Ο σημαντικός ρόλος των IT τμημάτων στις σύγχρονες επιχειρήσεις απαιτεί την ανάπτυξη μιας καθορισμένης πολιτικής προστασίας τους, που θα αποσκοπεί στη μείωση της πιθανότητας επιθέσεων με στόχο την υφαρπαγή κρίσιμων για την επιχείρηση πληροφοριών.
Στις σημερινές κοινωνίες της ελεύθερης αγοράς, ο ανταγωνισμός λειτουργεί κατά κανόνα ως παράγοντας βελτίωσης των υπηρεσιών που παρέχονται στους πολίτες, αλλά και μείωσης των τιμών προσφοράς ή παραμονής τους σε χαμηλά επίπεδα. Πολλές φορές όμως, ο έντονος ανταγωνισμός ξεφεύγει από τα θεμιτά πρότυπα και εισέρχεται σε ένα άλλο επίπεδο, αυτό της κατασκοπείας μεταξύ εταιρειών και βιομηχανιών, προκειμένου η μία να αποκτήσει το επιχειρηματικό πλεονέκτημα ενάντια στην άλλη. Στη σημερινή εποχή όπου η πληροφορία θεωρείται πιο σημαντική από ο,τιδήποτε άλλο, κύριος στόχος του αθέμιτου ανταγωνισμού είναι στην ουσία το IT Department της κάθε εταιρείας.
Τα IT departments ως στόχος
Στην πλειοψηφία των σημερινών εταιρειών ανά τον κόσμο, αλλά και στην Ελλάδα, λειτουργεί ένα ΙΤ department το οποίο είναι στην ουσία υπεύθυνο για την ομαλή λειτουργία του πληροφοριακού δικτύου της εταιρείας, τη διαχείριση αυτού, τη διαβάθμιση των πληροφοριών που διακινούνται μέσω αυτού του δικτύου, όπου αυτή απαιτείται, την πρόσβαση των υπαλλήλων στο διαδίκτυο και την εξασφάλιση του απορρήτου των πληροφοριών και των ευαίσθητων δεδομένων της εταιρείας.
Η κάθε εταιρεία προκειμένου να μεγιστοποιήσει το κέρδος της, θα πρέπει να είναι ανταγωνιστική σε σχέση με τις υπόλοιπες εταιρείες του τομέα της και να παρέχει υπηρεσίες ή προϊόντα, ανώτερα των ανταγωνιστών της. Για να το επιτύχει αυτό, συνήθως σχεδιάζει συνεχώς νέα προϊόντα ή υπηρεσίες, τα οποία μέχρι να ολοκληρωθούν θα πρέπει να παραμείνουν κρυφά, γιατί αν διαρρεύσουν πρώιμα, είναι πολύ πιθανό κάποια ανταγωνιστική εταιρεία να τα οικειοποιηθεί και να τα «βγάλει» πρώτη στην αγορά. Επίσης σημαντική για τις εταιρείες είναι η διατήρηση των οικονομικών τους στοιχείων και απόρρητων δεδομένων, αφού αν διαρρεύσουν, μπορούν οι ανταγωνιστές τους να εντοπίσουν αδύνατα σημεία ή να διακρίνουν τεχνικές, οι οποίες μέχρι και τότε τους έδιναν το πλεονέκτημα έναντι των άλλων. Σήμερα, το σύνολο όλων αυτών των σχεδιασμών και οικονομικών στοιχείων βρίσκεται στη συντριπτική του πλειοψηφία σε ηλεκτρονική μορφή και διακινείται μέσω του πληροφοριακού δικτύου των εταιρειών, για το οποίο υπεύθυνο είναι το IT Department.
Είναι εύλογο λοιπόν, πως αν κάποιος ανταγωνιστής θέλει να υποκλέψει πληροφορίες για τα σχέδια, τα οικονομικά στοιχεία και τις δραστηριότητες της εταιρείας, θα προσπαθήσει να το κάνει στοχοποιώντας το IT Department. Σε αυτόν τον τομέα της εταιρείας υπάρχουν αποθηκευμένες και διακινούνται όλες οι σημαντικές της πληροφορίες, συνεπώς από εκεί θα επιχειρήσει να τις αντλήσει ο ανταγωνιστής. Στο επίπεδο του υπαρκτού αθέμιτου ανταγωνισμού μεταξύ των εταιρειών, κυρίαρχο ρόλο παίζει λοιπόν το IT Department, το οποίο θα πρέπει να θεωρείται κάθε φορά ως ο κύριος στόχος αυτού του αθέμιτου ανταγωνισμού. Πώς όμως συνηθίζεται να δομείται ένα IT Department, προκειμένου να εξασφαλίζει μία σχετική ασφάλεια: Μερικές βασικές κατευθύνσεις θα δούμε παρακάτω.
Δομή ενός IT Department
Βασικός κανόνας βάσει του οποίου η πλειοψηφία των ΙΤ managers δομούν και διαχειρίζονται τα IT Departments, είναι ότι δεν μπορεί να υπάρξει ασφάλεια σε ποσοστό 100%. Αυτό το σκεπτικό θεωρείται βασικό, αφού διαμορφώνει μία νοοτροπία μη επανάπαυσης, συνεχούς έρευνας και δοκιμών του δικτύου, προκειμένου να βρίσκονται κάθε φορά τα αδύνατα σημεία του δικτύου και να διορθώνονται, πριν προλάβουν «κάποιοι» να τα εκμεταλλευτούν. Πέραν αυτού, βασικός σε ένα IT Department είναι ο διαχωρισμός των δικτύων σε ουσιαστικά και μη ουσιαστικά (essential networks), βάσει των πληροφοριών που διακινούν.
Διαχωρισμός δικτύων
Ο διαχωρισμός των δικτύων είναι βασικός για την ασφάλειά τους. Η συνήθης τακτική είναι να υπάρχουν δύο διαφορετικά δίκτυα, τα οποία δεν θα συνδέονται με κανέναν τρόπο μεταξύ τους. Το πρώτο δίκτυο θα είναι το «εσωτερικό». Σε αυτό θα διακινούνται όλες οι εσωτερικές και ευαίσθητες πληροφορίες της εταιρείας, οι οποίες θα προκαλέσουν ζημιά αν διαρρεύσουν. Όλοι οι υπάλληλοι που θα εργάζονται σε αυτό το δίκτυο, δεν θα πρέπει να αφαιρούν δεδομένα από αυτό ή να εισάγουν δεδομένα και λογισμικό εντός του, χωρίς να ενημερώνουν πρώτα τους διαχειριστές του. Το βασικότερο στο εσωτερικό δίκτυο είναι ότι σε καμία περίπτωση δεν θα πρέπει να παρέχεται πρόσβαση στο διαδίκτυο, από αυτό. Αυτός είναι ο βασικότερος ίσως κανόνας ασφάλειας, ο οποίος παίζει τον καθοριστικό ρόλο στην ασφάλεια του δικτύου, εντός του οποίου αποθηκεύονται και διακινούνται οι ουσιαστικές και σημαντικές πληροφορίες. Επίσης, στο δίκτυο αυτό δεν συνιστάται η χρήση ασύρματης δικτύωσης λόγω της ευκολότερης «διάρρηξής» της, αλλά και της δυσκολίας διαχείρισης και ελέγχου της. Συνοψίζοντας λοιπόν, το εσωτερικό δίκτυο μίας εταιρείας, ενός οργανισμού κ.λπ., στο οποίο διακινούνται οι σημαντικές πληροφορίες και δεδομένα, δεν θα πρέπει να παρέχει πρόσβαση στο διαδίκτυο και επίσης θα πρέπει να είναι συνδεδεμένο ενσύρματα.
Το δεύτερο εξωτερικό δίκτυο τώρα, θα είναι αυτό που θα παρέχει την πρόσβαση στο διαδίκτυο και θα χρησιμοποιείται για τη διαδικτυακή έρευνα και τις λοιπές σημαντικές παροχές του διαδικτύου. Θα επισημάνουμε στο σημείο αυτό, ότι σε καμία περίπτωση ευαίσθητα και σημαντικά δεδομένα από το εσωτερικό δίκτυο δεν θα πρέπει να διακινούνται στο εξωτερικό δίκτυο. Για παράδειγμα, όταν ένας υπάλληλος έχει κάποιο σημαντικό έγγραφο και επιθυμεί να το στείλει σε κάποιον άλλο, δεν θα πρέπει να το «περνάει» στο εξωτερικό δίκτυο και να το στέλνει μέσω e mail στον άλλο υπάλληλο. Αν δεν υπάρχει εσωτερικός mail server, είναι καλύτερο να το μεταφέρει ο ίδιος, παρά να το στείλει μέσω του διαδικτύου ή να το αποστείλει κρυπτογραφημένο. Με αυτόν τον τρόπο αποφεύγονται οι διαρροές πληροφοριών στο διαδίκτυο. Συνηθίζεται τώρα να χρησιμοποιούνται φορητοί ηλεκτρονικοί (notebooks) υπολογιστές, ενώ στο εσωτερικό σταθεροί (desktops). Αυτό γίνεται με το σκεπτικό ότι εφόσον σε αυτούς δεν διακινούνται σημαντικές πληροφορίες, καλό είναι να είναι πιο εύχρηστοι στο προσωπικό. Επίσης, κατά κανόνα στο εξωτερικό αυτό δίκτυο υπάρχει ασύρματη δικτύωση, η οποία παρέχει διαδικτυακή πρόσβαση και πάλι για τη διευκόλυνση του προσωπικού και για λόγους ευχρηστίας.
Διαβαθμισμένη πρόσβαση πληροφοριών
Μία άλλη πρακτική η οποία χρησιμοποιείται εκτενώς από τα IT Departments, είναι η διαβαθμισμένη πρόσβαση του προσωπικού στο εσωτερικό δίκτυο. Συνήθως, αυτή η διαβάθμιση είναι πυραμιδική, δηλαδή όσο πιο σημαντικές και επικίνδυνες οι πληροφορίες, τόσο λιγότερο προσωπικό να έχει πρόσβαση σε αυτές. Εδώ διαμορφώνονται κατά κανόνα τρία ή τέσσερα επίπεδα διαβάθμισης, ανάλογα με το εύρος του οργανισμού και των πληροφοριών που διακινούνται στο δίκτυό του. Η τεχνική αυτή έχει το πλεονέκτημα ότι από τη μία, τα κατάλληλα δεδομένα και πληροφορίες διακινούνται και είναι προσβάσιμα από τα κατάλληλα άτομα και το προσωπικό που δεν είναι αναγκαίο να έρχεται σε επαφή με αυτά, δεν έρχεται – και από την άλλη, σε περίπτωση απώλειας σημαντικών δεδομένων εκ των έσω, περιορίζεται ο αριθμός των «υπόπτων» για τη διαρροή. Στο σημείο αυτό να αναφέρουμε ότι εγκαταλείπεται πλέον το μοντέλο της κάθετης διαβάθμισης, σύμφωνα με το οποίο όσο υψηλότερα στην ιεραρχία είναι το στέλεχος, τόσο μεγαλύτερη είναι η πρόσβασή του σε διαβαθμισμένες πληροφορίες. Υιοθετείται σιγά σιγά ένα πιο οριζόντιο πρότυπο, βάσει του οποίου ο καθένας άσχετα με τη θέση του στην ιεραρχία, θα έχει πρόσβαση στις πληροφορίες και τα δεδομένα που του είναι χρήσιμα για την εργασία που κάνει (need to know). Αυτό το πρότυπο, από τη μία είναι αρκετά πιο ασφαλές και λειτουργεί αποτρεπτικά στις απειλές εκ των έσω, αλλά από την άλλη δημιουργεί πολλές φορές ένα αίσθημα ανασφάλειας και απομόνωσης στο προσωπικό, επηρεάζοντας το καλό και ζεστό κλίμα εντός της εταιρείας ή του οργανισμού. Συνιστάται λοιπόν για απρόσωπες εταιρείες με αρκετά μεγάλο προσωπικό και όχι για μικρότερες, στις οποίες η παραγωγικότητα και αποδοτικότητα εξαρτάται από το κλίμα που υπάρχει στο προσωπικό. Παραπάνω είδαμε ενδεικτικά μερικούς βασικούς κανόνες, πάνω στους οποίους δομούνται συνήθως τα σύγχρονα IT Departments, προκειμένου να αντιμετωπίσουν απειλές, μερικές από τις οποίες θα δούμε παρακάτω.
Μη εξουσιοδοτημένη πρόσβαση και κακόβουλες ενέργειες στα IT Departments
Η μη εξουσιοδοτημένη πρόσβαση στα IT Departments των εταιρειών, αποτελεί το συνεχή «πονοκέφαλο» των υπαλλήλων που είναι υπεύθυνοι για την ασφάλεια του δικτύου και των βάσεων δεδομένων. Στο σημείο αυτό, θα πρέπει να αναφέρουμε ότι όσο μεγαλύτερο είναι αυτό το πληροφορικό δίκτυο, τόσο περισσότερο εκτεθειμένο θα πρέπει να θεωρείται σε μη εξουσιοδοτημένες προσβάσεις. Είναι διαφορετικό από πλευράς ασφάλειας ένα δίκτυο να αποτελείται από 10 υπολογιστές – για παράδειγμα – και διαφορετικό από 1500. Με το σκεπτικό ότι κάθε υπολογιστής είναι ένα «παράθυρο» μη εξουσιοδοτημένης πρόσβασης, αντιλαμβανόμαστε πόσο σημαντικό ρόλο παίζει η έκταση του πληροφορικού δικτύου. Συνήθως, η μη εξουσιοδοτημένη πρόσβαση και οι κακόβουλες ενέργειες λαμβάνουν χώρα με τρεις τρόπους.
1. Μη εξουσιοδοτημένη πρόσβαση, χωρίς να γίνεται αντιληπτή.
Αυτού του είδους η μη εξουσιοδοτημένη πρόσβαση είναι η πιο δύσκολα υλοποιήσιμη και χρειάζεται εξαιρετική ικανότητα προκειμένου να πραγματοποιηθεί. Βασικός στόχος εδώ είναι η συλλογή σημαντικών πληροφοριών και δεδομένων, χωρίς όμως να γίνει αντιληπτό (τουλάχιστον αμέσως) ότι το δίκτυο έχει υποστεί ρήξη και έχουν διαρρεύσει δεδομένα από αυτό. Για να γίνει μία τέτοιου είδους μη εξουσιοδοτημένη πρόσβαση χρειάζονται ειδικές ικανότητες και γνώση ειδικών λογισμικών, τα οποία χρησιμοποιούνται σε αυτές τις περιπτώσεις. Το σημαντικό και δύσκολο παράλληλα, εδώ, είναι η κάλυψη των ιχνών της ρήξης ούτως ώστε να παραμείνει κρυφή όσο το δυνατόν περισσότερο χρόνο. Η τεχνική αυτή χρησιμοποιείται για την απόσπαση πληροφοριών, οι οποίες είναι χρήσιμες και εκμεταλλεύσιμες μόνο εφόσον ο φορέας της απώλειας δεν γνωρίζει ότι έχουν αποσπαστεί. Για παράδειγμα, η τεχνική αυτή έχει χρησιμοποιηθεί για απόσπαση συγκεκριμένων κωδικών, οι οποίοι βέβαια αλλάζονται εφόσον διαπιστωθεί η κλοπή τους. Θα αναφέρουμε, τέλος, ότι σε αυτόν τον τρόπο συνήθως δεν πραγματοποιείται αλλοίωση των δεδομένων, αφού κάτι τέτοιο θα γινόταν αμέσως αντιληπτό. Έχει παρατηρηθεί ότι αυτός ο τρόπος χρησιμοποιείται προκειμένου να παρακολουθηθεί η δραστηριότητα ενός οργανισμού.
2. Αντιληπτή μη εξουσιοδοτημένη πρόσβαση
Και αυτή η μη εξουσιοδοτημένη πρόσβαση απαιτεί ειδικές γνώσεις και χρήση ειδικών λογισμικών, όμως εδώ τα πράγματα είναι λίγο πιο εύκολα, αφού δεν απαιτείται κάλυψη των ιχνών δράσης. Με άλλα λόγια, εδώ το άτομο θα μπει στο δίκτυο, θα πάρει αυτό που θέλει και μετά θα φύγει, χωρίς να καλύψει τα ίχνη του. Αυτή η μέθοδος χρησιμοποιείται όταν η πληροφορία είναι αξιοποιήσιμη και αφού γίνει αντιληπτή η απώλειά της. Για παράδειγμα, στο πεδίο του αθέμιτου ανταγωνισμού, όταν μία εταιρεία υποκλέψει με αυτόν τον τρόπο τον οικονομικό σχεδιασμό μιας άλλης, η πληροφορία αυτή είναι αξιοποιήσιμη ακόμα και αν η παθούσα εταιρεία το γνωρίζει. Συνεπώς, δεν έχει νόημα η καταβολή ιδιαίτερης προσπάθειας για την απόκρυψη αυτής της μη εξουσιοδοτημένης πρόσβασης και της αφαίρεσης της πληροφορίας.
3. Μη εξουσιοδοτημένη είσοδος και καταστροφή δεδομένων
Για αυτήν τη μέθοδο δεν χρειάζεται η εξειδίκευση που απαιτούν οι δύο προηγούμενες. Εδώ, ο σκοπός είναι η πρόσβαση στο δίκτυο και εν συνεχεία η καταστροφή δεδομένων εντός αυτού. Αυτή είναι η πιο επιθετική μέθοδος και φυσικά και η πιο βλαβερή για το δίκτυο το οποίο δέχεται την επίθεση. Θα αναφέρουμε ειδικότερα ότι υπήρξαν και περιπτώσεις όπου δεν υπήρξε καν πρόσβαση στο δίκτυο. Απλά, μαζική επίθεση κατά αυτού, με αποτέλεσμα την ολική καταστροφή του. Η μέθοδος αυτή χρησιμοποιείται με σκοπό να τεθεί «εκτός μάχης» μία εταιρεία ή ένας οργανισμός για αρκετό χρονικό διάστημα, ώστε το πεδίο να αφεθεί ελεύθερο για τους ανταγωνιστές. Προκειμένου να ελαχιστοποιηθούν οι απώλειες από αυτόν τον τρόπο δράσης, τα IT Departments καλό θα είναι να έχουν ένα σχέδιο άμεσης αποκατάστασης, προκειμένου να καταστούν αξιόμαχα όσο το δυνατό γρηγορότερα. Σημαντικό ρόλο παίζει εδώ η συνεχής τήρηση back up αρχείων και η φύλαξή τους σε τοποθεσία διαφορετική αυτής που βρίσκεται και λειτουργεί το κεντρικό δίκτυο.
Είδαμε παραπάνω τρεις ενδεικτικούς τρόπους με τους οποίους ένα IT Department μπορεί να στοχοποιηθεί και να γίνει φορέας επίθεσης. Επίσης σημαντικό είναι το γεγονός ότι η πιο ισχυρή από πλευράς απωλειών επίθεση σε ένα IT Department, χρειάζεται τη λιγότερη τεχνική κατάρτιση για να πραγματοποιηθεί. Αυτό είναι πολύ σημαντικό, αφού δείχνει ότι για να προκαλέσει κανείς σημαντικότατες βλάβες ή ακόμα και ολική καταστροφή σε ένα πληροφορικό δίκτυο, δεν χρειάζεται να έχει ειδικές γνώσεις πάνω σε θέματα πληροφορικής, προγραμματισμού και δικτύων. Αρκούν κάποιες βασικές γνώσεις για να προκληθεί πολλές φορές ανεπανόρθωτη βλάβη σε ένα δίκτυο. Απομυθοποιείται λοιπόν κατά κάποιο τρόπο και η ιδέα της δικτυακής ασφάλειας, η οποία πιστεύεται ότι μπορεί να απειληθεί μόνο από συγκεκριμένες ομάδες ατόμων με ειδικές γνώσεις και ικανότητες.
Η εκ των έσω απειλή
Αυτό που είναι σύνηθες στην κατασκοπεία μεταξύ των εταιρειών, είναι ότι μεγάλος αριθμός των πληροφοριών διαρρέει από άτομα τα οποία εργάζονται μέσα σε αυτή. Τα άτομα αυτά συνήθως χρηματίζονται από τις αντίπαλες εταιρείες, προκειμένου να τους δίδουν πληροφορίες σχετικές με την εταιρεία που εργάζονται. Αυτού του είδους η απειλή είναι πολύ δύσκολο να αντιμετωπιστεί, ειδικά σε εταιρείες με μεγάλο αριθμό στελεχών, αφού ο ανθρώπινος παράγοντας πολύ δύσκολα μπορεί να ελεγχθεί και όταν το άτομο εργάζεται στην εταιρεία συνεπάγεται ότι έχει και τη δυνατότητα να ελιχθεί, ενώ πιθανό να γνωρίζει και κάποια κενά ασφαλείας, τα οποία φυσικά θα εκμεταλλευτεί. Σε κάθε περίπτωση, ένας εργαζόμενος σε κάποια εταιρεία μπορεί να αποτελέσει μεγάλη απειλή για την ίδια την εταιρεία, εφόσον αποφασίσει να δώσει πληροφορίες σε κάποια ανταγωνίστριά της. Φυσικά, όσο υψηλότερη θέση κατέχει εντός της εταιρείας, τόσο μεγαλύτερη και η απειλή, γι’ αυτό, πολλές είναι οι φορές όπου όταν υπάρχει διαρροή πληροφοριών από μία εταιρεία προς τις ανταγωνίστριές της, οι υπεύθυνοι για τη διαρροή αυτή προέρχονται από τα υψηλά κλιμάκια της εταιρείας. Επίσης, πολλές είναι οι φορές όπου υπάλληλοι εταιρειών διαρρέουν πληροφορίες σε αντίπαλες εταιρείες, είτε όταν συνταξιοδοτούνται είτε όταν αποχωρούν από αυτές. Για την αποτροπή τέτοιων φαινομένων, οι ΙΤ managers των εταιρειών θα πρέπει να επενδύσουν στην ελεγχόμενη πρόσβαση στις «ευαίσθητες» πληροφορίες, ενώ το βασικότερο είναι η καλλιέργεια ενός οικογενειακού και ευχάριστου κλίματος εντός των εταιρειών. Η καλλιέργεια ενός τέτοιου κλίματος είναι ίσως ο αποτελεσματικότερος τρόπος αντιμετώπισης εκ των έσω απειλών, αφού θα λειτουργήσει αποτρεπτικά σε περίπτωση που δοθεί η ευκαιρία σε κάποιον υπάλληλο να διαρρεύσει ευαίσθητες πληροφορίες.
Συμπερασματικά
Το θέμα στο οποίο αναφερθήκαμε έχει τόσες πολλές παραμέτρους, ώστε είναι αδύνατο να καλυφθεί πλήρως ή έστω και σφαιρικά στις λίγες σελίδες ενός άρθρου. Τα ανωτέρω αποτελούν μία συνοπτική παρουσίαση στην ουσία των σύγχρονων IT Departments και των απειλών που καλούνται να αντιμετωπίσουν σε καθημερινή βάση. Σκοπός ήταν όχι να αναλύσουμε σε βάθος, αλλά να αναδείξουμε το πόσο σημαντικό ρόλο παίζουν πλέον τα IT Departments στους σύγχρονους οικονομικούς παράγοντες, πόσο εύκολα μπορούν να στοχοποιηθούν και πόσο μεγάλη ζημιά μπορεί να προκαλέσει τυχόν διάρρηξη ή καταστροφή τους. Θα πρέπει λοιπόν να δίδεται ιδιαίτερη προσοχή στη δόμηση και ανάπτυξή τους, ώστε να διαφυλαχθεί η βιωσιμότητα των οικονομικών φορέων και πάντα να λειτουργούν με τη νοοτροπία ότι 100% ασφαλές δίκτυο δεν μπορεί να υπάρξει.
Του Παναγιώτη Κικίλια
Στέλεχος της Υπηρεσίας Δίωξης Ηλεκτρονικού Εγκλήματος
