Υπήρχε μια εποχή όπου οι οργανισμοί που αποστρέφονταν τον κίνδυνο μπορούσαν να περιορίσουν σοβαρά την ικανότητα των επιχειρηματικών χρηστών τους να κάνουν δαπανηρά λάθη. Με περιορισμένη τεχνική τεχνογνωσία, αυστηρές άδειες και έλλειψη tailwind, το χειρότερο πράγμα που θα μπορούσε να κάνει ένας επιχειρηματικός χρήστης ήταν να κατεβάσει κακόβουλο λογισμικό ή να υποκύψει σε μια καμπάνια phishing. Αυτές οι μέρες έχουν πλέον φύγει.
Στην εποχή μας, κάθε μεγάλη πλατφόρμα λογισμικού ως υπηρεσία (SaaS) διατίθεται σε πακέτο με δυνατότητες αυτοματισμού και δημιουργίας εφαρμογών που έχουν σχεδιαστεί και διατίθενται απευθείας σε επιχειρηματικούς χρήστες. Ενσωματώνονται πλατφόρμες SaaS όπως το Microsoft 365, το Salesforce και το ServiceNow πλατφόρμες χωρίς κώδικα/χαμηλό κώδικα στις υπάρχουσες προσφορές τους, τοποθετώντας τις απευθείας στα χέρια των επιχειρηματικών χρηστών χωρίς να ζητούν την εταιρική έγκριση. Δυνατότητες που κάποτε ήταν διαθέσιμες μόνο στις ομάδες IT και ανάπτυξης είναι τώρα διαθέσιμες σε ολόκληρο τον οργανισμό.
Η Power Platform, η πλατφόρμα χαμηλού κώδικα της Microsoft, είναι ενσωματωμένη στο Office 365 και αποτελεί εξαιρετικό παράδειγμα λόγω της ισχυρής θέσης της Microsoft στην επιχείρηση και του ρυθμού με τον οποίο υιοθετείται από επαγγελματίες χρήστες. Ίσως χωρίς να το συνειδητοποιούν, οι επιχειρήσεις δίνουν την εξουσία σε επίπεδο προγραμματιστή στα χέρια περισσότερων ανθρώπων από ποτέ, με πολύ λιγότερη ασφάλεια ή τεχνική γνώση. Τι θα μπορούσε ενδεχομένως να πάει στραβά;
Αρκετά, στην πραγματικότητα. Ας εξετάσουμε μερικά παραδείγματα πραγματικού κόσμου από την εμπειρία μου. Οι πληροφορίες έχουν ανωνυμοποιηθεί και οι διαδικασίες που αφορούν συγκεκριμένες επιχειρήσεις παραλείφθηκαν.
Κατάσταση 1: Νέος προμηθευτής; Απλά κάνε το
Η ομάδα εξυπηρέτησης πελατών σε μια πολυεθνική εταιρεία λιανικής ήθελε να εμπλουτίσει τα δεδομένα των πελατών της με πληροφορίες για τους καταναλωτές. Συγκεκριμένα, ήλπιζαν να βρουν περισσότερες πληροφορίες για νέους πελάτες, ώστε να μπορέσουν να τους εξυπηρετήσουν καλύτερα, ακόμη και κατά την αρχική τους αγορά. Η ομάδα εξυπηρέτησης πελατών αποφάσισε να επιλέξει έναν προμηθευτή με τον οποίο θα ήθελε να συνεργαστεί. Ο πωλητής απαιτούσε να του σταλούν δεδομένα για εμπλουτισμό, τα οποία στη συνέχεια θα ανακαλούνταν από τις υπηρεσίες τους.
Κανονικά, εδώ είναι που το IT εμφανίζεται στην εικόνα. Το ΙΤ θα πρέπει να δημιουργήσει κάποιο είδος ενοποίησης για να λαμβάνει δεδομένα από και προς τον προμηθευτή. Θα πρέπει προφανώς να συμμετάσχει και η ομάδα ασφάλειας IT, για να διασφαλιστεί ότι αυτός ο προμηθευτής μπορεί να εμπιστευτεί τα δεδομένα πελατών και να εγκρίνει την αγορά. Οι προμήθειες και η νομική θα έπαιρναν επίσης βασικό ρόλο. Σε αυτή την περίπτωση όμως τα πράγματα πήγαν σε διαφορετική κατεύθυνση.
Αυτή η συγκεκριμένη ομάδα εξυπηρέτησης πελατών ήταν ειδικοί της Microsoft Power Platform. Αντί να περιμένουν πόρους ή έγκριση, απλώς προχώρησαν και δημιούργησαν οι ίδιοι την ενοποίηση: συλλέγοντας δεδομένα πελατών από διακομιστές SQL στην παραγωγή, προωθώντας τα όλα σε έναν διακομιστή FTP που παρέχεται από τον προμηθευτή και φέρνοντας εμπλουτισμένα δεδομένα πίσω από τον διακομιστή FTP στη βάση δεδομένων παραγωγής. Η όλη διαδικασία εκτελούνταν αυτόματα κάθε φορά που ένας νέος πελάτης προστέθηκε στη βάση δεδομένων. Όλα αυτά έγιναν μέσω διασυνδέσεων μεταφοράς και απόθεσης, που φιλοξενήθηκαν στο Office 365 και χρησιμοποιώντας τους προσωπικούς τους λογαριασμούς. Η άδεια πληρώθηκε από την τσέπη του, γεγονός που κράτησε τις προμήθειες εκτός κυκλώματος.
Φανταστείτε την έκπληξη του CISO όταν ανακάλυψαν μια δέσμη επιχειρηματικών αυτοματισμών που μεταφέρουν δεδομένα πελατών σε μια σκληρά κωδικοποιημένη διεύθυνση IP στο AWS. Όντας πελάτης μόνο για Azure, αυτό σήκωσε μια γιγάντια κόκκινη σημαία. Επιπλέον, τα δεδομένα αποστέλλονταν και λαμβάνονταν με μη ασφαλή σύνδεση FTP, δημιουργώντας κίνδυνο ασφάλειας και συμμόρφωσης. Όταν η ομάδα ασφαλείας το βρήκε αυτό μέσω ενός αποκλειστικού εργαλείου ασφαλείας, τα δεδομένα κυκλοφορούσαν μέσα και έξω από τον οργανισμό για σχεδόν ένα χρόνο.
Κατάσταση 2: Ωχ, είναι λάθος να συλλέγουμε πιστωτικές κάρτες;
Η ομάδα Ανθρώπινου Δυναμικού σε έναν μεγάλο πωλητή πληροφορικής προετοιμαζόταν για μια εκστρατεία «Give Away» μια φορά το χρόνο, όπου οι εργαζόμενοι ενθαρρύνονται να κάνουν δωρεές στην αγαπημένη τους φιλανθρωπική οργάνωση, με την εταιρεία να συμμετέχει ταιριάζοντας κάθε δολάριο που δωρίζουν οι εργαζόμενοι. Η καμπάνια του προηγούμενου έτους είχε τεράστια επιτυχία, επομένως οι προσδοκίες ξεπέρασαν την οροφή. Για να ενισχύσει την καμπάνια και να ανακουφίσει τις μη αυτόματες διαδικασίες, ένας δημιουργικός υπάλληλος ανθρώπινου δυναμικού χρησιμοποίησε την πλατφόρμα Power της Microsoft για να δημιουργήσει μια εφαρμογή που διευκόλυνε την όλη διαδικασία. Για να εγγραφεί, ένας υπάλληλος θα συνδεόταν στην εφαρμογή με τον εταιρικό του λογαριασμό, θα υποβάλει το ποσό της δωρεάς του, θα επέλεγε μια φιλανθρωπική οργάνωση και θα παρείχε τα στοιχεία της πιστωτικής του κάρτας για πληρωμή.
Η εκστρατεία είχε τεράστια επιτυχία, με συμμετοχή εργαζομένων σε ρεκόρ και λίγη χειρωνακτική εργασία που απαιτείται από τους υπαλλήλους HR. Για κάποιο λόγο, όμως, η ομάδα ασφαλείας δεν ήταν ευχαριστημένη με την εξέλιξη των πραγμάτων. Κατά την εγγραφή στην καμπάνια, ένας υπάλληλος από την ομάδα ασφαλείας συνειδητοποίησε ότι οι πιστωτικές κάρτες συγκεντρώνονταν σε μια εφαρμογή που δεν φαινόταν ότι θα έπρεπε να το κάνει. Μετά από έρευνα, διαπίστωσαν ότι αυτά τα στοιχεία της πιστωτικής κάρτας είχαν πράγματι ακατάλληλο χειρισμό. Τα στοιχεία της πιστωτικής κάρτας αποθηκεύτηκαν στο προεπιλεγμένο περιβάλλον Power Platform, που σημαίνει ότι ήταν διαθέσιμα σε ολόκληρο τον μισθωτή του Azure AD, συμπεριλαμβανομένων όλων των υπαλλήλων, των πωλητών και των εργολάβων. Επιπλέον, αποθηκεύτηκαν ως απλά πεδία συμβολοσειράς απλού κειμένου.
Ευτυχώς, η παραβίαση της επεξεργασίας δεδομένων ανακαλύφθηκε από την ομάδα ασφαλείας προτού την εντοπίσουν κακόβουλοι παράγοντες - ή ελεγκτές συμμόρφωσης. Η βάση δεδομένων καθαρίστηκε και η εφαρμογή διορθώθηκε για να χειριστεί σωστά τις οικονομικές πληροφορίες σύμφωνα με τους κανονισμούς.
Κατάσταση 3: Γιατί δεν μπορώ να χρησιμοποιήσω το Gmail;
Ως χρήστης, σε κανέναν δεν αρέσουν οι έλεγχοι πρόληψης απώλειας εταιρικών δεδομένων. Ακόμη και όταν είναι απαραίτητο, εισάγουν ενοχλητικές τριβές στις καθημερινές λειτουργίες. Ως αποτέλεσμα, οι χρήστες προσπαθούσαν πάντα να τις παρακάμψουν. Μια πολυετής διελκυστίνδα μεταξύ δημιουργικών επιχειρηματικών χρηστών και της ομάδας ασφαλείας είναι το εταιρικό email. Συγχρονισμός εταιρικού email με προσωπικό λογαριασμό email ή εταιρικού ημερολογίου με προσωπικό ημερολόγιο: Οι ομάδες ασφαλείας έχουν μια λύση για αυτό. Συγκεκριμένα, θέσπισαν λύσεις ασφάλειας email και DLP για να εμποδίσουν την προώθηση email και να εξασφαλίσουν τη διακυβέρνηση δεδομένων. Αυτό λύνει το πρόβλημα, σωστά;
Λοιπόν όχι. Επαναλαμβανόμενη διαπίστωση σε μεγάλες επιχειρήσεις και μικρές επιχειρήσεις διαπιστώνει ότι οι χρήστες δημιουργούν αυτοματισμούς που παρακάμπτουν τους ελέγχους email για να προωθήσουν το εταιρικό email και το ημερολόγιό τους στους προσωπικούς τους λογαριασμούς. Αντί να προωθούν μηνύματα ηλεκτρονικού ταχυδρομείου, αντιγράφουν και επικολλούν δεδομένα από τη μια υπηρεσία στην άλλη. Συνδεόμενοι σε κάθε υπηρεσία με ξεχωριστή ταυτότητα και αυτοματοποιώντας τη διαδικασία αντιγραφής-επικόλλησης χωρίς κωδικό, οι επιχειρησιακοί χρήστες παρακάμπτουν τους ελέγχους ασφαλείας με ευκολία — και χωρίς εύκολο τρόπο να το ανακαλύψουν οι ομάδες ασφαλείας.
Η κοινότητα Power Platform έχει μάλιστα αναπτυχθεί πρότυπα που μπορεί να πάρει και να χρησιμοποιήσει οποιοσδήποτε χρήστης του Office 365.
Με μεγάλη δύναμη έρχεται μεγάλη ευθύνη
Η ενδυνάμωση των επιχειρησιακών χρηστών είναι εξαιρετική. Οι επιχειρηματικές γραμμές δεν πρέπει να περιμένουν IT ή να αγωνίζονται για πόρους ανάπτυξης. Ωστόσο, δεν μπορούμε απλώς να δώσουμε στους επαγγελματίες χρήστες εξουσία σε επίπεδο προγραμματιστή χωρίς καθοδήγηση ή προστατευτικά κιγκλιδώματα και να περιμένουμε ότι όλα θα πάνε καλά.
Οι ομάδες ασφαλείας πρέπει να εκπαιδεύουν τους επιχειρησιακούς χρήστες και να τους ενημερώνουν για τις νέες τους ευθύνες ως προγραμματιστές εφαρμογών, ακόμα κι αν αυτές οι εφαρμογές έχουν δημιουργηθεί χρησιμοποιώντας «χωρίς κώδικα». Οι ομάδες ασφαλείας θα πρέπει επίσης να θέσουν προστατευτικά κιγκλιδώματα και παρακολούθηση για να διασφαλίσουν ότι όταν οι επιχειρησιακοί χρήστες κάνουν ένα λάθος, όπως κάνουμε όλοι μας, δεν θα προκληθούν εκτεταμένες διαρροές δεδομένων ή περιστατικά ελέγχου συμμόρφωσης.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
