Προστατεύοντας τον Υβριδικό Κόσμο των Επιχειρήσεων !

Πρόσβαση στην επιχείρηση από παντού, φορητές συσκευές συνδεδεμένες στα εταιρικά δίκτυα, ευέλικτο ωράριο εργασίας, κινητικότητα εργαζομένων. Αυτές είναι ορισμένες μόνο από τις προκλήσεις που αντιμετωπίζουμε σε σχέση με την ασφάλεια στα σύγχρονα υβριδικά περιβάλλοντα εργασίας στις επιχειρήσεις και τους οργανισμούς, που καθιστούν επιτακτική την ανάγκη για αναθεώρηση πολλών προσεγγίσεων για την προστασία υποδομών και πληροφοριών.

Του Αριστοτέλη Λυμπερόπουλου

Όταν η πλειοψηφία των εργαζομένων χρησιμοποιούσε καθημερινά ένα σταθερό περιβάλλον εργασίας, τα θέματα ασφάλειας ήταν αρκετά πιο απλοποιημένα. Με την έλευση της τηλεργασίας και των υβριδικών περιβαλλόντων εργασίας τα θέματα της ασφάλειας έχουν γίνει πιο πολύπλοκά Προκλήσεις ασφάλειας και απαντήσεις σε αυτά τα ζητήματα αποτελούν ένα νέο αντικείμενο διαλόγου για τους ειδικούς της ασφάλειας.

Στην εποχή όπου η έννοια της εργασίας ταυτίζονταν με ένα συγκεκριμένο χώρο τότε και τα θέματα της ασφάλειας ήταν προφανώς απλούστερα. Οι κτιριακές εγκαταστάσεις των εταιρειών οριοθετούσαν ένα συγκεκριμένο χώρο που αποτελούσε και την περίμετρο ασφαλείας για την προστασία των υπαλλήλων τους και των περιουσιακών τους στοιχείων που όλα που βρίσκονταν όλα στο ίδιο μέρος Ωστόσο, στο νέο εργασιακό περιβάλλον όπου οι άνθρωποι εργάζονται με πιο ευέλικτες σχέσεις απασχόλησης, είτε από το σπίτι είτε από μια άλλη τοποθεσία λόγων θέσης ή λόγω ενός επαγγελματικού ταξιδιού τότε τα θέματα ασφάλειας αποκτούν μια νέα πιο πολύπλοκη διάσταση.

Με πιο απλά λόγια, τα όρια της εργασίας έχουν γίνει πλέον πιο ασαφή. Δεν υπάρχουν πλέον καθορισμένες ώρες ή σημεία από τα οποία εργάζονται οι άνθρωποι. Επίσης, απροσδιόριστος έχει γίνει και ο εξοπλισμός εργασίας. Τα έξυπνα κινητά ή και οι φορητοί υπολογιστές που έχουν διατεθεί από την εταιρεία ενδέχεται να χρησιμοποιούνται για παρακολούθηση ταινιών ή παίξιμο online παιχνιδιών και από άλλα μέλη της οικογένειας. Ενώ, οι άνθρωποι που εργάζονται από το σπίτι θα έχουν επίσης άλλους ανθρώπους να συνδέονται στο δίκτυό τους με ταυτόχρονη πρόσβαση στο διαδίκτυο, πράγμα που σημαίνει ότι η ασφάλεια της εταιρείας σας θα μπορούσε να τεθεί σε κίνδυνο όχι μόνο από έναν υπάλληλο, αλλά επίσης από την οικογένεια ή τους συγκατοίκους τους.

Αυτό, σε συνδυασμό με το γεγονός ότι οι επιθέσεις και οι παραβιάσεις της ασφάλειας στον κυβερνοχώρο έχουν αυξήθηκε τα τελευταία χρόνια, υποδηλώνει ότι οι εταιρείες που δραστηριοποιούνται στο cyber security αντιμετωπίζουν όλο και μεγαλύτερες προκλήσεις. Ενώ και αυτές όλες οι παραβατικές ενέργειες στο κλάδο του cybersecurity κοστίζουν όλο και περισσότερο στις εταιρείες. Σύμφωνα με το Forbes, το κόστος που προκαλούν στις εταιρείες, οι παραβιάσεις σε θέματα ψηφιακής ασφάλειας αυξήθηκε κατά 10% τα τελευταία χρόνια.

Οι εταιρείες δεν έχουν την πολυτέλεια να εφησυχάζουν όσον αφορά την ασφάλειά τους , ειδικά σε αυτό το νέο περιβάλλον που έχει διαμορφωθεί. Οφείλουν να διερευνήσουν πώς μπορούν να διασφαλίσουν τουλάχιστον το ίδιο επίπεδο στον νέο υβριδικό εργασιακό περιβάλλον και να το βελτιώσουν εκεί που μπορούν.

Η απάντηση σε αυτή την πρόκληση είναι η υλοποίηση ενός συστήματος ασφαλείας που είναι κατάλληλο για υβριδική εργασία και το οποίο μπορεί να διαχειρίζεται με επάρκεια την πολυπλοκότητα του σύγχρονου εργασιακού περιβάλλοντος. Το πιο σημαντικό στοιχείο σε αυτή την προσπάθεια είναι ο έλεγχος και η διαχείρισης πρόσβασης είτε σε φυσικό επίπεδο (access control) είτε σε επίπεδο IT. Τα νέα συστήματα access control και οι εφαρμογές που βασίζονται σε cloud περιβάλλοντα αποτελούν συνδυαστικά μια πολύ καλή πρόταση για την αναβάθμιση του συστήματος ελέγχου για την πρόσβαση σε εταιρικούς πόρους.

Πως ξεκίνησε αυτή η ανάγκη

Το θέμα της τηλεργασίας ήδη είχε να συζητιέται έντονα κυρίως στις πιο προηγμένες χώρες του δυτικού κόσμου αρκετά πριν από την πανδημία. Όμως με την ξαφνική είσοδο του COVID-19 στη ζωή μας και την απότομη αλλαγή της καθημερινότητας μας, η τηλεργασία από ένα απλό εταιρικό προνόμιο έγινε επιχειρησιακή ανάγκη. Οι οργανισμοί άρχισαν να προμηθεύονται φορητούς υπολογιστές με ένα εντυπωσιακό ρυθμό και τα IT τμήματα προσπαθούσαν απεγνωσμένα να ανταποκριθούν στις νέες απαιτήσεις. Το πρώτο μέλημα ήταν φυσικά η προσπάθεια να κρατηθεί η λειτουργία του οργανισμού σε ένα ανεκτό επίπεδο. Μπροστά, σε αυτή την προσπάθεια, η απαίτηση για ασφάλεια μπήκε λίγο στο περιθώριο σε πρώτη φάση. Αλλά, στη συνέχεια και όταν ειδικά έγινε αντιληπτό ότι οι πολυάριθμοι νέοι χρήστες που προστέθηκαν δεν είχαν γνώση των ψηφιακών κινδύνων και αυξήθηκαν λογικά τα συμβάντα ασφαλείας στα ψηφιακά περιβάλλοντα των οργανισμών, τότε ενεργοποιήθηκαν και τα στελέχη του IT στο θέμα της ασφάλειας.

Επίσης, η πρόσληψη νέων συναδέλφων σε ένα απομακρυσμένο περιβάλλον εργασίας δημιούργησε και άλλα προβλήματα. Οι νέοι συνάδελφοι δεν είχαν τον απαραίτητο χρόνο να προσαρμοστούν στις εταιρικές διαδικασίες και δεν είχαν δίπλα του πιο έμπειρους συνάδελφους για να τους βοηθήσουν στα πρώτα βήματα τους. Οπότε, λογικό είναι να γίνονταν λάθη που να έθεταν σε κίνδυνο τη ψηφιακή ασφάλεια του οργανισμού.

Οι τρεις βασικοί πυλώνες ασφάλειας σε ένα υβριδικό περιβάλλον εργασίας είναι οι ακόλουθοι

• Ασφάλεια εγκαταστάσεων
• Ασφάλεια εξοπλισμού
• Ασφάλεια δεδομένων

Σε αυτούς τους τρεις πυλώνες θα εστιάσουμε στις ακόλουθες σελίδες και θα διερευνήσουμε πως μπορούν να αντιμετωπιστούν οι ενδεχόμενοι κίνδυνοι.

Ασφάλεια εγκαταστάσεων

Σε ένα υβριδικό περιβάλλον εργασίας είναι πιθανό οι εργαζόμενοι να μην οφείλουν να έχουν καθημερινή παρουσία μέσα στους χώρους εργασίας. Η προσέλευση και αναχώρηση τους μπορεί να είναι ακανόνιστη και πολλές φορές να είναι σπάνια. Οπότε σε αυτή την περίπτωση τα συμβατικά μοντέλα φύλαξης εγκαταστάσεων με τους μόνιμους φύλακες στη πύλη μπορεί συχνά να δημιουργήσουν προβλήματα ασφάλειας καθώς οι φύλακες χάνουν την αίσθηση οικειότητας και γνωριμίας που υπήρχε στα συμβατικά περιβάλλοντα εργασίας. Είναι φυσικό πλέον να μην γνωρίζουν τους εργαζόμενους και να μην μπορούν να ελέγξουν αποτελεσματικά την είσοδο τους.

Εδώ πλέον η εγκατάσταση συστημάτων ελέγχου πρόσβασης γίνεται μονόδρομος. Η χρήση μέσων διαπίστευσης που μπορεί να είναι είτε κάρτες πρόσβασης ή πιο εξελιγμένα συστήματα βιομετρικής αναγνώρισης είναι εκείνη που διασφαλίζει την πρόσβαση σε συγκεκριμένα πρόσωπα. Επίσης, η χρήση των συστημάτων ελέγχου πρόσβασης διασφαλίζει και τη διαβαθμισμένη πρόσβαση σε συγκεκριμένος χώρους της εταιρείας. Π.χ στο server room θα έχουν δικαίωμα εισόδου μόνο συγκεκριμένα στελέχη του τμήματος πληροφορικής ή συγκεκριμένοι εξωτερικοί συνεργάτες. Οπότε, έτσι διασφαλίζεται ότι δεν θα μπει και δεν θα αποκτήσει πρόσβαση κάποιος με κακόβουλες προθέσεις που θα μπορεί να κάνει δολιοφθορά σε όλο το εταιρικό δίκτυο εκ των έσω.

Καθώς μιλάμε για ένα υβριδικό περιβάλλον εργασίας με απροσδιόριστα σημεία εργασίας με τη χρήση των συστημάτων ελέγχου μπορεί να εξασφαλιστεί και η ευελιξία στην πρόσβαση για συγκεκριμένο χρονικό διάστημα. Δηλαδή, αν ένα διευθυντικό στέλεχος ή ένας τεχνικός αναγκαστεί να επισκεφθεί μια εγκατάσταση σε άλλο γεωγραφικό σημείο θα του δίνεται πρόσβαση για το συγκεκριμένο χρονικό διάστημα. Επίσης, αν κάποιος υπάλληλος ενός μεγάλου οργανισμού (π.χ τράπεζα) απομακρυνθεί θα χάσει αυτόματα το δικαίωμα πρόσβασης σε όλες τις κρίσιμες εγκαταστάσεις του οργανισμού (π.χ recovery data room)

Επικουρικά, η σωστή και σύμφωνα με το νομικό πλαίσιο κάθε χώρας, χρήση των συστημάτων επιτήρησης συμβάλλει στην ακόμα μεγαλύτερη βελτίωση του επίπεδου ασφάλειας. Δηλαδή, αν για κάποιο λόγο το access control εντοπίσει ότι γίνεται συνεχή προσπάθεια εισόδου από μη εξουσιοδοτημένο πρόσωπο, τότε μέσω των καμερών μπορούν οι υπεύθυνοι ασφάλειας να διερευνήσουν τι ακριβώς συμβαίνει. Εδώ η χρήση των video analytics και των έξυπνων συστημάτων ανίχνευσης είναι πολύ κρίσιμη καθώς μπορούν να φιλτράρουν τις ύποπτες σκηνές κα να εστιάσουν μόνο στις πραγματικές επικίνδυνες καταστάσεις.

Φυσικά τα συστήματα συναγερμού σε συνδυασμό με τη χρήση καμερών και access control μπορούν να επιτελέσουν ένα σημαντικό ρόλο στην ασφάλεια των εγκαταστάσεων σε ένα υβριδικό περιβάλλον εργασίας. Κάθε προσπάθεια παραβίασης σε κρίσιμους χώρους μπορεί να ενεργοποιεί το συναγερμό και αυτόματα να ενημερώνονται οι υπεύθυνοι ασφάλειας.

Η συνδυασμένη χρήση των ηλεκτρονικών συστημάτων ασφαλείας είναι σημαντική στο νέο περιβάλλον εργασίας. Χαρακτηριστικό παράδειγμα εφαρμογής τους αποτελούν τα κτίρια στα οποία στεγάζονται εταιρείες που παρέχουν το δικαίωμα χρονομίσθωσης γραφειακών χώρων ή meeting rooms σε εταιρείες ή ελεύθερους επαγγελματίες. Σε αυτούς τους χώρους όπου χρησιμοποιούνται συχνά από τους επονομαζόμενους ψηφιακούς νομάδες γίνεται ταυτόχρονη χρήση των προαναφερθέντων εφαρμογών ώστε να εξασφαλίζεται η ασφαλής πρόσβαση και εργασία σε όσους πραγματικά έχουν δικαίωμα πρόσβασης σε αυτούς τους χώρους

Ασφάλεια εξοπλισμού

Όμως στο σύγχρονο ευέλικτο περιβάλλον εργασίας πολύ σημαντικό ρόλο παίζουν τα εργαλεία που χρησιμοποιούν οι επαγγελματίες. Φορητοί υπολογιστές, smartphones και tablets δίνονται με πολύ μεγαλύτερη συχνότητα στους εργαζόμενους από τις εταιρείες προκειμένου να μπορούν να εργαστούν χωρίς γεωγραφικούς περιορισμούς. Από τη μία αυτό είναι θετικό για την παραγωγικότητα της εταιρείας, αλλά από την άλλη ανοίγει κερκόρπορτες σε όσους επιδιώκουν να διεισδύσουν στα συστήματα ενός οργανισμού.

Η λύση δεν είναι φυσικά να περιοριστεί η χρήση αυτών των μηχανημάτων αλλά να διασφαλιστεί ότι η χρήση τους θα γίνεται πάντα σε ασφαλή και ελεγχόμενο περιβάλλον. Εκτός των γνωστών μέσων προστασίας (antivirus εφαρμογές και firewalls) τα συστήματα AI έχουν δώσει τη λύση πιο έξυπνων εργαλείων τα οποία σκανάρουν συνεχώς το δίκτυο αλλά και τα εταιρικά μηχανήματα και διαπιστώνουν οποιαδήποτε μη λογική κίνηση. Π.χ. είναι συχνό το φαινόμενο, ένα στέλεχος μιας εταιρείας να πηγαίνει σε ένα ταξίδι με τον προσωπικό του υπολογιστή και να μπαίνει από το wi fi του ξενοδοχείου στο εταιρικό δίκτυο. Με τη χρήση αυτών των εργαλείων, εντοπίζεται αμέσως αυτή η κίνηση και γίνεται επικοινωνία με τον χρήστη ώστε να διαπιστωθεί αν όλα είναι καλά.

Όμως ασφάλεια εξοπλισμού δεν σημαίνει μόνο προστασία του φορητού εξοπλισμού. Εξίσου προστατευμένος θα πρέπει να είναι και ο σταθερός εξοπλισμός καθώς και αυτός μπορεί να αποτελέσει μέσο πρόσβασης για κακόβουλες ενέργειες. Για τα server rooms αναφέραμε και προηγουμένως ότι πρέπει να είναι εγκατεστημένα σε ειδικούς χώρους και να προστατεύονται με τη χρήση συστημάτων ελέγχου πρόσβασης. Όμως και ένας απλός σταθερός υπολογιστής μπορεί να αποτελέσει μέσο για την είσοδο στο δίκτυο μιας εταιρείας. Θα πρέπει να υπάρχει πολιτική ασφάλειας για τον τρόπο χρήσης των σταθερών υπολογιστών, ειδικά όταν αυτοί βρίσκονται σε κοινόχρηστα δωμάτια (π.χ meeting rooms για τη χρήση παρουσιάσεων). Η πρόσβαση σε αυτούς τους υπολογιστές θα πρέπει να γίνεται με συνδυασμένη χρήσης κωδικών και κάποιου άλλου συστήματος αναγνώρισης (two factor authenticator) και να αποφεύγονται οπωσδήποτε λύσεις με χαρτάκια στα οποία να αναγράφεται ένα κοινό

Ασφάλεια δεδομένων

Ίσως το μεγαλύτερο στοίχημα σε ότι αφορά την ασφάλεια σε ένα υβριδικό περιβάλλον εργασίας. Σε κάθε περίπτωση, τα IT τμήματα θα πρέπει να εξασφαλίζουν ότι η πρόσβαση στα δεδομένα είναι διαβαθμισμένη. Ευτυχώς και οι μεγάλες εταιρείες λογισμικού έχουν αντιληφθεί αυτή την ανάγκη και παρουσιάζουν συνεχώς λύσεις όπου κινούνται προς αυτή την κατεύθυνση (π.χ. Microsoft Authenticator).

Όμως τα δεδομένα πλέον βρίσκονται αποθηκευμένα και στις φορητές συσκευές. Είναι πολύ συχνό το φαινόμενο να κλέβονται ή να χάνονται φορητοί υπολογιστές ή smartphones από τους νόμιμους κατόχους με αποτέλεσμα να χάνονται πολύτιμα δεδομένα ή ακόμα χειρότερο τα δεδομένα αυτά να βρίσκονται στη διάθεση ανταγωνιστών.

Πρέπει τα τμήματα IT να αντιληφθούν αυτά τα δεδομένα και να αναθεωρήσουν τον τρόπο με τον οποίο αποθηκεύονται τα δεδομένα. Η τοπική αποθήκευση δεδομένων και emails είναι καταστροφική σε αυτές τις περιπτώσεις και θέτει σε μεγάλο κίνδυνο την επιχειρησιακή λειτουργία ενός οργανισμού. Είναι απαραίτητο οι εταιρείες και τα IT τμήματα να αφοσιωθούν στην εύρεση λύσεων που θα προστατεύει αποτελεσματικά την εταιρεία αλλά και τους υπαλλήλους απέναντι σε αυτά τα ενδεχόμενα. Η χρήση cloud λύσεων για την αποθήκευση δεδομένων είναι μεν μονόδρομος αλλά και εδώ θα πρέπει να εξασφαλιστεί ότι η λύση που θα επιλεχτεί θα διαθέτει κάποια βασικά στάνταρ ασφάλειας. Βεβαίως, όλοι οι μεγάλοι πρωταγωνιστές στο χώρο των cloud τεχνολογιών διαθέτουν πολύ σοβαρές τεχνολογίες για την προστασία των δεδομένων και συνεχώς εξελίσσονται σε αυτό το τομέα.

Σκέψεις για το μέλλον..

Ακόμα και αν μετά την πανδημία φαίνεται ότι όλοι και περισσότερες εταιρείες -όχι μόνο στην Ελλάδα αλλά και στο εξωτερικό -αναζητούν την επιστροφή στις συμβατικές μορφές εργασίας, η τηλεργασία ή όπως αλλιώς θέλουμε να την ονομάζουμε είναι εδώ και προφανώς στις επόμενες δεκαετίες θα παίξει πολύ σημαντικό ρόλο. Οι νέες γενιές εργαζομένων δεν είναι διατεθειμένες να απωλέσουν αυτό το δικαίωμα και όλο και περισσότεροι το θέτουν ως κόκκινη γραμμή στο τραπέζι των διαπραγματεύσεων. Η ισορροπία μεταξύ προσωπικής και επαγγελματικής ζωής είναι το νέο μεγάλο ζητούμενο και η τηλεργασία παίζει καθοριστικό ρόλο σε αυτό το μοντέλο ζωής.

Όμως, ακριβώς λόγω αυτής της τάσης, προκύπτουν και νέα δεδομένα στα θέματα ασφάλειας. Είναι αυτά που αναλύθηκαν στις προηγούμενες σελίδες και εστιάζουν στην ασφάλεια εγκαταστάσεων, εξοπλισμού και δεδομένων. Αυτό το στοίχημα είναι πολύ σημαντικό για τις επιχειρήσεις και πρέπει να κερδηθεί καθώς έτσι προστατεύουν την επιχειρησιακή τους συνέχεια σε ένα κόσμο όπου η εργασία μπορεί να είναι υβριδική αλλά οι απειλές θα είναι αυξανόμενες και ασύμμετρες. Οπότε η δημιουργία πολιτικών και διαδικασιών που θα θωρακίζουν τον οργανισμό έναντι αυτών των απειλών είναι μονόδρομος. Ευτυχώς που υπάρχουν πλέον και οι τεχνολογικές λύσεις που καθιστούν εφικτή την υλοποίηση αυτών των μέτρων. Εκείνο που απομένει είναι να γίνει ορθή εκμετάλλευση αυτών των τεχνολογικών μέσων.