Συστάσεις για Αντίμετρα Επιχειρήσεων & Δημοσίων Φορέων

Αντιμετώπιση Απειλών / Συστάσεις για αντίμετρα επιχειρήσεων & δημοσίων φορέων

Συστάσεις για αντίμετρα επιχειρήσεων & δημοσίων φορέων

Πώς να αντιμετωπίζετε τις κυβερνοαπειλές

Η πρόληψη και η επαγρύπνηση είναι τα πιο ισχυρά εργαλεία για την αντιμετώπιση κυβερνοαπειλών. Οι επιχειρήσεις, ιδιωτικές και δημόσιες, πρέπει να αναπτύξουν και να θέσουν σε εφαρμογή στρατηγικό σχεδιασμό για την κυβερνοασφάλεια, που θα καθοδηγεί την δημιουργία ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.

Το MFA (Πολυπαραγοντικός Έλεγχος Ταυτότητας) θωρακίζει την ασφάλεια πρόσβασης απαιτώντας ένα επιπλέον επίπεδο επαλήθευσης. Ακόμα και αν ένας κωδικός παραβιαστεί, το MFA συντελεί στην αποτροπή μη εξουσιοδοτημένης πρόσβασης, δυσχεραίνοντας την είσοδο εισβολέων σε κρίσιμα πεδία.

– Γιάννης Παυλόσογλου, Υποδιοικητής Επιχειρησιακού Σχεδιασμού, Νοέμβριος 2024

Συμβουλές κυβερνο-υγιεινής για ασφαλή χρήση του διαδικτύου

Η κυβερνο-υγιεινή περιλαμβάνει καθημερινές, πάγιες συνήθειες που λειτουργούν ως ασπίδα προστασίας σε εν δυνάμει απειλές. Βασίζονται στην αυστηρή υιοθέτηση συγκεκριμένης μεθοδολογίας, η οποία πρέπει να τηρείται ευλαβικά.

Προστατεύω τις συσκευές μου

Εγκαθιστώ λογισμικό καταπολέμησης κακόβουλου κώδικα σε υπολογιστές και έξυπνες συσκευές.
Προγραμματίζω τακτικές σαρώσεις για κακόβουλο κώδικα. Εγκαθιστώ τις ενημερώσεις του λειτουργικού συστήματος και των εφαρμογών λογισμικού.
Εφαρμόζω τις οδηγίες του κατασκευαστή για περιορισμό της έκθεσης της συσκευής σε κινδύνους.
Αποσύρω συσκευές για τις οποίες έχει λήξει η συντήρηση από τον κατασκευαστή

Προστατεύω το δίκτυό μου

Κατά την τηλεργασία, χρησιμοποιώ τις μεθόδους πρόσβασης (VPN) που έχει προκρίνει το αρμόδιο τμήμα του οργανισμού για την πρόσβαση στο εταιρικό δίκτυο.
Αποφεύγω τη χρήση ανοικτών ασύρματων δικτύων, καθώς είναι ευάλωτα σε υποκλοπές.
Διασφαλίζω το οικιακό ασύρματο δίκτυο. Μοιράζομαι τα στοιχεία σύνδεσης μόνο με άτομα που εμπιστεύομαι.
Δεν απενεργοποιώ τους μηχανισμούς προστασίας που διαθέτουν εξ΄ ορισμού οι συσκευές του παρόχου μου.
Προστατεύω τις λεπτομέρειες σύνδεσης των τηλεδιασκέψεων μου. Δεν δημοσιεύω τις σχετικές διευθύνσεις και οδηγίες

Προστατεύω τα δεδομένα μου

Ενεργοποιώ κρυπτογράφηση στις συσκευές που επεξεργάζομαι εμπιστευτικά και προσωπικά δεδομένα.
Εφαρμόζω κρυπτογράφηση στα εξωτερικά αποθηκευτικά μέσα, κυρίως όπου αποθηκεύω εμπιστευτικά και προσωπικά δεδομένα.
Δημιουργώ τακτικά αντίγραφα ασφαλείας των εμπιστευτικών αρχείων και προσωπικών μου δεδομένων, σε εξωτερικό αποθηκευτικό μέσο. Προστατεύω το μέσο αποθήκευσης από απώλεια ή κλοπή και το αποσυνδέω όταν δεν χρησιμοποιείται.
Προσέχω τα παραπλανητικά μηνύματα – phishing emails. Θυμάμαι ότι ΠΟΤΕ δεν θα ζητηθεί από οποιοδήποτε οργανισμό η κοινοποίηση προσωπικών μου δεδομένων. Δεν ανοίγω αρχεία και συνδέσμους από αποστολείς που δεν γνωρίζω, ελέγχω τα συνημμένα για κακόβουλο κώδικα.
Αποφεύγω την εργασία σε κοινόχρηστους χώρους, ειδικά όταν επεξεργάζομαι εμπιστευτικά και προσωπικά δεδομένα.
Δεν δημοσιεύω εμπιστευτικά και προσωπικά δεδομένα στα μέσα κοινωνικής δικτύωσης. Σκέφτομαι πριν αναρτήσω πληροφορίες για την προσωπική μου ζωή, δεν εκθέτω δεδομένα οικογένειας και φίλων.

Προστατεύω τους λογαριασμούς μου

Χρησιμοποιώ ισχυρά συνθηματικά για πρόσβαση σε πάσης φύσεως λογαριασμούς. Επιλέγω μεγάλες φράσεις και ποικιλία χαρακτήρων.
Ενεργοποιώ, όπου είναι εφικτό, πιστοποίηση ταυτότητας δύο παραγόντων, π.χ. ολοκλήρωση της αυθεντικοποίησης με SMS ή με χρήση έξυπνης εφαρμογής.
Ενεργοποιώ πρόσβαση σε συσκευές με χρήση βιομετρικών στοιχείων π.χ. δακτυλικό αποτύπωμα.
Κάνω ορθή διαχείριση των διαπιστευτηρίων. Δεν μοιράζομαι τα στοιχεία σύνδεσης, αλλά τα αποθηκεύω με ασφάλεια, χρησιμοποιώντας λογισμικό διαχείρισης συνθηματικών

Συμβουλεύομαι, όπου απαιτείται, τα εγχειρίδια χρήσης των κατασκευαστών.

Ζητώ βοήθεια από το τμήμα τεχνικής υποστήριξης του τηλεπικοινωνιακού μου παρόχου.

Ζητώ βοήθεια από τους τεχνικούς του οργανισμού μου.

Οδηγίες για την προστασία των πληροφοριακών υποδομών των επιχειρήσεων από κυβερνοεπιθέσεις

Οι ψηφιακές υποδομές αποτελούν την καρδιά των σύγχρονων επιχειρήσεων αποτελώντας έτσι το βασικό στόχο κυβερνοεγκληματιών. Ένα καλά προστατευμένο ψηφιακό περιβάλλον συμβάλει όχι μόνο στη διατήρηση της ασφάλειας αλλά και στη βιωσιμότητα της επιχείρησης. Στοχεύει έτσι στην προστασία της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ιδιωτικότητας.

Αναπτύξτε πολιτικές ασφάλειας, κατευθυντήριες οδηγίες και διαδικασίες.

Συμπεριλάβετε προμηθευτές και παρόχους

Χρησιμοποιείστε κατάλληλα παραμετροποιημένο, ενημερωμένο λογισμικό προστασίας από κακόβουλο κώδικα (anti-malware)

Εφαρμόστε σχέδιο για την προγραμματισμένη εγκατάσταση των ενημερώσεων ασφάλειας (patch management).

Διαχείριση λογαριασμών και έλεγχος πρόσβασης:

Εφαρμόστε τις αρχές “need-to-know” και “least privilege”.
Προστατέψτε τους λογαριασμούς διαχείρισης.
Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης – Όπου απαιτείται, υλοποιήστε αυθεντικοποίηση δύο παραγόντων, εξετάστε την χρήση μοντέρνων μεθόδων (π.χ. πρότυπα FIDO).
Τακτικός έλεγχος των αρχείων καταγραφής για ύποπτες συμπεριφορές

Υλοποιήστε πολύ-επίπεδη και σε βάθος άμυνα, λάβετε υπόψη μοντέρνες αρχιτεκτονικές (Zero-Trust):

Εξωτερικά: Χρήση τειχών προστασίας, συστημάτων ανίχνευσης παραβιάσεων (IDS/ IPS), κ.α.
Εσωτερικά: Τμηματοποίηση του δικτύου, Υλοποίηση κανόνων πρόσβασης, κ.α.

Υλοποιήστε σε τακτική βάση προγράμματα ευαισθητοποίησης του προσωπικού για την διαμόρφωση κουλτούρας ασφάλειας.

Ασφαλίστε τις απομακρυσμένες προσβάσεις και την τηλεργασία, υλοποιήστε VPN και αυθεντικοποίηση δύο παραγόντων

Αναπτύξτε σχέδιο αντιμετώπισης περιστατικών (incidence response plan), προσδιορίστε ρόλους και καθήκοντα, προγραμματίστε δοκιμές.

Λαμβάνετε τακτικά αντίγραφα ασφαλείας των δεδομένων σας, προστατέψτε τα αντίγραφα, εξασφαλίστε την ανάκτηση των δεδομένων.

Εφαρμόστε κρυπτογράφηση στα κρίσιμα και προσωπικά δεδομένα που τηρούντα στα συστήματα του δικτύου σας.

Εφαρμόστε μέτρα προστασίας και ανάκαμψης από φυσικές και περιβαλλοντικές απειλές (διαταραχή ηλεκτροδότησης, πλημμύρες, πυρκαγιές κ.λπ.)