Skip to main content
Hermes Banner 1
DIGITALTV 195
ilka aggelia
securityreport e mag odhgos 2021
16 Σεπτεμβρίου 2020 10:21

Οδηγός για τις κυβερνοεπιθέσεις στις επιχειρήσεις

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F38b9e51f5224ed8aa6fa8dfaa4bee2a2 XL

Οδηγό με μέτρα και βασικές κατευθύνσεις για την αποτελεσματική προστασία των πληροφοριακών τους συστημάτων από κυβερνοεπιθέσεις δημοσιεύει η Εθνική Αρχή Κυβερνοασφάλειας στο πλαίσιο της διαρκούς προσπάθειας για την ενημέρωση των επιχειρήσεων σε θέματα ασφάλειας των ψηφιακών υποδομών.

Οδηγό με μέτρα και βασικές κατευθύνσεις για την αποτελεσματική προστασία των πληροφοριακών τους συστημάτων από κυβερνοεπιθέσεις δημοσιεύει η Εθνική Αρχή Κυβερνοασφάλειας στο πλαίσιο της διαρκούς προσπάθειας για την ενημέρωση των επιχειρήσεων σε θέματα ασφάλειας των ψηφιακών υποδομών.

Τα μέτρα που περιλαμβάνονται στον οδηγό διαμορφώνουν ένα σύνολο ενεργειών που ονομάζεται ψηφιακή «άμυνα-σε-βάθος» (defense-in-depth) και περιλαμβάνουν καλές πρακτικές για τον περιορισμό και την αντιμετώπιση των πιο κοινών τύπων επιθέσεων στα συστήματα, τις εφαρμογές και το δίκτυο.

Ανεξάρτητα από το αντικείμενο στο οποίο δραστηριοποιείται μία επιχείρηση, η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί υψηλή προτεραιότητα, ειδικά κατά την τρέχουσα περίοδο που ολοένα και περισσότερες καθημερινές δραστηριότητες διενεργούνται μέσω διαδικτύου.

Ο σύντομος οδηγός αποτελεί συνέχεια των οδηγιών που είχε εκδώσει το υπουργείο Ψηφιακής Διακυβέρνησης τον περασμένο Μάρτιο σχετικά με την ασφαλή εργασία από το σπίτι και την προστασία εφαρμογών και συστημάτων.

Η Εθνική Αρχή Κυβερνοασφάλειας επισημαίνει ότι η ασφάλεια των πληροφοριακών και τηλεπικοινωνιακών υποδομών είναι μια διαρκής διαδικασία και καλεί τόσο τις επιχειρήσεις όσο και τους πολίτες να διατηρούν ενημερωμένο τον εξοπλισμό τους (υπολογιστές, smartphones, tablets, routers κ.τ.λ.) με βάση τις οδηγίες των κατασκευαστών και να εμπιστεύονται μόνο αξιόπιστες πηγές πληροφόρησης για την ενημέρωσή τους σε θέματα προστασίας.

Οδηγίες της Εθνικής Αρχής Κυβερνοασφάλειας για την προστασία των πληροφοριακών υποδομών των επιχειρήσεων από κυβερνοεπιθέσεις

Στο επίκεντρο της προσπάθειας για την ανάπτυξη ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών και των δικτύων πρέπει να βρίσκεται η μεθοδολογία προσέγγισης βάσει κινδύνου, με σκοπό την προστασία της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ιδιωτικότητας. Συγκεκριμένα:

1) Αναπτύξτε πολιτικές ασφάλειας, κατευθυντήριες οδηγίες και διαδικασίες για την προστασία των πληροφοριακών αγαθών και των σχετικών συστημάτων, οι οποίες να επεκτείνονται και σε προμηθευτές υπηρεσιών και αγαθών, καθώς και σε παρόχους υπηρεσιών νέφους (cloud).

2) Χρησιμοποιείτε κατάλληλα παραμετροποιημένο και ενημερωμένο λογισμικό προστασίας από κακόβουλο κώδικα (anti-malware software) με κεντρική διαχείριση. Επίσης, να υφίσταται σχέδιο (patch management) για την προγραμματισμένη εγκατάσταση των ενημερώσεων ασφάλειας (security updates) στα λειτουργικά συστήματα και τις εφαρμογές.

3) Διαχείριση λογαριασμών και έλεγχος πρόσβασης:

* Η πρόσβαση σε πληροφορίες και συστήματα θα πρέπει να γίνεται βάσει ρόλων και καθηκόντων, σύμφωνα με την προσέγγιση “need-to-know-basis” και “least privilege”.

* Η χρήση των λογαριασμών διαχείρισης θα πρέπει να γίνεται αποκλειστικά για διαχειριστικές εργασίες. Ανάλογα με την κρισιμότητα των δεδομένων και των συστημάτων, συστήνονται επιπλέον μέτρα, όπως π.χ. η χρήση υπολογιστών αποκλειστικά για διαχείριση, καθώς και η αυθεντικοποίηση δύο παραγόντων (two-factor-authentication).

* Χρησιμοποιείστε ισχυρούς κωδικούς πρόσβασης (strong passwords). Συνιστάται οι κωδικοί πρέπει να έχουν μήκος τουλάχιστον 10 χαρακτήρων με συνδυασμό κεφαλαίων, μικρών, ειδικών χαρακτήρων και αριθμών.

* Τηρείτε αρχεία καταγραφής (log files) στο δίκτυο, στους servers, στα λειτουργικά συστήματα και τις εφαρμογές, τα οποία θα ελέγχονται τακτικά για ανίχνευση επιθέσεων και προσπαθειών παραβίασης των συστημάτων.

4) Υλοποιήστε πολυεπίπεδη άμυνα:

* Στην εξωτερική περίμετρο με τη χρήση firewalls, IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems), access control lists κ.α..

* Εσωτερικά με την τμηματοποίση του δικτύου (είτε με φυσικό τρόπο είτε με εικονικό τρόπο [virtual lans]) και την υλοποίηση κανόνων πρόσβασης (σε χρήστες και συσκευές) και περιορισμού δικαιωμάτων, καθώς και τη δημιουργία DMZ.

5) Υλοποιήστε σε τακτική βάση προγράμματα ευαισθητοποίησης του προσωπικού και διαμόρφωσης κουλτούρας ασφάλειας (security awareness training). Η συντριπτική πλειοψηφία των σύγχρονων κυβερνοεπιθέσεων ξεκινά με επιθέσεις κοινωνικής μηχανικής (π.χ. phishing email, spam).

6) Η απομακρυσμένη πρόσβαση (remote access) στα συστήματα του Οργανισμού θα πρέπει να γίνεται με τη χρήση VPN με ισχυρή κρυπτογράφηση, καθώς και χρήση αυθεντικοποίησης 2 παραγόντων (two-factor-authentication).

7) Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών (incidence response plan), το οποίο θα περιλαμβάνει σαφείς ρόλους και ενέργειες και θα δοκιμάζεται σε περιοδική βάση.

8) Θα πρέπει να τηρείτε τακτικά αντίγραφα ασφαλείας (backup) των δεδομένων σας, διασφαλίζοντας την αποτελεσματική ανάκτησή τους (recovery) σε περίπτωση απώλειας. Επίσης, τα αντίγραφα ασφαλείας των κρίσιμων και ευαίσθητων δεδομένων θα πρέπει να αποθηκεύονται με ασφαλή τρόπο και περιορισμό πρόσβασης.

9) Εφαρμόζετε μηχανισμούς κρυπτογράφησης στα κρίσιμα και προσωπικά δεδομένα που τηρούνται στον Οργανισμό, προκειμένου να εξασφαλίζεται η εμπιστευτικότητα και η ιδιωτικότητά τους σε όλα τα στάδια του κύκλου ζωής τους.

10) Εφαρμόζετε μέτρα προστασίας και ανάκαμψης από φυσικές και περιβαλλοντικές απειλές (διαταραχή ηλεκτροδότησης, πλημμύρες, πυρκαγιές κ.λπ.).

 

Πηγή: https://www.newsit.gr/

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...