Ασφάλεια από τη σχεδίαση και εξ' ορισμού

Abstract

Οι περισσότεροι οργανισμοί υιοθετούν μια μεθοδολογία που ονομάζεται κύκλος ζωής ανάπτυξης συστημάτων (Systems Development Lifecycle SDLC) για την ανάπτυξη και εφαρμογή συστημάτων πληροφορικής. Η SDLC είναι μια διαδικασία πολλαπλών βημάτων κύκλου ζωής για την παροχή συστημάτων πληροφορικής και την εξασφάλιση καλής ποιότητας των συστημάτων τα οποία πληρούν τις προδιαγραφές και, εντός των εκτιμήσεων χρόνου και κόστους.

Ενώ οι περισσότεροι οργανισμοί αναγνωρίζουν ότι η ασφάλεια είναι ένα σημαντικό θέμα στην ανάπτυξη συστημάτων πληροφορικής, το κόστος και οι επιχειρηματικές επιδόσεις συχνά υπερισχύουν της ασφάλειας. Παρόλο που η ευαισθητοποίηση έχει αυξηθεί σε θέματα ασφάλειας, οι περισσότεροι οργανισμοί επικεντρώνονται στην εφαρμογή της ασφάλειας μόνο κατά το στάδιο της ανάθεσης της ανάπτυξης του συστήματος και προσπαθούν να εγκατασταθεί η ασφάλεια στην τελική φάση της σχεδίασης, με αποτέλεσμα την αναποτελεσματική εφαρμογή της ασφάλειας.

Ένας αποτελεσματικός τρόπος προστασίας των υπολογιστικών συστημάτων από τις απειλές στον κυβερνοχώρο είναι να ενσωματώσουμε την ασφάλεια σε κάθε βήμα του κύκλος ζωής ανάπτυξης των συστημάτων (SDLC), από την έναρξη, στην ανάπτυξη, στην εγκατάσταση και στην τελική διάθεση του συστήματος. Αυτή η προσέγγιση είναι η προσέγγιση Security by Design (SbD) και Security by Default (SbD) το οποίο και θα μελετήσουμε.

Το Security by Design είναι μια προσέγγιση για την ανάπτυξη λογισμικού και υλικού που επιδιώκει να ελαχιστοποιήσουν τα τρωτά σημεία των συστημάτων και να μειώσουν την επιφάνεια επίθεσης μέσω του σχεδιασμού και την ενσωμάτωση της ασφάλειας σε κάθε φάση του κύκλου ζωής ανάπτυξης (SDLC). Αυτό περιλαμβάνει την ενσωμάτωση των προδιαγραφών ασφαλείας στο σχεδιασμό, τη συνεχή αξιολόγηση της ασφάλειας σε κάθε φάση και την τήρηση των βέλτιστων πρακτικών. Οι αξίες της ενσωμάτωσης της ασφάλειας στην SDLC περιλαμβάνουν:

 Έγκαιρη ταυτοποίηση και μετριασμός των τρωτών σημείων ασφαλείας και των λανθασμένων ρυθμίσεων των συστημάτων.

 Προσδιορισμός κοινών υπηρεσιών ασφαλείας και εργαλείων για τη μείωση του κόστους, ενώ παράλληλα βελτιώνεται η στάση της ασφάλειας μέσω αποδεδειγμένων μεθόδων και τεχνικών.

 Διευκόλυνση των βασικών αποφάσεων των ενδιαφερομένων με ενημέρωση μέσω ενός risk management.

 Τεκμηρίωση σημαντικών αποφάσεων ασφαλείας καθ 'όλη τη διάρκεια του κύκλου ζωής του συστήματος, εξασφαλίζοντας ότι η ασφάλεια θα εξετάζεται ορθώς και πλήρως σε όλες τις φάσεις.

 Βελτιωμένη λειτουργικότητα συστημάτων που διαφορετικά θα παρεμποδίζεται από την απομονωμένη ασφάλεια των συστημάτων.

Ειδικά για την ασφάλεια του κυβερνοχώρου, το Security by Design καλύπτει τις ανησυχίες για την προστασία του κυβερνοχώρου καθ 'όλη τη διάρκεια του κύκλου ζωής ενός συστήματος. Αυτό περιλαμβάνει σχεδιασμό ασφάλειας ειδικά για την αναγνώριση, την προστασία, την ανίχνευση, την ανταπόκριση και τις δυνατότητες αποκατάστασης για να ενισχυθεί η ηλεκτρονική ανθεκτικότητα του συστήματος.

Ένας λιγότερο γνωστός όρος είναι το Security by Default, εφαρμόζει την ίδια αρχή στην εξασφάλιση δεδομένων στην πηγή. Αναφέρεται στην εξασφάλιση πληροφοριών. Το Security by Default η αλλιώς ασφάλεια από προεπιλογή στα δεδομένα μας, καθιστούν την υπόθεση ότι όλα τα δεδομένα πρέπει να έχουν ενσωματωμένη ασφάλεια. Τα συστήματα που επεξεργάζονται και αποθηκεύουν αυτά τα δεδομένα θα πρέπει να τηρούν αυστηρά τις πολιτικές ασφαλείας που είναι ενσωματωμένες σε αυτά. Αυτή η προσέγγιση δεν είναι τόσο γνωστή, διότι απλά δεν χρησιμοποιείται ευρέως. Μέχρι σήμερα, δεν έχουμε ενσωματώσει την ασφάλεια σε κάθε κομμάτι δεδομένων καθώς δημιουργείται, δημιουργώντας έτσι ένα σοβαρό πρόβλημα, ιδιαίτερα για τις κυβερνητικές υπηρεσίες.

Πριν από τη δημιουργία ενός νέου προϊόντος, πολλές ερωτήσεις περνούν από το κεφάλι ενός προγραμματιστή λογισμικού: Πως θα πρέπει να είναι οι νέες οθόνες εισαγωγής; Πόσο αποτελεσματικό θα έπρεπε να είναι το νέο λογισμικό; Ωστόσο, υπάρχει μια σημαντική πτυχή που εξακολουθεί να παραμελείτε πολύ συχνά και αυτό είναι η ασφάλεια. Και αυτό σε μια εποχή που ο αριθμός των επιθέσεων στον κυβερνοχώρο αυξάνεται ραγδαία, όπως αποκαλύπτεται στην έκθεση σχετικά με την κατάσταση από τη γερμανική Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών (BSI). Σύμφωνα με αυτό, οι ειδικοί ανακαλύπτουν περίπου 380.000 νέες εκδόσεις malware κάθε μέρα.

Το πρόβλημα είναι ότι το 95% των επιτυχημένων επιθέσεων οφείλεται σε κακό προγραμματισμένο, κακώς διατηρημένο ή κακώς διαμορφωμένο λογισμικό", λέει ο Διευθυντής Εσωτερικής Ασφάλειας και Cyber Defense στην Deutsche Telekom. Ωστόσο, αυτό το πρόβλημα θα μπορούσε να λυθεί λαμβάνοντας υπόψη την ασφάλεια απευθείας από την αρχή της ανάπτυξης του - "αντί να μπαλώνουμε τρύπες στο τελικό προϊόν".

Η παρούσα έρευνα πραγματεύεται και εμβαθύνει στο τι είναι το security by design - security by default, ποια τα οφέλη που θα επιφέρουν με την εφαρμογή τους και πως επιτυγχάνεται αυτό. Επίσης θα αναλύονται τα στάδια των βασικών αρχών σχεδιασμού για την εξασφάλιση της ασφάλειας σε κάθε στάδιο ανάπτυξης ενός συστήματος. Περαιτέρω θα αναλύσουμε πως θα διασφαλίσουμε την ιδιωτικότητα των πληροφοριών, ποια η φιλοσοφία αναπτύχθηκε στο τομέα αυτόν και πως θα καταφέρουμε να πετύχουμε μια ομαλή ενσωματώσει της προστασίας σε κάθε σκέλος του σχεδιασμού και της ανάπτυξης ενός προϊόντος η μιας υπηρεσίας. Επιπλέον θα δούμε τον ρόλο και των συσχετισμό της ασφάλειας από τον σχεδιασμό με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR). Παρέχεται μια εικόνα των κενών στην υιοθέτηση της προστασίας της ιδιωτικής ζωής από την βιομηχανία. Με βάση τα στοιχεία αυτά αναλύουμε εκτενέστερα τα κενά του ισχύον κανονισμού (όπως για παράδειγμα ασαφής διατύπωση των υποχρεώσεων, αδυναμίες κυρώσεων, υποχρεώσεις διατήρησης ή από κάλυψης προσωπικών δεδομένων). Δίνεται μια έμφαση στο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και ποιοι οι περιορισμοί στις υπάρχουσες τεχνολογίες και την μέθοδο σχεδιασμού, και ποια τα κίνητρα για την υιοθέτηση και την συμμόρφωση με τον κανονισμό. Τέλος έχει αναπτυχθεί ένας οδηγός - κατευθυντήριες γραμμές ώστε να γίνει πιο κατανοητό από την βιομηχανία το πώς θα συμμορφωθούν με την απαίτηση για την προστασία από τον σχεδιασμό και εξ’ ορισμού σύμφωνα με το άρθρο 25 του γενικού κανονισμού και ποια τα οφέλη της συμμόρφωσης.