«Ο CISO πρέπει να έχει την εξουσία (και τη γνώση) για να κάνει τη διοίκηση να αντιληφθεί ότι γνωρίζει πώς πρέπει να γίνει η δουλειά. Αλλιώς, θα οδηγηθεί σε μια τραγωδία που κανείς δεν τη θέλει». Ο Ramsés Gallego, Strategist & Evangelist, Office of the CTO της Symantec, σε μια συζήτηση εφ’ όλης της ύλης με το NetFAX στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας, χαρτογραφεί το τοπίο των απειλών σήμερα.

Πόσο ασφαλείς είμαστε; Ποια είναι τα σημαντικότερα κρυμμένα ρίσκα για τα επιχειρηματικά δίκτυα;
H πιο σημαντική απειλή για μια εταιρεία σήμερα είναι το απατηλό αίσθημα της ασφάλειας, ήτοι να πιστεύει ότι τίποτα δεν θα συμβεί, ότι ποτέ δεν θα αποτελέσει το στόχο μιας επίθεσης. Ωστόσο, κάθε επιχείρηση οφείλει να αντιληφθεί ότι κατέχει κάτι που έχει αξία για κάποιον εκεί έξω: πνευματική ιδιοκτησία, δεδομένα πελατών, πληροφορίες τιμολόγησης, προμηθευτές της εφοδιαστικής αλυσίδας…

Γίνονται σημαντικές επενδύσεις στην αρένα του cyber security αλλά, καλώς ή κακώς, η επιφάνεια μιας επίθεσης έχει επεκταθεί καθώς οι επιχειρήσεις χρησιμοποιούν πολλές πλατφόρμες που πολλαπλασιάζουν τα πιθανά σημεία προσβολής – από τα data centers έως το cloud, από τα workstations έως τις φορητές συσκευές, από το δίκτυο έως τις μεμονωμένες εφαρμογές. Αυτό σημαίνει ότι όλα τα παραπάνω πρέπει να παρακολουθούνται, να προστατεύονται και να υπερασπίζονται.

Από τη στιγμή που αρχίζουμε να αποδεχόμαστε ότι ένα συγκεκριμένο περιβάλλον είναι πολύ δύσκολο να προστατευτεί και/ή ότι μπορεί να θωρακιστεί κάποια άλλη στιγμή στο μέλλον, τότε ξεκινά η αντίστροφη μέτρηση για το τέλος, καθώς αυτή η τρωτότητα, αυτή η «τρύπα» στην εταιρική περίμετρο θα αξιοποιηθεί από τους κυβερνοεγκληματίες για να αποκτήσουν τον έλεγχο του δικτύου, για να αυξήσουν τα δικαιώματα πρόσβασης τους με «χακαρισμένα» διαπιστευτήρια και/ή να παρεισφρήσουν στο εταιρικό δίκτυο ώστε να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες …οι οποίες αποτελούν σήμερα τον πυλώνα κάθε εταιρείας.

Τι στρατηγική πιστεύετε ότι πρέπει να ακολουθήσει ένας CISO σήμερα προκειμένου να ενισχύσει τα επίπεδα ασφάλειας του οργανισμού του;
Είναι κρίσιμο ο CISO να κατανοεί την επιχείρησή του και τους κινδύνους στους οποίους είναι εκτεθειμένη. Είναι θεμελιώδες ο CISO να αντιλαμβάνεται τα σημεία είσοδου/εξόδου των υποδομών και, ως εκ τούτου, να σχεδιάζει και να εφαρμόζει την κατάλληλη τεχνολογία, διαδικασίες και διεργασίες για να προστατεύει και να υπερασπίζεται τον οργανισμό, τα δεδομένα και τους ανθρώπους του.

Κατά την άποψή μου το βασικό έργο ενός CISO είναι να εξυπηρετεί την επιχείρηση στο μέγιστο των δυνατοτήτων του, θέτοντας ως υπέρτατο στόχο τη διαφύλαξη των δύο σημαντικότερων περιουσιακών στοιχείων μιας εταιρείας: των ανθρώπων και των δεδομένων της. Καθώς η ερώτηση αφορά «τα επίπεδα προστασίας», ένα από τα πιο σημαντικά πράγματα είναι η αξιολόγηση τού πού βρίσκεται η εταιρεία τώρα, ποιο είναι το επίπεδο (καλό ή κακό) προστασίας της και πώς μπορεί να κτιστεί η κατάλληλη αρχιτεκτονική, ώστε να ενισχυθεί η ασφάλεια της.

Για να είμαι ειλικρινής, υπάρχουν πολλές διαστάσεις σε αυτό, καθώς τώρα έχουμε το cloud, το mobility, τα Big Data, τις συσκευές storage, το δίκτυο … και υπάρχουν, πράγματι, πολλά σημεία όπου χρειάζεται βοήθεια. Αλλά δεν υπάρχει εναλλακτική λύση, καθώς με το να μην κάνουμε τίποτα βάζουμε σε ρίσκο την επιχείρησή μας. Αντιλαμβάνομαι ότι για να γίνουν όλα αυτά χρειάζονται επενδύσεις και δαπάνες.

Ωστόσο, σε αυτό το σημείο είναι σημαντικός ο ρόλος του CISO για την επιτυχία, καθώς πρέπει να είναι ικανός ώστε να δημιουργήσει ένα επιχειρηματικό μοντέλο για να βοηθήσει το ΔΣ και την Εκτελεστική Επιτροπή να κατανοήσουν τι διακυβεύεται, το τι θα συμβεί αν η εταιρεία δεν προστατευτεί. Ο CISO πρέπει να έχει την εξουσία (και τη γνώση) για να τους κάνει να αντιληφθούν ότι γνωρίζει πώς πρέπει να γίνει η δουλειά. Αλλιώς, μπορεί να οδηγηθούμε σε μια τραγωδία που κανείς δεν τη θέλει.

Και όταν συμβεί το …αναπάντεχο, ένα data breach για παράδειγμα; Πώς μπορούμε να ξέρουμε ότι έχουμε πέσει θύματα ενός data breach; Πώς πρέπει να αντιδράσει ένας οργανισμός σε μια τέτοια περίπτωση;
Συνηθίζω να λέω στους πελάτες τους «να περιμένετε το αναπάντεχο»… καθώς αυτό θα συμβεί. Τη στιγμή που μιλάμε ήδη προκύπτουν νέες απειλές και νέες επιθέσεις. Κάθε ημέρα.Όπως Formjacking, Cryptojacking, Smishing (SMS Phising), Vishing (VoIP Phishing) και άλλα συναφή, τα οποία εκμεταλλεύονται το Machine Learning (βλ. παρακάτω) – οι επιχειρήσεις χρειάζεται να είναι προετοιμασμένες για όλα αυτά. Ως εκ τούτου το «ιερό δισκοπότηρο» της παρακολούθησης τού τι γίνεται στο εταιρικό δίκτυο πρέπει να είναι ενεργοποιημένο.

Νομοθεσίες, όπως το GDPR, ουσιαστικά επιβάλλουν την παρακολούθηση και του τι συμβαίνει σε ένα δίκτυο. Είναι επιτακτική ανάγκη οι οργανισμοί να ελέγχουν και να έχουν τη γνώση για το τι κυκλοφορεί στις εταιρικές εγκαταστάσεις – αλλά και πέρα από αυτές. Αυτός είναι ο μοναδικός τρόπος όχι μόνο να αναγνωρίζονται οι απειλές αλλά και να αντιμετωπίζονται (πριν δράσουν), προστατεύοντας τον οργανισμό.

Στην πραγματικότητα, είμαι υπέρμαχος όχι μόνο των διερευνητικών ελέγχων (detective controls) αλλά και επίσης της εφαρμογής αποτρεπτικών, προληπτικών και διορθωτικών ελέγχων. Η τεχνολογία μπορεί να τα κάνει όλα αυτά με μια απλή πλατφόρμα, σε οποιοδήποτε περιβάλλον (cloud ή όχι), οποιαδήποτε στιγμή.

Κάνοντας αυτό ανοίγουμε την πόρτα στο κόσμο του Incident Response και, αν χρειαστεί, του Crisis Management. Είναι ολοφάνερο για μένα ότι όλα αυτά πρέπει να συνδεθούν μεταξύ τους μέσω του κατάλληλου προγράμματος, του κατάλληλου σχεδιασμού, την προθυμία της επιχείρησης να προστατευτεί και να υπερασπιστεί. Με αυτό τον τρόπο πρέπει να αντιδρά ένας οργανισμός αν πέσει θύμα ενός data breach.

Ποιες είναι οι κυριότερες προκλήσεις για την αγορά cyber security σήμερα;
Μπορεί να φαίνει λίγο αγχωτικό και υπερβολικό του να πρέπει κανείς να ανταποκρίνεται σε ότι συμβαίνει, σε κάθε τομέα, σε όλα τα περιβάλλοντα. Αλλά μπορεί να κάνει αλλιώς; Μπορεί να μη κάνει τίποτα; H μεγαλύτερη πρόκληση είναι να γίνει κατανοητός κάθε πυλώνας της επιχείρησης και του τι χρειάζεται να γίνει για να εκπληρωθούν οι στόχοι της.

Σε έναν υπερβολικά ψηφιοποιημένο κόσμο, πρέπει να καταλάβουμε ότι αυτό θα πρέπει να το κάνουμε με την τεχνολογία, τις εφαρμογές, τον κώδικα, το cloud, τους servers, το δίκτυο, την αλληλεπίδραση, το data sharing κ.λπ. Και ο καλός CISO -και το Διοικητικό Συμβούλιο κατ’ επέκταση-θα πρέπει να αντιμετωπίσει όλα αυτά τα ζητήματα.

Πάνω από όλα αυτά, έχουμε νόμους που πρέπει να τηρήσουμε και, καθώς έχω αναφέρει ήδη το GDPR, οφείλω να υπενθυμίσω στους αναγνώστες σας ότι υπάρχει υποχρέωση αποκάλυψης μιας υποκλοπής δεδομένων σε λιγότερο από 72 ώρες μετά τον εντοπισμό της. Έτσι επιτάσσει ο νόμος. Πρέπει να υπάρχει μια ξεκάθαρη και καθορισμένη διαδικασία μέσα στην εταιρεία γι’ αυτό. Και ο νόμος επιτάσσει ακόμα ότι μια εταιρεία υποχρεούται να αποδείξει ανά πάσα στιγμή τη συνεχή συμμόρφωσή της.

Σε ένα τέτοιο τοπίο έχει κρίσιμη σημασία η γνώση κι είναι επιτακτική ανάγκη να μοιραζόμαστε ότι έχουμε ανακαλύψει, όπως και χρήσιμες πληροφορίες για να κάνουμε τον κόσμο ασφαλέστερο… καθώς οι κακοί, αυτοί που θέλουν να μας δημιουργήσουν προβλήματα, σκαρφίζονται διάφορους τρόπους για να μας επιτεθούν και να μας κάνουν ζημιά (ειδικά τώρα με το Machine Learning, όπου το κόστος της επίθεσης είναι ελάχιστο και ο κόπος των κυβερνοεγκληματιών σχεδόν πλήρως αυτοματοποιημένος).

Στην πραγματικότητα, έχουμε δει μεγάλες ομάδες να πουλάνε attack kits σε μικρότερες… και να μοιράζονται τα λάφυρα μιας επίθεσης! Υπάρχει τεράστιο πεδίο επιχειρηματικής δραστηριότητας στο «σκοτεινό» κόσμο, αλλά ευτυχώς, όπως προανέφερα, υπάρχει απίστευτη τεχνολογία που μπορεί να μας «κρύβει» από τους απανταχού κυβερνοεγκληματίες.

Υπάρχει κάποια συνταγή της επιτυχίας όσον αφορά τη στρατηγική cyber security για έναν οργανισμό;
H επιτυχία μιας στρατηγικής έγκειται, κατά την άποψή μου, στο πόσο ισχυρή και σταθερή είναι …και στο κατά πόσο εκτελούνται και ακολουθούνται οι τακτικές που προδιαγράφει αυτή η στρατηγική. Αυτό που έχω μάθει όλα αυτά τα χρόνια είναι ότι χρειάζεται κανείς να αξιοποιήσει σωστά το τρίπτυχο «άνθρωποι-διαδικασίες-τεχνολογία» για να μπορέσει να ενδυναμώσει τον οργανισμό του , όσον αφορά την προστασία και την υπεράσπισή του. Ένα ακόμα πολύ σημαντικό τρίπτυχο για την επιτυχία συνοψίζεται στα εξής: «κουλτούρα-δομή-στρατηγική».

Πώς βλέπετε το ρόλο των CISOs σήμερα; Τι συμβουλές θα τους δίνατε;
O ρόλος ενός CISO είναι εξελισσόμενος και απαιτεί μια ποικιλία δεξιοτήτων και ικανοτήτων για να συμβαδίζει με τις αλλαγές της αγοράς. Καταρχάς, ο CISO θα πρέπει να κατέχει καλά τόσο την Πληροφορική όσο και το Security (εξαιτίας του «Ι» και του «S» στον τίτλο του…). Αλλά σήμερα χρειάζεται να γνωρίζει, επίσης, τη νομοθεσία, την τεχνολογία και το business development…Ωστόσο, ανήκω σε αυτούς που πιστεύουν και στην αξία της καινοτομίας.

Η καλύτερη συμβουλή που μπορώ να δώσω στους σημερινούς CISO είναι να βρίσκονται στο προσκήνιο της επιχειρηματικής δραστηριότητας, να αντιλαμβάνονται τις επιχειρηματικές ανάγκες, να εξυπηρετούν την επιχείρησή τους με το καλύτερο δυνατό τρόπο. Τους καλώ να μη σταματήσουν να προσπαθούν για την προστασία και την υπεράσπιση της εταιρείας τους, ανεξάρτητα με το τι κάνουν οι κυβερνοεγκληματίες. Αυτό σημαίνει τη μετάβαση από το τυπικό «mission & vision» στο ουσιαστικό «purpose & promise». Δώστε τον όρκο και να είστε πάντα εκεί για να πετύχει η επιχείρησή σας. Δεν υπάρχει άλλη επιλογή.