Δρ Στέφανος Γκιούρωφ*
Κάθε Οκτώβριο, η Ευρώπη γιορτάζει τον Μήνα Κυβερνοασφάλειας, μια περίοδο αφιερωμένη στην ευαισθητοποίηση των οργανισμών αλλά και του κοινού σχετικά με την κρίσιμη σημασία της κυβερνοασφάλειας, τις γνώσεις και τα εργαλεία που χρειάζονται για προστασία από τις απειλές στον κυβερνοχώρο.
Φέτος, με οδηγό το σύνθημα #BeSmarterThanAHacker, η καμπάνια κάνει βαθιά βουτιά στη σφαίρα της Κοινωνικής Μηχανικής (Social Engineering) με σύνθημα την ενίσχυση της ανθεκτικότητας στην ασφάλεια στον κυβερνοχώρο μπροστά στις απειλές της κοινωνικής μηχανικής.
Οι επιθέσεις κοινωνικής μηχανικής μπορούν να λάβουν διάφορες μορφές, όπου οι εισβολείς του κυβερνοχώρου χρησιμοποιούν έξυπνες τακτικές χειραγώγησης της εμπιστοσύνης, του φόβου, της περιέργειας ή άλλων συναισθημάτων για να παραβιάσουν τις άμυνες ασφαλείας, Το μότο του 2023, #BeSmarterThanAHacker, είναι ένα ισχυρό κάλεσμα για δράση. Τονίζει την ανάγκη όλων μας να είμαστε κατάλληλα προετοιμασμένοι και επαρκώς ενημερωμένοι απέναντι στις εξελισσόμενες απειλές στον κυβερνοχώρο. Η φετινή εκστρατεία για τον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας μας ενθαρρύνει να εξοπλιστούμε με τις γνώσεις και εργαλεία που είναι απαραίτητα για να ξεπεράσουμε τους εισβολείς στον κυβερνοχώρο.
Η Κοινωνική Μηχανική είναι μια παραπλανητική τέχνη όπου οι χάκερ χρησιμοποιούν ψυχολογική χειραγώγηση για να εξαπατήσουν τα θύματα τους (οργανισμούς και άτομα) ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να εκτελέσουν ενέργειες που θέτουν σε κίνδυνο την ασφάλεια πληροφοριών ή δεδομένων. Αυτόν τον Οκτώβριο, ο Ευρωπαϊκός Μήνας Κυβερνοασφάλειας επικεντρώνεται στην αποκωδικοποίηση των τακτικών που χρησιμοποιούν οι κυβερνοεισβολείς σε επιθέσεις κοινωνικής μηχανικής, βοηθώντας τόσο σε ατομικό επίπεδο όσο και σε εταιρικό επίπεδο να αναγνωριστούν οι απειλές και να αποτραπούν αυτές οι κακόβουλες προσπάθειες.
Βασικές πτυχές της φετινής καμπάνιας είναι η έγκαιρη συνειδητοποίηση απάτης πλαστοπροσωπίας και η επακόλουθη Ασφάλεια Προσωπικών Δεδομένων. Η προστασία προσωπικών και ευαίσθητων δεδομένων είναι ζωτικής σημασίας όπου ο φετινός στόχος του Μήνα Κυβερνοασφάλειας είναι να προσφέρει καθοδήγηση για την προστασία των προσωπικών πληροφοριών και την πρόληψη παραβιάσεων δεδομένων.
Είμαστε πλέον πεπεισμένοι ότι η ενδυνάμωση της Ευρώπης για να αντιμετωπίσει τη μάστιγα της κυβερνοεπίθεσης προϋποθέτει τη χρήση των κατάλληλων Διεθνών και Ευρωπαϊκών προτύπων. Στην προσπάθεια ενίσχυσης της ανθεκτικότητας στον κυβερνοχώρο, η ευθυγράμμιση με τα διεθνώς αναγνωρισμένα πρότυπα είναι πρωταρχικής σημασίας με σημαντικότερα τα ακόλουθα διεθνή πρότυπα:ISO/IEC 27001:2022, ISO/IEC 27032:2023 και ISO/IEC 27701 τα οποία παρέχουν ισχυρά πλαίσια και κατευθυντήριες οδηγίες πως οι οργανισμοί δύνανται να βελτιώσουν τη στάση τους στον κυβερνοχώρο και να προστατευθούν από ενδεχόμενες επιθέσεις.
Το διεθνές πρότυπο ISO/IEC 27001:2022 εστιάζει στα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (Information Security Management System-ISMS). Με την εφαρμογή του ISO/IEC 27001, οι οργανισμοί έχουν τη δυνατότητα να εντοπίζουν συστηματικά, να αξιολογούν και να διαχειρίζονται τους κινδύνους για την ασφάλεια στον κυβερνοχώρο, διασφαλίζοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων και των συστημάτων τους.
Το πρόσφατα δημοσιευμένο διεθνές πρότυπο ISO/IEC 27032:2023 παρέχει οδηγίες για τη βελτίωση της ανταλλαγής πληροφοριών στον κυβερνοχώρο, κρίσιμης σημασίας για την αντιμετώπιση αναδυόμενων απειλών όπως αυτές που σχετίζονται με την κοινωνική μηχανική. Το εν λόγω πρότυπο ενθαρρύνει τη συνεργασία και τον έγκαιρο εντοπισμό απειλών και προορίζεται κυρίως για οργανισμούς που χρησιμοποιούν το Διαδίκτυο. Μεταξύ άλλων παρέχει επεξήγηση της σχέσης μεταξύ της ασφάλειας του Διαδικτύου, της ασφάλειας ιστού, της ασφάλειας δικτύου και της ασφάλειας στον κυβερνοχώρο. Επίσης αποτελεί χρήσιμο εργαλείο για την επισκόπηση της ασφάλειας του Διαδικτύου, τον προσδιορισμό των ενδιαφερομένων μερών και την περιγραφή των ρόλων τους στην ασφάλεια του Διαδικτύου όπως επίσης και καθοδήγηση υψηλού επιπέδου για την αντιμετώπιση κοινών θεμάτων ασφάλειας στο Διαδίκτυο.
Ένα τρίτο σημαντικό διεθνές πρότυπο είναι το ISO/IEC 27701:2019 το οποίο καθορίζει τις απαιτήσεις και παρέχει καθοδήγηση για τη δημιουργία, την εφαρμογή, τη διατήρηση και τη συνεχή βελτίωση ενός Συστήματος Διαχείρισης Πληροφοριών Απορρήτου και συνδυάζεται αποτελεσματικά με το ISO/IEC 27001 και το ISO/IEC 27002 για την ορθολογιστική διαχείριση πληροφοριών απορρήτου. Αυτό το Πρότυπο ισχύει για όλους τους τύπους και τα μεγέθη οργανισμών, συμπεριλαμβανομένων δημόσιων και ιδιωτικών εταιρειών, κρατικών οντοτήτων και μη κερδοσκοπικών οργανισμών, οι οποίοι είναι ελεγκτές PII (Personal Identifiable Information) ή/και επεξεργαστές PII που επεξεργάζονται τέτοιου είδους δεδομένα σε ένα Συστήμα Διαχείρισης Ασφάλειας Πληροφοριών – ISMS (Information Security Management System).
Ο Ευρωπαϊκός Μήνας Κυβερνοασφάλειας – Οκτώβριος 2023 – είναι μια ευκαιρία για όλους μας να λάβουμε προληπτικά μέτρα για την προστασία της ψηφιακής μας ζωής τόσο της ιδιωτικής όσο και της εταιρικής. Κατανοώντας τις τακτικές που χρησιμοποιούν οι εισβολείς του κυβερνοχώρου σε επιθέσεις κοινωνικής μηχανικής και ευθυγραμμιζόμενοι με τα διεθνή πρότυπα που ασχολούνται με το εν λόγω αντικείμενο, όπως το ISO/IEC 27001:2022, το ISO/IEC 27032:2023 και το ISO/IEC 27701, μπορούμε συλλογικά να οικοδομήσουμε μια ισχυρότερη, πιο ανθεκτική στάση ασφάλειας κυβερνοχώρου
Εν κατακλείδι : Mην γίνεται θύμα! – “Να είστε πιο έξυπνοι από έναν χάκερ!” Με συλλογική προσπάθεια και με τις κατάλληλες υποδομές και εργαλεία, μπορούμε να δημιουργήσουμε ένα ασφαλέστερο ψηφιακό περιβάλλον για την Ευρώπη του σήμερα αλλά και για τις επόμενες γενεές.
*Ο Δρ Στέφανος Γκιούρωφ εργάζεται στον Κυπριακό Οργανισμό Τυποποίησης(CYS) ως Λειτουργός Τυποποίησης στον τομέα της Πληροφορικής και των Τηλεπικοινωνιών.
Πηγή: ISO , https://cybersecuritymonth.eu/
