Η ασφάλεια των πληροφοριών είναι ένα από τα πιο καυτά θέματα συζήτησης στην πληροφορική τα τελευταία χρόνια. Ο αυξανόμενος αριθμός επιθέσεων από εισβολείς και ιούς, καθώς και οι ιστορίες υψηλής προβολής με δεδομένα που έχουν υποστεί παραβίαση, έχουν προσελκύσει μεγάλη προσοχή στον κόσμο της τεχνολογίας πληροφοριών. Τα στελέχη συχνά δεν κατανοούν σε βάθος την ασφάλεια των πληροφοριών, τους κινδύνους και τις τρέχουσες απειλές. Συνήθως έχουν μια ιδέα για δύο ή τρεις απειλές που τους απασχολούν γενικά σε προσωπικό επίπεδο και συχνά δεν θέλουν να εμβαθύνουν στις ιδιαιτερότητες του IT. Όταν εγκρίνουν τον προϋπολογισμό τους, είναι σημαντικό γι’ αυτούς οι επενδύσεις σε νέο λογισμικό να είναι βέλτιστες από πλευράς κόστους και να έχουν θετικό αντίκτυπο στην επιχείρησή τους.
Μια προσέγγιση για συζητήσεις σχετικά με την ασφάλεια των πληροφοριών
Μια συζήτηση με τους υπεύθυνους για την ασφάλεια των πληροφοριών έχει τα δικά της μοναδικά χαρακτηριστικά. Οι άνθρωποι συνήθως δεν δίνουν σημασία στην ασφάλεια εφόσον “όλα είναι εντάξει”. Οι εταιρείες που έχουν βιώσει σημαντική απώλεια δεδομένων λόγω ιών κρυπτογράφησης δίνουν σημαντικά μεγαλύτερη προσοχή στην ασφάλεια από εκείνες που δεν έχουν αντιμετωπίσει ακόμη προβλήματα. Από την άλλη πλευρά, 100% ασφάλεια δεν υφίσταται. Όσο ένα σύστημα λειτουργεί, εκτίθεται σε κινδύνους. Καθήκον μας είναι να καταδείξουμε την ύπαρξη κινδύνων και να τους μειώσουμε σε αποδεκτό επίπεδο. Επειδή η μείωση του κινδύνου βασίζεται στην αγορά προϊόντων λογισμικού, είναι σημαντικό να βρεθεί η ισορροπία όπου είναι πιο επικερδές να πληρώνεις για την ασφάλεια από το να πληρώνεις για την απουσία της.
Οι κύριες προκλήσεις που αντιμετωπίζουν οι επιχειρήσεις στον τομέα της ασφάλειας των πληροφοριών:
Οι άνθρωποι είναι ο πιο αδύναμος κρίκος. Συχνά δεν γνωρίζουν την αξία των πληροφοριών με τις οποίες εργάζονται και είναι αρκετά απρόσεκτοι με την προστασία τους. Η κατάσταση έχει επιδεινωθεί με τη μετάβαση των εργαζομένων στην εξ αποστάσεως εργασία για διάφορους λόγους: οι οικιακές συσκευές είναι λιγότερο ασφαλείς από τις εταιρικές, οι χρήστες των συσκευών έχουν απεριόριστη πρόσβαση και δεν χρειάζεται να παραβιαστεί ο κωδικός πρόσβασης Wi-Fi, επειδή κάποιος μπορεί απλώς να τον ζητήσει.
Διαθεσιμότητα εργαλείων. Σήμερα, είναι σχετικά εύκολο να γίνει κάποιος εισβολέας. Έχουν δημιουργηθεί χιλιάδες προσβάσιμα εργαλεία τα οποία μπορεί να κατεβάσει δωρεάν οποιοσδήποτε αρχάριος. Αυτός είναι ο λόγος για τον οποίο ο αριθμός των λεγόμενων “εισβολέων” είναι αρκετά μεγάλος αυτές τις μέρες. Τέτοιοι “εισβολείς” είναι απίθανο να εισβάλουν σε μια καλά προστατευμένη υποδομή, ωστόσο εταιρείες που δεν δίνουν προσοχή στην ασφάλεια των πληροφοριών εμπίπτουν στην ομάδα κινδύνου. Οι αρχάριοι εισβολείς έχουν γίνει πιο επιτυχημένοι με τη μετάβαση των εργαζομένων στην εξ αποστάσεως εργασία.
Η εταιρεία μας είναι τόσο μικρή – ποιος θα ενδιαφερόταν για εμάς; Αυτή είναι μια ευρέως διαδεδομένη άποψη μεταξύ πολλών εταιρειών. Ακόμη και οι μικρές εταιρείες μπορεί να είναι ο στόχος μιας σκόπιμης επίθεσης, αλλά ένα ακόμη μεγαλύτερο πρόβλημα είναι ότι οι επιτιθέμενοι δεν επιλέγουν τους στόχους τους. Οι επιθέσεις είναι αυτοματοποιημένες και στοχεύουν οτιδήποτε μπορεί να δεχθεί επίθεση. Αφότου μια επίθεση είναι επιτυχής, ο επιτιθέμενος θα δει πώς μπορεί να χρησιμοποιήσει τις πληροφορίες που απέκτησε. Στην πράξη, υπήρξαν γνωστές περιπτώσεις όπου εισβολείς προσπάθησαν να παραβιάσουν διακομιστές κυβερνητικών υπηρεσιών από έναν παραβιασμένο εταιρικό διακομιστή. Οι εταιρείες ανακάλυψαν ότι είχαν υποστεί εισβολή όταν οι υπηρεσίες ασφαλείας πήγαν να τους μιλήσουν και να κατασχέσουν τον εξοπλισμό τους.
Ξεπερασμένες τεχνολογίες. Το πρόβλημα με την ξεπερασμένη τεχνολογία είναι ότι οι τεχνολογίες αυτές σχεδιάστηκαν για να προστατεύουν από απειλές που ήταν επίκαιρες όταν δημιουργήθηκε το εν λόγω λογισμικό. Όσο περισσότερο το λογισμικό παραμένει στην αρχική του κατάσταση, χωρίς ενημερώσεις, τόσο περισσότερες επιθέσεις από τις οποίες δεν προσφέρει προστασία εμφανίζονται. Δεν μπορούν να αποτραπούν όλες οι επιθέσεις με την “ενημέρωση κώδικα” σε ξεπερασμένη τεχνολογία. Έλλειψη ειδικών στην ασφάλεια πληροφοριών και ανεπαρκής προσοχή στην ασφάλεια πληροφοριών από τους ειδικούς πληροφορικής. Ορισμένες εταιρείες δεν διαθέτουν καν ειδικούς σε θέματα ασφάλειας πληροφοριών. Οι λειτουργίες ασφάλειας των πληροφοριών τους εκτελούνται από έναν ειδικό πληροφορικής. Το πρόβλημα είναι ότι η δουλειά τους είναι να παρέχουν μια λειτουργική υπηρεσία πληροφορικής και η ασφάλεια μπορεί να δυσχεράνει την παροχή αυτής της υπηρεσίας.
Τι είναι η ασφάλεια στον κυβερνοχώρο;
Η ασφάλεια στον κυβερνοχώρο, επίσης γνωστή ως ψηφιακή ασφάλεια, είναι η πρακτική της προστασίας των ψηφιακών πληροφοριών, συσκευών και στοιχείων σας. Αυτό περιλαμβάνει τα προσωπικά σας στοιχεία, τους λογαριασμούς, τα αρχεία, τις φωτογραφίες, ακόμη και τα χρήματά σας.
“CIA” – Το ακρωνύμιο αυτό χρησιμοποιείται συχνά για να απεικονίσει τους τρεις πυλώνες της ομοιότητας.
Εμπιστευτικότητα (Confidentiality )– Διατηρούνται τα μυστικά σας και εξασφαλίζεται ότι μόνο οι εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση στα αρχεία και τους λογαριασμούς σας.
Ακεραιότητα (Integrity)– Επιβεβαίωση ότι οι πληροφορίες σας είναι αυτές που πρέπει να είναι και ότι κανείς δεν έχει εισαγάγει, τροποποιήσει ή διαγράψει στοιχεία χωρίς την άδειά σας. Για παράδειγμα, κακόβουλη αλλαγή ενός αριθμού σε ένα υπολογιστικό φύλλο.
Πρόσβαση (Access)– Εξασφαλίζοντας ότι μπορείτε να έχετε πρόσβαση στις πληροφορίες και τα συστήματά σας όταν χρειάζεται. Ένα παράδειγμα ενός προβλήματος πρόσβασης θα ήταν μια επίθεση άρνησης υπηρεσίας, όπου οι εισβολείς πλημμυρίζουν το σύστημά σας με κίνηση στο δίκτυο για να καταστήσουν την πρόσβαση σχεδόν αδύνατη. ή ransomware που κρυπτογραφεί το σύστημά σας και σας εμποδίζει να το χρησιμοποιήσετε.
Η ασφάλεια είναι μια διαδικασία, όχι ένα προϊόν. Παρόλο που οι εφαρμογές και οι συσκευές ασφαλείας, όπως το πρόγραμμα προστασίας από λογισμικό κακόβουλης λειτουργίας και τα τείχη προστασίας, είναι απαραίτητα, δεν αρκεί να συνδέσετε μόνο αυτά τα εργαλεία και να θεωρήσετε ότι όλα είναι εντάξει. Η ψηφιακή ασφάλεια απαιτεί να τεθεί σε εφαρμογή ένα σύνολο εμπεριστατωμένων διαδικασιών και πρακτικών. Σε αυτά περιλαμβάνονται τα εξής:
- Αντίγραφα ασφαλείας – Σημαντικά δεδομένα πρέπει να αποθηκεύονται σε ασφαλή θέση και θα πρέπει να μπορείτε να επαναφέρετε ένα καλό, δοκιμασμένο, αντίγραφο αυτών των δεδομένων σε περίπτωση που συμβεί κάτι κακό στο αρχείο.
- Καλές συνήθειες στον κυβερνοχώρο – Μην ανοίγετε μη αναμενόμενες συνδέσεις ή συνημμένα που μπορεί να λάβετε σε μηνύματα ηλεκτρονικού ταχυδρομείου ή σε κείμενο, ακόμα και αν φαίνεται να προέρχονται από έναν αξιόπιστο αποστολέα.
- Διατηρήστε ενημερωμένο το λογισμικό σας – Τα λειτουργικά συστήματα όπως τα Windows, MacOS, iOS ή Android, καθώς και οι εφαρμογές και τα προγράμματα περιήγησης θα πρέπει να ενημερώνονται με τις πιο πρόσφατες ενημερώσεις κώδικα και επιδιορθώσεις από τον κατασκευαστή.
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης – Οι καλοί κωδικοί πρόσβασης πρέπει να έχουν μήκος τουλάχιστον 14 χαρακτήρων, δεν θα πρέπει να είναι αγγλικές λέξεις και δεν θα πρέπει να χρησιμοποιούνται ξανά σε πολλούς λογαριασμούς.
- Χρήση του ελέγχου ταυτότητας πολλών παραγόντων – Όποτε είναι δυνατό, τόσο στο σπίτι όσο και στην εργασία, ενεργοποιήστε τον έλεγχο ταυτότητας πολλών παραγόντων για να διατηρείτε τους λογαριασμούς σας πιο ασφαλείς. Συμβουλή: Η δωρεάν εφαρμογή Microsoft Authenticator μπορεί να σας βοηθήσει, ακόμη και με λογαριασμούς από εταιρείες όπως το Google, το Amazon, το Facebook και πολλά άλλα.
- Κλείδωμα των συσκευών – Βεβαιωθείτε ότι οι συσκευές σας απαιτούν κωδικό πρόσβασης, PIN ή βιομετρικό έλεγχο ταυτότητας όπως δακτυλικό αποτύπωμα ή αναγνώριση προσώπου για είσοδο σε αυτές. Οι συσκευές που έχουν χαθεί ή κλαπεί μπορούν να είναι ένα χρυσωρυχείο για εγκληματίες, εάν μπορούν εύκολα να έχουν πρόσβαση στα δεδομένα από μια ξεκλείδωτη συσκευή.
- Η ασφάλεια στον κυβερνοχώρο είναι ομαδικό άθλημα. Αν δείτε κάτι ύποπτο ή υποπτεύεστε ότι έχετε πέσει θύμα παραβίασης, επικοινωνήστε με έναν αξιόπιστο σύμβουλο. Εάν αυτό συνέβη στην εργασία ή τη σχολή σας, αναφέρετε το στο τμήμα IT του οργανισμού σας όσο το δυνατόν πιο σύντομα. Είναι πιθανό ότι είναι ένας ψευδής συναγερμός, αλλά ο διαχειριστής IT θα ανακουφιζόταν αν ανακάλυπτε ότι είναι απλώς ένας ψευδής συναγερμός, από το να ανησυχήσει ότι κάτι κακό έχει συμβεί και κανείς δεν το ανέφερε.
- Και μην ντρέπεστε να μοιράζεστε καλές πρακτικές ασφαλείας, συμβουλές ή πόρους με φίλους ή συγγενείς που πιστεύετε ότι μπορεί να ωφελήσουν. Αν τα βρήκατε χρήσιμα, το πιθανότερο είναι ότι και οι άλλοι θα κάνουν το ίδιο.
