• Σήμερα είναι: Παρασκευή, 22 Σεπτεμβρίου, 2023

Covid-19 και κυβερνοασφάλεια: Ποια είναι τα μέτρα που μπορούν να λάβουν οι επιχειρήσεις

Η πανδημία του κορωνοϊού έχει αναγκάσει πολλές επιχειρήσεις να επανεξετάσουν τις πολιτικές απορρήτου που εφαρμόζουν. Αλλά πώς μπορούν οι επιχειρήσεις να μετριάσουν καλύτερα τον κίνδυνο και να διαχειριστούν τη συμμόρφωση σε αυτό το νέο περιβάλλον που έχει διαμορφωθεί; Για τις σύγχρονες επιχειρήσεις σε όλους τους κλάδους της παγκόσμιας οικονομίας, η κυβερνοασφάλεια αποτελεί έναν από τους μεγαλύτερους παράγοντες κινδύνου που σχετίζεται με την πανδημία του κορωνοϊού. Έχοντας ως στόχο να συνεχίσουν τις δραστηριότητές τους χωρίς διακοπή, αλλά και να προστατεύσουν τους εργαζομένους τους, οι επιχειρήσεις εκτίθενται ακόμα περισσότερο στις κυβερνοεπιθέσεις. Υπ’ αυτό το πρίσμα, τα εξειδικευμένα στελέχη της Grant Thornton αναφέρθηκαν στις συγκεκριμένες μορφές απειλών που ανακύπτουν, καθώς και σε ποιες ενέργειες πρέπει να προχωρήσουν οι επιχειρήσεις για τη μείωση των εν λόγω κινδύνων και τη διατήρηση της κανονιστικής συμμόρφωσης σε αυτές τις εξαιρετικά δύσκολες στιγμές.

Αναδυόμενοι κίνδυνοι στον κυβερνοχώρο

Τα περιοριστικά μέτρα που εφαρμόστηκαν παγκοσμίως ανάγκασαν εκατομμύρια επιχειρήσεις να στραφούν γρήγορα σε πιο ευέλικτες μορφές εργασίας, με την ευρεία υιοθέτηση τεχνολογιών που θα διευκολύνουν την εργασία από το σπίτι. Η Στέλλα Αγγελοπούλου, επικεφαλής του τμήματος Technology Intelligence & Performance στη Grant Thornton, εξηγεί: «Υπάρχουν οργανισμοί που ολοκλήρωσαν τη διαδικασία αναδιοργάνωσής τους για τη μετάβαση στην τηλεργασία μέσα σε αρκετά σύντομο χρονικό διάστημα, για να μπορέσουν να αντεπεξέλθουν άμεσα στις ανάγκες της αγοράς. Κατά συνέπεια, ο εν λόγω άμεσος μετασχηματισμός λειτουργίας, ο οποίος, υπό κανονικές συνθήκες, απαιτεί να ελεγχθεί επαρκώς πριν την υλοποίησή του, ενδέχεται να δημιουργήσει κενά ασφαλείας στον κυβερνοχώρο, τα οποία κακόβουλοι χρήστες θα μπορούσαν να εκμεταλλευτούν, και αυτό μας δημιουργεί εύλογες ανησυχίες».

Το πεδίο επίθεσης για τους κυβερνοεγκληματίες εξελίσσεται συνεχώς, οδηγώντας σε μια κατάσταση που δημιουργεί πρωτοφανείς προκλήσεις για τις επιχειρήσεις, τόσο από πλευράς ασφάλειας όσο και από πλευράς συμμόρφωσης. Τους τελευταίους μήνες υπήρξε σημαντική αύξηση των κυβερνοεπιθέσεων, όχι μόνο σε οργανισμούς που παρέχουν χρηματοοικονομικές και επαγγελματικές υπηρεσίες αλλά και σε οποιαδήποτε επιχείρηση η οποία ελέγχει ευαίσθητα ή πολύτιμα δεδομένα. Ωστόσο, κατά τη διάρκεια της τρέχουσας περιόδου γίνεται επίσης εμφανές το γεγονός ότι ακόμα και μεγαλύτεροι οργανισμοί, οι οποίοι διαθέτουν ολοκληρωμένα σχέδια για τη διατήρηση της απρόσκοπτης λειτουργίας τους, στην πραγματικότητα δεν έχουν υιοθετήσει αυτά τα σχέδια σε πραγματικές συνθήκες, γεγονός που αυξάνει την ευπάθεια και δημιουργεί ευκαιρίες για τους κυβερνοεγκληματίες.

Εσωτερικές απειλές

Οι εξωτερικοί κίνδυνοι όμως δεν είναι οι μόνοι που υπάρχουν για τις επιχειρήσεις. «Εντούτοις, δεν ελλοχεύουν μόνο εξωτερικοί κίνδυνοι όταν μιλάμε για κυβερνοασφάλεια», επισημαίνει η κ. Αγγελοπούλου, διευκρινίζοντας ότι «μεγάλο βάρος πρέπει να δοθεί και στις εσωτερικές απειλές, που δημιουργούνται είτε από κακόβουλους χρήστες είτε από ανθρώπινα λάθη. Είναι γεγονός ότι η αλλαγή, τόσο στον τόπο όσο και στον τρόπο εργασίας, που επέβαλε το ξέσπασμα του Covid-19, απαίτησε από πλήθος προσωπικού να μεταβεί σε μια νέα πραγματικότητα, για την οποία, σε μεγάλο ποσοστό, δεν είχε εκπαιδευτεί, με αποτέλεσμα να δημιουργούνται ευνοϊκές συνθήκες, οι οποίες θα μπορούσαν δυνητικά να οδηγήσουν στη δημιουργία εκμεταλλεύσιμων κενών ασφαλείας».

Ένα άλλο πρόβλημα που ενδέχεται να αντιμετωπίσουν οι οργανισμοί είναι η άνοδος του «shadow IT», το οποίο αφορά διάφορους τομείς του οργανισμού που έχουν δημιουργήσει τις δικές τους υπηρεσίες, όπως είναι, για παράδειγμα, μία ομάδα development η οποία έχει καταλάβει χώρο σε μια υπηρεσία της Amazon ή μια κοινή ομάδα εργασίας η οποία αποφάσισε να αρχίσει να χρησιμοποιεί το Dropbox για την ανταλλαγή πληροφοριών. Ο κίνδυνος εκεί, ειδικά όταν χρησιμοποιεί κάποιος υπηρεσίες που βασίζονται σε cloud, είναι να θεωρήσει ότι η ασφάλεια αποτελεί «πρόβλημα κάποιου άλλου». Ως εκ τούτου, οι οργανισμοί καλούνται να κατανοήσουν πλήρως τα συστήματα cloud και τις υποδομές που χρησιμοποιούν τα στελέχη τους και να διασφαλίσουν ότι υπάρχει σαφήνεια αναφορικά με το ποιος είναι υπεύθυνος για την ασφάλεια και την παρακολούθησή τους.

Προβλήματα εξωτερικών αναθέσεων

Ένα επιπλέον ζήτημα που προκύπτει για τις επιχειρήσεις σχετίζεται με τα θέματα ασφαλείας που αφορούν την εξωτερική ανάθεση IT solutions, καθώς και άλλους τομείς λειτουργίας. Σε αυτή την περίπτωση, θα πρέπει πάντα να εφαρμόζονται πολιτικές απορρήτου με βάση τον σχεδιασμό και την τμηματοποίηση δεδομένων, ώστε να υπάρχουν πληροφορίες και έλεγχος σχετικά με το ποιος έχει πρόσβαση σε δεδομένα, τόσο σε περιβάλλοντα πρώτων όσο και τρίτων μερών. Η μετάβαση σε ευέλικτα και οικιακά εργασιακά περιβάλλοντα μπορεί να αποκαλύψει κενά στα στοιχεία ελέγχου πρόσβασης που παρουσιάζονται στους υπαλλήλους –ή τους χάκερ. Σε μια εποχή που πολλές επιχειρήσεις χρησιμοποιούν VPN για ασφαλή σύνδεση, εξακολουθούν να υπάρχουν αρκετοί οργανισμοί οι οποίοι χρησιμοποιούν VPN από μεγάλους κατασκευαστές που είναι ευάλωτα στην εκμετάλλευση και τα οποία δεν έχουν ακόμη διορθωθεί.

Ρυθμιστικές προκλήσεις

Παράλληλα, οι αυξανόμενοι κίνδυνοι στον κυβερνοχώρο και οι αλλαγές στις πρακτικές εργασίας παρουσιάζουν επίσης νέες προκλήσεις σε ζητήματα συμμόρφωσης. Η ύπαρξη εργαζομένων σε διαφορετικές γεωγραφικές τοποθεσίες παρουσιάζει ζητήματα που σχετίζονται με τον GDPR, ιδίως σε σχέση με τη μεταφορά δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Παρότι ορισμένοι οργανισμοί έχουν δηλώσει ότι περνούν μια παύση συμμόρφωσης, καθώς εφαρμόζουν νέα συστήματα, οι ρυθμιστικές αρχές δεν έχουν χαλαρώσει επίσημα τις προσδοκίες ή τις απαιτήσεις τους. Οι επιχειρήσεις πρέπει, επομένως, να διασφαλίσουν ότι τυχόν προσωρινές λύσεις που εφαρμόζονται κατά την έναρξη του lockdown θα πρέπει να τεκμηριώνονται και να εξηγούνται με σαφήνεια, προς όφελος των ρυθμιστικών αρχών.

Ένας άλλος σημαντικός παράγοντας, τόσο από επιχειρησιακής όσο και από κανονιστικής απόψεως, είναι να το να μπορεί μια επιχείρηση να αποδείξει ότι τυχόν πολιτικές ασφαλείας έχουν δοκιμαστεί με ισχυρό τρόπο. Μάλιστα, το τελευταίο διάστημα έχει παρατηρηθεί ότι οι ρυθμιστικές αρχές ενδιαφέρονται όλο και περισσότερο για τις λεπτομέρειες των λύσεων στον κυβερνοχώρο και το εάν είναι λειτουργικά αποτελεσματικές. Ενώ πριν από ένα χρόνο οι ρυθμιστικές αρχές μπορεί να ήταν ευχαριστημένες με πληροφορίες υψηλού επιπέδου που σχετίζονται με λύσεις στον κυβερνοχώρο, δίνεται τώρα πολύ μεγαλύτερη έμφαση στο τι ακριβώς παρέχει η τεχνολογία και αν έχει αποδειχθεί ότι είναι λειτουργικά αποτελεσματική –και αυτή η έμφαση πρόκειται να αυξηθεί, ως αποτέλεσμα της τρέχουσας κρίσης. Ως εκ τούτου, οι προκλήσεις στον τομέα της κυβερνοασφάλειας που παρουσιάζονται από την πανδημία του κορωνοϊού και οι νέοι τρόποι εργασίας είναι σημαντικοί για τις επιχειρήσεις, ανεξάρτητα από τον τομέα στον οποίο δραστηριοποιούνται.

Στέλλα Αγγελοπούλου

Principal, Head of Technology Intelligence & Performance, Grant Thornton