Η ραγδαία αύξηση της τεχνολογίας, η άμεση επίδραση της στη λειτουργία των επιχειρήσεων και η πιο εύκολη από ποτέ πρόσβαση σε μεγάλους όγκους πληροφοριών μέσω του διαδικτύου έχει καταστήσει αναγκαία τη θέσπιση κανόνων και πρακτικών που θα είναι σε θέση να ενισχύσουν την ανθεκτικότητα των επιχειρήσεων στους κινδύνους του κυβερνοχώρου, να παρέχουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων και να επιτύχουν τη προστασία των προσωπικών δεδομένων.
Σύμφωνα με το NIST (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας), η ανθεκτικότητα των πληροφοριακών συστημάτων ορίζεται ως «Η ικανότητα πρόβλεψης, αντοχής, ανάκτησης και προσαρμογής σε δυσμενείς συνθήκες, πιέσεις, επιθέσεις ή συμβιβασμούς σε συστήματα που χρησιμοποιούνται ή ενεργοποιούνται από πόρους του κυβερνοχώρου».
Κατά συνέπεια, η ανθεκτικότητα των πληροφοριακών συστημάτων είναι άμεσα συνδεδεμένη με την ικανότητα μιας επιχείρησης να αντιμετωπίζει τους λειτουργικούς και πληροφοριακούς κινδύνους με επιτυχία για να οδηγηθεί στην ανάπτυξη ενός βιώσιμου ψηφιακού εκσυγχρονισμού.
Η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα, αφορά σε ένα δομημένο σύνολο κανόνων το οποίο αποτελεί τις θεμελιώδεις αρχές της ασφάλειας των πληροφοριών και έχει σκοπό να παρέχει τη διαβεβαίωση ότι οι πληροφορίες και τα δεδομένα είναι ακριβή, διαθέσιμα και προσβάσιμα μόνο από άτομα που έχουν τις κατάλληλες εξουσιοδοτήσεις. Πιο συγκεκριμένα οι τρεις αυτές θεμελιώδεις αρχές επεξηγούνται ως ακολούθως:
Εμπιστευτικότητα: Η εμπιστευτικότητα είναι μία από τις βασικές έννοιες της κυβερνοασφάλειας, η οποία διασφαλίζει ότι οι πληροφορίες προστατεύονται από μη εξουσιοδοτημένη αποκάλυψη. Η προστασία της εμπιστευτικότητας είναι υποχρέωση όλων των μελών μιας επιχείρησης.
Ακεραιότητα: Η ακεραιότητα είναι η ικανότητα διασφάλισης της ακρίβειας και της αξιοπιστίας των δεδομένων. Η ακεραιότητα αφορά σε όλα τα περιουσιακά στοιχεία μιας επιχείρησης.
Διαθεσιμότητα: Η αρχή της διαθεσιμότητας περιλαμβάνει τη διασφάλιση ότι τα συστήματα, οι εφαρμογές και τα δεδομένα είναι διαθέσιμα στους εξουσιοδοτημένους χρήστες, όταν παραστεί ανάγκη.
Η πρώτη σημαντική προσπάθεια για την προστασία των προσωπικών δεδομένων, πραγματοποιήθηκε με την οδηγία 95/46/EK – N. 2472/1997, η οποία μεταξύ άλλων, είχε σκοπό να επιτύχει ένα ισοδύναμο επίπεδο προστασίας μεταξύ των κρατών – μελών και να άρει τα εμπόδια της ελεύθερης κυκλοφορίας των δεδομένων, συνδυάζοντας την πρόληψη επί των κινδύνων της επεξεργασίας των προσωπικών δεδομένων.
Η εν λόγω οδηγία αντικαταστάθηκε μεταγενέστερα από τον κανονισμό 2016/679 ο οποίος είναι ευρέως γνωστός και ως ΓΚΠΔ (Γενικός Κανονισμός Προστασίας Δεδομένων). Ο κανονισμός 2016/679 ψηφίστηκε την 27η Απριλίου 2016 και τέθηκε σε υποχρεωτική εφαρμογή από την 25η Μαΐου 2018. Ενώ το 2019 και πιο συγκεκριμένα την 29η Αυγούστου του 2019 ψηφίστηκε από την Ελληνική Βουλή ο νόμος 4624/2019, ο οποίος είχε σκοπό τη λήψη μέτρων εφαρμογής του 2016/679 και την ενσωμάτωση του στην Εθνική Νομοθεσία.
Η μετάβαση από την πρώτη οδηγία αποσκοπούσε κατά κύριο λόγο στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός της Ευρωπαϊκής Ένωσης, από άτομα, επιχειρήσεις ή οργανισμούς κι όρισε ως βασικά μέρη της επεξεργασίας τον υπεύθυνο επεξεργασίας και τα υποκείμενα δεδομένων, ενώ επιπλέον όρισε ασφαλιστικές δικλίδες επεξεργασίας όπως την ενημέρωση των φυσικών προσώπων, τον διορισμό υπευθύνων προστασίας δεδομένων και την εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων, όπως ισχύει, αφορά σχεδόν όλες τις επιχειρήσεις, είτε είναι ιδιωτικές είτε δημόσιες, καθώς χειρίζονται προσωπικά δεδομένα που αφορούν εργαζόμενους, συνεργάτες, πελάτες ή άλλα φυσικά πρόσωπα. Κατά συνέπεια, όλες οι εταιρείες/οργανισμοί θα πρέπει, προκειμένου να πληρούν τις απαιτήσεις του κανονισμού, να εφαρμόζουν ειδικά μέτρα ασφαλείας, όπως τακτικούς ελέγχους ασφάλειας δικτύων και υποδομών, εφαρμογή πολιτικών και διαδικασιών ασφαλείας, κατάρτιση των χρηστών σε θέματα ορθής χρήσης των πληροφοριακών περιουσιακών στοιχείων και κατάρτιση διαδικασιών αναγνώρισης κινδύνων.
Οι κίνδυνοι μπορούν να έρθουν σε πολλές μορφές, συμπεριλαμβανομένων επιθέσεων λογισμικού, κλοπής ταυτότητας, δολιοφθοράς και εκβιασμού πληροφοριών. Από το 2019 και την «έλευση» της πανδημίας του COVID παρατηρήθηκε μεγάλη αύξηση στους κινδύνους που απορρέουν από τους εγκληματίες του κυβερνοχώρου (cyber criminals), με πιο διαδεδομένη τεχνική επίθεσης την επίθεση της κοινωνικής μηχανικής. Οι πιο συχνοί τύποι επιθέσεων που έχουν παρατηρηθεί κατά την περίοδο της πανδημίας και αποτελούν σημαντικό κίνδυνο ως προς τα προσωπικά ή μη προσωπικά δεδομένα είναι οι παρακάτω:
Η κυβερνοαφάλεια και η ανθεκτικότητα στον κυβερνοχώρο είναι άρρηκτα συνδεδεμένες. Η κυβερνοασφάλεια αφορά στην εφαρμογή τεχνολογιών, διαδικασιών και ελέγχων που αποσκοπούν στην προστασία των πληροφοριακών συστημάτων, των δικτύων και των δεδομένων από κακόβουλες επιθέσεις για τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των πληροφοριών. Ενώ ταυτόχρονα η ανθεκτικότητα στον κυβερνοχώρο επιτρέπει στις επιχειρήσεις να διασφαλίσουν τη λειτουργία τους, να μειώσουν τον χρόνο έκθεσης τους στις ενδεχόμενες απειλές, να μειώσουν την επικινδυνότητα και την επίδραση των πιθανών απειλών και να επιτύχουν τη συνέχιση της δραστηριότητάς τους.
Προκειμένου μια επιχείρηση να είναι σε θέση να εντοπίζει, να αξιολογεί και να αντιμετωπίζει τους κινδύνους που απορρέουν από τη λειτουργία της, πρέπει να κατανοεί πλήρως την πηγή των απειλών, να αξιολογεί την εύλογη πιθανότητα εμφάνισης τέτοιων απειλών, να δημιουργεί σενάρια αντίδρασης, να ελέγχει πιθανές ευπάθειες και να αξιολογεί τη συνάφεια και την κρισιμότητα τους και να θεσπίζει τις απαραίτητες διαδικασίες για την αντιμετώπιση αυτών των τρωτών σημείων.
Η επιθυμητή ανθεκτικότητα στους κινδύνους του κυβερνοχώρου μπορεί να επιτευχθεί με την υιοθέτηση ενός πλαισίου κυβερνοασφάλειας το οποίο θα προστατεύει τη λειτουργία των επιχειρήσεων. Πιο συγκεκριμένα, οι επιχειρήσεις θα πρέπει να εντάξουν στη λειτουργία τους ένα σύνολο ελέγχων και διαδικασιών που θα βασίζονται στη διαχείριση των κινδύνων.
Ο πυρήνας αυτού του πλαισίου αποτελείται από ένα σύνολο δραστηριοτήτων κυβερνοασφάλειας, που επικεντρώνονται στην αναγνώριση, την προστασία, τον εντοπισμό, την ανταπόκριση και την ανάκτηση. Ακολουθεί μια συνοπτική περιγραφή των βασικών στοιχείων του πλαισίου κυβερνοασφάλειας:
Αναγνώριση: Η λειτουργία αναγνώρισης βοηθά στην ανάπτυξη μιας οργανωτικής κατανόησης της διαχείρισης κινδύνων κυβερνοασφάλειας σε συστήματα, άτομα, περιουσιακά στοιχεία, δεδομένα και δυνατότητες. Παραδείγματα της λειτουργίας αναγνώρισης μπορεί να είναι ο εντοπισμός φυσικών στοιχείων και περιουσιακών στοιχείων λογισμικού για τη δημιουργία ενός προγράμματος διαχείρισης περιουσιακών στοιχείων, ο προσδιορισμός πολιτικών κυβερνοασφάλειας για τον καθορισμό ενός σχεδίου διακυβέρνησης, ο προσδιορισμός της στρατηγικής διαχείρισης κινδύνου για τον οργανισμό κτλ. .
Προστασία: Η λειτουργία προστασίας υποστηρίζει την ικανότητα του περιορισμού των επιπτώσεων των πιθανών συμβάντων κυβερνοασφάλειας. Παραδείγματα της λειτουργίας προστασίας μπορεί να είναι η προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων, η διαχείριση της τεχνολογίας για τη διασφάλιση της ασφάλειας των συστημάτων, η ευαισθητοποίηση και η κατάρτιση του προσωπικού εντός του οργανισμού.
Εντοπισμός: Η λειτουργία του εντοπισμού βοηθά στην ανάπτυξη και την υλοποίηση κατάλληλων δραστηριοτήτων για τον εντοπισμό περιστατικών κυβερνοασφάλειας, προκειμένου να επιτευχθεί έγκαιρη ανίχνευση και, ως εκ τούτου, ταχεία αντίδραση. Παραδείγματα τρόπων ανίχνευσης μπορεί να είναι ο εντοπισμός ανωμαλιών και συμβάντων και η συνεχής παρακολούθηση της ασφάλειας.
Ανταπόκριση: Η λειτουργία ανταπόκρισης αναπτύσσει και υλοποιεί κατάλληλες δραστηριότητες για την ανάληψη δράσης σε ένα περιστατικό κυβερνοασφάλειας που εντοπίστηκε.
Ανάκτηση: Η ανάκτηση αναπτύσσει και υλοποιεί κατάλληλες δραστηριότητες για τη διατήρηση σχεδίων ανθεκτικότητας και την αποκατάσταση κάθε υπηρεσίας που επηρεάζεται από περιστατικά κυβερνοασφάλειας.
Ο Κυβερνοχώρος είναι ένα περιβάλλον το οποίο τροποποιείται με ταχύτατους ρυθμούς και προκύπτει από την αλληλεπίδραση πολλών παραγόντων, περιλαμβανομένων των ανθρώπων, του λογισμικού και των διαδικτυακών υπηρεσιών. Κατά συνέπεια οι ανάγκες της ασφάλειας αλλάζουν συνεχώς και η ανάγκη για μια ευέλικτη και προσαρμόσιμη προσέγγιση στους κινδύνους λειτουργίας μπορεί να αποφέρει μεγάλα οφέλη στις επιχειρήσεις, τα οποία θα μπορούσαν να συνοψιστούν στα παρακάτω:
Βελτίωση της «στάσης ασφάλειας»: Η βελτίωση της «στάσης ασφάλειας» θα βοηθήσει τις επιχειρήσεις να εστιάσουν σε απειλές που είναι σημαντικές και θα μειώσει δραστικά των αριθμό των περιστατικών ασφάλειας στα πληροφοριακά συστήματα. Η αποτροπή ή η δραστική μείωση των κινδύνων και η αποφυγή πιθανών παραβιάσεων παίζουν σημαντικό ρόλο στη γενική λειτουργία μιας επιχείρησης και δεν αφορούν μόνο στην τεχνολογία που αυτή αξιοποιεί.
Κανονιστική Συμμόρφωση: Η υιοθέτηση ενός πλαισίου κυβερνοασφάλειας και η βελτίωση της ανθεκτικότητας των επιχειρήσεων στις απειλές του κυβερνοχώρου, θα βοηθήσει τις επιχειρήσεις να επιτύχουν ένα «ώριμο» πληροφοριακό περιβάλλον, το οποίο θα συμμορφώνεται με τις νομικές διατάξεις που αφορούν την προστασία των δεδομένων που διαχειρίζεται. Αυτό έχει ως αποτέλεσμα την αποφυγή ζημιών που μπορεί να προκύπτουν από πρόστιμα ή αγωγές.
Εμπιστοσύνη και Φήμη: Η άμεση επίδραση που έχει η τεχνολογία και η όλο αυξανόμενη εξάρτηση της λειτουργίας των επιχειρήσεων από τον κυβερνοχώρο, καθιστά τους δυνητικούς πελάτες των επιχειρήσεων επιφυλακτικούς σε σχέση με την εμπιστοσύνη των δεδομένων τους. Μια πιθανή παραβίαση θα μπορούσε να μειώσει την εμπιστοσύνη των πελατών και να πλήξει σημαντικά τη φήμη των επιχειρήσεων. Κατά συνέπεια, οι επιχειρήσεις, οι οποίες δημιουργούν ένα ασφαλές περιβάλλον λειτουργίας μπορούν να αναπτύξουν σημαντικές σχέσεις εμπιστοσύνης με τους πελάτες τους.
