Boldon James. Το πρόβλημα των ανθρώπων – το μεγαλύτερο τυφλό σημείο της ασφάλειας
Πως μπορούν οι οργανισμοί να μετατρέψουν τη μεγαλύτερη απειλή για την ασφάλειά τους – τους ανθρώπους – στο πιο ασφαλές περιουσιακό στοιχείο; Όμως το να βασίζεσαι στους ανθρώπους για να αποτελέσουν τη πρώτη και τη καλύτερη γραμμή άμυνας απαιτεί καλά εκπαιδευμένους επαγγελματίες και υπάρχει έλλειψη.
Οι παραβιάσεις ευαίσθητων δεδομένων αυξάνονται. Η συχνότητα παραβιάσεων με απώλειες άνω των 30.000 λογαριασμών έχει εκτοξευτεί από το 2004. Με την έλλειψη δεξιοτήτων στον κυβερνοχώρο να αυξάνεται σε παγκόσμιο επίπεδο και με μια σειρά από εξελισσόμενες απειλές – όπως η χρήση της Τεχνητής Νοημοσύνης ως όπλο – δεν προκαλεί έκπληξη το γεγονός ότι οι κυβερνήσεις θέτουν αυστηρότερους κανονισμούς για να αναγκάσουν τις επιχειρήσεις να προστατεύσουν καλύτερα τα δεδομένα τους και των χρηστών τους.
Τα ζητήματα αυτά είναι αναμφίβολα ανησυχητικά. Ωστόσο, το ανθρώπινο λάθος και η άγνοια παραμένουν οι φορείς που εκμεταλλεύονται ευκολότερα οι χάκερς και συχνά αποτελούν το μεγαλύτερο τυφλό σημείο ασφάλειας μίας επιχείρησης. Προκειμένου να αντιμετωπιστεί η συγκεκριμένη πρόκληση, οι επιχειρήσεις πρέπει να μεταμορφώσουν τους ανθρώπους τους, από το μεγαλύτερο τρωτό σημείο στην ασφάλεια τους, στο μεγαλύτερο τους πλεονέκτημα.
Στην έκθεση του Ινστιτούτου Ponemon “2017 Cost of a Data Breach Study” διαπιστώθηκε ότι στις ΗΠΑ το 25% των επιθέσεων οφείλεται σε αμέλεια των εργαζομένων ή των εργολάβων. Ακόμη πιο ανησυχητικό είναι ότι στο Ηνωμένο Βασίλειο, από τα τελευταία στατιστικά στοιχεία τριμήνου του Γραφείου Επιτρόπου Πληροφοριών (ICO, Information Commissioner’s Office) αποκαλύφθηκε ότι οι τέσσερις από τις πέντε αιτίες για περιστατικά που αφορούσαν στο ICO ήταν το ανθρώπινο σφάλμα και οι εσφαλμένες διαδικασίες (συμπεριλαμβανομένης της απώλειας ή της κλοπής εγγράφων, δεδομένων που αποστάλθηκαν με φαξ σε εσφαλμένους παραλήπτες, δεδομένα που αποστάλθηκαν με ηλεκτρονικό ταχυδρομείο σε εσφαλμένους παραλήπτες και απώλειες ή κλοπές μη κρυπτογραφημένων συσκευών όπως κινητών ή φορητών υπολογιστών κ.ά.).
Ανθρωποκεντρική ασφάλεια
Οι εταιρείες αναλύσεων και ερευνών αγοράς όπως η Gartner, υποστηρίζουν τη μετάβαση στην “ανθρωποκεντρική ασφάλεια”, η οποία ενθαρρύνει τους οργανισμούς να μειώσουν την εξάρτηση τους από τις στοίβες εργαλείων και από τα διάφορα πλαίσια ελέγχου συμμόρφωσης και να ευνοήσουν την δύναμη του ανθρώπινου στοιχείου στην αντιμετώπιση των επιθέσεων και στη μείωση των σφαλμάτων στον τομέα της ασφάλειας. Η εμπιστοσύνη στους ανθρώπους ως η πρώτη και καλύτερη γραμμή άμυνας απαιτεί καλά εκπαιδευμένους επαγγελματίες. Ωστόσο, οι έρευνες δείχνουν ότι η εκπαίδευση και η κατάρτιση των εργαζομένων στον χώρο της κυβερνοασφάλειας για την ευαισθητοποίηση τους είναι κάτι που απουσιάζει παντελώς από τον χώρο.
Επιπλέον, πολλά τμήματα πληροφορικής εκτελούν προγράμματα κυβερνοασφαλείας παρασκηνιακά, τα οποία κρατούν την ασφάλεια στον κυβερνοχώρο μακριά από τα ραντάρ των εργαζομένων και ουσιαστικά επιδεινώνουν μόνο το πρόβλημα. Όταν οι εργαζόμενοι δεν εκπαιδεύονται σε πρωτόκολλο και διαδικασίες για την ασφάλεια στον κυβερνοχώρο, δεν αντιλαμβάνονται την προστασία των δεδομένων και συχνά αγνοούν ότι χειρίζονται ευαίσθητα δεδομένα που απαιτούν εξειδικευμένη εποπτεία και φροντίδα.
Το κενό στις δεξιότητες στον κυβερνοχώρο
Κάτι ακόμα που προστίθεται στο ανθρώπινο πρόβλημα είναι το κενό που υπάρχει στις δεξιότητες που σχετίζονται με το κυβερνοχώρο.
Στην έκθεση της ISACA, State of Cyber Security 2017 διαπιστώνεται ότι το 37% των ερωτηθέντων έχει την άποψη ότι λιγότεροι από ένας στους τέσσερις υποψήφιους έχουν τα προσόντα που χρειάζονται οι εργοδότες τους για να διατηρήσουν τις επιχειρήσεις ασφαλείς.
Πράγματι, σύμφωνα με τα συμπεράσματα που προέκυψαν από την έρευνα που δημοσιεύτηκε τον Ιανουάριο του 2017, το χάσμα δεξιοτήτων στον τομέα της ασφάλειας στον κυβερνοχώρο στην Μ. Βρετανία για παράδειγμα ήταν το δεύτερο χειρότερο στον κόσμο, καθώς η ζήτηση για διάφορους ρόλους στον κυβερνοχώρο υπερβαίνει την προσφορά. Το μεγαλύτερο χάσμα δεξιοτήτων είναι η ασφάλεια στο cloud, με το μερίδιο των θέσεων εργασίας να υπερβαίνει τους υποψήφιους κατά σχεδόν δέκα προς ένα, ακολουθούμενη από ρόλους που σχετίζονται με τα identity και access management (διαχείριση πρόσβασης, ταυτοποίησης κ.ά). Η αναντιστοιχία είναι λιγότερο σοβαρή όσον αφορά στην ασφάλεια από το malware και την αποκατάσταση καταστροφών, όπου η ζήτηση υπερβαίνει την προσφορά κατά τέσσερα προς ένα.
Παράλληλα με την ανησυχία γύρω από τις δεξιότητες στον κυβερνοχώρο, υπάρχει η πρόκληση των αναδυόμενων τεχνολογιών που μπορούν να χρησιμοποιηθούν με κακές προθέσεις, όπως είναι η αυξανόμενη χρήση της Τεχνητής Νοημοσύνης και της Μηχανικής Εκμάθησης από κακοποιούς φορείς που χρηματοδοτούνται, εξελίσσονται και κινούνται με τη ταχύτητα νεοφυών επιχειρήσεων. Πράγματι, τέτοιες “επιχειρήσεις” που στήνονται από κυβερνοεγκληματίες μπορούν να κερδίσουν ανυπολόγιστα ποσά χτυπώντας κερδοφόρους στόχους. Συγκριτικά, η ασφάλεια των πληροφοριών κινείται με τη ταχύτητα της ρύθμισης/ νομοθεσίας, και πάντα προσπαθεί να προφτάσει.
Δημιουργία μιας κουλτούρας κυβερνοασφάλειας
Για την αντιμετώπιση αυτών των ζητημάτων, οι κυβερνήσεις πρέπει να συνεχίσουν να δίνουν προτεραιότητα στη χρηματοδότηση και στις πρωτοβουλίες στον κυβερνοχώρο. Η ίδρυση του Εθνικού Κέντρου Κυβερνοασφάλειας και του προγράμματος CyberFirst της GCHQ, που περιλαμβάνει έναν διαγωνισμό μόνο για τα κορίτσια, αποτελούν καλά παραδείγματα αυτής της δέσμευσης στο Ηνωμένο Βασίλειο.
Παράλληλα, οι επιχειρήσεις έχουν την ευθύνη να δημιουργήσουν μια ισχυρή κουλτούρα προστασίας των δεδομένων από τα κάτω προς τα πάνω. Οι εργαζόμενοι πρέπει να εκπαιδεύονται στην προστασία της επιχείρησής τους ή της οργάνωσής τους και, όπου είναι δυνατόν, πρέπει να αποτελούν μέρος της λύσης. Χρησιμοποιώντας ολοκληρωμένες ροές εργασιών ασφαλείας – συμπεριλαμβανομένης της ανακάλυψης, της ταξινόμησης και της κρυπτογράφησης – οι υπάλληλοι εξουσιοδοτούνται να χειρίζονται σωστά τα δεδομένα, κατά τη δημιουργία τους, κατά την αποθήκευση ή την κοινή χρήση τους.
Ασφαλώς κινούμαστε προς τη σωστή κατεύθυνση. Όταν οι πελάτες, οι κυβερνήσεις, οι επιχειρήσεις, οι τελικοί χρήστες και οι εργαζόμενοι εκπαιδεύονται στην προστασία των δεδομένων, ενθαρρύνεται ο ανθρώπινος παράγοντας στην άμυνα στον κυβερνοχώρο και ελαχιστοποιείται ο κίνδυνος ανθρώπινου λάθους.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.