Στις 25 Μαΐου τίθεται σε εφαρμογή ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) στην Ευρωπαϊκή Ένωση, το πρώτο σχετικό ρυθμιστικό πλαίσιο που θεσπίζεται πανευρωπαϊκά, Τι αλλάζει με το GDPR για τις εταιρείες στην Ευρώπη;
Όπως εξήγησε, ο Δρ. Ymir Vigfusson, Ισλανδός χάκερ και Επίκουρος Καθηγητής Μαθηματικών και Επιστήμης Υπολογιστών του Πανεπιστημίου Emory των ΗΠΑ, στην εκδήλωση της Microsoft Hellas, “GDPR – Challenge Accepted”, το νέο πλαίσιο αλλάζει τον τρόπο που λειτουργούν οι εταιρείες, θέτει προκλήσεις και δημιουργεί ευκαιρίες.
Σε συνέντευξή του στο newmoney.gr εξηγεί τους τρόπους παραβίασης των δεδομένων και τι σημαίνει το νέο πλαίσιο για τις εταιρείες και τους πολίτες στην Ευρώπη.
Από την παρουσίασή σας καταλαβαίνω ότι είναι πολύ εύκολο να «χακάρεις» μια εταιρεία. Ποιες είναι οι πιο κοινές παραβιάσεις και τα πιο συνηθισμένα κενά ασφαλείας που βλέπετε στις εταιρείες;
YV: Ο τρόπος που θα γίνει η επίθεση διαφέρει από εταιρεία σε εταιρεία. Η κάθε μια έχει τα δικά της «τυφλά σημεία». Ένα από τα πιο συχνά λάθη είναι ότι οι εταιρείες θεωρούν ασφαλείς τις ιστοσελίδες τους, τα εισερχόμενα emails και τα PDF που διακινούνται μεταξύ των εργαζομένων, γεγονός που επιτρέπει στους hackers να μπουν στο σύστημα. Αυτή τη στιγμή, η τάση, τουλάχιστον μεταξύ των μεγάλων εταιρειών είναι να «χακάρει» κάποιος έναν υπολογιστή μέσα στην εταιρεία κι από εκεί να βρει πάτημα ώστε να παρεισφρήσει στο υπόλοιπο σύστημα και να αποκομίσει πληροφορίες χωρίς να τον καταλάβει κανείς. Για να εντοπίσουν αυτή την κίνηση, οι εταιρείες προσλαμβάνουν επαγγελματίες hackers (τους λεγόμενους δοκιμαστές διείσδυσης ή «penetration testers»), που θα προσπαθήσουν να παρεισφρήσουν στο σύστημα και στη συνέχεια θα εξηγήσουν πώς τα κατάφεραν και πώς μπορούν να αντιμετωπιστούν τα κενά ασφαλείας.
Μπορείτε να μας δώσετε μερικά παραδείγματα εταιρειών που έχετε χακάρει; Τι τις συμβουλέψατε να κάνουν στη συνέχεια; Γενικά, τι πρέπει να κάνουν οι εταιρείες μόλις καταλάβουν ότι τις έχουν χακάρει;
YV: Δεν μπορώ να μιλήσω για συγκεκριμένους πελάτες της Syndis (σ.σ. της εταιρείας που έχει ιδρύσει), αλλά μπορώ να πω ότι έχουμε χακάρει επιτυχώς μερικές από τις πιο διάσημες εταιρείες παγκοσμίως, για τις οποίες η ασφάλεια είναι προτεραιότητα. Αυτές οι εταιρείες έχουν ολόκληρα τμήματα που ασχολούνται με την ασφάλεια και επιζητούν να μαθαίνουν σε ποιους τομείς μπορούν να βελτιωθούν αφού το τοπίο αλλάζει συνεχώς.
Αντίθετα, εταιρείες με μικρότερα τμήματα για την ασφάλεια ή και καθόλου, έχουν πολλή περισσότερη δουλειά να κάνουν. Σε αυτές, η λίστα με τις συστάσεις μπορεί να περιλαμβάνει περισσότερα στρώματα ασφαλείας (π.χ. δεν υπάρχει λόγος το laptop ενός απλού εργαζομένου να έχει πρόσβαση σε servers με δεδομένα χρηστών), την ανάπτυξη μιας µορφής ελέγχους δύο παραγόντων (two-factor authentication), την ανάκληση της διοικητικής πρόσβασης των υπαλλήλων στους δικούς τους υπολογιστές (κάτι που καθιστά πιο δύσκολο το hacking σε ένα δίκτυο) ή την βελτίωση της καταγραφής και της παρακολούθησης των δραστηριοτήτων στο δίκτυο της εταιρείας. Αυτά τα αρχεία καταγραφής (logs) είναι τα πρώτα που πρέπει να ελέγξει κανείς, όταν καταλάβει ότι έχει πέσει θύμα hacking, αφού είναι κρίσιμα στην αναγνώριση των δεδομένων που έχουν κλαπεί, ποιος τα έχει κλέψει και κατά πόσο ο hacker συνεχίζει να έχει πρόσβαση στο σύστημα.
Το πρώτο πράγμα που πρέπει να κάνουν οι εταιρείες μόλις καταλάβουν ότι έχουν πέσει θύματα επίθεσης είναι να συμβουλευτούν τους ειδικούς για το πώς θα αντιδράσουν. Σε κάποιες εταιρείες, κατηγορείται ο εργαζόμενος του οποίου ο υπολογιστή ή ο λογαριασμός παραβιάστηκε. Αυτό το σκεπτικό όμως είναι αντιπαραγωγικό, δείχνει άγνοια για το πώς γίνονται σήμερα οι κυβερνο-επιθέσεις και εν τέλει δημιουργεί μια κουλτούρα όπου οι εργαζόμενοι αποθαρρύνονται από το να αναφέρουν τέτοιες παραβιάσεις. Το αν η εταιρεία σου δεχτεί επίθεση ή όχι είναι θέμα πιθανοτήτων και είναι μια διαδικασία στην οποία έχει πολύ μικρό έλεγχο.
Πόσο ευάλωτες είναι οι ελληνικές εταιρείες στο χακάρισμα σε σχέση με τις υπόλοιπες ευρωπαϊκές εταιρείες; Ή σε σχέση με εταιρείες που δραστηριοποιούνται σε άλλα μέρη του κόσμου (π.χ. Αμερική, Ασία);
YV: Δεν έχω στοιχεία συγκεκριμένα για την Ελλάδα αλλά δεν νομίζω ότι η κατάσταση είναι πολύ διαφορετική σε σχέση με τον υπόλοιπο κόσμο: Οι μεγάλες εταιρείες, ειδικά σε τομείς που γίνονται πιο εύκολα στόχοι (εταιρείες αμυντικών συστημάτων, ανταγωνιστικές βιομηχανίες που έχουν «εμπορικά μυστικά», εταιρείες «πλούσιες» σε δεδομένα) συνήθως έχουν ισχυρό «δίχτυ» προστασίας σε σχέση με τις μικρότερες, το οποίο εγκαθιστούν, συνήθως, μετά από κάποια προηγούμενη παραβίαση παρά για προληπτικούς λόγους. Είναι λυπηρό το γεγονός ότι τα περισσότερα μέτρα ασφαλείας λαμβάνονται αφότου έχει συμβεί κάτι κακό. Θα συμβούλευα τις εταιρείες αφενός να τοποθετήσουν τη θέση του Υπεύθυνου ασφάλειας πληροφοριών (CISO) υψηλότερα στην ιεραρχία ώστε να έχει την εξουσία να δρα προληπτικά κι αφετέρου να δημιουργήσουν μια εσωτερική ομάδα ελέγχου η οποία θα αναφέρεται απευθείας στο Διοικητικό Συμβούλιο.
Θεωρείται ότι η Ευρώπη είναι «μπροστά» στην προστασία δεδομένων σε σχέση με άλλες χώρες;
YV: Νομίζω ότι στην Ευρώπη η προστασία των προσωπικών δεδομένων έχει πάει ένα βήμα παραπέρα σε σχέση με άλλα μέρη. Ωστόσο, τα προσωπικά δεδομένα αποτελούν μόλις μια από τις κατηγορίες που στοχεύουν οι κυβερνο-εγκληματίες με τις επιθέσεις τους.
Πώς ακριβώς θα επηρεαστούν οι ευρωπαϊκές εταιρείες από τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)? Πόσο θα αλλάξουν οι επιχειρηματικές πρακτικές και ο τρόπος που οι εταιρείες συγκεντρώνουν δεδομένα;
YV: Νομίζω ότι ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων στην Ευρώπη είναι ένα ενδιαφέρον «μαστίγιο» που μπορεί να πετύχει δύο πράγματα. Πρώτον, θα βοηθήσει τις εταιρείες να αφυπνιστούν και να συνειδητοποιήσουν την ανάγκη δημιουργίας μιας ομάδας ασφαλείας, ανάπτυξης συγκεκριμένων πρωτοκόλλων και ανάπτυξης κώδικα με προσανατολισμό στην ασφάλεια των δεδομένων, καθώς σε αντίθετη περίπτωση θα έρθουν αντιμέτωπες με βαριά πρόστιμα. Δεύτερον, θα δώσει στους πολίτες μια άνευ προηγουμένου προστασία στον τρόπο που οι εταιρείες διαχειρίζονται τα προσωπικά τους δεδομένα. Ο νέος κανονισμός δεν θα αλλάξει πολλά για τους μεγαλύτερους παίκτες, καθώς ήδη έχουν ενσωματώσει αυστηρότερες πολιτικές προστασίας στις πλατφόρμες τους. Ωστόσο, πολλοί μικρότεροι παίκτες θα χρειαστεί να προχωρήσουν σε πιο μεγάλες προσαρμογές στον τρόπο που προσεγγίζουν τα δεδομένα. Γι’ αυτό νομίζω ότι είναι πολύ σημαντικό που η Microsoft στην Ελλάδα οργανώνει σχετικά events τα οποία βοηθούν τις εταιρείες να επικεντρώσουν την προσοχή τους στους τομείς εκείνους που πρέπει να προετοιμάσουν καλύτερα.
Τι μπορούν να κάνουν οι εταιρείες για να προσαρμοστούν στην νέα εποχή; Ποια είναι τα βήματα που πρέπει να ακολουθήσουν; Ποιες είναι οι μεγαλύτερες προκλήσεις και πόσα χρήματα και πόρους θα πρέπει να επενδύσουν; Υπάρχουν ευκαιρίες;
YV: Η προθεσμία για την εφαρμογή του νέου κανονισμού είναι τον Μάιο. Πιστεύω ότι οι εταιρείες αρχικά θα συγκεντρώσουν τα στοιχεία των χρηστών σε ένα κεντρικό σημείο, όπου η πρόσβαση θα είναι πιο αυστηρή και η αποθήκευση των δεδομένων κρυπτογραφημένη. Στη συνέχεια, θα πρέπει να υπάρξει μια ώθηση στη χρήση ψευδώνυμων δεδομένων (pseudonymous data), απομάκρυνση των δεδομένων που δεν χρειάζονται και τακτική εκπαίδευση του προσωπικού στη χρήση των δεδομένων και την ενσωμάτωση της ασφάλειας σε ολόκληρη την εταιρεία. Τέλος, ο νέος κανονισμός θα βοηθήσει τις εταιρείες να καθορίσουν τρόπους μέτρησης και αξιολόγησης που εξασφαλίζουν ότι η διαχείριση των δεδομένων είναι ασφαλής.
Νομίζω ότι ο νέος κανονισμός είναι μια καλή ευκαιρία για να πάρουν στα σοβαρά οι εταιρείες την προστασία των δεδομένων και να χρησιμοποιήσουν τη δυναμική που αναπτύσσεται για να καταστήσουν πιο δύσκολες τις επιθέσεις των hackers.
Όσον αφορά το κόστος, η ερευνητική εταιρεία Gartner εκτιμά πως, ακόμα και πριν τον νέο κανονισμό, περίπου το 30% του προϋπολογισμού στα τμήματα ΙΤ θα πρέπει να δαπανάται στην ασφάλεια και την προστασία δεδομένων. Υποπτεύομαι όμως πως πολλές εταιρείες απέχουν πολύ από αυτό το ποσοστό.
Είναι οι νέοι κανονισμοί αρκετοί για να προστατεύσουν τις εταιρείες από τις κυβερνο-επιθέσεις και τις παραβιάσεις δεδομένων; Θα μπορούσαν π.χ. να έχουν αποτρέψει την κλοπή προσωπικών δεδομένων από το Facebook;
YV: Το ρυθμιστικό πλαίσιο συνήθως διαμορφώνεται εκ των υστέρων, ειδικά όταν οι αντίπαλοι έχουν κεφάλαια και είναι ευέλικτοι. Καμία εταιρεία δεν μπορεί να είναι πλήρως προστατευμένη απέναντι σε τέτοιες απειλές, αλλά τέτοιου είδους πλαίσια βοηθούν στο να τεθούν προτεραιότητες, οι οποίες, μακροπρόθεσμα, έχουν ωφέλειες για όλους. Μια από τις συνέπειες του GDPR είναι ότι οι εταιρείες θα αναγκαστούν να αυξήσουν τις επενδύσεις τους στην ασφάλεια, κάτι που σημαίνει ότι οι hackers θα πρέπει να καταβάλλουν μεγαλύτερη προσπάθεια. Αυτό συνιστά από μόνο του μεγάλη νίκη.
Επίσης το νέο πλαίσιο καθιστά πιο δύσκολη τη μαζική συγκέντρωση δεδομένων. Είναι δύσκολο να προβλέψει κανείς τι θα μπορούσε να συμβεί αν άλλαζε ο ρους της ιστορίας, αλλά, η χρήση διαφημιστικών δεδομένων με στόχο να επηρεάσει πολιτικά την κοινή γνώμη δεν νοείτο πριν το 2016. Με την ίδια λογική, το επόμενο σκάνδαλο στη χρήση προσωπικών δεδομένων ενδεχομένως να είναι κάτι που ακόμα δεν μπορούμε να φανταστούμε, αλλά τουλάχιστον το GDPR, δίνοντας έμφαση στην πραγματικά ενημερωμένη συναίνεση, προσπαθεί να καταστήσει πιο δύσκολη τη χειραγώγηση των δεδομένων, τουλάχιστον σε αυτή την κλίμακα.
Οι κυβερνο-επιθέσεις αποτελούν ολοένα και μεγαλύτερη απειλή για τις εταιρείες, τους καταναλωτές και τους πολίτες. Σε έναν κόσμο, ολοένα και πιο αυτοματοποιημένο, με την ενσωμάτωση τεχνολογιών όπως το Internet of Things και την τεχνητή νοημοσύνη, ποιο είναι το επόμενο βήμα μετά το GDPR; Τι παραπάνω πρέπει να γίνει;
YV: Υπάρχουν πολλοί τομείς προς βελτίωση. Δυστυχώς, οι κυβερνο-επιθέσεις δεν αποτελούν πλέον την εξαίρεση αλλά τον κανόνα και το κυβερνο-έγκλημα είναι μια από τις ταχύτερα αναπτυσσόμενες «βιομηχανίες». Πιστεύω ότι σίγουρα θα χρειαστεί ισχυρότερο ρυθμιστικό πλαίσιο παγκοσμίως και ισχυρή εφαρμογή για να ανασχεθεί η επικερδής ανάπτυξη της «βιομηχανίας». Αλλά το πιο σημαντικό είναι να επενδύσουμε στην εκπαίδευση και την ενημέρωση της κοινωνίας γύρω από την προστασία δεδομένων ώστε να καταστήσουμε πιο δύσκολες τις επιθέσεις και τις παραβιάσεις. Οφείλουμε επίσης να επενδύσουμε στην προσέλκυση νέων ταλέντων που στρέφονται στο κυβερνο-έγκλημα και να αντιμετωπίσουμε το πρόβλημα στη ρίζα του. Τέλος, θα πρέπει να αναγνωρίσουμε ότι όσο κι αν μας «ξεβολεύει», η ασφάλεια αποτελεί μια εγγύηση και θα πρέπει να την ενσωματώσουμε στην καθημερινότητά μας χωρίς φόβο.
πηγή newmoney.gr – Συνέντευξη στην Κατερίνα Καραμούτσου