Τις νέες προκλήσεις της ψηφιακής εποχής αλλά και τα βήματα που θα πρέπει να κάνουν οι ελληνικές επιχειρήσεις ώστε να ανέβουν επίπεδο στην προστασία τους από τις κυβερνοεπιθέσεις αναλύει σε συνέντευξή του στο Euro2day.gr επ’ ευκαιρία της παρουσίας του ως ομιλητής στο Οικονομικό Φόρουμ των Δελφών που θα πραγματοποιηθεί 10-15 Μαΐου ο Kenneth Morris, Ιδρυτής και CEO της KnectIQ,
Παράλληλα, ο ειδικός σε θέματα κυβερνοασφάλειας περιγράφει τις βασικές αδυναμίες των υφιστάμενων μοντέλων προστασίας από κυβερνοαπειλές, εξηγώντας τι έφταιξε για το πρόσφατο μπαράζ ψηφιακών επιθέσεων σε Microsoft και SolarWinds.
Ποια θα πρέπει να είναι η βασική μας ανησυχία όσον αφορά στην κυβερνοασφάλεια στο άμεσο μέλλον;
Οι βασικές αποτυχίες σε σχέση με δεδομένα, συσκευές και δίκτυα οφείλεται στη διαδεδομένη πρακτική της χρήσης ορθών διαπιστευτηρίων πρόσβασης από κακόβουλα άτομα, όπως είδαμε και στις πρόσφατες κυβερνοεπιθέσεις σε SolarWinds και Microsoft. Ο αντιπρόεδρος και ο CEO της Microsoft παραδέχτηκαν ότι η αρχική εισβολή στα δίκτυά τους πραγματοποιήθηκε μέσω της χρήσης σωστών διαπιστευτηρίων από τους χάκερς. Η αμερικανική υπηρεσία ασφάλειας NSA πρόσφατα εξέδωσε οδηγίες για να σταματήσει αυτή η πρακτική. Παράλληλα, η NSA σύστησε την υιοθέτηση της Αρχιτεκτονικής Μηδενικής Εμπιστοσύνης (αρχές Zero Trust) για να μειωθεί η πηγή του 74% όλων των παραβιάσεων δεδομένων.
Καθώς οδεύουμε προς έναν κόσμο όπου όλες οι συσκευές θα είναι δικτυωμένες, ποιοι είναι οι κίνδυνοι που ελλοχεύουν;
Οι επιθέσεις σε διοικητικά κέντρα και κέντρα ελέγχου κρίσιμων εθνικών υποδομών όπως η παραγωγή και διανομή ενέργειας αναμένεται να αυξηθούν στο μέλλον σε τράπεζες και χρηματοοικονομικά συστήματα. Υπάρχουν σημαντικά ρίσκα για αυτούς τους κλάδους καθώς μέσω των τεχνολογιών κινητής τηλεφωνίας που εφαρμόζονται, οι πελάτες τους ελέγχουν μέρος του δικτύου. Η πρόσβαση σε θεμελιωδώς ανασφαλείς συσκευές IoT παρέχουν δισεκατομμύρια δυνητικά σημεία εισόδου σε αντιπάλους ώστε να παρέμβουν αρνητικά στο οικονομικό αποτέλεσμα.
Ποια είναι η άποψη σας για το GDPR; έχει πετύχει το σκοπό του; Οι ΗΠΑ θα πρέπει να ακολουθήσουν στην προκειμένη περίπτωση το παράδειγμα της Ευρώπης;
O Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) δεν έχει ανταποκριθεί ακόμη πλήρως στις προοπτικές του να προστατέψει την ιδιωτικότητα και τα προσωπικά δεδομένα. Οι εταιρίες τεχνολογίας συνεχίζουν να λειτουργούν με ελαττωματικές τεχνολογίες ασφαλείας που δεν έχουν σχεδιαστεί για να προστατεύουν πραγματικά τα προσωπικά δεδομένα. Η Ευρωπαϊκή Ενωση και οι ΗΠΑ λειτουργούν με διαφορετικά κριτήρια σε θέματα προστασίας της ιδιωτικότητας. Η Ευρώπη βασίζει την ιδιωτικότητα σε ένα σχήμα θεμελιωδών δικαιωμάτων ενώ οι ΗΠΑ βασίζουν τα δόγματά τους στην προστασία του καταναλωτή. Οι ΗΠΑ μπορούν να βελτιώσουν την προστασία δεδομένων υιοθετώντας τις αρχές Zero Trust που εντοπίζουν την πρόσβαση, τη μετακίνηση και τη χρήση προσωπικών δεδομένων. Αυτό το επίπεδο διαφάνειας δεν παρέχει μόνο πιο ανθεκτικό πλαίσιο ασφαλείας, αλλά προσφέρει και καλύτερο έλεγχο της χρήσης προσωπικών δεδομένων.
4. Ποια θα ήταν η συμβουλή σας στην ελληνική κυβέρνηση όσον αφορά τα θέματα κυβερνοασφάλειας;
Επικεντρωθείτε σε μια πολιτική ασφαλείας προσωπικών δεδομένων που επικεντρώνεται στις δυο αρχές Zero Trust:
- Κανένα μυστικό (διαπιστευτήριο, κλειδί, πιστοποιητικό κ.τλ) δεν διαρρέει πέραν της άμεσης λειτουργίας.
- Η αναγνώριση νέων συσκευών και προσώπων δεν πρέπει να παραβιάζει την πρώτη αρχή.
Αυτές οι δυο αρχές απομακρύνουν βασικές αδυναμίες που σχετίζονται με την απόκτηση από τους χάκερ των μέσων για να διακόπτουν συστηματικά τη σταθερότητα των χωρών.
5. Ποιο είναι το σημείο - κλειδί για την κυβερνοασφάλεια όσον αφορά στις επιχειρήσεις;
Πέντε είναι τα σημεία κλειδιά για τις επιχειρήσεις:
- Υιοθέτηση των αρχών κυβερνοασφάλειας Zero Trust
- Υλοποίηση των δυο πρώτων αρχών
- Μετακίνηση προς ένα πλαίσιο ασφαλείας που προστατεύει τα δεδομένα όπου και να βρίσκονται.
- Τήρηση της προειδοποίησης της αμερικανικής NSA να μην επιτρέπεται η σύνδεση συσκευών με άγνωστη προέλευση με τις συσκευές και τα εταιρικά δίκτυα.
- Εξάλειψη καθιερωμένων τεχνολογιών όπως το PKI και τα Certificate Authorities που συμβάλλουν στο υφιστάμενο – εύθραυστο περιβάλλον ασφάλειας δεδομένων.