Χ. Ηλιούδης - Αναπλ. Καθηγητής Τμήμα Πληροφορικής, Α.ΤΕΙ Θεσσαλονίκης

Ηλιούδης Χρήστος, Τμ. Πληροφορικής, Α.ΤΕΙ/Θ

Ασφάλεια Διαδικτυακών Υπηρεσιών


Ηλιούδης ΧρήστοςΑναπλ. Καθηγητής Τμήμα Πληροφορικής, Α.ΤΕΙ Θεσσαλονίκης

http://www.ots.gr/frontend/articles.php?cid=383



Εστιάζουμε στις Υπηρεσίες

Ο τομέας των υπηρεσιών προσφέρει σημαντικές ευκαιρίες καινοτομίας

Η καινοτομία στις υπηρεσίες μπορεί να αφορά:

νέες τεχνολογίες, διεργασίες, τρόπους αλληλεπίδρασης με τον πελάτη, αλλά και νέα επιχειρηματικά μοντέλα και

πρακτικές.




Υπηρεσίες και Ανάπτυξη

Ο τομέας των υπηρεσιών τα τελευταία χρόνια έχει

γίνει ο μεγαλύτερος και ο ταχύτερα

αναπτυσσόμενος τομέας επιχειρηματικής

δραστηριότητας παγκοσμίως.

Σύμφωνα με τη Eurostat, είναι ο μόνος τομέας της

Ευρωπαϊκής Οικονομίας που παράγει νέες θέσεις

εργασίας τις τελευταίες δεκαετίες




Ευκαιρίες ανάπτυξης

Η ανάπτυξη των Τεχνολογιών Πληροφορικής και Επικοινωνιών και του διαδικτύου τα τελευταία χρόνια επιτρέπει την αυτοματοποίηση ορισμένων υπηρεσιών, και την ευρεία διάθεσή τους.

Έτσι, δίνεται η δυνατότητα για την ανάπτυξη νέων καινοτόμων υπηρεσιών προστιθέμενης αξίας, οι οποίες αναδεικνύονται ως μια ευκαιρία-κλειδί για ανάπτυξη της επιχειρηματικότητας, της αγοράς, και της ανταγωνιστικότητας




Η σημασία των διαδικτυακών υπηρεσιών ανταγωνιστικότητα της οικονομίας, εφευρετική, προστιθέμενης αξίας Καινοτομούν αντιδρούν καλύτερα στις ανάγκες και τις

προτιμήσεις των καταναλωτών. υπάρχει σημαντικό πεδίο υλοποίησης

ενεργειών προς αυτή την κατεύθυνση




Προσεγγίζουμε την ασφάλεια διαδικτυακών υπηρεσιών

Εμπιστευτικότητα Ιδιωτικότητα (πολίτες) Μυστικότητα (εταιρείες – οργανισμοί)

Διαθεσιμότητα Υπηρεσιών Υποδομών

Ακεραιότητα Μη απάρνηση




ΠΔΗΔ (Πλαίσιο Διαλειτουργικότητας Ηλεκτρονικής Διακυβέρνησης)

Το Ελληνικό ΠΔΗΔ (Πλαίσιο Διαλειτουργικότητας

Ηλεκτρονικής Διακυβέρνησης) αποτελεί μία σημαντική

συμβολή στην προώθηση Γενικών Οδηγιών και

Τεχνολογικών Προτύπων κατά την προκήρυξη και την

ανάπτυξη εφαρμογών Ηλεκτρονικής Διακυβέρνησης

από φορείς της Ελληνικής Δημόσιας Διοίκησης




Οδηγίες και γενικά τεχνολογικά πρότυπα

Η επιβολή των πρωτοκόλλων μεταφοράς δεδομένων και ασφάλειας

του Internet (TCP, IP, DNS, HTTP, SHTTP κοκ) για κάθε νέα

εφαρμογή («Κυβερνητική Δικτυακή Πύλη» ή άλλου τύπου

εφαρμογή της Δημόσιας Διοίκησης) ακόμη κι αν η εφαρμογή

αρχικά θα λειτουργεί εντός του εσωτερικού δικτύου ενός φορέα.

Η υιοθέτηση των Web Browsers (με τη λειτουργικότητα που ορίζεται

από τα σχετικά πρότυπα και πρωτόκολλα του W3C, όπως HTML,

DHTML, CSS κα) ως υποχρεωτικό Interface κάθε εφαρμογής.




Οδηγίες και γενικά τεχνολογικά πρότυπα: Διαχείριση ρόλων και χρηστών

Διαδικασία Γενικές Οδηγίες Πρότυπα / ΤεχνολογίεςΚαταχώρηση στοιχείων χρηστών Συμμόρφωση με τις οδηγίες περί

προστασίας προσωπικών δεδομένων.LDAP, Active Directory

Αναγνώριση και ταυτοποίηση χρηστών

Οι χρήστες μπορεί να είναι καταχωρημένοι σε άλλα ευρύτερα συστήματα της ΔΔ στα οποία γίνεται πρόσβαση κατά το log-in.Να μη χρειάζεται εκ νέου αναγνώριση όταν ο χρήστης επισκέπτεται συνεργαζόμενες εφαρμογές της ΔΔ ή εκτελεί δοσοληψίες που χρησιμοποιούν τέτοιες εφαρμογές.Προστασία από υποκλοπή προσωπικών στοιχείων κατά τη διαδικασία log-in ή κατά τη συμπλήρωση στοιχείων (πχ τα στοιχεία πιστωτικής κάρτας)

E-Authentication (single sign-on)XML signatures, PKIDSS (Digital Signature Standard)SHTTP, SSL

Απόδοση Ρόλων Βασίζεται σε business rules της «Δικτυακής Πύλης»

J2EE, MS.NET,





Η ασφάλεια αποτελεί για τις διαδικτυακές υπηρεσίες βασικό παράγοντα:

Επιτυχίας Διάχυσης Διείσδυσης

Οι χρήστες μαθαίνουν και απαιτούν ….




Ευροβαρόμετρο 7/2012: Ανησυχίες των πολιτών όταν χρησιμοποιούν το Internet




Τα θέματα ασφάλειας επηρεάζουν τον τρόπο που χρησιμοποιούν οι πολίτες το Internet (Ευροβαρόμετρο 7/2012)




Οι πολίτες ενημερώνονται …. (Ευροβαρόμετρο 7/2012)




Εμπιστοσύνη των χρηστών

Μια κεντρική πρόκληση των υπηρεσιών μιας στάσης είναι η ανάγκη να ενισχυθεί η εμπιστοσύνη των χρηστών στα μέτρα προστασίας της ιδιωτικότητας και των δεδομένων,

Π.χ. να επιτρέπεται στους χρήστες να ελέγχουν την ακρίβεια των προσωπικών τους δεδομένων. United Nations

E-Government for the PeopleE-GovernmentSurvey 2012




Ιδιωτικότητα στην ηλεκτρονική διακυβέρνηση

Η ιδιωτικότητα στις Online υπηρεσίες και τα γενικότερα θέματα ασφάλειας μπορεί να αναστέλλουν τους χρήστες να εμπιστεύονται και να χρησιμοποιούν τις υπηρεσίες ηλεκτρονικής διακυβέρνησης United Nations

E-Government for the PeopleE-GovernmentSurvey 2012




Αύξηση των απειλών ασφάλειας …

Επέκταση δράσης και συνεπειών: Οικονομία, πολιτική, παγκοσμιοποίηση

Αύξηση των «επαγγελματιών» παικτών : Hackers ,Οργανωμένο έγκλημα, εθνικοί φορείς

Αυξανόμενη στοχοποίηση και

πολύπλοκες επιθέσεις

Μια αυξανόμενη πρόκληση μέσω της πολυπλοκότητας των επιθέσεων και των μελλοντικών στόχων

SOCIALEngineering




Cyber Security: Ποιο σημαντικό το πρόβλημα από ποτέ

60% από όλες τις Επιχειρήσεις στις ΗΠΑ έχουν δεχθεί παραβιασθεί τα συστήματά τους

-US Department of Justice ‘08 Report

165% αύξηση σε νέο ιομορφικό λογισμικό από το ‘07 στο ‘09-Symantec

90% των παραβιάσεων θα μπορούσαν να αποφευχθούν με κατάλληλη διαχείριση των αναβαθμίσεων και διαμορφώσεων των πληροφοριακών συστημάτων

-Gartner

500% αύξηση μέσα στο ‘08 στον αριθμό των επιθέσεων που καταλαμβάνουν ή καταστρέφουν υπολογιστικά συστήματα

-McAfee




Οι εταιρείες δαπανούν για την ασφάλεια




Νέες προκλήσεις: Cloud computing




Επιχειρήσεις και ασφάλεια

Για πολλές επιχειρήσεις η ασφάλεια έχει γίνει ένα παιχνίδι που είναι απίθανο να κερδίσουν.

Οι κανόνες έχουν αλλάξει, οι κίνδυνοι είναι μεγαλύτεροι παρά ποτέ και οι επιτιθέμενοι είναι εξοπλισμένοι με τεχνολογίες αιχμής.




Πότε η ασφάλεια εμπλέκεται στα μεγάλα έργα

Changing the game: Key findings from The Global State of Information Security Survey 2013 - PricewaterhouseCoopers




Πεποίθηση ότι οι επενδύσεις στην ασφάλεια θα αυξηθούν τους επόμενους 12 μήνες





Παράγοντες που επηρεάζουν τις επενδύσεις των επιχειρήσεων στην ασφάλεια





Τεχνολογίες ασφάλειας που χρησιμοποιούνται





Η ελληνική πραγματικότητα: Η οικονομική κρίση είναι και εδώ

Ενώ οι απειλές και η πολυπλοκότητά τους αυξάνονται ταχύτατα, οι μηχανισμοί ασφάλειας των επιχειρήσεων αποδυναμώνονται λόγω της οικονομικής κρίσης.

Οι δαπάνες σε διάφορες δραστηριότητες της ασφάλειας μειώνονται, είτε πρόκειται για τεχνολογικές λύσεις και υπηρεσίες, είτε για εξειδικευμένους επαγγελματίες ή ακόμα και για εκπαίδευση.

Οι οικονομικές συνθήκες από την κρίση στην Ελλάδα επιβαρύνουν ακόμα περισσότερο την κατάσταση

Changing the game: Key findings from The Global State of Information Security Survey 2013 – Greece Report, PWC




Οικονομικές συνθήκες – επιχειρηματικές ανάγκες





Αποκρύπτονται τα περιστατικά παραβιάσεων ασφάλειας





Το νέο τεχνολογικό περιβάλλον ….

Changing the game: Key findings from The Global State of Information Security Survey 2013 – Greece Report - PWC




Πολυπλοκότητα των προβλημάτων ασφάλειας στις επιχειρήσεις και στους οργανισμούς





Η ίδια η Διοίκηση αποτελεί ένα από τα μεγαλύτερα εμπόδια στην αποτελεσματικότητα της ασφάλειας, σύμφωνα με το 50% των συμμετεχόντων στην έρευνα από την Ελλάδα και διεθνώς.

Αρκετοί δήλωσαν ότι οι επιχειρήσεις εξακολουθούν να μην κατανοούν τη χρησιμότητα της ασφάλειας των πληροφοριών για τις μελλοντικές τους ανάγκες (33% Ελλάδα, 24% διεθνώς)

Η ελληνική πραγματικότητα: Η διοίκηση τροχοπέδη;





Οι νέες απειλές δεν αντιμετωπίζονται μόνο μέσω τεχνολογικών λύσεων, είναι ζήτημα κουλτούρας, επίγνωσης των κινδύνων και διαρκούς εγρήγορσης, την οποία θα πρέπει να εμφυσήσει η ηγεσία της επιχείρησης

Η ελληνική πραγματικότητα: Η διοίκηση ένα βήμα μπροστά;





Το κοντινό μέλλον

Συνεργασία : πολιτείας – επιχειρήσεων – ακαδημαϊκής κοινότητας

Προσαρμογή των επενδύσεων ασφάλειας στην εποχή της κρίσης

Μείωση κόστους: Χρήση προϊόντων λογισμικού ασφάλειας ανοιχτού

κώδικα Χρήση υποδομών μεγάλης κλίμακας (pki) Security As a Service (cloud security services)




Κλείνοντας …

Οι επιχειρήσεις θα πρέπει να συνειδητοποιήσουν ότι η Ασφάλεια των πληροφοριακών συστημάτων είναι μέρος της επιχειρηματικής στρατηγικής τους.

Οι διαδικτυακές υπηρεσίες για να είναι βιώσιμες και αποδοτικές θα πρέπει να ενσωματώνουν από την αρχή της σχεδίασή τους όλους εκείνους τους μηχανισμούς ασφάλειας που θα εξασφαλίζουν την προστασία των δεδομένων καθώς και την αδιάλειπτη παροχή τους.




Σας ευχαριστώ

Ερωτήσεις ….


Documents

Χ. Ηλιούδης - Αναπλ. Καθηγητής Τμήμα Πληροφορικής, Α.ΤΕΙ Θεσσαλονίκης