Οι «κυβερνο-επιθέσεις» (cyber attacks) ολοένα αυξάνονται και εξελίσσονται. Οι εταιρείες εκείνες που θα υιοθετήσουν μέτρα ασφάλειας στον πυρήνα της εταιρικής τους κουλτούρας θα είναι σε θέση να τις αντιμετωπίσουν με επιτυχία.
Κώστας Πούλος
Partner, Head of IT Business Consulting Services, Grant Thornton
Παναγιώτης Γκιουμές
Senior manager, Financial services, Grant Thornton
Με βάση έρευνα της Grant Thornton, μία στις έξι εταιρείες παγκοσμίως έχει δεχθεί επίθεση μέσα στον τελευταίο χρόνο. Από την έρευνα, η οποία διεξήχθη σε 2.500 επιχειρήσεις σε 35 χώρες, αποκαλύπτεται ότι αυτές οι επιθέσεις έχουν σημαντικό κόστος, το οποίο ξεπέρασε τα 300 δισ. δολάρια τους τελευταίους 12 μήνες. Επιπλέον, ενώ ο κίνδυνος μια τέτοιας απόπειρας διάρρηξης των συστημάτων ασφαλείας μιας εταιρείας αυξάνεται ραγδαία, σχεδόν οι μισές εταιρείες που βρίσκονται στην «πρώτη γραμμή» δεν έχουν μια συνολική στρατηγική πρόληψης και αποτροπής του ψηφιακού εγκλήματος.
Περίπου 15% των επιχειρήσεων έχουν δεχτεί επίθεση στα πληροφοριακά τους συστήματα μέσα στον προηγούμενο χρόνο. Οι επιχειρήσεις στην Ευρωπαϊκή Ένωση (19%) και στη Βόρεια Αμερική (18%) έχουν στοχοποιηθεί σε μεγαλύτερο βαθμό. Παρόλα αυτά, καμία περιοχή δεν είναι αλώβητη.
Από την ανάλυση των στοιχείων εκτιμάται ότι, κατά μέσο όρο, το κόστος της κάθε επίθεσης ανέρχεται σε 1,2% επί των συνολικών εσόδων. Σε αντιδιαστολή με τους αυξανόμενους κινδύνους, μόνο το 52% των επιχειρήσεων έχουν ήδη θεσπίσει στρατηγική ασφάλειας κατά κυβερνο-επιθέσεων.
Αυτή είναι η κατάσταση που επικρατεί στις επιχειρήσεις. Από την άλλη μεριά, οι hackers, οι οποίοι παλιότερα δρούσαν μεμονωμένα και αποσπασματικά, έχουν μετουσιωθεί σε οργανωμένες και εξαιρετικά ευέλικτες επιχειρήσεις με σκοπό το κέρδος. Τις περισσότερες φορές δραστηριοποιούνται σε διεθνές επίπεδο, δυσχεραίνοντας τον εντοπισμό τους από τους διεθνείς οργανισμούς που εποπτεύουν την ασφάλεια στο Διαδίκτυο, και είναι σε θέση να αναπτύσσουν και να διανέμουν εξατομικευμένο κακόβουλο λογισμικό.
Το βασικό κίνητρο των επιθέσεων είναι οικονομικό, χωρίς να αποκλείονται και επιθέσεις για διάφορους άλλους λόγους (διαμαρτυρία, προσωπικά κίνητρα, καταγγελία ανήθικων πρακτικών – whistleblowing). Κάποιες εταιρείες πέφτουν θύματα οργανώσεων με σκοπό το ξέπλυμα χρήματος, ενώ άλλες αποτελούν «ενδιάμεσους» σταθμούς στην αναζήτηση ενδεχόμενης σημαντικής πληροφόρησης που θα μπορούσε να αξιοποιηθεί.
Όποιο και αν είναι το κίνητρο, το έγκλημα στον κυβερνοχώρο αναμένεται να αυξηθεί, τόσο σε αριθμό όσο και στο επίπεδο εξειδίκευσης, λαμβάνοντας υπόψη την ώθηση της παγκοσμιοποίησης, σε συνδυασμό με την εφαρμογή πληροφοριακών συστημάτων στο σύνολο των λειτουργιών των επιχειρήσεων.
Αντανακλαστικά θεσμών και επιχειρήσεων
Από τη μία πλευρά, η ανταπόκριση των κυβερνήσεων για την ασφάλεια των πληροφοριών εξαρτάται από το ευρύτερο θεσμικό πλαίσιο. Για παράδειγμα, πολλές ασιατικές χώρες εξακολουθούν να μην απαιτούν την υποχρεωτική δήλωση των παραβιάσεων δεδομένων, δράση που ορίζεται ρητά στην Ευρώπη και στην Αμερική, βάσει των κανονισμών που ήδη ισχύουν.
Είναι σαφές ότι οι κυβερνήσεις και οι ρυθμιστικές αρχές πρέπει να διαδραματίσουν πολύ σημαντικότερο ρόλο στην ταυτοποίηση των επιθέσεων στον κυβερνοχώρο ως επιχειρηματικό κίνδυνο, καθώς και στην εκπαίδευση των ανθρώπων τους για τους κινδύνους αυτούς. Οι κρατικές υπηρεσίες πρέπει να βελτιώσουν τη συνεργασία τους με τα υπόλοιπα κράτη και σε αυτό θα βοηθούσε η εναρμόνιση των κανόνων μεταξύ των διαφόρων κρατών.
Παρόλα αυτά, οι κυβερνήσεις και οι ρυθμιστικές αρχές δεν διαθέτουν όλους τους απαραίτητους πόρους και τις δεξιότητες που απαιτούνται για την καταπολέμηση των επιθέσεων. Γι’ αυτόν τον λόγο σημαντικό μερίδιο ευθύνης έχουν και οι ίδιες οι επιχειρήσεις.
Από την άλλη πλευρά, για μια επιχείρηση η αποτυχία αντιμετώπισης μιας επίθεσης μπορεί να είναι από δαπανηρή έως και σημαντική απειλή για την επιβίωσή της. Επιπλέον, ακόμα και στην πρώτη περίπτωση το άμεσο οικονομικό πλήγμα για μια επιχείρηση είναι πολύ μικρότερο σε σχέση με την ενδεχόμενη δυσφήμιση και τη ρήξη της σχέσης εμπιστοσύνης με τους πελάτες της.
Είναι πλέον μια πραγματικότητα ότι η ασφάλεια των δεδομένων δεν είναι μία ακόμα από τις αρμοδιότητες του τμήματος πληροφορικής, οργάνωσης, μηχανογράφησης ή όποιου τμήματος έχει αναλάβει την υποστήριξη των πληροφοριακών συστημάτων. Πολλές λειτουργίες μιας επιχείρησης, συμπεριλαμβανομένων της οικονομικής διεύθυνσης, των νομικών υπηρεσιών, της κανονιστικής συμμόρφωσης, του εσωτερικού ελέγχου και της ευρύτερης διοίκησης, επηρεάζονται άμεσα από τον κίνδυνο απώλειας πληροφοριών.
Οι επιχειρήσεις εξακολουθούν και είναι ευάλωτες σε μεγάλο βαθμό σε επιθέσεις επί των πληροφοριακών τους συστημάτων, κυρίως αυτές που έχουν σημαντικά «ψηφιακά ίχνη», συμπεριλαμβανομένων των παρόχων τους (outsourcing). Οι επίδοξοι εισβολείς ψάχνουν διαρκώς για αδυναμίες στις άμυνες των επιχειρήσεων, όπως απουσία μηχανισμών παρακολούθησης της ανεκτικότητας των υποδομών των πληροφοριακών συστημάτων του οργανισμού.
Επιχειρήσεις χρηματοοικονομικών υπηρεσιών
Εστιάζοντας στις επιχειρήσεις του χρηματοπιστωτικού τομέα, τα τελευταία δέκα χρόνια συσκευές όπως τα έξυπνα κινητά τηλέφωνα και η αύξηση της χρήσης των ηλεκτρονικών υπηρεσιών έχουν μεταβάλει σημαντικά τον τρόπο παροχής και λήψης χρηματοοικονομικών υπηρεσιών, τόσο για τους πελάτες όσο και για τις επιχειρήσεις.
Ένα τηλέφωνο, που παλιότερα είχε χρήση μόνο τηλεφώνου, τώρα αποτελεί κανάλι παροχής χρηματοοικονομικών υπηρεσιών, επιτρέποντας πληρωμές και διευκολύνοντας συναλλαγές που παλαιότερα γίνονταν μόνο σε κατάστημα ή μόνο με τη χρήση ηλεκτρονικού υπολογιστή συνδεδεμένου στο Διαδίκτυο.
Την επόμενη δεκαετία η αύξηση των πελατών που θα είναι γνώστες αυτών των καναλιών λήψης υπηρεσιών, σε συνδυασμό με την εξέλιξη της τεχνολογίας, θα οδηγήσει σε εκθετική αύξηση των πληροφοριών που θα πρέπει να διαχειριστεί και να προστατεύσει μια επιχείρηση του ευρύτερου χρηματοπιστωτικού τομέα.
Λαμβάνοντας μέτρα προστασίας
Για την υπεράσπιση των πληροφοριών από επιθέσεις δεν υπάρχει μία λύση για όλες τις επιχειρήσεις. Η κάθε επιχείρηση πρέπει να αναπτύξει στρατηγική ασφάλειας, η οποία θα στηρίζεται στους τρεις κοινούς πυλώνες: Άνθρωποι – πολιτικές – τεχνολογία, το οποίο μεταφράζεται σε:
– Εκπαίδευση όλων των ανθρώπων, οι οποίοι ουσιαστικά αποτελούν την πρώτη και πιο σημαντική γραμμή άμυνας του οργανισμού, ώστε να κατανοήσουν πλήρως και να αποκτήσουν την αντίστοιχη συμπεριφορά.
– Εφαρμογή των κατάλληλων πολιτικών ασφάλειας, με βάση τα ιδιαίτερα χαρακτηριστικά της κάθε επιχείρησης.
– Υιοθέτηση της αντίστοιχης τεχνολογικής υποδομής για την αποτελεσματική υποστήριξη των πολιτικών.
Τι σημαίνει αυτό στην πράξη;
Οι στρατηγικές ασφάλειας είναι απαραίτητο να προσαρμοστούν ώστε να ταιριάζουν στον κάθε οργανισμό, λαμβάνοντας υπόψη τις κανονιστικές και εποπτικές απαιτήσεις και εστιάζοντας στις πληροφορίες που πρέπει να προστατεύονται, σε αντίθεση με την παροχή συνολικής κάλυψης σε όλο το φάσμα των λειτουργιών.
Για τον καθορισμό των προτεραιοτήτων για την ασφάλεια απαιτείται η αξιολόγηση του κινδύνου και μια εκτενής ανάλυση των αδυναμιών των δικλίδων ασφαλείας. Επιπλέον, απαραίτητη είναι η συνεχής επαναξιολόγηση της στρατηγικής, ώστε να διασφαλιστεί ότι τα κατάλληλα τμήματα του οργανισμού είναι πάντα προστατευμένα. Τέλος, η απόδοση της στρατηγικής πρέπει να παρακολουθείται συνεχώς για σκοπούς αποτελεσματικότητας.
Σημαντική παράμετρος για την επιτυχία της στρατηγικής είναι η ανώτερη διοίκηση να αναλάβει την ευθύνη για την ανάπτυξη και εφαρμογή της και να μη μεταθέτει και αυτήν στις αρμοδιότητες του τμήματος πληροφοριακών συστημάτων. Στη συνέχεια, όλοι οι άνθρωποι μέσα σε όλη την επιχείρηση πρέπει να λάβουν γνώση και να καταλάβουν τον ρόλο που παίζει ο καθένας στην επίτευξη της συνολικής στρατηγικής ασφάλειας μέσα από εκπαιδευτικά προγράμματα.
Οι πολιτικές ασφάλειας είναι σημαντικό να είναι ενσωματωμένες στις διάφορες επιχειρηματικές δραστηριότητες και η επιμέτρησή τους να λαμβάνεται υπόψη στην αξιολόγηση όλων των λειτουργιών. Αυτό συνεισφέρει στη βελτίωση της εταιρικής κουλτούρας, όπου ο καθένας μεμονωμένα αναλαμβάνει μέρος της ευθύνης. Μόνο όταν η ασφάλεια των πληροφοριών αντιμετωπίζεται ως καθημερινός στόχος της επιχείρησης αυξάνονται οι πιθανότητες επιτυχούς αντιμετώπισης των αυξανόμενων απειλών.
Αξιολόγηση πλαισίου ασφάλειας ενός οργανισμού
Για την αξιολόγηση του πλαισίου ασφάλειας μιας επιχείρησης εξετάζονται κυρίως οι παρακάτω περιοχές.
