Κυβερνοασφάλεια και Covid-19: Πώς προστατεύονται επιχειρήσεις και χρήστες

Κυβερνοασφάλεια και Covid-19: Πώς προστατεύονται επιχειρήσεις και χρήστες

Η πανδημία Covid-19 κατέστησε την τηλεργασία που ήταν ελάχιστα διαδεδομένη στην Ελλάδα μέχρι σήμερα την μοναδική διέξοδο για χιλιάδες επιχειρήσεις. Τόσο ο ιδιωτικός όσο και ο δημόσιος τομέας κλήθηκαν να αλλάξουν τον τρόπο λειτουργίας τους σε μεγάλο βαθμό, χωρίς να προετοιμαστούν, αφού δεν υπήρξε ποτέ στο παρελθόν τέτοια ανάγκη. Και για τις εταιρείες όμως που είχαν εισαγάγει την τηλεργασία, οι συνθήκες είναι πρωτόγνωρες και όχι λιγότερο δύσκολες.

«Για κάποιες εταιρείες που ήδη επέτρεπαν την τηλεργασία, είναι πρώτη φορά που έχουν τόσους χρήστες συνδεδεμένους εξ' αποστάσεως ταυτόχρονα και για τόσο μεγάλο χρονικό διάστημα.

Για τις περισσότερες εταιρείες, όμως, είναι η πρώτη φορά που εξετάζουν το ενδεχόμενο τηλεργασίας. Φυσικά η αλλαγή είναι μεγάλη όχι μόνο για τα τμήματα ΙΤ, αλλά και για τους χρήστες, οι οποίοι πρέπει να εκπαιδευτούν στη χρήση νέων εργαλείων και να δημιουργήσουν μια νέα ρουτίνα εργασίας», τονίζει μιλώντας στο ΑΠΕ-ΜΠΕ, ο αρχιτέκτονας κυβερνοασφάλειας για τη Microsoft, Γιώργος Μπαλαφούτης, ο οποίος παράλληλα προειδοποιεί ότι «Η απρογραμμάτιστη αλλαγή στον τρόπο εργασίας αυξάνει τα περιθώρια απώλειας εταιρικών δεδομένων είτε από λάθος του χρήστη ή από χάκερς που εκμεταλλεύονται τα κενά».

Προκειμένου να ανταποκριθούν στις νέες συνθήκες οι εταιρείες θα πρέπει να προσαρμοστούν στα νέα δεδομένα. Όπως λέει ο κ. Μπαλαφούτης, «κάθε εταιρεία έχει διαφορετική υποδομή, οπότε δεν υπάρχει μια συνταγή για όλους», αλλά σίγουρα οι εταιρείες που ήδη επέτρεπαν την τηλεργασία έχουν μπροστά τους λιγότερα ζητήματα να αντιμετωπίσουν.

Συγκεκριμένα, όπως εξηγεί στο ΑΠΕ-ΜΠΕ ο αρχιτέκτονας κυβερνοασφάλειας της Microsoft που καλύπτει τραπεζικούς και κυβερνητικούς πελάτες σε Ευρώπη και μέση Ανατολή «για τις εταιρείες που ήδη είχαν την τηλεργασία (teleworking) στην κουλτούρα τους, το βασικό είναι να βεβαιωθούν πως η υποδομή θα αντέξει την αύξηση του όγκου των ταυτόχρονων χρηστών. Δηλαδή να αντέξουν: τον αυξημένο όγκο δεδομένων που περνά μέσα από τα εταιρικά VPN (virtual private network, κανάλι επικοινωνίας που κρυπτογραφεί δεδομένα για να ''ταξιδέψουν'' ασφαλώς μέσω διαδικτύου) και τα αυξημένα αιτήματα για απομακρυσμένη τεχνική υποστήριξη».

Αντίθετα, οι εταιρείες που δεν είχαν καμία σχέση με αυτόν τον τρόπο εργασίας μέχρι σήμερα, έχουν να αντιμετωπίσουν μια σειρά ζητημάτων. «Το τμήμα ΙΤ αλλά κι η διοίκηση της εταιρείας έχει να σχεδιάσουν ώστε να: εφοδιάσουν με εταιρικά λάπτοπ όλους τους υπαλλήλους, αν αυτοί δεν είχαν ήδη, να δημιουργήσουν πολιτικές τηλεργασίας, επιτρεπτής χρήσης, να προσαρμόσουν την τεχνολογία ώστε να δουλεύει εξ αποστάσεως με ασφάλεια. Λόγου χάρη την ύπαρξη VPN και την κατάλληλη τεχνολογία Data Loss Prevention (DLP) για να μην μπορούν να χαθούν/αντιγραφούν τα δεδομένα από μη εγκεκριμένους χρήστες» εξηγεί ο Γιώργος Μπαλαφούτης και προσθέτει ότι «μέχρι να λύσουν αυτά τα θέματα, οι εταιρείες αυτές ενδέχεται να έχουν αρκετά σκαμπανεβάσματα, παράπονα από χρήστες και πελάτες, και φυσικά τα πάσης φύσεως εταιρικά δεδομένα διατρέχουν κίνδυνο».

Οι βασικοί κίνδυνοι που ελλοχεύουν στην τηλεργασία, έχουν να κάνουν με τα εταιρικά δεδομένα, δηλαδή κάθε είδους πληροφορία που παράγει η εταιρεία κι έχει αξία γι' αυτήν. «Οι περισσότερες εταιρείες εξαρτώνται παντελώς από τη σωστή χρήση και προστασία των εταιρικών δεδομένων. Στο χώρο των κυβερνοεπιθέσεων, αυτά αποτελούν τον κύριο», λέει ο κ. Μπαλαφούτης υποστηρίζοντας ότι υπάρχουν τρεις κατηγορίες κινδύνου: Η υποκλοπή των εταιρικών δεδομένων, δηλαδή κάποιος άλλος έχει πρόσβαση στην πνευματική σου ιδιοκτησία και εταιρικά μυστικά, η καταστροφή τους που χωρίς αντίγραφα ασφαλείας μπορεί να οδηγήσει και στην πλήρη απώλεια πρόσβασης σε αυτά, καθώς και η αλλοίωσή τους.

Αυτά τα τρία μπορούν να προκαλέσουν σε μια εταιρεία νομικά θέματα, μειωμένη απόδοση, απώλεια εμπιστοσύνης των πελατών, οικονομική ζημία, ακόμα και ολική κατάρρευση του οργανισμού, τονίζει ο ειδικός της κυβερνοασφάλειας, μιλώντας στο ΑΠΕ-ΜΠΕ.

Οδηγός προς ναυτιλομένους: Πώς μπορεί μια εταιρεία να προστατευτεί

«Αν η εταιρεία σου παρέχει λάπτοπ, τότε κάνεις ό,τι θα έκανες κι από το γραφείο. Βεβαιώσου πως κάνεις αντίγραφα ασφαλείας ευαίσθητα δεδομένα, το λογισμικό και το αντιικό είναι ενημερωμένο, δεν ανοίγεις ύποπτα συνημμένα και συνδέσμους, και δεν επισκέπτεσαι επισφαλείς ιστοσελίδες. Δεν χρησιμοποιείς στικάκια USB για μεταφορά εταιρικών δεδομένων, ή τουλάχιστον βεβαιώνεσαι πως είναι κρυπτογραφημένο το στικάκι σε περίπτωση απώλειάς του. Εννοείται πως κλειδώνεις τον υπολογιστή όταν απομακρύνεσαι από αυτόν, ειδικά αν έχεις παιδιά, διότι δεν ξέρεις ποιος μπορεί να κάνει κάτι λάθος κατά την απουσία σου. Επίσης, αυτές τις ημέρες πολλοί δουλεύουν περισσότερες ώρες απ' όσο συνήθως, κι ο διαχωρισμός μεταξύ δουλειάς/διαλείμματος/ξεκούρασης δεν είναι ευδιάκριτος. Απόφυγε τη χρήση εταιρικού υπολογιστή για προσωπική εργασία ή αναζητήσεις. Ό,τι συμβαίνει χρησιμοποιώντας τον εταιρικό υπολογιστή, είναι στη δικαιοδοσία της εταιρείας να το παρακολουθήσει. Επίσης, ό,τι πνευματική ιδιοκτησία δημιουργήσεις χρησιμοποιώντας τον εταιρικό υπολογιστή, νομικά ανήκει στην εταιρεία. (Να το θυμάσαι την επόμενη φορά που θα θελήσεις να χρησιμοποιήσεις τον υπολογιστή της δουλειάς για οτιδήποτε εκτός δουλειάς, είτε είναι να γράψεις μια νέα ποιητική συλλογή ή έχεις πλάνο να φτιάξεις μια δική σου εταιρεία)», διευκρινίζει ο κ. Μπαλαφούτης στο ΑΠΕ-ΜΠΕ, προσθέτοντας ότι όσοι αναγκασμένοι να χρησιμοποιήσουν προσωπικό υπολογιστή πρέπει να είναι ιδιαίτερα προσεκτικοί.

Οδηγός προς ναυτιλομένους: Πώς μπορεί ένας χρήστης να προστατευτεί;

Αν η εταιρεία εφαρμόζει σωστά τη μεθοδολογία BYOD (Bring Your Own Device), για να διαχωρίζονται τα εταιρικά από τα προσωπικά δεδομένα, τότε τα εταιρικά δεδομένα είναι αρκετά προστατευμένα. Αν έχει γίνει σωστά η υλοποίηση BYOD, η εταιρεία μπορεί να σβήσει τα εταιρικά δεδομένα εξ' αποστάσεως αν κλαπεί ο υπολογιστής, να αποτρέψει την αντιγραφή εταιρικών δεδομένων, και εν γένει μπορεί να παράσχει τον ίδιο βαθμό προστασίας που θα παρείχε ο εταιρικός υπολογιστής, σημειώνει ο Γιώργος Μπαλαφούτης και προσθέτει ότι: «Ωστόσο, συνήθως είναι ελλιπής η υλοποίηση BYOD, και μάλιστα με αρκετά κενά σχεδιασμού κι ασφαλείας. Οπότε ο απλός χρήστης που δουλεύει από τον προσωπικό υπολογιστή θα πρέπει να προσέξει ό,τι ανέφερα στους εταιρικούς υπολογιστές κι επιπλέον:

-Να έχει ενεργοποιημένο το αντιικό

-Να μην έχει εγκαταστήσει προγράμματα αμφιβόλου προελεύσεως και «σπασμένο» λογισμικό

-Να μην γίνεται χρήση του ίδιου υπολογιστή από διάφορους χρήστες

-Να μη χρησιμοποιεί μη-εγκεκριμένες εξωτερικές υπηρεσίες για μεταφορά εταιρικών δεδομένων (προσωπικό Dropbox, κτλ). Αυτή η χρήση μη-εγκεκριμένης τεχνολογίας λέγεται Shadow IT και σε περίπτωση απώλειας δεδομένων ο υπάλληλος φέρει την ευθύνη».

Σχετικά με τη χρήση του προσωπικού υπολογιστή για εταιρικές ανάγκες, ο ειδικός της Microsoft λέει ότι είναι καλύτερα να αποφεύγεται. «Ίσως είναι θέμα κουλτούρας στην Ελλάδα, αλλά βλέπω αρκετούς υπαλλήλους που μέσα στην αφοσίωσή τους χρησιμοποιούν ακόμα και προσωπικές συσκευές για να «γίνει η δουλειά». Προτείνω να αποφεύγεται αυτό: εφ' όσον ο υπάλληλος κάνει δουλειά για την εταιρεία του, είναι απολύτως μέσα στα δικαιώματά του να ζητήσει, να απαιτήσει, από την εταιρεία του να του παράσχει υπολογιστή για να εργαστεί. Αυτό εξαλείφει και το διαχωρισμό μεταξύ προσωπικού κι εταιρικού δεδομένου», τονίζει.

 Αν παρ' όλα αυτά κάτι πάει στραβά, πρέπει να ειδοποιηθεί άμεσα η τεχνική υποστήριξη της εταιρείας καθώς υπάρχει κίνδυνος «να εγκαταστάθηκε κακόβουλο λογισμικό (malware) το οποίο θα τρέχει στο υπόβαθρο για αρκετό καιρό, στέλνοντας αντίγραφο από τα αρχεία σου ή αυτά που πληκτρολογείς στον χάκερ», επισημαίνει ο Γιώργος Μπαλαφούτης στο ΑΠΕ-ΜΠΕ.

 Η πανδημία του νέου κορονοϊού επιβάλλει προσαρμογή και στον συγκεκριμένο τομέα. Τις προηγούμενες ημέρες έγινε γνωστό ότι συστάθηκε εθελοντική ομάδα στην οποία συμμετέχουν κυρίως υψηλόβαθμα στελέχη από την Amazon και την Microsoft με στόχο την καταπολέμηση της κυβερνοπειρατείας των ιατρικών κέντρων και άλλων οργανισμών που βρίσκονται στην πρώτη γραμμή αντιμετώπισης του κορονοϊού. Παράλληλα, έχουν αυξηθεί οι επιθέσεις και προς τους απλούς χρήστες, πολλοί από τους οποίους εργάζονται πλέον σε καθεστώς τηλεργασίας, κάτι που θέτει σε κίνδυνο και τις εταιρείες για τις οποίες εργάζονται.   

«Πρώτα απ' όλα, οι χάκερ αυτή τη στιγμή έχουν πλεονέκτημα διότι ο δικός τους τρόπος «εργασίας» δεν άλλαξε. Και τώρα έχουν ένα ακόμα εργαλείο στη διάθεσή τους: τον φόβο που φέρνει η αβεβαιότητα για την πανδημία. Έχουμε δει αρκετά παραδείγματα phishing emails (σπαμ που σου ζητούν να κάνεις κλικ ή να ανοίξεις συνημμένα) για να μάθεις περισσότερο πώς να προστατευθείς. Ως κομμάτι της γενικότερης καθοδήγησης για ασφαλή χρήση του υπολογιστή, αν δεν είστε σίγουροι για το σωστό τρόπο να αντιμετωπίσετε μια κατάσταση, καλύτερα να επικοινωνήσετε με την τεχνική υποστήριξη της εταιρείας σας για βοήθεια. Γι' αυτό βρίσκονται εκεί», καταλήγει ο Γιώργος Μπαλαφούτης.

Πηγή: ΑΠΕ-ΜΠΕ