2. ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ
(CYBERSECURITY)
Κυβερνοασφάλεια είναι το σύνολο των τεχνικών, των
μεθόδων και των μέτρων προστασίας τα οποία εφαρμόζονται σε
συστήματα H/Y και εν γένει σε αυτοματοποιημένα συστήματα
που συνδέονται στο διαδίκτυο, ώστε να προστατευτούν από μη
εξουσιοδοτημένη πρόσβαση και κακόβουλη επίθεση.
Κάθε μη εξουσιοδοτημένη πρόσβαση ή κακόβουλη
επίθεση η οποία διεξάγεται μέσω του διαδικτύου ονομάζεται
Κυβερνοεπίθεση (Cyber Attack). Οι Κυβερνοεπιθέσεις ανάλογα
με το είδος τους ονομάζονται και Κυβερνοαπειλές (Cyber
Threats).
Με την συνεχή εξέλιξη των νέων τεχνολογιών οι οποίες
χρησιμοποιούν ευρέως το διαδίκτυο (δίκτυα 5G, Cloud
computing, IoT κλπ.) η Κυβερνοασφάλεια είναι άκρως
απαραίτητη σε κάθε επίπεδο (προσωπικό, εταιρικό, κρατικό κλπ.)
3. Οι κυβερνοεπιθέσεις διεξάγονται από άτομα διαφορετικών
συμφερόντων και κινήτρων, τα οποία είναι γνωστά ως hackers. Γενικά,
hacker είναι ένας ειδικός στους υπολογιστές που χρησιμοποιεί την
τεχνογνωσία του για να επιτύχει έναν συγκεκριμένο στόχο ή να υπερβεί
ένα συγκεκριμένο εμπόδιο, σε ένα αυτοματοποιημένο σύστημα.
Ενώ ο όρος «hacker» αρχικά αναφερόταν σε εξειδικευμένους
προγραμματιστές Η/Υ, σήμερα αναφέρεται κυρίως στον «hacker
ασφαλείας». Δηλαδή για κάποιον που χρησιμοποιεί τις γνώσεις του στις
αδυναμίες των Η/Υ , για να παραβιάσει υπολογιστικά συστήματα και
να αποκτήσει πρόσβαση σε δεδομένα.
Οι αστυνομικές αρχές χρησιμοποιούν μερικές φορές τεχνικές
hacking για να συλλέξουν αποδεικτικά στοιχεία για διάφορα
εγκλήματα. Επίσης, το hacking και οι επιθέσεις στον κυβερνοχώρο
χρησιμοποιούνται από κρατικούς φορείς εναντίον κάποιου άλλου
κράτους (κυβερνοπόλεμος, κυβερνοκατασκοπεία).
ΕΙΣΒΟΛΕΙΣ (HACKERS) -1
4. Ανάλογα με τα κίνητρά τους, οι hackers μπορούν να χωριστούν σε τρεις
κατηγορίες : White hat hackers , Grey hat hackers και Black hat hackers.
Οι White-hat hackers θεωρούνται ως ηθικοί hackers που ενδιαφέρονται να
εντοπίσουν ευπάθειες ασφαλείας με σκοπό την αποκατάσταση της ασφάλειας
ενός συστήματος. Συνήθως δεν αποκαλύπτουν τα ευρήματά τους και δεν
προσπαθούν να εκμεταλλευτούν τα σφάλματα που βρίσκουν. Κάποιοι δουλεύουν
για εταιρείες οι οποίες ασχολούνται με την αποκάλυψη και επιδιόρθωση
ζητημάτων ασφαλείας.
Οι Black-hat hackers θεωρούνται εγκληματίες οι οποίοι έχουν κακόβουλη
πρόθεση και κίνητρο το προσωπικό τους όφελος. Αυτοί βρίσκονται πίσω από
επιθέσεις όπως το ransomware (κακόβουλο λογισμικό που ζητάει λύτρα). Μπορεί
να χρησιμοποιήσουν τα ευρήματά τους για δικό τους όφελος ή μπορεί να
διαθέσουν τις ευπάθειες των συστημάτων προς πώληση. Σε αυτή την κατηγορία
εμπίπτουν συχνά και οι κυβερνο-ακτιβιστές (hacktivists) οι οποίοι έχουν στόχο
κάποια κοινωνική αλλαγή ή προώθηση κάποιας πολιτικής ατζέντας.
Οι Grey-hat hackers έχουν στόχο να προκαλέσουν, να κοροϊδέψουν, να
διασκεδάσουν ή να αποκτήσουν φήμη. Ισχυρίζονται ότι κάνουν τις επιθέσεις «για
ικανοποίηση» και συνήθως ενημερώνουν όλους για τα ευρήματά τους, ώστε να
επιδείξουν τις ικανότητές τους. Μπορεί να προσπαθήσουν ή να μην
προσπαθήσουν να επωφεληθούν από τις εισβολές τους, αλλά το βασικό τους
κίνητρο είναι η φήμη.
ΕΙΣΒΟΛΕΙΣ (HACKERS) - 2
10. Ασφάλεια Κρίσιμων Εθνικών Υποδομών
Οι Κρίσιμες Υποδομές (Critical Infrastructures) διαχειρίζονται αγαθά ή
συστήματα τα οποία είναι απαραίτητα για τις ζωτικές λειτουργίες της κοινωνίας.
Κρίσιμες Υποδομές είναι οι οργανισμοί ενέργειας, τηλεπικοινωνιών, μεταφορών,
υδροδότησης, νοσοκομείων, αεροδρομίων, τραπεζών κλπ. Επειδή πολλές
λειτουργίες των Κ.Υ. πραγματοποιούνται μέσω δικτύων Η/Υ, είναι άκρως αναγκαίο
να προστατεύονται από κυβερνοεπιθέσεις.
Βασικές ενέργειες
-Καταγραφή Κρίσιμων Εθνικών Υποδομών
-Ευαίσθητα μέρη κάθε Κ.Υ. και τρόπος σύνδεσής τους
-Καθορισμός των απειλών και κινδύνων για κάθε Κ.Υ.
-Διαχείριση της κρίσης σε περίπτωση συμβάντος
11. ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ
Ανάλυση κινδύνου (Risk analysis) : Μελέτη των αδυναμιών ενός
πληροφοριακού συστήματος μας, καθώς και των απειλών οι οποίες μπορούν να
εκμεταλλευτούν τις αδυναμίες του, ώστε να εξάγουμε το ποσοστό του κινδύνου στο
οποίο εκτίθενται οι πόροι και τα δεδομένα του.
Μέτρα ασφαλείας (Security measures) : Βάσει των αποτελεσμάτων
της ανάλυσης κινδύνου, καθορισμός και εφαρμογή των απαιτούμενων μέτρων
ασφαλείας, χρησιμοποιώντας ειδικούς κανόνες και εξειδικευμένα πιστοποιημένα
προϊόντα (software / hardware).
Αξιολόγηση προϊόντων (Evaluation) : Λεπτομερής τεχνικός έλεγχος
των μηχανισμών ασφαλείας ενός προϊόντος πληροφορικής τεχνολογίας (ΙΤ product),
με σκοπό να διερευνηθούν τα τυχόν προβλήματα και οι τρωτότητες του.
Πιστοποίηση προϊόντων (Certification) : Έκδοση ενός επίσημου
πορίσματος, το οποίο στηρίζεται στα αποτελέσματα μίας αξιολόγησης και που
δηλώνει τον βαθμό στον οποίο ένα προϊόν πληροφορικής τεχνολογίας ανταποκρίνεται
σε συγκεκριμένες απαιτήσεις ασφαλείας, δηλαδή δηλώνει το επίπεδο ασφαλείας που
αυτό παρέχει.
Διαπίστευση συστημάτων (Accreditation) : Έγκριση λειτουργίας
που δίδεται στα σύνθετα πληροφοριακά συστήματα, ώστε να επεξεργάζονται
διαβαθμισμένες πληροφορίες μέσα στο ιδιαίτερο επιχειρησιακό τους περιβάλλον
(δίκτυο, τερματικοί σταθμοί, Η/Υ και περιφερειακά, χρήστες, χώροι κλπ.).
ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ - διαδικασίες
ISO 27000 Series - (Information Security Management System - ISMS)
12. Μέτρα Ασφαλείας
ISO 27000 Series (Information Security Management System - ISMS)
- Φυσική ασφάλεια
- Ασφάλεια προσωπικού
- Διακριτική προσπέλαση
- Καταγραφή ενεργειών και έλεγχος
- Διαχείριση μέσων αποθήκευσης
- Προστασία από επιβλαβές λογισμικό
- Ασφάλεια επικοινωνιών
- Κρυπτογράφηση
- Ασφάλεια δικτύων Η/Υ
- Αντίγραφα ασφαλείας
- Συντήρηση/αναβάθμιση Η/Υ
- Διαχείριση δομής
- Σχέδια επανάκτησης
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ