10/10/2021

Ασφάλεια Δεδομένων

Οι βέλτιστες πρακτικές και οι κορυφαίες απειλές

Γράφτηκε από: Αποστολόπουλος Παναγιώτης
Η ασφάλεια δεδομένων είναι η διαδικασία προστασίας ευαίσθητων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση. Περιλαμβάνει πληθώρα διαφορετικών πρακτικών και τεχνικών ασφαλείας που εξασφαλίζουν προστασία δεδομένων όπως για παράδειγμα, βάσεων δεδομένων, από ανεπιθύμητες ενέργειες, όπως η υποκλοπή τους από μη εξουσιοδοτημένα άτομα, η διαγραφή ή μετατροπή τους.

Η ασφάλεια δεδομένων είναι η διαδικασία προστασίας ευαίσθητων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση. Περιλαμβάνει πληθώρα διαφορετικών πρακτικών και τεχνικών ασφαλείας που εξασφαλίζουν προστασία δεδομένων όπως για παράδειγμα, βάσεων δεδομένων, από ανεπιθύμητες ενέργειες, όπως η υποκλοπή τους από μη εξουσιοδοτημένα άτομα, η διαγραφή ή μετατροπή τους.

Η ασφάλεια των δεδομένων ήταν πάντα σημαντική. Σήμερα όμως, μετά και το ξέσπασμα του κορωνοϊού όπου οι περισσότεροι άνθρωποι εργάζονται εξ’ αποστάσεως, η ασφάλεια των δεδομένων είναι πιο επιτακτική από ποτέ. Η χρήση του Cloud έχει εκτοξευθεί, δίνοντας περισσότερες ευκαιρίες για μη εξουσιοδοτημένη πρόσβαση στα δεδομένα των πολιτών. Οι χάκερ εκμεταλλεύονται την όλη κατάσταση που επικρατεί με αποτέλεσμα την ραγδαία εξάπλωση των κυβερνοεπιθέσεων ανά τον κόσμο.

 

Γιατί είναι σημαντική η ασφάλεια των δεδομένων;

Η ασφάλεια των δεδομένων έχει τεράστια σημασία, καθώς μία παραβίαση μπορεί να έχει σοβαρές επιπτώσεις για έναν οργανισμό και μία επιχείρηση. Επιπτώσεις οικονομικής φύσεως, που αγγίζουν μέχρι και τα 3.86 εκατομμύρια δολάρια, σύμφωνα με σχετική έρευνα που πραγματοποιήθηκε από την ΙΒΜ το 2020. Όμως δεν είναι μόνο τα χρήματα που χάνονται ύστερα από μία παραβίαση. Αυτό που ίσως οι περισσότεροι θεωρούν ως τον μεγαλύτερο αντίκτυπο μετά από μία κυβερνοεπίθεση είναι ο τρόπος με τον οποίο επηρεάζεται η φήμη, η αξία και το κύρος ενός οργανισμού. Μελέτες δείχνουν ότι το 65% με  80% των καταναλωτών θα χάσει την εμπιστοσύνη που δείχνει σε μια εταιρεία, μετά και από μία διαρροή δεδομένων, επηρεάζοντας το εμπορικό σήμα της εκάστοτε εταιρίας για αρκετά χρόνια. Ο αντίκτυπος και η απώλεια εμπιστοσύνης βέβαια, εξαρτάται σε μεγάλο βαθμό και από τις λεπτομέρειες της παραβίασης και τον τρόπο με τον οποίο επηρεάζεται ο τελικός πελάτης. Αλλά η ουσία εδώ είναι ότι η απώλεια εμπιστοσύνης μπορεί να έχει μόνιμο αντίκτυπο στην επιχείρησή για αρκετό καιρό, ακόμα και αν αναφερόμαστε σε μία επιχείρηση κολοσσό…

 

Ασφάλεια δεδομένων, προστασία δεδομένων και απόρρητο δεδομένων

Η ασφάλεια των δεδομένων συχνά συγχέεται με παρόμοιους όρους, όπως η προστασία δεδομένων και το απόρρητο δεδομένων, επειδή όλοι αναφέρονται σε μεθόδους και τρόπους αντιμετώπισης για την διασφάλιση αυτών (δεδομένων). Ωστόσο, υπάρχει μία μικρή διαφορά ανάμεσα σε αυτούς τους όρους.

Η ασφάλεια δεδομένων αναφέρεται στην προστασία των δεδομένων μας από μη εξουσιοδοτημένη πρόσβαση ή χρήση που θα μπορούσε να οδηγήσει σε έκθεση, διαγραφή ή καταστροφή αυτών των πολύτιμων δεδομένων. Ένα παράδειγμα είναι  η χρήση κρυπτογράφησης, η οποία θα αποτρέψει τους επίδοξους χάκερ από την πρόσβαση στα δεδομένα αυτά.

Η προστασία δεδομένων αναφέρεται στη δημιουργία αντιγράφων ασφαλείας ή την αναπαραγωγή δεδομένων για προστασία από τυχαία διαγραφή ή απώλεια. Ένα παράδειγμα προστασίας δεδομένων θα ήταν η δημιουργία αντιγράφου ασφαλείας των δεδομένων μας. Έτσι σε περίπτωση μία φυσικής καταστροφής, η οποία θα μπορούσε π.χ. να καταστρέψει τους server μίας επιχείρησης, τα δεδομένα θα παρέμεναν ασφαλή.

Το απόρρητο αναφέρεται στις ανησυχίες σχετικά με τον τρόπο χειρισμού των δεδομένων μας και τη συγκατάθεση μας για την χρήση αυτών. Ένα παράδειγμα απορρήτου είναι η συγκατάθεση του χρήστη για τη συλλογή δεδομένων από επισκέπτες ενός ιστότοπου που χρησιμοποιούν cookies.

 

Συμμόρφωση και κανονισμοί ασφάλειας δεδομένων

Οι περισσότερες χώρες έχουν αυστηρούς κανονισμούς για την ασφάλεια των δεδομένων που πρέπει να ακολουθούν σε κάθε περίπτωση οι εταιρείες. Η μη τήρηση των κανόνων αυτών, μπορεί να έχει σημαντικές συνέπειες και να οδηγήσει σε τεράστια πρόστιμα.

Δυστυχώς, η συμμόρφωση με τους κανονισμούς είναι συχνά δύσκολη, καθώς οι απαιτήσεις αλλάζουν από χώρα σε χώρα. Επομένως, ένα από τα καλύτερα πράγματα που μπορούμε να κάνουμε, είναι να διασφαλίσουμε ότι διαθέτουμε τις κατάλληλες νομικές συμβουλές.

Θυμίζουμε, πως ένας από τους πιο σημαντικούς κανόνες σχετικά με την προστασία δεδομένων είναι ο GDPR. Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων-GDPR είναι ένας κανονισμός στην νομοθεσία της Ε.Ε. για την προστασία των δεδομένων και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση και στον Ευρωπαϊκό Οικονομικό Χώρο. Ο πρωταρχικός στόχος του GDPR είναι να δώσει στα άτομα τον έλεγχο των προσωπικών τους δεδομένων και να απλοποιήσει το ρυθμιστικό περιβάλλον για τις διεθνείς επιχειρήσεις ενοποιώντας τον κανονισμό εντός της Ευρωπαϊκής Ένωσης. Συμπληρώνοντας την Οδηγία Προστασίας Δεδομένων 95/46/ΕΚ, ο εν λόγω κανονισμός περιέχει διατάξεις και απαιτήσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων ατόμων που βρίσκονται στον Ευρωπαϊκό Οικονομικό Χώρο και ισχύει για οποιαδήποτε επιχείρηση - ανεξάρτητα από την τοποθεσία, την υπηκοότητα ή την κατοικία των υποκειμένων των δεδομένων - που επεξεργάζεται τις προσωπικές πληροφορίες των ατόμων εντός του ευρωπαϊκού χώρου.

Ο νόμος περί φορητότητας και λογοδοσίας της ασφάλισης υγείας του 1996 είναι ένας ομοσπονδιακός νόμος των Ηνωμένων Πολιτειών που θεσπίστηκε από το 104ο Συνέδριο των Ηνωμένων Πολιτειών και υπέγραψε νόμο από τον Πρόεδρο Μπιλ Κλίντον στις 21 Αυγούστου 1996. Το HIPAA απαιτεί συγκεκριμένες τεχνολογικές, φυσικές και διοικητικές εγγυήσεις για κάθε εταιρεία που επεξεργάζεται το δεδομένα, με τις παραβιάσεις να κυμαίνονται από $ 100 έως $ 250K και έως 10 χρόνια φυλάκιση.

Οι κορυφαίες απειλές για την ασφάλεια δεδομένων

Το πρώτο πράγμα που μας έρχεται στο μυαλό όταν σκεφτόμαστε αυτού του τύπου τις απειλές, είναι ένας χάκερ ο οποίος έχει εισβάλει σε έναν server. Αλλά η πραγματικότητα είναι διαφορετική, καθώς οι κορυφαίες απειλές για την ασφάλεια των δεδομένων προέρχονται από το εσωτερικό μίας εταιρίας και τους ίδιους τους υπαλλήλους. Ειδικοί, μελέτησαν τις βασικές αιτίες παραβίασης δεδομένων το 2020 και διαπίστωσαν ότι οι δύο κύριες αιτίες ήταν συχνά λόγω αδύναμων κωδικών πρόσβασης και λανθασμένων διαμορφώσεων στο cloud, αφήνοντας ευαίσθητα δεδομένα προσβάσιμα στο ευρύ κοινό.

Μία από τις άλλες κορυφαίες αιτίες παραβίασης δεδομένων είναι το ηλεκτρονικό ψάρεμα, γνωστό σε όλους ως phishing. Το Phishing είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο θύτης υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-θύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί. Έρευνα της IBM, δείχνει ότι εάν οι εταιρίες προειδοποιήσουν και ενημερώσουν κατάλληλα τους υπαλλήλους τους σχετικά με το πώς να χειρίζονται ή να εντοπίζουν ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος και άλλες παρόμοιες επιθέσεις, τότε οι παραβιάσεις θα μειωθούν έως και 17%.

Κοινωνική μηχανική (Social engineering) είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών και θεωρείται και αυτή μία από τις πιο κοινές μεθόδους απόσπασης πληροφοριών. Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξαπάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα. Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος έχει πλέον καθιερωθεί.

Το ransomware από την άλλη, είναι ένα είδος κακόβουλου λογισμικού που απειλεί να δημοσιοποιήσει τα προσωπικά δεδομένα του θύματος ή να διακόψει την πρόσβασή του θύματος σε αυτά, μέχρι να δοθούν λύτρα από το θύμα. Αν και τα απλά ransomware προγράμματα μπορεί να κλειδώσουν ένα σύστημα με τέτοιον τρόπο που δεν είναι δύσκολο να ξεκλειδωθεί από ένα άτομο έμπειρο στον τομέα, τα πιο εξελιγμένα προγράμματα του είδους χρησιμοποιούν τεχνικές που συνδυάζουν την κρυπτογραφία με την κακόβουλη σχεδίαση λογισμικού (cryptoviral extortion), ώστε να πετύχουν την κρυπτογράφηση των αρχείων του θύματος, καθιστώντας τα μη προσβάσιμα και ζητώντας λύτρα για την αποκρυπτογράφησή τους. Σε μια κατάλληλα υλοποιημένη επίθεση αυτού του είδους, η ανάκτηση των αρχείων χωρίς το κλειδί αποκρυπτογράφησης αποτελεί ένα ιδιαίτερα δυσεπίλυτο πρόβλημα και καθίσταται εξαιρετικά δύσκολος ο εντοπισμός των ψηφιακών νομισμάτων που χρησιμοποιήθηκαν ως λύτρα για τη συναλλαγή, όπως κρυπτονομίσματα, και για τον λόγο αυτό υπάρχει μεγάλη δυσκολία στον εντοπισμό και τη σύλληψη των δραστών.

Οι επιθέσεις ransomware υλοποιούνται συνήθως με την χρήση ενός ιού Trojan, ο οποίος φαίνεται σαν ένα καλόβουλο αρχείο επισυναπτόμενο συνήθως σε κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου και ο χρήστης παραπλανάται και το κατεβάζει ή το τρέχει στον υπολογιστή του. Ωστόσο, υπάρχουν και περιπτώσεις ιών, όπως το «WannaCry worm», οι οποίοι μεταβιβάζονται από υπολογιστή σε υπολογιστή χωρίς κάποια ενέργεια του χρήστη.

Τον Μάιο του 2017 η ransomware επίθεση WannaCry διαδόθηκε μέσω διαδικτύου, εκμεταλλευόμενο το όνομα EternalBlue, το οποίο είχε διαρρεύσει από την Εθνική Υπηρεσία Ασφαλείας των Ηνωμένων Πολιτειών. Η επίθεση αυτή, μεγαλύτερη από όλες τις προηγούμενες, μόλυνε πάνω από 230.000 υπολογιστές σε πάνω από 150 χώρες, χρησιμοποιώντας 20 διαφορετικές γλώσσες για να ζητήσει χρήματα από τους χρήστες με μορφή κρυπτονομίσματος Bitcoin.

 

Μέθοδοι και τεχνολογίες για τη διασφάλιση των δεδομένων

Υπάρχουν πολλές και διαφορετικές τεχνολογίες που μπορούμε να χρησιμοποιήσουμε για να διασφαλίσουμε τα δεδομένα των πελατών και των υπαλλήλων μας. Όσο περισσότερες μεθόδους χρησιμοποιούμε, τόσο πιο δύσκολο είναι για κάποιον να αποκτήσει πρόσβαση σε ευαίσθητες  πληροφορίες.

Η επαλήθευση ταυτότητας, είναι μία από αυτές. Είναι η διαδικασία της επαλήθευσης της ταυτότητας ενός ατόμου ή αντικειμένου, δηλαδή ότι αυτό που ισχυρίζεται ότι είναι, είναι πράγματι. Η επαλήθευση βασίζεται σε έναν ή περισσότερους παράγοντες και όταν αφορά την ανταλλαγή ηλεκτρονικών μηνυμάτων, μας εξασφαλίζει ότι ένα μήνυμα έχει προέλθει από αυτόν που ισχυρίζεται ότι το έστειλε. Ο έλεγχος ταυτότητας γενικά, μπορεί να πραγματοποιηθεί με πολλαπλούς τρόπους και διαδικασίες (κωδικοί πρόσβασης, βιομετρικά στοιχεία κ.λπ.) για να βεβαιωθούμε για την ταυτότητα του εκάστοτε ατόμου. Είναι ένα από τα πιο σημαντικά κομμάτια της στρατηγικής για την ασφάλεια των δεδομένων, επειδή είναι η πρώτη γραμμή της άμυνας ενάντια σε μη εξουσιοδοτημένους επισκέπτες.

Η κρυπτογράφηση χρησιμοποιείται επίσης για την προστασία δεδομένων κατά τη μεταφορά, για παράδειγμα δεδομένα που μεταφέρονται μέσω δικτύων (π.χ. Διαδίκτυο, ηλεκτρονικό εμπόριο), κινητά τηλέφωνα, ασύρματα μικρόφωνα, ασύρματα συστήματα ενδοεπικοινωνίας, συσκευές Bluetooth και αυτόματες ταμειακές μηχανές τραπεζών. Υπήρξαν πολλές αναφορές δεδομένων υπό διαμετακόμιση που παρεμποδίστηκαν τα τελευταία χρόνια. Τα δεδομένα θα πρέπει επίσης να κρυπτογραφούνται όταν μεταδίδονται σε δίκτυα, προκειμένου να προστατεύονται από την υποκλοπή της κυκλοφορίας δικτύου από μη εξουσιοδοτημένους χρήστες. Η κρυπτογράφηση, από μόνη της, μπορεί να προστατεύσει την εμπιστευτικότητα των μηνυμάτων, αλλά χρειάζονται και άλλες τεχνικές για την προστασία της ακεραιότητας και της αυθεντικότητας ενός μηνύματος. Για παράδειγμα, η επαλήθευση κωδικού ελέγχου της ταυτότητας μηνύματος ή ψηφιακής υπογραφής.

Ο φυσικός έλεγχος πρόσβασης θα πρέπει να θεωρείται σημαντικό μέρος της στρατηγικής που έχουμε επιλέξει για την διασφάλιση των δεδομένων μας και όχι μόνο. Ο ψηφιακός έλεγχος πρόσβασης διαχειρίζεται μέσω διαδικασιών τον έλεγχο της ταυτότητας, περιορίζοντας τον αριθμό των εξουσιοδοτημένων χρηστών που έχουν πρόσβαση στα δεδομένα. Ωστόσο, ο φυσικός έλεγχος πρόσβασης διαχειρίζεται την πρόσβαση στις φυσικές τοποθεσίες, όπου αποθηκεύονται τα δεδομένα, δηλαδή τους server. Ένα εξελεγμένο σύστημα διαχείρισης πρόσβασης, μαζί με εξοπλισμό CCTV, θα πρέπει να βρίσκεται σε κάθε server room!  Ένα server room είναι η καρδία του δικτύου και κάποιος με φυσική πρόσβαση στο δωμάτιο του διακομιστή, μπορεί διαχειριστεί τους διακόπτες, τους δρομολογητές, τα καλώδια και άλλες συσκευές, πραγματοποιώντας τεράστια ζημιά.

Εκτός από την προστασία των διακομιστών, υπάρχουν και πολλές άλλες συσκευές οι οποίες θα πρέπει να τοποθετηθούν σε κατάλληλα διαμορφωμένα δωμάτια. Ένα Hub αποτελεί ένα τέτοιο παράδειγμα, καθώς ένας hacker θα μπορούσε πολύ εύκολα να συνδέσει ένα φορητό υπολογιστή και να χρησιμοποιήσει λογισμικά τύπου «Sniffer», καταγράφοντας όλα τα δεδομένα που ταξιδεύουν μέσω δικτύου. Ιδανικά λοιπόν, αυτές οι συσκευές θα πρέπει να βρίσκονται στο ίδιο χώρο που είναι τοποθετημένος ο server ή σε κάποιο άλλο προστατευόμενο δωμάτιο για να αποφευχθούν τέτοια περιστατικά.

Κατηγορία Τεύχος 03, IP Security

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Libra Press © Copyright 2020 | All Rights Reserved
Dual Design
Κάντε εγγραφή στο ενημερωτικό δελτίο μας για να λαμβάνετε τα νέα μας, τις αποκλειστικές ειδήσεις και τις καταπληκτικές προσφορές από το χώρο των συστημάτων ασφαλείας.