISO και τον καλούν να επιδείξει ένα πιο ηγετικό και προσανατολισμένο στο business προφίλ.

Με τον ψηφιακό μετασχηματισμό και τη 4η βιομηχανική επανάσταση να αποτελούν τις νέες επιχειρησιακές παραμέτρους, ο Θεόδωρος Στεργίου, Διευθυντής Cyber Security & Risk Consulting της KPMG μίλησε για την ανθηρή παραοικονομία του κυβερνοεγκλήματος, η οποία στηρίζεται στους καλά χρηματοδοτημένους και παρακινούμενους από πληθώρα κινήτρων κυβερνοεγκληματίες. Σε αυτό το περιβάλλον χρειάζεται ένας επανακαθορισμός του τι είναι cyber security και της αρχιτεκτονικής του, με έμφαση κυρίως στην πρόληψη. Ψηφιακοί κίνδυνοι όπως τα Advanced Persistent Threats, το drone jacking, το mobile ransomware, οι επιθέσεις DDoS αλλά και η ανάπτυξη του Dark Web έχουν ήδη ενταχθεί στην καθημερινότητα του CISO • ωστόσο, σύμφωνα με τον Χρίστο Τόπακα, ο σημαντικότερος κρίκος για την ασφάλεια είναι και ο πιο …αδύναμος, ήτοι ο χρήστης και αποδέκτης των συστημάτων και δεδομένων καθώς και ο διαχειριστής όλων των συστημάτων ασφάλειας. Γι’ αυτό και είναι εξέχουσα σημαντική η συνεχής εκπαίδευση και εγρήγορση.

Στις λύσεις της Cisco και στο πώς αυτές μπορούν να προστατέψουν τους σύγχρονους οργανισμούς επικεντρώθηκε ο Νίκος Μουρτζίνος, Cisco Security Product Sales Specialist. Μέσα από μια αναδρομή στα μεγαλύτερα data breaches, ο Ν. Μουρτζίνος ανέδειξε τις αδυναμίες των παραδοσιακών αρχιτεκτονικών συστημάτων ασφαλείας στην αντιμετώπιση των σύγχρονων απειλών. Η παρεμπόδιση, η αναγνώριση και η απάντηση στις κυβερνοεπιθέσεις παραμένουν ακόμα και σήμερα οι βασικοί πυλώνες της κυβερνοασφάλειας, ωστόσο αυτό που έχει αλλάξει είναι ο τρόπος θεώρησής τους, σύμφωνα με τον Daniel Grabski, Executive Security Advisor, Enterprise Cybersecurity Group, Microsoft ΕΜΕΑ. Πλέον οι επιχειρήσεις χρειάζεται να προστατεύουν πολλά περισσότερα πράγματα, να αναγνωρίζουν γρήγορα τις νέες απειλές και να αντιδρούν όσο γίνεται πιο γρήγορα σε αυτές.

Κατά 25% θα αυξηθούν οι επιθέσεις ransomware μέσα στο 2017, σύμφωνα με τον Χριστόφορο Χριστοφή, Διευθύνοντα Σύμβουλο της Channel ΙΤ, ο οποίος τόνισε τον ρόλο του IoT στην αύξηση των DDoS επιθέσεων αλλά και το μείζον πρόβλημα της κυβερνοπροπαγάνδας.

Σφίγγει ο κλοιός στο κανονιστικό πλαίσιο
To GDPR είχε την τιμητική του στο 4th Information Security Conference. Και δικαίως, καθώς ο κανονισμός δημιουργεί νέα δεδομένα στα συστήματα ψηφιακής ασφάλειας. Σε μια εις βάθος ανάλυση των προαπαιτούμενων του νέου νόμου GDPR και των ενεργειών στις οποίες οφείλουν να προβούν οι ελληνικές επιχειρήσεις, καλύπτοντας νομικά, τεχνικά και οργανωτικά θέματα, προχώρησε ο Γιώργος Γιαννόπουλος, Επίκουρος Καθηγητής Νομικής Πληροφορικής, Νομική Σχολή, ΕΚΠΑ & Διευθυντής, Εργαστήριο Νομικής Πληροφορικής- Δικηγόρος, Alpha Bank. Στο πλαίσιο αυτό μίλησε για την ευθύνη του υπεύθυνου επεξεργασίας των δεδομένων ο οποίος πρέπει να τηρεί κατά γράμμα τον κανονισμό, για την ανάγκη διαφάνειας και άμεσης πληροφόρησης (η γνωστοποίηση των παραβιάσεων πρέπει να γίνεται εντός 72 ωρών), για τη σημασία του σχεδιασμού της δομής, της τεχνολογίας και των διαδικασιών, για την εκτίμηση «αντίκτυπου» συμβάντων, για τις προσπάθειες που πρέπει να γίνουν στο θέμα της νοοτροπίας προστασίας σε μια εταιρεία, αλλά και για τον ρόλο του GDPR στην ενίσχυση της εμπιστοσύνης του κοινού όσον αφορά τη διατήρηση και προστασία των δεδομένων τους. Σε αντίστοιχα μονοπάτια κινήθηκε και η ομιλία της Βάλια Δεμέστιχα, IBM Data Privacy & Security Sales, Greece, Cyprus, Portugal, Israel, Spain and Malta, η οποία μίλησε για τις τεχνική ετοιμότητα σχετικά με τον GDPR, τα βασικά καθήκοντα, υποχρεώσεις και κυρώσεις που προδιαγράφει, αναλύοντας, παράλληλα, το IBM GDPR Solution Framework. Στις προκλήσεις του GDPR όσον αφορά την Ασφάλεια Πληροφοριών επικεντρώθηκε ο Φίλιππος Κομνηνός, Ειδικός Ασφάλειας Πληροφοριών, Διεθνής Αερολιμένας Α.Ε., ισχυριζόμενος ότι οι απαιτήσεις του GDPR αποτελούν ουσιαστικά μια προσαρμογή πρακτικών ΙΤ Security. Η ανάπτυξη ενός Private Data Mapping είναι σημαντική και μέσω αυτού καθορίζεται πού είναι αποθηκευμένα τα προσωπικά δεδομένα, ποιος έχει πρόσβαση σε αυτά, που βρίσκονται και πόσο καιρό πρέπει να αποθηκεύονται.


Παράλληλα, απαιτείται ένας επανασχεδιασμός του IT/InfoSec περιβάλλοντος, με τη διεξαγωγή τεστ και έλεγχο των υφισταμένων μηχανισμών ελέγχου της ιδιωτικότητας. Για να καλυφτούν οι απαιτήσεις προστασίας των δεδομένων θα χρειαστεί να υιοθετηθούν μελλοντικές τεχνολογίες, ενώ, τέλος, αναφέρθηκε στο ποιος θα παρέχει τις απαιτήσεις προστασίας της ιδιωτικότητας και τόνισε στην ανάγκη συνεργασίας ανάμεσα για την επιτυχία των σχετικών projects. Κατά τα φαινόμενα, το GDPR είναι η κορυφή του παγόβουνου για τις αλλαγές στο σχετικό με την ψηφιακή ασφάλεια ρυθμιστικό πλαίσιο. Εξίσου σημαντική για τους CISOs είναι και το NIS Directive, το οποίο ορίζει το πλαίσιο για την ασφάλεια των πληροφοριακών συστημάτων. Σύμφωνα με τον Κωνσταντίνο Μουλίνο, Security Expert του ENISA, στόχος της οδηγίας είναι να πετύχει ένα κοινό υψηλό επίπεδο ασφάλειας στα δίκτυα και στην πληροφορία εντός της ΕΕ, με καταληκτική ημερομηνία την 9η Μαΐου 2018. Η εφαρμογή της θα προσφέρει βελτιωμένες δυνατότητες κυβερνοασφάλειας σε εθνικό επίπεδο, θα αυξήσει τη συνεργασία σε ενδοκοινοτικό επίπεδο και θέσει τις υποχρεώσεις των φορέων εκμετάλλευσης βασικών υπηρεσιών (OES) και των παρόχων ψηφιακών υπηρεσιών (DSP). Το NIS Directive δίνει ιδιαίτερη έμφαση στην ψηφιακή ασφάλεια των κρίσιμων υποδομών. Στην παρουσίασή του, ο Δρ. Γιώργος Στεργιόπουλος, ερευνητής του INFOSEC Laboratory Οικονομικού Πανεπιστημίου Αθηνών μίλησε για την αντιμετώπιση απειλών των κρίσιμων υποδομών, για μεθοδολογίες διαχείρισης επικινδυνότητας, καθώς και για το πόσο η ανάπτυξη και επέκταση χρήσης των νέων τεχνολογίων μπορούν να περιπλέξουν την όλη κατάσταση. Τον κανονιστικό «χάρτη» της Ασφάλειας Πληροφοριών συμπλήρωσε η παρουσίαση του Πάνου Βασιλειάδη, Managing Director της Adacom για τον κανονισμό eIDAS. Ο εν λόγω κανονισμός εφαρμόζεται σε κυβερνητικούς οργανισμούς και επιχειρήσεις που παρέχουν online υπηρεσίες σε όλους τους πολίτες της ΕΕ, ισχύει για όλα τα μέλη της ΕΕ και έχει στόχο να ενισχύσει την ευρωπαϊκή αγορά ενισχύοντας την εμπιστοσύνη και την ευχρηστία με ασφαλές και αδιάλειπτες διασυνοριακές συναλλαγές. Ο νόμος διασφαλίζει τις διασυνοριακές ηλεκτρονικές συναλλαγές στην ΕΕ, επιτρέπει τη διαφάνεια και προτυποποίηση της αγοράς, εξασφαλίζει τη λογοδοσία, διευκολύνει τις μετακινήσεις των πολιτών στα κράτη μέλη μέσω μιας online διαχείρισης μειώνοντας τη γραφειοκρατία, αυξάνει την ευελιξία και ευχρηστία των κυβερνητικών υπηρεσιών.

Best practices στην ψηφιακή θωράκιση των οργανισμών
«Παραπάνω από τέσσερις μήνες μπορεί να περάσουν μέχρι να γίνει αντιληπτή μια ψηφιακή επίθεση», επισήμανε ο Παναγιώτης Παπαγιαννακόπουλος, Director της EY και Head of Cybersecurity, Data Protection & Privacy Advisory Services της εταιρείας.

Σε αυτό το πλαίσιο, και δεδομένου ότι οι κυβερνοεγκληματίες εκμεταλλεύονται κατά το δοκούν την ψηφιοποίηση των οργανισμών, οι επιχειρήσεις θα πρέπει να χρησιμοποιήσουν την τεχνολογία ως όπλο και να επενδύσουν σε real time analytics, ώστε να αντιμετωπίζουν έγκαιρα τις ψηφιακές επιθέσεις, ακόμα και αυτές που δεν είναι άμεσα ορατές. Η διαδικτυακή ασφάλεια στη πράξη συναρτήσει των ασφαλιστικών προϊόντων που προσφέρει η AIG αποτέλεσε το κύριο θέμα της ομιλίας του Κώστα Βούλγαρη, Head of Financial Lines, Greece, Cyprus & Malta, AIG. Το cyber insurance δεν είναι απλά ένα ασφαλιστικό προϊόν, άλλα ένα εργαλείο Risk Management, το οποίο δεν περιορίζεται στην παροχή αποζημιώσεων, αλλά κυρίως υπηρεσίες αντιμετώπισης κρίσης.

Ο Δρ. Κωνσταντίνος Παπαπαναγιώτου, Greek Chapter Leader του OWASP μίλησε για το penetration testing στα προϊόντα λογισμικού και το πόσο σημαντικό είναι το λογισμικό να είναι ασφαλές εκ σχεδιασμού. Η ασφάλεια ενός λογισμικού, σύμφωνα με τον Δρ. Κ. Παπαπαγιώτου, αποτελεί αναπόσπαστο συστατικό της ποιότητάς του, γι’ αυτό και πρέπει κάθε οργανισμός να εξετάσει το κατά πόσο ασφαλές είναι στην ουσία τα λογισμικά που χρησιμοποιεί.

To συνέδριο έκλεισε με την ομιλία του Urs Fischer, ISACA/ITGI’s Nomination Committee, fmr Member of the COBIT Steering Committee, ο οποίος ενημέρωσε, αρχικά το κοινό, για τις σχετικές με την ασφάλεια απειλές, εστιάζοντας στο χρηματοπιστωτικό τομέα και φέρνοντας ως παράδειγμα τις πρόσφατες επιθέσεις σε δύο ασιατικές τράπεζες.

Παράλληλα, έκανε μια σύγκριση μεταξύ του outsource και του in-house risk management, προχώρησε σε ανάλυση της λειτουργίας Risk Management και ασφάλειας, μίλησε για τους κινδύνους που ελλοχεύουν στο cloud και τις κυριότερες τάσεις απειλών για το 2016, αναφέρθηκε στη μελέτη State of Cyber Security 2017 χαρτογραφώντας το τοπίο της ασφάλειας για το 2017, μίλησε για τους δύο σημαντικούς ευρωπαϊκούς κανονισμούς που αφορούν την ασφάλεια και για το πώς πρέπει να προετοιμαστούν οι επιχειρήσεις επισήμανε τα πράγματα που πρέπει να κάνει η διοίκηση μιας επιχείρησης όσον αφορά την ασφάλεια, αλλά και για τη σημασία της ενημέρωσης σχετικά με την ασφάλεια μέσω των European Cybersecurity Implementation Series.


Ramses Gallego, International Vice President, ISACA- Security Strategist & Evangelist:
Η «κβαντική» διάσταση της ψηφιακή ασφάλειας

«Δεν υφίσταται θέμα επιχειρησιακής προτεραιότητας στην ψηφιακή ασφάλεια: οι οργανισμοί που δεν επενδύουν στη θωράκιση τους είναι απλά αμελείς» διατράνωσε ο διάσημος security strategist & evangelist Ramses Gallego στην keynote παρουσίασή του. Σύμφωνα με τον R. Gallego, οι περισσότεροι οργανισμοί βλέπουν την ψηφιακή ασφάλεια ως μια παρτίδα του επιτραπέζιου παιχνιδιού Risk –«ξεχνούν όμως ότι τα σύγχρονα ψηφιακά επιχειρησιακά συστήματα δεν έχουν σύνορα. Πιστός στο όραμά του για ενημέρωση των επαγγελματιών Ασφάλειας Πληροφοριών σχετικά με τις τάσεις που θα καθορίσουν το μέλλον της εργασίας τους, ο R. Gallego έδωσε ιδιαίτερη έμφαση στο quantum computing • «δεν πρόκειται να έρθει αύριο, ούτε μέσα στα επόμενα πέντε χρόνια. Όμως το quantum computing είναι το επόμενο μεγάλο στοίχημα της τεχνολογίας και θα επηρεάσει σημαντικά και την Ασφάλεια Πληροφοριών, περιπλέκοντας ακόμα περισσότερο τις παραμέτρους θωράκισης των συστημάτων», τόνισε ο R. Gallego. Τέλος, όπως ήταν φυσικό για τον εκ Βαρκελώνης ορμώμενο ειδικό, η ψηφιακή ασφάλεια θα αποτελέσει μείζον θέμα στην ανάπτυξη των έξυπνων πόλεων, κυρίως σε ότι αφορά την προστασία των δεδομένων που συγκεντρώνουν οι αισθητήρες.

Bryce Austin, Experienced Cybersecurity & Technology Strategist:
Tα data breaches μπορούν να συμβούν ανά πάσα στιγμή και σου αλλάζουν τη ζωή

Tην αξέχαστη εμπειρία που αποκόμισε σε ένα από τα μεγαλύτερα data breaches όλων των εποχών περιέγραψε στο συνέδριο ο Bryce Austin. Το 2013, οπότε και συνέβη το data breach, ο Bryce Austin ασκούσε τα καθήκοντα του Senior IT Manager στην Target, τη δεύτερη μεγαλύτερη αλυσίδα λιανικών πωλήσεων στις ΗΠΑ. Έχοντας ήδη έξι μήνες εμπειρία στην εταιρεία ως υπεύθυνος τεχνολογίας των καταστημάτων, οργάνωνε όλη την πληροφοριακή υποδομή τους. «Έχοντας περάσει μια υπέροχη ημέρα των Ευχαριστιών, προσέβλεπα στην επομένη (Black Friday) όπου θα είχα πολύ δουλειά. Ωστόσο ήμουν γεμάτος ενέργεια και όρεξη για δουλειά. Φανταστείτε, λοιπόν, πώς αισθάνθηκα, όταν μας κάλεσαν όλους για να μας ανακοινώσουν ότι είχαμε δεχθεί επίθεση και είχαν υποκλαπεί σχεδόν 40 εκατ. προσωπικά δεδομένα πελατών μας που είχαν ψωνίσει από τα καταστήματά μας (είτε φυσικά είτε ηλεκτρονικά). Μου κόπηκαν τα πόδια όταν το άκουσα, ήταν ένα πολύ σοβαρό γεγονός που μου άλλαξε τη ζωή» δήλωσε ο B. Austin. Ακολούθησαν ανακρίσεις από το FBI και, τελικά, έχασε τη δουλειά του γι’ αυτό το λόγο. «Το πιο σημαντικό που αποκόμισα από αυτήν την εμπειρία μου είναι ότι μια υποκλοπή δεδομένων είναι κάτι που μπορεί να συμβεί σε όλους μας, κάτι που μπορεί, τελικά, να το πληρώσουμε χωρίς να φταίμε, καθώς, φυσικά, δεν υπάρχει 100% ασφάλεια. Μπορεί να μην είναι εφικτό να αποκλείσεις μια επίθεση στα συστήματά σου, ωστόσο, αυτό που πρέπει να κάνεις είναι να την ανακαλύψεις όσο γίνεται πιο γρήγορα, αλλά και να συνεχίσεις να λειτουργείς ενώ δέχεσαι επίθεση, μέχρι να λάβεις τα μέτρα για να τη σταματήσεις» συμπλήρωσε, αποτυπώνοντας ένα από τα βασικότερα συμπεράσματα του συνεδρίου.

Μπορεί η Ασφάλεια Πληροφοριών να αποτελέσει καταλύτη για τον ψηφιακό μετασχηματισμό;
Το 29% των CEOs αναφέρει την ψηφιακή ασφάλεια ως το ζήτημα με τον μεγαλύτερο αντίκτυπο στην επιχειρησιακή λειτουργία, ενώ το 20% αυτών δηλώνει ότι οι ψηφιακές απειλές αποτελούν τον σημαντικότερο κίνδυνο για τον οργανισμό τους. Ωστόσο ποια είναι πραγματικά η θεώρηση των Διοικητικών Συμβουλίων για την ψηφιακή ασφάλεια; Και πόσο σημαντικές είναι οι information security παράμετροι στον σχεδιασμό ψηφιακών προϊόντων και υπηρεσιών; Στα ερωτήματα αυτά κλήθηκε να δώσει απαντήσεις το πάνελ συζήτησεις ανάμεσα σε ανθρώπους της Ασφάλειας Πληροφοριών και σε ανθρώπους του ευρύτερου risk management, στο οποίο συμμετείχαν οι Μιχαήλ Μαυροφοράκης, Διευθυντής Διακυβέρνησης Πληροφορικής & CISO Ομίλου της Εθνικής Τράπεζας, Γεράσιμος Μοσχονάς, Group Information Security Officer & Manager της Alpha Bank, Χριστός Τόπακας, Head Group IT Security & Control Ομίλου Τράπεζας Πειραιώς, Μαργαρίτα Γκολφινοπούλου, Διευθύντρια Επιχειρηματικών Κινδύνων και Risk Champion της AIG και η Μαριλένα Φατσέα, Ιδρύτρια της εταιρεία Fidel & Fortis. Τη συζήτηση πάνελ συντόνισε η Ειρήνη Γκίνη, παραγωγός του 4th Information Security Conference. Από την πλευρά του CISO σημειώθηκε ότι έχουν γίνει βήματα προόδου, καθώς η Ασφάλεια Πληροφοριών έχει πλέον λόγο στον σχεδιασμό νέων προϊόντων και υπηρεσιών, ωστόσο υπάρχει ακόμα δρόμος να διανυθεί μέχρι η Ασφάλεια Πληροφοριών να ενταχθεί αποτελεσματικά σε ένα ευρύτερο πλαίσιο Enterprise Risk Management. Οι συμμετέχοντας στο πάνελ έδωσαν έμφαση στη σημασία της εκπαίδευσης του προσωπικού, ως ένα καθοριστικό κομμάτι του ρόλου του CISO, ενώ επισήμαναν ότι η σωστή ενημέρωση του Διοικητικού Συμβουλίου από τον CISO για τους ψηφιακούς κινδύνους είναι η απαραίτητη προϋπόθεση για τη στρατηγική αντιμετώπιση του cyber risk. Σε αυτό το πλαίσιο, ο business προσανατολισμός του επαγγελματία της Ασφάλειας Πληροφοριών είναι εκ των ων ουκ άνευ.

Hands-on πρακτικές στην Ασφάλεια Πληροφοριών
Την παραμονή του συνεδρίου πραγματοποιήθηκαν expert sessions, στα οποία αναπτύχθηκαν πιο «πρακτικά» θέματα που αφορούν στο Information Security. Ο Παναγιώτης Γεωργίου, Information Security Consultant της SPACE παρουσίασε το πώς τα security analytics συμβάλλουν στο endpoint protection, ενώ ο Daniel Grabski, Executive Security Advisor Enterprise Cybersecurity Group της Microsoft για την περιοχή ΕΜΕΑ ανέδειξε τη “GDPR-proof” διάσταση του Microsoft Office. Ο keynote speaker του συνεδρίου Ramses Gallego παρουσίασε τις παραμέτρους αποτελεσματικής λειτουργίας ενός SOC, δίνοντας έμφαση στον ανθρώπινο παράγοντα και στη στελέχωση αυτού. Στη λήξη των expert sessions πραγματοποιήθηκε cocktail reception από τη Microsoft, Μεγάλο Χορηγό του συνεδρίου.