Στη δημοσίευση ενός σύντομου οδηγού με μέτρα και βασικές κατευθύνσεις για την αποτελεσματική προστασία των πληροφοριακών τους συστημάτων από κυβερνοεπιθέσεις, προχώρησε η Εθνική Αρχή Κυβερνοασφάλειας. Τα μέτρα που περιλαμβάνονται στον οδηγό διαμορφώνουν ένα σύνολο ενεργειών, που ονομάζεται ψηφιακή “άμυνα-σε-βάθος”.
Ο σύντομος οδηγός αποτελεί συνέχεια των οδηγιών, που είχε εκδώσει το Υπουργείο Ψηφιακής Διακυβέρνησης τον περασμένο Μάρτιο, σχετικά με την ασφαλή εργασία από το σπίτι και την προστασία εφαρμογών και συστημάτων. Περιλαμβάνουν δε καλές πρακτικές για τον περιορισμό και την αντιμετώπιση των πιο κοινών τύπων επιθέσεων στα συστήματα, τις εφαρμογές και το δίκτυο.
Η Εθνική Αρχή Κυβερνοασφάλειας επισημαίνει ότι η ασφάλεια των πληροφοριακών και τηλεπικοινωνιακών υποδομών είναι μια διαρκής διαδικασία. Καλεί τόσο τις επιχειρήσεις, όσο και τους πολίτες, να διατηρούν ενημερωμένο τον εξοπλισμό τους με βάση τις οδηγίες των κατασκευαστών.
“Στο επίκεντρο της προσπάθειας για την ανάπτυξη ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών και των δικτύων, πρέπει να βρίσκεται η μεθοδολογία προσέγγισης βάσει κινδύνου, με σκοπό την προστασία της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ιδιωτικότητας”, αναφέρει ο σχετικός οδηγός.
Συγκεκριμένα συνιστά στις επιχειρήσεις:
“- Αναπτύξτε πολιτικές ασφάλειας, κατευθυντήριες οδηγίες και διαδικασίες για την προστασία των πληροφοριακών αγαθών και των σχετικών συστημάτων, οι οποίες να επεκτείνονται και σε προμηθευτές υπηρεσιών και αγαθών, καθώς και σε παρόχους υπηρεσιών cloud”.
Ενημερωμένο λογισμικό
- Χρησιμοποιείτε κατάλληλα παραμετροποιημένο και ενημερωμένο λογισμικό προστασίας από κακόβουλο κώδικα (anti-malware software) με κεντρική διαχείριση. Επίσης, να υφίσταται σχέδιο (patch management) για την προγραμματισμένη εγκατάσταση των ενημερώσεων ασφάλειας (security updates) στα λειτουργικά συστήματα και τις εφαρμογές”.
Όσον αφορά τη διαχείριση λογαριασμών και τον έλεγχο πρόσβασης αναφέρει: “Η πρόσβαση σε πληροφορίες και συστήματα θα πρέπει να γίνεται βάσει ρόλων και καθηκόντων, σύμφωνα με την προσέγγιση “need-to-know-basis” και “least privilege”. Η χρήση των λογαριασμών διαχείρισης θα πρέπει να γίνεται αποκλειστικά για διαχειριστικές εργασίες. Ανάλογα με την κρισιμότητα των δεδομένων και των συστημάτων, συστήνονται επιπλέον μέτρα, όπως π.χ. η χρήση υπολογιστών αποκλειστικά για διαχείριση, καθώς και η αυθεντικοποίηση δύο παραγόντων (two-factor-authentication)”.
Ισχυροί κωδικοί
“- Χρησιμοποιείστε ισχυρούς κωδικούς πρόσβασης. Συνιστάται οι κωδικοί να έχουν μήκος τουλάχιστον 10 χαρακτήρων με συνδυασμό κεφαλαίων, μικρών, ειδικών χαρακτήρων και αριθμών.
- Τηρείτε αρχεία καταγραφής (log files) στο δίκτυο, στους servers, στα λειτουργικά συστήματα και τις εφαρμογές, τα οποία θα ελέγχονται τακτικά για ανίχνευση επιθέσεων και προσπαθειών παραβίασης των συστημάτων”.
Πολυεπίπεδη άμυνα
Ο οδηγός συνιστά στις επιχειρήσεις να εφαρμόζουν πολυεπίπεδη άμυνα στην εξωτερική περίμετρο με τη χρήση firewalls, IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems), access control lists.
Επίσης, εσωτερικά με την τμηματοποίση του δικτύου (είτε με φυσικό τρόπο, είτε με εικονικό τρόπο [virtual lans]) και την υλοποίηση κανόνων πρόσβασης (σε χρήστες και συσκευές) και περιορισμού δικαιωμάτων, καθώς και τη δημιουργία DMZ.
Ενημέρωση προσωπικού
Παράλληλα, ο οδηγός ζητά από τις επιχειρήσεις να υλοποιούν σε τακτική βάση προγράμματα ευαισθητοποίησης του προσωπικού και διαμόρφωσης κουλτούρας ασφάλειας. Όπως αναφέρει, “η συντριπτική πλειοψηφία των σύγχρονων κυβερνοεπιθέσεων ξεκινά με επιθέσεις κοινωνικής μηχανικής (π.χ. phishing email, spam)”.
Όπως τονίζεται στον οδηγό, η απομακρυσμένη πρόσβαση (remote access) στα συστήματα του Οργανισμού θα πρέπει να γίνεται με τη χρήση VPN με ισχυρή κρυπτογράφηση, καθώς και χρήση αυθεντικοποίησης 2 παραγόντων (two-factor-authentication).
Σχέδιο αντιμετώπισης
“Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών (incidence response plan), το οποίο θα περιλαμβάνει σαφείς ρόλους και ενέργειες και θα δοκιμάζεται σε περιοδική βάση”, συνιστά ο οδηγός.
Επίσης, σημειώνει ότι οι εταιρείες θα πρέπει να τηρούν τακτικά αντίγραφα ασφαλείας (backup) των δεδομένων, διασφαλίζοντας την αποτελεσματική ανάκτησή τους (recovery) σε περίπτωση απώλειας. Εξάλλου, όπως τονίζεται, τα αντίγραφα ασφαλείας των κρίσιμων και ευαίσθητων δεδομένων θα πρέπει να αποθηκεύονται με ασφαλή τρόπο και περιορισμό πρόσβασης.
Κρυπτογράφηση
“Εφαρμόζετε μηχανισμούς κρυπτογράφησης στα κρίσιμα και προσωπικά δεδομένα, που τηρούνται στον Οργανισμό, προκειμένου να εξασφαλίζεται η εμπιστευτικότητα και η ιδιωτικότητά τους, σε όλα τα στάδια του κύκλου ζωής τους”, αναφέρει ο σχετικός οδηγός.
Τέλος, προτείνει την εφαρμογή μέτρων προστασίας και ανάκαμψης από φυσικές και περιβαλλοντικές απειλές (διαταραχή ηλεκτροδότησης, πλημμύρες, πυρκαγιές).
