ΠΛΑΙΣΙΟ ΚΟΥΛΤΟΥΡΑΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΜΕ ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ ΣΕ ΚΡΙΣΙΜΕΣ ΥΠΟΔΟΜΕΣ

Abstract

Η παρούσα διατριβή παρουσιάζει ένα πλαίσιο κουλτούρας κυβερνοασφάλειας για την αξιολόγηση της τρέχουσας ετοιμότητας κυβερνοασφάλειας του εργατικού δυναμικού ενός οργανισμού. Έχοντας πραγματοποιήσει μια ενδελεχή ανασκόπηση των πιο συχνά χρησιμοποιούμενων πλαισίων ασφαλείας, προσδιορίζουμε τα βασικά στοιχεία ασφάλειας που σχετίζονται με τον ανθρώπινο παράγοντα και τα ταξινομούμε κατασκευάζοντας ένα γενικευμένο μοντέλο κουλτούρας ασφάλειας. Ακολούθως, προσδιορίζουμε το κάθε στοιχείο του μοντέλου και αναδεικνύουμε ποσοτικούς δείκτες με στόχο τον προσδιορισμό μιας διεξοδικής μεθοδολογίας αξιολόγησης. Ακολούθως, προχωράμε στη συσχέτιση του προτεινόμενου μοντέλου κουλτούρας κυβερνοασφάλειας με δυο ευρέως διαδεδομένα και αναγνωρισμένα μοντέλα ασφαλείας: ❖ Εσωτερικής Απειλής (Insider Threat): Η εσωτερική απειλή έχει αναγνωριστεί τόσο από την επιστημονική κοινότητα όσο και από τους επαγγελματίες ασφαλείας ως ένας από τους σοβαρότερους κινδύνους για την ασφάλεια ιδιωτικών οργανισμών, ιδρυμάτων και κυβερνητικών οργανισμών. Εκτεταμένη έρευνα σχετικά με τους τύπους, τους σχετικούς εσωτερικούς και εξωτερικούς παράγοντες, τις προσεγγίσεις ανίχνευσης και τις στρατηγικές μετριασμού της έχει διεξαχθεί τις τελευταίες δεκαετίες. Διάφορα πλαίσια έχουν προταθεί σε μια προσπάθεια κατανόησης του κινδύνου που ενέχει αυτή η απειλή, ενώ πολλαπλές περιπτώσεις που εντοπίστηκαν έχουν ταξινομηθεί σε ιδιωτικές ή δημόσιες βάσεις δεδομένων. Το προτεινόμενο πλαίσιο κουλτούρας κυβερνοασφάλειας, εστιάζοντας στον ανθρώπινο παράγοντα, μπορεί να συνδράμει στον εντοπισμό πιθανών απειλών τόσο από κακόβουλες όσο και από ακουσίως επικίνδυνες οντότητες. Εξετάζοντας τεχνικούς, συμπεριφορικούς, πολιτιστικούς και προσωπικούς δείκτες, βοηθά στον εντοπισμό πιθανών κινδύνων ασφαλείας που προέρχονται από τον άνθρωπο. ❖ MITRE ATT&CK: Το πλαίσιο MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) παρέχει ένα πλούσιο και λειτουργικό αποθετήριο κακόβουλων τακτικών, τεχνικών και διαδικασιών. Η χρήση του εκτείνεται από την εξομοίωση αντιπάλου και την ανάπτυξη αναλυτικών στοιχείων συμπεριφοράς έως την αξιολόγηση ωριμότητας της άμυνας και του SOC (Security Operations Center) ενός οργανισμού. Ενώ έχει γίνει εκτεταμένη έρευνα για την ανάλυση συγκεκριμένων επιθέσεων ή συγκεκριμένων παραγόντων οργανωτικής κουλτούρας και ανθρώπινης συμπεριφοράς που οδηγούν σε τέτοιες επιθέσεις, απουσίαζε μια ολιστική άποψη για τη συσχέτιση των δύο. Σε αυτή τη διατριβή αξιοποιούνται οι δυνατότητες του MITRE ATT&CK προς μια επιστημονική κατεύθυνση που δεν έχει ακόμη διερευνηθεί: αξιολόγηση ασφάλειας και αμυντικών υποδομών, ένα βήμα πριν από τον τρέχοντα τομέα εφαρμογής του. Το προτεινόμενο πλαίσιο κουλτούρας κυβερνοασφάλειας σχεδιάστηκε αρχικά με στόχο κρίσιμες υποδομές και, πιο συγκεκριμένα, τον ενεργειακό τομέα. Οι οργανισμοί αυτών των τομέων εμφανίζουν συνύπαρξη και ισχυρή αλληλεπίδραση των δικτύων IT (Τεχνολογία Πληροφορικής) και OT (Επιχειρησιακή Τεχνολογία). Ως αποτέλεσμα, κάνουμε χρήση του υβριδικού μοντέλου MITRE ATT&CK for Enterprise και ICS (Industrial Control Systems) ως μια ευρύτερη και πιο ολιστική προσέγγιση. Απώτερος στόχος των προαναφερθέντων συσχετίσεων είναι η ανάδειξη ενός πλαισίου κουλτούρας κυβερνοασφάλειας ικανού να αξιολογήσει την τρέχουσα κατάσταση ασφαλείας μιας κρίσιμης υποδομής εντοπίζοντας τα κενά και τις αδυναμίες της και υποδεικνύοντας αντίμετρα, συστάσεις και εναλλακτικές προσεγγίσεις συμπεριλαμβανομένων προγραμμάτων κατάρτισης εργατικού δυναμικού. Το πλαίσιο κουλτούρας κυβερνοασφάλειας έχει σχεδιαστεί για να προσαρμόζεται εύκολα σε διάφορους επιχειρησιακούς τομείς με ιδιαίτερη έμφαση τις κρίσιμες υποδομές δεδομένων των αυστηρότερων κανονισμών στους οποίους αυτές υπόκεινται. Στην παρούσα διατριβή παρουσιάζονται εκτεταμένες εφαρμογές του πλαισίου κουλτούρας κυβερνοασφάλειας σε κρίσιμες υποδομές παρέχοντας πληροφορίες αναφορικά με το σχεδιασμό, τη στόχευση και την προσαρμογή των εκστρατειών αξιολόγησης σε κάθε περίπτωση ανάλογα με τη στοχοθεσία και τους απώτερους σκοπούς που καλούνται να εκπληρώσουν. Τα αποτελέσματα και τα ευρήματά τους αναλύονται εις βάθος αναδεικνύοντας και υπογραμμίζοντας τη σπουδαιότητα υιοθέτησης ενός πολύπλευρου και πολυκριτηριακού μοντέλου κουλτούρας κυβερνοασφάλειας προσανατολισμένου στον ανθρώπινο παράγοντα με συνεξέταση εσωτερικών και εξωτερικών παραγόντων.