Τη δική του οπτική γωνία για το πώς εξελίσσεται η μάχη των ασφαλιστικών για να θέσουν υπό έλεγχο τις κυβερνο-επιθέσεις αλλά και για το στοίχημα με το οποίο έρχονται αντιμέτωπες όταν τους ζητείται να καλύψουν ασφαλιστικά την πιθανότητα ενός τέτοιου περιστατικού, παρουσίασε στο Underwriter.gr ο security consultant με μεγάλη θητεία στον ιδιωτικό τομέα και στη διαχείριση συστημάτων ασφαλείας, Βασίλης Νικολόπουλος.
του Χρήστου Γαβαλά
Όπως επισήμανε, τα τελευταία χρόνια οι ασφαλιστικές έχουν κάνει πολλές επενδύσεις γύρω από την θωράκισή τους στον τομέα της κυβερνοασφάλειας, μια αύξηση που ο ίδιος την προσδιορίζει σε 30% παγκοσμίως.
Αναφορικά με την μεταφορά των δραστηριοτήτων των εταιρειών στο cloud, έκανε λόγο για έναν “μονόδρομο”, ο οποίος μάλιστα διευρύνει την «ακτίνα επίθεσης» από τη μεριά των χάκερ, ενώ ερωτηθείς για το πόσο εύκολο είναι για μια ασφαλιστική να καλύψει όλους αυτούς τους κινδύνους στην τωρινή εποχή, υπογράμμισε ότι πρόκειται για μια δύσκολη υπόθεση που προϋποθέτει πάντα την ύπαρξη τουλάχιστον κάποιων βασικών, διαδικασιών προστασίας και ελέγχου, ώστε να είναι εφικτό κατόπιν να καλυφθούν οι λοιποί κίνδυνοι μέσω ενός ασφαλιστικού προϊόντος.
Διαβάστε αναλυτικά τη συνέντευξη του κ. Νικολόπουλου στο Underwriter.gr
Πόσο ευάλωτες εμφανίστηκαν οι ελληνικές ασφαλιστικές επιχειρήσεις από κυβερνο-επιθέσεις τη χρονιά που πέρασε σε σχέση με την προπερασμένη και ποια μορφή παίρνουν συνήθως αυτές οι επιθέσεις;
Μέσα στα δύο τελευταία χρόνια έχουν γίνει μεγάλες επενδύσεις στο Cybersecurity από όλες τις ασφαλιστικές, κλείνοντας το 2022 θα δούμε ότι είχε μια αύξηση στις κυβερνοεπιθέσεις περίπου στο 30% παγκοσμίως. Η μορφή που βλέπουμε συνήθως έρχεται σε συνάρτηση με όποιες τεχνολογικές αλλαγές εφαρμόσαμε λόγω κορωνοϊού, δηλαδή με το remote working. Ο λόγος πλέον είναι ότι έχεις ένα τεράστιο attack surface με όλους αυτούς τους χρήστες που δουλέουν remote και επίσης διαχειρίζονται προσωπικά δεδομένα. Αρα κυρίως επιθέσεις ransomware (που εχουν αντιμετωπιστεί επιτυχώς) αλλά και infostealar malware. Το phishing με σκοπό να πάρουν εταιρικά (και όχι μόνο) credentials είναι πλέον καθημερινότητα. Ένα νούμερο που θα μπορούσα να μοιραστώ μαζί σας είναι 1.500 prevented attacks μέσα σε μια εβδομάδα από ένα δείγμα 500 χρηστών.
Πόσο επικίνδυνη είναι η μεταφορά δραστηριοτήτων στο cloud για περιορισμό κόστους (που αρκετές ασφαλιστικές προκρίνουν), και ποιος μπορεί να είναι ο ασφαλέστερος τρόπος προστασίας;
Η μεταφορά δραστηριοτήτων στο cloud για περιορισμό του κόστους και όχι μόνο είναι μονόδρομος. Μην ξεχνάμε ότι εάν χρησιμοποιείς ένα cloud όχι απλά ως ένα καινούριο datacenter (δηλαδή lift and shift τα VMs που είχαμε στον on-premises κόσμο) αλλά ξεκινώντας να κάνεις refactor ο,τι application είχες, τότε θα μπορέσεις να χρησιμοποιήσεις όλα τα καινούρια εργαλεία / features που σου δίνει.
Στο θέμα της ασφάλειας όλοι οι επαγγελματίες του χώρου συμφωνούν ότι είναι πιο δύσκολο να το προστατεύσεις από το πατροπαράδοτο data center. Για παράδειγμα, που ακριβώς είναι η περίμετρός σου; Στον on premises κόσμο είχες μονολεκτική απάντηση εκει που είναι το NGFW. Για να το ασφαλίσεις λοιπόν, το NGFW στο cloud είναι ένα μόνο (μικρό) κομμάτι. Γιατί πολύ απλά έχεις πλεον Infrastructure as a Service, Platform as a Service, Software as a Service κλπ. Άρα πολύ μεγαλύτερο attach surface για έναν attacker, δεν έχεις το visibility που είχες όταν έτρεχες απλα VMs, workloads που μεγαλώνουν και μικραίνουν ανάλογα με την κίνηση, και μην ξεχνάμε όλο το κομμάτι του DevOps, αντίστοιχα DevSecOps και Automation, privilege access management, key management και φυσικά Cloud Compliance και Governance και η λίστα συνεχίζεται… Που καταλήγουν όλα αυτά; Στο ότι πρέπει να εφαρμόσεις ένα Zero Trust μοντέλο και μετά να δέσεις προϊόντα πάνω του (όχι το ανάποδο).
Από την μια η επικινδυνότητα των κυβερνοεπιθέσεων αυξάνεται και από την άλλη οι ίδιες οι ασφαλιστικές γίνονται δέκτες αιτημάτων για ασφάλιση στον κυβερνοχώρο. Πόσο δύσκολη γίνεται η παροχή ενός τέτοιου ασφαλιστικού προϊόντος υπό αυτές τις συνθήκες;
Μα δεν είναι πολύ εύκολη η παροχή ενός ασφαλιστικού προϊόντος; (γελάει) Πόσο μάλλον για το cloud; Θεωρούμε δεδομένο ότι θα έχεις Cybersecurity Insurance, μην ξεχνάμε ότι το Zero Trust μοντέλο αναφέρει τον όρο “assume breach”. Αρα για να δώσεις ένα ασφαλιστικό προιόν θα πρέπει να υπάρχουν τουλάχιστον κάποια βασικά controls/protections ώστε να μπορέσεις να καλύψεις μέσω ενός ασφαλιστικού προϊόντος τα υπόλοιπα.
Ένα απλό παράδειγμα, άμα δεν έχεις κάποια προστασία για ransomware, γιατί να σε ασφαλίσω; Η αντίστοιχα για GDPR: θα πρέπει πρώτα να φτιάξεις/επενδύσεις στην προστασία των προσωπικών δεδομένων και στη συνέχεια να ασφαλίσεις τον κίνδυνο από αυτά που δεν μπορείς να καλύψεις.
1 Comment
Είναι πολύ ακριβό το ασφάλιστρο για μικρομεσαίους ελεύθερους επαγγελματίες δυστυχώς. Θα μου πείτε “κι αν σου συμβεί;”. Σωστό, αλλά κι αν πεθάνω…; Προτιμότερο δεν είναι να έχω ασφάλεια ζωής για τα παιδιά μου; Σαφέστατα πιο σημαντικό είναι αυτό. Ή με την κατάντια της δημόσιας υγείας, δεν πρέπει να έχω και νοσοκομειακό; Και συμπληρωματική σύνταξη οπωσδήποτε! Συνεπώς, το ότι είναι πολύ ακριβό, είναι και σε σχέση με τις υπόλοιπες ανάγκες του σημερινού Έλληνα. Δυστυχώς δεν μπορεί να τα πληρώνουμε όλα σε ασφάλιστρα, γιατί είμαστε πια και δεύτεροι σε όλη την ΕΕ σε χαμηλότερο κατά κεφαλήν εισόδημα να θυμίσω, πριν την Βουλγαρία μόνο…