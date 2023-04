Ο Παναγιώτης Σκύρλας, Διευθυντής Ασφάλειας Πληροφοριών & Κανονιστικής Συμμόρφωσης στη Stoiximan.gr και Betano.com και αντιπρόεδρος του ISACA, μας παρουσιάζει μια “ακτινογραφία” των διαδικτυακών κινδύνων και απειλών, ενώ μας δίνει και χρηστικές συμβουλές για το πώς πρέπει να κινούμαστε στο δαιδαλώδες ίντερνετ του καιρού μας.

Λίγες μέρες μετά την εκδήλωση “Ηow to deal with the evolving world of Cyber crime” και την ώρα που το διαδικτυακό έγκλημα βρίσκει τρόπους να ελίσσεται και να μας απασχολεί καθημερινά, ο Παναγιώτης Σκύρλας (Διευθυντής Ασφάλειας Πληροφοριών & Κανονιστικής Συμμόρφωσης στη Stoiximan.gr και Betano.com και αντιπρόεδρος του ISACA) μιλά στο News 24/7 για τους κινδύνους που αντιμετωπίζουμε σήμερα στο “σύγχρονο διαδίκτυο”.

Ο κ. Σκύρλας παρουσίασε ένα πλήρες πρόγραμμα κυβερνοασφάλειας υπογραμμίζοντας τις απειλές, τα πραγματικά περιστατικά, και τα μέτρα ασφάλειας που θα τα είχαν αποτρέψει. Το News 24/7μίλησε μαζί του για το δαιδαλώδες διαδίκτυο, για το είδος των απειλών και την πολυπλοκότητά τους αλλά και για το τί τελικά πρέπει να κάνουμε χρηστικά, στην καθημερινή μας ζωή, για να προστατευτούμε όσο περισσότερο γίνεται.

Λίγα λόγια για την ταυτότητα του ISACA Athens Chapter και σε ποιους τομείς δραστηριοποιείται:

Το Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής – ISACA Athens Chapter δραστηριοποιείται στην Ελλάδα από το 1994 ως το ελληνικό παράρτημα του διεθνούς οργανισμού ISACA International. Το Ινστιτούτο έχει μη κερδοσκοπικό χαρακτήρα και βασικός σκοπός του είναι να προάγει την ελεγκτική επιστήμη και να διευκολύνει την ανταλλαγή τεχνικών, μεθόδων και καλών πρακτικών γύρω από τον , έλεγχο, την ασφάλεια, τη διακυβέρνηση και τη διαχείριση κινδύνων πληροφοριακών συστημάτων. Επίσης, προσδιορίζει και προωθεί τα πρότυπα που αφορούν τους επαγγελματίες του κλάδου, στους οποίους παρέχει τις επαγγελματικές πιστοποιήσεις CISA®, CISM®, CGEIT® και CRISC™.

Σήμερα το Ινστιτούτο έχει περισσότερα από 400 μέλη που προέρχονται από διαφορετικούς τομείς δραστηριότητας, από χρηματοπιστωτικά ιδρύματα μέχρι εταιρείες πληροφορικής και από τηλεπικοινωνίες μέχρι εκπαιδευτικούς και πανεπιστημιακούς φορείς.

Ποια είναι τα σύγχρονα είδη παραβιάσεων και ποια η συχνότητά τους στη χώρα μας; Ισχύει ότι οι εκβιαστές πλέον ζητούν λύτρα σε κρυπτονομίσματα, ενώ υπάρχουν και περιπτώσεις πώλησης ιατρικών και προσωπικών δεδομένων στη μαύρη αγορά;

Όσο εξελίσσονται τα συστήματα, τόσο εξελίσσεται και το cyber crime. Για παράδειγμα, οι νέοι τρόποι επίθεσης, όπου ο χάκερ έχει εξελιχθεί πάνω από το σύστημα ασφάλειας, έχουν τη δική τους κατηγορία: ονομάζονται Zero Day και κερδίζουν έδαφος διαρκώς. Έξαρση έχουν οι επιθέσεις APT (Advanced Persistent Threat), που αφορούν ομάδες που βάζουν στόχο συγκεκριμένο οργανισμό, μπαίνουν στα συστήματα για μεγάλο διάστημα και αφαιρούν σταδιακά χρήματα ή δεδομένα.

Πολύ συχνές είναι πλέον και οι επιθέσεις ransomware, όπου ο χρήστης πέφτει στην παγίδα ενός κακόβουλου email με αποτέλεσμα να κρυπτογραφούνται τα δεδομένα του και να του ζητείται άμεσα ένα χρηματικό ποσό για την επαναφορά τους. Στην ίδια λογική, και όσο τα κρυπτονομίσματα εισχωρούν στην παγκόσμια οικονομία αλλά εντοπίζονται δύσκολα από τις Αρχές, είναι μια πολύ ελκυστική επιλογή για τους εκβιαστές του κυβερνοχώρου. Και όσο η νέα πολιτική προστασίας προσωπικών δεδομένων καθιστά πιο δύσκολη τη μεταφορά λιστών, ήταν θέμα χρόνου να γίνουν ένα ακόμη πιο πολύτιμο αγαθό στις συναλλαγές παράνομης πώλησης. Με άλλα λόγια, ο κυβερνοχώρος είναι ένας νέος κόσμος που αναπτύσσεται διαρκώς, στις θετικές και τις αρνητικές πλευρές του. Και για κάθε ικανό επαγγελματία στην προστασία των συστημάτων, υπάρχει ένας εξίσου ικανός χάκερ που προσπαθεί να τον προσπεράσει από την απέναντι πλευρά τη φράκτη.

Τα τελευταία χρόνια έχουμε δει “πολέμους” χάκερς ακόμη και ανάμεσα σε κυβερνήσεις. Παράδειγμα ήταν οι προεδρικές εκλογές των ΗΠΑ. Μετά από όλα τα σκάνδαλα που έχουμε βιώσει μπορεί κανείς να πει πως σήμερα υπάρχει τελικά αποτελεσματικός τρόπος να θωρακιστεί μια επιχείρηση απέναντι στις κυβερνοεπιθέσεις;

Όλοι αναγνωρίζουμε ότι οι κυβερνοεπιθέσεις γίνονται όλο και πιο εξειδικευμένες αγγίζοντας πολύ υψηλά επίπεδα. Οι κίνδυνοι που υπάρχουν στο οικοσύστημα του διαδικτύου είναι πάρα πολλοί και καθώς τείνουν να ακολουθούν την πρόοδο της τεχνολογίας εξελίσσονται και μεταλλάσσονται διαρκώς, ενώ οι μηχανισμοί προστασίας συνήθως αναπτύσσονται για απειλές που ήδη έχουν εμφανιστεί. Αυτό σημαίνει ότι η προστασία απέναντι στα είδη των επιθέσεων που ήδη γνωρίζουμε δεν είναι αρκετή.

Μια επιχείρηση χρειάζεται πλέον ένα πρόγραμμα ασφάλειας που να προβλέπει την εξέλιξη των απειλών και να εξασφαλίζει την προσαρμογή της επιχείρησης στα νέα δεδομένα. Αυτό προϋποθέτει ότι η επιχείρηση εντοπίζει και διορθώνει διαρκώς τα αδύναμα σημεία της στον κυβερνοχώρο, κάτι που απαιτεί συνεχή δέσμευση και γνώση. Τέλος, ένας οργανισμός θα πρέπει να έχει εντοπίσει προληπτικά όλες τις ομάδες που θα είχαν λόγο να βλάψουν τα συμφέροντά του σε κάθε επίπεδο (οικονομικά συμφέροντα, φήμη, ομαλή λειτουργίας και άλλα) και να έχει λάβει ειδικά μέτρα για κάθε περίπτωση. Για να είμαστε προετοιμασμένοι για τον πόλεμο, πρέπει να έχουμε μελετήσει τον εχθρό μας.

Ποιο είναι το κόστος που απαιτείται για την προστασία μιας επιχείρησης απέναντι στις κυβερνοεπιθέσεις; Στην ελληνική αγορά έχει γίνει αντιληπτή από τις επιχειρήσεις η αναγκαιότητα για ενίσχυση της κυβερνοασφάλειας και αν ναι, σε ποιους τομείς;

Η απάντηση στο συγκεκριμένο ερώτημα δεν μπορεί να είναι απόλυτη. Κάθε περίπτωση είναι διαφορετική. Αυτό που πρέπει να αξιολογήσει μια επιχείρηση είναι το αναγνωρισμένο ρίσκο, τα πληροφοριακά της αγαθά και την αξία τους εντός και εκτός της δικής της δραστηριότητας, τους κινδύνους και τις αδυναμίες του τομέα όπου δραστηριοποιείται.

Κάθε επιχείρηση θα αποφασίσει πόσο σημαντική θεωρεί την ασφάλειά της και κατ’ επέκταση και τον τρόπο που θα προστατεύσει τα αγαθά της. Τα καλά νέα είναι ότι όλο και περισσότερες επιχειρήσεις στην Ελλάδα συνειδητοποιούν τη σπουδαιότητα της κυβερνοασφάλειας, καθώς αντιλαμβάνονται πλέον ότι μια σοβαρή επίθεση μπορεί να εμποδίζει τη δραστηριότητα και να μεταφραστεί σε σημαντική οικονομική βλάβη. Είναι λογικό λοιπόν που αυτό έχει γίνει πλέον αντιληπτό από τους κλάδους που έχουν σημαντικό άνοιγμα στο διαδίκτυο, όπως οι τράπεζες, οι τηλεπικοινωνίες, οι εταιρείες παροχής υπηρεσιών μέσω διαδικτύου, οι ασφάλειες και τα νοσοκομεία.

Πόσο ασφαλές είναι το online betting στην Ελλάδα σήμερα; Μιας και αποτελεί βασικό τομέα που χρήζει ύψιστης ασφάλειας από τις κυβερνοεπιθέσεις.

Το online betting μπορεί να θεωρηθεί ένας τομέας ο οποίος είναι τεχνολογικά προηγμένος και ασφαλής. Στον χώρο του online betting στην Ελλάδα δραστηριοποιούνται εταιρείες με δυναμική παρουσία και στο εξωτερικό με αποτέλεσμα τα μέτρα προστασίας τους να είναι σχεδιασμένα για αγορές τεχνολογικά πολύ πιο «ώριμες» και κατά συνέπεια είναι έτοιμα να προστατευτούν από σύνθετες και επιτηδευμένες απειλές. Ο κλάδος αποτελεί μια από τις πιο ασφαλείς υπηρεσίες ψυχαγωγίας, καθώς εφαρμόζει τις τελευταίες τεχνολογίες ασφάλειας δικτύων και πληροφοριακών συστημάτων, συνεχείς ελέγχους και διεθνή πρότυπα ασφάλειας πληροφοριών ISO27001:2013 και PCI.

Στην περίπτωση της Stoiximan λαμβάνουμε μέτρα για την ασφαλή πρόσβαση και την κρυπτογράφηση των δεδομένων των μελών μας, αλλά και μηχανισμούς για προσθήκη ορίου στις καταθέσεις και την στοιχηματική δραστηριότητα, κάτι που δεν είναι εύκολο να εφαρμοστεί στα επίγεια παιχνίδια. Η Stoiximan θεωρεί κομμάτι της δραστηριότητάς της το να προσφέρει στα μέλη ένα ασφαλές περιβάλλον ψυχαγωγίας με ξεκάθαρους όρους και σύγχρονους μηχανισμούς προστασίας απέναντι σε διαδικτυακές επιθέσεις.

Στη ζωή υπάρχουν πράγματα που μοιραζόμαστε με λίγους και άλλα που μοιραζόμαστε με περισσότερους. Το ίδιο πρέπει να κάνουμε και με τον διαδικτυακό μας εαυτό

Πώς πρέπει να “κινούμαστε” στα κοινωνικά δίκτυα δεδομένου ότι αποτελούν πεδίο δόξης λαμπρό για το cyber crime παγκοσμίως; Ποια είναι τα “μυστικά” για μια σχετικά ασφαλή χρήση των social media από έναν μέσο πολίτη;

Τα μέσα κοινωνικής δικτύωσης έχουν γίνει αναπόσπαστο κομμάτι της ζωής μας. Αυτή η εικονική πραγματικότητα όμως δεν παραμένει σε ένα παράλληλο σύμπαν. Θα ανοίγατε την πόρτα του σπιτιού σας σε έναν άγνωστο; Θα του δίνατε πληροφορίες για το σπίτι σας, τη δουλειά σας, την οικογένειά σας; Υποθέτω πως όχι. Όμως αυτό είναι κάτι που μπορεί άθελά σας να κάνετε κάθε μέρα μέσα από το λογαριασμό σας σε μια πλατφόρμα κοινωνικής δικτύωσης. Μυστικά για την προστασία των δεδομένων μας δεν υπάρχουν.

Ένας καλός, απλός κανόνας είναι να μοιραζόμαστε μόνο ότι θα μοιραζόμασταν με τον πιο απομακρυσμένο από την λίστα των «Δικτυακών Φίλων» μας. Από εκεί και πέρα θα πρέπει να αποφασίσουμε τις ρυθμίσεις του λογαριασμού μας. Ένα κλειστό προφίλ μόνο για τους φίλους μας, διαχωρισμός των «φίλων» μας σε διαφορετικά επίπεδα (κλειστός κύκλος, οικογένεια, συνεργάτες, ευρύς κύκλος κ.λπ.) για τις ανάλογες πληροφορίες και αναρτήσεις είναι η πιο απλή οδηγία και συμβουλή. Στη ζωή μας υπάρχουν πράγματα που μοιραζόμαστε με λίγους και άλλα που μοιραζόμαστε με περισσότερους. Το ίδιο πρέπει να κάνουμε και με τον διαδικτυακό μας εαυτό.

Τέλος, για να ασφαλίσουμε το λογαριασμό μας από τρίτους, καλό θα ήταν να έχουμε έναν σύνθετο κωδικό ασφαλείας τον οποίο να ανανεώνουμε συχνά, να λαμβάνουμε τις ενημερώσεις ασφάλειας για τις εφαρμογές μας και να μη συνδεόμαστε με ασύρματα δίκτυα που δεν γνωρίζουμε ή δεν εμπιστευόμαστε.

Είναι επαρκή όσα έχει κάνει το Facebook μέχρι σήμερα για την αντιμετώπιση του ψηφιακού εγκλήματος; Το cyber bullying για παράδειγμα δεν έχει αντιμετωπιστεί.

Όσο υπάρχει ένα κοινωνικό πρόβλημα στην πραγματική ζωή, τόσο λογικό είναι να μεταφερθεί και στον ψηφιακό κόσμο. Το cyber-bullying είναι μία μόνο πλευρά ενός πολύ άσχημου γενικότερου φαινομένου (του bullying) και δεν γίνεται να αντιμετωπιστεί ολοκληρωτικά με μέτρα από το Facebook ή το οποιοδήποτε μέσο επικοινωνίας/δικτύωσης. Είναι κάτι λυπηρό και τραγικό και απαιτεί ολιστική αντιμετώπιση με κατάλληλη παιδεία, ενημέρωση για τον σωστό τρόπο αντιμετώπισης και εμπλοκή των αρχών όπου απαιτείται (Αστυνομία, Ψυχολογική υποστήριξη κ.α.)

Εκ του αποτελέσματος μπορούμε να πούμε ότι τα τεχνικά μέτρα του Facebook ίσως να μην είναι στο επίπεδο που θα μπορούσαν, αλλά αποτελούν μία καλή αρχή και βάση για τα επόμενα βήματα που θα βοηθήσουν στην ελαχιστοποίηση τέτοιων συμπεριφορών. Για τις υπόλοιπες εγκληματικές συμπεριφορές στο και ειδικά για φαινόμενα που σχετίζονται με ευκολότερα εντοπίσιμες παραβατικές συμπεριφορές (ναρκωτικά, όπλα, βία κ.α.) το facebook παρέχει τα εργαλεία για την ορθή αναφορά και εξέταση τους, καθώς και τα αυτοματοποιημένα μέσα ώστε να χαρακτηρίζονται ως “επικίνδυνα” (flagged as dangerous) και να ελέγχονται.

Σχετικά με κάποια “μικρά αλλά σημαντικά”: Να αποφεύγουμε να συνδεόμαστε σε δίκτυα που δεν απαιτούν password; Ισχύει ότι ένας χάκερ μπορεί να υποκλέψει δεδομένα μας από κάμερα ενός laptop ακόμη κι αν δεν την έχουμε σε λειτουργία; Πόσο συχνά πρέπει να αλλάζουμε passwords;

Τα «μικρά και σημαντικά», όπως λέτε, είναι η βάση για την ασφάλειά μας και ενώ απαιτούν τον ελάχιστο κόπο, δυστυχώς παραβλέπονται από πολλούς. Κι όμως, υπάρχουν πολύ γρήγορες κινήσεις που όλοι μας μπορούμε να κάνουμε για να ενισχύσουμε τη δική μας διαδικτυακή ασφάλεια.

Ένας πρώτος απλός κανόνας είναι να μην χρησιμοποιούμε κοινούς κωδικούς πρόσβασης για την είσοδό μας σε διαφορετικές διαδικτυακές εφαρμογές, να αλλάζουμε τουλάχιστον μια φορά το χρόνο κωδικό πρόσβασης, να μη τον αποκαλύπτουμε σε τρίτους και να προσπαθούμε να τον ενισχύσουμε όσο μπορούμε χρησιμοποιώντας σύμβολα, αριθμούς και γράμματα. Επίσης είναι πολύ σημαντικό να μην συμπεριλαμβάνουμε στο κωδικό πρόσβασης πληροφορίες γνωστές σε άλλα άτομα, όπως την ημερομηνία γέννησης μας, το όνομα του κατοικιδίου μας κ.α.

Ως προς τις κάμερες, η αλήθεια είναι ότι έχουν καταγραφεί περιστατικά υποκλοπής μέσω καμερών, αλλά όχι όσο αυτές είναι κλειστές. Το μέτρο προστασίας που συνιστώ είναι τα προγράμματα προστασίας από κακόβουλο λογισμικό (antivirus, antimalware, antispyware), ενώ πλέον τα μικρά καλύμματα καμερών που άρχισαν να κυκλοφορούν πριν μερικά χρόνια είναι ήδη μια συνηθισμένη πρακτική πρόληψης. Ταυτόχρονα πρέπει να αποφεύγουμε να συνδεόμαστε σε ασύρματα δημόσια δίκτυα που δεν απαιτούν τη χρήση κωδικού πρόσβασης, να κρατάμε τις προσωπικές μας συσκευές ενημερωμένες με τις τελευταίες εκδόσεις λογισμικού και να είμαστε πολύ επιφυλακτικοί με τα e-mails που λαμβάνουμε.

Το διαδίκτυο είναι ένας υπέροχος κόσμος, αρκεί να περιηγούμαστε πάντα με ασφάλεια και επιφυλακτικότητα!

