How to embrace Business as Un-usual & be fine!

Τα αρχικά BCP (Business Continuity Planning) είναι εδώ και χρόνια συνυφασμένα με το σύγχρονο και ώριμο επιχειρείν & να που με τα τελευταία γεγονότα σταμάτησαν να αποτελούν απλά ένα buzzword. Τι συμβαίνει, όμως, όταν το πολυπόθητο business continuity εξαρτάται από το αντίστοιχο planning άλλων επιχειρήσεων; Σήμερα που  βασιλεύει η τηλεργασία,  τι μέλει γενέσθαι;

Τoυ Γιάννη Παυλίδη,

ICT & Cybersecurity Solutions Architect, Algosystems

Μία επιχείρηση που διέθετε/διαθέτει σχέδιο δράσης για περιπτώσεις ανωτέρας βίας είναι ευλόγως και (σχεδόν…) έτοιμη να δεχτεί και το αντίστοιχο impact. Ελάχιστοι, όμως, είχαν προβλέψει, έστω και με μηδαμινή πιθανότητα, την πραγματικότητα μιας πανδημίας και τις αναπόφευκτες αλλαγές στο Business as Usual.

Στην Algosystems, από τις πρώτες μέρες της πανδημίας, η Διοίκηση κίνησε όλους τους εσωτερικούς μηχανισμούς, μεριμνώντας για τους Υπαλλήλους και για τους Πελάτες…να προστατευτεί η Οικογένεια δηλαδή. Ευτυχώς, λόγω φύσεως του αντικειμένου, οι περισσότερες θέσεις εργασίας ήταν εύκολο να καλυφθούν remotely. H μεγαλύτερη πρόκληση όμως ήταν τα τμήματα 24ώρης παρακολούθησης & υποστήριξης πελατών, όπως το SOC και το NOC, καθώς και το τμήμα της Μετρολογίας, που απαιτεί ειδικό εξοπλισμό. Η άσκηση σίγουρα δεν ήταν απλή, παρόλα αυτά με την καθοδήγηση της Incident Response Team το 90% της εταιρίας #έμεινεΣπίτι σε σύντομο χρονικό διάστημα. Το έργο που εκτελέστηκε περιελάβανε την οργάνωση, την ενημέρωση του προσωπικού και την επιβεβαίωση των μέτρων ασφαλείας, διαδικασία που έκρυβε εκπλήξεις και προκλήσεις, αλλά κύλησε ομαλά και  γρήγορα – άλλωστε η τεχνολογία και η τεχνογνωσία ήταν ήδη διαθέσιμες.
Εξετάζοντας το θέμα και με μια διευρυμένη ματιά, κατά ένα πολύ μεγάλο ποσοστό, το προσωπικό των επιχειρήσεων εργάζεται απομακρυσμένα. Εκτός των κοινωνικών προκλήσεων που επιφέρει αυτό, ενέχει φυσικά και information security challenges, διόλου ευκαταφρόνητα και ίσως πρωτοφανή για ορισμένους οργανισμούς. Για παράδειγμα, ένας οργανισμός με πολιτική απαγόρευσης του remote access, τώρα θα βρίσκεται στην αντίπερα όχθη, με το προσωπικό να (πρέπει να) βρίσκεται εκτός γραφείου και σε πολλές περιπτώσεις με ιδιόκτητες, προσωπικές συσκευές (η γνωστή κατάσταση BYOD – Bring Your Own Device). Γιατί BYOD; Είναι γεγονός πως από τις πρώτες κινήσεις που προέβησαν πολλές επιχειρήσεις ήταν η προμήθεια laptops για να απομακρύνουν γρήγορα τους χρήστες. Αυτή η μαζική ζήτηση οδήγησε σε γενική έλλειψη των laptops, κάτι το οποίο κλιμάκωσε και τις κατά συρροή διαρρήξεις σε εταιρίες, γραφεία και εταιρικά αυτοκίνητα με σκοπό την κλοπή των πολύτιμων αυτών πλέον αγαθών.

Ξαφνικά το Work from Home (WFM) και BYOD έγιναν από εξαίρεση, μεγάλο μέρος του κανόνα.

Στη νέα αυτή πραγματικότητα, το selling point «δεν υπάρχει περίμετρος» έχει μεγαλύτερη υπόσταση από ποτέ. O κάθε χρήστης έχει στα χέρια του τουλάχιστον μια συσκευή με πρόσβαση σε emails, εταιρικά δεδομένα και cloud services. Επίσης, η πλειοψηφία καλείται να έχει και τηλεφωνία, ERP, CRM, BI και κάθε άλλο extra που «απολάμβανε» όντας στο γραφείο, συνεπώς αποτελεί απαραίτητο συστατικό της Επιχειρησιακής Συνέχειας. Σε όλο αυτό οφείλουμε να προσθέσουμε και το πόσο απότομα αναγκάστηκε η αγορά να μεταφέρει εκτός της ασφαλής ζώνης (LAN) όλες αυτές τις υπηρεσίες, ώστε να εξυπηρετήσει τους χρήστες, χρησιμοποιώντας επισφαλή κανάλια (VPN-less, over Internet, κλπ.).

Αν το δούμε λοιπόν από αυτή τη σκοπιά, καταλαβαίνουμε ότι οι παράγοντες χρήστης και τερματικό (endpoint) έχουν αυτή τη στιγμή την πλέον ιδιάζουσα σημασία στο security posture κάθε επιχείρησης.

Απομακρυνόμαστε, δηλαδή, από το physical firewall και οδηγούμαστε στο Endpoint & Human «firewall».

Αυτά τα δύο αποτελούν πλέον και το μεγαλύτερο attack surface, εξαρτώμενο από οικιακά security practices και προσωπικές συσκευές.

Ξαναγυρνώντας στην Algosystems, η Secure «συνταγή» που συστήνουμε ανεπιφύλαχτα περιλαμβάνει:

• Πρόσβαση σε εταιρικούς πόρους μόνο μέσω VPN, η κρυπτογραφημένη επικοινωνία θέτει την βάση για την ασφάλεια μας
• Κρυπτογράφηση σκληρού δίσκου & USB συσκευών αποθήκευσης, για να διασφαλίσουμε τα at rest δεδομένα μας
• Mobile Device Management (MDM), για επέκταση των πολιτικών ασφαλείας και στις κινητές συσκευές, ειδικά όπου υπάρχει BYOD λογική
• Strong Authentication (2FA), για να διασφαλίζουμε ότι ο χρήστης που κάνει login απομακρυσμένα στους πόρους μας είναι όντως ο εταιρικός μας χρήστης
• Next Generation Endpoint Security, τα malware μεταλλάσσονται ανά περίπτωση, οπότε οι δυνατότητες Endpoint Detection & Response (EDR) και Sandboxing είναι επιτακτικές
• Web/DNS filtering, για την προστασία από επίσκεψη, ακούσια ή όχι, σε κατηγορίες που δεν επιθυμούμε, όπως Shadow IT, ή σε υπηρεσίες που κρύβουν κάτι κακόβουλο
• Data Loss Protection, για να καταγράψουμε και να αποτρέψουμε κάποιο ενδεχόμενο data leakage
• την 24ώρη φροντίδα της Ομάδας SOC, έτοιμη να ειδοποιήσει και να παρέμβει όπου χρειαστεί

Και πάνω απ’ όλα Ενημέρωση και Εκπαίδευση! Αποδεδειγμένα ο ανθρώπινος παράγοντας αποτελεί είτε μεγάλο asset, ή μεγάλο κενό. Από πρόσφατες έρευνες βλέπουμε ότι το τελευταίο διάστημα έχουν αγοραστεί χιλιάδες corona-inspired domains, τα οποία είναι «έτοιμα» να χρησιμοποιηθούν για σκοπούς phishing, spam κλπ. Συνεπώς, οι χρήστες μας θα πρέπει να είναι έτοιμοι να ξεχωρίσουν ένα phishing ή spear phishing email, αλλά και αν κάτι γενικώς δεν πάει καλά να σκεφτούν, για παράδειγμα, να επικοινωνήσουν με τον αποστολέα για επιβεβαίωση, ή τουλάχιστον να το αναφέρουν στη Μηχανογράφηση ή το τμήμα Ασφάλειας Πληροφοριών της εταιρίας. Προφανώς, ενδέχεται οι χρήστες μας να χρησιμοποιούν την εταιρική συσκευή και για άλλες, προσωπικές ασχολίες. Πόσος χρόνος θα χρειαστεί νομίζετε μέχρι να έρθουν αντιμέτωποι με ένα phishing campaign για remote μαθήματα για παράδειγμα;

Για τις πιο οργανωμένες επιχειρήσεις, με σχέδια διαχείρισης, δράσης, ανάκαμψης κλπ., έχει αξία να σημειωθεί πως το Risk Assessment που προϋπήρχε θα πρέπει να επαναξιολογηθεί, σε κάποιες περιπτώσεις, κι από το μηδέν. Πολλά από τα σενάρια που είχαν αξιολογηθεί, έχουν μεταβληθεί και πιθανά να πρέπει να γίνουν άμεσες διορθωτικές ενέργειες.

Σε κάθε un-usual σενάριο, η ουσία οφείλει να παραμένει η ίδια, ακόμα και όταν οι συνθήκες διαφέρουν. Διασφαλίζουμε τους πόρους, τα δεδομένα, τα μηχανήματα και τους ανθρώπους. Τα διασφαλίζουμε επαρκώς, όπου και αν βρίσκονται, μιας και αποτελούν τα κομμάτια του παζλ της Επιχείρησης, συνέχεια… Ο σκοπός δεν είναι να περιορίσουμε τους χρήστες, αλλά να τους επιτρέψουμε να συνεχίσουν να εργάζονται όπως πριν, χωρίς να προσθέτουν επιπλέον ρίσκο στην καθημερινότητα της επιχείρησης.

Κλείνοντας, μόνο εικασίες μπορούμε να κάνουμε για το πόσο καιρό θα κρατήσει ακόμα αυτή η κατάσταση, ή με ποια μέθοδο θα βγούμε από αυτήν. Συνεχίζουμε λοιπόν να «κολυμπάμε στα βαθιά» (πιθανή νοσταλγική αναφορά και στο καλοκαίρι!) και #ΜένουμεΑσφαλείς.