INTRACOM DEFENSE Α.Ε.

Σχεδίαση σύγχρονων επικοινωνιακών συστημάτων με σχεδιαστικά πλαίσια "Κυβερνοασφάλειας στην σχεδίαση"

Περιγραφή

Ο κυβερνοχώρος ορίζεται ως ένα σύνθετο περιβάλλον που προκύπτει από την αλληλεπίδραση ανθρώπων, λογισμικού και υπηρεσιών στο διαδίκτυο ή οποιοδήποτε άλλο δημόσια προσβάσιμο δίκτυο δια μέσου διασυνδεδεμένων συστημάτων, συσκευών και δικτύων. Η κυβερνοασφάλεια καλύπτει έναν αριθμό τομέων ασφάλειας στον κυβερνοχώρο όπως η ασφάλεια πληροφοριών, η ασφάλεια εφαρμογών, η ασφάλεια δικτύων και διαδικτύου και η ασφάλεια κρίσιμων υποδομών.

Η λύση έχει σαν κύριο στόχο την παροχή μιας μεθοδολογίας ανάπτυξης ασφαλών προϊόντων με βάση την κυβερνοασφάλεια κατά το σχεδιασμό (Cybersecurity by Design) καθώς και την εφαρμογή της μεθοδολογίας αυτής στο προϊόν της εταιρείας MNN το οποίο αποτελεί την έκδοση του WiSPR TMN για πολιτικού / εμπορικού τύπου εφαρμογές.

Το συγκεκριμένο προϊόν είναι ένα σύστημα επικοινωνιών με δυνατότητα σύνδεσης με μεγάλη πληθώρα ασυρμάτων και άλλων συσκευών. Η εφαρμογή της διαδικασίας σε ένα δικτυακό προϊόν με διαδραστικές δυνατότητες με τους χρήστες του σε πραγματικό χρόνο όπως το MNN αποτελεί ένα πολύ καλό παράδειγμα που μπορεί να εφαρμοσθεί στα πλαίσια της Βιομηχανίας 4.0.

Με τον όρο «cybersecurity by design», «κυβερνοασφάλεια κατά το σχεδιασμό», εννοούμε μία διαδικασία σχεδίασης και υλοποίησης του συστήματος η οποία έχει ενσωματώσει στις προδιαγραφές του συστήματος όλες τις απαιτήσεις ασφάλειας που είναι αναγκαίες για την εύρυθμη λειτουργία και προστασία του συστήματος, αναγνωρίζοντας την ασφάλεια σαν αναπόσπαστο μέρος της διαδικασίας ανάπτυξης λογισμικού/εφαρμογών.

Η μεθοδολογία ανάπτυξης «κυβερνοασφάλεια κατά το σχεδιασμό» που επιλέχτηκε, βασίζεται στη μεθοδολογία «Κοινά Κριτήρια» η οποία παρέχει ένα καθιερωμένο και διεθνώς αναγνωρισμένο πλαίσιο για την αξιολόγηση και πιστοποίηση των χαρακτηριστικών ασφαλείας προϊόντων και συστημάτων πληροφορικής. Η μεθοδολογία διαθέτει τα εξής στάδια:

Ανάλυση του συστήματος υπό αξιολόγηση
Εξαγωγή των απαιτήσεων ασφάλειας
Μοντελοποίηση απειλών
Εκτίμηση Ρίσκου

Υπηρεσίες

Η προτεινόμενη προσέγγιση για την παροχή μεθοδολογίας ανάπτυξης ασφαλών προϊόντων αποτελείται από τα εξής βασικά βήματα τα οποία θα πρέπει να ακολουθούνται κατά το στάδιο ανάπτυξης ενός προϊόντος για το οποίο η ανθεκτικότητά του σε κυβερνο-επιθέσεις είναι υψίστης σημασίας:

Ανάλυση του συστήματος υπό αξιολόγηση
- Γενική περιγραφή του συστήματος και ορισμός του προβλήματος ασφάλειας
- Ορισμός σεναρίου χρήσης
- Διασυνδέσεις συστήματος

Εξαγωγή απαιτήσεων ασφάλειας
- Καθορισμός του προβλήματος ασφάλειας
- Καθορισμός των στοιχείων υπό προστασία
- Αναφορά των υποθέσεων ασφάλειας
- Περιγραφή των απειλών ασφάλειας
- Εγκαθίδρυση στόχων ασφάλειας
- Οργανωτικά μέτρα προστασίας
- Εξαγωγή των λειτουργικών απαιτήσεων ασφάλειας
Μοντελοποίηση απειλών
- Καταγραφή των κρίσιμων πόρων του συστήματος
- Καταγραφή των ρόλων ασφάλειας
- Καταγραφή των λειτουργιών που σχετίζονται με την ασφάλεια
- Καταγραφή των λειτουργικών απαιτήσεων ασφάλειας
- Καταγραφή των οργανωτικών μέτρων
- Καταγραφή των υποθέσεων ασφάλειας
- Προσδιορισμός των πιθανών απειλών
- Δημιουργία διαγραμμάτων ροής δεδομένων
- Εκτίμηση ρίσκου

Εφαρμογή των παραπάνω σε πραγματικό σύστημα

Οφέλη

Προληπτική διαχείριση κινδύνων: Ο εντοπισμός και η αντιμετώπιση πτυχών ασφάλειας από την αρχή βοηθά στην ελαχιστοποίηση των κινδύνων και στην αντιμετώπιση των απαραίτητων ζητημάτων κυβερνοασφάλειας με βιώσιμο και οικονομικό τρόπο
Αποδοτικότητα κόστους: Η ενσωμάτωση πτυχών ασφάλειας στον σχεδιασμό από την αρχή ελαχιστοποιεί την ανάγκη για περίπλοκες προσαρμογές στη συνέχεια, οι οποίες μπορεί να είναι πιο δαπανηρές
Μειωμένα τρωτά σημεία: Ο σχεδιασμός με γνώμονα την ασφάλεια από την αρχή μπορεί να συμβάλει στη μείωση της πιθανότητας να μείνουν τρωτά σημεία στο προϊόν που μπορεί να μην παρατηρηθούν αργότερα
Ανθεκτικότητα σε κυβερνοεπιθέσεις: Τα μέτρα ασφάλειας μπορούν να ενσωματωθούν στη σχεδίαση του συστήματος και να υλοποιηθούν σε διαφορετικά επίπεδα καθιστώντας το σύστημα ιδιαίτερα ανθεκτικό σε διαφορετικούς τύπους επιθέσεων.
Συμμόρφωση και εμπιστοσύνη: Η ασφάλεια κατά το σχεδιασμό μπορεί να προσθέσει εμπιστοσύνη στο έργο και να προωθήσει μια θετική κουλτούρα ασφάλειας, όπου η ασφάλεια στον κυβερνοχώρο θεωρείται ως κοινή ευθύνη
Συμμόρφωση και φήμη: Η κατασκευή προϊόντων με γνώμονα την ασφάλεια από την αρχή μπορεί να συμβάλει στη διασφάλιση της συμμόρφωσης με τους κανονισμούς και τα πρότυπα, καθώς και να ενισχύσει τη φήμη του οργανισμού ότι η ασφάλεια λαμβάνεται σοβαρά υπ’ όψιν.
Μακροπρόθεσμη εξοικονόμηση κόστους: Αν και ενδέχεται να υπάρξουν αρχικές προσαρμογές στους προϋπολογισμούς και τις προθεσμίες, η συνεπής εφαρμογή μιας πολιτικής ασφάλειας από την αρχή μπορεί να αποτρέψει δαπανηρές διακοπές στις καθημερινές λειτουργίες και πιθανές παραβιάσεις ασφάλειας στο μέλλον

Αυτά τα οφέλη υπογραμμίζουν τη σημασία της ενσωμάτωσης της ασφάλειας σε ολόκληρο τον κύκλο ζωής του προϊόντος, ξεκινώντας από τη φάση του σχεδιασμού.

Πρότασης Μοναδικής Αξίας/Πώλησης

Η αξία της πρότασης «CyberSecurity by Design» είναι εξόχως σημαντική διότι:

Περιλαμβάνει την ενσωμάτωση μέτρων ασφαλείας στο σχεδιασμό και την ανάπτυξη προϊόντων από την αρχή και όχι εκ των υστέρων. Αυτή η προσέγγιση βοηθά να διασφαλιστεί ότι η ασφάλεια είναι μια θεμελιώδης πτυχή του προϊόντος, οδηγώντας σε καλύτερη προστασία από απειλές στον κυβερνοχώρο.
Μειώνει επίσης την ανάγκη για δαπανηρές μετασκευές ή επιδιορθώσεις ασφαλείας αργότερα. Η ιδέα είναι ιδιαίτερα σημαντική σε περιβάλλοντα κρίσιμων υποδομών και συστημάτων βιομηχανικού ελέγχου, όπου οι συνέπειες μιας κυβερνοεπίθεσης μπορεί να είναι σοβαρές.
Η εφαρμογή της ασφάλειας στον κυβερνοχώρο κατά το σχεδιασμό μπορεί να ενισχύσει την ανθεκτικότητα των προϊόντων δικτύωσης και να συμβάλει στη συνολική αξιοπιστία και ασφάλεια του συστήματος.
Επιπλέον, μπορεί να προσφέρει ένα ανταγωνιστικό πλεονέκτημα και μια ισχυρή πρόταση αξίας για τις επιχειρήσεις, επιδεικνύοντας δέσμευση για την ασφάλεια και τη διαχείριση κινδύνου.

Το έργο Agile4.0-Cluster υλοποιείται στο πλαίσιο της Δράσης ΣΥΝΕΡΓΑΤΙΚΟΙ ΣΧΗΜΑΤΙΣΜΟΙ ΚΑΙΝΟΤΟΜΙΑΣ/ ΣΣΚ και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση και εθνικούς πόρους μέσω του Ε.Π. Ανταγωνιστικότητα, Επιχειρηματικότητα & Καινοτομία (ΕΠΑνΕΚ).

Το έργο ξεκίνησε τον Αύγουστο του 2020 και αναμένεται να ολοκληρωθεί τον Αύγουστο του 2022.

Επιστημονικός υπεύθυνος είναι ο Δρ. Δημήτριος Τζοβάρας από το EKETA / ΙΠΤΗΛ.

Επικοινωνία

Ινστιτούτο Τεχνολογιών Πληροφορικής και επικοινωνιών
Εθνικό Κέντρο Έρευνας & Τεχνολογικής Ανάπτυξης,
6^o χλμ Χαριλάου - Θέρμης, 57001, Θεσσαλονίκη
Dimitrios.Tzovaras@iti.gr
+30 2311 257 701-3

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.