Εκπαίδευση και Ασφάλεια στον Κυβερνοχώρο

Εκπαίδευση και Ασφάλεια στον Κυβερνοχώρο

Το 2020, η πανδημία της COVID-19 μεταμόρφωσε το εργασιακό περιβάλλον, με αρκετούς υπαλλήλους να εργάζονται πλέον από το σπίτι τους, αυξάνοντας έτσι την επιφάνεια επίθεσης και την έκθεση των πληροφοριακών συστημάτων. Σήμερα, όλο και περισσότερο η εκπαίδευση στον τομέα της ασφάλειας στον κυβερνοχώρο αναδύεται ως ουσιαστική διαδικασία για τη δια βίου μάθηση του προσωπικού σε οργανισμούς, ειδικά για εκείνους που λειτουργούν κρίσιμες υποδομές. Αυτό οφείλεται σε παραβιάσεις ασφάλειας σε δημοφιλείς υπηρεσίες που γίνονται γνωστές στο κοινό και αυξάνουν την ευαισθητοποίηση των πολιτών παγκοσμίως. Εκτός από τους μεγάλους οργανισμούς, οι μικρομεσαίες επιχειρήσεις (SMEs) και οι ιδιώτες πρέπει να ενημερώνουν τις γνώσεις τους στα σχετικά θέματα ως μέσο προστασίας της επιχειρηματικής τους λειτουργίας ή απόκτησης ανταγωνιστικών επαγγελματικών δεξιοτήτων.

Εκτός από τη σχετική ακαδημαϊκή εκπαίδευση που έχει σχεδιαστεί κυρίως για φοιτητές πληροφορικής, τα επαγγελματικά προγράμματα κερδίζουν συνεχώς έδαφος και κυμαίνονται από εισαγωγικά σύντομα μαθήματα για άτομα χωρίς γνώσεις ασφάλειας, έως εξαιρετικά εξειδικευμένα πιστοποιητικά για εμπειρογνώμονες ασφαλείας. Τα μέσα για την παροχή τέτοιας εκπαίδευσης περιλαμβάνουν: παραδοσιακή διδασκαλία στην τάξη, διαδικτυακές πλατφόρμες κατάρτισης και εικονικά εργαστήρια, καθώς και σύγχρονες πλατφόρμες προσομοίωσης κυβερνο-ασκήσεων που αναπαριστούν ένα πραγματικό σύστημα και παρέχουν πρακτική εμπειρία στον εκπαιδευόμενο, υπό ρεαλιστικές επιχειρησιακές συνθήκες.

Μέσα από μία σειρά Ευρωπαϊκών ερευνητικών προγραμμάτων, το ΙΤΕ ασχολείται με την ανάλυση των σύγχρονων ψηφιακών απειλών, την ευαισθητοποίηση του κοινού, και την εκπαίδευση σε τεχνολογίες αιχμής. Μεταξύ άλλων, αυτό περιλαμβάνει και την υλοποίηση σύγχρονων εργαλείων εκπαίδευσης και διεξαγωγής ρεαλιστικών κυβερνο-ασκήσεων. Έτσι, μπορούμε να αναλύσουμε το σύστημα ενός οργανισμού, να βρούμε τις πιο σοβαρές ευπάθειες και να δημιουργήσουμε με αποδοτικό τρόπο ένα ψηφιακό αντίγραφο του συστήματος, στο οποίο θα προσομοιώσουμε μοτίβα πραγματικών επιθέσεων. Το προσωπικό, αφού λάβει την απαραίτητη θεωρητική και τεχνική εκπαίδευση, μπορεί στην συνέχεια να ενεργοποιεί το ψηφιακό αντίγραφο και να δοκιμάζει στην πράξη τις ικανότητές του κάτω από ρεαλιστικές συνθήκες επίθεσης.

Εικόνα 1. Εκπαιδευτικά στοιχεία της πλατφόρμας κυβερνο-ασκήσεων THREAT-ARREST (προσομοίωση, εξομοίωση, και εκπαιδευτικά παιχνίδια ηλεκτρονικής ασφάλειας)

Ωστόσο, η επιτυχής ολοκλήρωση ενός εκπαιδευτικού προγράμματος δεν βελτιώνει πάντα την ασφάλεια του οργανισμού. Το επίπεδο ασφάλειας αυξάνεται μόνο όταν οι εκπαιδευόμενοι εφαρμόζουν όσα έχουν μάθει στο πραγματικό σύστημα. Έτσι, εκτός από την εκπαίδευση εξετάζουμε πώς μπορούμε να εκμεταλλευτούμε την αρχική ανάλυση που έχουμε κάνει στον οργανισμό, προκειμένου να εγκαταστήσουμε λογισμικό που αξιολογεί σε πραγματικό χρόνο το επίπεδο ασφάλειας. Η πληροφορία αυτή είναι διαθέσιμη καθ’ όλη την διάρκεια του εκπαιδευτικού προγράμματος και βοηθάει στην προσαρμογή της παιδαγωγικής διαδικασίας, έως ότου επιτευχθεί η πραγματική βελτίωση της ασφάλειας που έχουμε βάλει ως στόχο.

Εικόνα 2. Η διαδικασία μάθησης και η τελική αξιολόγηση του εκπαιδευτικού προγράμματος

Από την άλλη πλευρά, το οικονομικό κόστος ενός πλήρους προγράμματος κατάρτισης, ακόμη και για το βασικό προσωπικό ασφαλείας, μπορεί να είναι υψηλό. Επομένως, μπορεί να συνδυαστεί με άλλες σχετικές διαδικασίες, όπως η πιστοποίηση (certification) και η ασφαλιστική κάλυψη (insurance). Η αυτόματη ανάλυση της ασφάλειας που ερευνάμε, καλύπτει ένα σημαντικό μέρος αυτών των διαδικασιών και έτσι μπορούμε να συμπιέσουμε το συνολικό κόστος. Επίσης, η επαρκής εκπαίδευση και βελτίωση της επιχειρησιακής κατάστασης μπορούν να διευκολύνουν τη διαδικασία πιστοποίησης, καθώς όλοι οι μηχανισμοί προστασίας είναι ενεργοί και λειτουργούν σωστά. Ενώ, η αυξημένη ευαισθητοποίηση του προσωπικού μπορεί να μειώσει περαιτέρω τον κίνδυνο για πιθανή παραβίαση ασφάλειας, επιτρέποντας χαμηλότερα ασφαλιστικά συμβόλαια.

Δρ. Χατζηβασίλης Γεώργιος,

Μεταδιδακτορικός Ερευνητής, ΙΠ – ΙΤΕ

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *