Είναι ωραίο, καλό και χρήσιμο να μιλάμε για μέτρα άμυνας, για τρόπους επίθεσης, για απειλές και αδυναμίες. Τις βλέπουμε από την σκοπιά του επιτιθέμενου, αλλά όχι για να διδάξουμε κάποιον απατεώνα (αν και αυτό μπορεί να συμβεί δυστυχώς, ως παράπλευρη απώλεια), αλλά γιατί πιστεύουμε στην παλιά αρχή που λέει: “Για να μπορέσεις να αμυνθείς σωστά πρέπει να μάθεις πώς σκέφτεται ο επιτιθέμενος” ή αλλιώς: “To know your enemy, you must become your enemy” – Sun Tzu.
Και ΟΚ, πείτε ότι μέχρι εδώ καλά…
Τι πάμε να προστατέψουμε όμως; Κάποιος (πολύ-πολύ παλιά) είχε πει οτι: για να μπορέσουμε να συζητήσουμε για ένα θέμα πρέπει πρώτα να ορίσουμε και (κυρίως) να συμφωνήσουμε τις βασικές έννοιες που το αφορούν, αλλιώς ο καθένας θα λέει (ή και) θα πιστεύει τα δικά του.
Παράπλευρο συμπέρασμα: Μπορεί τελικά να συμφωνήσουμε σε κάτι, είτε κατά τύχη είτε διότι “νομίζουμε” οτι συμφωνούμε.
Ανέκαθεν ήθελα να ξεκινήσω ένα άρθρο για την ασφάλεια και για να το κάνω λίγο πιο συγκεκριμένο: για την ασφάλεια πληροφοριακών συστημάτων. Τι είναι αυτή η ασφάλεια; Υπάρχει άραγε σαφής ορισμός;
Αν ανατρέξω στην Wikipedia μπορεί να βρω μερικές προσεγγίσεις, όπως:
“Security is protection from, or resilience against, potential harm (or other unwanted coercion) caused by others, by restraining the freedom of others to act. Beneficiaries (technically referents) of security may be of persons and social groups, objects and institutions, ecosystems or any other entity or phenomenon vulnerable to unwanted change.”
ή ακόμα:
“Information security, sometimes shortened to InfoSec,[1] is the practice of protecting information by mitigating information risks. “
Ενδιαφέρουσες προσεγγίσεις, αν και (κατά την άποψη του γράφοντος) ολίγον… ασαφείς, σε σχέση με το αντικείμενο της προστασίας (protection) και του τι ακριβώς θέλουμε να προστατέψουμε και πώς.
Θέλω να παρουσιάσω μια προσέγγιση η οποία είναι πιο κοντά στα πρότυπα για την ασφάλεια (ISO 27001, NIST κλπ.) και η οποία ακολουθεί την γνωστή τριάδα C.I.A. (Confidentiality, Integrity & Availability) ή με πιο “Ελληνικά”: Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα.
Πριν προχωρήσω όμως στους βασικούς ορισμούς των παραπάνω, θα πρέπει να ορίσω πρώτα μια άλλη, πρωταρχική έννοια, αυτή της Πληροφορίας:
Θεωρώ ως πληροφορία, οποιοδήποτε πόρο περιέχει αξία για μένα ή τον οργανισμό μου.
Η αξία μπορεί να είναι οικονομική, αλλά όχι μόνο (μπορεί να είναι συναισθηματική, τεχνολογική, πολιτική, πολιτιστική, κλπ.). Ο πόρος από την άλλη, μπορεί να πάρει όλες τις δυνατές μορφές, υλικές ή άυλες: Server, Λογισμικό, Άνθρωπος (π.χ. εργαζόμενος), Εμπειρία, Πνευματική Ιδιοκτησία, Προφορική ή Γραπτή Επικοινωνία κλπ.
Αφού εξηγήσαμε τον πόρο και την αξία, ήρθε τώρα η ώρα να εξηγήσουμε τους όρους: Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα με πολύ-πολύ απλά λόγια και χωρίς “επιστημονικούς ακροβατισμούς”:
- Εμπιστευτικότητα: Σημαίνει οτι αν επικοινωνώ με κάποιον άλλο μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) δεν μπορεί κάποιος τρίτος (μη εξουσιοδοτημένος από μας) να εισχωρήσει σε αυτή την επικοινωνία και να μπορέσει να λάβει γνώση για το τι λέμε.
- Ακεραιότητα: Σημαίνει οτι αν επικοινωνώ με κάποιον άλλο μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) δεν μπορεί κάποιος τρίτος (μη εξουσιοδοτημένος από μας) να αποκτήσει πρόσβαση στα μηνύματα μας και να μπορέσει να τα αλλοιώσει ή να τα διαγράψει.
- Διαθεσιμότητα: Σημαίνει οτι οποτεδήποτε θελήσω εγώ να επικοινωνήσω με κάποιον άλλον μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) το κανάλι (το μέσο) αυτό της επικοινωνίας θα είναι διαθέσιμο να με εξυπηρετήσει.
Αν ένας ή περισσότεροι από τους παραπάνω όρους παραβιαστεί, τότε θα έχω και παραβίαση της ασφάλειας!
Βέβαια, υπάρχουν πολλές ακόμα έννοιες, όπως Privacy (Ιδιωτικότητα), Authentication (Αυθεντικοποίηση) κλπ. που αναφέρονται στην βιβλιογραφία ως σημεία αναφοράς για την ασφάλεια. Προσωπικά όπως πιστεύω οτι κάλλιστα αυτές μπορούν να ενταχθούν στις παραπάνω τρείς βασικές.
Άρα, μπορώ να πω πια οτι η ασφάλεια έγκειται στην διασφάλιση της Εμπιστευτικότητας, Ακεραιότητας & Διαθεσιμότητας των Πόρων που έχουν Αξία για εμένα ή (και) τον οργανισμό μου.
Με πολύτιμη εμπειρία στον κόσμο της κυβερνοασφάλειας συμβάλλει ενεργά στην κοινότητά μας με αναλύσεις ευπαθειών και οδηγούς.
Με τη συνεισφορά του, προσφέρει στην κοινότητα μας ένα πλούσιο φάσμα γνώσεων και δεξιοτήτων που ενισχύουν την ανάπτυξη και την ασφάλεια του ψηφιακού μας κόσμου.
Security enthusiast | Technology & Information Security Manager
CISA, CEH, CEH Item Writer, ISO27001 LA, DPO Executive