Του Κώστα Βούλγαρη, Financial Lines Head, Greece, Cyprus & Malta, AIG
To ψηφιακό επιχειρησιακό τοπίο αλλάζει: το Internet of Things παίρνει μεγαλύτερες διαστάσεις, οι εταιρίες προβληματίζονται για τη διαχείριση των big data, οι εργαζόμενοι ολοένα και περισσότερο απαιτούν απομακρυσμένη πρόσβαση στα συστήματα της εταιρίας τόσο από εταιρικές όσο και από προσωπικές τους συσκευές και τα όρια μεταξύ προσωπικής και επαγγελματικής χρήσης των συσκευών και του διαδικτύου γίνονται συγκεχυμένα.
Παράλληλα, οι επιθέσεις σε συστήματα και βάσεις δεδομένων αυξάνονται μέρα με τη μέρα, με χρήση πιο σύνθετων τεχνικών που καθιστούν επιτακτικά τα μέτρα ασφαλείας και τις κατάλληλες διαδικασίες για την προστασία των εταιριών. Τους τελευταίους μήνες στις ΗΠΑ παρατηρήθηκε μια τάση για επιθέσεις μέσω των ΙοT εφαρμογών και συσκευών: στοχεύοντας σε χρήστες που δεν αλλάζουν τα default credentials για την είσοδό τους σε κάποια συσκευή ή εφαρμογή, οι hackers αποκτούν πρόσβαση σε άλλους συνδεδεμένους λογαριασμούς τους αλλά και συσκευές, δημιουργώντας έτσι ένα φαινόμενο ντόμινο στην παραβίαση των δεδομένων.
Σε αυτού του είδους τους κινδύνους εκτεθειμένες βρίσκονται τόσο οι μικρότερες όσο και οι μεγαλύτερες εταιρίες. Τι μπορούν να κάνουν λοιπόν ώστε να περιορίσουν την έκθεσή τους σε αυτού του είδους τους κινδύνους και θωρακιστούν έναντι αυτών;
1. Αναλυτική καταγραφή όλων των συσκευών Internet of Things ώστε να υπάρχει μια πλήρης εικόνα της έκθεσης σε κινδύνους.
2. Εάν μια πλατφόρμα IoT έχει default όνομα χρήστη και κωδικούς, είναι απαραίτητη η άμεση αλλαγή. Οι hackers γνωρίζουν πολύ καλά τις πλατφόρμες και τις συσκευές αυτές και εκεί ακριβώς θα εστιάσουν πρώτα.
3. Η επιλογή του κωδικού θα πρέπει να γίνει προσεκτικά χρησιμοποιώντας τουλάχιστον οκτώ χαρακτήρες, νούμερα, κεφαλαία γράμματα και ειδικούς χαρακτήρες, εφόσον αυτό είναι εφικτό.
4. Οι κωδικοί θα πρέπει να αλλάζουν συχνά και να μην χρησιμοποιούνται σε άλλες πλατφόρμες ή συσκευές.
5. Θα πρέπει να προγραμματίζονται τακτικοί έλεγχοι ασφάλειας και updates στις συσκευές.
6. Καλό είναι να απενεργοποιείται ο απομακρυσμένος έλεγχος συσκευών, εφόσον δεν κρίνεται απολύτως απαραίτητος.
7. Οι ρυθμίσεις των συσκευών πρέπει να είναι τέτοιες ώστε να επιτρέπονται μόνο ασφαλείς συνδέσεις με άλλες συσκευές και χρήστες.
8. Να μην επιτρέπεται το universal plug & play σε συσκευές ΙοΤ.
9. Να χρησιμοποιούνται ασφαλή πρωτόκολλα για την επικοινωνία μεταξύ των συσκευών, όπου είναι αυτό εφικτό, όπως το HTTPS και το SSH.
10. Να περιλαμβάνονται οι ΙοΤ συσκευές στους τακτικούς ελέγχους αξιολόγησης και διαχείρισης κινδύνων.
Όταν μια επιχείρηση ή εργαζόμενοί της πέφτουν θύματα διαδικτυακής επίθεσης, δεν τίθενται σε κίνδυνο μόνο τα δεδομένα. Σε ένα περιβάλλον με συνεχείς αλλαγές, μια τέτοιας φύσης επίθεση μπορεί να προκαλέσει ζημιές στην περιουσία, στην παροχή υπηρεσιών ή και στους ίδιους τους πελάτες μιας επιχείρησης.
Γι’ αυτό είναι και σημαντικό να παίρνουμε προληπτικά μέτρα ελέγχου των κινδύνων, κατάλληλα ασφαλιστικά προγράμματα και τους σωστά καταρτισμένους συνεργάτες για να μας καθοδηγούν προτού συμβεί μια επίθεση.
Για περισσότερες πληροφορίες σχετικά με τη διαχείριση των ηλεκτρονικών και διαδικτυακών κινδύνων επισκεφτείτε την ιστοσελίδα http://www.aig.com.gr/CyberEdge.