Ιωάννης Τζάνος: Με ισχυρές άμυνες οι τράπεζες

«Η κυβερνοασφάλεια αποτελεί προτεραιότητα παντός καιρού για τις τράπεζες», ήταν το καταλυτικό στην απλότητά του πρώτο σχόλιο του Ιωάννη Τζάνου, Group Corporate Security Officer & Chief Information Security Officer της Eurobank, τη συμβολή του οποίου ζητήσαμε στο πλαίσιο αυτού του αφιερώματος. Οι απαντήσεις του στις ερωτήσεις μας, σχετικά με την απομακρυσμένη αλλά και την υβριδική εργασία στον συγκεκριμένο χώρο, είναι αναλυτικές και απόλυτα χρηστικές, «φωτίζοντας» πολλές πλευρές αυτής της επιβεβλημένης εκ των πραγμάτων νέας κατάστασης, που τείνει να εδραιωθεί.

Η πανδημία και η εξ ανάγκης δουλειά από το σπίτι άλωσε στην πράξη την καλά φυλασσόμενη “περίμετρο” των εταιρικών δικτύων. Η υβριδική εργασία, που δείχνει να επικρατεί για την ώρα, πώς έχει αλλάξει τα δεδομένα στο θέμα της ασφάλειας και τι μέτρα πρέπει να λαμβάνονται πλέον, εκτός των γενικών, ειδικά από τους εργαζομένους σε “ευαίσθητους” κλάδους, όπως ο τραπεζοασφαλιστικός;

Η πανδημία και οι περιορισμοί που επιβλήθηκαν παγκοσμίως, πράγματι, προκάλεσαν ταχύτατα, μια μεγάλη επέκταση στην εξ’ αποστάσεως εργασία. Σε χρόνο dt, η απομακρυσμένη πρόσβαση μετατράπηκε στη νέα κανονικότητα για εκατομμύρια εργαζομένους παγκοσμίως, στον ιδιωτικό και δημόσιο τομέα, και η διατήρηση αυτού του μοντέλου σε μικρότερο ή μεγαλύτερο βαθμό ανά περίπτωση, φαίνεται πως προκρίνεται από πολλές επιχειρήσεις και μεταπανδημικά.

Η επέκταση της εξ’ αποστάσεως εργασίας, ωστόσο, αφήνει τους οργανισμούς εκτεθειμένους σε περισσότερες και περιπλοκότερες κυβερνοεπιθέσεις. Σε ένα τέτοιο περιβάλλον, οι επιχειρήσεις, και σίγουρα οι τράπεζες, κλήθηκαν να διασφαλίσουν ότι έχουν τα κατάλληλα συστήματα και τους απαραίτητους μηχανισμούς ασφαλείας. Σημαντικό, όμως, ρόλο σε όλη αυτή τη διαδικασία έχουν φυσικά και οι εργαζόμενοι, η συμβολή των οποίων είναι κρίσιμης σημασίας στην προσπάθεια των Οργανισμών για αποτελεσματική κυβερνοασφάλεια.

Οι εργαζόμενοι, λοιπόν, όταν εργάζονται εξ αποστάσεως, θα πρέπει, ενδεικτικά, να:

• Γνωρίζουν, αλλά και να εφαρμόζουν τις σχετικές πολιτικές και οδηγίες του Οργανισμού τους.
• Ενημερώνουν αμελλητί τον προϊστάμενο τους ή τη Μονάδα Ασφαλείας σε περίπτωση που αντιληφθούν κάτι ύποπτο ή εκδηλωθεί περιστατικό ασφαλείας.
• Μη χρησιμοποιούν για προσωπικές τους εργασίες τυχόν εξοπλισμό (π.χ. φορητό Η/Υ), λογισμικό ή την πρόσβαση που τους έχει παρασχεθεί για τον σκοπό της τηλεργασίας. Εξυπακούεται πως δεν πρέπει να επιτρέπουν τη χρήση τους στα μέλη της οικογενείας τους ή σε τρίτους.
• Κλειδώνουν ή να απενεργοποιούν τον εξοπλισμό, όταν δεν είναι παρόντες, και να τον κρατούν σε όσο πιο ασφαλή τοποθεσία γίνεται.
• Μη συζητούν υπηρεσιακά θέματα παρουσία τρίτου, να είναι ιδιαίτερα προσεκτικοί στις συζητήσεις τους κατά τη διάρκεια τηλεφωνικών συνομιλιών και τηλεδιασκέψεων, να αποφεύγουν την ανοικτή ακρόαση και να χρησιμοποιούν ακουστικά κεφαλής.
• Μην αφήνουν εκτεθειμένα σε τρίτους πάσης φύσεως έγγραφα (εκτυπώσεις ή/και σχετικές σημειώσεις) και να μην απορρίπτουν ή/και ανακυκλώνουν έγγραφα (εκτυπώσεις ή/και σχετικές σημειώσεις), εκτός αν τα έχουν προηγουμένως καταστρέψει σε βαθμό που δεν είναι αναγνώσιμα.

  Ειδική πρέπει να είναι η προσοχή κατά τη διάρκεια τηλεδιασκέψεων. Συστήνεται:

• Εφόσον το κρίνουν, να επιλέγουν σίγαση του μικροφώνου ή/και κλείσιμο της κάμεράς τους.
• Να επιλέγουν την απόκρυψη φόντου (background) με θόλωση ή με προσθήκη εικόνας (virtual background) προκειμένου να αποφευχθεί ο κίνδυνος αποκάλυψης προσωπικών πληροφοριών.
• Να βρίσκονται σε χώρο όπου δεν υπάρχει κίνδυνος να καταγραφούν δεδομένα φωνής ή εικόνας τρίτων προσώπων.
• Να μην προβαίνουν σε καταγραφή (π.χ. ηχογράφηση, βιντεοσκόπηση) των τηλεδιασκέψεων με ίδια μέσα.

Στη δική σας περίπτωση, της Eurobank, ποιοι είναι οι βασικοί άξονες στους οποίους έχετε λάβει μέτρα; Έχετε ολοκληρώσει την “ασπίδα προστασίας” σας, απέναντι στις αυξημένες πλέον κυβερνοαπειλές; (αν μπορούμε να μιλήσουμε για ολοκλήρωση, καθώς ο αγώνας είναι μάλλον συνεχής και αδιάκοπος…)

Η Eurobank από χρόνια επενδύει συστηματικά στον ψηφιακό μετασχηματισμό της, σε όλα τα επίπεδα, συμπεριλαμβανομένης της ασφάλειας των συστημάτων, με διαρκείς επενδύσεις. Αυτή τη στιγμή έχουμε σε εξέλιξη ένα πρόγραμμα συνολικών επενδύσεων που, σε ορίζοντα τριετίας, ξεπερνά τα 200 εκατ. € – εργαζόμαστε καθημερινά για να υλοποιήσουμε τη στρατηγική του Οργανισμού και να εξυπηρετήσουμε τις ανάγκες των πελατών μας.

Η μεθοδική δουλειά για τον ψηφιακό μετασχηματισμό μας, όλα αυτά τα χρόνια, είχε ως αποτέλεσμα, στο ξέσπασμα της πανδημίας, η Τράπεζα να είναι σε θέση να αντιδράσει ταχύτατα και αποτελεσματικά. Ήταν από τις πρώτες εταιρείες στη χώρα που κατάφερε σε πολύ σύντομο χρονικό διάστημα να περάσει με απόλυτη ασφάλεια σε καθεστώς πλήρους τηλεργασίας για τουλάχιστον 4.000 εργαζομένους της, διασφαλίζοντας, ταυτόχρονα, την 24/7 εξυπηρέτηση των πελατών με ολοκληρωμένες και ασφαλείς ψηφιακές υπηρεσίες.

Αξιολογώντας τα νέα δεδομένα που έχουμε στη διάθεση μας από την πλούσια εμπειρία της τελευταίας διετίας, έχουμε πλέον διευρύνει τις διαδικασίες και τις τεχνολογικές λύσεις για την πρόσθετη προστασία από τις ευρύτερες προκλήσεις που απορρέουν λόγω της εξ αποστάσεως εργασίας, αλλά και από τη διεύρυνση της διάθεσης ψηφιακών προϊόντων και υπηρεσιών. Γενική αρχή μας είναι ότι δεν αντιμετωπίζουμε την κυβερνοασφάλεια κατά μεμονωμένο τρόπο, αλλά την ενσωματώνουμε ως κεντρικό πυλώνα στη στρατηγική, τη δομή και τη λειτουργία του Ομίλου. Είναι παρούσα σε κάθε βήμα και πλαίσιο της ψηφιακής παρουσίας του Οργανισμού, είτε αναφερόμαστε στην ανάπτυξη νέων ψηφιακών υπηρεσιών και προϊόντων, είτε στην προστασία των προσωπικών δεδομένων, των πληροφοριακών συστημάτων και των υποδομών.

Για να υποστηρίξει την ενίσχυση της ασφάλειας στον κυβερνοχώρο, η Τράπεζα μεταξύ άλλων:

• Διασφαλίζει τη συμμόρφωσή της με την κείμενη νομοθεσία και τις κανονιστικές διατάξεις.
• Επενδύει σε κατάλληλες και αναλογικές τεχνολογικές λύσεις ασφάλειας και εφαρμόζει βέλτιστες διεθνείς πρακτικές που καλύπτουν όλο το φάσμα των πυλώνων αναγνώριση, προστασία και αντιμετώπιση.
• Εφαρμόζει κατάλληλες διαδικασίες δοκιμών και τεχνικών ελέγχων για την έγκαιρη ανίχνευση απειλών που ενδέχεται να την επηρεάσουν.
• Ενημερώνει/εκπαιδεύει και ευαισθητοποιεί συνεχώς το προσωπικό και τους πελάτες της με ποικίλους τρόπους για τις αναδυόμενες απειλές και απάτες στον κυβερνοχώρο.

Η εφαρμογή αναβαθμισμένων μέτρων και κανόνων επιβάλλει τη διαμόρφωση κουλτούρας ασφαλείας σε ατομικό επίπεδο, ώστε να μην εξελιχθεί ο κάθε εργαζόμενος στον μοιραίο “αδύναμο κρίκο της αλυσίδας”. Το έχουμε καταφέρει αυτό κι αν όχι, τι μας λείπει;

Δεδομένου ότι οι απειλές στον κυβερνοχώρο συνεχώς αυξάνονται και μεταβάλλονται, η διαμόρφωση κουλτούρας ασφαλείας σε ατομικό επίπεδο απαιτεί συνεχή προσπάθεια, τόσο από την πλευρά του εργοδότη, όσο και από τον ίδιο τον εργαζόμενο. Το ελάχιστο που μπορεί να κάνει ο εργοδότης, πέραν του να διασφαλίζει σε τεχνικό επίπεδο τα καλύτερα δυνατά συστήματα, είναι να εκπαιδεύει και να ενημερώνει τακτικά το προσωπικό του για:

• Την ορθή και ασφαλή χρήση των ψηφιακών υποδομών του, συμπεριλαμβανομένων αυτών της τηλεργασίας (remote access), συνεργατικών εργαλείων (collaborative tools, teleconference tools), e-mail σε κινητές συσκευές κ.λπ.
• Τους κινδύνους από επιθέσεις στον κυβερνοχώρο και ειδικότερα για τις μεθόδους κοινωνικής μηχανικής (social engineering) και αλίευσης δεδομένων ή/και κωδικών πρόσβασης (phishing) καθώς και τις επιθέσεις τύπου ransomware (το κακόβουλο λογισμικό που ζητά λύτρα από τα θύματα, απειλώντας να δημοσιεύσει, να διαγράψει ή να αποτρέψει την πρόσβαση σε σημαντικά δεδομένα, αρχεία και συστήματα)

Τι συστήνετε ως βασικές και απαραίτητες προφυλάξεις στους χρήστες- πελάτες σας, που έτσι κι αλλιώς στα ίδια συστήματα μπαίνουν;

Είναι γεγονός ότι η αυξημένη χρήση του διαδικτύου και των ηλεκτρονικών υπηρεσιών είναι “πεδίο δράσης” για διάφορους επιτήδειους που εκμεταλλεύονται, εξαπατούν, διαδίδουν κακόβουλο λογισμικό και υποκλέπτουν ευαίσθητα στοιχεία ή κωδικούς μέσω απατηλών email, SMS, μηνυμάτων στα κοινωνικά μέσα κι άλλα τεχνάσματα phishing. Αξίζει να πούμε, βέβαια, πως οι απάτες στο διαδίκτυο επικεντρώνονται κατά κύριο λόγο στο πώς θα μπορέσουν να ξεγελάσουν και να εξαπατήσουν τους πολίτες, παρά στο να παραβιάσουν ή να “χακάρουν” κάποιο σύστημα μιας τράπεζας ή ενός οργανισμού, καθώς προφανώς εκεί ο βαθμός δυσκολίας είναι υψηλότερος και απαιτούνται άλλου τύπου γνώσεις και δυνατότητες.

Οι πολίτες θα πρέπει:

• Να είναι ιδιαίτερα επιφυλακτικοί με μηνύματα (email, SMS) που τους ενημερώνουν για δήθεν προβλήματα με λογαριασμούς, κάρτες ή το eBanking τους. Πρέπει, επίσης, να είναι απολύτως σαφές σε όλους πως δεν υπάρχει περίπτωση η οποιαδήποτε τράπεζα να ζητήσει από τον πελάτη να της αποκαλύψει τον προσωπικό του κωδικό.
• Να διακόπτουν την τηλεφωνική κλήση, σε περίπτωση που καλέσει κάποιος από άγνωστο αριθμό, ειδικά από το εξωτερικό, ισχυριζόμενος ότι είναι από εταιρεία Πληροφορικής και επικοινωνεί μαζί τους για την επιδιόρθωση βλάβης στον υπολογιστή τους.
• Να μην προχωρούν σε εγκατάσταση λογισμικού απομακρυσμένης διαχείρισης που τους προτείνει κάποιος άγνωστος.
• Να είναι ιδιαίτερα προσεκτικοί και επιφυλακτικοί με όσους επικοινωνούν μαζί τους μέσω τηλεφώνου, email ή διαδικτυακών διαφημίσεων και τους υπόσχονται υψηλές αποδόσεις με το άνοιγμα λογαριασμού σε διαδικτυακές επενδυτικές πλατφόρμες.
• Nα είναι ιδιαίτερα προσεκτικοί όταν λαμβάνουν αιτήματα πληρωμής με email και να επαληθεύουν ότι το αίτημα είναι έγκυρο, διασταυρώνοντας τον αριθμό λογαριασμού με τον προμηθευτή ή τον πελάτη με τον οποίο συναλλάσσονται.
• Να μη δέχονται να μεσολαβήσουν ως ενδιάμεσοι σε διακίνηση χρημάτων από άλλα άτομα, συνήθως άγνωστα σ’ αυτούς. Μπορεί να υποστούν σημαντικές επιπτώσεις, καθώς με αυτόν τον τρόπο εμπλέκονται σε παράνομες ενέργειες, είτε το γνωρίζουν είτε όχι.

Η αγορά θεωρείτε ότι ανοίγει νέους δρόμους, από πλευράς προσφοράς προϊόντων και υπηρεσιών, καλύπτοντας πλήρως τις σημερινές ανάγκες των χρηστών, ή υστερεί έναντι των κακόβουλων; (αν και όχι τόσο όσο το αντίστοιχο θεσμικό πλαίσιο, όπου η διαφορά φάσης είναι κάτι περισσότερο από ορατή…)

Η ψηφιακή εξέλιξη, ο ψηφιακός εκσυγχρονισμός και μετασχηματισμός του ιδιωτικού και δημόσιου τομέα δεν αποτελεί απλώς επιτακτική ανάγκη. Είναι μονόδρομος για κάθε οργανισμό που θέλει να παραμείνει ανταγωνιστικός και βιώσιμος στη σύγχρονη εποχή. Η ορθή χρήση της τεχνολογίας μπορεί να μας προσφέρει σημαντικά “δώρα”, περιορίζοντας τη γραφειοκρατία, διευκολύνοντας την πρόσβαση σε πληροφορίες και υπηρεσίες, επιτυγχάνοντας έτσι την βέλτιστη εξυπηρέτηση των πολιτών, που είναι και ο στόχος κάθε επιχείρησης. Σε αυτό το περιβάλλον, τα θέματα κυβερνοασφάλειας, η προστασία και η ανθεκτικότητα των ψηφιακών υποδομών απέναντι στις συνεχώς εξελισσόμενες απειλές του κυβερνοχώρου είναι και θα παραμείνουν επίκαιρα.

Σε ένα τέτοιο πλαίσιο, οι οργανισμοί οφείλουν να αναζητούν διαρκώς τρόπους που διασφαλίζουν την ικανότητα τους όχι μόνο να προβλέπουν και να ανταποκρίνονται σε αναδυόμενες απειλές αλλά και να μπορούν να ανακάμπτουν γρήγορα από αυτές. Είναι, επίσης, πολύ σημαντική η καλή συνεργασία όλων των επιχειρήσεων, φυσικά και των τραπεζών με τους αρμόδιους θεσμικούς και εποπτικούς φορείς, προκειμένου να εναρμονίζονται δράσεις και πρωτοβουλίες, σε μια διαδικασία ανταλλαγής απόψεων και πληροφοριών, για την αποτελεσματικότερη άμυνα απέναντι σε τυχαίες ή αθέμιτες απειλές και κάθε μορφή απάτης.