PROSPER - Module 1 - Unit 5 el.pptx

πρόγραμμα
ενδυνάμωσης
μετά
την
πανδημία
www.prosper-project.eu
Ψηφιακή
κυβερνοασφάλεια
Ενότητα 1 / Κεφάλαιο 5

πρόγραμμα
μετά
την
πανδημία
Συνεργάτες
Με τη χρηματοδότηση της Ευρωπαϊκής Ένωσης. Οι απόψεις και οι γνώμες που
διατυπώνονται εκφράζουν αποκλειστικά τις απόψεις των συντακτών και δεν
αντιπροσωπεύουν κατ'ανάγκη τις απόψεις της Ευρωπαϊκής Ένωσης ή του Ευρωπαϊκού
Εκτελεστικού Οργανισμού Εκπαίδευσης και Πολιτισμού (EACEA). Η Ευρωπαϊκή Ένωση και ο
EACEA δεν μπορούν να θεωρηθούν υπεύθυνοι για τις εκφραζόμενες απόψεις.
Post Pandemic Empowerment Programme © 2023 by Die Berater/
European E-Learning Institute/ BUPNET/ CATRO/ Momentum/
Smart Revolution/ Eurotraining is licensed under CC BY-NC-SA 4.0

πρόγραμμα
μετά
την
πανδημία
Προκειμένου να διασφαλιστούν τα ευαίσθητα δεδομένα από πολυάριθμους κινδύνους στον
εργασιακό χώρο σήμερα, η ασφάλεια στον κυβερνοχώρο καθίσταται όλο και πιο κρίσιμη.
Ανάλογα με το πώς εργάζονται επιτόπου ή εικονικά, είναι απαραίτητο να εκπαιδεύεται το προσωπικό
σε θέματα ασφάλειας στον κυβερνοχώρο. Οι ηγέτες μπορούν να διασφαλίσουν ότι οι υπάλληλοί τους
είναι καλά εξοπλισμένοι για να εντοπίζουν και να αποτρέπουν τις απειλές κινδύνου που μπορούν να
θέσουν σε κίνδυνο την ασφάλεια όλων. Αυτό που έχει καθοριστική σημασία είναι να διασφαλιστούν
αποτελεσματικά οι διαδικασίες για την προστασία από τέτοιους κινδύνους, καθώς και να δοθεί στο
προσωπικό η κατάλληλη εκπαίδευση σχετικά με τον τρόπο αναγνώρισης και αναφοράς ύποπτων
δραστηριοτήτων ή πιθανών ανησυχιών για την ασφάλεια.
Η διασφάλιση της μακροπρόθεσμης επιβίωσης και κερδοφορίας κάθε επιχείρησης απαιτεί την
καλλιέργεια μιας κουλτούρας γνώσης και υπευθυνότητας στον τομέα της κυβερνοασφάλειας εντός
του χώρου εργασίας.
Εισαγωγή

πρόγραμμα
μετά
την
πανδημία
Πίνακας περιεχομένων
01
02
03
Ευαισθητοποίηση των εργαζομένων
Διασφάλιση της προστασίας των δεδομένων
Αποφυγή απειλών στον κυβερνοχώρο
04 Αυτοαξιολόγηση
05 Μετάβαση στην επόμενη ενότητα

πρόγραμμα
μετά
την
πανδημία
ΓΝΩΣΗ:
Μαθησιακά
αποτελέσματα
ΙΚΑΝΟΤΗΤΕΣ:
ΣΥΜΠΕΡΙΦΟΡΑ:
ΣΤΑΣΕΙΣ:
Η σημασία της εκπαίδευσης των εργαζομένων σε θέματα
ασφάλειας στον κυβερνοχώρο
Διασφάλιση της προστασίας των δεδομένων και αναγνώριση
των απειλών στον κυβερνοχώρο
Εκπαίδευση και ευαισθητοποίηση των εργαζομένων σε θέματα
ασφάλειας στον κυβερνοχώρο
Υιοθέτηση πολιτικών κυβερνοασφάλειας και εγγραφή των
εργαζομένων σε εκπαιδεύσεις κυβερνοασφάλειας

πρόγραμμα
μετά
την
πανδημία
Ευαισθητοποίηση
των εργαζομένων
01

πρόγραμμα
μετά
την
πανδημία
Μια από τις πιο σημαντικές έννοιες που πρέπει να κατανοήσετε με
την ασφάλεια στον κυβερνοχώρο είναι ότι η συντήρηση είναι μια
συνεχής εργασία. Νέες επιθέσεις αναπτύσσονται κάθε μήνα, αν όχι
καθημερινά, και η προσέγγισή σας για την προστασία από αυτές
δεν μπορεί να περιορίζεται στην ετήσια εκπαίδευση.
Πρέπει να διασφαλίσετε ότι οι υπάλληλοί σας γνωρίζουν την πολιτική
κυβερνοασφάλειας της εταιρείας και αισθάνονται αρκετά άνετα με
τα δικαιώματα και τις ευθύνες τους ως υπάλληλοι. Οι εργαζόμενοι
πρέπει να γνωρίζουν ότι αν γίνουν μάρτυρες ή βρουν κάτι ύποπτο,
πρέπει να το αναφέρουν αμέσως.
1. Ευαισθητοποίηση των εργαζομένων
Εκπαίδευση εργαζομένων

πρόγραμμα
μετά
την
πανδημία
Όταν πρόκειται για την εκπαίδευση του προσωπικού, η εξασφάλιση ότι γνωρίζει το ρόλο του στη
διατήρηση της ασφάλειας των δεδομένων της εταιρείας θεωρείται ότι είναι η πρώτη προτεραιότητα. Η
ύπαρξη του κατάλληλου λογισμικού και εργαλείων ασφαλείας στους υπολογιστές τους, η κατανόηση
του τρόπου λειτουργίας τους και η καταβολή των απαραίτητων προσπαθειών είναι ζωτικής σημασίας.
Οι ιδιοκτήτες των εταιρειών πρέπει να καθορίσουν τις επίσημες πολιτικές τους και να τις διανείμουν σε
κάθε εργαζόμενο. Παρ' όλα αυτά, η απλή διανομή του υλικού και η προσδοκία ότι τα μέλη του
προσωπικού θα το διαβάσουν από την αρχή μέχρι το τέλος και θα προσλάβουν όλες τις πληροφορίες
τους δεν αρκεί. Είναι καλή ιδέα να συζητάτε με τους υπαλλήλους για τις πολιτικές τόσο κατά τη
διάρκεια της εκπαιδευτικής διαδικασίας όσο και όσο αυτοί εξακολουθούν να απασχολούνται.
1. Ευαισθητοποίηση των εργαζομένων
Εκπαίδευση εργαζομένων

πρόγραμμα
μετά
την
πανδημία
● Δημιουργήστε ένα πρόγραμμα κατάρτισης: Παρέχετε ένα πρόγραμμα κατάρτισης που περιλαμβάνει εταιρικούς
κανόνες, απαιτήσεις συμμόρφωσης και βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο. Το πρόγραμμα
κατάρτισης θα πρέπει να προσαρμόζεται ώστε να ανταποκρίνεται στις μοναδικές απαιτήσεις της επιχείρησης και
του προσωπικού της.
● Κάντε την εκπαίδευση υποχρεωτική: Η εκπαίδευση στην κυβερνοασφάλεια πρέπει να είναι υποχρεωτική για
όλους τους εργαζόμενους. Για να βεβαιωθείτε ότι τα μέλη του προσωπικού είναι ενημερωμένα σχετικά με τους
πιο πρόσφατους κινδύνους και κανονισμούς, αυτό μπορεί να γίνεται τόσο κατά την εισαγωγή όσο και συνεχώς.
● Χρησιμοποιήστε διαδραστικές τεχνικές εκπαίδευσης: Ενεργοποιήστε το προσωπικό σε συμμετοχικές τεχνικές
κατάρτισης, όπως παιχνίδια ρόλων, προσομοιώσεις και κουίζ για να τονίσετε τις σημαντικές ιδέες.
● Παρέχετε τακτικές ενημερώσεις: Παρέχετε τακτικές ενημερώσεις σχετικά με τις αλλαγές στις πολιτικές της
εταιρείας και τις απειλές για την κυβερνοασφάλεια, ώστε να διασφαλίσετε ότι οι εργαζόμενοι γνωρίζουν τυχόν
αλλαγές που μπορεί να επηρεάσουν την εργασία τους.
● Παρακολουθήστε την αποτελεσματικότητα της κατάρτισης: Χρησιμοποιώντας αξιολογήσεις, δημοσκοπήσεις ή
άλλες μορφές ανατροφοδότησης, παρακολουθείτε και αξιολογείτε την αποτελεσματικότητα του εκπαιδευτικού
προγράμματος. Αυτό μπορεί να βοηθήσει στον εντοπισμό προβληματικών περιοχών και να εγγυηθεί ότι οι
εργαζόμενοι θυμούνται το υλικό.
● Χρησιμοποιήστε παραδείγματα από την πραγματική ζωή: Για να τονίσετε τη σημασία της ασφάλειας στον
κυβερνοχώρο και της συμμόρφωσης με τους κανονισμούς, χρησιμοποιήστε πραγματικά παραδείγματα. Οι
εργαζόμενοι μπορεί να εμπνευστούν για να εφαρμόσουν ασφαλή και νόμιμη συμπεριφορά μαθαίνοντας τις
επιπτώσεις των δραστηριοτήτων τους στην εταιρεία.
1. Εκπαίδευση των εργαζομένων στις υφιστάμενες πολιτικές
Εσωτερικές πολιτικές κατάρτισης

πρόγραμμα
μετά
την
πανδημία
● Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) απαιτεί από τις ΜΜΕ να προστατεύουν
τα δεδομένα των χρηστών από κλοπή, μη εξουσιοδοτημένη πρόσβαση και άλλες απειλές ασφαλείας.
● Η οδηγία για την ασφάλεια των δικτύων και των πληροφοριών (οδηγία για την ασφάλεια των
πληροφοριών) απαιτεί από τις επιχειρήσεις να διατηρούν την ασφάλεια των δικτύων δεδομένων
τους και να αναφέρουν τυχόν σημαντικές ανησυχίες στις αρμόδιες υπηρεσίες.
● Ο νόμος για την ασφάλεια στον κυβερνοχώρο δημιουργεί ένα πλαίσιο για την πιστοποίηση
διαδικασιών, υπηρεσιών και αγαθών ΤΠΕ, ώστε να διασφαλίζεται ότι τηρούν προκαθορισμένα
κριτήρια ασφάλειας στον κυβερνοχώρο.
● Προγράμματα όπως το Horizon Europe και ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια στον
Κυβερνοχώρο, η ΕΕ παρέχει χρηματοδότηση και υποστήριξη στις ΜΜΕ για να ενισχύσουν τη στάση
τους στον κυβερνοχώρο (ECSO).
● Η ΕΕ παρέχει καθοδήγηση και εργαλεία για να βοηθήσει τις ΜΜΕ να αναπτύξουν τις πρακτικές τους
στον τομέα της κυβερνοασφάλειας μέσω πρωτοβουλιών όπως ο Οργανισμός της Ευρωπαϊκής Ένωσης
για την Κυβερνοασφάλεια (ENISA), καθώς και ο Ευρωπαϊκός Μήνας Κυβερνοασφάλειας.
● Η μη συμμόρφωση με αυτές τις απαιτήσεις μπορεί να επιφέρει κυρώσεις και συνέπειες στη φήμη
των ΜΜΕ.
1. Εκπαίδευση των εργαζομένων στις υφιστάμενες πολιτικές
Ευρωπαϊκές πολιτικές

πρόγραμμα
μετά
την
πανδημία
Διασφάλιση της
προστασίας των
δεδομένων
02

πρόγραμμα
μετά
την
πανδημία
Οι εργαζόμενοι πρέπει να κατανοήσουν ότι τα δεδομένα που δημιουργούν ή/και διαχειρίζονται ανήκουν
στην εταιρεία και ότι τα δεδομένα αυτά πρέπει να διατηρούνται ασφαλή. Κατά περίπτωση,
βεβαιωθείτε ότι οι εργαζόμενοι γνωρίζουν πώς να δημιουργούν αντίγραφα ασφαλείας των
δεδομένων χρησιμοποιώντας μεθόδους που περιγράφονται στις πολιτικές σας.
Οι υπολογιστές που εκδίδει η εταιρεία ή άλλες ηλεκτρονικές συσκευές θα πρέπει να χρησιμοποιούνται
μόνο από υπαλλήλους που είναι εξουσιοδοτημένοι να χρησιμοποιούν τις συγκεκριμένες συσκευές.
Επίσης, τονίστε τη σημασία της λήψης εξουσιοδότησης για τη χρήση οποιασδήποτε συσκευής.
Όταν οι εργαζόμενοι εργάζονται εξ αποστάσεως, οι επαγγελματίες της ασφάλειας δεδομένων και της
πληροφορικής έχουν λιγότερο έλεγχο και δυνατότητα παρακολούθησης της αποθήκευσης και της
κίνησης των δεδομένων. Οι απομακρυσμένοι υπάλληλοι μπορεί να χρησιμοποιούν μια υποβαθμισμένη
σύνδεση στο διαδίκτυο, ξεπερασμένο λογισμικό ή εξοπλισμό που δεν λειτουργεί σωστά. Καθώς οι
απομακρυσμένοι υπάλληλοι είναι υπεύθυνοι για τη συντήρηση του εξοπλισμού τους, εναπόκειται σε
αυτούς να πραγματοποιούν αναβαθμίσεις, να εγκαθιστούν λογισμικό ασφαλείας και να ακολουθούν
τις βέλτιστες πρακτικές, ενώ έχουν πρόσβαση σε δεδομένα χωρίς επιτόπια βοήθεια από την ΤΠ.
2. Αποθήκευση δεδομένων, λογαριασμοί και κωδικοί
πρόσβασης, VPN, προστασία προσωπικών δεδομένων
Προστασία δεδομένων

πρόγραμμα
μετά
την
πανδημία
Ευτυχώς, υπάρχουν αρκετά εύκολες λύσεις που μπορούν να χρησιμοποιηθούν για την ασφάλεια και
την προστασία των δεδομένων των εργαζομένων που εργάζονται εξ αποστάσεως. Ορισμένες από
αυτές τις λύσεις περιλαμβάνουν την αναζήτηση καθοδήγησης ή υπηρεσιών από ειδικούς σε θέματα
πληροφορικής ή προστασίας δεδομένων, ενώ άλλες μπορούν να εφαρμοστούν από τους ίδιους τους
απομακρυσμένους εργαζόμενους.
Αυτό που θα μπορούσε να έχει αξία για τις εταιρείες είναι ότι θα μπορούσαν να μοιραστούν έναν
ολοκληρωμένο κατάλογο μέτρων που αφορούν τόσο τη διοικητική τους ομάδα όσο και το
απομακρυσμένο προσωπικό τους, ανεξάρτητα από το αν εργάζονται με πλήρη ή μερική
απασχόληση από απομακρυσμένη τοποθεσία.
Αυτό θα βοηθούσε στην ενημέρωση όλων των εργαζομένων σχετικά με τα μέτρα που μπορούν να
ληφθούν για τη διασφάλιση της ασφάλειας των δεδομένων της εταιρείας και τη συνεργασία για την
εφαρμογή τους.

πρόγραμμα
μετά
την
πανδημία
Διασφάλιση της προστασίας των δεδομένων
● Έλεγχος ταυτότητας δύο παραγόντων (2FA): Όπως ένας κωδικός που αποστέλλεται σε ένα
smartphone ή ένας βιομετρικός έλεγχος ταυτότητας, ο 2FA παρέχει ένα επιπλέον επίπεδο
προστασίας στα στοιχεία σύνδεσης. (Microsoft)
● Λογισμικό προστασίας τελικών σημείων: Αυτό το λογισμικό προστατεύει τις απομακρυσμένες
συσκευές από επιθέσεις κακόβουλου λογισμικού και ιών, εντοπίζοντας και σταματώντας τις.
(Trellix, McAfee)
● Διαδικασίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων: Σε περίπτωση
καταστροφής ή παραβίασης, η συχνή δημιουργία αντιγράφων ασφαλείας των δεδομένων της
εταιρείας εγγυάται ότι δεν θα χαθούν κρίσιμες πληροφορίες. (Acronis, Google Drive)
● Τείχη προστασίας και συστήματα ανίχνευσης εισβολών (IDS): Τα μέσα αυτά παρακολουθούν
την ανεπιθύμητη πρόσβαση στα δίκτυα και τα δεδομένα της επιχείρησης και την αποτρέπουν.
(CISCO, SonicWall)
● Τακτικές ενημερώσεις λογισμικού και λειτουργικού συστήματος: Ο κίνδυνος παραβίασης
δεδομένων μειώνεται με την ενημέρωση των λειτουργικών συστημάτων και του λογισμικού
για την αντιμετώπιση και την επιδιόρθωση τυχόν αδυναμιών ασφαλείας.

πρόγραμμα
μετά
την
πανδημία
Η ασφάλεια στον κυβερνοχώρο αποτελεί αναγκαιότητα, ιδίως εάν οι διευθυντές προσλαμβάνουν
προσωπικό που εργάζεται από το σπίτι, δίνοντάς του αναπόφευκτη πρόσβαση μέσω VPN ή υπηρεσίας
κρυπτογράφησης, ώστε να διασφαλιστεί ότι δεν θα αποκτηθούν ζωτικής σημασίας πληροφορίες σχετικά
με την εταιρεία.
Η πιο δημοφιλής μέθοδος ελέγχου ταυτότητας για την επιβεβαίωση της ταυτότητας ενός χρήστη και τη
χορήγηση πρόσβασης σε ψηφιακούς πόρους, συμπεριλαμβανομένων των υπολογιστών και των
διαδικτυακών λογαριασμών, είναι ο κωδικός πρόσβασης.
Ένας αδύναμος κωδικός πρόσβασης ή ένας που χρησιμοποιείται συχνά σε πολλούς επαγγελματικούς
λογαριασμούς μπορεί να διευκολύνει τους χάκερ να αποκτήσουν πρόσβαση σε εμπιστευτικό υλικό, ενώ
οι ισχυροί κωδικοί πρόσβασης μπορούν να βοηθήσουν στην αποτροπή ανεπιθύμητης πρόσβασης σε
αυτούς τους πόρους.
Για να προσφέρουν έναν επιπλέον βαθμό προστασίας, οι κωδικοί πρόσβασης μπορούν επίσης να
χρησιμοποιηθούν σε συνδυασμό με άλλες τεχνικές ελέγχου ταυτότητας, όπως βιομετρικά στοιχεία ή
έλεγχος ταυτότητας πολλαπλών παραγόντων.
Κωδικοί πρόσβασης

πρόγραμμα
μετά
την
πανδημία
- Είναι
αρκετά
μεγάλος
-
Χρησιμοποι
εί
πολλαπλά
σύνολα
χαρακτήρω
ν
- Δεν
χρησιμοποι
εί πλήρεις
λέξεις
- Αλλάζει
τακτικά
- Δεν
μοιράζεται
σε όλους
τους
λογαριασμο
ύς
Ένας ισχυρός κωδικός πρόσβασης έχει τα εξής
χαρακτηριστικά:

πρόγραμμα
μετά
την
πανδημία
Δεν αρκεί να διατηρείτε έναν εργαζόμενο ασφαλή και προστατευμένο. Ολόκληρη η εταιρεία πρέπει να είναι
ασφαλής. Πριν εγκαταστήσετε ένα VPN ή μια λύση κρυπτογράφησης στην εργασία σας, πρέπει να
προσδιορίσετε την ανθεκτικότητα στον κυβερνοχώρο ολόκληρου του εργατικού δυναμικού. Πρέπει να έχετε
μια σταθερή πολιτική ασφάλειας, η οποία περιλαμβάνει την εκπαίδευση και τη διασφάλιση ότι οι
εργαζόμενοι γνωρίζουν τη σημασία της κυβερνοασφάλειάς τους.
Παρόλο που τα πλεονεκτήματα της υβριδικής εργασίας περιλαμβάνουν τη δυνατότητα ευελιξίας, αυτό
συνεπάγεται κινδύνους για την ασφάλεια. Οι εταιρείες πρέπει να χρησιμοποιούν αποτελεσματικά και
αποδοτικά εργαλεία για την προστασία των δικτύων τους από τις απειλές στον κυβερνοχώρο,
χρησιμοποιώντας μια λύση ασφάλειας πολλαπλών επιπέδων που προσφέρει πολυδιάστατη προστασία.
VPN & κρυπτογράφηση

πρόγραμμα
μετά
την
πανδημία
Οι χρήστες μπορούν να έχουν απομακρυσμένη πρόσβαση σε ένα ιδιωτικό δίκτυο χάρη σε ένα Εικονικό Ιδιωτικό Δίκτυο
(VPN), ένα λογισμικό που δημιουργεί μια ασφαλή και σταθερή σύνδεση μεταξύ συσκευών μέσω του διαδικτύου.
Τα VPN είναι χρήσιμα για την:
1) Προστασία προσωπικών και οικονομικών δεδομένων, με κρυπτογράφηση της επικοινωνίας μεταξύ του χρήστη και της
εταιρείας.
2) Παροχή ασφαλούς, αδιάλειπτης πρόσβασης σε απομακρυσμένους υπαλλήλους, ώστε να μπορούν να συνδέονται στο
δίκτυο της επιχείρησης σαν να βρίσκονται στο γραφείο.
3) Απόκρυψη της διεύθυνσης IP και της τοποθεσίας της συσκευής, για την παράκαμψη της ρύθμισης του διαδικτύου και
των γεωγραφικών περιορισμών
4) Διασφάλιση του ψηφιακού περιεχομένου και παροχή ασφαλούς αλληλεπίδρασης μεταξύ των μελών του προσωπικού
και του δικτύου της επιχείρησης.
Είναι ζωτικής σημασίας να λαμβάνετε υπόψη πτυχές όπως η ισχύς της κρυπτογράφησης, οι πρακτικές καταγραφής και οι
τοποθεσίες διακομιστών κατά την επιλογή ενός παρόχου VPN.
Τα VPN μπορούν να ρυθμιστούν ώστε να περιορίζουν την πρόσβαση σε συγκεκριμένες εφαρμογές ή πόρους, προσθέτοντας
έναν ακόμη βαθμό προστασίας.
Με την κρυπτογράφηση των πληροφοριών κατά τη μετάδοση, τα VPN μπορούν να βοηθήσουν στην αποφυγή επιθέσεων και
παρακολούθησης από τρίτους.

πρόγραμμα
μετά
την
πανδημία
Τα μεταδιδόμενα δεδομένα κρυπτογραφούνται με τη μετατροπή τους σε κωδικοποιημένο μήνυμα για
την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
Για να διασφαλιστεί ότι μόνο τα άτομα που διαθέτουν τα κατάλληλα κλειδιά αποκρυπτογράφησης
μπορούν να έχουν πρόσβαση στα δεδομένα, αυτά κωδικοποιούνται και μεταφράζονται με τη χρήση
αλγορίθμων και διαπιστευτηρίων. Χρησιμοποιείται σε ένα ευρύ φάσμα τεχνολογιών, όπως το ασφαλές
ηλεκτρονικό ταχυδρομείο, τα VPN, οι κρυπτογραφημένες συσκευές αποθήκευσης και τα προγράμματα
ασφαλούς συνομιλίας.
Μπορεί να χρησιμοποιηθεί για την προστασία των ιδιωτικών επικοινωνιών μεταξύ ατόμων ή ομάδων
ατόμων καθώς και εμπορικών, οικονομικών και προσωπικών δεδομένων.
Η κρυπτογράφηση διακρίνεται σε δύο κύριους τύπους: συμμετρική και ασύμμετρη. Ενώ η συμμετρική
χρησιμοποιεί ένα μόνο κλειδί τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση, η
ασύμμετρη κρυπτογράφηση απαιτεί ένα ζεύγος δημόσιου και ιδιωτικού κλειδιού.
Η κρυπτογράφηση από άκρο σε άκρο (E2EE) είναι ένας τύπος κρυπτογραφίας που χρησιμοποιείται στις
τηλεπικοινωνίες. Μόνο ο παραλήπτης και ο αποστολέας έχουν πρόσβαση στο αποκρυπτογραφημένο
υλικό.

πρόγραμμα
μετά
την
πανδημία
Αποφυγή απειλών
στον κυβερνοχώρο
03

πρόγραμμα
μετά
την
πανδημία
Οι πιο συνηθισμένες απειλές στον κυβερνοχώρο για τις ΜΜΕ περιλαμβάνουν:
● Phishing: Ύποπτα μηνύματα που παρασύρουν τους υπαλλήλους να δώσουν ευαίσθητες πληροφορίες
ή να κατεβάσουν κακόβουλο λογισμικό. Οι ΜΜΕ θα πρέπει να παρέχουν έλεγχο ταυτότητας
πολλαπλών παραγόντων και να χρησιμοποιούν φιλτράρισμα ηλεκτρονικού ταχυδρομείου.
● Ransomware: Λογισμικό που προορίζεται να βλάψει ή να παράσχει μη εξουσιοδοτημένη πρόσβαση
σε ένα σύστημα μέσω λήψεων, κακόβουλων ιστότοπων και συνημμένων αρχείων. Οι ΜΜΕ θα πρέπει
να δημιουργούν αντίγραφα ασφαλείας των δεδομένων και να εφαρμόζουν προστασία των τελικών
σημείων.
● Κακόβουλο λογισμικό: Λογισμικό σχεδιασμένο να προκαλεί ζημιά ή να αποκτά μη εξουσιοδοτημένη
πρόσβαση σε συστήματα υπολογιστών μέσω συνημμένων αρχείων, λήψεων και κακόβουλων
ιστότοπων. Οι ΜΜΕ θα πρέπει να χρησιμοποιούν λογισμικό προστασίας τελικών σημείων, να
ενημερώνουν το λογισμικό τους και να εφαρμόζουν εργαλεία ηλεκτρονικού ταχυδρομείου και
φιλτραρίσματος.
(συνεχίζεται στην επόμενη διαφάνεια)
3. Αποφυγή απειλών στον κυβερνοχώρο
Τυπικές απειλές

πρόγραμμα
μετά
την
πανδημία
● Απειλές εκ των έσω: Απειλή που παρουσιάζεται από νυν ή πρώην υπαλλήλους, ανεξάρτητους
εργολάβους ή προμηθευτές που έχουν πρόσβαση σε συστήματα και δεδομένα με άδεια. Οι ΜΜΕ θα
πρέπει να εφαρμόζουν ελέγχους πρόσβασης, ελέγχους ιστορικού των εργαζομένων και να
παρακολουθούν τη δραστηριότητα των χρηστών.
● Παραβιάσεις από τρίτους: Μια επίθεση που θέτει σε κίνδυνο ευαίσθητα δεδομένα εναντίον μιας
συνεργαζόμενης εταιρείας ή ενός προμηθευτή. Οι ΜΜΕ θα πρέπει να παρακολουθούν τη
δραστηριότητα των προμηθευτών, να αναπτύσσουν συμφωνίες κοινής χρήσης δεδομένων και μέτρα
ασφαλείας και να προβαίνουν σε δέουσα επιμέλεια όσον αφορά τους προμηθευτές.

πρόγραμμα
μετά
την
πανδημία
● Εργαλεία προσομοίωσης phishing: για να ελέγξουν την ευαισθητοποίηση και την αντίδραση των υπαλλήλων τους
σε απόπειρες phishing. Αυτό μπορεί να βοηθήσει στον εντοπισμό των τομέων στους οποίους απαιτείται πρόσθετη
εκπαίδευση. (PhishMe, KnowBe4, GoPhish, IronScales, Barracuda)
● Εργαλεία σάρωσης τρωτών σημείων: Αυτό μπορεί να βοηθήσει τους διαχειριστές να εντοπίσουν πιθανές αδυναμίες
ασφαλείας και να λάβουν διορθωτικά μέτρα. (Nessus, Qualys, OpenVAS, Rapid7 Nexpose, Acunetix)
● Πλατφόρμες εκπαίδευσης ευαισθητοποίησης σε θέματα ασφάλειας: Αυτές οι πλατφόρμες προσφέρουν
διαδραστικές και ελκυστικές εκπαιδευτικές ενότητες που επικεντρώνονται σε συγκεκριμένους τομείς της
κυβερνοασφάλειας, όπως το phishing, η ασφάλεια κωδικών πρόσβασης και η κοινωνική μηχανική. (KnowBe4, SANS
Security Awareness, Infosec IQ, Wombat Security, PhishMe)
● Πρότυπα πολιτικής ασφαλείας: Αυτά τα πρότυπα παρέχουν ένα πλαίσιο για τη δημιουργία ολοκληρωμένων
πολιτικών ασφάλειας που καλύπτουν διάφορους τομείς της ψηφιακής ασφάλειας, όπως ο έλεγχος πρόσβασης, η
προστασία δεδομένων και η αντιμετώπιση περιστατικών. (Ινστιτούτο SANS, NIST)
● Εργαλεία σχεδιασμού αντιμετώπισης περιστατικών: Τα εργαλεία αυτά μπορούν να βοηθήσουν τους διευθυντές να
αναπτύξουν και να εφαρμόσουν ένα ολοκληρωμένο σχέδιο αντιμετώπισης περιστατικών, το οποίο περιγράφει τα
βήματα που πρέπει να γίνουν σε περίπτωση παραβίασης της ασφάλειας ή άλλου περιστατικού.
Εργαλεία για διευθυντές

πρόγραμμα
μετά
την
πανδημία
Πλεονεκτήματα
1) Εντοπισμός επικίνδυνης συμπεριφοράς,
2) Ανίχνευση κίνησης δικτύου σε πραγματικό
χρόνο,
3) Αναγνώριση πιθανών απατών, επιθέσεων
κοινωνικής μηχανικής και επιθέσεων phishing,
4) Φιλτράρισμα και ανίχνευση μηνυμάτων spam,
5) Αυτοματοποίηση των διαδικασιών.
Μειονεκτήματα
1) Ανάπτυξη ισχυρών τεχνικών που
δημιουργούνται από τεχνητή νοημοσύνη,
2) Αναποτελεσματικότητα των συμβατών μέσων
ανίχνευσης,
3) Προκλήσεις επικοινωνίας με τη μορφή
παραπλανητικών και ψεύτικων συναγερμών.
Η ολοένα αυξανόμενη χρήση εργαλείων ΤΝ έχει καταδείξει την ανάγκη διασφάλισης της ασφάλειας
των επιχειρήσεων.
Εργαλεία AI

πρόγραμμα
μετά
την
πανδημία
Βασικά μέτρα για τις ΜΜΕ
1) Ανάπτυξη συστημάτων ανίχνευσης εισβολών,
όπως τείχη προστασίας και λογισμικό
προστασίας από ιούς,
2) Επαρκής εκπαίδευση του προσωπικού,
3) Καθιέρωση τακτικών ασφαλείας με τη
βοήθεια επαγγελματιών της
κυβερνοασφάλειας,
4) Τακτικές ενημερώσεις του λογισμικού.

πρόγραμμα
μετά
την
πανδημία
Πλεονεκτήματα
1) Διαθεσιμότητα εμπειρογνωμοσύνης: Η
ανίχνευση και η αντιμετώπιση απειλών γίνεται
από ειδικούς.
2) Εξοικονόμηση κόστους: Οι επιχειρήσεις
μπορούν να αποφύγουν τις επενδύσεις σε
νέους εργαζόμενους και εξοπλισμό,
3) Κλιμάκωση: Οι υπηρεσίες μπορεί να είναι
ρυθμιζόμενες ανάλογα με τις απαιτήσεις της
επιχείρησης,
4) Συνεχής παρακολούθηση: Παροχή συνεχούς
ασφάλειας,
5) Μειωμένος κίνδυνος: Οι πόροι
εμπειρογνωμοσύνης έχουν ανατεθεί σε
εξωτερικούς συνεργάτες.
Μειονεκτήματα
1) Απώλεια ελέγχου: Η εταιρεία εξαρτάται από
τον πάροχο,
2) Προκλήσεις επικοινωνίας: Παρεξηγήσεις
σχετικά με τις διαδικασίες,
3) Εξάρτηση: Πιθανός κίνδυνος μπορεί να
προκύψει σε περίπτωση παραβίασης της
ασφάλειας,
4) Προκλήσεις ενσωμάτωσης: Τρίτα μέρη και
υπάρχουσες ομάδες χρειάζονται συντονισμό,
5) Κίνδυνοι συμμόρφωσης: Παρανοήσεις των
προτύπων συμμόρφωσης μπορεί να
οδηγήσουν σε κινδύνους.
Η εξωτερική ανάθεση απαιτεί την πρόσληψη μιας εξωτερικής εταιρείας κυβερνοασφάλειας για τη
διαχείριση των αναγκών ασφάλειας της επιχείρησης. Παρέχει απεριόριστη πρόσβαση σε τεχνογνωσία
και υψηλές τεχνολογίες. Ωστόσο, μπορεί να ενέχει κινδύνους που έχουν να κάνουν με την προστασία
των δεδομένων και τη διαχείριση των προμηθευτών.
Εξωτερική ανάθεση

πρόγραμμα
μετά
την
πανδημία
Αντιμετώπιση προβλημάτων του συστήματος
Η αντιμετώπιση προβλημάτων είναι μια συστηματική
προσέγγιση στην επίλυση προβλημάτων που
χρησιμοποιείται συχνά για την εύρεση και διόρθωση
προβλημάτων με πολύπλοκες μηχανές, ηλεκτρονικά
συστήματα, υπολογιστές και συστήματα λογισμικού.
Οι μεθοδολογίες αντιμετώπισης προβλημάτων
προσπαθούν συνήθως να απομονώσουν ένα πρόβλημα
ώστε να μπορεί να εξεταστεί.
Παράδειγμα
Όταν ένας φορητός υπολογιστής δεν εκκινείται, ένα
προφανές πρώτο βήμα είναι να ελέγξετε αν το καλώδιο
τροφοδοσίας λειτουργεί. Μόλις αποκλειστούν τα κοινά
προβλήματα, οι υπεύθυνοι για την αντιμετώπιση
προβλημάτων πρέπει να ελέγξουν μια λίστα ελέγχου
των εξαρτημάτων για να εντοπίσουν πού συμβαίνει η
βλάβη.
Καλές πρακτικές & παραδείγματα
Βήματα αντιμετώπισης προβλημάτων
1) Συγκεντρώστε πληροφορίες,
2) Περιγράψτε το πρόβλημα,
3) Προσδιορίστε την πιθανότερη
αιτία,
4) Δημιουργήστε ένα σχέδιο δράσης
και δοκιμάστε μια λύση,
5) Εφαρμόστε τη λύση,
6) Αναλύστε τα αποτελέσματα,
7) Καταγράψτε τη διαδικασία.

πρόγραμμα
μετά
την
πανδημία
● Οι επιθέσεις ηλεκτρονικού "ψαρέματος" ήταν ο συνηθέστερος τύπος περιστατικού που
αντιμετώπισαν οι ΜΜΕ, ακολουθούμενες από μολύνσεις κακόβουλου λογισμικού και επιθέσεις
ransomware (ENISA,2021).
● Το 60% των μικρών επιχειρήσεων στην Ευρωπαϊκή Ένωση αντιμετώπισε τουλάχιστον ένα
περιστατικό στον κυβερνοχώρο το 2020 (ENISA,2021).
● Το 26% των ΜΜΕ του Ηνωμένου Βασιλείου δεν έχουν λάβει μέτρα κυβερνοασφάλειας και μόνο
το 16% διαθέτουν σχέδιο διαχείρισης περιστατικών κυβερνοασφάλειας (Εθνικό Κέντρο
Κυβερνοασφάλειας του Ηνωμένου Βασιλείου, 2020).
● Το 43% των ευρωπαϊκών ΜΜΕ αντιμετώπισε περιστατικό στον κυβερνοχώρο κατά το
προηγούμενο έτος και το 67% αυτών των περιστατικών είχε ως αποτέλεσμα σημαντικό
αντίκτυπο στην επιχείρηση (EY,2021).
● Το 49% των ευρωπαϊκών ΜΜΕ πιστεύει ότι η ασφάλεια στον κυβερνοχώρο αποτελεί
προτεραιότητα, αλλά μόνο το 37% διαθέτει σχέδιο αντιμετώπισης περιστατικών (EY, 2021).
Γεγονότα και αριθμοί

πρόγραμμα
μετά
την
πανδημία
● Διεξάγετε εκτιμήσεις κινδύνων;
● Εφαρμόζετε πολιτικές κυβερνοασφάλειας;
● Χρησιμοποιείτε ασφαλείς κωδικούς πρόσβασης και έλεγχο ταυτότητας πολλαπλών παραγόντων;
● Ενημερώνετε τακτικά το λογισμικό και τα patches ασφαλείας;
● Παρέχετε τακτική εκπαίδευση για την ασφάλεια στον κυβερνοχώρο;
● Χρησιμοποιήστε κρυπτογράφηση;
● Δημιουργείτε τακτικά αντίγραφα ασφαλείας δεδομένων;
● Εφαρμόζετε ελέγχους πρόσβασης;
● Παρακολουθείτε συστήματα και δίκτυα;
Με την υιοθέτηση αυτών των ορθών πρακτικών, οι ΜΜΕ μπορούν να βελτιώσουν σημαντικά τη θέση
τους στον κυβερνοχώρο και να μειώσουν τον κίνδυνο κυβερνοεπιθέσεων.
Λίστα ελέγχου: Στην ΜΜΕ σας… ;

πρόγραμμα
μετά
την
πανδημία
Η ασφάλεια στον κυβερνοχώρο είναι η
νέα παγκόσμια τάξη πραγμάτων για τις
επιχειρήσεις, η οποία έχει μεγάλη
σημασία για τους απομακρυσμένους
υπαλλήλους σήμερα. Οι εργοδότες
πρέπει να διασφαλίζουν ότι οι
εργαζόμενοι γνωρίζουν και
εκπαιδεύονται σχετικά με την πολιτική
κυβερνοασφάλειας της εταιρείας.
Σημαντικές πτυχές αυτών των πολιτικών
θα πρέπει να είναι η αποθήκευση
δεδομένων, οι λογαριασμοί και οι
κωδικοί πρόσβασης, το VPN και η
προστασία των προσωπικών
δεδομένων. Οι εργοδότες και οι
εργαζόμενοι θα πρέπει να είναι σε θέση
να αποφεύγουν τις πιο κοινές απειλές
στον κυβερνοχώρο.
ΠΕΡΙΛΗΨΗ ΤΟΥ
ΚΕΦΑΛΑΙΟΥ 5

πρόγραμμα
μετά
την
πανδημία
Σας προσφέρουμε ένα σύντομο
ερωτηματολόγιο για
αυτοαξιολόγηση του βαθμού στον
οποίο έχετε κατανοήσει το
περιεχόμενο.
Ο στόχος είναι να ελέγξετε και να
ενισχύσετε αυτά που έχετε μάθει.
Μπορείτε να κάνετε το κουίζ όσες
φορές θέλετε. Θυμηθείτε, το κουίζ
είναι απλώς μέρος της διαδικασίας
εκμάθησης νέων πραγμάτων!
ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ
ΑΥΤΟΑΞΙΟΛΟΓΗΣΗΣ

πρόγραμμα
μετά
την
πανδημία
Παραπομπές
Cybersecurity training best practices for Employees, 2018
https://www.nationwide.com/business/solutions-
center/cybersecurity/train-employees
The Importance of Cybersecurity For Remote Employees, 2022
https://www.linkedin.com/pulse/importance-cybersecurity-remote-
employees-ark-solvers/
8 Tips and Best Practices on How to Train Employees for Cyber Security
https://www.coxblue.com/8-tips-and-best-practices-on-how-to-train-
employees-for-cyber-security/

πρόγραμμα
μετά
την
πανδημία
Cybersecurity in the Workplace
https://my.pennhighlands.edu/ICS/IT_Services/Cyber_Security_Awaren
ess_Materials.jnz?portlet=Free-form_Content_2017-10-06T15-24-11-
858
Why Cybersecurity In The Workplace Is Everyone's Responsibility, 2022
https://www.stickmancyber.com/cybersecurity-blog/why-
cybersecurity-in-the-workplace-is-everyones-responsibility
SME Troubleshooting https://shorturl.at/lISX7
The NCSC Annual Review, 2020
https://www.ncsc.gov.uk/news/annual-review-2020

πρόγραμμα
μετά
την
πανδημία
Federal Trade Commission, Cybersecurity for Small Business,
https://www.ftc.gov/tips-advice/business-center/small-
businesses/cybersecurity
ENISA ,2021, Cybersecurity for SMEs
https://www.enisa.europa.eu/publications/enisa-report-cybersecurity-
for-smes
SBA, Strengthen your cybersecurity https://www.sba.gov/business-
guide/manage-your-business/strengthen-your-cybersecurity#section-
header-6
The 2021 Security Outcomes Study – Small and Midsize Business
Edition, Cisco https://shorturl.at/mzNT4

πρόγραμμα
μετά
την
πανδημία
Η ασφάλεια στον
κυβερνοχώρο είναι κάτι
πολύ περισσότερο από
θέμα πληροφορικής.
Stephane Nappo

πρόγραμμα
μετά
την
πανδημία
Η ευαισθητοποίηση των εργαζομένων
και η συμμόρφωση με τις πολιτικές
της ΕΕ είναι ζωτικής σημασίας για
την ασφάλεια στον κυβερνοχώρο.
Οι εργοδότες πρέπει να
εκπαιδεύουν τους εργαζομένους
τους σχετικά με το πώς να
αναγνωρίζουν και να αποφεύγουν
τις απειλές στον κυβερνοχώρο. Με
την παροχή εκπαίδευσης, οι
οργανισμοί μετριάζουν τους
κινδύνους παραβίασης δεδομένων,
οι οποίοι έχουν ως αποτέλεσμα
οικονομική ζημία και ζημία φήμης.
Η εκπαίδευση των εργαζομένων
είναι απαραίτητη για τη διατήρηση
μιας ισχυρής στάσης
κυβερνοασφάλειας.
Περίληψη του κεφαλαίου

πρόγραμμα
μετά
την
πανδημία
Σας ευχαριστούμε που μαθαίνετε μαζί μας!
www.prosper-project.eu
Μπορείτε να μας βρείτε:
● https://prosper-project.eu/
● https://www.facebook.com/Workplace.SMEs.EU
● https://www.linkedin.com/company/workplace-smes/

PROSPER - Module 1 - Unit 5 el.pptx

Recommended

Recommended

More Related Content

Similar to PROSPER - Module 1 - Unit 5 el.pptx

Similar to PROSPER - Module 1 - Unit 5 el.pptx (20)

More from caniceconsulting

More from caniceconsulting (20)

Recently uploaded

Recently uploaded (15)

PROSPER - Module 1 - Unit 5 el.pptx