Εάλω η ‘περίμετρος’ ασφαλείας – και μετά, τι;

Η νέα κανονικότητα, στην μετά πανδημία εποχή, είναι μια πραγματικότητα στην οποία είμαστε αναγκασμένοι να προσαρμοστούμε, αποδεχόμενοι σημαντικές ανατροπές στην καθημερινότητά μας. Η υβριδική και η εξ αποστάσεως εργασία αλλάζουν τους κανόνες του παιχνιδιού και μας επιβάλλουν, σε συνδυασμό με τις ολοένα αυξανόμενες κυβερνο-απειλές και το γεγονός ότι καταργήθηκε στην πράξη η παραδοσιακή «περίμετρος» ασφαλείας, να λάβουμε μέτρα και αντίμετρα, να εγκαταστήσουμε δικλείδες και να διαμορφώσουμε μια κουλτούρα εγρήγορσης, σε μόνιμη βάση. Κι αν οι παραπάνω προφυλάξεις μας αφορούν πλέον όλους, στον χρηματοοικονομικό τομέα αυτό ισχύει σε υπερθετικό βαθμό.

Μια από τις πιο σημαντικές κοινωνικές και οικονομικές επιπτώσεις της πανδημίας είναι αναμφισβήτητα η αλλαγή (σε σημείο ανατροπής, μερικές φορές) στον τρόπο και τον τόπο εργασίας -μια άλλη, διόλου άσχετη με αυτή, είναι η εξοικείωσή μας με την ψηφιακή τεχνολογία και τις εφαρμογές της στην καθημερινότητά μας. Ανάλογα με τον τομέα, την ειδικότητα και τη θέση καθενός, η εξ αποστάσεως ή/και υβριδική εργασία έχουν αντικαταστήσει πλέον σε μεγάλο βαθμό την υποχρεωτική παρουσία σε συγκεκριμένο χώρο με συγκεκριμένο ωράριο. Κι όπως όλα δείχνουν, ο νέος τρόπος εργασίας «ήρθε για να μείνει» – αυτό, τουλάχιστον, μας λένε όλοι οι ειδικοί (εργατολόγοι, κοινωνιολόγοι, οικονομολόγοι και τόσοι άλλοι) που μελετούν συνεχώς τη νέα κατάσταση και κάνουν τις προβλέψεις τους.

Τα πλεονεκτήματα είναι αρκετά, όμως, δεν λείπουν και οι «παράπλευρες απώλειες» με μια από τις σοβαρότερες να είναι η «άλωση» της περιμέτρου ασφαλείας που, συχνά, «έκτιζαν» με κόπο και φροντίδα επιχειρήσεις, οργανισμοί και οντότητες, για να προστατεύσουν τα συστήματα και τις υποδομές τους, αλλά και τα πολύτιμα δεδομένα που φιλοξενούσαν ή διακινούσαν από εκεί. Από την στιγμή που το γραφείο «μετακόμισε» στο σπίτι ή ακόμα χειρότερα, στο κινητό, μοιραία η περίμετρος έχασε τη συνέχειά της, με τις «τρύπες» και τα προβλήματα να πολλαπλασιάζονται ταχύτατα.

Βέβαια, αυτά άρχισαν να συμβαίνουν τους πρώτους μήνες του ’20, όταν επιβλήθηκε για λόγους ανωτέρας βίας ο εγκλεισμός όλων μας – με δεδομένο ότι η ζωή έπρεπε να συνεχιστεί, οι πρώτες λύσεις ήταν εκ των ενόντων. Από τότε, κύλησε αρκετό νερό στο αυλάκι και μαζί του έφερε μέτρα και αντίμετρα, επέβαλε προφυλάξεις προσαρμοσμένες στις νέες ανάγκες, διαμόρφωσε νέα κουλτούρα εργασιακής συμπεριφοράς, ενώ -ειδικά στον χρηματοοικονομικό χώρο, ο οποίος συγκαταλέγεται στους πιο ευαίσθητους, εξ ου και η υπαγωγή του σε καθεστώς «σκληρής» ρύθμισης- έκανε καθημερινή πραγματικότητα τη φιλοσοφία και τη στρατηγική του Zero Trust, της μηδενικής εμπιστοσύνης απέναντι σε οτιδήποτε άγνωστο ή μη εξουσιοδοτημένο. Από το Connectivity-first έχουμε περάσει προ πολλού στο Security-first κι αυτό είναι φανερό.

Τοπίο γεμάτο κινδύνους
Οι ειδήμονες θεωρούν την ουσιαστική έλλειψη της περιμέτρου, ως τη μεγαλύτερη πρόκληση που έχουν να αντιμετωπίσουν οι επιχειρήσεις και οι οργανισμοί, καθώς έχουν ταυτόχρονα πολλαπλασιαστεί (σοφή η γνωστή ρήση «ο λύκος στην αναμπουμπούλα χαίρεται»…) οι κάθε λογής επιθέσεις από κακόβουλους, οι οποίοι προσπαθούν να ανακαλύψουν “κερκόπορτες” ή να εξωθήσουν σε λάθη τους εξ αποστάσεως εργαζομένους, για να αποκτήσουν πρόσβαση σε πολύτιμα δεδομένα. Δούρειοι Ίπποι (Trojan horses), κοινωνική μηχανική (Social Engineering) και κάθε λογής μηχανεύματα αξιοποιούνται γι’ αυτόν τον σκοπό και συχνά-πυκνά αποδεικνύονται αποτελεσματικά. Δεν αποτελεί, λοιπόν, έκπληξη το γεγονός πως στο Global Workplace Report για το 2021, μόλις το 43,2% των εργαζομένων από το σπίτι πιστεύουν ότι τα δεδομένα των επιχειρήσεών τους είναι ασφαλή, στο πλαίσιο αυτού του τρόπου εργασίας. Όταν δεν έχουν γνώσιν οι φύλακες, έχουν οι παθόντες…

Καλή η τεχνολογία, που έτσι κι αλλιώς συνεχώς βελτιώνεται, αλλά και άμεση η εξάρτησή της από τους ανθρώπους που τη χρησιμοποιούν και την κουλτούρα τους, η οποία πρέπει πλέον να «συντονιστεί» σε διαφορετική συχνότητα, με υποχρεωτικά καθαρότερη «λήψη». Κι είναι σαφές ότι στη διαμόρφωση αυτής της νέας κουλτούρας, κρίσιμο ρόλο παίζει η επιμόρφωση με στόχο την ανάπτυξη νέων δεξιοτήτων, η επιβολή κανόνων που πρέπει να τηρούνται χωρίς εκπτώσεις, αλλά και η τακτική ενημέρωση / αναβάθμισή τους. Όσο οι επιτιθέμενοι εφευρίσκουν νέους τρόπους προσβολής, τόσο οι αμυνόμενοι πρέπει να επικαιροποιούν τις αντιδράσεις τους. Πολύ περισσότερο τώρα, εποχή στην οποία βιώνουμε τον ψηφιακό μετασχηματισμό των πάντων και τη συνακόλουθη μετακίνηση δεδομένων, εφαρμογών και υπηρεσιών στο cloud. Όπου, βεβαίως, η εντύπωση ότι «άλλος φροντίζει για την ασφάλειά τους», απέχει πολύ από την πραγματικότητα.
Ο εργαζόμενος συνεχίζει να είναι ο ίδιος υπεύθυνος για τη συμπεριφορά και τη «διαγωγή» του, ελέγχοντας το μερίδιο που του αναλογεί στην πρόσβαση από το άκρο (βλέπε, edge).

Σοβαρό ανταγωνιστικό πλεονέκτημα
Από τη δική τους πλευρά, οι CIO και οι CISO πρέπει να έχουν (ειδικά στον χρηματοοικονομικό τομέα) ως σημαία τους την πάσει θυσία ολιστική προστασία της εταιρείας και των πελατών της, αφού είναι πλέον αδιαμφισβήτητο και αποδεικνύεται καθημερινά στην πράξη πως, στην ψηφιακή / υβριδική εποχή, η κυβερνοασφάλεια αποτελεί σημαντικό ανταγωνιστικό πλεονέκτημα.
Δύσκολα μπορεί να σταθεί στην -έτσι κι αλλιώς, φοβισμένη- αγορά μια τράπεζα που το δίκτυο και οι υπηρεσίες της είναι «σουρωτήρι» από πλευράς ασφαλείας, απ’ όποιο κανάλι (κινητό, laptop, tablet) κι αν την προσεγγίζεις. Γι’ αυτό και οι υπεύθυνοι πρέπει να έχουν άμεση και στενή συνεργασία με κάθε τομέα και τμήμα της εταιρίας ή του οργανισμού: από το HR και τις Οικονομικές Υπηρεσίες ως το Marketing και τις Πωλήσεις, καθώς η «στραβή» μπορεί να γίνει από οποιονδήποτε, από τον διευθυντή και τον τμηματάρχη ως τον λογιστή και τον «σταζιέρη».

Οι ορθές διαδικασίες, έλεγχοι και πολιτικές αφορούν τους πάντες, χωρίς εξαιρέσεις. Η συντριπτική πλειοψηφία έχει ήδη (ή τουλάχιστον, πρέπει να έχει) διαμορφώσει τέτοιους κανόνες, προσαρμόζοντάς τους στις δικές της ανάγκες και ιδιομορφίες. Αλλά, όποιες κι αν είναι αυτές, κάποια βασικά σημεία και δράσεις παραμένουν τα ίδια, διαχρονικά.

Σε σχετική ανάλυσή του, το Forbes κατατάσσει στα «εκ των ων ουκ άνευ» τη διαμόρφωση ξεκάθαρης πολιτικής με τη σχετική εκπαίδευση επ’ αυτής, την προσαρμογή σε συγκεκριμένα ζητούμενα, την ανάπτυξη κλίματος εμπιστοσύνης μεταξύ των εργαζομένων, την αποδοχή εκ μέρους τους συμφωνίας μυστικότητας (NDA), τη δημιουργία κάποιων «ψηφιακών στεγανών» στη δομή του δικτύου ώστε τυχόν πρόβλημα σε έναν να μην επηρεάζει τους άλλους, τη διενέργεια τακτικών ελέγχων για την «υγεία» του συστήματος (ώστε τυχόν παραβίαση να μην γίνει αντιληπτή εβδομάδες και μήνες μετά, όπως συχνά γίνεται), αλλά και την κρυπτογράφηση αν όχι του συνόλου, τουλάχιστον σημαντικού μέρους των διακινούμενων δεδομένων.

Επίσης, το καλό περιοδικό συστήνει μετ’ επιτάσεως τη μετάβαση στο cloud σε σύγκριση με τις on-premise λύσεις αλλά και τη χρήση συνδέσεων VPN, επιμένει ιδιαίτερα στα ισχυρά και μοναδικά ει δυνατόν passwords, υπογραμμίζει την ανάγκη διασφάλισης των συσκευών με τις οποίες μπαίνει (στο πλαίσιο της δημοφιλούς μεν, αλλά συχνά μη-ασφαλούς τακτικής BYOD – Bring Your Own Device) στο σύστημα κάθε εργαζόμενος, ζητάει ειδική μεταχείριση για τα δεδομένα των πελατών από το CRM (καθώς ο «πέλεκυς» του GDPR είναι πάντα ιδιαίτερα κοφτερός), προτείνει την εγκατάσταση λογισμικού ελέγχου σε διαρκή βάση και σε πραγματικό χρόνο, ενώ θεωρεί απαραίτητη (ειδικά για μεσαιο-μεγάλες επιχειρήσεις) την τοποθέτηση Chief Information Security Officer, σε συνδυασμό με την εφαρμογή της Zero Trust λογικής, για την πρόσβαση στο δίκτυο.