Αύξηση σημασίας κυβερνοασφάλειας: Εξήγηση και συνέπειες από τον Anton Snitavets

Σε Δεκέμβριος 2024, ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο (CRA) τέθηκε σε ισχύ στην Ευρώπη, σηματοδοτώντας την έναρξη της μεταβατικής περιόδου για τους οργανισμούς και τις επιχειρήσεις να προσαρμοστούν στις νέες απαιτήσεις κυβερνοασφάλειας. Αυτό το κανονιστικό έγγραφο στοχεύει στη βελτίωση των προτύπων ποιότητας και ασφάλειας απαιτώντας από τους κατασκευαστές και τους λιανοπωλητές να υποστηρίζουν και να ενημερώνουν ψηφιακά στοιχεία καθ’ όλη τη διάρκεια του κύκλου ζωής των προϊόντων τους. Ο ΟΑΠΙ καλύπτει τόσο το υλικό όσο και το λογισμικό, επηρεάζοντας όχι μόνο τους κατασκευαστές της ΕΕ αλλά και τους εισαγωγείς, επομένως θα επηρεαστούν και οι εταιρείες των ΗΠΑ που λειτουργούν ή πωλούν τα προϊόντα τους σε χώρες της ΕΕ. Η νομοθεσία θα επηρεάσει βαθιά πολλά τμήματα της αγοράς, όπως τα προϊόντα Διαδικτύου των πραγμάτων. Ενώ οι εταιρείες έχουν περιθώριο έως το 2027, όταν οι υποχρεώσεις συμμόρφωσης γίνονται υποχρεωτικές, ο CRA σηματοδοτεί ένα σημαντικό βήμα στην αναγνώριση της σημασίας της κυβερνοασφάλειας για μια μεγάλη γκάμα προϊόντων και στη δημιουργία δομών που θα προστατεύουν τα συμφέροντα των τελικών πελατών. Ο Anton Snitavets, Επικεφαλής Μηχανικός Ασφάλειας Πληροφοριών στο Doumo, Ανώτερο μέλος της IEEE, μέλος της κοινότητας Hackathon Raptors και πιστοποιημένος επαγγελματίας συστημάτων ασφάλειας πληροφοριών, εξηγεί τι συνεπάγεται η σύγχρονη προσέγγιση της κυβερνοασφάλειας και ποιους παράγοντες πρέπει να λαμβάνουν υπόψη οι επιχειρήσεις να προστατεύσουν τους πελάτες τους και τους εαυτούς τους.

Η στροφή προς μια ολοκληρωμένη προσέγγιση

Ο Anton Snitavets επισημαίνει ότι η κυβερνοασφάλεια έχει γίνει αναπόσπαστο μέρος των λειτουργιών τους για περισσότερες επιχειρήσεις, όχι μόνο κάποια προστατευτικά μέτρα ή κανόνες ασφαλείας που επιβάλλονται στις υπάρχουσες διαδικασίες. Αυτό ισχύει ιδιαίτερα για εταιρείες που ειδικεύονται στην ανάπτυξη λογισμικού. Ο Anton αντιμετώπισε ένα παρόμοιο πρόβλημα το 2017 όταν άρχισε να εργάζεται στην Aras Corp ως Μηχανικός DevSecOps. Για να βελτιώσει τη διαδικασία ανάπτυξης λογισμικού, εφάρμοσε τον κύκλο ζωής ασφαλούς ανάπτυξης λογισμικού (SSDLC), ο οποίος έκανε τη διαδικασία ανάπτυξης λογισμικού σημαντικά πιο ασφαλή προσθέτοντας νέα μέσα για τον εντοπισμό και την εξάλειψη των κινδύνων στον κυβερνοχώρο προτού οδηγήσουν σε αρνητικές συνέπειες. Ενσωμάτωσε τις υπάρχουσες λύσεις λογισμικού μαζί με τις προσαρμοσμένες που ανέπτυξε ο ίδιος, κάνοντας τη διαδικασία ανάπτυξης λογισμικού πιο παραγωγική και αξιόπιστη. Συγκεκριμένα, βελτίωσε τη διαδικασία ανάπτυξης ενημερώσεων για το Aras Innovator Software, μια λύση διαχείρισης προϊόντων μηχανικής που χρησιμοποιούν οι πελάτες της Aras, με μεγάλες εταιρείες μηχανικών όπως η General Motors και η Airbus μεταξύ αυτών. Ως αποτέλεσμα, μέσα σε 3,5 χρόνια, αύξησε σημαντικά την ποιότητα του προϊόντος, εξάλειψε πολλαπλές ευπάθειες στο λογισμικό και αύξησε τη σταθερότητα και την ασφάλειά του, κάτι που είναι ιδιαίτερα σημαντικό για μια λύση λογισμικού που χρησιμοποιείται για πολύπλοκες εργασίες μηχανικής. Μετά την πρόσφατη ένταξή του στο Doumo, εφαρμόζει παρόμοιες προσεγγίσεις ως Επικεφαλής Μηχανικός Ασφάλειας Πληροφοριών, που εργάζεται για την ενσωμάτωση του SSDLC με την υποδομή cloud.

“Το γεγονός ότι περισσότερες εταιρείες, παρόμοιες με τις δύο προαναφερθείσες, επικεντρώνουν σημαντική προσπάθεια στο να κάνουν τις διαδικασίες ανάπτυξης πιο ασφαλείς υπογραμμίζει ότι για να είναι αποτελεσματικά τα μέτρα ασφαλείας, πρέπει να γίνουν αναπόσπαστο μέρος του κύκλου ανάπτυξης λογισμικού». σχολιάζει. «Οι εταιρείες που δεν έχουν ήδη εφαρμόσει αυτήν την προσέγγιση θα πρέπει να μάθουν να την εφαρμόζουν σε όλο τον κύκλο ζωής της ανάπτυξης».

Ανάπτυξη προσαρμοσμένων λύσεων

Αυτή η στροφή προς μια πιο ολοκληρωμένη προσέγγιση στην ασφάλεια των πληροφοριών οδηγεί σε μια άλλη σημαντική αλλαγή. Οι επιχειρήσεις πρέπει να αναπτύξουν εξατομικευμένες λύσεις που να ανταποκρίνονται στις ανάγκες τους με ακρίβεια αντί να βασίζονται σε λύσεις που δημιουργούνται άμεσα. «Οι έτοιμες λύσεις δεν καλύπτουν συχνά όλες τις περιπτώσεις και τα σενάρια, αφήνοντας απροστάτευτα συγκεκριμένα τρωτά σημεία ή, αντίθετα, σπαταλούν τους πόρους της εταιρείας σε μέτρα που δεν είναι απαραίτητα σε μια συγκεκριμένη περίπτωση», εξηγεί ο Anton Snitavets. Αυτός είναι ο λόγος που οι εταιρείες χρειάζονται λύσεις που λαμβάνουν υπόψη τις ιδιαιτερότητες των εργασιών τους και τους σχετικούς κοινούς κινδύνους». Η εμπειρία του παρέχει αρκετά παραδείγματα για τους λόγους για τους οποίους η ανάπτυξη προσαρμοσμένων λύσεων και η αντιμετώπιση συγκεκριμένων καταστάσεων και απειλών είναι απαραίτητη, καθώς βελτιώνει τη διαδικασία ανάπτυξης και καθιστά το προϊόν πιο ασφαλές για τον τελικό χρήστη. Στην Aras Corp, ανέπτυξε και εφάρμοσε μια λύση για την ανάλυση κώδικα που επέτρεπε στους προγραμματιστές να ανιχνεύουν τρωτά σημεία, όπως ενέσεις SQL και κινδύνους διέλευσης διαδρομής στον κώδικα προϊόντος, καθώς και ευπάθειες ειδικά για ένα συγκεκριμένο προϊόν. Μετά την εφαρμογή του αναλυτή, εντοπίστηκαν και επιδιορθώθηκαν αρκετές δεκάδες ευπάθειες. Επιπλέον, η εφαρμογή του αναλυτή έκανε το προϊόν πιο ασφαλές και ασφαλές για τους τελικούς χρήστες να αναπτύξουν προσαρμοσμένες λύσεις, επιτρέποντάς τους να εντοπίζουν και να επιλύουν πιθανούς κινδύνους στα αρχικά στάδια ανάπτυξης.

Ο Anton Snitavets αναφέρει μια ακόμη κρίσιμη ιδέα που θα πρέπει να υιοθετήσουν οι εταιρείες: θα πρέπει να επικεντρωθούν στην πρόληψη απειλών και να ενεργούν προληπτικά αντί να εστιάζουν αποκλειστικά στην προστασία τους από γνωστές απειλές και να ανταποκρίνονται σε παραβιάσεις που έχουν ήδη συμβεί. Για την επίτευξη αυτού του στόχου απαιτείται ένα ευέλικτο σύστημα ανάλυσης και αναφοράς, το οποίο θα επιτρέπει στην εταιρεία να παρακολουθεί την τρέχουσα κατάσταση της υποδομής, να προβλέπει και να εντοπίζει πιθανούς κινδύνους και να τους εξαλείφει πριν προκαλέσουν ζημιές. Αυτός είναι ο τύπος εργασίας που πραγματοποίησε ο Anton Snitavets στην Jabil Inc., όπου εργάστηκε ως Μηχανικός Ασφαλείας Cloud από το 2022. Για να βελτιώσει τη στάση συμμόρφωσης με την ασφάλεια στην εταιρεία, ανέπτυξε ένα πρωτότυπο πλαίσιο αναφοράς για να ενημερώνεται αμέσως για την κατάσταση ασφάλειας του τους πόρους του cloud. Για να το κάνει αυτό, προσάρμοσε τα υπάρχοντα πρότυπα ασφαλείας. Ενσωμάτωσε μια λύση λογισμικού για τη συγκέντρωση δεδομένων σχετικά με την κατάσταση των πληροφοριών cloud που διαδραμάτισαν κρίσιμο ρόλο στις λειτουργίες της εταιρείας, συμβάλλοντας στη διατήρηση της βαθμολογίας συμμόρφωσης με την ασφάλεια στο υψηλότερο δυνατό επίπεδο.

Η αναγκαιότητα της συνεχούς μάθησης

Είναι σημαντικό να προσθέσουμε ότι η τεχνολογία προχωρά συνεχώς, και μαζί με νέα προστατευτικά μέτρα, εμφανίζονται νέες απειλές. «Ενώ οι επαγγελματίες της κυβερνοασφάλειας αναπτύσσουν νέους, πιο ισχυρούς και ανθεκτικούς τρόπους για την προστασία των δεδομένων και τη διασφάλιση της σταθερής λειτουργίας της ψηφιακής υποδομής, οι κακόβουλοι φορείς βρίσκουν νέους φορείς επιθέσεων, προσπαθώντας να χρησιμοποιήσουν την αναδυόμενη τεχνολογία προς όφελός τους». εξηγεί ο Anton Snitavets. Αυτός είναι ο λόγος για τον οποίο είναι απαραίτητο για έναν επαγγελματία της κυβερνοασφάλειας να μαθαίνει συνεχώς, τόσο στη θεωρία όσο και στην πράξη, διερευνώντας νέες μεθόδους και λύσεις και βρίσκοντας αποτελεσματικούς τρόπους για να τις εφαρμόσει στις εργασίες που έχει.

Σε όλη την καριέρα του, ο Anton Snitavets ακολούθησε αυτήν την αρχή. Ακόμη και όταν σπούδαζε, άρχισε να εργάζεται ως προγραμματιστής λογισμικού, αποκτώντας εμπειρία που παρείχε γερές βάσεις για τη μελλοντική του καριέρα. Στη συνέχεια εργάστηκε συνεχώς για την απόκτηση επαγγελματικών πιστοποιήσεων, συμπεριλαμβανομένου του Certified Information Systems Security Professional (CISSP), το οποίο θεωρείται μία από τις πιο απαιτητικές πιστοποιήσεις για την ασφάλεια στον κυβερνοχώρο.

“ΕΓΩΕίναι σημαντικό να συνδυάσουμε την απόκτηση επίσημων πιστοποιήσεων, που αποδεικνύουν τις επαγγελματικές δεξιότητες του ατόμου, με τη συνεχή εξερεύνηση των αναδυόμενων τεχνολογιών και την εφαρμογή της νεοαποκτηθείσας γνώσης στην πράξη.» εξηγεί ο Anton Snitavets. «Το να γίνεις ειδικός σε θέματα κυβερνοασφάλειας απαιτεί υψηλή αφοσίωση και πειθαρχία γιατί το κόστος των λαθών μπορεί να είναι σημαντικό.

Πρέπει να προχωράμε συνεχώς και να ενεργούμε προληπτικά για την εφαρμογή αποτελεσματικών διαδικασιών ασφάλειας πληροφοριών. Νέα ρυθμιστικά μέτρα όπως το CRA θα ωθήσουν τις εταιρείες να υιοθετήσουν καλύτερες πρακτικές ασφάλειας. Ωστόσο, ακόμη και πριν γίνουν υποχρεωτικές, οι εταιρείες πρέπει να προωθήσουν την προσέγγισή τους στην ασφάλεια στον κυβερνοχώρο για να προστατεύσουν τον εαυτό τους και τους πελάτες τους από αναδυόμενες απειλές. “