Στην εποχή μας, όλο και περισσότερες είναι οι επιχειρήσεις που προσπαθούν να εξασφαλίσουν τις υποδομές τους ενάντια στις επιθέσεις, όμως εξακολουθούν να κάνουν βασικά λάθη. Παρακάτω μπορείτε να δείτε, πώς μπορούν να αποφευχθούν τέτοιου είδους λάθη.
- Είναι ελαστικοί με τους λογαριασμούς Admin
Η επιχείρησή σας διαθέτει πιθανώς πολλούς λογαριασμούς διαχειριστή, δίνοντας στους εργαζόμενους απεριόριστο έλεγχο σε ζωτικό υλικό και υπηρεσίες. Και αυτό είναι επικίνδυνο, σύμφωνα με τον Rob Clyde, διευθύνοντα σύμβουλο της Clyde Consulting.
Ο Clyde αποκαλεί τους λογαριασμούς admin “το αδύναμο σημείο κάθε οργανισμού”. Εξηγεί: “Οι διαχειριστές έχουν πλήρη προνόμια και συχνά έχουν πρόσβαση στα εικονικά περιβάλλοντα και στο περιβάλλον cloud. Αυτό σημαίνει ότι ένας hacker, ο οποίος αποκτά πρόσβαση σε έναν λογαριασμό διαχειριστή, μπορεί να καταλάβει κυριολεκτικά μια ολόκληρη επιχείρηση. Και όμως οι επιθέσεις που απευθύνονται σε διαχειριστές παραβλέπονται συχνά.”
Συνιστά στους οργανισμούς να επιλέξουν τον αριθμό των λογαριασμών διαχειριστή και να βεβαιωθούν ότι μόνο όσοι τους χρειάζονται, θα τους έχουν. Προτείνει επίσης κάθε λογαριασμός να έχει πρόσβαση μόνο στους πόρους που πραγματικά χρειάζεται για να κάνει τη δουλειά του.
Τέλος, σύμφωνα με τον Clyde, η επιχείρηση πρέπει να εξετάσει το ενδεχόμενο δευτερεύουσας έγκρισης για ορισμένες διαδικασίες, όπως η διαγραφή όλων των εικονικών μηχανών ή containers. Με αυτόν τον τρόπο, ακόμη και αν οι hackers αποκτήσουν πρόσβαση σε ένα λογαριασμό διαχειριστή, δεν θα είναι σε θέση να κάνουν τόσο μεγάλη ζημιά, επειδή κι άλλοι διαχειριστές του οργανισμού πρέπει να δώσουν έγκριση για ενέργειες υψηλού κινδύνου.
- Αγνοούν την ανάγκη ενός ολοκληρωμένου πλαισίου διαχείρισης κινδύνου
Οι εταιρείες συχνά αναπτύσσουν ένα σύνολο συστημάτων και διαδικασιών ασφαλείας, αλλά δεν λαμβάνουν υπόψη τον τρόπο με τον οποίο οι κίνδυνοι στον κυβερνοχώρο επηρεάζουν ολόκληρο τον οργανισμό. Επομένως, η ασφάλεια στον κυβερνοχώρο θεωρείται καθαρά τεχνικό ζήτημα που απαιτεί προσοχή μόνο από το τμήμα πληροφορικής και όχι από ολόκληρη την επιχείρηση. Το αποτέλεσμα? Οι επιχειρήσεις είναι λιγότερο ασφαλείς, διότι δεν είναι δυνατόν κάθε ομάδα και άτομο να γνωρίζουν τους κινδύνους στον κυβερνοχώρο και να είναι επιφυλακτικοί εναντίον τους. Έτσι λέει ο Chris Dimitriadis, τέως πρόεδρος του Διοικητικού Συμβουλίου της ISACA.
Ο κ. Dimitriadis αναφέρει ότι ένα ολοκληρωμένο πλαίσιο διαχείρισης κινδύνων πρέπει να περιγράφει με σαφήνεια πώς οι κίνδυνοι στον κυβερνοχώρο μεταφράζονται σε επιχειρηματικούς κινδύνους και πώς μπορούν να επηρεάσουν την επιχείρηση. Οι οργανισμοί ενδέχεται να διακινδυνεύσουν εκατομμύρια δολάρια και να χάσουν την εμπιστοσύνη των πελατών τους. Με αυτόν τον τρόπο, ολόκληρη η εταιρεία, από το διοικητικό συμβούλιο έως τους απλούς υπαλλήλους, θα έχει επίγνωση των κινδύνων και θα είναι πιο πιθανό να τις αποφύγει.
- Δεν κάνουν τις απαραίτητες ενημερώσεις
Οι κύριοι Clyde και Dimitriadis, υπογραμμίζουν τη σημασία του τι θα έπρεπε να αποτελεί σύνηθες μέρος της ρουτίνας προληπτικής ασφάλειας μιας επιχείρησης. Ωστόσο, πάρα πολλές οργανώσεις εξακολουθούν να ξεχνούν να ενσωματώσουν αυτή την πρακτική. Υπάρχουν αμέτρητα παραδείγματα αδιευκρίνιστων τρωτών σημείων, που οδηγούν σε επιτυχείς επιθέσεις στον κυβερνοχώρο, με τις ζημίες κυριολεκτικά να ανέρχονται σε εκατοντάδες εκατομμύρια δολάρια.
- Αγνοούν την ασφάλεια των IoT συσκευών
Είναι εύκολο για τις εταιρείες να ξεχνούν ότι οι συσκευές IoT τους, όπως οι αισθητήρες και οι κάμερες παρακολούθησης, αποτελούν έναν πολύ μεγάλο και πολύ δελεαστικό στόχο για τους hackers και μπορούν εύκολα να αξιοποιηθούν. Ο Clyde λέει ότι οι εταιρείες πρέπει να τις αντιμετωπίζουν με τον ίδιο τρόπο όπως και τους servers και άλλα συστήματα που σχετίζονται με την τεχνολογία IT. Αυτό σημαίνει όχι μόνο να είναι σίγουροι ότι προστατεύονται από πράγματα όπως τείχη προστασίας, αλλά και να παραμένουν ενημερωμένες και να προφυλάσσονται από κωδικούς πρόσβασης που αλλάζουν συχνά.
- Δεν προσφέρουν επαρκή εκπαίδευση
Η καλύτερη προστασία από τους hackers και τις παραβιάσεις δεδομένων είναι ένα εργατικό δυναμικό, εκπαιδευμένο σε κινδύνους για την ασφάλεια στον κυβερνοχώρο. Αλλά ενώ αυτή είναι η πρώτη γραμμή άμυνας, η μεγάλη πλειοψηφία των εταιρειών δεν έχουν ενσταλάξει μια σταθερή κουλτούρα ασφάλειας στον κυβερνοχώρο. Ο Clyde επισημαίνει μια μελέτη του ISACA του 2018 στην οποία το 95 τοις εκατό των επαγγελματιών ασφαλείας δήλωσε ότι υπάρχει ένα χάσμα ανάμεσα στην κουλτούρα ασφάλειας που θέλει η εταιρεία τους και την κουλτούρα ασφάλειας που έχουν.
Ο καλύτερος τρόπος για να ενσταλαχτεί μια κουλτούρα της επίγνωσης της ασφάλειας στον κυβερνοχώρο, είναι η κατάρτιση. Και η σωστή κατάρτιση δεν σημαίνει απλά σεμινάρια, στα οποία οι εργαζόμενοι παρευρίσκονται απρόθυμα και στη συνέχεια τα ξεχνούν αμέσως. Σημαίνει ενεργή και συνεχής εργασία πάνω σε αυτά τα ζητήματα.
