Ελληνικά

 *Της Αγγελικής Λοΐζου

Υπάρχει ένα παλιό αστείο ότι ο κωδικός πρόσβασης “snowwhiteandthe7dwarfs” είναι ένας ιδανικός κωδικός πρόσβασης επειδή περιέχει 8 χαρακτήρες και ένα αριθμό. Αυτό μας κάνει να χαμογελάμε γιατί, από περιόδους σε περιόδους, οι περισσότεροι από εμάς έχουμε εκνευριστεί όταν πρέπει να αναθεωρήσουμε τους κωδικούς πρόσβασης μας. Αλλά ο έλεγχος πρόσβασης δεν είναι αστείο θέμα.

Οι ειδήσεις ότι δύο μεγάλες διαδικτυακές επιθέσεις τους πρόσφατους μήνες ξεκίνησαν πιο πιθανόν από ένα αδύναμο κωδικό και κλεμμένα διαπιστευτήρια, υπογραμμίζουν τη σημασία της εφαρμογής ικανοποιητικών μέτρων και της δημιουργίας μιας κουλτούρας ισχυρής κυβερνοασφάλειας στις εταιρείες και οργανισμούς. Τα άτομα είναι η μεγαλύτερη αιτία παραβάσεων στον τομέα της κυβερνοασφάλειας είτε πατώντας σε ένα «ύποπτο» σύνδεσμο είτε αφήνοντας μια πόρτα ανοιχτή σε ένα παρείσακτο ο οποίος τους ακολουθεί και μπαίνει στο κτίριο της επιχείρησης. Για αυτό το λόγο ο έλεγχος πρόσβασης είναι η «καρδιά» της κυβερνοασφάλειας η οποία εξαρτάται από την ικανότητα των οργανισμών να διασφαλίσουν ότι οι χρήστες είναι αυτοί που λένε ότι είναι, αλλά και την πρόσβαση τους σε συγκεκριμένα επιτρεπόμενα δίκτυα. Ο έλεγχος πρόσβασης διασφαλίζει την ασφάλεια των περιουσιακών στοιχείων, αλλά σε μια παράβαση επίσης μπορεί να βοηθήσει να ιχνηλατηθούν οι ενέργειες και να διευκρινιστούν τα αίτια.

Υπάρχουν δύο τύποι ελέγχου πρόσβασης: ο φυσικός και ο λογικός. Οι φυσικοί έλεγχοι πρόσβασης περιορίζουν την πρόσβαση στα κτίρια, στους χώρους εργασίας και στο υλισμικό εξοπλισμό, ενώ οι λογικοί έλεγχοι περιορίζουν την πρόσβαση σε κρίσιμα στοιχεία του κυβερνοχώρου. Και οι δύο τύποι είναι κρίσιμοι για την κυβερνοασφάλεια αρχίζοντας από το κτίριο στο οποίο οι χρήστες, ο εξοπλισμός και άλλα στοιχεία τα οποία απαιτούν πρόσβαση, και στα οποία το σύστημα απαιτεί την πιστοποίηση τους. Για το λόγο αυτό, όλα τα στοιχεία πρέπει να έχουν μια μοναδική και γνωστή ταυτότητα όπως είναι ένας κωδικός, μια ηλεκτρονική διεύθυνση ή οτιδήποτε μπορεί να αναγνωριστεί όταν ζητείται πρόσβαση.

Αδύναμα ή ανεπαρκή μέτρα είναι ο πιο εύκολος δρόμος προς την καταστροφή. Η Εθνική Αρχή Ασφαλείας των Ηνωμένων Πολιτειών  το βίωσε όταν ένας πληροφοριοδότης διέρρευσε πληροφορίες και έγγραφα στον τύπο. Η Αρχή εκτός ότι έπρεπε να περιορίσει τον αντίκτυπο της διάρρευσης, έπρεπε να αντιμετωπίσει και την κριτική για τις πολιτικές κυβερνοασφάλειας που εφαρμόζει αλλά και τους ελέγχους πρόσβασης που διατηρεί. Το περιστατικό αυτό είχε ως αποτέλεσμα η Εθνική Αρχή Ασφαλείας να περιορίσει τους ελέγχους πρόσβασης στο απαραίτητο επίπεδο για τους εργαζόμενους ώστε να μπορούν να εκτελούν τις εργασίες τους. Η αρχή αυτή είναι ένα από τα μέτρα που περιγράφονται στο διεθνές πρότυπο IEC 62443-2-1 το οποίο καθορίζει τον τρόπο με τον οποίο οι κρίσιμες υποδομές και άλλα βιομηχανικά συστήματα αυτοματισμού και ελέγχου διατηρούνται ασφαλή από μη εξουσιοδοτημένες προσβάσεις. Εφαρμόζοντας της αρχή «όλοι οι χρήστες πρέπει να έχουν πρόσβαση στα δίκτυα και τις υπηρεσίες στις οποίες είναι εξουσιοδοτημένοι να λειτουργούν» αποτελεί μια σωστή προσέγγιση για τις αρχές της αναγνώρισης και της διαχείρισης στοιχείων. Επιπρόσθετα δίνοντας τον έλεγχο πρόσβασης με προσοχή διασφαλίζεται ότι σε περίπτωση παράβασης θα μπορεί αυτή να ιχνηλατηθεί και να εντοπιστούν τα καίρια σημεία. Επίσης οι προσβάσεις που δίνονται δεν θα πρέπει να περιορίζουν την παραγωγικότητα των υπαλλήλων ενός οργανισμού δυσχεραίνοντας τη λειτουργία του. Οι πολιτικές πρέπει να εφαρμόζονται ανάλογα με τις ανάγκες του οργανισμού και η προσχώρηση ή κατάργηση των δικαιωμάτων πρόσβασης πρέπει να δίνεται ανάλογα με τα έργα ή τις προσλήψεις και αποχωρήσεις των υπαλλήλων που εργάζονται σε αυτούς.

Ένα μεγάλος αριθμός διεθνών προτύπων ασχολούνται με τη διαδικασία της αναγνώρισης, όταν μια συσκευή ή ένας χρήστης πιστοποιούνται και δίνεται εξουσιοδότηση κατά πόσον ο χρήστης μπορεί να έχει πρόσβαση σε συγκεκριμένους χώρους. Ένα από τα πρότυπα αυτά είναι και το IEC 60839-11-5 που περιλαμβάνει τους ελέγχους φυσικής πρόσβασης περιλαμβανομένων βιομετρικών χαρακτηριστικών όπως τα δακτυλικά αποτυπώματα, η σάρωση της ίριδας του ματιού και οι κάρτες πρόσβασης.

Τα διεθνή πρότυπα της IEC υιοθετούν μια ολιστική προσέγγιση για τον μετριασμό του κινδύνου λαμβάνοντας υπόψην όχι μόνο τις τεχνολογίες και τις διαδικασίες, αλλά και τα ίδια τα άτομα. Η εκπαίδευση, η κατάρτιση αλλά και η ανάπτυξη των ικανοτήτων θεωρούνται απαραίτητες για την ευαισθητοποίηση και τη δημιουργία μιας υγιούς κουλτούρας ασφάλειας στον κυβερνοχώρο. Αυτό είναι ιδιαίτερα κρίσιμο σήμερα, επειδή λόγω της πανδημίας, μια μεγάλη μερίδα ατόμων εργάζεται με τηλεργασία. Η υφισταμένη κατάσταση αυξάνει την πολυπλοκότητα του ελέγχου πρόσβασης, καθώς οι χρήστες συνδέονται σε πολλές εταιρικές εφαρμογές και δίκτυα από τα οικιακά τους περιβάλλοντα. Τα πρότυπα IEC βοηθούν τους οργανισμούς να διαχειρίζονται τους ρόλους και να κατανέμουν τα δικαιώματα του δικτύου αποτελεσματικά, επιτυγχάνοντας παράλληλα μια ισορροπία μεταξύ της χρηστικότητας και της ασφάλειας.

*Η Αγγελική Λοΐζου εργάζεται ως Λειτουργός Τυποποίησης στον Κυπριακό Οργανισμό Τυποποίησης (CYS).