Στην ψηφιακή εποχή, η κυβερνοασφάλεια έχει καταστεί πρωταρχικό μέλημα, αν και συχνά καλύπτεται από ένα πέπλο πολυπλοκότητας, τεχνικών ορολογιών και λέξεων από ένα λεξικό για… λίγους. Όμως, όσες καινοτομίες και αν κάνουν την εμφάνιση τους, δεν θα πρέπει να ξεχνάμε κάτι πολύ βασικό: ο πυρήνας της κυβερνοασφάλειας έχει τις ρίζες του σε απλές πρακτικές, που παραβλέπονται. Η απουσία μιας «κοινής λογικής» είναι συχνά ο πραγματικός «ένοχος» πίσω από αρκετά περιστατικά.
Η κυβερνοασφάλεια δεν αποτελεί ένα απλό trend αλλά ζήτημα μεγάλης σημασίας, με ολοένα και περισσότερες εξελίξεις, καινοτομίες και επενδύσεις. Ακόμη και σε αυτό το περιβάλλον, ο ρόλος των βασικών πρακτικών κυβερνοασφάλειας παραμένει σημαντικός. Δεν πρέπει να ξεχνάμε πως το cybersecurity δεν αφορά μόνο στις μεγάλες hacking επιθέσεις ή στον κυβερνοπόλεμο που βλέπουμε ακόμη και στα ρεπορτάζ της τηλεόρασης. Το πραγματικό πεδίο μάχης βρίσκεται στην καθημερινότητα – και είναι εξίσου κρίσιμο.
Για παράδειγμα, ένα ζήτημα εντοπίζεται στους κωδικούς πρόσβασης, που αποτελούν τα «κλειδιά» μέσω των οποίων ανοίγουν σημαντικές ψηφιακές «πόρτες». Η ευρεία χρήση αδύναμων passwords είναι σαν να αφήνει, κάποιος, την εξώπορτα ξεκλείδωτη σε μια γειτονιά με υψηλή εγκληματικότητα. Πρόκειται για ένα βασικό λάθος, το οποίο όμως γίνεται (ανησυχητικά) συχνά. Ομοίως, η μη τακτική ενημέρωση του λογισμικού είναι σαν να αγνοούμε την ανάκληση ενός ελαττωματικού εξαρτήματος – μια καταστροφή που περιμένει να συμβεί.
Στις επιχειρήσεις, η κατάσταση επιδεινώνεται από ένα λανθασμένο «feeling» ασφάλειας. Οι μικρές και μεσαίες επιχειρήσεις συχνά πιστεύουν ότι είναι πολύ ασήμαντες για να γίνουν στόχος και πως οι κυβερνοεγκληματίες θα επικεντρώσουν το «ενδιαφέρον» τους στις πολύ μεγάλες εταιρείες. Δεν συνειδητοποιούν ότι η έλλειψη άμυνας -και όχι το μέγεθός τους- είναι το χαρακτηριστικό που τις καθιστά ευάλωτες και «ελκυστικές». Αυτός ο εφησυχασμός μοιάζει με μια μικρή πόλη που πιστεύει ότι δεν θα δει ποτέ εγκληματικότητα, λόγω του μεγέθους της.
Ο ανθρώπινος παράγοντας παίζει καθοριστικό ρόλο στο ζήτημα της κυβερνοασφάλειας. Οι επιθέσεις ηλεκτρονικού «ψαρέματος», οι οποίες βασίζονται στην εξαπάτηση ενός ατόμου ώστε να αποκαλύψει ευαίσθητες πληροφορίες, είναι συχνά επιτυχείς, όχι τόσο λόγω της τεχνικής τους πολυπλοκότητας και αρτιότητας, αλλά λόγω της έλλειψης ευαισθητοποίησης και εκπαίδευσης. Οι εργαζόμενοι, που συχνά αποτελούν την πρώτη γραμμή άμυνας για μια επιχείρηση, μπορούν να γίνουν άθελά τους ο πιο αδύναμος κρίκος.
Επιπλέον, η άνοδος του remote working και οι συσκευές που χρησιμοποιεί το προσωπικό (bring your own device), έχουν διευρύνει την περίμετρο που πρέπει να «υπερασπιστούν» οι επιχειρήσεις. Τα οικιακά δίκτυα και οι προσωπικές συσκευές, που συνήθως είναι λιγότερο ασφαλείς από τις εταιρικές, έχουν γίνει κομμάτι αυτού του πεδίου μάχης. Η πρόκληση εδώ δεν είναι μόνο τεχνική, αλλά περιλαμβάνει την εκπαίδευση και την ευαισθητοποίηση του προσωπικού.
Οι χρήστες και οι επιχειρήσεις πρέπει να κατανοήσουν ότι η κυβερνοασφάλεια δεν είναι μια μακρινή, περίπλοκη και αφηρημένη έννοια, αλλά μια πρακτική πτυχή της καθημερινότητας, κάτι που τις αφορά άμεσα. Απλά βήματα, όπως η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης, η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων, το τακτικό update του λογισμικού που χρησιμοποιείται και η προσοχή στα συνημμένα και τα links, μπορούν να ενισχύσουν σημαντικά την κυβερνοασφάλεια.
Για τις επιχειρήσεις, αυτό σημαίνει ότι πρέπει να επενδύουν, όχι μόνο σε ισχυρές υποδομές, αλλά και σε τακτική εκπαίδευση των εργαζομένων. Και αυτοί θα πρέπει να ενημερώνονται για τις τακτικές που χρησιμοποιούν οι κυβερνοεγκληματίες, όπως το phishing και η κοινωνική μηχανική. Οι συχνές ασκήσεις και οι ενημερώσεις σχετικά με τις πιο πρόσφατες κυβερνοαπειλές μπορούν να βοηθήσουν στο να διατηρηθεί η ασφάλεια στο επίκεντρο του ενδιαφέροντος τους – άρα και της επιχείρησης.
Και όλα, φυσικά, ξεκινάνε από το υψηλότερο επίπεδο. Ο ρόλος του ηγέτη στην προώθηση της σχετικής κουλτούρας παραμένει εξαιρετικά σημαντικός. Είναι ζωτικής σημασίας η διοίκηση να δίνει το… καλό παράδειγμα και να επιδεικνύει δέσμευση για την κυβερνοασφάλεια. Αυτό θα πρέπει να αντικατοπτρίζεται στην κατανομή των πόρων, τη χάραξη πολιτικής και τη συνολική προσέγγιση για τον χειρισμό και την προστασία των δεδομένων – και φυσικά, στη μη χρήση κωδικών τύπου 12345!
Εν κατακλείδι, τα θεμέλια της ισχυρής κυβερνοασφάλειας βρίσκονται σε απλές, καθημερινές πρακτικές. Τόσο τα άτομα όσο και οι επιχειρήσεις πρέπει να αναγνωρίσουν ότι όλα αυτά δεν αφορούν σε μια ρύθμιση ή στην εγκατάσταση κάποιου app, αλλά σε μια διαδικασία εκπαίδευσης, επαγρύπνησης και προσαρμογής. Η πρώτη άμυνα δεν βρίσκεται σε πολύπλοκους αλγορίθμους ή σε τεχνολογίες αιχμής, αλλά σε απλές, προσεκτικές και πολύ βασικές ενέργειες: στην κοινή λογική!
Το άρθρο δημοσιεύθηκε στο τεύχος 222 του περιοδικού Infocom
