Η φυσική ασφάλεια υποδομών και δικτύων πληροφορικής
Μια από τις μεγαλύτερες προκλήσεις με πολυπαραγοντική διάσταση και ιδιαίτερες δυσκολίες, που αντιμετωπίζουν σήμερα οι Διευθυντές Ασφάλειας, είναι η φυσική ασφάλεια των πληροφοριών.
Του Δημοσθένη Παναγιώτου
Security & OHS Educator
MD στην S2A Consultancy Κύπρος
Τον Αύγουστο του 2010 δημοσιοποιήθηκε αφού αποχαρακτηρίστηκε από τη διαβάθμισή του ένα μείζωνος σημασίας περιστατικό επίθεσης σε πληροφοριακές δομές μιας βάσης των ΗΠΑ σε κάποια χώρα της Μέσης Ανατολής. Όπως έγραψε ο τότε Υφυπουργός Εθνικής Άμυνας των ΗΠΑ William Lynn, η επίθεση αυτή ήταν η σοβαρότερη που υπέστη ο Στρατός μέχρι τότε. Το ενδιαφέρον για το άρθρο είναι ο μοχλός που χρησιμοποιήθηκε για την πραγμάτωσή της, εν προκειμένω αυτός της ανθρώπινης περιέργειας. Στην πρωτότυπη και ιδιότυπη αυτή social engineering επίθεση, ο επιτιθέμενος έκανε χρήση αυτού του στοιχείου της προσωπικότητας και απόθεσε απλώς ένα usb stick στο δρόμο, σα να έπεσε από κάποιον μπροστά στην κεντρική πύλη της Βάσης. Ο-η περίεργος που το «βρήκε» θεωρώντας πιθανώς ότι ίσως έπιασε «λαβράκι» με γαργαλιστικά προσωπικά δεδομένα το κούμπωσε σε ένα usb port και η ζημιά έγινε: φορτώθηκε στο δίκτυο της Κεντρικής Διοίκησης κακόβουλο λογισμικό «που επεκτάθηκε απαρατήρητο σε διαβαθμισμένες και μη διαβαθμισμένες δικτυακές δομές, εγκαθιστώντας έναν κόμβο δυνάμει διαρροής και διανομής δεδομένων προς servers υπό ξένο έλεγχο» έγραψε ο Lynn. Δεν είπε τι και αν διέρρευσε αλλά η παραδοχή και μόνο της διάτρησης μιας στρατιωτικής πληροφοριακής δομής είναι αρκετή.
Νέες Απαιτήσεις, Νέες Προκλήσεις!
Σήμερα που τα πάντα στην τεχνολογία είναι πιο μικρά από ποτέ και με την φορητότητα των συσκευών να είναι μια κανονικότητα που έχει καταργήσει σχεδόν τα desktop pcs, η φυσική ασφάλεια των πληροφοριών έχει γίνει μια ιδιαίτερα δύσκολη υπόθεση για τους Διευθυντές Ασφαλείας. Η προστασία δεδομένων, δικτύων και συστημάτων είναι επίσης δύσκολη, μια και η μετακίνηση των laptops εκτός εταιρικών δομών είναι συνηθισμένη, ενώ στην εποχή COVID είναι σχεδόν ο κανόνας. Οι ζημιές που προκαλεί η άστοχη προστασία είναι πολλαπλές, όπως στην περίπτωση της Coca Cola που η κλοπή αρκετών laptops της το 2014 δεν ήταν αρκετή: ακολούθησε η διαρροή μη κρυπτογραφημένων προσωπικών δεδομένων 74.000 συνεργατών της και η μήνυση από εργαζόμενό της για πλημμελή φύλαξη των προσωπικών του δεδομένων.
Όσο η τεχνολογία εξελίσσεται τόσο και οι Κερκόπορτες που οδηγούν στα μυστικά της αυξάνονται και γίνονται συνθετότερες και δυσχερέστερες στην προστασία τους. Στην εποχή της απομακρυσμένης εργασίας από τον εταιρικό χώρο τα firewalls, οι υψηλές κρυπτογραφήσεις και οποιοδήποτε λογισμικό ασφαλείας ατμοποιούται πολύ εύκολα, αφού η προσέγγιση των συσκευών και κατά συνέπεια του δικτύου αποτελεί μια βατή υπόθεση, αν πρόκειται για μια γοητευτική γυναίκα που προσεγγίζει ένα στέλεχος ή κάποιον προσεγμένο κύριο που κερνάει δυο ποτά την αποκαμωμένη διευθύντρια που χαλαρώνει μόνη σε ένα εστιατόριο μετά τη δουλειά της.
Η πολυπαραγοντικότητα του σχεδιασμού ασφαλείας υποδομών και δικτύων πληροφορικής σε Οργανισμούς είναι δαιδαλώδης, ιδιαίτερα λαμβάνοντας υπόψιν ότι μια πρόχειρη στατιστική σε κάθε χώρο εργασίας και σχετικά με data και την ασφάλειά τους θα αναδείξει ότι οι περισσότεροι θα μιλήσουν για penetrators, ασφαλείς κωδικούς, κρυπτογράφηση κ.α. ενώ ελάχιστοι θα σκεφτούν να μιλήσουν για την ανάγκη προστασίας της εγκατάστασης από τη φυσική πρόσβαση σε αυτή. Αυτό το αποπροσανατολισμένο focus χρησιμοποίησαν οι επιτιθέμενοι στη βάση των ΗΠΑ και τα κατάφεραν, δημιουργώντας ένα επιτυχημένο study case για τους ίδιους στο μέλλον. αλλά και για μιμητές τους.
Προστατεύοντας οποιαδήποτε αξία έχει διαφανεί ότι η εφαρμογή διοικητικών, τεχνικών και φυσικών μέτρων ασφαλείας μέσα από πολλαπλούς και επάλληλους κύκλους είναι δεδομένη και κύρια επιλογή. Το αδύναμο σημείο των διοικητικών και τεχνικών μέσων είναι ότι αργούν να αναδείξουν την επίθεση ή τη διαρροή, ενώ τα πολλαπλά στρώματα στην προστασία μιας υποδομής είναι εύκολο να την αναβαθμίσουν από soft σε hard target, χωρίς να υπάρχουν σκυλιά, τάφροι ή πάνοπλοι φρουροί.
Ασφάλεια και Άνεση- Αναζητώντας τη βέλτιστη ισορροπία
Στην επαγγελματική πρακτική διαφαίνεται συνεχώς ένα αντιφατικό γεγονός που προβληματίζει τον Πελάτη αλλά και τον πάροχο υπηρεσιών προστασίας: η ασφάλεια παρενοχλεί την άνεση, προς όφελος της οποίας ο Πελάτης θυσιάζει πολλά, δημιουργώντας κινδύνους που δεν μπορεί συνήθως να συνειδητοποιήσει, τόσο στο μέγεθος όσο και στην εγγύτητά τους.
Αν και παράδοξο, οι ιδιώτες κυρίως Πελάτες δαπανούν μεγάλα ποσά για τον αρχιτεκτονικό σχεδιασμό και την ανακαίνιση των χώρων τους, στα foyer, στα γραφεία, στους χώρους ενδιαίτισης, ακόμα και στις τουαλέτες αλλά αμελούν να ενσωματώσουν και τις συμβουλές των ειδικών της ασφάλειας σε αυτούς τους σχεδιασμού. Αποτέλεσμα είναι – συνήθως μετά από μια κακόβουλη ενέργεια με μεγάλο αντίκτυπο στα οικονομικά στοιχεία του Οργανισμού – να σπεύδουν να αναβαθμίζουν τα μέτρα ασφαλείας τους αλλά με προσθήκες, οι οποίες είναι παράτερες οπτικά, αλλοιώνουν το ύφος του χώρου, αλλάζουν τη λειτουργικότητά του και κύριως, εισάγουν νέα μέτρα και σταθμά συμπεριφορών που προκαλούν αντιδράσεις. Προφανές είναι ότι και το κόστος μιας προσθήκης σε έναν υπάρχοντα και λειτουργικό χώρο δεν είναι το ίδιο αν πρόκειται να συνέβαινε στο στάδιο της αρχικής κατασκευής και αν συνέβαινε μετά. Ανακαλώ έναν Πελάτη που για μία διαφορά των 0,50€ το μέτρο σε καλώδιο τεσσάρων ζευγών, με συνολική διαφορά 800€ επί του κόστους του καλωδίου των δύο ζευγών, πλήρωσε μετά από ένα χρόνο 7.500€ για την ίδια εργασία, όταν λόγοι ασφαλείας επέβαλαν εκτεταμένες αλλαγές στο δίκτυο προστασίας του.
Οι λύσεις δεν είναι ποτέ στη μετουσίωση του χώρου του Πελάτη σε Πεντάγωνο, ιδιαίτερα όταν πρόκειται για επιχείρηση λιανικής ή παροχής υπηρεσιών με υψηλή καθημερινή επισκεψιμότητα. Η εφαρμογή δόγματος ασφάλειας πρέπει να συνάδει με την άνεση του απασχολούμενου στο χώρο, την καλλιέργεια, προαγωγή και εμπέδωση του αισθήματος ότι είναι ασφαλής αλλά και της πρόκλησης αισθητών και ισχυρών αναχωμάτων σε επιβουλείς και κακοπροαίρετους. Ο σχεδιασμός οφείλει να προάγει την εμπιστευτικότητα των πληροφοριών του Πελάτη, τη φυσική συνέχεια των ανθρώπων και των υποδομών του και τη διαθεσιμότητα πόρων κατά τη διάρκεια της εύρυθμης λειτουργίας του αλλά και μετά από μια κρίση.
Στο πλαίσιο της άνεσης των απασχολούμενων σε μια Εταιρεία εμπίπτει και το διαρκές πρόβλημα των Insiders ως απειλή, ίσως της σοβαρότερης που έχουν να αντιμετωπίσουν τα δίκτυα και οι υποδομές ΙΤ. Αυτό συμβαίνει γιατί τμήμα της λειτουργικότητας και της λειτουργίας των ροών data είναι οι ίδιοι οι insiders, αφού σαν απασχολούμενοι και χρήστες των δικτύων έχουν άμεση και συνήθως απροσχημάτιστη πρόσβαση σε υπολογιστή. Το ζήτημα δεν αποτελεί μια ανακάλυψη της Αμερικής και σίγουρα δεν πρέπει να προκαλεί έκπληξη, ούτε ως γεγονός ούτε σαν ενδεχόμενο. Η βιομηχανική κατασκοπία έχει στόχο να υποκλέπτει και να πλήττει τα δίκτυα ροής, αποθήκευσης και διαμοιρασμού των data και η στρατολόγηση insiders είναι ευκολότερη από την πρόσληψη penetrator. Γίνεται δε ακόμα ευκολότερη πλέον, αφού η διάχυτη οικονομική δυσπραγεία έχει καταστήσει ευάλωτους στο χρηματισμό όλο και περισσότερους εργαζόμενους, στον ιδιωτικό και δημόσιο τομέα.
Σε μια αναγκαία παρένθεση, πρέπει να επισημανθεί πάλι ο ρόλος των Ειδικών στην ασφάλεια και η νοοτροπία του Πελάτη: η ενσωμάτωση των συμβουλών και των must have υποδείξεών τους στον πρότερο σχεδιασμό των υποδομών της επιχείρησης επιφέρει μικρή επιβάρυνση στο budget της υλοποίησης του έργου κατασκευής.
Ευαισθητοποίηση, Αξιολόγηση, Ποιοτική Επιλογή
Στο ίδιο μήκος κύματος εντάσσεται και ο σχεδιασμός στρατηγικής security και cyber security awareness για την Εταιρεία, που είναι και μόνη απάντηση στην απειλή των Insiders: ο σχεδιασμός μακρόπνοης και μακροπρόθεσμης πολιτικής μέσω της δημιουργίας κουλτούρας ασφάλειας, όπου κάθε ένας από τους απασχολούμενους στην Εταιρεία θα θεωρεί εαυτόν διαρκές και λειτουργικό περιφερειακό αισθητήρα του συστήματος ασφαλείας της και βιωσιμότητάς της και κατά συνέπεια και της δικής του ασφάλειας και οικονομικής συνέχειας.
Ο Steven Billy Mitchell, πρώην στέλεχος της SAS και γνωστός με το ψευδώνυμο Andy McNab λέει ότι η αναγνώριση ενός στόχου που έπρεπε να πληγεί ξεκινούσε από την αξιολόγηση της εξωτερικής εμφάνισης των φρουρών και τον τρόπο που κρατούσαν το όπλο τους στην φύλαξη. Στα πολύ ενδιαφέροντα άλλα στοιχεία που δίνει σκιαγραφεί με ιδιαίτερη σαφήνεια ότι όταν αφορά στην ασφάλεια ενός στόχου τα πράγματα είναι απλά: η φύλαξη πρέπει να υπάρχει για να αποδίδει ως φύλαξη και όχι για να ανοίγει πόρτες ή να αποτελεί σάκο εκτόνωσης των διαφωνιών του Πελάτη με το προσωπικό του και του εργοδότη του φύλακα.
Οι απαντήσεις στην ερώτηση για την αποτελεσματική φύλαξη υποδομών πληροφοριών είναι πανομοιότυπες και συντάσσονται με τις προδιαγραφές φύλαξης ευπαθών στόχων και κρίσιμων υποδομών:
- Σοβαρό και εκτεταμένο screening όλων των απασχολούμενων στην Εταιρεία με το ίδιο πρότυπο και κριτήρια, την ίδια αντικειμενικότητα και τον ίδιο απρόσωπο χαρακτήρα
- Επιλογή του Ιδιώτη Παρόχου Υπηρεσιών Ασφαλείας όχι με κριτήριο την τιμή της προσφοράς αλλά με ποιοτικούς δείκτες, όπως το όνομα της αγοράς, οι κριτικές από το προσωπικό του στα social media και στο διαδίκτυο
- Άμεσος συνυπολογισμός του επιπέδου εκπαίδευσης των ανθρώπων που θα ασχοληθούν με την προστασία των υποδομών, εξατομικευμένα και όχι με γενικόλογες τοποθετήσεις τύπου «το προσωπικό μας είναι εκπαιδευμένο άριστα»
- Ανάθεση της ασφάλειας της Εταιρείας σε έναν εργαζόμενο, όχι απαραίτητα στέλεχος, που αποδεδειγμένα γνωρίζει το αντικείμενο της προστασίας και φύλαξης και όχι σε κάποιον ή κάποια που μπορεί να επωμιστεί ένα ακόμα καθήκον
- Διαρκή αξιολόγηση του προσωπικού ασφαλείας με μετρήσιμους και ποσοτικούς δείκτες KPIs, καθώς και με SIs του προσωπικού που απασχολείται στις φυλασσόμενες εγκαταστάσεις, για το βαθμό ευχαρίστησης και αίσθησης ασφάλειας που έχουν από τις παρεχόμενες υπηρεσίες
Η απάντηση στα αντίμετρα
Η ψηφιοποίηση της ασφάλειας εξακολουθεί να βρίσκεται σε εξέλιξη και να ξεπερνάει κάθε προσδοκία. Μπορεί οι απαντήσεις και οι λύσεις που παρέχει να είναι μέγιστες και να πλησιάζουν τα όρια της νοημοσύνης, αλλά έχουν αντίμετρα: η ελεύθερη κυκλοφορία της τεχνικής πληροφορίας και των κοινών περιφερειακών που χρησιμοποιούν τα συστήματα ασφαλείας σήμερα είναι δεδομένα και στο δεδομένο επεξεργάζεται και δίνεται μια απάντηση, αργά ή γρήγορα. Τα αντίμετρα του επιβουλέα σε ένα ψηφιακό σύστημα ασφάλειας είναι γνωστά και εφαρμόζονται καθημερινά. Για αυτό μπορεί κάποιος να καταφύγει σε ενδιάμεσες αλλά αποτελεσματικές επιλογές:
- Οι ασύρματοι σε όποια συχνότητα εκπομπής καθώς και οι Bluetooth αισθητήρες είναι καλό να χρησιμοποιούνται ως επικουρικοί σε ένα κρίσιμο σύστημα ασφάλειας ενός server room. Όσο πιο ψηφιακό τόσο πιο ευάλωτο σε ηλεκτρονικά αντίμετρα
- Η επιλογή ενσύρματων συστημάτων πρόσβασης, με παραδοσιακούς τρόπους παγίδευσης και ενεργοποίησης σε περίπτωση διακοπής της καλωδίωσης έχουν αποδειχθεί αρκετές φορές πιο αξιόπιστα σε επίπεδο εξουδετέρωσης
- Ακόμα καλύτερη είναι η εγκατάσταση υβριδικού συστήματος πρόσβασης και συναγερμού, με ΑΙ σύστημα αλλά και παλαιότερο, ως δικλείδα το ένα του άλλου
- Η αυτόνομη εγκατάσταση συστημάτων ελέγχου πρόσβασης και συναγερμού και όχι η παραμετροποίησή τους ως μέρος ενός ευρύτερου ψηφιοποιημένου συστήματος έγκαιρης προειδοποίησης αποτελεί μια παραδοσιακή συνταγή εφαρμοσμένων κύκλων ασφαλείας με ξεχωριστές και όχι αλληλοεπικαλυπτόμενες προσβάσεις
- Η διαβάθμιση στα επίπεδα φυσικής πρόσβασης σε χώρους που υπάρχουν υποδομές δικτύων, ώστε η αναζήτηση της πηγής της φυσικής παραβίασης να είναι άμεση, αφού οι δύο πχ εργαζόμενοι που έχουν πρόσβαση είναι αυτή των οποίων οι κινήσεις πρέπει να αναλυθούν μέσω των δεδομένων εικόνας, ήχου και ηλεκτρονικής πρόσβασης
- Ο καθετοποιημένος έλεγχος εισόδου στην Εταιρεία, με πρωτόκολλα επαλήθευσης της ταυτότητας των εισερχοποιημένων και διαρκή και απαραίτητη δεύτερη έγκριση της εισόδου με τη χρήση κωδικοποιημένων στοιχείων σε πχ qr code, που να περιλαμβάνει τα στοιχεία του εισερχόμενου, την εταιρεία του, ποιος ενέκρινε την είσοδο κλπ
Η Εταιρική συνέχεια μετά από ένα περιστατικό τρώσης των υποδομών της είναι ένα διαρκές οικοδόμημα που εδράζεται στην άμεση συνεργασία της τεχνητής νοημοσύνης και τεχνολογίας, προγραμματισμένης, εποπτευόμενης και ρυθμιζόμενης όμως από την ανθρώπινη νοημοσύνη και εφευρετικότητα που είναι, τουλάχιστον μέχρι τη γραφή αυτών των γραμμών, αξεπέραστη.