Ρήγμα Ασφαλείας Μέρος 1ο.

Ως Ρήγμα Ασφαλείας ορίζουμε κατα κύριο λόγο, οποιοδήποτε κενό υπάρχει στο συνολικό σχεδιασμό ασφαλείας μιας υποδομής. Η υποδομή αυτή μπορεί να είναι κάποιο κτήριο, κάποιες εγκαταστάσεις μεγάλης σημασίας (δημόσιες υπηρεσίες – μνημεία κλπ), ακόμη και άυλες υποδομές όπως πληροφορίες (προσωπικά στοιχεία χρηστών, οικονομικά δεδομένα λογαριασμών κλπ). Συνήθως, λόγω ευρωπα’ι’κών προδιαγραφών αλλα και επειδή ζούμε σε μια σύγχρονη κοινωνία, προβλέπεται να αναπτύσσεται ένα πλάνο για την προστασία υποδομών όπως οι παραπάνω. Γι’ αυτό συνήθως κάθε οργανισμός, κάθε εταιρία (δημόσια ή μή), έχει έναν Υπεύθυνο Ασφαλείας, δηλαδή κάποιον ο οποίος διαθέτει τις απαραίτητες γνώσεις και μπορεί να σχεδιάσει και να συντηρήσει σε βάθος χρόνου, τις στρατηγικές οι οποίες θα διασφαλίσουν την σωστή λειτουργία του οργανισμού, απο διάφορες εξωτερικές απειλές. Αυτές οι στρατηγικές είναι μέρος του «Εσωτερικού Κανονισμού Ασφαλείας», ο οποίος είναι συνήθως ένα λεπτομερές βιβλίο το οποίο πρέπει να έχουν διαβάσει όλα τα στελέχη και οι εργαζόμενοι.

Έκανα  λόγο πρίν για εξωτερικές απειλές.. Μόνο εξωτερικές είναι οι απειλές? Οι κίνδυνοι δεν είναι μόνο εκτός οργανισμού αλλα και εσωτερικοί. Συνήθως οι τρομοκράτες και γενικά όποιοι προσπαθούν να προκαλέσουν καταστροφές σε οργανισμούς, χωρίζονται σε 2 είδη, κατα κάποιον τρόπο. Οι χαζοί ας πούμε, οι οποίοι απλά θα σκεφτούν να φτιαξουν μια βόμβα και να τη βάλουν σε ένα αυτοκίνητο έξω απο τα γραφεία μιας εταιρίας, οπότε και η ζημιά που θα προκληθεί, θα είναι απλά η καταστροφή κάποιων αυτοκινήτων και πιθανότατα ο τραυματισμός κάποιου περαστικού. Το δεύτερο είδος, είναι οι έξυπνοι τρομοκράτες. Εκείνοι μελετούν τον στόχο πρωτού χτυπήσουν, και ψάχνουν να εκμεταλλευτούν τις ήδη υπάρχουσες αδυναμίες, ένα οποιοδήποτε Ρήγμα Ασφαλείας λοιπόν, με βάση το οποίο με τα λιγότερα μέσα, θα επιτύχουν τη μεγαλύτερη δυνατή καταστροφή. Το δεύτερο είδος τρομοκρατών λοιπόν, θα προσπαθήσει να παρακολουθήσει με οποιοδήποτε τρόπο τη λειτουργία του οργανισμού – στόχου, προκειμένου να βρεί σφάλματα που να μπορεί να εκμεταλλευτεί. Ο σκοπός του δεν είναι να βάλει απλά μια βόμβα σε ένα αυτοκίνητο, αλλα να βάλει τη βόμβα μέσα στα γραφεία του οργανισμού. Πρέπει λοιπόν να περάσει τα συστήματα ασφαλείας που υπάρχουν, απο πλευράς φυσικής φύλαξης. Τί θα κάνει λοιπόν? Θα παρατηρήσει τον τρόπο που λειτουργεί το προσωπικό ασφαλείας και κυρίως, οι υπάλληλοι του οργανισμού – στόχου. Ένα ιδιαίτερα αποδοτικό Ρήγμα Ασφαλείας, μπορεί να προκληθεί απο τις βασικές ανάγκες του προσωπικού που εργάζεται στον οργανισμό. Ας πάρουμε για παράδειγμα την πείνα. Είναι λογικό κάποιος ο οποίος δουλεύει υπερωρίες ημέρα ή και νύχτα, να πεινάσει και να θέλει να τραφεί. Φυσικά λοιπόν θα ακολουθήσει την εύκολη λύση, η οποία είναι να παραγγείλει φαγητό απο κάποια τοπική ψησταριά ας πούμε.

Μπορεί να το κάνει αυτό όλες τις ώρες? Όχι. Ποτέ δεν παραγγέλνουμε φαγητά, μέσα στον οργανισμό που δουλεύουμε. Η συνταγή για την καταστροφή είναι απλή, ένα κινητό τηλέφωνο με καλή κάμερα, ένας έγχρωμος εκτυπωτής, ένας υπολογιστής, και λίγο χαρτόνι. Αυτά χρειάζονται. Ετσι, μπορεί κάποιος τρομοκράτης, να μάθει απο ποια ψησταριά παραγγέλνουν συνήθως οι υπάλληλοι του οργανισμού, να αγοράσει ένα πακέτο με φαγητό απο την ψησταριά, να βγάλει φωτογραφίες με το κινητό το πακέτο, να το εκτυπώσει με έγχρωμο εκτυπωτή επάνω στο χαρτόνι, να φτιάξει έτσι ένα δικό του πακέτο, και να βάλει μέσα όχι φαγητό αλλα εκρηκτικά και μερικά ρουλεμάν, για να γίνει πιο αποτελεσματική η ενέργεια του. Τότε οι υπάλληλοι του οργανισμού θα παραλάβουν το πακέτο απο τον δήθεν ντελίβερι, θα το ανοίξουν και θα γίνουν κομμάτια. Εκτός απο ανθρώπινες ζωές, αυτό θα κοστίσει και σε κρίσιμες υποδομές, άν καταστραφούν υπολογιστές και σκληροί δίσκοι, θα πληγεί το κύρος του οργανισμού αλλα και της εταιρίας security που έχει αναλάβει τη φύλαξη. Τι θα μπορούσε να γίνει? Απλά οι υπάλληλοι του οργανισμού, να δώσουν την παραγγελία, και να πάει κάποιος υπάλληλος να παραλάβει το πακέτο με το φαγητό ο ίδιος. Χωρίς να δώσει στοιχεία για το πώς τον λένε και πού δουλεύει, αφού κάτι τέτοιο θα μπορούσε να οδηγήσει στη στοχοποίησή του. Βλέπουμε λοιπόν, οτι αν και υπάρχουν οι υποδομές ασφαλείας, συχνά αυτές καταστρατηγούνται απο το ανθρώπινο δυναμικό, το οποίο όπως θα λέγαμε στα αγγλικά, δέν είναι Security Aware. Δεν έχει δηλαδή την ασφάλεια ως κύριο γνώμονα του.

Οι λεπτομέρειες πάντα, είναι εκείνες που κάνουν τη διαφορά. Πρέπει λοιπόν να μπορούμε όσο γίνεται, να προσέχουμε τις λεπτομέρειες, για να έχουμε μια ελπίδα να προλάβουμε τα χειρότερα. Μια καταστροφή οποιουδήποτε είδους, πάντα θα συμβεί. Αυτό είναι δεδομένο. Το θέμα είναι να έχουμε δουλέψει με τέτοιο τρόπο, ώστε ή να περιορίσουμε το ρίσκο και τα καταστροφικά αποτελέσματα (Risk and Devastating Results Mitigation), ή να ανακάμψουμε γρηγορότερα (Disaster Recovery). Δώστε προσοχή στις λεπτομέρειες.

Advertisements

Σχολιάστε

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s