Πως εξελίσσεται η μετάβαση της φυσικής ασφάλειας στο cloud ;
Τα κριτήρια επιλογής και οι προκλήσεις σχετικά με την προστασία των δεδομένων
Οι ιδιαίτερες συνθήκες όπως, οι αλλαγές που επέφερε η υγειονομική κρίση, ο ψηφιακός μετασχηματισμός των επιχειρήσεων, αλλά και η παραγωγή ολοένα και μεγαλύτερου όγκου δεδομένων από τις μονάδες φυσικής ασφάλειας, ενισχύουν την αναδυόμενη τάση μετάβασης προς το cloud, όπου κυρίαρχο ρόλο συνεχίζουν να έχουν οι συζητήσεις για την κυβερνοασφάλεια.
Του Νέστορα Πεχλιβανίδη
Ποιος θα μπορούσε να προβλέψει, πριν από δύο χρόνια ότι μια παγκόσμια υγειονομική κρίση θα έφερνε αλλαγές στις επαγγελματικές μας συνήθειες (και όχι μόνο φυσικά) άνευ προηγουμένου; Καθώς ο COVID-19 σάρωσε ολόκληρο τον κόσμο το 2020, η απομακρυσμένη εργασία έγινε ο νέος κανόνας και οι επιχειρήσεις αναγκάστηκαν να προσαρμόσουν τις πρακτικές τους σχεδόν εν μία νυκτί για να διασφαλίσουν την εύρυθμη λειτουργία τους. Η απομακρυσμένη διαχείριση των εργαζομένων, η εξουσιοδοτημένη πρόσβαση σε αρχεία, έγγραφα και εφαρμογές από οπουδήποτε καθώς και η απρόσκοπτη και ασφαλής συνεργασία εξ αποστάσεως με συναδέλφους και πελάτες έγινε απαραίτητη.
Στον τομέα της τεχνολογίας και της πληροφορικής, η συγκεκριμένη υγειονομική κρίση, επιτάχυνε μια αλλαγή που ήταν ήδη σε εξέλιξη εδώ και χρόνια. Από τα μέσα της δεκαετίας του ’90, οι οργανισμοί μεταφέρουν σταδιακά τις υπηρεσίες και τις υποδομές πληροφορικής τους στο cloud. Η διαχείριση όλων των εφαρμογών, των αρχείων και των εγγράφων, του CRM και της μισθοδοσίας, του ανθρώπινου δυναμικού, μεγάλο μέρος διεργασιών των προαναφερόμενων και δραστηριοτήτων εκτελούνται απρόσκοπτα και με ασφάλεια στο cloud πλέον.
Στην πραγματικότητα, σύμφωνα με μια πρόσφατη έκθεση της Accenture, το 50% όλων των εταιρικών δεδομένων παγκοσμίως είναι πλέον αποθηκευμένα σε cloud.
Στον τομέα της φυσικής ασφάλειας όμως, η εικόνα είναι αρκετά διαφορετική. Ενώ έχουν γραφτεί πολλά για τα οφέλη του cloud, παρατηρείται μία αργή ενσωμάτωση αυτού σε εφαρμογές φυσικής ασφάλειας. Παραδοσιακά, οι εφαρμογές αυτές βασίστηκαν σε υλικό που στεγάζεται στις εγκαταστάσεις, σχεδιασμένο για να κλειδώνεται και να έχει περιορισμένη πρόσβαση, να έχει μειωμένες απομακρυσμένες δυνατότητες και σε πολλές περιπτώσεις μάλιστα να είναι “κρυμμένο” από το διαδίκτυο συνολικά. Οι πιο κοινές ανησυχίες των πελατών στις οποίες οφείλεται η αργή υιοθέτηση του cloud, αφορούν την ασφάλεια στον κυβερνοχώρο και τη συμβατότητα υλικού και λογισμικού.
Αν η υγειονομική κρίση του COVID-19 αποτέλεσε το καμπανάκι αφύπνισης, τότε ο ψηφιακός μετασχηματισμός που συντελείται στους οργανισμού είναι το όχημα που οδηγεί την μετάβαση στο cloud όλων των τεχνολογικών υποδομών – και αυτών της φυσικής ασφάλειας – προκειμένου να οι επιχειρήσεις να προσαρμόζονται άμεσα στις τρέχουσες ανάγκες και να ενισχύσουν την παραγωγικότητα και διαλειτουργικότητά τους.
Βασικά πλεονεκτήματα του cloud
Καθώς η γεωγραφική θέση του ανθρώπινου δυναμικού των οργανισμών, αλλάζει είτε από σχεδιασμό είτε από τις περιστάσεις —όπως στην περίπτωση του lockdown κατά την πανδημία — η ευελιξία και η άμεση προσαρμογή σε μια ιδιάζουσα κατάσταση είναι ένα σημαντικό πλεονέκτημα, καθώς το cloud είναι πάντα ‘’ανοιχτό’’ και εύκολα προσβάσιμο από οπουδήποτε, επομένως η δυνατότητα σύνδεσης παραμένει ανεπηρέαστη. Επιπρόσθετα, οι λύσεις φυσικής ασφάλειας που βασίζονται στο cloud μπορούν να προβληθούν μέσω ενός προγράμματος περιήγησης ιστού ή σε μια κινητή συσκευή, ώστε να μην υπάρχει εξάρτηση από έναν επιτραπέζιο υπολογιστή με αποκλειστικές εφαρμογές, καταργώντας και πάλι τους περιορισμούς προσβασιμότητας μιας ενδοεταιρικά περιορισμένης λύσης. Το προσωπικό ασφαλείας και η διοίκηση μπορούν να συνεχίσουν να παρακολουθούν και να διαχειρίζονται το σύστημα από οπουδήποτε.
Φυσικά, η κάθε επιχείρηση και ο κάθε οργανισμός οδηγείται συχνά σε σκέψεις που σχετίζονται με τους κινδύνους και τις απειλές στον κυβερνοχώρο. Το ηλεκτρονικό έγκλημα συνεχίζει να αυξάνεται με ανησυχητικό ρυθμό, ενώ μετά την πανδημία παρατηρήθηκε πιο έντονη δραστηριότητα. Ωστόσο, οι πάροχοι υπηρεσιών cloud παρακολουθούν επιστάμενά όλες τις επιθέσεις και τις απειλές, με σκοπό τις επείγουσες επιδιορθώσεις και την αυτόματη αναβάθμιση του κώδικα για την αντιμετώπιση των κινδύνων στον κυβερνοχώρο και την εξάλειψη των αδυναμιών.
Καθώς οι επιπτώσεις της πανδημίας υποχωρούν, πολλές εταιρείες αναθεωρούν τις πρακτικές για τους επαγγελματικούς χώρους και ενδεχομένως να προσφέρουν στο προσωπικό τους περισσότερες επιλογές για εξ αποστάσεως εργασία. Όμως οι ανάγκες για υλικό ασφάλειας όπως κάμερες και συσκευές αναγνώρισης σε σημεία ελέγχου πρόσβασης θα εξακολουθούν να υπάρχουν.
Επιλογές προς αξιολόγηση
Με όλες αυτές τις αλλαγές και την αβεβαιότητα, ίσως κάποιοι σκέφτονται ήδη να κάνουν τα πρώτα βήματα προς την κατεύθυνση του cloud. Καθώς η αγορά λύσεων και εφαρμογών φυσικής ασφάλειας που βασίζονται στο cloud αναπτύσσεται, υπάρχουν πολλοί κατασκευαστές με πολλές προτάσεις και μπορεί να μην είναι τόσο απλό να προσδιοριστεί η καλύτερη επιλογή. Ωστόσο, υπάρχουν 4 βασικές παράμετροι που χρειάζεται να ληφθούν υπόψιν προκειμένου για μία ορθολογιστική αξιολόγηση.
- Υπάρχουν διάφοροι τύποι υλοποίησης συστημάτων cloud
Όταν εξετάζεται ένα σύστημα ασφάλειας cloud-based, είναι σημαντικό να κατανοηθούν κάποιες διαφορές καθώς προσφέρονται τρεις επιλογές∙ το πραγματικό- ολοκληρωμένο cloud, το cloud-managed σύστημα και το hybrid-cloud. Για παράδειγμα, από την οπτική γωνία του CCTV, μια ολοκληρωμένη εφαρμογή θα σήμαινε ότι όλο το βίντεο και το λογισμικό φιλοξενούνταν στο cloud, η διαχείριση μέσω cloud θα σήμαινε συνήθως ότι το βίντεο ήταν αποθηκευμένο στην κάμερα, αλλά το λογισμικό ήταν στο cloud και, τέλος, το υβριδικό cloud θα σήμαινε ότι το βίντεο αποθηκεύεται τοπικά σε κάποιο μέσο αποθήκευσης ενώ το λογισμικό θα ήταν εγκατεστημένο στο cloud.
Ποια είναι η κατάλληλη επιλογή, κρίνεται από το πώς θέλει μια επιχείρηση να προσαρμοστεί στις αλλαγές που επέρχονται. Για παράδειγμα, αν θέλετε να μειώσετε τη χρήση των εγκαταστάσεων, τότε ίσως ένα ολοκληρωμένο σύστημα cloud να ήταν μια πραγματική λύση, άλλωστε, η μετάβαση στο cloud απαιτεί μόνο τις κάμερες και μια υποδομή δικτύου.
- Ο κατάλληλος πάροχος
Η δέουσα επιμέλεια στην αξιολόγηση και την επιλογή παρόχου είναι ζωτικής σημασίας για την επιτυχία οποιασδήποτε ανάπτυξης cloud. Είτε ψάχνετε για προσφορά Λογισμικού ως Υπηρεσία (SaaS-Software as a Service), είτε Υποδομή ως Υπηρεσία (IaaS-Infrastructure as a Service), είτε τέλος Πλατφόρμα ως Υπηρεσία (PaaS-Platform as a Service), είναι ζωτικής σημασίας να επιλέξετε έναν πάροχο που προσεγγίζει την ασφάλεια βάσει σχεδιασμού, να αναγνωρίζεται για την αξιοπιστία του και ακολουθεί διαφανείς διαδικασίες διαχείρισης και προστασίας των ευαίσθητων δεδομένων μιας επιχείρησης.
Κατά την αναζήτηση του κατάλληλου παρόχου καλό θα ήταν να απαντηθούν κάποια ερωτήματα προκειμένου να προστατευθούν οι υποδομές από τους κινδύνους του κυβερνοχώρου. Θα επισημάνει άραγε ο πάροχος τους πιθανούς κινδύνους και τα τρωτά σημεία αντί να τα κρύψει; Σε ποια επίπεδα δοκιμών διείσδυσης υποβάλλονται οι υπηρεσίες του εκάστοτε παρόχου, και πόσο συχνά; Παρέχονται σαφείς λεπτομέρειες σχετικά με τις ροές επικοινωνίας δεδομένων; Τι επίπεδο κρυπτογράφησης χρησιμοποιείται για την επικοινωνία, την μεταφορά και την αποθήκευση των δεδομένων μια εταιρείας.
- Τα μικρά βήματα, μπορούν να κάνουν μεγάλη διαφορά
Μπορεί εντέλει κάποιοι να επηρεάστηκαν τις προκλήσεις που αναφέρθηκαν παραπάνω και να έρθουν τελικά σύντομα αντιμέτωποι με το έργο της μετάβασης σε ένα cloud σύστημα. Η μετάβαση αυτή δεν είναι απαραίτητο πως θα απαιτεί κάποιον υπέρογκο προϋπολογισμό, καθώς είναι πρακτικά εφικτό αυτή η αλλαγή να πραγματοποιηθεί σε μικρά βήματα και να ολοκληρωθεί σε ένα εύλογο χρονικό διάστημα.
- Τα παλαιότερα συστήματα δεν χρειάζεται να σας κρατούν πίσω
Ίσως ο τρέχων πάροχός σας δεν προσφέρει λύση cloud ή δεν διαθέτει κάποια ανάλογη στρατηγική. Αυτό δεν είναι αναγκαστικά περιοριστικός παράγοντας καθώς η αγορά προσφέρει προϊόντα που μπορούν κάλλιστα να τοποθετηθούν και να λειτουργήσουν μαζί με την υπάρχουσα υποδομή και να μεταφέρουν βίντεο στο cloud απροβλημάτιστα.
Είναι αδύνατο να προβλεφθεί ποια μπορεί να είναι η επόμενη αλλαγή και από πού μπορεί να προέλθει ή τέλος τι επιπτώσεις θα μπορούσε να έχει. Ανεξάρτητα τούτου όμως, η μετάβαση ενός συστήματος ασφαλείας σε μια αρχιτεκτονική βασισμένη στο cloud μπορεί να διασφαλίσει μία ευελιξία προσαρμογής στο παγκόσμιο ρευστό περιβάλλον.
Η σημασία της κυβερνοασφάλειας
Η σχέση μεταξύ φυσικής ασφάλειας και ασφάλειας στον κυβερνοχώρο είναι ολοένα και πιο συχνά αλληλένδετη. Τι συμβαίνει λοιπόν όταν τα δεδομένα που συλλέγονται από συσκευές φυσικής ασφάλειας – όπως κάμερες, συναγερμοί, έλεγχος πρόσβασης – κινδυνεύουν να κλαπούν και μάλιστα χωρίς να χρειάζεται κάποιος να παραβιάσει κάποια πύλη εισόδου ώστε να τα αποκτήσει; Η απάντηση είναι ότι η φυσική ασφάλεια μιας επιχείρησης μπορεί ουσιαστικά να εμφανίσει τρωτά σημεία, εάν η προστασία που παρέχεται στα δίκτυα και τις ψηφιακές υποδομές είναι αδύναμη. Ως αποτέλεσμα, η ασφάλεια στον κυβερνοχώρο είναι απίστευτα σημαντική για την ενίσχυση της αντίστοιχης φυσικής. Άλλωστε δεν είναι λίγες οι φορές που έχουν έρθει στο φως της δημοσιότητας περιστατικά παραβίασης των συστημάτων φυσικής ασφάλειας με αποτέλεσμα οι επιτιθέμενοι να αποκτήσουν πρόσβαση σε ζωντανό αλλά και καταγεγραμμένο υλικό από συστήματα βίντεο-επιτήρησης.
Η τεχνολογία cloud μπορεί να αποτελέσει μια ιδιαίτερα αξιόπιστη λύση προστασίας του υλικού που προέρχεται από τα συστήματα ασφάλειας αν υπάρχουν οι κατάλληλοι μηχανισμοί και παράλληλα να προσφέρει όλη αυτή τη λειτουργικότητα που συνοδεύει αυτές τις λύσεις. Οι πληροφορίες και τα δεδομένα μπορούν να αποθηκεύονται σε κέντρα δεδομένων που βρίσκονται σε διαφορετικά σημεία ανά τον κόσμο, να είναι εύκολα προσβάσιμα χωρίς όμως να κινδυνεύουν να κλαπούν.
Είναι κατανοητό ακόμα και σήμερα να αναρωτιέται κάποιος εάν και κατά πόσο τα δεδομένα του είναι όντως ασφαλή όταν είναι αποθηκευμένα σε μια υποδομή cloud. Καθώς αναθέτουμε την ασφάλειά μας σε εξωτερικούς συνεργάτες αποθηκεύοντας σημαντικά αρχεία σε διακομιστές, θεωρητικά δεν έχουμε κανέναν έλεγχο – και, σε ορισμένες περιπτώσεις δεν υπάρχει και το κατάλληλο γνωσιακό υπόβαθρο για κατανόηση- να ανησυχούμε για το πόσο ευάλωτα είναι τα δεδομένα σε επιθέσεις στον κυβερνοχώρο.
Η πραγματικότητα όμως είναι ότι τα δεδομένα που αποθηκεύονται στο cloud είναι πιθανό να είναι πολύ πιο ασφαλή από αυτά που αποθηκεύονται σε μια συσκευή όπως ένα ηλεκτρονικό υπολογιστής ή τοπικό server. Οι χάκερ του κυβερνοχώρου πιθανόν να παρασύρουν κάποιον σε εξαπάτηση μέσω ενός απλού συνδέσμου με αποτέλεσμα την απόκτηση πρόσβασης στην συσκευή καθιστώντας τα όποια αποθηκευμένα δεδομένα σε τοπικές μονάδες, ευάλωτα. Ας δούμε κάποιες βασικές παραμέτρους του θέματος που επηρεάζουν το επίπεδο προστασίας των ψηφιακών υποδομών που βρίσκονται στο cloud.
Οι πάροχοι υπηρεσιών Cloud προσφέρουν ασφάλεια πολύ ισχυρότερη από το αντίστοιχο λογισμικό που είναι πιθανό να υπάρχει σε έναν προσωπικό υπολογιστή. Άλλωστε, κολοσσοί όπως η Microsoft και η Amazon Web Service (AWS) είναι σε θέση να προσλάβουν περισσότερους ειδικούς σε θέματα ασφάλειας από ό,τι οποιαδήποτε μεμονωμένη επιχείρηση θα μπορούσε να αντέξει οικονομικά. Αυτοί οι μεγάλοι πάροχοι έχουν ευθύνη για χιλιάδες πελάτες στο cloud τους και εργάζονται συνεχώς για να ενισχύσουν την ασφάλεια των υποδομών τους ενώ η επιπλέον προστασία που παρέχεται από τους διαχειριστές αποτελεί επέκταση αυτών των δυνατοτήτων.
Οι διακομιστές cloud βρίσκονται σε απομακρυσμένες τοποθεσίες στις οποίες οι εργαζόμενοι δεν έχουν πρόσβαση ενώ τα δεδομένα είναι κρυπτογραφημένα για την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
Επιπλέον, οι πάροχοι υποδομών cloud, προσπαθούν να ενημερώνουν τακτικά τους υπεύθυνους ασφάλειας των επιχειρήσεων προκειμένου αυτές να προστατεύονται από ιούς και κακόβουλο λογισμικό και να λειτουργούν απρόσκοπτα χωρίς να απειλούνται τα δεδομένα τους.
Οι πάροχοι είναι σε θέση να προσφέρουν εξελιγμένα μέτρα ασφαλείας και λύσεις και με τη χρήση τεχνητής νοημοσύνης, καθώς και πλεονασμό δεδομένων, αφού τα ίδια τμήματα πληροφορίων μπορούν να διατηρούνται σε πολλά ξεχωριστά κέντρα δεδομένων και διαφορετικούς διακομιστές, κάτι που είναι πολύ σημαντικό αφού εάν ένας διακομιστής πάψει να λειτουργεί, υπάρχει πρόσβαση στα αρχεία από έναν διακομιστή αντιγράφων ασφαλείας.
Αποθηκεύοντας τα δεδομένα που συλλέγονται από τη φυσική ασφάλεια στο cloud, όχι μόνο μειώνεται σημαντικά ο κίνδυνος κυβερνοεπιθέσεων, αλλά τα ίδια τα δεδομένα προστατεύονται από φυσικές απειλές, όπως ζημιές σε περίπτωση πυρκαγιάς ή πλημμύρας.
Αντί να λοιπόν να προσεγγίζεται η φυσική ασφάλεια ως διαφορετική οντότητα από την κυβερνοασφάλεια, καλό θα ήταν να γίνει αντιληπτό πως πρόκειται για ένα σύστημα και όταν βρίσκεται κάτι απ’ τα δύο σε κίνδυνο, βρίσκεται απροστάτευτο και ευάλωτο ολόκληρο το σύστημα ασφάλειας.