Συνεχης ενημερωση

    Δευτέρα, 14-Σεπ-2020 14:18

    Οδηγός προστασίας από κυβερνοεπιθέσεις προς τις επιχειρήσεις

    Οδηγός προστασίας από κυβερνοεπιθέσεις προς τις επιχειρήσεις
    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Οδηγό με μέτρα και βασικές κατευθύνσεις για την αποτελεσματική προστασία των πληροφοριακών τους συστημάτων από κυβερνοεπιθέσεις δημοσιεύει η Εθνική Αρχή Κυβερνοασφάλειας στο πλαίσιο της διαρκούς προσπάθειας για την ενημέρωση των επιχειρήσεων σε θέματα ασφάλειας των ψηφιακών υποδομών.

    Τα μέτρα που περιλαμβάνονται στον οδηγό διαμορφώνουν ένα σύνολο ενεργειών που ονομάζεται ψηφιακή "άμυνα-σε-βάθος" (defense-in-depth) και περιλαμβάνουν καλές πρακτικές για τον περιορισμό και την αντιμετώπιση των πιο κοινών τύπων επιθέσεων στα συστήματα, τις εφαρμογές και το δίκτυο. Ανεξάρτητα από το αντικείμενο στο οποίο δραστηριοποιείται μία επιχείρηση, η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί υψηλή προτεραιότητα, ειδικά κατά την τρέχουσα περίοδο που ολοένα και περισσότερες καθημερινές δραστηριότητες διενεργούνται μέσω διαδικτύου. Ο σύντομος οδηγός αποτελεί συνέχεια των οδηγιών που είχε εκδώσει το υπουργείο Ψηφιακής Διακυβέρνησης τον περασμένο Μάρτιο σχετικά με την ασφαλή εργασία από το σπίτι και την προστασία εφαρμογών και συστημάτων. Η Εθνική Αρχή Κυβερνοασφάλειας επισημαίνει ότι η ασφάλεια των πληροφοριακών και τηλεπικοινωνιακών υποδομών είναι μια διαρκής διαδικασία και καλεί τόσο τις επιχειρήσεις όσο και τους πολίτες να διατηρούν ενημερωμένο τον εξοπλισμό τους (υπολογιστές, smartphones, tablets, routers κ.τ.λ.) με βάση τις οδηγίες των κατασκευαστών και να εμπιστεύονται μόνο αξιόπιστες πηγές πληροφόρησης για την ενημέρωσή τους σε θέματα προστασίας.

    Οδηγίες της Εθνικής Αρχής Κυβερνοασφάλειας για την προστασία των πληροφοριακών υποδομών των επιχειρήσεων από κυβερνοεπιθέσεις

    Στο επίκεντρο της προσπάθειας για την ανάπτυξη ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών και των δικτύων πρέπει να βρίσκεται η μεθοδολογία προσέγγισης βάσει κινδύνου, με σκοπό την προστασία της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ιδιωτικότητας. Συγκεκριμένα:

    1) Αναπτύξτε πολιτικές ασφάλειας, κατευθυντήριες οδηγίες και διαδικασίες για την προστασία των πληροφοριακών αγαθών και των σχετικών συστημάτων, οι οποίες να επεκτείνονται και σε προμηθευτές υπηρεσιών και αγαθών, καθώς και σε παρόχους υπηρεσιών νέφους (cloud).

    2) Χρησιμοποιείτε κατάλληλα παραμετροποιημένο και ενημερωμένο λογισμικό προστασίας από κακόβουλο κώδικα (anti-malware software) με κεντρική διαχείριση. Επίσης, να υφίσταται σχέδιο (patch management) για την προγραμματισμένη εγκατάσταση των ενημερώσεων ασφάλειας (security updates) στα λειτουργικά συστήματα και τις εφαρμογές.

    3) Διαχείριση λογαριασμών και έλεγχος πρόσβασης:

    * Η πρόσβαση σε πληροφορίες και συστήματα θα πρέπει να γίνεται βάσει ρόλων και καθηκόντων, σύμφωνα με την προσέγγιση "need-to-know-basis" και "least privilege".

    * Η χρήση των λογαριασμών διαχείρισης θα πρέπει να γίνεται αποκλειστικά για διαχειριστικές εργασίες. Ανάλογα με την κρισιμότητα των δεδομένων και των συστημάτων, συστήνονται επιπλέον μέτρα, όπως π.χ. η χρήση υπολογιστών αποκλειστικά για διαχείριση, καθώς και η αυθεντικοποίηση δύο παραγόντων (two-factor-authentication).

    *Χρησιμοποιείστε ισχυρούς κωδικούς πρόσβασης (strong passwords). Συνιστάται οι κωδικοί πρέπει να έχουν μήκος τουλάχιστον 10 χαρακτήρων με συνδυασμό κεφαλαίων, μικρών, ειδικών χαρακτήρων και αριθμών.

    *Τηρείτε αρχεία καταγραφής (log files) στο δίκτυο, στους servers, στα λειτουργικά συστήματα και τις εφαρμογές, τα οποία θα ελέγχονται τακτικά για ανίχνευση επιθέσεων και προσπαθειών παραβίασης των συστημάτων.

    4) Υλοποιήστε πολυεπίπεδη άμυνα:

    * Στην εξωτερική περίμετρο με τη χρήση firewalls, IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems), access control lists κ.α..

    * Εσωτερικά με την τμηματοποίση του δικτύου (είτε με φυσικό τρόπο είτε με εικονικό τρόπο [virtual lans]) και την υλοποίηση κανόνων πρόσβασης (σε χρήστες και συσκευές) και περιορισμού δικαιωμάτων, καθώς και τη δημιουργία DMZ.

    5) Υλοποιήστε σε τακτική βάση προγράμματα ευαισθητοποίησης του προσωπικού και διαμόρφωσης κουλτούρας ασφάλειας (security awareness training). Η συντριπτική πλειοψηφία των σύγχρονων κυβερνοεπιθέσεων ξεκινά με επιθέσεις κοινωνικής μηχανικής (π.χ. phishing email, spam).

    6) Η απομακρυσμένη πρόσβαση (remote access) στα συστήματα του Οργανισμού θα πρέπει να γίνεται με τη χρήση VPN με ισχυρή κρυπτογράφηση, καθώς και χρήση αυθεντικοποίησης 2 παραγόντων (two-factor-authentication).

    7) Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών (incidence response plan), το οποίο θα περιλαμβάνει σαφείς ρόλους και ενέργειες και θα δοκιμάζεται σε περιοδική βάση.

    8) Θα πρέπει να τηρείτε τακτικά αντίγραφα ασφαλείας (backup) των δεδομένων σας, διασφαλίζοντας την αποτελεσματική ανάκτησή τους (recovery) σε περίπτωση απώλειας. Επίσης, τα αντίγραφα ασφαλείας των κρίσιμων και ευαίσθητων δεδομένων θα πρέπει να αποθηκεύονται με ασφαλή τρόπο και περιορισμό πρόσβασης.

    9) Εφαρμόζετε μηχανισμούς κρυπτογράφησης στα κρίσιμα και προσωπικά δεδομένα που τηρούνται στον Οργανισμό, προκειμένου να εξασφαλίζεται η εμπιστευτικότητα και η ιδιωτικότητά τους σε όλα τα στάδια του κύκλου ζωής τους.

    10) Εφαρμόζετε μέτρα προστασίας και ανάκαμψης από φυσικές και περιβαλλοντικές απειλές (διαταραχή ηλεκτροδότησης, πλημμύρες, πυρκαγιές κ.λπ.).

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ

    10:00 23/10

    PS5 – Xbox Series X/S: Το gaming αλλάζει, δες πώς!

    Η νέα γενιά κονσολών είναι εδώ. Sony και Microsoft ετοιμάζονται για μία ακόμα "μάχη", καθώς τα PS5 και Xbox Series X/S είναι πανέτοιμα να κατακλύσουν την αγορά.

    10:38 20/10

    Το πρώτο Future Ready κατάστημα της Vodafone στην Ευρώπη άνοιξε στο The Mall Athens

    Ανοίγει την πόρτα στο μέλλον κάνοντας την τεχνολογία, μια συναρπαστική εμπειρία για όλους.

    11:25 16/10

    NASA: Χρηματοδοτεί τη Nokia για να στήσει δίκτυο κινητής τηλεφωνίας στη Σελήνη

    Το ύψος της χρηματοδότησης αγγίζει τα $14,1 εκατ..

    17:20 15/10

    Huawei Watch GT 2 Pro: Κορυφαίες τεχνολογίες με premium design που ξεχωρίζει

    Με εντυπωσιακό σχεδιασμό, μοναδική αυτονομία και ξεχωριστές λειτουργίες το νέο Huawei Watch GT 2 Pro, έρχεται να επιβεβαιώσει την επιτυχία της Huawei στα αξεσουάρ και στα wearables.

    09:18 15/10

    Νέα πλατφόρμα από το Zoom για τη μαζική online παρακολούθηση εκδηλώσεων

    Εισιτήρια θα μπορούν να διατίθενται για έως 1.000 άτομα.

    18:53 14/10

    Αν το επιχειρήσετε… online, κάντε το σωστά!

    Το μυστικό της επιτυχίας κρύβεται στην πρωτοποριακή μέθοδο Wizard’s ScaleUp!

    08:57 08/10

    Σε τροχιά μπαίνει το G-Cloud δεύτερης γενιάς

    Λαμβάνοντας υπόψη τις ανάγκες που έχουν πολλαπλασιαστεί.

    19:48 01/10

    COSMOTE TV: Μειωμένοι από σήμερα οι λογαριασμοί των συνδρομητών

    Σε συνέχεια του πρόσφατου νόμου 4728/2020, για την αναστολή του τέλους συνδρομητικής τηλεόρασης μέχρι και τον Σεπτέμβριο του 2021.

    07:50 30/09

    Πώς αξιοποιούν οι ελληνικές επιχειρήσεις την Τεχνητή Νοημοσύνη

    H Τεχνητή Νοημοσύνη βρίσκεται ήδη στην Ελλάδα, αναφέρει νέα έρευνα της Boston Consulting Group και της Microsoft αναλύοντας 35 περιπτώσεις ελληνικών επιχειρήσεων.