Ένα καινοτόμο έργο με την ονομασία NITRO Digital Europe Action, χρηματοδοτούμενο από την Ευρωπαϊκή Επιτροπή (Συμφωνία Χορήγησης Ενίσχυσης Αρ. 101145872), έρχεται να δώσει νέα ώθηση στην ανάπτυξη και ασφάλεια των δικτύων 5G-IoT.

Το έργο NITRO, που θα διαρκέσει ως τον Δεκέμβριο του 2026, έχει ως στόχο τη δημιουργία ενός εξειδικευμένου κυβερνοχώρου 5G-IoT. Ο κυβερνοχώρος αυτός αποτελεί ένα περιβάλλον δοκιμής και εκπαίδευσης, εστιάζοντας στην προσομοίωση και αξιολόγηση της ασφάλειας των δικτύων 5G που συνδέονται με συσκευές και εφαρμογές του Internet of Things (IoT).

To NITRO Digital Europe Action θα παρέχει μια ελεγχόμενη πλατφόρμα, όπου επαγγελματίες, ερευνητές και οργανισμοί σχετικοί με την cybersecurity θα μπορούν να μελετήσουν, να εξασκηθούν και να αναπτύξουν δεξιότητες που σχετίζονται με την ασφάλεια των κινητών δικτύων 5G, των τεχνολογιών ασύρματου IoT και της αλληλοσύνδεσής τους.

Επιπλέον, το έργο αυτό θα εξετάσει και θα αναγνωρίσει νέες αλυσιδωτές επιθέσεις που μπορούν να εκμεταλλευτούν τις αλληλεξαρτήσεις μεταξύ διαφόρων συσκευών, συστημάτων και στοιχείων δικτύου σε διασυνδεδεμένα δίκτυα 5G και IoT,. Πέραν αυτών, το NITRO θα παράσχει ένα νέο σύνολο ασκήσεων που θα λαμβάνουν υπόψη τους επιθέσεις τεχνητής νοημοσύνης και την ανίχνευσή τους, συμβάλλοντας με αυτόν τον τρόπο στο διεπιστημονικό πεδίο της τεχνητής νοημοσύνης και της κυβερνοασφάλειας.

Το NITRO Digital Europe Action υλοποιείται από μια κοινοπραξία εταίρων, με τον κάθε έναν να αναλαμβάνει σημαίνοντα ρόλο στην ανάπτυξη του κυβερνοχώρου NITRO ανάλογα με την ειδίκευσή του. Συγκεκριμένα, το έργο έχουν αναλάβει το Κέντρο Ερευνών του Πανεπιστημίου Πειραιώς (διαχείριση έργου, πάροχος μιας ειδικά διαμορφωμένης εγκατάστασης στον κυβερνοχώρο με εκπαιδευτικές ασκήσεις ασφαλείας), η εταιρεία Unisystems (ανάπτυξη και δοκιμή λογισμικού, δημιουργός του αποθετηρίου δεδομένων, επικεφαλής δραστηριοτήτων τυποποίησης και αξιοποίησης), το Ερευνητικό Κέντρο του Ιόνιου Πανεπιστημίου (τεχνική και επιστημονική διαχείριση, σχεδιασμός σεναρίων επίθεσης και άμυνας – ανάπτυξη λύσεων gamification), ο μη κερδοσκοπικός οργανισμός Hellenic Cybersecurity Institute (επικοινωνία, δραστηριότητες ομαδοποίησης και οικοδόμησης της κοινότητας, νομικός σύμβουλος και σύμβουλος απορρήτου) και η εταιρεία Ubitech (εφαρμογή λογισμικού, δημιουργός εκπαιδευτικών ασκήσεων ασφάλειας 5G-IoT).

Το NITRO Digital Europe Action ως στόχο έχει την ενίσχυση των κυβερνοχώρων ασφάλειας σε ευρωπαϊκό, εθνικό και περιφερειακό επίπεδο, καθώς και εντός και μεταξύ κρίσιμων υποδομών, συμπεριλαμβανομένων αλλά όχι περιορισμένων στους τομείς που καλύπτονται από την Οδηγία για την Ασφάλεια των Δικτύων και των Πληροφοριών (NIS Directive). Δεσμεύεται να παρέχει μια ολοκληρωμένη πλατφόρμα για την εκπαίδευση, την έρευνα και την ανάπτυξη σε θέματα κυβερνοασφάλειας, ενισχύοντας έτσι την ασφάλεια και την προστασία των δικτύων σε όλη την Ευρώπη..

Διαθέσιμη είναι πλέον και η επίσημη ιστοσελίδα του project. Τα εγκαίνια της ιστοσελίδας του NITRO Digital Europe Action αποτελούν μια σημαντική στιγμή για την κοινότητα της κυβερνοασφάλειας. Μέσα από αυτήν την πλατφόρμα, οι ενδιαφερόμενοι θα έχουν πρόσβαση σε πληροφορίες, εργαλεία και πόρους που σχετίζονται με την ασφάλεια των δικτύων 5G και του Internet of Things (IoT).

Μπορείτε να μάθετε περισσότερα για το NITRO Digital Europe Action μέσω του ιστότοπου https://nitro-project.eu/ και των προφίλ του στα Μέσα Κοινωνικής Δικτύωσης.

Facebook: Nitro Digital Europe Action

LinkedIn: Nitro Digital Europe Action

Έξαρση των κυβερνοαπειλών αναμένεται και το φετινό καλοκαίρι. Καθώς πλησιάζει η καλοκαιρινή περίοδος και πολλοί σχεδιάζουν  τις διακοπές τους, διαπιστώνεται ένα αυξανόμενο κύμα κυβερνοαπειλών, που στοχεύει τους παραθεριστές. 

Οι εγκληματίες του κυβερνοχώρου αυτήν την περίοδο προετοιμάζονται, εκμεταλλευόμενοι τα τρωτά σημεία ασφαλείας των χρηστών, για να εξαπολύσουν απάτες phishing και να αναπτύξουν κακόβουλους ιστότοπους, με στόχο την κλοπή προσωπικών πληροφοριών.

1 στα 33 νέα domain, που κατοχυρώθηκαν και σχετίζονται με τις καλοκαιρινές διακοπές τον Μάιο, ήταν κακόβουλο ή ύποπτο

Η Check Point Research (CPR) προειδοποιεί για τις ηλεκτρονικές απάτες phishing, που σχετίζονται με τις καλοκαιρινές διακοπές, ενώ διαπιστώνει ότι 1 στα 33 νέα domain, που κατοχυρώθηκαν και σχετίζονται με τις καλοκαιρινές διακοπές τον Μάιο, ήταν κακόβουλο ή ύποπτο. 

Τον Μάιο του 2024, η Check Point Research (CPR) εντόπισε μια σημαντική αύξηση στον κυβερνοχώρο σε απάτες, που σχετίζονται με το καλοκαίρι, υπογραμμίζοντας την ανάγκη οι ταξιδιώτες να είναι ενημερωμένοι και προνοητικοί όσον αφορά την προστασία των προσωπικών τους πληροφοριών. Συγκεκριμένα, παρατηρήθηκε μια αξιοσημείωτη αύξηση σε σύγκριση με την ίδια περίοδο πέρυσι, σε νεοσύστατα domains, που σχετίζονται με διακοπές. Από τα 25.668 νέα domains που καταχωρήθηκαν, ένα στα 33 βρέθηκε να είναι είτε κακόβουλο, είτε ύποπτο. 

Η CPR έχει εντοπίσει διάφορα κακόβουλα domains, συμπεριλαμβανομένων ιστότοπων, όπως οι booking-secure928[.]com, hotel-housekeeper[.]com και agodabooking[.]top. Αυτοί οι ιστότοποι υποδύονται γνωστούς ιστότοπους ταξιδιωτικών εμπορικών σημάτων κι έχουν σχεδιαστεί για να εξαπατούν τους χρήστες, ώστε να εισάγουν τα στοιχεία σύνδεσης τους, οδηγώντας ενδεχομένως σε κλοπή προσωπικών πληροφοριών.

Νόμιμες επικοινωνίες

Όπως επισημαίνουν οι αναλυτές, οι χρήστες πρέπει να είναι προσεκτικοί με μηνύματα ηλεκτρονικού ταχυδρομείου phishing, που μεταμφιέζονται σε νόμιμες επικοινωνίες από αξιόπιστες εταιρείες. Για παράδειγμα, μια εκστρατεία ηλεκτρονικού “ψαρέματος”, που παρατηρήθηκε τον Μάιο του 2024, περιλάμβανε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με θέμα “Booking.com Invoice 3255753442”, το οποίο εστάλη από παραπλανητική διεύθυνση ηλεκτρονικού ταχυδρομείου.

Το μήνυμα ηλεκτρονικού ταχυδρομείου περιείχε ένα συνημμένο PDF με την ονομασία “Invoice-3255753442.pdf”, το οποίο, όταν ανοίγει, δεν φαίνεται να εκτελείται σωστά, ενημερώνει ότι ο αναγνώστης δεν υποστηρίζεται και στη συνέχεια ανακατευθύνει σε έναν κακόβουλο ιστότοπο.

Περί προστασίας

Προκειμένου να προστατευθούν από τις απειλές, οι ειδικοί συνιστούν:

– Επαληθεύστε την αυθεντικότητα του ιστότοπου ελέγχοντας αν υπάρχει HTTPS στη διεύθυνση URL και αναζητήστε δείκτες εμπιστοσύνης, όπως σύμβολα λουκέτου ή σφραγίδες ιστότοπου. Αποφύγετε την εισαγωγή προσωπικών πληροφοριών σε ιστότοπους με ύποπτες διευθύνσεις URL ή σε ιστότοπους με ορθογραφικά λάθη.

– Να είστε προσεκτικοί με τα μηνύματα ηλεκτρονικού ταχυδρομείου, ακόμη κι αυτά που φαινομενικά προέρχονται από αξιόπιστες πηγές. Να είστε επιφυλακτικοί σε απροσδόκητα συνημμένα αρχεία ή σε αιτήματα για προσωπικές πληροφορίες.

Πηγή: https://www.sepe.gr/

Στον ταχέως εξελισσόμενο κόσμο του αθλητισμού, η αποτελεσματικότητα και η ασφάλεια είναι υψίστης σημασίας, όχι μόνο για τους φιλάθλους αλλά και για τους αθλητές και το προσωπικό. Η υιοθέτηση της τεχνολογίας ελέγχου ταυτότητας προσώπου σε στάδια και αρένες φέρνει, σύμφωνα με τους ειδικούς της Alcatraz AI, επανάσταση στον έλεγχο πρόσβασης, προσφέροντας απαράμιλλα οφέλη όσον αφορά την πρόσβαση χωρίς τριβές, την ενισχυμένη ασφάλεια και τη λειτουργική αποτελεσματικότητα. Ακολουθεί μια ματιά στο γιατί ο έλεγχος ταυτότητας προσώπου είναι η καλύτερη τεχνολογία για στάδια και αρένες, ειδικά για τους αθλητές και το προσωπικό.

Πρόσβαση χωρίς τριβές

Οι αθλητές και το προσωπικό βρίσκονται συχνά σε καταστάσεις όπου οι παραδοσιακές μέθοδοι πρόσβασης καθίστανται δυσχερείς. Σκεφτείτε τους κολυμβητές που, μετά την προπόνηση, είναι βρεγμένοι και εξαντλημένοι. Το τελευταίο πράγμα που θέλουν να κάνουν είναι να ψάξουν για μια κάρτα-κλειδί ή να θυμηθούν έναν κωδικό PIN για να έχουν πρόσβαση στα αποδυτήριά τους. Ο έλεγχος ταυτότητας προσώπου λύνει αυτό το πρόβλημα παρέχοντας μια απρόσκοπτη και χωρίς επαφή λύση πρόσβασης.

Με τη βιομετρία προσώπου, το μόνο που χρειάζεται είναι μια γρήγορη ματιά στη συσκευή για να αποκτήσετε πρόσβαση σε ασφαλείς χώρους. Αυτό επιταχύνει τη διαδικασία εισόδου και εξαλείφει τον κίνδυνο απώλειας φυσικών μαρκών πρόσβασης, όπως οι κάρτες-κλειδιά ή τα βραχιολάκια. Αυτή η πρόσβαση χωρίς τριβή είναι ένα παιχνίδι που αλλάζει τα δεδομένα για τους αθλητές που συχνά βιάζονται μεταξύ προπονήσεων, αγώνων και συνεδριών αποκατάστασης. Εξασφαλίζει ότι μπορούν να κινηθούν γρήγορα και αποτελεσματικά, εστιάζοντας περισσότερο στην απόδοσή τους παρά στα λογιστικά εμπόδια.

Ενισχυμένη ασφάλεια

Η ασφάλεια αποτελεί κρίσιμο μέλημα στα στάδια και τις αρένες, όπου υπάρχουν τόσο αθλητές υψηλού προφίλ όσο και πολύτιμος εξοπλισμός. Οι παραδοσιακές μέθοδοι πρόσβασης, όπως οι κάρτες-κλειδιά, μπορούν εύκολα να χαθούν, να κλαπούν ή να αντιγραφούν, δημιουργώντας σημαντικούς κινδύνους για την ασφάλεια. Η τεχνολογία ελέγχου ταυτότητας προσώπου προσφέρει μια ισχυρή λύση σε αυτές τις προκλήσεις.

Τα βιομετρικά συστήματα προσώπου χρησιμοποιούν προηγμένους αλγορίθμους για την ακριβή ταυτοποίηση ατόμων με βάση τα μοναδικά χαρακτηριστικά του προσώπου τους. Αυτό καθιστά εξαιρετικά δύσκολη την πρόσβαση μη εξουσιοδοτημένων ατόμων. Σε αντίθεση με τις κάρτες-κλειδιά, οι οποίες μπορούν να μοιραστούν ή να χαθούν, τα χαρακτηριστικά του προσώπου είναι μοναδικά και δεν μπορούν εύκολα να αναπαραχθούν.

Για το προσωπικό, η τεχνολογία αυτή διασφαλίζει ότι μόνο εξουσιοδοτημένο προσωπικό μπορεί να εισέλθει σε χώρους περιορισμένης πρόσβασης, όπως αποδυτήρια, εγκαταστάσεις κατάρτισης και διοικητικά γραφεία. Αυτό το επίπεδο ασφάλειας είναι ιδιαίτερα κρίσιμο κατά τη διάρκεια εκδηλώσεων υψηλού κινδύνου, όπου η ασφάλεια των αθλητών και η ακεραιότητα της εκδήλωσης πρέπει να διατηρούνται ανά πάσα στιγμή.

Λειτουργική αποτελεσματικότητα

Η ενσωμάτωση του ελέγχου ταυτότητας προσώπου στις λειτουργίες ενός σταδίου ή μιας αρένας βελτιώνει σημαντικά τη συνολική αποδοτικότητα. Η τεχνολογία αυτή εξορθολογίζει διάφορες επιχειρησιακές διαδικασίες για το προσωπικό, μειώνοντας τον χρόνο και την προσπάθεια που απαιτούνται για τη διαχείριση του ελέγχου πρόσβασης.

Για παράδειγμα, η διαχείριση της μετακίνησης αθλητών, προπονητών, ιατρικού προσωπικού και άλλου προσωπικού κατά τη διάρκεια μεγάλων εκδηλώσεων μπορεί να είναι πολύπλοκη και χρονοβόρα. Οι βιομετρικές λύσεις προσώπου μπορούν να αυτοματοποιήσουν και να επιταχύνουν αυτή τη διαδικασία, εξασφαλίζοντας ομαλή και ασφαλή πρόσβαση σε διάφορους χώρους χωρίς την ανάγκη χειροκίνητων ελέγχων ή φυσικών διαπιστευτηρίων.

Επιπλέον, ο έλεγχος ταυτότητας προσώπου μπορεί να ενσωματωθεί με άλλα συστήματα, όπως η παρακολούθηση του χρόνου και της παρουσίας του προσωπικού. Η ενσωμάτωση αυτή επιτρέπει την ακριβή και αποτελεσματική παρακολούθηση των ωρών εργασίας, διασφαλίζοντας τη συμμόρφωση με τους εργασιακούς κανονισμούς και βελτιστοποιώντας τα επίπεδα στελέχωσης με βάση δεδομένα σε πραγματικό χρόνο.

Συμπέρασμα

Η τεχνολογία ελέγχου ταυτότητας προσώπου αντιπροσωπεύει το μέλλον του ελέγχου πρόσβασης σε στάδια και αρένες, ιδίως για τους αθλητές και το προσωπικό. Η ικανότητά της να παρέχει πρόσβαση χωρίς τριβές, ενισχυμένη ασφάλεια και λειτουργική αποτελεσματικότητα την καθιστά ιδανική λύση για αυτά τα δυναμικά και απαιτητικά περιβάλλοντα.

Για τους αθλητές, η ευκολία της αβίαστης μετακίνησης μεταξύ προπονήσεων, αγώνων και χώρων αποκατάστασης δεν μπορεί να υπερτιμηθεί. Τους επιτρέπει να επικεντρωθούν σε αυτό που πραγματικά έχει σημασία – την απόδοση και την προετοιμασία τους. Για το προσωπικό, η αυξημένη ασφάλεια και ο εξορθολογισμός των λειτουργιών μεταφράζονται σε ένα ασφαλέστερο και πιο αποτελεσματικό περιβάλλον εργασίας, διασφαλίζοντας ότι κάθε εκδήλωση θα κυλήσει ομαλά.

Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, η υιοθέτηση συστημάτων ελέγχου ταυτότητας προσώπου σε στάδια και αρένες πρόκειται να γίνει πιο διαδεδομένη. Αυτή η αλλαγή βελτιώνει την εμπειρία για όσους εργάζονται και αγωνίζονται σε αυτούς τους χώρους και θέτει νέα πρότυπα ασφάλειας και αποτελεσματικότητας στον αθλητικό κλάδο. Η υιοθέτηση αυτής της τεχνολογίας είναι μια προοδευτική κίνηση που υπογραμμίζει τη δέσμευση για καινοτομία, ασφάλεια και αριστεία στον κόσμο του αθλητισμού.

Συνοψίζοντας, ο έλεγχος ταυτότητας προσώπου δεν είναι απλώς μια τεχνολογική αναβάθμιση, αλλά μια μετασχηματιστική λύση που ανταποκρίνεται στις μοναδικές ανάγκες των αθλητών και του προσωπικού στα στάδια και τις αρένες. Τα σαφή και πειστικά πλεονεκτήματά της την καθιστούν την καλύτερη επιλογή για τον εκσυγχρονισμό του ελέγχου πρόσβασης σε αυτούς τους χώρους υψηλού κύρους.

Πηγή: https://www.securityworldmarket.com/

Μπορεί ο αναλυτής της Forrester Research, John Kindervag, να έκανε γνωστό τον όρο το 2010, αλλά η μηδενική εμπιστοσύνη στην κυβερνοασφάλεια υπάρχει από τη δεκαετία του 1990. Προχωρώντας γρήγορα στο σήμερα, αντιμέτωπος με τις επίμονες και αυξανόμενες απειλές στον κυβερνοχώρο, ο Πρόεδρος Joe Biden εξέδωσε τον Μάιο του 2021 το εκτελεστικό διάταγμα για τη βελτίωση της κυβερνοασφάλειας του έθνους, μετατοπίζοντας ουσιαστικά τις κυβερνητικές υπηρεσίες των ΗΠΑ προς την κατεύθυνση της μηδενικής εμπιστοσύνης έως το 2027.

Αλλά μπορεί να υπάρχει ακόμη σύγχυση γύρω από το τι σημαίνει ο όρος στον ευρύτερο τομέα της φυσικής ασφάλειας.

Η έννοια της μηδενικής εμπιστοσύνης είναι η μετάβαση από τον έλεγχο πρόσβασης στην περίμετρο με ελεύθερη κίνηση εντός της ασφαλισμένης περιοχής (εμπιστοσύνη μετά από αυθεντικοποιημένη είσοδο) σε μια αρχιτεκτονική συνεχούς παρακολούθησης ανθρώπων και πόρων (δεδομένων στην προκειμένη περίπτωση), με περιορισμένη κίνηση μόνο σε ειδικά εξουσιοδοτημένες περιοχές (ποτέ μην εμπιστεύεσαι, πάντα επαληθεύεις).
Η μηδενική εμπιστοσύνη εξελίσσεται

Καθώς ο κανόνας για την κυβέρνηση αλλάζει, οι οργανισμοί και τα τμήματα αναπτύσσουν σχέδια και στρατηγικές για την επίτευξη του στόχου τα επόμενα χρόνια. Οι περισσότερες περιοχές βασίζονται στο Zero Trust Maturity Model 2.0 του Cybersecurity & Infrastructure Security Agency (CISA) και πηγάζουν από το National Institute of Standards Special Publication 800-207. Διατυπώνει τους πέντε πυλώνες για την επίτευξη της μηδενικής εμπιστοσύνης:

1. Ταυτότητα: Χαρακτηριστικό ή σύνολο χαρακτηριστικών που περιγράφει μοναδικά έναν χρήστη ή μια οντότητα του οργανισμού, συμπεριλαμβανομένων των μη προσωπικών οντοτήτων. Επιβολή της πρόσβασης των χρηστών και των οντοτήτων στους σωστούς πόρους τη σωστή στιγμή για το σωστό σκοπό, χωρίς να χορηγείται υπερβολική πρόσβαση. Ενσωμάτωση λύσεων διαχείρισης ταυτότητας, διαπιστευτηρίων και πρόσβασης, επιβολή ισχυρού ελέγχου ταυτότητας, χορήγηση προσαρμοσμένης εξουσιοδότησης βάσει πλαισίου και αξιολόγηση του κινδύνου ταυτότητας για τους χρήστες και τις οντότητες του οργανισμού.
2. Συσκευές: Οποιοδήποτε περιουσιακό στοιχείο, συμπεριλαμβανομένου του υλικού, του λογισμικού και του υλικολογισμικού του, το οποίο μπορεί να συνδεθεί σε ένα δίκτυο, συμπεριλαμβανομένων διακομιστών, επιτραπέζιων και φορητών υπολογιστών, εκτυπωτών, κινητών τηλεφώνων, συσκευών Internet of Things, εξοπλισμού δικτύωσης και άλλων. Ασφαλίστε όλες τις συσκευές και αποτρέψτε την πρόσβαση μη εξουσιοδοτημένων συσκευών σε πόρους. Η διαχείριση συσκευών περιλαμβάνει τη διατήρηση ενός δυναμικού καταλόγου όλων των περιουσιακών στοιχείων, συμπεριλαμβανομένου του υλικού, του λογισμικού και του υλικολογισμικού τους, μαζί με τις διαμορφώσεις τους και τις σχετικές ευπάθειες, όπως αυτές γίνονται γνωστές.
3. Δίκτυα: Ανοιχτό μέσο επικοινωνίας, συμπεριλαμβανομένων τυπικών καναλιών, όπως τα εσωτερικά δίκτυα του οργανισμού, τα ασύρματα δίκτυα και το Διαδίκτυο, καθώς και άλλων πιθανών καναλιών, όπως τα κυψελοειδή και τα κανάλια επιπέδου εφαρμογής που χρησιμοποιούνται για τη μεταφορά μηνυμάτων. Μετατόπιση από την ασφάλεια που επικεντρώνεται στην περίμετρο και επιτρέπει στις υπηρεσίες να διαχειρίζονται εσωτερικές και εξωτερικές ροές κυκλοφορίας, να απομονώνουν τους κεντρικούς υπολογιστές, να επιβάλλουν κρυπτογράφηση, να τμηματοποιούν τη δραστηριότητα και να ενισχύουν την ορατότητα του δικτύου σε ολόκληρη την επιχείρηση. Εφαρμογή ελέγχων ασφαλείας πιο κοντά στις εφαρμογές, τα δεδομένα και άλλους πόρους και ενίσχυση των παραδοσιακών δικτυοκεντρικών προστασιών για τη βελτίωση της άμυνας σε βάθος.
4. Εφαρμογές και φόρτοι εργασίας: Περιλαμβάνονται τα συστήματα, τα προγράμματα υπολογιστών και οι υπηρεσίες του οργανισμού που εκτελούνται στις εγκαταστάσεις, σε φορητές συσκευές και σε περιβάλλοντα νέφους. Συνεχής αδειοδότηση της πρόσβασης σε εφαρμογές, ενσωματώνοντας αναλύσεις κινδύνου σε πραγματικό χρόνο και παράγοντες όπως η συμπεριφορά ή τα πρότυπα χρήσης.
5. Δεδομένα: Όλα τα δομημένα και μη δομημένα αρχεία και θραύσματα που βρίσκονται ή έχουν βρεθεί σε ομοσπονδιακά συστήματα, συσκευές, δίκτυα, εφαρμογές, βάσεις δεδομένων, υποδομές και αντίγραφα ασφαλείας, συμπεριλαμβανομένων των επιτόπιων και εικονικών περιβαλλόντων, καθώς και τα σχετικά μεταδεδομένα. Σύμφωνα με τις ομοσπονδιακές απαιτήσεις, τα δεδομένα θα πρέπει να προστατεύονται σε συσκευές, εφαρμογές και δίκτυα. Οι οργανισμοί θα πρέπει να καταγράφουν, να κατηγοριοποιούν και να επισημαίνουν τα δεδομένα, να προστατεύουν τα δεδομένα σε κατάσταση ηρεμίας και διαμετακόμισης και να αναπτύσσουν μηχανισμούς για τον εντοπισμό και τη διακοπή της διαρροής δεδομένων.

Υπάρχουν επίσης τρία θεμελιώδη στοιχεία που πρέπει να λάβουν υπόψη τους οι επαγγελματίες κατά την εφαρμογή της στρατηγικής τους, όπως:

1. Ορατότητα και ανάλυση: Η ορατότητα αναφέρεται στα παρατηρήσιμα τεχνουργήματα που προκύπτουν από τα χαρακτηριστικά και τα γεγονότα εντός των επιχειρησιακών περιβαλλόντων. Η εστίαση στην ανάλυση δεδομένων που σχετίζονται με τον κυβερνοχώρο μπορεί να βοηθήσει στην ενημέρωση των αποφάσεων πολιτικής, στη διευκόλυνση των δραστηριοτήτων απόκρισης και στη δημιουργία ενός προφίλ κινδύνου για την ανάπτυξη προληπτικών μέτρων ασφαλείας πριν από την εκδήλωση ενός συμβάντος.
2. Αυτοματοποίηση και ενορχήστρωση: Η Zero Trust χρησιμοποιεί πλήρως αυτοματοποιημένα εργαλεία και ροές εργασίας που υποστηρίζουν τις λειτουργίες απόκρισης ασφαλείας σε όλα τα προϊόντα και τις υπηρεσίες, διατηρώντας παράλληλα την εποπτεία, την ασφάλεια και την αλληλεπίδραση της διαδικασίας ανάπτυξης των εν λόγω λειτουργιών, προϊόντων και υπηρεσιών.
3. Διακυβέρνηση: Η διακυβέρνηση αναφέρεται στον ορισμό και τη συναφή επιβολή των πολιτικών, διαδικασιών και διαδικασιών κυβερνοασφάλειας του οργανισμού, εντός και μεταξύ των πυλώνων, για τη διαχείριση της επιχείρησης ενός οργανισμού και τον μετριασμό των κινδύνων ασφαλείας για την υποστήριξη των αρχών της μηδενικής εμπιστοσύνης και την εκπλήρωση των ομοσπονδιακών απαιτήσεων.

Φτιάχοντας μια καλύτερη λύση

Τα συστήματα φυσικής ασφάλειας ενσωματώνουν ήδη τις αρχές της Μηδενικής Εμπιστοσύνης στο σχεδιασμό και την εφαρμογή τους, ιδίως στα συστήματα ύψιστης ασφάλειας των Υπουργείων Άμυνας και Ενέργειας.

Συστήματα κλειστού βρόχου χωρίς εξωτερικές συνδέσεις- σταθερός σχεδιασμός με δοκιμασμένα εξαρτήματα που συντονίζονται με ένα επικυρωμένο λογισμικό διαχείρισης πληροφοριών φυσικής ασφάλειας (PSIM), το οποίο χρησιμοποιείται από πλήρως ελεγμένους και ειδικά εξουσιοδοτημένους χρήστες. Τα συστήματα αυτά είναι ειδικά κατασκευασμένα “ξύλινα παπούτσια”, τα οποία αποκτώνται με μια χρονοβόρα διαδικασία και λειτουργούν για χρόνια πριν αναβαθμιστούν με πλήρη ανανέωση του συστήματος.

Αν και αποτελεσματικά, τα συστήματα αυτά έχουν σημαντικούς περιορισμούς σε ένα διαρκώς εξελισσόμενο τοπίο απειλών. Είναι ως επί το πλείστον αντιδραστικά, μόνο “plug and play” με τα στοιχεία με τα οποία έχουν αναπτυχθεί και πιστοποιηθεί. Η ενσωμάτωση νέων τεχνολογιών είναι δύσκολη, αφήνοντας συχνά αυτές τις λύσεις χρόνια πίσω από την κατάσταση του κλάδου σε πολλές περιπτώσεις. Ο κλειστός βρόχος αποκλείει τη δυνατότητα εύκολης ανταλλαγής δεδομένων με μεγαλύτερα συγκροτήματα, εγκαταστάσεις ή επιχειρήσεις. Τα δεδομένα είναι ο τομέας όπου μπορεί να κερδηθεί ανταγωνισμός και πλεονέκτημα στις επιχειρήσεις ασφαλείας, στον πόλεμο και στα συστήματα φυσικής ασφάλειας.

Πηγή: https://www.securityinfowatch.com/

Ζήτημα κάποιων δευτερολέπτων είναι, πλέον, για το οργανωμένο ψηφιακό έγκλημα το “σπάσιμο” των κωδικών των χρηστών. Σύμφωνα με τα αποτελέσματα έρευνας, οι απατεώνες θα μπορούσαν να μαντέψουν το 45% όλων των κωδικών πρόσβασης, που αναλύθηκαν σε ένα λεπτό.

Τα ιδιαίτερα ανησυχητικά ευρήματα προκύπτουν από μελέτη μεγάλης κλίμακας, την οποία πραγματοποίησαν ειδικοί της Kaspersky σχετικά με την ανθεκτικότητα των κωδικών πρόσβασης, που παραβιάστηκαν από infostealers και είναι διαθέσιμοι στο darknet, σε επιθέσεις brute force and smart guessing. Η τηλεμετρία της Kaspersky δείχνει περισσότερες από 32 εκατ. απόπειρες επίθεσης σε χρήστες με password stealers το 2023. Αυτοί οι αριθμοί δείχνουν τη σημασία της ψηφιακής υγιεινής και των έγκαιρων πολιτικών για κωδικούς πρόσβασης.

Μόνο το 23% των κωδικών αποδεικνύεται αρκετά ανθεκτικό στο “σπάσιμο” από τους κυβερνοεγκληματίες

Τον Ιούνιο του 2024, η Kaspersky ανέλυσε 193 εκατ. κωδικούς πρόσβασης, οι οποίοι βρέθηκαν σε δημόσιο domain σε διάφορους πόρους στο darknet. Στο πλαίσιο της μελέτης, οι ειδικοί της Kaspersky αποκάλυψαν ποιοι συνδυασμοί χαρακτήρων χρησιμοποιούνται πιο συχνά κατά τη δημιουργία κωδικών πρόσβασης.

Τα αποτελέσματα δείχνουν ότι η πλειονότητα των αναθεωρημένων κωδικών πρόσβασης δεν ήταν αρκετά ισχυροί και θα μπορούσαν εύκολα να παραβιαστούν χρησιμοποιώντας έξυπνους αλγόριθμους εικασίας. Για την ακρίβεια, από τα στοιχεία προκύπτει ότι μόνο το 23% (44 εκατ.) των συνδυασμών αποδείχθηκε αρκετά ανθεκτικό – το σπάσιμο των οποίων θα χρειαζόταν περισσότερο από έναν χρόνο.

Με ταχύτητα αστραπής

Από την έρευνα της Kaspersky προκύπτει ότι το 45% των κωδικών (87 εκατ.) μπορεί να παραβιαστεί σε λιγότερο από 1 λεπτό, το 14% (27 εκατ.) σε χρόνο από 1 λεπτό έως 1 ώρα, το 8% (15 εκατ.) από 1 ώρα έως 1 ημέρα, το 6% (12 εκατ.) από 1 ημέρα έως 1 μήνα και το 4% (8 εκατ.) από 1 μήνα έως 1 έτος.

Εκτός αυτού, η πλειονότητα των εξεταζόμενων κωδικών πρόσβασης (57%) περιέχουν μια λέξη από το λεξικό, γεγονός που μειώνει σημαντικά την ισχύ των κωδικών πρόσβασης. Μεταξύ των πιο δημοφιλών ακολουθιών λεξιλογίου, διακρίνονται διάφορες ομάδες:

– Ονόματα: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.

– Δημοφιλείς λέξεις: “forever”, “love”, “google”, “hacker”, “gamer”.

– Τυπικοί κωδικοί πρόσβασης: “password”, “qwerty12345”, “admin”, “12345”, “team”.

Η ανάλυση έδειξε ότι μόνο το 19% όλων των κωδικών πρόσβασης περιέχουν στοιχεία ενός ισχυρού συνδυασμού, που είναι δύσκολο να σπάσει – μια μη λεξικογραφημένη λέξη, πεζά και κεφαλαία γράμματα, καθώς και αριθμούς και σύμβολα και δεν περιείχε καμία κανονική, λεξικογραφημένη λέξη.

Ταυτόχρονα, η μελέτη αποκάλυψε ότι μπορούσαν, επίσης, να μαντέψουν το 39% τέτοιων κωδικών πρόσβασης χρησιμοποιώντας έξυπνους αλγόριθμους σε λιγότερο από μία ώρα.

Χωρίς βαθιά γνώση και εξοπλισμό

Το πιο ανησυχητικό, ωστόσο, είναι ότι για τους επιτιθέμενους δεν απαιτείται βαθιά γνώση ή ακριβός εξοπλισμός για να σπάσουν τους κωδικούς πρόσβασης. Για παράδειγμα, ένας ισχυρός επεξεργαστής φορητού υπολογιστή μπορεί να βρει τον σωστό συνδυασμό για έναν κωδικό πρόσβασης 8 πεζών γραμμάτων ή ψηφίων χρησιμοποιώντας brute force σε μόλις 7 λεπτά.

Επιπλέον, οι σύγχρονες κάρτες γραφικών θα αντιμετωπίσουν την ίδια εργασία σε 17 δευτερόλεπτα και οι έξυπνοι αλγόριθμοι για την εικασία κωδικών πρόσβασης εξετάζουν αντικαταστάσεις χαρακτήρων (“e” με “3”, “1” με “!” ή “a” με “@”) και δημοφιλείς ακολουθίες (“qwerty”, “12345”, “asdfg”).

Πηγή: https://www.sepe.gr/