Μεγάλοι Οργανισμοί – Ελληνικό CSIRT

Πίσω

Υπό το πρίσμα της πανδημίας του COVID-19, οι οργανισμοί αναπτύσσουν στρατηγικές για την προστασία του προσωπικού και των ευάλωτων μελών της κοινότητάς μας.

Καθώς όλο και περισσότερο προσωπικό μπορεί να εργάζεται από το σπίτι και η χρήση της τεχνολογίας απομακρυσμένης πρόσβασης αυξάνεται, οι αντίπαλοι ενδέχεται να προσπαθήσουν να επωφεληθούν.

Η εξασφάλιση καλών μέτρων ασφάλειας στον κυβερνοχώρο είναι τώρα ο καλύτερος τρόπος για την αντιμετώπιση της απειλής στον κυβερνοχώρο.

Εξετάστε το ενδεχόμενο ενσωμάτωσης των ακόλουθων στρατηγικών πρόληψης:

Εξετάστε τα σχέδια και τις διαδικασίες επιχειρησιακής συνέχειας.
Βεβαιωθείτε ότι τα συστήματά σας, συμπεριλαμβανομένων των Virtual Private Networks και των τείχους προστασίας, είναι ενημερωμένα με τις πιο πρόσφατες επιδιορθώσεις ασφαλείας (δείτε οδηγίες για τα προϊόντα Windows και Apple).
Αυξήστε τα μέτρα ασφάλειας στον κυβερνοχώρο σας εν αναμονή της υψηλότερης ζήτησης για τεχνολογίες απομακρυσμένης πρόσβασης και δοκιμάστε τα εκ των προτέρων.
Εάν χρησιμοποιείτε πρόγραμμα-πελάτη απομακρυσμένης επιφάνειας εργασίας, βεβαιωθείτε ότι είναι ασφαλές.
Βεβαιωθείτε ότι οι συσκευές εργασίας σας, όπως οι φορητοί υπολογιστές και τα κινητά τηλέφωνα, είναι ασφαλείς.
Υλοποίηση ελέγχου ταυτότητας πολλών παραγόντων για συστήματα και πόρους απομακρυσμένης πρόσβασης (συμπεριλαμβανομένων των υπηρεσιών cloud).
Βεβαιωθείτε ότι προστατεύεστε από τις απειλές άρνησης υπηρεσίας (DoS).
Διασφαλίστε ότι το προσωπικό και οι ενδιαφερόμενοι φορείς σας ενημερώνονται και εκπαιδεύονται σε πρακτικές ασφάλειας στον κυβερνοχώρο, όπως ο εντοπισμός μηνυμάτων με κοινωνική μηχανική.
Να εξασφαλιστεί ότι το προσωπικό που εργάζεται από το σπίτι διαθέτει φυσικά μέτρα ασφάλειας. Αυτό ελαχιστοποιεί τον κίνδυνο πρόσβασης, χρήσης, τροποποίησης ή απομάκρυνσης πληροφοριών από τις εγκαταστάσεις χωρίς άδεια.

Μαζί μπορούμε να εξασφαλίσουμε ότι η Ελλάδα είναι το ασφαλέστερο μέρος για ηλεκτρονική εργασία.

Κακόβουλοι διαδικτυακοί ηθοποιοί στοχεύουν ενεργά άτομα και ελληνικές οργανώσεις με απάτες και ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” που σχετίζονται με το COVID-19. Τα περιστατικά αυτά είναι πιθανό να αυξηθούν στη συχνότητα και τη σοβαρότητα τις προσεχείς εβδομάδες και μήνες. Αυτό οφείλεται, εν μέρει, στην ευκολία με την οποία τα υπάρχοντα πλαστά email και κείμενα μπορούν να τροποποιηθούν με ένα θέμα COVID-19.

Κατάσταση ειδοποίησης:
ΥΨΗΛΉ

Καιροσκοπικοί κακόβουλοι παράγοντες εκμεταλλεύονται τις ανησυχίες και την επιθυμία των ανθρώπων για ενημέρωση σχετικά με την πανδημία του COVID-19 κατευθύνοντάς τους σε ιστοσελίδες σχεδιασμένες είτε για την εγκατάσταση κακόβουλου λογισμικού είτε για την κλοπή προσωπικών πληροφοριών. Αν και η πλειονότητα αυτών των ιστοτόπων είναι νόμιμοι, πολλοί δημιουργούνται από κακόβουλους διαδικτυακούς φορείς που επιδιώκουν να εκμεταλλευτούν τους Έλληνες κατά τη διάρκεια αυτής της δύσκολης περιόδου.

Οι κακόβουλες ιστοσελίδες COVID-19 έχουν σχεδιαστεί για να φαίνονται νόμιμες ή να υποκρίνονται ευρέως γνωστοί οργανισμοί, καθιστώντας δύσκολη την ανίχνευση από τα άτομα. Οι κυβερνοεγκληματίες τους χρησιμοποιούν για να εγκαταστήσουν ιούς υπολογιστών στις συσκευές των ανθρώπων, όπως τραπεζικούς Trojans ή διάφορες παραλλαγές ransomware, προκειμένου να παράγουν κέρδος. Σε άλλες περιπτώσεις, επιδιώκουν να συγκεντρώσουν τα διαπιστευτήρια των χρηστών, όπως προσωπική ταυτότητα, κωδικούς πρόσβασης και τραπεζικά στοιχεία, τα οποία στη συνέχεια χρησιμοποιούνται για να αποκτήσουν πρόσβαση στα δίκτυα, τις συσκευές ή τους ηλεκτρονικούς χρηματοοικονομικούς λογαριασμούς του χρήστη.

Όσοι ασχολούνται με την εγκληματικότητα στον κυβερνοχώρο δεν περιορίζονται από γεωγραφικά σύνορα και οι ενέργειές τους μπορούν να έχουν εκτεταμένες συνέπειες. Η Ελληνική Ομάδα Αντιμετώπισης Συμβάντων της Ασφάλειας Υπολογιστών γνωρίζει τις αναφορές ότι κακόβουλοι παράγοντες που εδρεύουν στην Ανατολική και Δυτική Ευρώπη, την Ασία και την Αφρική ευθύνονται για την έναρξη της COVID-19 με θέμα την κακόβουλη δραστηριότητα στον κυβερνοχώρο, μεταξύ άλλων εναντίον Ελλήνων.

Εισαγωγή

Όλοι οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο διαχείρισης των κινδύνων της αλυσίδας εφοδιασμού στον κυβερνοχώρο. Εάν ένας άλλος οργανισμός εμπλέκεται στην παράδοση ενός προϊόντος ή μιας υπηρεσίας στον οργανισμό σας, θα υπάρχει κίνδυνος αλυσίδας εφοδιασμού στον κυβερνοχώρο που προέρχεται από αυτόν τον οργανισμό. Παρομοίως, ο οργανισμός σας θα μεταφέρει στους πελάτες σας κάθε κίνδυνο της αλυσίδας προμήθειας κυβερνοχώρου που διατηρείτε.

Η αποτελεσματική διαχείριση των κινδύνων της αλυσίδας εφοδιασμού στον κυβερνοχώρο διασφαλίζει, στο μέτρο του δυνατού, την ασφαλή προμήθεια προϊόντων και υπηρεσιών για τα συστήματα καθ’ όλη τη διάρκεια ζωής τους. Για τα προϊόντα, περιλαμβάνονται ο σχεδιασμός, η κατασκευή, η παράδοση, η συντήρηση και η διάθεσή τους. Ως εκ τούτου, η διαχείριση κινδύνων της αλυσίδας εφοδιασμού στον κυβερνοχώρο αποτελεί σημαντικό στοιχείο της συνολικής στρατηγικής ασφάλειας στον κυβερνοχώρο κάθε οργανισμού.

Διαχείριση της αλυσίδας εφοδιασμού στον κυβερνοχώρο

Η διαχείριση των κινδύνων της αλυσίδας εφοδιασμού στον κυβερνοχώρο μπορεί να αναληφθεί μέσω του προσδιορισμού της αλυσίδας εφοδιασμού στον κυβερνοχώρο, της κατανόησης του κινδύνου της αλυσίδας εφοδιασμού στον κυβερνοχώρο, του καθορισμού προσδοκιών ασφάλειας στον κυβερνοχώρο με προμηθευτές, του ελέγχου των προμηθευτών για τη συμμόρφωση και της συνεχούς παρακολούθησης και βελτίωσης των πρακτικών ασφάλειας της αλυσίδας εφοδιασμού στον κυβερνοχώρο.

Προσδιορισμός της αλυσίδας εφοδιασμού στον κυβερνοχώρο

Το πρώτο βήμα στη διαχείριση των κινδύνων της αλυσίδας εφοδιασμού στον κυβερνοχώρο είναι ο προσδιορισμός της αλυσίδας εφοδιασμού στον κυβερνοχώρο. Περιλαμβάνονται όλοι οι προμηθευτές, όπως προμηθευτές λογισμικού και υλικού, παροχείς διαχειριζόμενων υπηρεσιών και, όπου είναι δυνατόν, οι υπεργολάβοι τους. Επιπλέον, είναι σημαντικό να γνωρίζετε την αξία των πληροφοριών που επεξεργάζονται, αποθηκεύουν και επικοινωνούν τα συστήματά σας, καθώς και την αξία των πληροφοριών που μπορεί να ανατεθούν σε προμηθευτές.

Ως αφετηρία, οι οργανισμοί θα πρέπει να καταρτίζουν κατάλογο των προμηθευτών με τους οποίους έχουν συνάψει εμπορικές συμφωνίες. Αν και μπορεί να μην είναι δυνατός ο εξαντλητικός κατάλογος όλων των προμηθευτών, ιδίως των υπεργολάβων τους, θα πρέπει να δοθεί προτεραιότητα στον προσδιορισμό των υπευθύνων για τα προϊόντα ή τις υπηρεσίες με λειτουργίες επιβολής της ασφάλειας, την προνομιακή πρόσβαση ή τον χειρισμό ιδιαίτερα ευαίσθητων πληροφοριών.

Κατανόηση του κινδύνου της αλυσίδας εφοδιασμού στον κυβερνοχώρο

Μετά την κατάρτιση καταλόγου προμηθευτών, οι οργανισμοί θα πρέπει να επιδιώκουν να κατανοήσουν τον κίνδυνο της αλυσίδας εφοδιασμού στον κυβερνοχώρο που ενέχουν οι εν λόγω προμηθευτές μέσω καθιερωμένων πρακτικών διαχείρισης κινδύνου εντός του οργανισμού τους. Σε ορισμένες περιπτώσεις, ο κίνδυνος της αλυσίδας εφοδιασμού στον κυβερνοχώρο που σχετίζεται με τους προμηθευτές μπορεί να είναι αποτέλεσμα κακών πρακτικών ασφάλειας εντός ενός προμηθευτή, τρωτών σημείων ασφάλειας εντός του προϊόντος ή της προσφοράς υπηρεσιών ενός προμηθευτή ή λόγω της έκθεσης ενός προμηθευτή σε εξωδικαστικό έλεγχο, εξωδικαστική επιρροή ή ξένη παρέμβαση.

Κατά τον προσδιορισμό του κινδύνου της αλυσίδας εφοδιασμού στον κυβερνοχώρο που ενέχουν οι προμηθευτές, οι οργανισμοί μπορούν να επιδιώξουν να κατανοήσουν τη στάση ασφάλειας των προμηθευτών τους με διάφορους τρόπους. Αυτό μπορεί να περιλαμβάνει τη συζήτηση με τους προμηθευτές σχετικά με τις υφιστάμενες ρυθμίσεις τους για την ασφάλεια στον κυβερνοχώρο, τον καθορισμό του κατά πόσον οι προμηθευτές διαθέτουν πιστοποιήσεις ασφάλειας, την εξέταση του ιστορικού των τρωτών σημείων ασφάλειας σε προϊόντα ή υπηρεσίες ενός προμηθευτή και την ανταπόκριση τους στην επίλυσή τους, καθώς και του κατά πόσον ο προμηθευτής έχει πολιτική γνωστοποίησης ευπάθειας.

Αν και ο προσδιορισμός του κινδύνου της αλυσίδας εφοδιασμού στον κυβερνοχώρο θα αποτελεί συχνά ευθύνη μεμονωμένων οργανισμών, σε ορισμένες περιπτώσεις η κυβέρνηση μπορεί να θεωρήσει ότι ένας συγκεκριμένος προμηθευτής, ή ένα από τα προϊόντα ή τις υπηρεσίες τους, αποτελεί εθνική ανησυχία ασφάλειας. Σε τέτοιες περιπτώσεις, ενδέχεται να υπάρχει συγκεκριμένη κατεύθυνση που να έχει εκδοθεί σε σχέση με τη διαχείριση του σχετικού κινδύνου της αλυσίδας εφοδιασμού στον κυβερνοχώρο. Ειδικότερα, για τους παρόχους υποδομών ζωτικής σημασίας, ο νόμος για την ασφάλεια των υποδομών ζωτικής σημασίας του 2018 παρέχει πρόβλεψη για συγκεκριμένη κατεύθυνση που θα εκδοθεί από την κυβέρνηση, όταν υπάρχουν ανησυχίες εθνικής ασφάλειας.

Ως αποτέλεσμα της κατανόησης του κινδύνου που διατρέχουν από την αλυσίδα εφοδιασμού στον κυβερνοχώρο, οι οργανισμοί θα πρέπει να είναι σε θέση να καταρτίζουν τόσο κατάλογο προμηθευτών που παρουσιάζουν υψηλό κίνδυνο για την οργάνωσή τους, όσο και σχετικό σχέδιο διαχείρισης κινδύνου για την αλυσίδα εφοδιασμού στον κυβερνοχώρο. Είναι σημαντικό να σημειωθεί, ωστόσο, ότι οι οργανισμοί δεν θα πρέπει να λαμβάνουν υπόψη μόνο τον κίνδυνο της αλυσίδας εφοδιασμού στον κυβερνοχώρο που θέτουν οι προμηθευτές τους, αλλά και τον κίνδυνο της αλυσίδας εφοδιασμού στον κυβερνοχώρο που θέτουν στους πελάτες τους.

Ορισμός προσδοκιών ασφάλειας στον κυβερνοχώρο με τους προμηθευτές

Ανεξάρτητα από το ποιοι προμηθευτές θεωρούνται υψηλού κινδύνου σε οποιαδήποτε δεδομένη στιγμή, οι οργανισμοί θα πρέπει να επιδιώξουν να δημιουργήσουν προσδοκίες ασφάλειας στον κυβερνοχώρο με όλους τους προμηθευτές τους. Στο πλαίσιο αυτό, οι προσδοκίες για την ασφάλεια στον κυβερνοχώρο θα πρέπει να τεκμηριώνονται σαφώς σε συμβάσεις ή μνημόνιο συμφωνίας, προκειμένου να διασφαλιστεί ότι οι προμηθευτές διαχειρίζονται κατάλληλα τη δική τους στάση ασφαλείας, συμπεριλαμβανομένου του κινδύνου της αλυσίδας εφοδιασμού στον κυβερνοχώρο. Επιπλέον, είναι κρίσιμο οι εν λόγω συμφωνίες να ορίζουν την απαίτηση για τυχόν περιστατικά ασφάλειας στον κυβερνοχώρο να αναφέρονται ανοικτά και με διαφάνεια στους πελάτες τους και στις αρμόδιες αρχές εγκαίρως.

Σε πολλές περιπτώσεις, οι προσδοκίες για την ασφάλεια στον κυβερνοχώρο που ορίζονται σε συμβάσεις ή σε μνημόνιο συμφωνίας δεν θα πρέπει να είναι υπερβολικά περιοριστικές· εκτός εάν οι προμηθευτές συμμετέχουν στην παροχή ή υποστήριξη συστημάτων υψηλής διαβάθμισης. Αντίθετα, οι προσδοκίες για την ασφάλεια στον κυβερνοχώρο θα πρέπει να είναι δικαιολογημένες, εφικτές και ανάλογες με τις πληροφορίες που ανατίθενται σε προμηθευτές ή τον ρόλο που διαδραματίζουν τα προϊόντα ή οι υπηρεσίες τους στα συστήματα ενός οργανισμού.

Τέλος, οι οργανισμοί θα πρέπει να επιδιώκουν να διασφαλίζουν ότι οι τυχόν προσδοκίες ασφάλειας στον κυβερνοχώρο που ορίζονται σε συμβάσεις ή μνημόνιο συμφωνίας με τους προμηθευτές διαβιβάζονται διαδοχικά στους προμηθευτές τους.

Πάροχοι ελέγχου για συμμόρφωση

Μόλις δημιουργηθούν οι προσδοκίες για την ασφάλεια στον κυβερνοχώρο με τους προμηθευτές, είναι σημαντικό οι οργανισμοί να έχουν εμπιστοσύνη ότι αυτές οι προσδοκίες εκπληρώνονται. Ένας τρόπος για την επίτευξη αυτών των διαβεβαιώσεων είναι μέσω τακτικών ελέγχων ή άλλων μορφών τεχνικών αξιολογήσεων. Οι διατάξεις για τις δραστηριότητες αυτές θα πρέπει να ορίζονται στις συμβάσεις ή στο μνημόνιο συνεννόησης (συχνά αναφέρεται ως ρήτρα “δικαιώματος ελέγχου”) και μπορούν να χρησιμεύσουν ως τρόπος απόκτησης ανεξάρτητων διαβεβαιώσεων για τη στάση ασφαλείας των προμηθευτών.

Παρακολούθηση και βελτίωση της ασφάλειας της αλυσίδας εφοδιασμού στον κυβερνοχώρο

Τέλος, η αποτελεσματική διαχείριση των κινδύνων της αλυσίδας εφοδιασμού στον κυβερνοχώρο βασίζεται στην εμπιστοσύνη μεταξύ προμηθευτών και πελατών. Τέτοιες εταιρικές σχέσεις μπορούν να ενισχυθούν μέσω κοινών στόχων ασφάλειας στον κυβερνοχώρο και διακανονισμών ανταλλαγής πληροφοριών, όπως η ανταλλαγή βέλτιστων πρακτικών και πληροφοριών σχετικά με απειλές, καθώς και η αμοιβαία συνδρομή για την αντιμετώπιση συμβάντων που αφορούν την ασφάλεια στον κυβερνοχώρο και η αμοιβαία συμμετοχή σε οποιεσδήποτε ασκήσεις ασφάλειας στον κυβερνοχώρο.