ΤΟ ΚΥΒΕΡΝΟΕΓΚΛΗΜΑ ΑΠΕΚΤΗΣΕ ΤΑ ΤΕΛΕΥΤΑΙΑ ΧΡΟΝΙΑ ΑΝΕΞΕΛΕΓΚΤΕΣ ΔΙΑΣΤΑΣΕΙΣ

Σε συνέντευξή του στη «Σ» ο Τάσος Προκοπίου, Συνέταιρος Συμβουλευτικών Υπηρεσιών για θέματα Τεχνολογίας της PwC, τονίζει ότι δεν πρέπει να υποτιμάται η ζημιά που μπορεί να επιφέρει μια κυβερνοεπίθεση, ενώ επισημαίνει το γεγονός ότι στην Κύπρο ακόμα υστερούμε στην αντιμετώπιση τέτοιων κινδύνων

«Η προστασία μιας επιχείρησης από τα ρίσκα του κυβερνοχώρου ξεκινά από την αναγνώριση και αξιολόγηση των κινδύνων στους οποίους είναι εκτεθειμένη»

Πέραν των πολλαπλών πλεονεκτημάτων που μπορεί να έχει μια επιχείρηση η οποία χρησιμοποιεί το διαδίκτυο για τη λειτουργία της, το ηλεκτρονικό επιχειρείν ενέχει και σωρεία κινδύνων, με πρώτο το κυβερνοέγκλημα. Τα τελευταία χρόνια παγκοσμίως παρατηρείται μία ανερχόμενη τάση για δημιουργία και εφαρμογή ψηφιακών επιχειρησιακών μοντέλων, καθώς και για χρήση του διαδικτύου για τη διεκπεραίωση των αγορών και των επιχειρηματικών δραστηριοτήτων των εταιρειών.

Το γεγονός αυτό αυξάνει τους κινδύνους μια επιχείρηση να πέσει θύμα κυβερνοεγκλήματος, όπως διαφαίνεται και μέσα από την έρευνα της PwC «The Global State of Information Security Survey 2017», τα ευρήματα της οποίας αναλύει ο Τάσος Προκοπίου, Συνέταιρος Συμβουλευτικών Υπηρεσιών για θέματα Τεχνολογίας του οργανισμού.

Ραχοκοκκαλιά των επιχειρήσεων

Παρατηρείται όντως αύξηση των περιστατικών κυβερνοεγκλήματος (cybercrime) και πού την αποδίδετε;

Καθώς διανύουμε την ψηφιακή εποχή, τα λογισμικά συστήματα και η διαδικτυακή υποδομή αποτελούν πλέον τη ραχοκοκκαλιά για τη λειτουργία των επιχειρήσεων που επιλέγουν να δραστηριοποιούνται και διαδικτυακά. Εκτός όμως από πολλαπλά οφέλη για τις επιχειρήσεις, το διαδίκτυο ενέχει και κινδύνους, καθώς τα συστήματα έχουν αδυναμίες τις οποίες κάποιοι επιτήδειοι μπορούν να εκμεταλλευτούν.

Λόγω της φύσης του, το έγκλημα στο διαδίκτυο λαμβάνει όλο και μεγαλύτερες διαστάσεις και αυτή η τάση καταγράφηκε και το 2016. Οι κυβερνοεγκληματίες εκμεταλλεύονται συγκεκριμένα χαρακτηριστικά του κυβερνοχώρου, όπως η ανωνυμία, ο διασυνοριακός χαρακτήρας, η ταχύτητα, αλλά και η ευκολία με την οποία διεκπεραιώνεται το διαδικτυακό έγκλημα, καθώς λαμβάνει χώρα σε ελάχιστο χρόνο και συχνά δεν γίνεται καν αντιληπτό από το θύμα.

Οι επικρατούσες τάσεις

Ποιες είναι οι τάσεις που σχετίζονται με την ασφάλεια στον κυβερνοχώρο το 2017;

Από την παγκόσμια έρευνα της PwC «The Global State of Information Security Survey 2017», έχουν διαφανεί τέσσερεις βασικές τάσεις για το 2017, αναφορικά με την ασφάλεια στον κυβερνοχώρο. Αυτές αφορούν την υιοθέτηση από τις επιχειρήσεις νέων τεχνολογιών, μεθόδων και προσεγγίσεων, με στόχο τη διασφάλιση του ψηφιακού επιχειρησιακού τους μοντέλου, την αναγνώριση των διαδικτυακών απειλών και ανταλλαγή πληροφοριών σε σχέση με αυτές, τη λήψη μέτρων για τη βελτίωση της ασφάλειας και χρήσης του Internet of Things και την προληπτική προσέγγιση για τη διαχείριση κινδύνων που εγκυμονούν γεωπολιτικές αλλαγές.

Οι μεγαλύτερες απειλές

Ποιες είναι οι απειλές και οι κίνδυνοι που αντιμετωπίζουν οι εταιρείες στον κυβερνοχώρο και από που προέρχονται;

Οι κίνδυνοι που έχουν προκύψει τα τελευταία χρόνια στον κυβερνοχώρο προέρχονται κυρίως από το οργανωμένο έγκλημα, τους υπαλλήλους ή τους συνεργάτες της ίδιας της επιχείρησης που έχουν πρόσβαση στα συστήματά της, τους ακτιβιστές του κυβερνοχώρου (hacktivist), τους τρομοκράτες του κυβερνοχώρου (cyber terrorists), αλλά και μεγάλα κράτη. Τα κίνητρά τους είναι ποικίλα, με κάποιους να ενδιαφέρονται για οικονομικό κέρδος και άλλους να παρακινούνται από εμπορικά, ιδεολογικά, πολιτικά ή γεωπολιτικά συμφέροντα.

Η επιτυχία των επιθέσεων βασίζεται στην τεχνογνωσία που έχουν οι κυβερνοεγκληματίες, στους πόρους, στα κίνητρα και στον χρόνο που έχουν στη διάθεσή τους. Οι απειλές και οι μέθοδοι που χρησιμοποιούν διαφοροποιούνται σε μεγάλο βαθμό, ανάλογα με το προφίλ της κάθε επιχείρησης. Οι κυβερνοεγκληματίες στοχεύουν είτε απευθείας στις ηλεκτρονικές υποδομές του οργανισμού είτε στους υπαλλήλους του, χρησιμοποιώντας μια γκάμα από μεθόδους.

Η πιο συνηθισμένη μέθοδος, η οποία στοχεύει στην επίτευξη πρόσβασης μέσω αδυναμίας του ανθρώπινου παράγοντα, είναι η τεχνική κοινωνικής μηχανικής (social engineering). Συνήθως η προσέγγιση αυτή γίνεται μέσω της αποστολής ηλεκτρονικών μηνυμάτων αλληλογραφίας (email) σε υπαλλήλους του οργανισμού, τα οποία στοχεύουν στην εγκατάσταση κακόβολου λογισμικού στον υπολογιστή του θύματος, το οποίο μπορεί να τους δίνει πρόσβαση στις υποδομές και τα δεδομένα του οργανισμού ή να καθιστά αδύνατη τη χρήση τους.

Σοβαρά πλήγματα

Μπορεί να εκτιμηθεί το κόστος και οι πιθανές συνέπειες μιας επιτυχημένης κυβερνοεπίθεσης;

Παρά το γεγονός ότι η ασφάλεια στον κυβερνοχώρο είναι ένα από τα φλέγοντα ζητήματα της εποχής μας, σπάνια οι επιχειρήσεις εκτιμούν σωστά το πραγματικό κόστος γι’ αυτές και τις συνέπειες που μπορεί να επιφέρει μια επιτυχημένη επίθεση. Οι επιπτώσεις ενός περιστατικού παραβίασης ασφάλειας διαφέρουν ανάλογα με το είδος και τον βαθμό επιτυχίας μιας επίθεσης.

Αυτές μπορεί να περιλαμβάνουν, μεταξύ άλλων, πλήγμα ως προς την εμπιστοσύνη προς την επιχείρηση, υποβάθμιση της εμπορικής της επωνυμίας, μείωση των εσόδων, ποινικές διώξεις, απώλεια πνευματικής ιδιοκτησίας, ή ακόμη και πρόστιμο από τις ρυθμιστικές Αρχές. Αξίζει να σημειωθεί ότι σε περίπτωση παραβίασης του νέου νόμου περί προστασίας των προσωπικών δεδομένων της Ευρωπαϊκής Ένωσης, που θα εφαρμοστεί τον Μάιο του 2018, το πρόστιμο μπορεί να ανέλθει μέχρι και στο 4% του κύκλου εργασιών μιας επιχείρησης, γεγονός που μπορεί να χρησιμοποιηθεί ως απειλή από τους κυβερνοεγκληματίες μετά από μία επιτυχημένη επίθεση.

Πέρα από τις επιπτώσεις μιας επιτυχημένης παραβίασης, οι επιχειρήσεις θα πρέπει να αναλογιστούν και το κόστος ανάκαμψης της λειτουργίας τους, το κόστος των τεχνικών ερευνών που θα ακολουθήσουν για τη διερεύνηση του συμβάντος, περιλαμβανομένου και ενός ενδεχόμενου δικανικού ελέγχου, καθώς επίσης και το κόστος εισαγωγής επιπρόσθετων βελτιώσεων στο πλαίσιο ασφάλειας της επιχείρησης, προς αποφυγή μελλοντικών επιθέσεων.

Αξιολόγηση κινδύνων

Τι πρέπει να κάνουν οι εταιρείες για να προστατευθούν από τέτοιου είδους επιθέσεις;

Η προστασία μιας επιχείρησης από τα ρίσκα του κυβερνοχώρου ξεκινά από την αναγνώριση και την αξιολόγηση των κινδύνων στους οποίους είναι εκτεθειμένη, καθώς επίσης και από το τι είναι σημαντικό γι' αυτήν να προστατέψει. Στη συνέχεια, η επιχείρηση θα πρέπει να αξιολογήσει κατά πόσο οι υφιστάμενοι μηχανισμοί ασφαλείας την προστατεύουν επαρκώς από τους κινδύνους αυτούς και τις ενδεχόμενες επιθέσεις. Η προετοιμασία διαφοροποιείται σε εύρος και πολυπλοκότητα ανάλογα με το μέγεθος, τη δραστηριότητα και το μοντέλο λειτουργίας της εταιρείας, και αποτελείται από τρεις ενότητες.

Η πρώτη ενότητα αφορά το τεχνικό επίπεδο και περιλαμβάνει μηχανισμούς που προστατεύουν, εντοπίζουν και αντιμετωπίζουν σωστά τις επιθέσεις, και βοηθούν επίσης στον δικανικό έλεγχο που έπεται μιας επιτυχημένης παραβίασης. Η δεύτερη ενότητα αφορά τη διακυβέρνηση της κυβερνοασφάλειας (cyber security), τις πολιτικές και διαδικασίες που θα πρέπει να θεσπιστούν, και την ενημέρωση και ευαισθητοποίηση του ανθρώπινου δυναμικού.

Ως PwC θεωρούμε το κομμάτι αυτό ιδιαίτερα σημαντικό, καθώς το τελευταίο διάστημα έχουμε διαπιστώσει έξαρση στις επιθέσεις κοινωνικής μηχανικής, που στοχεύουν στην απόσπαση πληροφοριών από τους χρήστες ή στην εγκατάσταση κακόβολου λογισμικού (π.χ. ransomware) στα συστήματα του οργανισμού. Η τρίτη ενότητα περιλαμβάνει την αντιμετώπιση μιας επιτυχημένης επίθεσης, κατά την οποία επιτυγχάνεται παραβίαση των συστήματα της επιχείρησης, και προϋποθέτει ένα σχέδιο δράσεων που θα βοηθήσουν την επιχείρηση να ελαχιστοποιήσει τις επιπτώσεις μιας επίθεσης, όταν αυτή συμβεί.

Επιπρόσθετα με τα πιο πάνω, οι επιχειρήσεις θα πρέπει να προβαίνουν σε περιοδική αξιολόγηση των αμυντικών τους μηχανισμών, κυρίως με την πραγματοποίηση δοκιμών παρείσδυσης (penetration tests). Για βέλτιστα αποτελέσματα, όμως, η εισαγωγή μέτρων ασφαλείας θα πρέπει να ξεκινά από πολύ νωρίς, και συγκεκριμένα από το στάδιο του σχεδιασμού των συστημάτων και της υποδομής (privacy and security by design), έτσι ώστε κάθε καινούργιο στοιχείο να μην επιφέρει επιπρόσθετα ρίσκα στο υφιστάμενο περιβάλλον της επιχείρησης.

Υστερούμε στην Κύπρο

Πώς οι κυπριακές εταιρείες προστατεύονται και ποιοι επιχειρηματικοί τομείς είναι περισσότερο «συνειδητοποιημένοι»;

Η αυξανόμενη έκταση που λαμβάνουν οι κυβερνοεπιθέσεις και η προβολή που τυγχάνουν από τα μέσα μαζικής ενημέρωσης έχουν ευαισθητοποιήσει σε κάποιο βαθμό τις επιχειρήσεις στην Κύπρο. Παρ' όλ' αυτά και με βάση την εμπειρία μας στον τομέα αυτό, η πλειοψηφία των μικρών και μικρομεσαίων οργανισμών περιορίζεται στη λήψη περιορισμένων τεχνολογικών μέτρων σε ό,τι αφορά την κυβερνοασφάλεια.

Αυτά συνήθως περιορίζονται σε απλή εφαρμογή ενός τοίχου προστασίας (firewall) και ενός λογισμικού αντιμετώπισης ιών (antivirus), που στις πλείστες περιπτώσεις δεν είναι επικαιροποιημένα με τις τελευταίες ενημερώσεις, με αποτέλεσμα η προστασία που παρέχουν να μην είναι επαρκής. Οι πλείστες επιχειρήσεις επίσης υστερούν σε θέματα διαδικασιών, δικλίδων ασφαλείας και ενημέρωσης του ανθρώπινου δυναμικού, που θεωρείται ως ο πιο «αδύναμος κρίκος» της αλυσίδας.

Εκμεταλλεύονται τα κενά

Τι ισχύει για τις μεγάλες επιχειρήσεις;

Οι μεγάλες επιχειρήσεις και ειδικότερα εκείνες που διέπονται από ρυθμιστικό ή κανονιστικό πλαίσιο (π.χ. χρηματοπιστωτικά ιδρύματα), έχουν προβεί σε σημαντικές επενδύσεις για την αντιμετώπιση του κυβερνοεγκλήματος. Σε αρκετές περιπτώσεις, όμως, δεν δίνεται η απαραίτητη σημασία στη διασφάλιση του ίδιου επιπέδου ασφαλείας και για συνεργάτες του οργανισμού, με αποτέλεσμα να μειώνεται το συνολικό επίπεδο ασφαλείας. Οι εγκληματίες, εκμεταλλευόμενοι κενά ασφαλείας στα περιβάλλοντα των συνεργατών, χρησιμοποιούν «το μικρό ψάρι» σαν πλατφόρμα για να εξαπολύσουν τις επιθέσεις τους.

Διαμόρφωση ευρύτερης στρατηγικής

Πώς ανταποκρίνεται η PwC στις ανάγκες των εταιρειών για προστασία από τις απειλές στον κυβερνοχώρο;

Η προσέγγιση της PwC έχει διαμορφωθεί με βάση τις διεθνείς βέλτιστες πρακτικές αναφορικά με θέματα ασφαλείας στον κυβερνοχώρο. Έχει ως βασικό άξονά της τη σωστή διαχείριση των κινδύνων που προκύπτουν μετά από αξιολόγηση της τρέχουσας ικανότητας μιας επιχείρησης να αντιμετωπίζει τους κινδύνους στον κυβερνοχώρο και περιλαμβάνει τη διαμόρφωση μιας ευρύτερης στρατηγικής, που περιλαμβάνει βραχυπρόθεσμο και μεσοπρόθεσμο πρόγραμμα δράσεων και επενδύσεων σε θέματα κυβερνοασφάλειας.

Έξι τομείς που διέπουν την κυβερνοασφάλεια

Η προσέγγιση της PwC στα θέματα κυβερνοασφάλειας στοχεύει στην ενδυνάμωση της εμπιστοσύνης σε έξι τομείς:

· Στο ανθρώπινο δυναμικό και τη δημιουργία σωστής κουλτούρας, περιλαμβανομένου και του σχεδιασμού πολιτικών και διαδικασιών σε θέματα κυβερνοασφάλειας

· Στη χρήση της τεχνολογίας για ενίσχυση των αμυντικών μηχανισμών ενάντια στις απειλές του κυβερνοχώρου

· Στις διασυνδέσεις με εξωτερικούς συνεργάτες, με σκοπό την ελαχιστοποίηση της έκθεσης της επιχείρησης σε απειλές μέσω τρίτων

· Στην αναγνώριση και διαχείριση των κινδύνων που προκύπτουν από την εφαρμογή ενός ψηφιακού επιχειρησιακού μοντέλου

· Στην αντιμετώπιση κρίσεων που έπονται μιας ενδεχόμενης παραβίασης των συστημάτων, και στις προτεραιότητες και την ευθυγράμμιση της επιχειρησιακής στρατηγικής για την ασφάλεια, με βάση τους κινδύνους και απειλές στις οποίες είναι εκτεθειμένη η επιχείρηση.