Γιώργος
Ιωσηφίδης
Μαρ 29, 6:09μμ
Στις αρχές της περασμένης δεκαετίας, και πιο συγκεκριμένα το 2011, ένας χρήστης του Reddit ονόματι Ismail Jadun επινόησε το κόνσεπτ της Παγκόσμιας Ημέρας Δημιουργίας Αντιγράφων Ασφαλείας (World Backup Day), αφού πρώτα είχε δει μία ανάρτηση στο Reddit ενός άλλου χρήστη που εξέφραζε την επιθυμία να του υπενθυμίζεται να δημιουργεί τακτικά αντίγραφα ασφαλείας των δεδομένων του.
Σήμερα, πάνω από μία δεκαετία μετά, κάθε αναλυτής, τεχνικός σύμβουλος και πάροχος ή προμηθευτής υπηρεσιών και λύσεων κυβερνοασφαλείας και αντιγράφων ασφαλείας προσπαθεί να υπενθυμίζει στις εταιρείες και στους οργανισμούς πόσο πολύτιμα είναι τα δεδομένα τους και των πελατών τους (καταναλωτών) και πόσο σπουδαίο είναι να έχουν την ικανότητα της ανάκτησης τους ανά πάσα στιγμή.
Παράλληλα, υπάρχουν πλέον αυστηροί κανονισμοί και νόμοι (όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων της Ευρωπαϊκής Ένωσης, γνωστός και ως GDPR), σύμφωνα με τους οποίους οι εταιρείες και οι οργανισμοί οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση τους (π.χ. μέσα από μία σειρά εργαλείων που τους επιτρέπει να αποδεικνύουν λογοδοσία και τίθενται σε εφαρμογή υποχρεωτικά). Σε διαφορετική περίπτωση, οι απώλειες, όπως οι οικονομικές (π.χ. εξαιτίας του χαμένου χρόνου αποκατάστασης ή και του χρόνου διακοπής λειτουργίας, της πληρωμής προστίμων που μπορούν να είναι εξουθενωτικά, της πληρωμής αποζημιώσεων σε πελάτες που θα κινηθούν νομικά κ.ά.) μπορεί να είναι τεράστιες. Προσθέστε τώρα τις απώλειες στην χρηματιστηριακή της αξία, τη βλάβη που θα υποστεί η φήμη της μετά τη γνωστοποίηση του γεγονότος (της απώλειας ή παραβίασης δεδομένων) και τις απώλειες πελατών και έχετε ένα «εκρηκτικό σενάριο» που μπορεί να κλονίσει τα θεμέλια ακόμα και της μεγαλύτερης επιχείρησης.
Τα εταιρικά δεδομένα ποικίλλουν, από μηνύματα ηλεκτρονικού ταχυδρομείου και έγγραφα έως εικόνες και βίντεο μέχρι ολόκληρες βάσεις δεδομένων και βρίσκονται παντού ενδιάμεσα. Το σίγουρο είναι ένα: τα δεδομένα είναι το νόμισμα που κάνει την επιχειρηματική σφαίρα να γυρίζει. Στις μέρες μας είναι δύσκολο να βρεθεί μία εταιρεία, όσο μικρή και αν είναι, που να μην προστατεύει τα δεδομένα της με κάποιο τρόπο, ωστόσο πολλές αγνοούν ότι δεν αρκεί ένα απλό «backup» σε φυσικές μονάδες ή σε κάποια πλατφόρμα αποθηκευτικού νέφους.
Τα δεδομένα είναι ο πυρήνας μίας επιχείρησης, αποτελούν βασικό και στρατηγικό πόρο και η προστασία τους (από τη μη εξουσιοδοτημένη πρόσβαση, από επιθέσεις ransomware, ή ακόμα και από αστοχίες στο λογισμικό και στο υλικό κ.ά.) είναι κρίσιμης σημασίας.
Λάβετε υπόψη σας το εξής: Όταν τα αντίγραφα ασφαλείας δεν είναι κρυπτογραφημένα, βρίσκονται σε διαρκή κίνδυνο. Σκεφτείτε μόνο το εξής: οι εισβολείς κατά την πραγματοποίηση μίας κυβερνοεπίθεσης όχι μόνο θα μπορούσαν να διαβάσουν (και επομένως να υποκλέψουν) τα δεδομένα αλλά θα είχαν και τη δυνατότητα να εισάγουν κακόβουλο λογισμικό στα αντίγραφα ασφαλείας. Με αυτόν τον τρόπο, διασφαλίζουν ότι σε περίπτωση που η εταιρεία αρνηθεί να πληρώσει τα λύτρα (π.χ. σε κάποια επίθεση ransomware) τα συστήματα της θα επαναμολυνθούν μετά την ανάκτηση των δεδομένων χρησιμοποιώντας τα μολυσμένα αντίγραφα ασφαλείας της. Έτσι, οι κυβερνοεγκληματίες έχουν τη δυνατότητα να επαναδιαπραγματευθούν τα λύτρα, έχοντας περισσότερες πιθανότητες αυτή τη φορά να ικανοποιηθούν οι απαιτήσεις τους.
Η κρυπτογράφηση των αντιγράφων ασφαλείας για τις εταιρείες και τους οργανισμούς, δεν αποτελεί απλώς μία βέλτιστη πρακτική στις μέρες μας, αλλά και απαραίτητη προϋπόθεση για πολλές ασφαλιστικές εταιρείες που δραστηριοποιούνται στον χώρο (και στις οποίες καταφεύγουν οι οργανισμοί για να καλύψουν μέρος των απωλειών από μία κυβερνοεπίθεση). Άλλα προαπαιτούμενα για τις ασφαλιστικές εταιρείες (που δεν πρέπει να συγχέονται με τις εταιρείες παροχής λύσεων κυβερνοασφάλειας) είναι ο έλεγχος ταυτότητας πολλαπλών παραγόντων για παράδειγμα, η χρήση ενός προϊόντος ελέγχου και διαχείρισης των προνομιακών διαπιστευτηρίων, η χρήση μίας λύσης εντοπισμού απειλών και απόκρισης κ.ά.
Όπως και να έχει, η δημιουργία αντιγράφων ασφαλείας για μία επιχείρηση είναι το πρώτο βήμα για να καταστρώσει ένα σχέδιο αποκατάστασης από καταστροφή και μία πρώτη εγγύηση για την επιστροφή της σε κανονική λειτουργία σε περίπτωση κάποιας κυβερνοεπίθεσης ή ενός καταστροφικού συμβάντος (π.χ. φωτιά, πλημμύρα).
To πρώτο πράγμα που πρέπει να κάνουν λοιπόν σήμερα οι διαχειριστές και οι ηγέτες πληροφορικής είναι να ελέγξουν τις διαδικασίες τους (π.χ. να ελέγξουν ποιες προφυλάξεις λαμβάνονται και ποια είναι τα σχέδια ανάκαμψης σε περίπτωση απώλειας ή κλοπής δεδομένων, επίθεσης ransomware κ.λπ.) και τα αντίγραφα ασφαλείας τους (π.χ. να προχωρήσουν στη σάρωση τους για κακόβουλο λογισμικό). Και αυτό σήμερα κιόλας, την Παγκόσμια Ημέρα Δημιουργίας Αντιγράφων Ασφαλείας.
Σήμερα, πάνω από μία δεκαετία μετά, κάθε αναλυτής, τεχνικός σύμβουλος και πάροχος ή προμηθευτής υπηρεσιών και λύσεων κυβερνοασφαλείας και αντιγράφων ασφαλείας προσπαθεί να υπενθυμίζει στις εταιρείες και στους οργανισμούς πόσο πολύτιμα είναι τα δεδομένα τους και των πελατών τους (καταναλωτών) και πόσο σπουδαίο είναι να έχουν την ικανότητα της ανάκτησης τους ανά πάσα στιγμή.
Παράλληλα, υπάρχουν πλέον αυστηροί κανονισμοί και νόμοι (όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων της Ευρωπαϊκής Ένωσης, γνωστός και ως GDPR), σύμφωνα με τους οποίους οι εταιρείες και οι οργανισμοί οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση τους (π.χ. μέσα από μία σειρά εργαλείων που τους επιτρέπει να αποδεικνύουν λογοδοσία και τίθενται σε εφαρμογή υποχρεωτικά). Σε διαφορετική περίπτωση, οι απώλειες, όπως οι οικονομικές (π.χ. εξαιτίας του χαμένου χρόνου αποκατάστασης ή και του χρόνου διακοπής λειτουργίας, της πληρωμής προστίμων που μπορούν να είναι εξουθενωτικά, της πληρωμής αποζημιώσεων σε πελάτες που θα κινηθούν νομικά κ.ά.) μπορεί να είναι τεράστιες. Προσθέστε τώρα τις απώλειες στην χρηματιστηριακή της αξία, τη βλάβη που θα υποστεί η φήμη της μετά τη γνωστοποίηση του γεγονότος (της απώλειας ή παραβίασης δεδομένων) και τις απώλειες πελατών και έχετε ένα «εκρηκτικό σενάριο» που μπορεί να κλονίσει τα θεμέλια ακόμα και της μεγαλύτερης επιχείρησης.
Τα εταιρικά δεδομένα ποικίλλουν, από μηνύματα ηλεκτρονικού ταχυδρομείου και έγγραφα έως εικόνες και βίντεο μέχρι ολόκληρες βάσεις δεδομένων και βρίσκονται παντού ενδιάμεσα. Το σίγουρο είναι ένα: τα δεδομένα είναι το νόμισμα που κάνει την επιχειρηματική σφαίρα να γυρίζει. Στις μέρες μας είναι δύσκολο να βρεθεί μία εταιρεία, όσο μικρή και αν είναι, που να μην προστατεύει τα δεδομένα της με κάποιο τρόπο, ωστόσο πολλές αγνοούν ότι δεν αρκεί ένα απλό «backup» σε φυσικές μονάδες ή σε κάποια πλατφόρμα αποθηκευτικού νέφους.
Τα δεδομένα είναι ο πυρήνας μίας επιχείρησης, αποτελούν βασικό και στρατηγικό πόρο και η προστασία τους (από τη μη εξουσιοδοτημένη πρόσβαση, από επιθέσεις ransomware, ή ακόμα και από αστοχίες στο λογισμικό και στο υλικό κ.ά.) είναι κρίσιμης σημασίας.
Ζωτικής σημασίας η προστασία των δεδομένων από απώλεια
Από το 2011 μέχρι σήμερα, τόσο το επιχειρηματικό τοπίο όσο και το τοπίο της κυβερνοασφάλειας έχει αλλάξει ριζικά. Οι κυβερνοεπιθέσεις είναι καλά τεκμηριωμένο ότι βρίσκονται στο καθημερινό… πρόγραμμα για πολλούς οργανισμούς και είναι περισσότερο εξελιγμένες από ποτέ. Όχι μόνο απειλούν τα δεδομένα που μεταφέρονται/χρησιμοποιούνται σε καθημερινή βάση αλλά ακόμα και τα αντίγραφα ασφαλείας τους. Να σας δώσουμε ένα παράδειγμα; Πόσοι οργανισμοί ή εταιρείες κρυπτογραφούν τα δεδομένα τους; Πόσοι από αυτούς άραγε κρυπτογραφούν και τα αντίγραφα ασφαλείας τους; Μπορεί η κρυπτογράφηση των δεδομένων να «απαιτεί» πόρους (π.χ. σε επεξεργαστική ισχύ, σε χρήματα από τον προϋπολογισμό για το τμήμα πληροφορικής κ.ά.) ωστόσο αποτελεί βέλτιστη πρακτική για τη κυβερνοασφάλεια.
Λάβετε υπόψη σας το εξής: Όταν τα αντίγραφα ασφαλείας δεν είναι κρυπτογραφημένα, βρίσκονται σε διαρκή κίνδυνο. Σκεφτείτε μόνο το εξής: οι εισβολείς κατά την πραγματοποίηση μίας κυβερνοεπίθεσης όχι μόνο θα μπορούσαν να διαβάσουν (και επομένως να υποκλέψουν) τα δεδομένα αλλά θα είχαν και τη δυνατότητα να εισάγουν κακόβουλο λογισμικό στα αντίγραφα ασφαλείας. Με αυτόν τον τρόπο, διασφαλίζουν ότι σε περίπτωση που η εταιρεία αρνηθεί να πληρώσει τα λύτρα (π.χ. σε κάποια επίθεση ransomware) τα συστήματα της θα επαναμολυνθούν μετά την ανάκτηση των δεδομένων χρησιμοποιώντας τα μολυσμένα αντίγραφα ασφαλείας της. Έτσι, οι κυβερνοεγκληματίες έχουν τη δυνατότητα να επαναδιαπραγματευθούν τα λύτρα, έχοντας περισσότερες πιθανότητες αυτή τη φορά να ικανοποιηθούν οι απαιτήσεις τους.
Η κρυπτογράφηση των αντιγράφων ασφαλείας για τις εταιρείες και τους οργανισμούς, δεν αποτελεί απλώς μία βέλτιστη πρακτική στις μέρες μας, αλλά και απαραίτητη προϋπόθεση για πολλές ασφαλιστικές εταιρείες που δραστηριοποιούνται στον χώρο (και στις οποίες καταφεύγουν οι οργανισμοί για να καλύψουν μέρος των απωλειών από μία κυβερνοεπίθεση). Άλλα προαπαιτούμενα για τις ασφαλιστικές εταιρείες (που δεν πρέπει να συγχέονται με τις εταιρείες παροχής λύσεων κυβερνοασφάλειας) είναι ο έλεγχος ταυτότητας πολλαπλών παραγόντων για παράδειγμα, η χρήση ενός προϊόντος ελέγχου και διαχείρισης των προνομιακών διαπιστευτηρίων, η χρήση μίας λύσης εντοπισμού απειλών και απόκρισης κ.ά.
Όπως και να έχει, η δημιουργία αντιγράφων ασφαλείας για μία επιχείρηση είναι το πρώτο βήμα για να καταστρώσει ένα σχέδιο αποκατάστασης από καταστροφή και μία πρώτη εγγύηση για την επιστροφή της σε κανονική λειτουργία σε περίπτωση κάποιας κυβερνοεπίθεσης ή ενός καταστροφικού συμβάντος (π.χ. φωτιά, πλημμύρα).
To πρώτο πράγμα που πρέπει να κάνουν λοιπόν σήμερα οι διαχειριστές και οι ηγέτες πληροφορικής είναι να ελέγξουν τις διαδικασίες τους (π.χ. να ελέγξουν ποιες προφυλάξεις λαμβάνονται και ποια είναι τα σχέδια ανάκαμψης σε περίπτωση απώλειας ή κλοπής δεδομένων, επίθεσης ransomware κ.λπ.) και τα αντίγραφα ασφαλείας τους (π.χ. να προχωρήσουν στη σάρωση τους για κακόβουλο λογισμικό). Και αυτό σήμερα κιόλας, την Παγκόσμια Ημέρα Δημιουργίας Αντιγράφων Ασφαλείας.
Μέτρα ασφαλείας
Μία επιχείρηση μπορεί να προχωρήσει στη δημιουργία αντιγράφων ασφαλείας των δεδομένων της με διάφορους τρόπους όπως με τη χρήση φυσικών συσκευών δημιουργίας αντιγράφων ασφαλείας (π.χ. μπακαπιέρες τις λένε ορισμένοι) ή με τη χρήση κάποιας πλατφόρμας αποθηκευτικού νέφους (cloud storage) ή ενδεχομένως ενός συνδυασμού και των δύο παραπάνω λύσεων (κυρίως στην περίπτωση διαφοροποιημένων δεδομένων). Στην πρώτη περίπτωση, τα αντίγραφα ασφαλείας θα πρέπει να βρίσκονται σε διαφορετική συσκευή/μηχάνημα από τα πρωτότυπα αντίγραφα και ιδανικά σε διαφορετική τοποθεσία, η οποία μάλιστα καλό είναι βρίσκεται σε μεγάλη απόσταση (για να καλυφθεί και η πιθανότητα φυσικής καταστροφής της βασικής τοποθεσίας, όπως για παράδειγμα από φωτιά ή από πλημμύρα κ.ά.). Φυσικά, είναι καλό -αν όχι απαραίτητο- τα αντίγραφα ασφαλείας να είναι κρυπτογραφημένα για όλους τους λόγους που περιγράψαμε παραπάνω. Στη περίπτωση της χρήσης ενός προϊόντος αποθηκευτικού νέφους, θα πρέπει να ζητήσετε εγγυήσεις από τον πάροχο της υπηρεσίας αποθηκευτικού νέφους ότι διαθέτει όλα τα απαραίτητα μέτρα ασφαλείας για την φύλαξη και τη προστασία των δεδομένων της επιχείρησης σας και ότι διατηρούνται ιδιωτικά (και σε αυτή τη περίπτωση, η κρυπτογράφηση είναι απολύτως απαραίτητη). Περιττό να αναφέρουμε ότι έχετε ήδη εφαρμόσει κάποια λύση ελέγχου της πρόσβασης (π.χ. μία λύση διαχείρισης της προνομιακής πρόσβασης) και χρησιμοποιείτε ισχυρούς κωδικούς σε συνδυασμό με μία μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων. Λάβετε επίσης υπόψη σας τη περίπτωση να αξιοποιήσετε μία ακόμα φυσική συσκευή αντιγράφων ασφαλείας για λόγους πλεονασμού (αλλιώς redundancy) σε περίπτωση που η βασική σας συσκευή αστοχήσει ή καταστραφεί (π.χ. από κάποιο φυσικό φαινόμενο).Ο κανόνας 3-2-1
Κρυπτογράφηση
Είναι τα αντίγραφα ασφαλείας κρυπτογραφημένα; Αν δεν είναι, θα πρέπει να σκεφτείτε να ενσωματώσετε, καθώς είναι βέλτιστη πρακτική, την κρυπτογράφηση στις διαδικασίες σας. Σκεφτείτε να συμβεί οτιδήποτε, όπως για παράδειγμα να γίνει κάποια παραβίαση στον πάροχο υπηρεσιών αποθηκευτικού νέφους σας ή να κλαπούν. Σε αυτή τη περίπτωση, αν δεν είναι κρυπτογραφημένα, η επιχείρηση σας θα βρεθεί αντιμέτωπη με πολλούς κινδύνους, συμπεριλαμβανομένων απωλειών στη φήμη της επιχείρησης, τεράστιων (έως αβάσταχτων) προστίμων εξαιτίας της νομοθεσίας περί προστασίας των προσωπικών δεδομένων, της κλοπής εμπορικών μυστικών κ.ά.
