Skip to content

Οι ασφαλιστές επενδύουν στη προστασία δεδομένων

Για αύξηση των επενδύσεων που σχετίζονται με την προστασία των δεδομένων στον ασφαλιστικό κλάδο τον τελευταίο χρόνο έκανε λόγο ο Βασίλης Νικολόπουλος, επικεφαλής της ομάδας Security Engineering της Check Point Software Technologies μιλώντας στο Underwriter.gr.

«Στον ασφαλιστικό κλάδο υπάρχει μια αύξηση σε αυτή την επένδυση, στο πώς θα προστατεύσω καλύτερα τα δεδομένα μου, ειδικά τώρα με την τηλεργασία που ήρθε για να μείνει. Αντιλαμβάνονται πλέον το ρίσκο, ότι δεν μπορούν να ελέγξουν τον υπολογιστή του άλλου που έρχεται σε επαφή μαζί τους. Άρα υπάρχει μια μεγαλύτερη αύξηση σε συστήματα προστασίας που αφορούν τόσο το end-point όσο και το remote access και τις data center υποδομές και φυσικά το cloud, που είναι κάτι καινούργιο για όλους ειδικά στην Ελλάδα», σημείωσε.

«Ξαφνικά γύρισαν οι εταιρείς στην τηλεργασία – Έγινε πιο εύκολη η δουλειά των χάκερ»

Κληθείς να απαντήσει γιατί το πρόβλημα με τις κυβερνο-επιθέσεις διογκώθηκε ιδιαίτερα την περίοδο του εγκλεισμού λόγω κορωνοϊού, εξήγησε ότι οι εταιρείες βρέθηκαν ξαφνικά ευάλωτες από τη στιγμή που δεν μπορούσαν να ελέγξουν τα συστήματα προστασίας των υπολογιστών των εργαζομένων τους στο σπίτι.

«Η πανδημία επέβαλε στις επιχειρήσεις, συμπεριλαμβανομένων των ασφαλιστικών, να κάνουν τη λειτουργία τους σε ποσοστό 90% remotely. Τι γίνεται όμως όταν έχεις 300 ή 500 υπαλλήλους και σε λίγες μέρες μέσα πρέπει όλοι αυτοί να αρχίσουν να δουλεύουν από το σπίτι τους; Είναι πάρα πολύ δύσκολο ξαφνικά να πεις παραγγέλνω 300 ή 500 λάπτοπ».

Από την άλλη -πρόσθεσε- «έχοντας τόσους υπαλλήλους από το σπίτι έχεις μια κατάσταση στην οποία μεγαλώνει το attack surface, δηλαδή εκεί που είχες τους υπαλλήλους σου μέσα στην εταιρεία, και τους περιόριζες στο τι θα κάνουν αλλά και τους προστάτευες σε περίπτωση που ήθελαν να κατεβάσουν κάτι ή να σερφάρουν, ξαφνικά δεν υπάρχει περίμετρος και έχεις πάρα πολύ κόσμο ο οποίος δουλεύει πολλές φορές και από τον ηλεκτρονικό υπολογιστή του σπιτιού του με ένα απλό VPN».

Το πρόβλημα επομένως κατά τον κ. Νικολόπουλο έγκειται στο γεγονός ότι ξαφνικά τα δεδομένα της εκάστοτε εταιρείας βρέθηκαν σε υπολογιστές που δεν της ανήκουν, που δεν μπορούσε να ελέγξει, την ίδια ώρα που η ίδια έχει μεγαλώσει την «περίμετρο της πιθανής επίθεσης».

Το δεύτερο ζήτημα -τόνισε- είναι πως οι εταιρείες δεν είχαν φτιαχτεί δομικά έτσι ώστε να δουλεύουν remotely, οπότε η πιο άμεση κίνηση που θα μπορούσαν να κάνουν είναι να ζητήσουν από τους εργαζομένους τους να στέλνουν e-mail στο cloud.

«Κακώς δεν ξεκινούσαν πολλές εταιρείς με αυτό που λέμε security by design. Δηλαδή να έχω πρώτα την ασφάλεια στο μυαλό μου και μετά τα υπόλοιπα», είπε χαρακτηριστικά, διευκρινίζοντας ότι το e-mail εξακολουθεί να αποτελεί την κυρίαρχη δομή από την οποία απορρέει μια επίθεση.

Συμπλήρωσε πως στο θέμα της ασφάλειας, υπάρχει ένα κομμάτι που οι εταιρείες μπορούν να το καλύψουν με την τεχνολογία, αλλά και ένα κομμάτι που χρειάζεταιΑφαίρεση επιλεγμένης εικόνας «security awareness», δηλαδή να εκπαιδεύουν τους υπαλλήλους τους όσο καλύτερα μπορούν ώστε να είναι σε θέση να αναγνωρίσουν κάποια απειλή.

Τόνισε ότι παρουσιάστηκαν αρκετές εταιρείες το τελευταίο διάστημα που επένδυσαν σε λογισμικό για να προστατεύσουν τα προσωπικά laptops και desktops των χρηστών – υπαλλήλων τους, μέχρι να μπορέσουν να κάνουν τη μετάβαση προς ένα corporate laptop ή έναν διαφορετικό τρόπο πρόσβασης στην πληροφορία της εταιρείας.

Θέλοντας να δώσει και ένα στίγμα από τα… μυστικά της δουλειάς του, είπε χαρακτηριστικά ότι «προσπαθούμε να καταλάβουμε πώς σκέφτεται αυτός που θα σου επιτεθεί ώστε να βάλουμε ανάλογα κάποιες δικλείδες ασφαλείας για να προστατεύσουμε τα δεδομένα, δηλαδή προσπαθείς να σκεφτείς τα what-if».

«Εάν πληρωθούν λύτρα, χρηματοδοτείς το R&D των παραβιαστών – Απαιτείται πρόληψη»

Από την άλλη, σε περίπτωση που γίνει η παραβίαση, εξέφρασε τον προβληματισμό του αναφορικά με την στάση πολλών εταιρειών να πληρώνουν τα λύτρα που τους ζητώνται δεδομένου ότι κατ’ αυτό τον τρόπο, εμμέσως χρηματοδοτούν τις προσπάθειες έρευνας και ανάπτυξης των ίδιων των παραβιαστών τους.

«Το FBI λέει ότι δεν συναλλάσσομαι με τρομοκράτες. Δεν πληρώνουμε λύτρα για κανένα λόγο. Στον ΙΤ κόσμο αυτό που ισχύει είναι ότι αν πληρώσεις τα λύτρα, πρακτικά ‘χρηματοδοτείς’ το R&D τους στο να φτιάξουν καινούργια πράγματα», σημείωσε.

Υπό αυτή την έννοια, η κύρια στρατηγική κάθε εταιρείας που θέλει να προστατευτεί θα πρέπει να περιστρέφεται κατά τον κ. Νικολόπουλο στην πρόληψη.

«Η λογική μας στο κομμάτι αυτό δεν είναι να πληρώσεις τα λύτρα, αλλά να έχεις βάλει τις κατάλληλες τεχνολογίες ώστε να προστατεύσεις τα δεδομένα σου. Αυτό που φοβούνται όλοι οι IT managers είναι να μην χαθούν τα δεδομένα και να μην κρυπτογραφηθούν. Και το ransomeware τους τελευταίους 18 μήνες έχει αυξηθεί υπερβολικά», εξήγησε.

Αναφερόμενος ειδικότερα στις ασφαλιστικές εταιρείες, μίλησε για τη σημασία του GDPR, αρχικά στο σκέλος που αφορά στον φόβο να μην κρυπτογραφηθούν δεδομένα που δεν πρέπει να διαρρεύσουν.

«Οι χάκερς κρυπτογραφούν data και σου ζητούν λύτρα, είτε για να τα αποκρυπτογραφήσουν είτε απλά για να μην τα δώσουν σε κάποιον άλλο. Και στον ασφαλιστικό κλάδο έχεις και το GDPR. Δηλαδή το άγχος είναι να μην κρυπτογραφηθούν τα data αλλά το μεγαλύτερο άγχος σου είναι τι θα γίνει όταν έχεις δεδομένα που περιλαμβάνουν όνομα, επώνυμο, e-mail, αριθμό ταυτότητας, γεγονότα ιστορικά που μπορεί να έχουν γίνει και σε αφορούν και ξαφνικά βρίσκονται έξω στο Ίντερνετ. Θα έχεις να πληρώσεις δηλαδή και ένα πρόστιμο μέχρι το 2% του τζίρου. Είναι ένα πολύ μεγάλο νούμερο».

Πρόσθεσε μάλιστα δεικτικά πως «όπως οι ασφαλιστικές υπολογίζουν τον κίνδυνο και δρουν προληπτικά, έτσι και εμείς κάνουμε το ίδιο με συστήματα ασφαλείας». Δηλαδή -υπογράμμισε- «εμείς βάζουμε συστήματα και τεχνολογίες για να προστατεύσουμε τις εταιρείες από αυτό το ενδεχόμενο. Προληπτικά να προστατεύσουμε από αυτούς τους κινδύνους. Όλες οι εταιρείες επενδύουν στο ότι προληπτικά θα βάλουν τα συστήματα ασφαλείας για να μην γίνει κάποια στραβή».

«Το GDPR ξεκαθάρισε το τοπίο, είναι υποχρεωμένες οι εταιρείες να κάνουν κάτι για την ασφάλεια στον κυβερνο-χώρο»

Όσον αφορά στο GDPR, στάθηκε ιδιαίτερα στο γεγονός ότι προσέφερε ένα πλαίσιο δουλειάς και για τους ίδιους, από τη στιγμή που ήταν σαφές πλέον για τις εταιρείες τι είναι αυτό που πρέπει να κάνουν προκειμένου να αποκτήσουν την απαραίτητη προστασία.

«Το GDPR στο θέμα της ασφάλειας μας βοήθησε πάρα πολύ. Πήγαμε από το ‘δεν έχουμε τίποτα’ στο ‘τώρα έχουμε ένα framework και τα πράγματα είναι πολύ ξεκάθαρα’. Τώρα οι εταιρείες ξέρουν ποια είναι τα προσωπικά δεδομένα που πρέπει να ασφαλίσουν και σε περίπτωση που σημειωθεί κάποια παραβίαση πρέπει να ενημερώσουν τις αντασφαλιστικές και θα πρέπει να μπορούν να κάνουν και ένα trace back, να δουν τι συνέβη. Και αντίστοιχα, να αποφασίσει η Αρχή ποιο είναι το πρόστιμο το οποίο τους αναλογεί».

Άρα οι εταιρείες που διαχειρίζονται προσωπικά δεδομένα όπως ο ασφαλιστικός κλάδος πρέπει -όπως τόνισε με έμφαση ο κ. Νικολόπουλος να είναι GDPR Compliant.

«Δυο λέξεις, πίσω από τις οποίες κρέμονται πολλά project και υπό project για να καταλήξει η εταιρεία να είναι συμβατή. Άρα στον κόσμο του security μας βοήθησε γιατί πλέον ξεκαθάρισε το τοπίο και για τις εταιρείες. Πρέπει να κάνουν κάτι για το cyber security», κατέληξε.

No comment yet, add your voice below!


Add a Comment

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *