Ασφάλεια πληροφοριακών συστημάτων: αντιμετωπίζοντας την τέχνη της απάτης

29.11.2004

H ανάγκη ευαισθητοποίησης της αγοράς σε θέματα ασφάλειας πληροφοριακών συστημάτων, σε επενδύσεις σε νέες ασφαλέστερες τεχνολογίες και στην εκπαίδευση του ανθρώπινου δυναμικού για την τήρηση θεμελιωδών κανόνων ασφάλειας ήταν το βασικό συμπέρασμα του 2ου Διεθνούς Συνεδρίου Ασφάλειας Πληροφορικής 'Information Security Matrix Forum', το οποίο πραγματοποιήθηκε στις 1-3 Νοεμβρίου 2004 στην Αθήνα, με συνδιοργανωτές την Ελληνοαμερικανική Ένωση και την εταιρεία ENCODE AE.

Στο συνέδριο συμμετείχε ο Kevin Mitnick, διάσημος (πρώην) hacker, o οποίος προσφέρει σήμερα, απεγκλωβισμένος από νομικά κωλύματα, συμβουλευτικές υπηρεσίες σε θέματα ασφάλειας σε επιχειρήσεις και κυβερνητικούς φορείς. Ο Κ. Mitnick μίλησε για την ευκολία με την οποία ανυποψίαστοι χρήστες παραπλανούνται και προσφέρουν μέσω τηλεφώνου συνήθως, απόρρητες πληροφορίες, όπως passwords, κωδικούς και άλλα στοιχεία, σε hackers που παριστάνουν συναδέλφους, συνεργάτες συναδέλφων, προϊσταμένους ή πελάτες.

Σύμφωνα με τον Κ. Mitnick, τα κρούσματα παραπλάνησης χρηστών είναι πολύ περισσότερα από το 11% του συνολικού αριθμού περιπτώσεων ηλεκτρονικής δολιοφθοράς που δημοσιεύουν διάφορες έρευνες, και αυτό γιατί είτε οι εταιρείες δύσκολα παραδέχονται ότι οι υπάλληλοί τους δεν είναι σωστά εκπαιδευμένοι ώστε να τηρούν τους κανόνες ασφάλειας, είτε γιατί οι ίδιοι οι κανόνες είναι ανεπαρκείς ή ανύπαρκτοι.

'Οι άλλοι μας εξαπατούν επειδή είμαστε αφελείς! H τέχνη της απάτης ξεπερνά κάθε τεχνολογία, γιατί οι hackers ψάχνουν να βρουν μια ρωγμή στον τοίχο και η ρωγμή αυτή είναι ο ανθρώπινος παράγoντας. H ασφάλεια δεν είναι τεχνικό πρόβλημα. Είναι πρόβλημα ανθρώπων και διαχείρισης. Επειδή, όμως, δεν μπορείς να κατεβάσεις κανένα πρόγραμμα από τον υπολογιστή για να αντιμετωπίσεις την αφέλεια, πρέπει να μάθουμε να λέμε όχι και να σκεφτόμαστε τις συνέπειες των πράξεών μας.'

Το συνέδριο περιελάμβανε δύο παράλληλες συνεδρίες. Στη συνεδρία Overground Stream παρουσιάστηκαν θέματα, όπως: Παρουσίαση του παγκόσμιου τοπίου της ασφάλειας, Ηλεκτρονική Διακυβέρνηση - ζητήματα διασφάλισης απρόσκοπτης λειτουργίας δικτύων, Εφαρμογή πολιτικής ασφαλείας σε μεγάλους οργανισμούς, Νέες τάσεις στη διαχείριση κινδύνου, Η ασφάλεια δικτύων υπό το πρίσμα του νόμου, Public Key Infrastructures, κ.ά.

Στη συνεδρία Underground Stream, που σχεδιάστηκε ειδικά για όσους εμπλέκονται στο τεχνικό μέρος της ανάπτυξης συστημάτων ασφάλειας, παρουσιάστηκαν θέματα όπως: Η τέχνη της ηλεκτρονικής απάτης, Ζητήματα ασφάλειας τηλεπικοινωνίας (GSM, GPRS) και ασύρματης επικοινωνίας, Η πρόκληση της νέας τεχνολογίας (VoiP, Wireless LAN, Patch Management), Διασφάλιση δικτύων ενάντια σε ιούς και spam. Ο Steve Hunt, ένας από τους πλέον διακεκριμένους αναλυτές στην διαχείριση της Ασφάλειας Πληροφορικών Συστημάτων, αντιπρόεδρος της εταιρείας Forrester/GIGA Group, USA, αναφέρθηκε στα τέσσερα σημαντικά στάδια της ασφάλειας: πιστοποίηση, εξουσιοδότηση, διαχείριση και έλεγχος. 'Η επιχείρηση που επενδύει σε αυτά τα τέσσερα στάδια είναι αυτή που θα αντιμετωπίσει τα λιγότερα προβλήματα' δήλωσε χαρακτηριστικά. Κλειδί στη διαχείριση της ασφάλειας, για τον Hunt, είναι η πλήρης καταγραφή και ο έλεγχος των εξουσιοδοτημένων χρηστών. Αναφέρθηκε μάλιστα χαρακτηριστικά στην περίπτωση που χαμένες ταυτότητες ασφάλειας διατίθενται προς πώληση στο Διαδίκτυο.

Ο καθηγητής Fred Piper, του Royal Holloway του Πανεπιστημίου του Λονδίνου, 'πατέρας' της κρυπτογραφίας, με 20χρονη εμπειρία σε θέματα ασφάλειας πληροφοριακών συστημάτων, μίλησε για το ρόλο της εσωτερικής δικτυακής και διαχειριστικής δομής της επιχείρησης όσον αφορά την επαρκή υποστήριξη των συστημάτων ασφάλειας.

Από την πλευρά του, ο Mike Small της Computer Associates τόνισε ότι 'Απαραίτητες προϋποθέσεις για την καλύτερη ασφάλεια και τη διαχείριση του ρίσκου είναι να γνωρίζουμε α) τι έχουμε να προστατεύσουμε, β) ποιες είναι οι απειλές και γ) ποια είναι τα τρωτά μας σημεία. Η γνώση θα μας οδηγήσει σε ολοκληρωμένη και αποτελεσματική διαχείριση της πρόσβασης, της ταυτοποίησης και των απειλών και θα μας προσφέρει τις απαραίτητες πληροφορίες για τη μέγιστη προστασία των κρίσιμων υποδομών της επιχείρησής μας.'

Ο κ. Κώστας Παπαδάτος, διευθυντής των συμβουλευτικών υπηρεσιών ασφάλειας της ENCODE, τόνισε ότι οι συνεχείς αλλαγές στις τεχνολογίες, στις επιχειρηματικές στρατηγικές και στο νομικό και κανονιστικό πλαίσιο αναγκάζουν τους oργανισμούς να αντιμετωπίζουν συνεχώς μεταβαλλόμενες απαιτήσεις ασφάλειας πληροφοριών. Επιπλέον, η έμφαση στην αποδοτικότητα, την παραγωγικότητα και τον περιορισμό του κόστους περιπλέκει την αποστολή των υπεύθυνων για την ασφάλεια πληροφοριών. Δεδομένης της ανάγκης αποτελεσματικής αντιμετώπισης της ασφάλειας πληροφοριών, οι περισσότεροι οργανισμοί αναπτύσσουν ή έχουν ήδη αναπτύξει εταιρικές πολιτικές ασφάλειας πληροφοριών, καθώς επίσης και τη βέλτιστη, στο πλαίσιο του κάθε οργανισμού, οργανωτική δομή.

Εξάλλου, η μεγαλύτερη δυσκολία που αντιμετωπίζουν οι οργανισμοί δεν έγκειται στην ανάπτυξη πολιτικής για την ασφάλεια, αλλά στην εφαρμογή της σε όλο το εύρος του οργανισμού. Σε αυτό το πλαίσιο, ο Κ. Παπαδάτος παρουσίασε ένα επιτυχημένο μοντέλο εφαρμογής πολιτικών ασφάλειας, το οποίο εμπεριέχει την ενσωμάτωσή τους σε κάθε επιχειρηματική λειτουργία προκειμένου να επιτευχθεί το μέγιστο δυνατό επίπεδο προστασίας των πληροφοριών ενός οργανισμού.

Στο συνέδριο μίλησαν επίσης ερευνητές-πρωτοπόροι του κλάδου, ακαδημαϊκοί και ειδικοί σύμβουλοι, επαγγελματίες και στελέχη από πολυεθνικές εταιρείες και εταιρείες παροχής τεχνολογίας (Πανεπιστήμιο Αιγαίου, Οικονομικό Πανεπιστήμιο Αθηνών, Royal Holloway University, Τράπεζα Πειραιώς, Standard Chartered Bank, Northrop Grumman Mission Systems, Computer Associates, Symantec, Lockheed Martin, McAfee, Skybox Security, Reuters, @Stake κ.ά.).