Κατηγοριοποίηση & Ταξινόμηση των Περιστατικών Ασφάλειας Πληροφοριών. Πώς επηρεάζουν την Επιχειρηματικότητα και την Κοινωνία

Από τον Παντελή Ταμπακόπουλο,

Σύμφωνα με το ISO/IEC 27000, ως περιστατικό ασφάλειας πληροφοριών ορίζεται ένα ή μια σειρά από ανεπιθύμητα ή απρόβλεπτα συμβάντα ασφάλειας πληροφοριών τα οποία μπορούν  να  δημιουργήσουν  πρόβλημα  στην  επιχειρησιακή  λειτουργία  ενός οργανισμού ή μίας επιχείρησης και να απειλήσουν την ασφάλεια των πληροφοριών, δηλαδή  την  εμπιστευτικότητα,  την  ακεραιότητα  και  τη  διαθεσιμότητα  των πληροφοριών που ο οργανισμός ή η επιχείρηση, επεξεργάζεται.

Τα περιστατικά παραβίασης ασφάλειας πληροφοριών κατηγοριοποιούνται ανάλογα με τις απειλές σε:

  • Φυσικές καταστροφές (Σεισμός, έντονα καιρικά φαινόμενα, πλημμύρα, τσουνάμι κ.α.).
  • Κοινωνικές αναταραχές (Εξέγερση, πόλεμος, τρομοκρατική επίθεση κ.α.).
  • Φυσική ζημιά, σκόπιμη ή κατά λάθος (Πυρκαγιά, πλημμύρα, βραχυκύκλωμα, διάβρωση, καταστροφή – κλοπή – απώλεια ή αλλοίωση εξοπλισμού, καταστροφή – κλοπή, απώλεια μέσων, παραβίαση πολυμέσων κ.α.).
  • Αστοχία υποδομής (Σφάλμα τροφοδοσίας, αστοχία δικτύου, αστοχία κλιματισμού, αστοχία παροχής νερού κ.α.).
  • Ακτινοβολία (Ηλεκτρομαγνητική ακτινοβολία, ηλεκτρομαγνητικός παλμός, ηλεκτρονική παρεμβολή, διακυμάνσεις τάσης, θερμική ακτινοβολία κ.α.).
  • Τεχνική αστοχία (Αστοχία υλικού, δυσλειτουργία λογισμικού, κορεσμός της χωρητικότητας του συστήματος κ.α.).
  • Τεχνική επίθεση (Σάρωση δικτύου, εκμετάλλευση ευπάθειας, εκμετάλλευση backdoor, προσπάθειες σύνδεσης, παρεμβολές, DoS κ.α.).
  • Παραβίαση κανόνων με η χωρίς ανθρώπινη παρέμβαση ή συμμετοχή (Μη εξουσιοδοτημένη χρήση πόρων, παραβίαση πνευματικών δικαιωμάτων κ.α.).
  • Παραβίαση της ασφαλείας των λειτουργιών του συστήματος (Κατάχρηση δικαιωμάτων, πλαστογράφηση δικαιωμάτων, άρνηση δράσεων, εσφαλμένες ενέργειες, παραβίαση διαθεσιμότητας κ.α.).
  • Παραβίαση της ασφαλείας των πληροφοριών του συστήματος (Παρακολούθηση, κατασκοπεία, υποκλοπή, αποκάλυψη, social engineering, phishing, κλοπή, απώλεια, παραβίαση ή σφάλμα δεδομένων, ανίχνευση θέσης κ.α.).
  • Περιστατικά επιβλαβούς περιεχόμενου (Παράνομο περιεχόμενο, περιεχόμενο για πρόκληση πανικού, κακόβουλο περιεχόμενο, προσβλητικό περιεχόμενο κ.α.).
  • Άλλα περιστατικά.

Κατηγορίες βαρύτητας περιστατικών παραβίασης ασφάλειας πληροφοριών

  • Έκτακτης ανάγκης: Σοβαρή επίπτωση.
  • Κρίσιμες: Μεσαία επίπτωση.
  • Προειδοποιητικές: Χαμηλή επίπτωση.
  • Πληροφοριακές: Δεν υπάρχει αντίκτυπος, αλλά η ανάλυση τους, θα μπορούσε να χρησιμοποιηθεί για τη βελτίωση των πολιτικών, διαδικασιών ή ελέγχων ασφάλειας πληροφοριών.

Κατηγορίες σοβαρότητας περιστατικών παραβίασης ασφάλειας  πληροφοριών

  • Πολύ σοβαρές

Είναι αυτές που ενεργούν σε ιδιαίτερα σημαντικά συστήματα πληροφοριών, και έχουν ως αποτέλεσμα ιδιαίτερα σοβαρή επιχειρηματική ζημία, ή οδηγούν σε ιδιαίτερα σημαντικούς κοινωνικούς αντίκτυπους.

  • Σοβαρές

Είναι αυτές που ενεργούν σε ιδιαίτερα σημαντικά συστήματα πληροφοριών ή σε σημαντικά συστήματα πληροφοριών, και προκαλούν σοβαρή επιχειρηματική ζημία, ή  οδηγούν σε σημαντικές κοινωνικές επιπτώσεις.

  • Λιγότερο σοβαρές

Είναι εκείνες που ενεργούν σε σημαντικά συστήματα πληροφοριών ή σε απλά συστήματα πληροφοριών, και έχουν ως αποτέλεσμα υπολογίσιμη επιχειρηματική απώλεια, ή οδηγούν σε υπολογίσιμες κοινωνικές επιπτώσεις.

  • Μικρές

Είναι αυτές που ενεργούν σε συνηθισμένης σημαντικότητας πληροφοριακά συστήματα και έχουν ως αποτέλεσμα μικρές επιχειρηματικές απώλειες ή και καμία ή οδηγούν σε ήπιες κοινωνικές επιπτώσεις ή καθόλου κοινωνικές επιπτώσεις. Γενικά, είναι αμελητέες ή έχουν καθόλου συνέπειες και δεν απαιτείται καμία ενέργεια.

Σχέση της Κατηγορίας και του βαθμού σοβαρότητας των παραβιάσεων

Η κατηγορία παραβιάσεων ασφάλειας πληροφοριών και ο βαθμός σοβαρότητας συνδέονται συχνά. Μια κατηγορία παραβίασης μπορεί να έχει διαφορετικό βαθμό σοβαρότητας, ανάλογα όχι μόνο με την επιχείρηση αλλά και με τη φύση της παραβίασης, όπως π.χ. μία τεχνική επίθεση με αποτυχημένες προσπάθειες είναι μικρής σοβαρότητας ενώ μία μαζική που εκθέτει σε κίνδυνο τα προνόμια πρόσβασης των χρηστών είναι πολύ σοβαρή. Αντίστοιχα ένα γνωστό κακόβουλο λογισμικό, το οποίο εντοπίστηκε και αποκλείστηκε από την προστασία από ιούς είναι μικρής σοβαρότητας ενώ ένα κακόβουλο λογισμικό το οποίο δεν αποκλείστηκε και προκάλεσε μαζικές μολύνσεις είναι πολύ σοβαρή.

Ταξινόμηση των περιστατικών παραβίασης ασφάλειας πληροφοριών

Μία προσέγγιση ταξινόμησης των παραβιάσεων ασφάλειας πληροφοριών είναι η παρακάτω, λαμβάνοντας υπόψη τους ακόλουθους τρεις παράγοντες:

  • Την Σημασία των πληροφοριακών συστημάτων

       Η σημασία των πληροφοριακών συστημάτων που επηρεάζονται από περιστατικά παραβίασης, καθορίζεται λαμβάνοντας υπόψη τη σημασία των δραστηριοτήτων της επιχείρησης όπως αυτές υποστηρίζονται από τα σχετικά συστήματα. Η σημασία μπορεί να εκφραστεί σε σχέση με την εθνική ασφάλεια, την κοινωνική τάξη, την οικονομική ανάπτυξη, το δημόσιο συμφέρον και την εξάρτηση της επιχείρησης από τα πληροφοριακά της συστήματα. Με αυτόν τον τρόπο, η σημασία του συστήματος πληροφοριών μπορεί να ταξινομηθεί σε τρία ευρεία επίπεδα: Ιδιαίτερα σημαντικό σύστημα πληροφοριών, Σημαντικό σύστημα πληροφοριών και Απλό σύστημα πληροφοριών.

 

  • Την επιχειρηματική απώλεια

Η απώλεια της επιχειρηματικής δραστηριότητας που προκαλείται από περιστατικά ασφάλειας πληροφοριών καθορίζεται λαμβάνοντας υπόψη τη σοβαρότητα των επιπτώσεων της διακοπής της επιχείρησης λόγω της βλάβης του υλικού, του λογισμικού, των λειτουργιών και των δεδομένων των συστημάτων της επιχείρησης. Η σοβαρότητα των επιπτώσεων μπορεί να εξαρτηθεί από το κόστος για την ανάκαμψη της επιχείρησης και την επαναφορά της στην κανονική λειτουργία, καθώς και από άλλες αρνητικές επιπτώσεις των παραβιάσεων της ασφάλειας, συμπεριλαμβανομένης της απώλειας κερδών ή και ευκαιριών. Αυτή η προσέγγιση κατατάσσει την επιχειρηματική ζημία σε τέσσερα ευρεία επίπεδα: Ιδιαίτερα σοβαρές επιχειρηματικές απώλειες, Σοβαρές επιχειρηματικές απώλειες, Σημαντικές επιχειρηματικές απώλειες και Μικρές επιχειρηματικές απώλειες.

 

  • Ιδιαίτερα σοβαρή επιχειρηματική απώλεια, θα συνεπαγόταν μεγάλη παράλυση της επιχείρησης σε βαθμό που θα έχανε την επιχειρηματική της ικανότητα ή και πολύ σοβαρή ζημία στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα βασικών επιχειρηματικών δεδομένων. Θα σήμαινε τεράστιο κόστος για την επαναφορά της επιχείρησης στην κανονική λειτουργία και την εξάλειψη των αρνητικών επιπτώσεων. Μία επιχείρηση δεν θα μπορούσε να αντέξει αυτό το επίπεδο επιχειρηματικής ζημιάς.
  • Η σοβαρή επιχειρηματική ζημία θα σήμαινε διακοπή επιχειρηματικών δραστηριοτήτων για μεγάλο χρονικό διάστημα ή τοπική παράλυση της επιχείρησης, σε βαθμό που θα επηρέαζε σοβαρά την επιχειρηματική της ικανότητα ή και θα έβλαπτε σοβαρά την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα βασικών επιχειρηματικών δεδομένων. Θα σήμαινε υψηλό κόστος για την επαναφορά της επιχείρησης σε κανονική λειτουργία και την εξάλειψη των αρνητικών επιπτώσεων. Μία επιχείρηση θα μπορούσε να αντέξει αυτό το επίπεδο επιχειρηματικής ζημιάς.
  • Σημαντική επιχειρηματική ζημία σημαίνει διακοπή των επιχειρηματικών δραστηριοτήτων κατά τρόπο που να επηρεάζει σημαντικά την επιχειρηματική ικανότητα ή και να προκαλεί σημαντική ζημιά στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα σημαντικών επιχειρηματικών δεδομένων. Θα σήμαινε σημαντικό κόστος για την επαναφορά της επιχείρησης σε κανονική λειτουργία και την εξάλειψη των αρνητικών επιπτώσεων. Μία επιχείρηση θα μπορούσε σίγουρα να αντέξει αυτό το επίπεδο επιχειρηματικής ζημιάς.
  • Η μειωμένη επιχειρηματική ζημία θα σήμαινε διακοπή των επιχειρηματικών δραστηριοτήτων για μικρό χρονικό διάστημα σε βαθμό που επηρεάζει την επιχειρηματική ικανότητα ή και μικρό αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα σημαντικών επιχειρηματικών δεδομένων. Θα σήμαινε μικρό κόστος για την επαναφορά της επιχείρησης σε κανονική λειτουργία και την εξάλειψη των αρνητικών επιπτώσεων.
  • Τις κοινωνικές επιπτώσεις

Πολλά κοινωνικά φαινόμενα συνδέονται με τις παραβιάσεις ασφάλειας πληροφοριών, όπως το ηλεκτρονικό έγκλημα, η παραβίαση των δικαιωμάτων πνευματικής ιδιοκτησίας, η παρακολούθηση, η εμπορία προσωπικών δεδομένων κ.α.

Ο αντίκτυπος στην κοινωνία από τις παραβιάσεις ασφάλειας πληροφοριών καθορίζεται λαμβάνοντας υπόψη την κλίμακα και το βαθμό των επιπτώσεων στην εργασιακή ζωή των ανθρώπων, στην προσωπική και κοινωνική ζωή, στο επίπεδο των θεσμών και της κοινωνίας, στην εθνική ασφάλεια, την κοινωνική τάξη, την οικονομική ανάπτυξη και το δημόσιο συμφέρον. Η προσέγγιση αυτή κατατάσσει τον κοινωνικό αντίκτυπο σε τέσσερα επίπεδα: ιδιαίτερα σημαντικό κοινωνικό αντίκτυπο, σημαντικό κοινωνικό αντίκτυπο, υπολογίσιμο κοινωνικό αντίκτυπο και μικρό κοινωνικό αντίκτυπο.

  • Ιδιαίτερα σημαντικός κοινωνικός αντίκτυπος θα σήμαινε δυσμενείς επιπτώσεις στις περισσότερες πόλεις μιας ή περισσοτέρων επαρχιών ή Νομών, οι οποίες απειλούν σε μεγάλο βαθμό την εθνική ασφάλεια, προκαλούν κοινωνικές αναταράξεις, επιφέρουν εξαιρετικά δυσμενείς επιπτώσεις στην οικονομική ανάπτυξη ή βλάπτουν σοβαρά το δημόσιο συμφέρον.
  • Σημαντικός κοινωνικός αντίκτυπος θα σήμαινε δυσμενείς επιπτώσεις στις περισσότερες περιοχές μιας ή περισσοτέρων πόλεων, απειλώντας την εθνική ασφάλεια, προκαλώντας κοινωνικό πανικό, επιφέροντας σημαντικές αρνητικές συνέπειες στην οικονομική ανάπτυξη ή βλάπτοντας το δημόσιο συμφέρον.
  • Υπολογίσιμος κοινωνικός αντίκτυπος θα σήμαινε δυσμενείς επιπτώσεις σε μερικές περιοχές μιας ή περισσοτέρων πόλεων, με περιορισμένη απειλή για την εθνική ασφάλεια, με κάποια διατάραξη της κοινωνικής τάξης, με ορισμένες αρνητικές επιπτώσεις στην οικονομική ανάπτυξη ή επηρεάζοντας το δημόσιο συμφέρον.
  • Ο μικρός κοινωνικός αντίκτυπος θα σήμαινε δυσμενείς επιπτώσεις σε μια μερική περιοχή μιας πόλης και ελάχιστες πιθανότητες να απειλήσουν την εθνική ασφάλεια, την κοινωνική τάξη, την οικονομική ανάπτυξη και το δημόσιο συμφέρον, αλλά με ζημία στα συμφέροντα ατόμων, εταιρειών και άλλων οργανισμών.

Συμπεράσματα

Οι οργανισμοί και οι επιχειρήσεις πρέπει να βρίσκονται σε συνεχή επιφυλακή, να είναι κατάλληλα προετοιμασμένες, τόσο οργανωτικά (ανάπτυξη ασφαλών συστημάτων, διαδικασίες, δομές, κ.α. ) όσο τεχνικά και νομικά, ώστε να είναι σε θέση να αντιμετωπίσουν ενδεχόμενο περιστατικό. Η προστασία των δικαιωμάτων των ανθρώπων, ιδιαίτερα της ιδιωτικότητας του ατόμου, και η προστασία του κοινωνικού συνόλου από τις αρνητικές επιπτώσεις μίας παραβίασης, είναι ηθική υποχρέωση όλων.

Η εκπόνηση ενός Σχεδίου Αντιμετώπισης Περιστατικών είναι αναγκαία, ώστε η επιχείρηση να είναι σε θέση να διαχειριστεί αποτελεσματικά τα περιστατικά, να περιορίσει τη ζημιά, να αυξήσει την εμπιστοσύνη των πελατών αλλά και των μετόχων της, να ικανοποιήσει τις νομικές υποχρεώσεις που πιθανώς να δημιουργηθούν, να μειώσει το οικονομικό κόστος του περιστατικού και να περιφρουρήσει την φήμη της.

Πρέπει όλοι να γνωρίζουν ότι δεν υπάρχει απόλυτη ασφάλεια. Το θέμα δεν είναι αν θα υπάρξει περιστατικό αλλά το πότε θα υπάρξει και πως θα αντιμετωπιστεί.

2020-05-04T10:33:33+00:00