Το OPSEC και PERSEC στην καθημερινή ζωή. Γιατί είναι σημαντικό και γιατί πρέπει να σας ενδιαφέρει.
Και οι δύο όροι χρησιμοποιήθηκαν αρχικά από τον Στρατό ενώ σήμερα χρησιμοποιούνται και από εταιρείες και ιδιώτες. Στην πραγματικότητα, πιθανώς χρησιμοποιείτε ήδη ορισμένες μεθόδους OPSEC και PERSEC, είτε το γνωρίζετε είτε όχι.
OPSEC είναι το αρκτικόλεξο των λέξεων Operational Security που η μετάφρασή του στα ελληνικά είναι Επιχειρησιακή Ασφάλεια ή Ασφάλεια Επιχειρήσεων (όχι των οικονομικών, αλλά αυτών που διεξάγει ο Στρατός).
PERSEC είναι το αρκτικόλεξο των λέξεων Personal Security που η μετάφρασή του στα ελληνικά είναι Προσωπική Ασφάλεια ή Ασφάλεια Προσωπικού.
OPSEC: Επιχειρησιακή Ασφάλεια
Το OPSEC δημιουργήθηκε ως στρατιωτικός όρος που περιέγραφε στρατηγικές για την αποτροπή πιθανών αντιπάλων να ανακαλύψουν κρίσιμα δεδομένα που σχετίζονται με επιχειρήσεις. Είναι μια διαδικασία διαχείρισης κινδύνου που ενθαρρύνει τους υπευθύνους να βλέπουν τις επιχειρήσεις από την οπτική γωνία του αντιπάλου, προκειμένου να προστατεύσουν ευαίσθητες πληροφορίες από το να πέσουν σε λάθος χέρια.
Η επιχειρησιακή ασφάλεια αποτελείται συνήθως από μια διαδικασία πέντε βημάτων:
- Προσδιορισμός κρίσιμων πληροφοριών
- Ανάλυση απειλών
- Ανάλυση ευπάθειας
- Εκτίμηση Κινδύνου
- Εφαρμογή κατάλληλων μέτρων
Προσδιορισμός κρίσιμων πληροφοριών
Προσδιορίστε κρίσιμες πληροφορίες. Το πρώτο βήμα είναι να προσδιορίσετε ακριβώς ποια δεδομένα θα ήταν ιδιαίτερα επιβλαβή εάν αποκτηθούν από έναν αντίπαλο. Αυτό περιλαμβάνει προσωπικές πληροφορίες, οικονομική κατάσταση, ενδιαφέροντα και άλλα.
Ανάλυση απειλών
Προσδιορίστε πιθανές απειλές. Το επόμενο βήμα είναι να προσδιορίσετε ποιος αντιπροσωπεύει απειλή για τις κρίσιμες πληροφορίες σας. Μπορεί να υπάρχουν πολλοί εχθροί που στοχεύουν διαφορετικά κομμάτια πληροφοριών.
Ανάλυση ευπάθειας
Αναλύστε τα κενά ασφαλείας και άλλες ευπάθειες. Στο στάδιο ανάλυσης ευπάθειας , εξετάστε πιθανές αδυναμίες μεταξύ των διασφαλίσεων που ισχύουν για την προστασία των κρίσιμων πληροφοριών που τις αφήνουν ευάλωτες σε πιθανούς αντιπάλους. Αυτό το βήμα περιλαμβάνει τον εντοπισμό τυχόν δυνητικών ελλείψεων σε φυσικές / ηλεκτρονικές διαδικασίες που έχουν σχεδιαστεί για την προστασία από τις προκαθορισμένες απειλές ή περιοχές όπου η έλλειψη εκπαίδευσης σχετικά με την ασφάλεια αφήνει τις πληροφορίες ανοιχτές για επίθεση.
Εκτίμηση Κινδύνου
Εκτιμήστε το επίπεδο κινδύνου που σχετίζεται με κάθε ευπάθεια. Αφού προσδιοριστούν οι ευπάθειες, το επόμενο βήμα είναι να προσδιορίσετε το επίπεδο απειλής που σχετίζεται με καθένα από αυτά. Οι εταιρείες ταξινομούν τους κινδύνους σύμφωνα με παράγοντες όπως οι πιθανότητες να προκύψει μια συγκεκριμένη επίθεση και πόσο βλαβερή θα ήταν αυτή η επίθεση στις επιχειρήσεις. Όσο υψηλότερος είναι ο κίνδυνος, τόσο πιεστικό θα είναι για τον οργανισμό να εφαρμόζει ελέγχους διαχείρισης κινδύνων .
Εφαρμογή κατάλληλων μέτρων
Λάβετε αντίμετρα. Το τελευταίο βήμα της επιχειρησιακής ασφάλειας είναι η δημιουργία και εφαρμογή ενός σχεδίου για την εξάλειψη των απειλών και τον μετριασμό των κινδύνων. Τα αντίμετρα πρέπει να είναι απλά και κατανοητά. Οι εργαζόμενοι θα πρέπει να μπορούν να εφαρμόζουν τα μέτρα που απαιτούνται από την πλευρά τους με ή χωρίς πρόσθετη εκπαίδευση.
PERSEC: Ασφάλεια Προσωπικού
Η Προσωπική Ασφάλεια PERSEC επικεντρώνεται στην προστασία πληροφοριών όπως οικογενειακή κατάσταση, ο μισθός και το ύψος των απολαβών, η διεύθυνση του σπιτιού σας, οι νέες αγορές ακριβών αντικειμένων κ.λπ..
Σε γενικές γραμμές, είναι η βασική κοινή λογική που σας υπενθυμίζει να μην διαφημίζετε προσωπικά σας στοιχεία σε άλλους και ειδικά σε άτομα που δεν γνωρίζετε.
Γιατί είναι σημαντικό τα OPSEC/PERSEC και γιατί πρέπει να σας ενδιαφέρει
Υπάρχει ένα ρητό που λέει, “Αν δεν έχετε τίποτα να κρύψετε, δεν έχετε τίποτα να φοβάστε.”
Η πραγματικότητα είναι ότι ο καθένας έχει κάτι που θέλει να κρύψει από το ευρύ κοινό. Το κλειδί είναι να προσδιορίσετε σε ποια μορφή βρίσκονται αυτές οι πληροφορίες, πόσο καλά προστατεύονται και εάν γίνουν γνωστές ποιος θα είναι ο προσωπικός / επαγγελματικός αντίκτυπος ή και άμεσος κίνδυνος.
Οι επιτιθέμενοι αναζητούν συνεχώς στόχους με πιθανές αδυναμίες στο OPSEC και μπορεί να χρειαστούν ελάχιστες ώρες διαδικτυακής αναγνώρισης χρησιμοποιώντας χειροκίνητες και αυτοματοποιημένες τεχνικές Open Source Intelligence (OSINT) και Social Media Intelligence (SOCMINT) για να συλλέξουν αρκετές πληροφορίες σχετικά με έναν στόχο για να μάθουν τα εξής:
- Πλήρες όνομα
- Τοποθεσία
- Ημερομηνία γέννησης
- Λογαριασμοί email
- Διαδικτυακό ψηφιακό αποτύπωμα
- Πληροφορίες για την απασχόληση
- Οικονομικές πληροφορίες
- Αριθμοί τηλεφώνου κινητού / εργασίας
- Πληροφορίες / δημοσιεύσεις κοινωνικών μέσων
- Οικογένεια / Φίλοι / Συνάδελφοι
Οπλισμένοι με τις παραπάνω πληροφορίες, κάποιος με κίνητρο θα μπορούσε να προκαλέσει σοβαρές ζημιές. Παρακάτω θα δούμε ένα παράδειγμα. (Σημ. Τα ονόματα είναι τυχαία και οι αναρτήσεις δεν υπάρχουν, είναι fake. Για το ότι δεν πρέπει να πιστεύουμε σε screenshots θα γράψουμε σε άλλη ανάρτηση.)
Η κα Ζωή Λάτσκου έχει λογαριασμό στο Facebook (Zoi Latskou) και αναρτά δημόσια ότι μόλις έφθασε στη Σαντορίνη [1] και δίνει το link του ξενοδοχείου στο οποίο θα διαμείνει [2]. Η κα Ζωή έχει δηλώσει επίσης ότι είναι ιδιοκτήτρια καταστήματος εστίασης με όνομα “Το σουβλάκι της Ζωής” [3].
Από τα παραπάνω κάποιος/α γνωρίζει το χρονικό διάστημα που απουσιάζει από το σπίτι της. Επίσης, μαθαίνει πότε το κατάστημά της θα είναι κλειστό.
Από την κράτηση στο ξενοδοχείο τη συγκεκριμένη περίοδο μπορεί να μάθει το κόστος της διανυκτέρευσης και να συμπεράνει την οικονομική της κατάσταση.
Αν είναι περίοδος μεγάλης ζήτησης σε συνδυασμό με την παύση δημιουργίας εισοδήματος (κλειστό μαγαζί) μπορεί να συμπεράνει ότι είτε υπήρξε ξαφνικό κέρδος είτε δεν έχει οικονομική ανάγκη.
Η Ασφάλεια Πληροφοριών πάντα υπήρχε
Παρακάτω μπορείτε να δείτε μια αφίσα εποχής 1940, με την οποία το Υφυπουργείο Δημόσιας Ασφάλειας υπενθύμιζε και προέτρεπε το ένστολο προσωπικό να μην αναφέρει πληροφορίες σε άγνωστες γυναίκες που συναντούσε γιατί “ένας τέτοιος λόγος μπορεί να φέρει συμφοράς“.
“Μην εμπιστεύεστε τίποτα στις γυναίκες που έρχονται να σας συντροφέψουν. Ούτε πού υπηρετείτε, ούτε από πού έρχεσθε, ούτε πού πάτε.
Να τους λέτε: Ένας τέτοιος λόγος μπορεί να φέρει συμφοράς.”
Την αφίσα φιλοτέχνησε ο Φωκίωνας Δημητριάδης (1894-1977) και εκτυπώθηκε από το τυπογραφείο Ασπιώτη-Έλκα.