Ο Marc van Zadelhoff είναι Γενικός Διευθυντής του τομέα Security της ΙΒΜ παγκοσμίως και την Πέμπτη 1η Φεβρουαρίου ήταν για πρωινό στην Αίγλη Ζαππείου. Ένα κορυφαίο στέλεχος της ΙΒΜ, με περισσότερα από 20 χρόνια εμπειρίας στον χώρο της ασφάλειας. Καλεσμένοι του οι CISO και CIOs της ελληνικής αγοράς. Είχαμε την ευκαιρία να μιλήσουμε μαζί του για την ασφάλεια στον χώρο των επιχειρήσεων, αλλά και όλες τις σημαντικές εξελίξεις που επηρεάζουν τη λειτουργία τους σε όλα τα επίπεδα.

    NW: Η ζωή για έναν CISO θα μπορούσε να είναι ευκολότερη. Σήμερα, πάρα πολλά στελέχη ασφαλείας έχουν να αντιμετωπίσουν ένα τοπίο γεμάτο εργαλεία που συνήθως δεν έχουν υλοποιηθεί με το βέλτιστο δυνατό τρόπο και που καταναλώνουν πάρα πολλούς πόρους καθώς και μια δυναμική μεταξύ ΙΤ και ασφάλειας, που θα μπορούσε να εμποδίσει τη συνεργασία μεταξύ τους. Πώς μπορεί αυτό να αλλάξει από έναν CISO;

Marc van Zadelhoff: Παλαιότερα, όσοι είχαν ως ενασχόληση τον τομέα ασφάλειας προερχόντουσαν κατά κύριο λόγο από το χώρο της τεχνολογίας. Όμως τα τελευταία 5 έως 10 χρόνια έχουμε την εμφάνιση ενός διευρυμένου ρόλου CISO. ‘Οσοι εργαζόμαστε στον τομέα ασφάλειας ανέκαθεν επιθυμούσαμε να «ακούγεται η φωνή μας» και πιστεύω ότι έχει έρθει αυτή η ώρα. Πώς μπορεί λοιπόν ένας CISO να αλλάξει την υφιστάμενη πραγματικότητα; Πρώτον, να σκέφτεται πέρα από την τεχνολογία. Να συνομιλεί για επιχειρηματικά ζητήματα και να ενημερώνει την επιχείρηση για τους κινδύνους και την ασφάλεια με τέτοιο τρόπο ώστε να γίνεται κατανοητός από τους συνομιλητές του. Επιπλέον, πρέπει να απομυθοποιήσει την έννοια της ασφάλειας στα μάτια των εργαζομένων της εταιρείας εξοικειώνοντάς τους με τις βασικές αρχές ασφάλειας όπως π.χ. να μην ανοίγουν όποιο email λαμβάνουν.

Δεύτερον, ένας επικεφαλής ασφάλειας πρέπει πλέον να αντιλαμβάνεται την ασφάλεια ενιαία και με έναν ολιστικό τρόπο καθώς υπήρχε το φαινόμενο πολλοί CISO να προτιμούν κάποια τεχνολογία και τα εργαλεία της και εν συνεχεία να καταλήγουν 3 ή 4 χρόνια αργότερα με 85 διαφορετικά εργαλεία από 40 προμηθευτές. Πρόσφατα ήμουν στο Ηνωμένο Βασίλειο και στην αγορά υπήρχαν διαθέσιμα 200 εργαλεία από 50 προμηθευτές. Με έναν τέτοιο αριθμό εργαλείων αδυνατεί κανείς να βάλει τάξη. Θα πρέπει να σκεφτεί κανείς την ασφάλεια ως ένα ενιαίο «ανοσοποιητικό» σύστημα, να λάβει υπόψη του το σύνολο των δυνατοτήτων που απαιτούνται – ένα σετ δυνατοτήτων που συνεργάζονται και είναι ενοποιημένες στο σύνολό τους – και με αυτόν το τρόπο θα ενισχυθεί ο ρόλος του CISO. Επιπλέον, υπάρχουν πιο προηγμένοι τομείς που μπορούν να αξιοποιηθούν, όπως η τεχνητή νοημοσύνη και βέβαια ο βαθμός ετοιμότητας σε ότι αφορά την απόκριση σε μια παραβίαση. Όχι μόνο ετοιμότητα ως προς τον εντοπισμό και την ορθή πρόληψη, καθώς πολλοί CISO αφιερώνουν πολύ χρόνο για να αποτρέψουν και να εντοπίσουν μια απειλή παρά για να ανταποκριθούν σε αυτή.

Επομένως, μην περιορίζεστε στον ρόλο του «τεχνολόγου», σκεφτείτε την ασφάλεια ως ένα «ανοσοποιητικό σύστημα», αξιοποιείστε την τεχνητή νοημοσύνη και προετοιμαστείτε για απόκριση σε κάθε εισβολή.

    Η ασφάλεια και η πληροφορική έχουν μαζί έναν βασικό πρακτικό ρόλο στην εκπαίδευση των επιχειρηματικών μονάδων, όσον αφορά την πραγματική φύση των υφιστάμενων απειλών στον κυβερνοχώρο και την ανάγκη για αποτελεσματική προστασία. Θα μπορούσε αυτό να έλθει σε σύγκρουση με τις επιταγές του ψηφιακού μετασχηματισμού;

Με μια πρώτη ματιά μπορεί κάποιος να θεωρήσει ότι η ατζέντα του τμήματος ασφαλείας και του τμήματος ψηφιακού μετασχηματισμού βρίσκονται σε σύγκρουση. Όταν μια επιχείρηση μεταβαίνει στο cloud, μπορεί να νιώθει κανείς ότι αυξάνονται οι κίνδυνοι, όταν υιοθετεί μια λύση IoT ότι υπάρχουν δυσκολίες, αλλά αν το εξετάσει πιο προσεκτικά, γρήγορα συνειδητοποιεί ότι πέρα από τους κινδύνους υπάρχουν και πολλά οφέλη. Για να σας παραθέσω ένα παράδειγμα: όταν αποφασίσετε να μεταβείτε στο cloud, πολλοί πάροχοι cloud, όπως η ΙΒΜ έχουν εξετάσει το θέμα της ασφάλειας σε βάθος και έχουν φροντίσει να την ενσωματώσουν στη βάση της παρεχόμενης υπηρεσίας, κάτι που θα αδυνατούσε να το έχει πράξει μια εταιρεία η οποία προσθέτει την ασφάλεια αργότερα στις δραστηριότητές της. Οι πάροχοι υπηρεσιών cloud όπως η IBM προσφέρουν την ασφάλεια ως «μέρος της εμπειρίας». Η φυσική ασφάλεια των data centers και της υποδομής cloud που παρέχει η ΙΒΜ διαθέτει ένα επίπεδο ασφάλειας που θα ήταν πολύ δύσκολο να την επιτύχει κανείς. Άρα μετάβαση στο digital με μετάβαση στο cloud.


Ένα άλλο παράδειγμα είναι η ηλεκτρονική τραπεζική, το online banking. Κάποιοι όταν ξεκινούν να δημιουργούν εφαρμογές mobile και online banking, αισθάνονται ότι υπάρχει σύγκρουση ανάμεσα στη μετάβαση στον ψηφιακό κόσμο και την ασφάλεια. Οι διαθέσιμες όμως τεχνολογίες ασφαλείας σήμερα μας επιτρέπουν ακόμα και να αφαιρέσουμε τον κωδικό πρόσβασης και να δημιουργήσουμε μια απρόσκοπτη εμπειρία πελάτη, όπου τα δεδομένα ασφαλείας που είναι γνωστά για τον πελάτη παρέχουν αυξημένη γνώση και κατανόηση του τι ακριβώς πραγματοποιεί ως ενέργεια τη δεδομένη στιγμή. Επίσης, μπορούμε να χρησιμοποιήσουμε βιομετρικά στοιχεία. Κατά τη διάρκεια μιας σύνδεσης, οι χρήστες μπορούν απλά να συνδεθούν στην αρχή και μόνο όταν θελήσουν να κάνουν κάτι πιο σύνθετο, όπως η μεταφορά χρημάτων, τότε να απαιτούνται επιπρόσθετα στοιχεία. Έτσι αυξάνεται η ασφάλεια και δημιουργείται μια ψηφιακά συναφής εμπειρία για τον πελάτη. Επιπλέον, διασφαλίζεται η ολοκλήρωση μιας επιτυχημένης διαδικασίας .

Εδώ, είναι σημαντικό να αναφέρουμε ότι η νέα γενιά νιώθει άνετα με τη χρήση βιομετρικών στοιχείων, όπως την αναγνώριση προσώπου και τα δακτυλικά αποτυπώματα και αυτό προβλέπεται ότι θα μεταβάλλει πραγματικά την εν λόγω εμπειρία. Θα μπορούσε να πραγματοποιείται μια συνεχής πιστοποίηση, όχι μόνο την κρίσιμη στιγμή που συνδέεται κάποιος στην τράπεζα. Η τεχνολογία είναι εκπληκτική. Πρόσφατα ήμουν στο lab της ΙΒΜ στο Ισραήλ και μπορώ να σας πω ότι μπορούμε να αξιοποιήσουμε πολλά στοιχεία για την εξακρίβωση της ταυτότητας των χρηστών. Ο τρόπος που χρησιμοποιείτε το ποντίκι σας για παράδειγμα. Όλοι έχουν το δικό τους τρόπο και αν κάποια στιγμή θα μπορούσαμε να αναγνωρίσουμε το μοτίβο της δακτυλογράφησης ή της χρήσης του ποντικιού, αυτό θα αποτελούσε ένα προσωπικό στυλ, άρα μια ένδειξη σαν την υπογραφή σας. Και αν σε μια δεδομένη στιγμή κάποιος το πράξει με άλλο τρόπο χρησιμοποιώντας τον υπολογιστή σας, τότε θα μπορούσε να ενεργοποιηθεί μια ρουτίνα ελέγχου ταυτότητας π.χ. μια σειρά ερωτήσεων που στοχεύουν στην ταυτοποίησή σας ή να ενεργοποιηθούν άλλες μέθοδοι ελέγχου. Υπάρχουν έρευνες που καταδεικνύουν ότι υπάρχουν διαφορές ακόμα και στη δύναμη που ασκεί κάποιος όταν πατά την οθόνη του κινητού τηλεφώνου ή πόσο παχύ είναι το δάχτυλό του. Αυτό στο μέλλον μπορεί να σας ταυτοποιήσει. Οι millennials θα είναι πιο άνετοι με αυτές τις τεχνολογίες και αυτό θα κάνει την ψηφιακή εμπειρία πιο πλούσια.

    Η ψηφιακή εμπιστοσύνη (digital trust) είναι μια κρίσιμη μονάδα μέτρησης για την ανάπτυξη των νέων επιχειρήσεων. Σήμερα χρειαζόμαστε νέες δυνατότητες για τη διαχείριση της ψηφιακής εμπιστοσύνης και την αξιοποίηση της δυνητικής αξίας που προσφέρουν τα ψηφιακά οικοσυστήματα. Ποιες είναι οι Προκλήσεις και οι Ευκαιρίες στο χώρο του Digital Trust;

Η ψηφιακή εμπιστοσύνη υπονομεύεται καθημερινά από οργανωμένους εγκληματίες στον ονομαζόμενο σκοτεινό ιστό (dark web). Κάθε φορά που ακούτε για παραβιάσεις που συνέβησαν τόσο στην Ευρώπη όσο και στις ΗΠΑ, αναφέρονται στη δημιουργία ψηφιακών ταυτοτήτων, αυτό είναι που επί της ουσίας κάνουν οι χάκερ. Κάθε φορά που παραβιάζουν κάποιο σύστημα, δημιουργούν μια βάση δεδομένων ώστε να μπορούν να πάρουν στοιχεία όπως τον αριθμό ασφαλείας σας, το πατρικό όνομα της μητέρας σας, τη διεύθυνσή σας και πριν ακόμα το καταλάβετε, πρόκειται να εισπράξουν την επιστροφή φόρου για σας ή να ανοίξουν μια υποθήκη ή να προσπαθήσουν να πάρουν τον τίτλο ιδιοκτησίας του σπιτιού σας. Αφού έχουν δημιουργήσει μια πλήρη εικόνα της ψηφιακής ταυτότητάς σας, τότε πραγματοποιούν την επόμενη ενέργεια. Πολλοί άνθρωποι πιστεύουν ότι η κλοπή των δεδομένων τους ήταν όλο το εγχείρημα. Αντίθετα, αντλούν την αναγκαία πληροφόρηση ώστε να προβούν στην επόμενη κίνηση. Είναι σαφές λοιπόν ότι η πρόκληση εδώ είναι τεράστια, υπάρχει όμως η ευκαιρία να αναχαιτιστεί με την αξιοποίηση της τεχνολογίας. Γι αυτό χρησιμοποιούμε όλα τα είδη τεχνητής νοημοσύνης για την προστασία της ψηφιακής εμπειρίας. Στην ΙΒΜ εργαζόμαστε σε ένα πρόγραμμα στην πλατφόρμα Quad 9 που στοχεύει στην αξιοποίηση των δεδομένων ενός διακομιστή DNS για να κατανοήσουμε ποιοι τομείς καταχωρούνται από τους χάκερs, πριν κανείς άλλος το γνωρίζει. Η ΙΒΜ διαθέτει γνωσιακή τεχνολογία (cognitive technology) που επιχειρεί να καταλάβει ποιοι ιστότοποι χρησιμοποιούνται για phishing. Έχουμε π.χ. όλων των ειδών τις έρευνες για τον σκοτεινό ιστό σε ότι αφορά τα κίνητρα και το κακόβουλο λογισμικό που χρησιμοποιείται σε αυτές τις επιθέσεις κατά της ψηφιακής ταυτότητας των χρηστών.


    Η γνωσιακή ασφάλεια διαμορφώνεται με βάση τις διαδικασίες της ανθρώπινης σκέψης για την ανίχνευση απειλών και την προστασία φυσικών και ψηφιακών συστημάτων. Πώς διασφαλίζει η IBM την ασφάλεια των επιχειρήσεων με βάση αυτή τη νέα εποχή;

Υπάρχει ένας πόλεμος ανάμεσα στην «καλή» τεχνητή νοημοσύνη και την «κακή» τεχνητή νοημοσύνη. Ο πόλεμος αυτός είναι εν μέρει στο μέλλον, αλλά έχουμε ήδη αρχίσει να βλέπουμε χάκερ να χρησιμοποιούν malware με πολύ εξελιγμένη μηχανική μάθηση και ενσωματωμένη τεχνητή νοημοσύνη. Αυτό που προσφέρουμε εμείς στους πελάτες μας είναι η δυνατότητα αξιοποίησης του «καλού» AI για την προστασία τους, αξιοποιώντας τις βέλτιστες δυνατότητες που διαθέτουμε στον εν λόγω τομέα. Επομένως, η βασική στρατηγική της ομάδας ανάπτυξης λύσεων είναι ο εμπλουτισμός κάθε υφιστάμενης δυνατότητας ασφαλείας που προφέρουμε ήδη στους πελάτες μας με τις βέλτιστες δυνατότητες AI που διαθέτει σήμερα η IBM. Και φυσικά η εταιρεία διαθέτει κορυφαίες τεχνολογίες ΑΙ, όπως τον Watson. Αξιοποιήσαμε λοιπόν τον Watson στον κυβερνοχώρο και αυτός έχει διαβάσει τα πάντα για την ασφάλεια στον τομέα αυτό. Τον έχουμε εκπαιδεύσει για να διαβάζει κάθε αδόμητο εξωτερικό έγγραφο, να το ταξινομεί σε ένα δομημένο σώμα γνώσης και να μπορεί να ενημερώνει, εκ των προτέρων, τους πελάτες μας για το τι συμβαίνει στον κυβερνοχώρο πριν καν το αντιληφθεί ο ίδιος ο πελάτης. Έχουμε εκπονήσει ένα ολόκληρο εγχείρημα όπου μπορούμε να αξιοποιήσουμε τη μηχανική μάθηση και τη γνωσιακή τεχνολογία για να διαβάζουμε ιστοσελίδες και να ανιχνεύουμε αν πρόκειται για τοποθεσίες phishing ή για πραγματικούς ιστότοπους. Αν παραδείγματος χάριν, εμφανίζονται δύο sites μιας τράπεζας, μπορούμε να εντοπίσουμε αν είναι και τα δύο πραγματικά, ή το δεύτερο είναι απάτη το οποίο προσομοιάζει το πραγματικό και είναι έτοιμο να προβεί σε κάποια κακόβουλη ενέργεια. Οι δύο σελίδες μπορεί να δείχνουν πανομοιότυπες, αλλά αν εφαρμόσετε κάποιες από τις βασικές τεχνολογίες ΑΙ στη σάρωση και κατανόηση και των δύο ιστοτόπων, μπορείτε να εντοπίσετε αυτόν που έχει στηθεί για phishing. Επομένως, υπάρχουν πολλοί τρόποι με τους οποίους μοχλεύουμε το AI σε κάθε περιοχή του χαρτοφυλακίου μας και κατορθώνουμε πράγματα που δεν μπορούσαμε να πραγματοποιήσουμε πριν από 2 χρόνια.

    Λέγεται ότι οι πραγματικές δημιουργικές ανακαλύψεις προέρχονται από νέες συνδέσεις μεταξύ των υφιστάμενων αντιλήψεων και όχι από πρωτότυπες ιδέες. Για να επιλύσουμε τις πιεστικές προκλήσεις ασφάλειας του σήμερα, χρειαζόμαστε πιο δημιουργικές προσεγγίσεις και ο μόνος τρόπος για να τις βρούμε είναι να δημιουργήσουμε νέες συνδέσεις. Είναι αλήθεια αυτό ή είμαστε απελπισμένοι για καινοτόμες λύσεις και ιδέες;

Αρχικά να πούμε ότι υπάρχουν πολλές καλές ιδέες στην ασφάλεια. Μπορεί να υπάρξει μια θαυμάσια ιδέα αύριο, αλλά αν δεν την υλοποιήσουμε, τότε δύσκολα θα αποκτήσει αξία. Βλέπω πάντως και τις δύο κατευθύνσεις στις ομάδες μου όσο και στους πελάτες, αυτές στις οποίες αναφέρεστε. Ένα από τα labs μας στην Ινδία, για παράδειγμα, απέχει από τις καθημερινές εργασίες για 5 ημέρες ώστε να επιτρέψει χρόνο για το λεγόμενο brainstorming σε ότι αφορά τις νέες ιδέες ή τη βελτίωση της εμπειρίας ασφάλειας του πελάτη. Έτσι οι άνθρωποι έρχονται στο γραφείο, χωρίζονται σε ομάδες και ασχολούνται με τους πιο απίθανους τρόπους βελτίωσης και δημιουργίας νέων ιδεών σε ότι αφορά το χαρτοφυλάκιο μας. Οι εν λόγω συναντήσεις ακολουθούν δε πολλές από τις αρχές του desing thinking. Πρόσφατα ένας πελάτης μου έλεγε ότι πήρε ολόκληρη την ομάδα του και έκανε ένα διάλειμμα από τις καθημερινές εργασίες, ώστε να σκεφθούν τον τρόπο με τον οποίο μπορούν να υλοποιήσουν καλύτερα την ασφάλεια στην επιχείρησή τους. Με τον ίδιο τρόπο λειτουργεί και η Χ-Force ομάδα της ΙΒΜ. Συνεργαζόμαστε με τον πελάτη συμφωνώντας να «παραβιάσουμε» τα συστήματά του με την άδειά του. Δεν υπάρχει πιο χρήσιμη εμπειρία για τον πελάτη από το να έχει την ομάδα ασφάλειας της IBM να παίρνει τον έλεγχο ενός ATM ή μιας συσκευής IοT ή τον έλεγχο ενός αυτόνομου αυτοκινήτου. Ξαφνικά ο πελάτης βιώνει πραγματικά το συμβάν και σε ότι αφορά την ασφάλεια δεν νομίζω ότι υπάρχει καλύτερος τρόπος κατανόησης του πώς σκέφτεται και ενεργεί ένας εγκληματίας στον τομέα αυτό, αν του δοθεί η ευκαιρία. Αντλούνται ιδιαίτερα σημαντικά συμπεράσματα από τις εν λόγω ασκήσεις. Από τη μια μεριά βλέπετε, έχουμε έναν αντίπαλο, τον χάκερ, που εστιάζει μόνο και για μεγάλο χρονικό διάστημα στο πώς θα παραβιάσει το σύστημα. Σκεφτείτε την ασυμμετρία. Η εταιρεία πρέπει να εξασφαλίσει κάθε διακομιστή, κάθε δικτυακή συσκευή ενώ ο χάκερ εστιάζει σε ένα πρόβλημα και προσπαθεί να λύσει μόνο αυτό.

    Οι οργανισμοί επενδύουν ένα μεγάλο μέρος των πόρων για να ανταποκριθούν στους κανονισμούς της βιομηχανίας και των κυβερνήσεων. Ωστόσο, ορισμένοι εξακολουθούν να πέφτουν θύματα παραβίασης δεδομένων, παρά την εκπλήρωση όλων των ελέγχων συμμόρφωσης του κλάδου και της κυβέρνησης. Όταν συμβαίνει αυτό, είναι πιθανό ο οργανισμός να επικεντρώνεται περισσότερο στην αποφυγή κυρώσεων και στην «συμμόρφωση προς την αρχή» παρά στην ανάπτυξη ενός ισχυρού σχεδίου ασφάλειας στον κυβερνοχώρο. Ποια είναι η σωστή ισορροπία μεταξύ των δύο σημείων;

Πριν από μερικά χρόνια προσφέραμε τις υπηρεσίες μας σε ένα μεγάλο οργανισμό ο οποίος ήταν μέλος του συμβούλιου για το πρότυπο PCI (πρότυπο βιομηχανικής κάρτας πληρωμών). Επομένως είχαν βοηθήσει να γραφτεί το συγκεκριμένο πρότυπο. Μια φορά ρώτησα τον CISO «παρεμπιπτόντως, είστε συμβατοί με τον κανονισμό PCI;» και αυτός γέλασε και μου είπε «είμαστε, αλλά αν αυτό ήταν το μόνο που κάναμε, θα ήμασταν θύματα hacking καθημερινά». Αυτό είναι ακριβώς το θέμα με τη συμμόρφωση. Είναι πολύ καλή στο να δημιουργεί την απαραίτητη εστίαση, να βοηθά στην δημιουργία του απαραίτητου προϋπολογισμού, μέσω των ελεγκτικών και ρυθμιστικών αρχών που το επιβάλλουν αλλά αν το μόνο που κάνει μια επιχείρηση είναι η συμμόρφωση, τότε δεν εξαλείφει το πρόβλημα του hacking. Επομένως, είναι βέβαιο ότι πρέπει να υλοποιεί ένας οργανισμός τους κανονισμούς συμμόρφωσης καθώς είναι σημαντικά βοηθητικοί, αλλά πρέπει επίσης να λαμβάνει υπόψη του τους υπαρκτούς κινδύνους και να τους αντιμετωπίζει. Οι ασκήσεις «παραβίασης», που αναφέραμε προηγουμένως, αυτές που υλοποιεί η ερευνητική ομάδα της IBM X-Force απαντά αν θέλετε σε αυτό το ερώτημα: «Έχετε την απαραίτητη συμμόρφωση, ας ελέγξουμε ότι είστε ασφαλείς, ας δούμε τι θα επακολουθήσει μιας παραβίασης των συστημάτων σας». Αυτά είναι τα βασικά στοιχεία ασφάλειας. Ένας CISO σήμερα το πρωί στην εκδήλωση ανέφερε «όταν βλέπετε ένα λάθος που γίνεται είτε από έναν εσωτερικό χρήστη είτε από ένα χάκερ, η πληροφορία αυτή είναι δώρο». Υπάρχει λοιπόν η επιλογή του πανικού και της αδράνειας ή της εμπειρίας που αποκομίζει κάποιος από αυτήν την ενέργεια. Είναι πολύ σημαντικό λοιπόν να διενεργούνται δοκιμές και να μαθαίνουμε από τις αποτυχίες μας στα δοκιμαστικά περιβάλλοντα ασφάλειας, έτσι ώστε να βελτιωνόμαστε συνεχώς. Επειδή ένας χάκερ ξοδεύει πολύ καιρό σε δοκιμές, προετοιμάζοντας προσεκτικά αυτό που πρόκειται να πράξει.