Πίνακας περιεχομένων:
Οι επιχειρήσεις στοχεύουν τα cyberattacks με ανησυχητικό ρυθμό. Σημαντικές παραβιάσεις στο Target τον Δεκέμβριο του 2013 και ο Neiman Marcus τον Ιανουάριο του 2014 έδωσαν ένα μεγάλο προβάδισμα στις ανεπάρκειες που έχουν πολλά καταστήματα λιανικής στην υποδομή ασφαλείας τους. Ως αποτέλεσμα, όλο και περισσότερες εταιρείες, τόσο μεγάλες όσο και μικρές, αισθάνονται την ανάγκη να αυξήσουν τις προσπάθειές τους και να έχουν μια ειδική ομάδα ασφαλείας.
Σύμφωνα με έκθεση που δημοσιεύθηκε από το Reuters τον Μάιο του 2014, αρκετές μεγάλες εταιρείες, όπως η Pepsi και η JPMorgan Chase & Co., βρίσκονται στο κυνήγι για νέους υπεύθυνους για την ασφάλεια των πληροφοριών (CISOs), προκειμένου να ενισχύσουν τις πρακτικές ασφαλείας. Αυτό που αντανακλά είναι η μεγαλύτερη συνειδητοποίηση της ασφάλειας και της σημασίας της στο επίπεδο της επιχείρησης.
Οι CISOs και οι κύριοι αξιωματικοί του κυβερνοχώρου, βυθίζονται στην ασφάλεια της τεχνολογίας τους τόσο για τον εργοδότη όσο και για τον πελάτη, αλλά οι ρόλοι και οι ευθύνες τους καθίστανται πιο έντονες και επιτακτικές απέναντι στο ευρύ κοινό και όχι μόνο στην κοινότητα ασφάλειας.
"Πριν από πέντε χρόνια, η ασφάλεια των πληροφοριών έσπασε μόλις τις 10 κορυφαίες ανησυχίες των διοικητικών συμβουλίων.Αυτό πριν από ένα χρόνο ήταν το No.2 Είναι ενδιαφέρον ότι τώρα είναι η ασφάλεια των δεδομένων και όχι μόνο η ασφάλεια των πληροφοριών", λέει ο David Boehmer, περιφερειακός διευθύνων σύμβουλος στην εταιρεία προσλήψεων Heidrick & Αγώνες, σε ένα βίντεο του YouTube που παρήγαγε η εταιρεία.)
Τι κάνει το CISO
Ο ρόλος μιας CISO μπορεί να είναι αρκετά ευρύς, και συχνά βρίσκονται φορώντας πολλά διαφορετικά καπέλα. Η δουλειά περιλαμβάνει τα πάντα, από την εσωτερική ασφάλεια, όπως η διαχείριση της ασφάλειας της πνευματικής ιδιοκτησίας, στην ευθύνη για την ασφάλεια των πελατών.
"Επίσης συνεργάζομαι με την ομάδα προϊόντων μας και με την ομάδα μηχανικών για την εφαρμογή χαρακτηριστικών στο προϊόν που μπορεί να ενδιαφέρουν τους αγοραστές ασφαλείας", λέει ο Joan Pepin, ένας CISO στο Sumo Logic.
Ενώ η πτώση του Target πέρυσι είχε πολλούς ανθρώπους να μιλάνε, η Pepin εξηγεί ότι δεν ήταν τόσο έκπληκτος - και ούτε ήταν το μεγαλύτερο μέρος της κοινότητας ασφάλειας. Αυτό δεν σημαίνει ότι η κοινότητα ασφαλείας δεν είχε τις «αιχμές της κρίσης» της, όμως, όπου όλοι έπρεπε να ενισχύσουν το έργο τους προς τα εμπρός.
Η παραβίαση RSA το 2011, κατά την οποία οι χάκερ παραβίασαν τους διακομιστές της εταιρείας ασφάλειας πληροφοριών και έκλεψαν τις μάρκες ελέγχου ταυτότητας που παρείχαν πρόσβαση σε ευαίσθητα κυβερνητικά και εταιρικά δεδομένα, είχε πολλούς επαγγελματίες ασφαλείας. Πώς θα μπορούσε μια εταιρεία ασφαλείας να πέσει θύμα του χάκερ σαν αυτό; Μόνο δύο χρόνια αργότερα, η ανησυχία αυτή θα μετατοπίζεται σε στόχο που είχε προηγουμένως περάσει κάτω από το ραντάρ: πελάτες λιανικής. Επιθέσεις όπως αυτές που παρουσιάστηκαν στο Target και στο Neiman Marcus μετατόπισαν την προσοχή στην ασφάλεια για τον καθημερινό πελάτη.
"Είναι σαφές ότι όταν έχετε μια μαζική λιανική επιχείρηση με χιλιάδες και χιλιάδες υπαλλήλους, όλες αυτές τις διαφορετικές τοποθεσίες, μηχανήματα σημείου πώλησης, αυτό είναι το πολύ φτωχότερο είδος συστήματος και το γεγονός ότι αυτοί οι τύποι επιθέσεων δεν συνέβησαν γι 'αυτό τύπος κλίμακας νωρίτερα είναι στην πραγματικότητα λίγο μια έκπληξη για μένα ", δήλωσε ο Pepin.
Το ζήτημα πηγάζει από το γεγονός ότι η ασφάλεια θεωρείται απλώς ένα πλαίσιο ελέγχου για τις εταιρείες να τσιμπούρια και να αφήσει να είναι παρά μια σταθερά αστυνομική πτυχή της επιχείρησής τους. Αυτό δεν σημαίνει ότι οι εγκληματίες του κυβερνοχώρου είναι χαλαροί και μπορούν απλά να περπατήσουν μέσα. Στην πραγματικότητα, οι κυβερνοεγκληματίες γίνονται όλο και πιο εξειδικευμένοι.
"ήταν μια πολύ περίπλοκη παραβίαση, ικανή να μιμηθεί τον πράκτορα της BMC και αυτούς τους τύπους μυστικών πράξεων." Η Pepin δήλωσε ότι ήταν πολύ έξυπνο να ασχοληθεί με πλευρικές κινήσεις σε όλο το δίκτυο Target.
«Δεν θέλω να το απομακρύνω, αλλά από την άποψη της δυσκολίας στο στόχο, χωρίς λογομαχία, δεν θα έβαζα ποτέ κάποια αλυσίδα λιανικής πώλησης σε έναν κατάλογο σκληρών στόχων. Οι εταιρείες ασφάλειας είναι σκληροί στόχοι, η κυβέρνηση είναι ένας σκληρός στόχος. Ορισμένες αλυσίδες λιανικής πώλησης των οποίων η επιχείρηση πωλεί κάλτσες, δεν θα περίμενα να είναι ένα σούπερ ασφαλές κατάστημα. "
Το Τοπίο για Επαγγελματίες Ασφαλείας
Τον Ιούνιο του 2014, ο Target προσέλαβε την πρώτη του CISO, τον Brad Maiorino, πρώην εκτελεστικό της General Motors, ο οποίος θα επιβλέπει την αναθεώρηση των πρακτικών ασφαλείας της εταιρείας.
Οι επιχειρήσεις, ανεξάρτητα από τον τομέα τους ή το μέγεθός τους, θα πρέπει να λάβουν υπόψη και να ενισχύσουν το παιχνίδι ασφαλείας τους, ανταποκρινόμενοι σε ολοένα αυξανόμενες απειλές με μεγαλύτερη ευαισθητοποίηση και περισσότερη εξουσία για να ενεργήσουν σε ενδεχόμενες παραβιάσεις.
"Ήταν σαφές … στην υπόθεση Target ότι δημιουργήθηκαν ειδοποιήσεις που κανείς δεν απάντησε και ότι, κατά την εμπειρία μου από την διαχείριση της ασφάλειας, είναι εξαιρετικά χαρακτηριστική, είπε ο Pepin.
"Το καλύτερο σύστημα ανίχνευσης εισβολών στον κόσμο εξακολουθεί να έχει ένα πολύ υψηλό ψευδώς θετικό ρυθμό και έτσι οι ανταποκριτές ασφαλείας είναι βασικά εκπαιδευμένοι από τα συστήματά τους να αγνοούν τα συστήματά τους. Υπάρχει ένα τεχνολογικό χάσμα ανθρώπινης αλληλεπίδρασης εκεί, όπου οι πρώτοι ανταποκρινόμενοι γίνονται καταθλιπτικοί στις χιλιάδες αλλά στην περίπτωση του Target υπήρχαν κάποια σημάδια που δεν είχαν ακολουθηθεί, γεγονός που θα μπορούσε να βοηθήσει στην ελαχιστοποίηση των επιπτώσεων πολύ νωρίτερα ».
Όπως συμβαίνει συχνά, ένας επαγγελματίας ασφαλείας δεν μπορεί να ενεργήσει αμέσως σε ένα ζήτημα επειδή χρειάζεται εκκαθάριση ή έγκριση από κάποιον άλλον υψηλότερο στην ιεραρχία. Αυτό πρέπει να αλλάξει, λέει ο Pepin, εξηγώντας ότι η ομάδα ασφαλείας μιας εταιρείας πρέπει να έχει περισσότερη αυτονομία και εξουσία να αναλάβει την πρωτοβουλία.
"Αισθάνομαι ότι εξακολουθεί να είναι ένα ζήτημα διακυβέρνησης στο οποίο οι επικεφαλής των υπηρεσιών ασφαλείας των πληροφοριών δεν πρέπει να υποβάλλουν αναφορές σε επικεφαλής επιχειρήσεων", λέει ο Tom Kellermann, επικεφαλής της Υπηρεσίας Πληροφοριών στην Trend Micro. "Θα πρέπει να αναφέρονται απευθείας στον επικεφαλής του κινδύνου ή στον Διευθύνοντα Σύμβουλο." Αυτό κόβει πολλούς από τους μεσάζοντες και εξασφαλίζει ταχύτερο χρόνο απόκρισης σε πιθανές καταστάσεις έκτακτης ανάγκης.
Ο Pepin συμφωνεί ότι οι επαγγελματίες ασφαλείας πρέπει να "αναφέρουν στην κορυφή" στην εταιρεία τους. "Είμαι αρκετά τυχερός που αναφέρω στον Διευθύνοντα Σύμβουλό μου, κάτι που λειτουργεί πολύ καλά και αυτό θα ήθελα πραγματικά να συστήσω σε κάθε οργανισμό που λαμβάνει σοβαρά υπόψη την ασφάλειά του".
Άλλοι προϋπολογισμοί και ασφάλεια για τις ΜΜΕ
Η πρόσληψη ενός CISO και η επέκταση της ομάδας ασφαλείας σας είναι καλή και καλή αν έχετε τον προϋπολογισμό, αλλά τι γίνεται με τις μικρότερες εταιρείες; Ενώ μια επίθεση σε μια μικρή αλυσίδα ή στο τοπικό κατάστημα υλικού σας δεν θα αποκομίσει τα ίδια οφέλη για τους χάκερς όπως το χτύπημα ενός Target ή του Neiman Marcus, είναι ακόμα άδικο να αφήσετε τον εαυτό σας ευάλωτο με οποιονδήποτε τρόπο. Τι μπορείτε να κάνετε για να μετριάσετε τον κίνδυνο επίθεσης; Η Pepin συνιστά έντονα να προσλάβει τις υπηρεσίες συμβούλου ή συμβούλου αντιμετώπισης περιστατικών.
"Σε περίπτωση που σας επιτεθεί, έχετε κάποιον που μπορείτε να καλέσετε, οπότε δεν χρειάζεται να ανοίξετε το Google και να αρχίσετε να ψάχνετε", ανέφερε.
Αυτό θα έχει μεγαλύτερη οικονομική σημασία για μια μικρότερη εταιρεία, εξηγεί, καθώς η επιχείρηση θα χρησιμοποιεί τις υπηρεσίες μόνο όταν αυτές είναι απαραίτητες. Αυτές οι υπηρεσίες είναι εξίσου εξειδικευμένες για την παραλαβή του προσωπικού σας.
"Μπορείτε να έχετε μια φανταστική ομάδα για ταξινόμηση, κατανοώντας ότι είστε υπό επίθεση, αλλά αυτό δεν είναι ακριβώς το ίδιο σύνολο δεξιοτήτων που απαιτούνται για να απαντήσετε σε αυτή την επίθεση, να τις ξεδιπλώσετε από το δίκτυό σας και να συλλέξετε τα στοιχεία με τρόπο που να μπορεί να χρησιμοποιηθεί σε δικαστήριο. "
Οι εταιρείες έχουν πολλούς πόρους στη διάθεσή τους για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο. Η πρόσφατη ιστορία υποδεικνύει ότι μια άλλη μεγάλη επίθεση είναι πολύ κοντά.
