Κρυπτογράφηση δεδομένων: Η τελευταία γραμμή άμυνας των εταιρικών δικτύων

Oι ελληνικές εταιρείες ακολουθώντας τις διεθνείς τάσεις στα ζητήματα δικτυακής ασφάλειας, θα πρέπει να εξετάσουν τη λύση της κρυπτογράφησης προκειμένου να εξασφαλίσουν ότι τα απόρρητα δεδομένα που διατηρούν θα παραμείνουν απόρρητα ακόμα και αν κάποιος αποκτήσει πρόσβαση σε αυτά.

Η εξασφάλιση του απόρρητου των ηλεκτρονικών δεδομένων συνιστά σήμερα έναν καθοριστικό παράγοντα επιτυχίας και βιωσιμότητας επιχειρήσεων και κάθε είδους Οργανισμών, οι οποίοι προκειμένου να αποδώσουν τα μέγιστα μέσα σε ένα περιβάλλον ανταγωνισμού (πολλές φορές και αθέμιτου) θα πρέπει να εξασφαλίσουν ότι το σύνολο των δεδομένων που διακινούν και επεξεργάζονται τα στελέχη τους (στη συντριπτική τους πλειοψηφία ηλεκτρονικά), θα διατηρηθούν απόρρητα και ότι κανένα μη εξουσιοδοτημένο άτομο δεν θα αποκτήσει πρόσβαση σε αυτά.

Είναι πολλές οι περιπτώσεις όπου Οργανισμοί υπέστησαν τεράστια ζημιά από ανταγωνιστές τους, οι οποίοι χρησιμοποιώντας ειδικές μεθόδους διείσδυσης απέκτησαν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, τα οποία στη συνέχεια εκμεταλλεύτηκαν προξενώντας σημαντική ζημιά στον πληγέντα Οργανισμό. Από τα παραπάνω προκύπτει ότι στα πλαίσια της ελεύθερης αγοράς και του ανταγωνισμού έχει δημιουργηθεί ένα «πεδίο μάχης» με κύριο στόχο των συμμετεχόντων σε αυτό, την απόκτηση του «πλεονεκτήματος» έναντι του αντιπάλου, που θα επιφέρει στη συνέχεια και τα μεγαλύτερα κέρδη. Σε αυτό το πεδίο μάχης η μη εξουσιοδοτημένη πρόσβαση σε αρχεία και δεδομένα ανταγωνιστών παίζει καθοριστικό ρόλο και φυσικά λαμβάνει χώρα σε καθημερινή πλέον βάση. Ίσως δεν θα ήταν υπερβολή να υποστηρίξουμε ότι πλέον η κάθε διαδικτυακή μας δραστηριότητα μπορεί να αποτελέσει αντικείμενο επίθεσης, ειδικά όταν αναφερόμαστε σε εταιρείες και Οργανισμούς οι οποίοι λειτουργούν και αναπτύσσονται σε ένα περιβάλλον ύψιστου ανταγωνισμού.
Παρακάτω αναφέρουμε τις βασικές ηλεκτρονικές απειλές που αντιμετωπίζει σήμερα μία εταιρεία ή ένας Οργανισμός:

Μη εξουσιοδοτημένη πρόσβαση στις πληροφορικές και δικτυακές υποδομές του, με σκοπό την άντληση από τις διατηρούμενες βάσεις δεδομένων, εμπιστευτικών πληροφοριών που σχετίζονται με projects, οικονομικά στοιχεία και γενικότερα δεδομένα τα οποία θα μπορούσαν να βλάψουν τον Οργανισμό με πολλούς τρόπους.
Μη εξουσιοδοτημένη πρόσβαση στις δικτυακές και άλλες κρίσιμες υποδομές, με σκοπό την πλήρη καταστροφή τους.
Δικτυακές επιθέσεις στις διατηρούμενες βάσεις δεδομένων των Οργανισμών, με σκοπό την απόκτηση του συνόλου των στοιχείων που είναι αποθηκευμένα σε αυτές.
Χρήση τεχνικών «κοινωνικής μηχανικής» (social engineering) με σκοπό την απόκτηση πρόσβασης σε διαβαθμισμένες πληροφορίες και προσωπικά δεδομένα ατόμων του Οργανισμού.

Τα παραπάνω αποτελούν ένα αντιπροσωπευτικό δείγμα των απειλών που αντιμετωπίζουν σήμερα οι Οργανισμοί στα πλαίσια της δράσης τους στο «πεδίο μάχης» του ανταγωνισμού.
Μία από τις σημαντικότερες απειλές που αντιμετωπίζουν σήμερα οι Οργανισμοί αφορά στα δίκτυα πληροφοριών τους, καθώς και στα μέσα επικοινωνίας τους. Κάτι τέτοιο είναι λογικό να συμβαίνει, αφού σήμερα το σύνολο των δραστηριοτήτων (οικονομικών και άλλων) ενός Οργανισμού πραγματοποιείται με ηλεκτρονικά μέσα. Τεχνικές αντιμετώπισης των απειλών που παρατέθηκαν ανωτέρω, υπάρχουν φυσικά πολλές και ποικίλες. Πάραυτα, στο θέμα της ασφάλειας των κρίσιμων υποδομών και της εξασφάλισης του απόρρητου των επικοινωνιών, επικρατεί η γενικότερη άποψη ότι παρόλο που η ασφαλής λειτουργία μίας υποδομής μπορεί να είναι αποτέλεσμα καλού σχεδιασμού της δομής της αλλά και χρήσης σωστών εργαλείων ασφάλειας, ποτέ δεν είναι δυνατό να φθάσει σε επίπεδο διασφάλισης της τάξεως του 100%. Τα ίδια ισχύουν και στις τηλεπικοινωνίες, όπου πλέον οι δυνατότητες υποκλοπής συνομιλιών έχουν φθάσει σε τέτοια επίπεδα, ώστε ο μόνος τρόπος για να εξασφαλίσει κάποιος ότι κανένας άλλος δεν τον ακούει πλην του συνομιλητή του, είναι να σταματήσει να μιλάει στο συνομιλητή του από το τηλέφωνο. Φυσικά κάτι τέτοιο αν δεν προξενεί αρκετές δυσλειτουργίες σε κάποιον Οργανισμό, είναι ικανό να προξενήσει ιδιαίτερο προβληματισμό στα στελέχη του, η απόδοση των οποίων θα ήταν αρκετά υψηλότερη αν είχαν τη δυνατότητα να συνομιλούν γνωρίζοντας ότι δεν υπάρχει περίπτωση τρίτος να υποκλέψει το περιεχόμενο της συνομιλίας τους.
Τεχνικές αντιμετώπισης των απειλών που παρατέθηκαν ανωτέρω υπάρχουν φυσικά πολλές και ποικίλες. Αναφέρθηκε και παραπάνω ότι σχετικά με το θέμα της ασφάλειας των κρίσιμων υποδομών και της εξασφάλισης του απόρρητου των επικοινωνιών, επικρατεί η γενικότερη άποψη ότι η ασφαλής λειτουργία μίας υποδομής είναι αποτέλεσμα του καλού σχεδιασμού της, σε συνδυασμό με τη χρήση σωστών εργαλείων ασφάλειας. Αυτό που θα πρέπει να τονιστεί για ακόμα μία φορά είναι το γεγονός ότι όσο άριστα και αν έχει σχεδιάσει κάποιος την υποδομή, έχοντας χρησιμοποιήσει παράλληλα τα σωστά εργαλεία προστασίας, ποτέ δεν θα μπορέσει να εγγυηθεί ότι η ασφάλειά της έχει φθάσει σε επίπεδο 100% και ότι δεν υπάρχει περίπτωση μη εξουσιοδοτημένος χρήστης να αποκτήσει πρόσβαση στα απόρρητα δεδομένα της εταιρείας ή του Οργανισμού. Όσα χρήματα και αν διαθέσει μία εταιρεία, ποτέ κανείς δεν θα της εξασφαλίσει ότι το δίκτυό της είναι ασφαλές σε ποσοστό 100%. Πάντα θα υπάρχουν πιθανότητες (έστω και λίγες αν η δομή του δικτύου είναι σχεδιασμένη με σωστό τρόπο και λαμβάνοντας υπόψη την ασφάλεια), ότι τρίτο άτομο χρησιμοποιώντας κάποια ιδιαίτερη τεχνική θα αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα ευαίσθητα αρχεία της εταιρείας, τα οποία θα εκμεταλλευτεί για ίδιον όφελος. Με άλλα λόγια, όσες προσπάθειες και να καταβληθούν πάντα θα υπάρχει έστω και μία μικρή πιθανότητα ότι τρίτοι με χρήση ειδικών τεχνικών θα αποκτήσουν πρόσβαση σε αρχεία και δεδομένα, που η κάθε εταιρεία θέλει φυσικά να αποφύγει. Ακριβώς στο σημείο αυτό (την εξασφάλιση των δικτύων μίας εταιρείας σε επίπεδο 100%), η κρυπτογράφηση δεδομένων είναι δυνατό να παίξει ένα καθοριστικό ρόλο.
Η κρυπτογράφηση δεδομένων θα μπορούσε να θεωρηθεί ως η «παθητική ασφάλεια» των δικτύων υποδομών πληροφοριακών συστημάτων. Αν τα απόρρητα δεδομένα μίας εταιρείας είναι κρυπτογραφημένα, ακόμα και αν υπάρξει ρήγμα ασφαλείας και μη εξουσιοδοτημένα άτομα αποκτήσουν πρόσβαση σε αυτά, δεν θα είναι δυνατό να τα αξιοποιήσουν, αφού ουσιαστικά δεν θα έχουν πρόσβαση στο περιεχόμενό τους, λόγω του ότι οι πληροφορίες που θα υπάρχουν στα αρχεία θα είναι κρυπτογραφημένες και συνεπώς μη αξιοποιήσιμες. Ουσιαστικά, οι επιτιθέμενοι δεν θα έλθουν ποτέ σε επαφή με το πραγματικό περιεχόμενο των δεδομένων που υπέκλεψαν.
Στο σημείο αυτό θα μπορούσε κάποιος να υποστηρίξει ότι είναι δυνατόν τα κρυπτογραφημένα αρχεία να αποκρυπτογραφηθούν από τους επιτιθέμενους, μέσα από την εφαρμογή ειδικών προγραμμάτων. Συνεπώς η οικειοποίηση ενός τέτοιου μέτρου είναι περιττή. Σε αυτή τη θέση θα μπορούσαν να αντιπαρατεθούν δύο βασικές παράμετροι. Η αποκρυπτογράφηση δεδομένων με επιθετικές τεχνικές, παρόλο που είναι εφικτή, χρειάζεται κατά κανόνα αρκετά μεγάλη επεξεργαστική ισχύ προκειμένου να καταστεί δυνατή. Επίσης ακόμα και αν είναι διαθέσιμη υποδομή τέτοιας ισχύος, η διαδικασία μπορεί να είναι τόσο χρονοβόρα, ώστε ο χρόνος που θα απαιτηθεί για να αποκρυπτογραφηθεί ένα έγγραφο για παράδειγμα, θα είναι αρκετά μεγάλος, με αποτέλεσμα να καταστήσει την πληροφορία που θα εξέλθει από αυτό μη αξιοποιήσιμη. Ας θεωρήσουμε ότι μία εταιρεία έχει αποκτήσει πρόσβαση στον προϋπολογισμό άλλης αντίπαλης εταιρείας. Αν το αρχείο στο οποίο εμπεριέχεται ο προϋπολογισμός είναι κρυπτογραφημένο, η εταιρεία που το έχει υποκλέψει θα χρειαστεί αρκετό χρόνο αλλά και χρηματικούς πόρους προκειμένου να το αποκρυπτογραφήσει. Ο χρόνος που θα χρειαστεί για να το αποκρυπτογραφήσει μπορεί να είναι τόσο μεγάλος ώστε θα καταστήσει αυτή την πληροφορία μη αξιοποιήσιμη, δεδομένου ότι θα είναι ετεροχρονισμένη.

Εφαρμογές κρυπτογράφησης
Τα λογισμικά κρυπτογράφησης μπορούν να εφαρμοστούν σε ατομικούς ηλεκτρονικούς υπολογιστές, αλλά και σε αποθηκευτικά μέσα δικτύων. Όσον αφορά στους ατομικούς ηλεκτρονικούς υπολογιστές, με τη χρήση εφαρμογών κρυπτογράφησης μπορεί να σχεδιαστεί ένας πλήρως κρυπτογραφημένος υπολογιστής, ο οποίος θα εξασφαλίζει στο χρήστη το απόρρητο των εφαρμογών του λειτουργικού του συστήματος (windows ή άλλο), του σκληρού του δίσκου, αλλά και του ηλεκτρονικού του ταχυδρομείου. Ο χρήστης του συγκεκριμένου κρυπτογραφημένου ηλεκτρονικού υπολογιστή μπορεί να θεωρηθεί ότι φθάνει σε επίπεδο ασφαλείας το 100%, αφού ακόμα και αν κάποιος του αποσπάσει αρχεία με οποιονδήποτε τρόπο δεν θα έχει πρόσβαση στο περιεχόμενό τους. Σημειώνουμε εδώ ότι ακόμα και αν κάποιος αποκτήσει φυσική πρόσβαση στο συγκεκριμένο υπολογιστή (π.χ. με κλοπή) δεν θα είναι δυνατό να αποκτήσει πρόσβαση σε οποιοδήποτε αρχείο υπάρχει αποθηκευμένο εντός αυτού.
Τα λογισμικά κρυπτογράφησης μπορούν επίσης να εφαρμοστούν και σε ολόκληρα δίκτυα εταιρειών. Αυτό που κατά κανόνα ενδιαφέρει τις εταιρείες είναι η εξασφάλιση του απόρρητου των δεδομένων που αποθηκεύουν στα δίκτυά τους. Η κρυπτογράφηση θα μπορούσε να εφαρμοστεί στο σύνολο των συσκευών αποθήκευσης των εταιρειών (συσκευές back up, δικτυακοί σκληροί δίσκοι κ.λπ.). Με αυτή την πρακτική ακόμα και αν κάποιος αποκτούσε πρόσβαση στο δίκτυο της εταιρείας και αποσπούσε δεδομένα, δεν θα είχε πρόσβαση στο περιεχόμενό τους, καθόσον τα αρχεία αυτά θα ήταν κρυπτογραφημένα. Με αυτόν τον τρόπο εξασφαλίζεται το απόρρητο του περιεχομένου των αρχείων και δεδομένων, ακόμα και αν αυτά υποκλαπούν από τρίτα άτομα. Στο σημείο αυτό θα πρέπει να αναφερθεί ότι προκειμένου μία εταιρεία να εξασφαλίσει πλήρως τα ευαίσθητα δεδομένα της, θα πρέπει να χρησιμοποιήσει λογισμικά κρυπτογράφησης σε κάθε υπολογιστή που είναι συνδεδεμένος στο δίκτυό της. Επίσης ακόμα και τα πακέτα δεδομένων τα οποία θα διακινούνται εντός του δικτύου της, θα πρέπει και αυτά να είναι κρυπτογραφημένα. Η λύση της πλήρους κρυπτογράφησης όλου του δικτύου μίας εταιρείας (ακόμα και των διακινούμενων πακέτων δεδομένων) είναι φυσικά η ιδανική από πλευράς ασφάλειας, όμως κοστίζει αρκετά. Οι επικεφαλής της κάθε εταιρείας θα πρέπει να αποφασίσουν μετά από έρευνα το απαιτούμενο (και όχι επιθυμητό) επίπεδο ασφάλειας που χρειάζεται η εταιρεία τους ώστε να εξασφαλίσει την ομαλή λειτουργία και παραγωγικότητά της. Υπάρχουν εταιρείες για τις οποίες η υιοθέτηση ενός πλήρους μοντέλου κρυπτογράφησης μπορεί να θεωρηθεί υπερβολική είτε λόγω του αντικειμένου και του βεληνεκούς τους, είτε λόγω του ότι δεν αποτελούν ιδιαίτερα ισχυρό στόχο. Δεν πρέπει να ξεχνάμε ότι η μη εξουσιοδοτημένη πρόσβαση σε δίκτυα, συνιστά μία παράνομη δραστηριότητα η οποία στοιχίζει αρκετά ακριβά. Συνεπώς ο «αντίπαλος» για να μπει σε μία τέτοια διαδικασία θα πρέπει το προσδοκώμενο όφελός του να είναι αρκετά μεγαλύτερο από τους κινδύνους και πόρους που διατίθενται.
Λογισμικά κρυπτογράφησης μπορούν να χρησιμοποιηθούν και κατά τη διαδικτυακή περιήγηση. Εκεί αυτό που εξασφαλίζεται κατά κύριο λόγο είναι η διαδικτυακή ανωνυμία. Φυσικά, στο πεδίο αυτό υπάρχουν και άλλοι τρόποι εξασφάλισης της ανωνυμίας κατά την περιήγηση, με δημοφιλέστερο όλων τη χρήση proxy εξυπηρετητών (servers).
Η κρυπτογράφηση δεδομένων εφαρμόζεται ευρέως εδώ και αρκετά χρόνια στις υπηρεσίες ασφαλείας των περισσότερων κρατών του κόσμου. Η ανάπτυξη της ελεύθερης αγοράς σε συνδυασμό με την εξάπλωση της λεγόμενης «βιομηχανικής κατασκοπείας» στα πλαίσια του αθέμιτου ανταγωνισμού, έχουν διαμορφώσει ένα κλίμα στον ιδιωτικό τομέα ανάλογο του κλίματος που είχαν τα κράτη την εποχή του ψυχρού πολέμου. Το γεγονός αυτό σε συνδυασμό με τη συνεχή ανάπτυξη τεχνικών διείσδυσης και απόκτησης μη εξουσιοδοτημένης πρόσβασης σε δίκτυα πληροφοριών (hacking) οδηγούν ολοένα και περισσότερες εταιρείες στο να κρυπτογραφούν τα δεδομένα τους (τουλάχιστον τα πιο ευαίσθητα) προκειμένου να εξασφαλίσουν ότι ουδείς μη εξουσιοδοτημένος θα αποκτήσει πρόσβαση στο περιεχόμενο αυτών. Οι εταιρείες σχεδιασμού λογισμικού αντιλαμβανόμενες τις παρούσες ανάγκες της αγοράς, προχωρούν σε ανάπτυξη ιδιαίτερα ισχυρών λογισμικών κρυπτογράφησης και εγγυούνται ότι η κρυπτογράφηση που παρέχουν, όντως δεν υπάρχει περίπτωση να «σπάσει» σε χρόνο που να μπορεί να αξιοποιηθεί η πληροφορία που περιέχεται εντός του κρυπτογραφημένου αρχείου. Η κρυπτογράφηση είναι μία λύση η οποία τώρα εμφανίζεται με αργούς ρυθμούς στην ελληνική αγορά, μπορεί όμως να εξασφαλίσει ένα δίκτυο ή ακόμα και έναν προσωπικό υπολογιστή, με σχετικά μικρό κόστος.

Του Παναγιώτη Κικίλια
Στέλεχος της Υπηρεσίας Δίωξης Ηλεκτρονικού Εγκλήματος

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Κρυπτογράφηση δεδομένων: Η τελευταία γραμμή άμυνας των εταιρικών δικτύων

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Security Information, Event & Log Management

Ποιες oι μελλοντικές απειλές στην ασφάλεια το 2011

APT: Οι προηγμένες επιθέσεις