• Σήμερα είναι: Τετάρτη, 23 Σεπτεμβρίου, 2020

Ασφαλεια στον κυβερνοχωρο: πως δημιουργειται μια αξιοπιστη αλυσιδα

BDO Netherlands

Ασφάλεια στον κυβερνοχώρο» (cybersecurity) σημαίνει ελευθερία από τον κίνδυνο ή τη ζημιά που προκαλείται από τη διακοπή, βλάβη ή κατάχρηση των πληροφοριακών συστημάτων. Αυτός ο κίνδυνος ή η ζημιά μπορεί να συνίσταται στον περιορισμό της διαθεσιμότητας ή της αξιοπιστίας των πληροφοριακών συστημάτων, την παραβίαση του απορρήτου των πληροφοριών που αποθηκεύονται στα συστήματα ή τη ζημιά που μπορεί να προκληθεί στην ακεραιότητα των πληροφοριών.

Η διασφάλιση της ψηφιακής ασφάλειας και ελευθερίας και η διατήρηση ενός ανοικτού και καινοτόμου ψηφιακού χώρου βρίσκονται μεταξύ των απαραίτητων προϋποθέσεων για την εύρυθμη λειτουργία μιας κοινωνίας.

ΟΙ 5 ΒΑΣΙΚΟΙ ΚΥΒΕΡΝΟ-ΚΙΝΔΥΝΟΙ

Οι 5 συνηθέστεροι και βασικότεροι κυβερνο-κίνδυνοι είναι οι εξής:

– Οι ανθρώπινες πράξεις και (μη συμμορφούμενη) συμπεριφορά, καθώς και η έλλειψη γνώσης.

– Οι αλληλεξαρτήσεις που προκύπτουν στην επιχειρησιακή αλυσίδα.

– Η ανάμεικτη χρήση ιδιωτικών και επαγγελματικών συναλλαγών στη χρήση των κινητών συσκευών.

– Τα ευάλωτα πληροφοριακά συστήματα που δεν είναι πλήρως ενημερωμένα.

– Λογισμικό για το οποίο δεν έχει γίνει ασφαλής προγραμματισμός.

Οι εγκληματίες του κυβερνοχώρου δεν συμπεριφέρονται όλοι με τον ίδιο τρόπο. Πού βρίσκονται λοιπόν οι μεγαλύτερες απειλές; Και ποιοι «κακοί» έχουν στόχο ποια θύματα;

Σύμφωνα με έρευνα της BDO Netherlands, εάν μπορούσαμε να συγκεντρώσουμε σε έναν πίνακα τις κυβερνο-απειλές, τότε αυτός θα έμοιαζε με τον πίνακα 1:

Ανοιχτό γκρι χρώμα: «Χαμηλός κίνδυνος», δεν έχουν εντοπιστεί νέες τάσεις ή φαινόμενα που να αποτελούν απειλή. Ή υπάρχουν (επαρκή) διαθέσιμα μέτρα για την εξάλειψη της απειλής. Ή στη διάρκεια της έρευνας έλαβαν χώρα μη αξιόλογες εκδηλώσεις της απειλής.

Σκούρο γκρι χρώμα: «Μεσαίος κίνδυνος», δεν έχουν εντοπιστεί νέες τάσεις ή φαινόμενα που να αποτελούν απειλή. Ή υπάρχουν (περιορισμένα) διαθέσιμα μέτρα για την εξάλειψη της απειλής. Ή στη διάρκεια της έρευνας έλαβαν χώρα κάποια τέτοια γεγονότα εκτός Ολλανδίας και κάποια μικρής έκτασης εντός Ολλανδίας.

Κόκκινο χρώμα: «Υψηλός κίνδυνος», υπάρχουν σαφείς εξελίξεις που κάνουν την απειλή άμεση. Ή τα διαθέσιμα μέτρα για την εξάλειψη της απειλής έχουν περιορισμένο εύρος, οπότε η απειλή παραμένει σημαντική. Ή στη διάρκεια της έρευνας έλαβαν χώρα τέτοια γεγονότα στην Ολλανδία.

7 ΣΥΜΒΟΥΛΕΣ ΓΙΑ ΠΕΡΙΣΣΟΤΕΡΗ ΘΩΡΑΚΙΣΗ ΑΠΟ ΤΟ ΚΥΒΕΡΝΟ-ΕΓΚΛΗΜΑ

Όλοι γνωρίζουμε ότι δεν πρέπει ποτέ να ανοίγουμε συνημμένα έγγραφα από άγνωστα μηνύματα ηλεκτρονικού ταχυδρομείου (emails), αλλά οι εγκληματίες του κυβερνοχώρου προχωρούν πολύ περισσότερο και εργάζονται με όλο και πιο έξυπνους τρόπους. Αυτός είναι ο λόγος για τον οποίο μπορεί να είναι δύσκολο να ποσοτικοποιηθούν οι ζημίες που προκαλούνται από το έγκλημα στον κυβερνοχώρο, όχι μόνο οι άμεσες απώλειες, όπως η κλοπή εμπιστευτικών πληροφοριών, προσωπικών δεδομένων και χρημάτων, αλλά και οι έμμεσες απώλειες, οι οποίες συχνά υποτιμώνται. Απαιτούνται εξειδικευμένες γνώσεις ώστε να καθαριστούν σωστά και, όπου χρειάζεται, να επαναπρογραμματιστούν τα πληροφοριακά συστήματα μετά από μια επίθεση στον κυβερνοχώρο.

Έπειτα, υπάρχει η ζημιά στην εταιρική εικόνα κάθε εταιρείας, την οποία δεν πρέπει να υποτιμούμε. Μια οντότητα δεν μπορεί να κερδίσει εύκολα την εμπιστοσύνη των πελατών της όταν έχουν κλαπεί τα προσωπικά της δεδομένα, λένε οι ειδικοί της ασφάλειας στον κυβερνοχώρο. Επιπλέον, τα πρόστιμα για την παραβίαση προσωπικών δεδομένων στην Ολλανδία είναι σημαντικά. Φτάνουν έως και τα € 820.000 ή το 10% του τζίρου. Από το τέλος Μαΐου 2018, αυτά τα πρόστιμα θα αυξηθούν ακόμη περισσότερο, σύμφωνα με την Ευρωπαϊκή Οδηγία για την Προστασία Προσωπικών Δεδομένων, σε μέγιστο ποσό έως € 20 εκ. ή 4% του παγκόσμιου εισοδήματος μιας εταιρείας.

Οι πλέον κατάλληλοι τρόποι για να προστατευθούν οι εταιρείες κατά το μέγιστο δυνατό από το κυβερνο-έγκλημα είναι να εξασφαλίσουν ότι:

1. Το προσωπικό τους εκπαιδεύεται να αναγνωρίζει τα σημάδια της πειρατείας και λαμβάνει ενημέρωση για τους σχετικούς κινδύνους.

2. Έχει δημιουργηθεί μια κουλτούρα στην οποία οι εργαζόμενοι αισθάνονται αρκετά βέβαιοι και έχουν την άνεση να αναφέρουν προειδοποιητικά σημάδια ή συμβάντα.

3. Έχουν καθοριστεί και καταγραφεί τα βασικά δεδομένα των εταιρειών και έχουν ληφθεί κατάλληλα μέτρα προστασίας τους (τόσο στα πληροφοριακά συστήματα όσο και στις επιχειρησιακές διαδικασίες).

4. Υπάρχει παρακολούθηση των πληροφοριακών συστημάτων για την ανίχνευση σχετικών συμβάντων σε πρώιμο στάδιο.

5. Υπάρχει έτοιμη, σχεδιασμένη απάντηση. Οι εταιρείες πρέπει να μάθουν πώς να αντιδρούν όταν συμβαίνει κάποιο περιστατικό. Αυτή η αντίδραση πρέπει να περιλαμβάνει τουλάχιστον τεχνικές δράσεις στα πληροφοριακά συστήματα και σχέδια εσωτερικής και εξωτερικής επικοινωνίας.

6. Υπάρχει συνεργασία μεταξύ των τμημάτων (επιχειρησιακή αλυσίδα) για την καταπολέμηση του κυβερνο-εγκλήματος.

7. Η κυβερνο-ασφάλεια είναι μια μορφή διαχείρισης κινδύνου που πρέπει να βρίσκεται πάντοτε στην ατζέντα της διοίκησης.

Και οι βασικότεροι λόγοι προκειμένου να πειστούν τα διαφορετικά τμήματα μιας οντότητας να συνεργαστούν μεταξύ τους είναι ότι:

1. Η αλυσίδα θα αντιστέκεται περισσότερο και συνεπώς θα γίνει πιο ισχυρή στο σύνολό της.

2. Όλοι μαζί, σε συνεργασία, είναι πιο εύκολο να εντοπίσουν νέες πατέντες επίθεσης από χάκερς.

3. Όλοι μαζί, σε συνεργασία, είναι πιο εύκολο να εντοπίσουν τα σημεία αλληλεξάρτησης και να συνειδητοποιήσουν ποιοι από κοινού χρησιμοποιούμενοι σύνδεσμοι (shared links) πρέπει να είναι ισχυροί.

4. Η εταιρεία θα είναι σε θέση να κατανοεί τις απαιτήσεις των πελατών της για συνοχή, ποιότητα και προστασία δεδομένων –στοιχεία που δοκιμάζονται υπό συνθήκες κυβερνο-επίθεσης.

Εάν ξοδεύετε περισσότερα για καφέ απ’ ότι για την ασφάλεια των πληροφοριακών σας συστημάτων, θα σας χακάρουν. Και το βασικότερο είναι ότι θα σας αξίζει να σας χακάρουν.

Richard Clarke,
White House Cybersecurity Advisor