* του Κώστα Αργυρόπουλου, Υπεύθυνου Ασφάλειας Πληροφοριών και Συντονιστή Επιχειρησιακής Συνέχειας, περιοδικό Υδρογείου Ασφαλιστικής VOICE - Ιούλιος 0216

Ειδικά για τις ασφαλιστικές εταιρείες, οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια αποτελούν σημαντικό τομέα επένδυσης δεδομένης της ευαίσθητης φύσης των πληροφοριών που αυτές διαχειρίζονται (βάσεις δεδομένων πελατών και ασφαλιστικών διαμεσολαβητών, προσωπικά, οικονομικά και περιουσιακά στοιχεία πελάτη, συμβάσεις συνεργασίας με διαμεσολαβητές και άλλους εξωτερικούς παρόχους, κτλ).

Ζητούμενο λοιπόν είναι η προστασία όχι μόνο των φυσικών (τεχνολογικός εξοπλισμός) αλλά και των ψηφιακών περιουσιακών στοιχείων, δηλαδή των τεχνολογικών δικτύων και συστημάτων, από τα οποία εξαρτώνται βασικές λειτουργίες των εταιρειών π.χ. εκδόσεις συμβολαίων, διαχείριση αποζημιώσεων, επικοινωνία και υπηρεσίες δικτύου συνεργατών, υπηρεσίες πληρωμών, κ.α. Η εγκατάσταση Τείχους Προστασίας (Firewall), προγράμματος εντοπισμού κακόβουλων προγραμμάτων (antivirous & antispam) και η λειτουργία Συστήματος Ανίχνευσης Εισβολέα (intrusion detection system), καθώς επίσης και η αξιολόγηση της ανθεκτικότητας των δικτύων μέσω δοκιμών διείσδυσης (Penetration tests) αποτελούν σημαντικά προστατευτικά μέτρα.

Δοκιμή Διείσδυσης

Ως δοκιμή διείσδυσης (penetration testing ή αλλιώς pentest) ορίζεται μια δοκιμαστική εισβολή σε ένα πληροφοριακό σύστημα για την αξιολόγηση της ασφάλειάς του. Με τη μέθοδο αυτή γίνεται προσομοίωση επίθεσης από κακόβουλο εισβολέα που έχει σκοπό την εκμετάλλευση κενών ασφαλείας για την ανάδειξη των ευπαθειών του συστήματος.

Εγκληματίες του κυβερνοχώρου

Οι εγκληματίες του κυβερνοχώρου γνωστοί και ως “hackers”, είναι πραγματικοί εγκληματίες οι οποίοι εισβάλλουν σε συστήματα για να προκαλέσουν ζημιά ή να αποκτήσουν πρόσβαση σε στοιχεία και πληροφορίες, συχνά ευαίσθητου χαρακτήρα, με σκοπό το προσωπικό και οικονομικό τους όφελος. Στο προπαρασκευαστικό στάδιο ο hacker, συγκεντρώνει πληροφορίες για το σύστημα που επιθυμεί να προσβάλλει και προσπαθεί να αποκτήσει πρόσβαση σ’ αυτό αποκτώντας τους κωδικούς εισόδου (password), αποκτώντας έτσι τα δικαιώματα ενός νόμιμου χρήστη του συστήματος.

Θωράκιση Τεχνολογικού Δικτύου Υδρογείου

Στο πλαίσιο της στρατηγικής της για τη διαχείριση πληροφοριακών συστημάτων και τη διασφάλιση της απρόσκοπτης λειτουργίας και παροχής των διαδικτυακών υπηρεσιών της προς πελάτες και συνεργάτες της, η Υδρόγειος διενήργησε, σε συνεργασία με γνωστό εξωτερικό πάροχο Δοκιμή Διείσδυσης του δικτύου της.

Στόχοι της δοκιμής ήταν, μεταξύ άλλων, ο εντοπισμός πιθανών εκτεθειμένων περιοχών και υπηρεσιών που μπορεί να λειτουργήσουν ως σημείο εισόδου κακόβουλων χρηστών (hackers), ο προσδιορισμός και η επικύρωση τρωτών σημείων και η ανάπτυξη μακροπρόθεσμης στρατηγικής για την ενίσχυση της ασφάλειας.

Ως γενικό συμπέρασμα της δοκιμής, κρίθηκε ότι η συνολική θέση του τεχνολογικού δικτύου της εταιρείας είναι σε καλή κατάσταση. Τα περισσότερα συστήματα και οι υπηρεσίες έχουν το κατάλληλο επίπεδο ενημέρωσης (patch management), απαιτείται εκτεταμένη γνώση τεχνογνωσίας εκ μέρους του εισβολέα (hacker) για την εκμετάλλευση του δικτύου και τα περισσότερα τρωτά σημεία (vulnerabilities) μπορούν εύκολα να μετριαστούν.