• Σήμερα είναι: Τρίτη, 22 Σεπτεμβρίου, 2020

Cyber Security: Οι κίνδυνοι, τα μέτρα προστασίας και η ασφάλιση

Στέλιος Βογιατζής
Business Consulting Director, Mazars

Ας υποθέσουμε ότι εργάζεστε στον υπολογιστή σας γύρω στις 14:00 το μεσημέρι, απαντώντας σε e-mail. Ο καιρός είναι θαυμάσιος, οι δουλειές πηγαίνουν σχετικά καλά, μέχρις ότου ανοίγετε ένα φαινομενικά αθώο μήνυμα με ένα επίσης φαινομενικά αθώο προσαρτημένο αρχείο. Η λάθος κίνηση έχει γίνει, και στις 14:02 όλη η επιχείρηση βρίσκεται ψηφιακά εκτός λειτουργίας και ένα βήμα πριν βρεθεί εκτός αγοράς.

Τον Μάιο του 2017, από ένα και μόνο κακόβουλο λογισμικό κυβερνοεπίθεσης με σκοπό τη λήψη λύτρων, το μετέπειτα γνωστό ανά την υφήλιο WannaCry, προκλήθηκαν ζημιές σε χιλιάδες συστήματα και εκτιμώμενη οικονομική απώλεια της τάξεως των 4 δισ. δολαρίων. Ένα μήνα αργότερα, μια ακόμη επίθεση με νέο λογισμικό, επίσης με σκοπό τη λήψη λύτρων, οδήγησε τον διεθνή ναυτιλιακό γίγαντα Maersk σε ζημιές ύψους 300 εκ. δολαρίων.

Έκτοτε, το κυβερνοέγκλημα έχει παγκοσμίως εκθετική άνοδο. Οι δε μέρες όπου οι hackers επιζητούσαν απλώς τη φήμη και την προβολή έχουν παρέλθει ανεπιστρεπτί. Σήμερα έχουν σοβαρότατες οικονομικές απαιτήσεις από τα θύματά τους, είναι ικανοί να προκαλέσουν πλήρη αναστολή της λειτουργίας μιας επιχείρησης και, σαν να μην έφταναν αυτά, ενοικιάζουν τις «υπηρεσίες» τους σε εκείνους που έχουν την πρόθεση αλλά όχι τη γνώση για να προκαλέσουν ψηφιακού τύπου επιθέσεις.

Κυβερνοεπίθεση και κυβερνοασφάλεια

Ως κυβερνοεπίθεση ορίζουμε ένα πραγματικά πολύ μεγάλο σύνολο ενεργειών, όλες με καταστροφικό σκοπό, που εκτείνεται από την κλοπή, την αλλοίωση έως και την ολική διαγραφή δεδομένων. Πολύ διαδεδομένη είναι και η κρυπτογράφηση, το «κλείδωμα» δεδομένων, όπου ναι μεν δεν υφίσταται διαγραφή τους αλλά ούτε και είναι προσβάσιμα, μέχρις ότου εκβιαστικά μας αναγκάσουν να «αγοράσουμε» το κλειδί που τα ξεκλειδώνει.

Η κυβερνοασφάλεια, με τη σειρά της, συνίσταται στη λήψη μιας σειράς μέτρων ώστε να προστατεύσουμε την ακεραιότητα της ψηφιακής υποδομής μας και να επιτύχουμε την ελαχιστοποίηση της ζημίας κάθε είδους και, κυριότερα, την απρόσκοπτη επιχειρησιακή συνέχεια. Είναι προφανές ότι δεν πρόκειται για ζήτημα αποκλειστικά τεχνικό. Είναι ουσιαστικά επιχειρησιακό, αλλά δυστυχώς απαιτεί και τεχνική κατανόηση, πράγμα που δεν διευκολύνει πάντα τις αποφάσεις.

Η ελληνική επιχείρηση

Οι ελληνικές επιχειρήσεις έχουν παραδοσιακά αναπτύξει ανακλαστικά που αφορούν εμπορικού τύπου κινδύνους και ως εκ τούτου δυσκολεύονται με τις ψηφιακές απειλές, τις οποίες θεωρούν και ελάχιστα πιθανές. Το αποτέλεσμα είναι να μην υπάρχει ικανοποιητική στρατηγική αντιμετώπισης, ενώ ο ισχνός προϋπολογισμός τους έχει ήδη διεκδικηθεί από άλλες περιπτώσεις πιο κατανοητών και ορατών κίνδυνων.

Ωστόσο η πραγματικότητα τα τελευταία δύο χρόνια έχει καταδείξει ότι οι hackers δεν στοχεύουν απαραίτητα στις πιο μεγάλες επιχειρήσεις, μιας και αυτές έχουν ικανοποιητικότερα αντίμετρα. Τουναντίον. Για το ίδιο χρονικό διάστημα, οι επιθέσεις σε μικρομεσαίες επιχειρήσεις έχουν υπερδιπλασιαστεί παγκοσμίως, δεδομένου ότι τελικά ισχύει η απλή λογική της επίθεσης στους πιο αδύναμους, εκείνους με την παλαιότερη τεχνολογία και όσους με κάθε τρόπο αποτελούν τις «εύκολες» περιπτώσεις.

Ο ρόλος της ασφάλισης

Η περίπτωση της ασφάλισης απέναντι στο ενδεχόμενο επιτυχημένης κυβερνοεπίθεσης αποτελεί ένα ακόμη μέτρο προστασίας σε ένα ολοκληρωμένο πλαίσιο αντιμετώπισης ψηφιακών κινδύνων. Υπάρχουν τουλάχιστον τρεις σημαντικοί λόγοι για την περαιτέρω διερεύνηση των ασφαλιστικών επιλογών:

1. Το κυβερνοέγκλημα αυξάνεται και μεταλλάσσεται διαρκώς, πρακτικά εμφανίζοντας τουλάχιστον μια νέα απειλή ανά μήνα. Το ενδεχόμενο να έχουμε παραβίαση ασφάλειας δεδομένων έχει πλέον υψηλότατη πιθανότητα.

2. Οι παραβιάσεις ασφάλειας των πληροφοριακών συστημάτων κοστίζουν σημαντικά. Πέρα από τα συχνότατα λύτρα, υπάρχουν πλέον και τα σημαντικά πρόστιμα του GDPR, ενώ ακόμη και αν αγνοήσουμε την άμεση οικονομική διάσταση του ζητήματος, η ζημιά της εταιρικής φήμης είναι προφανώς σημαντική, και σε μεγάλο βαθμό μη διαχειρίσιμη αν δεν υφίσταται συγκεκριμένη στρατηγική.

3. Οι απαιτήσεις προκειμένου να πληροί μια εταιρεία τις προϋποθέσεις ασφάλισης δίνουν μια πρώτη εικόνα των τεχνικών και οργανωτικών προδιαγραφών μιας στρατηγικής, ειδικά σε εκείνες τις περιπτώσεις όπου δεν υπάρχει ικανοποιητική εικόνα για το εν λόγω ζήτημα ή το προσεγγίζουν για πρώτη φορά.

Σε κάθε περίπτωση η ασφάλιση απέναντι σε κυβερνοαπειλές απαιτεί ενδελεχή μελέτη και θα πρέπει να έχει σχεδιασθεί με τρόπο λεπτομερή, ώστε να υπάρχει εκτενής εξέταση και αναφορά στο τεχνικό ποικιλόμορφο των απειλών, το υφιστάμενο επίπεδο συστημάτων και διαδικασιών ασφάλειας συστημάτων της επιχείρησης, όσο και των πιθανών προθέσεων των επιτιθέμενων.

Τα 3 συστατικά της στρατηγικής διαχείρισης κυβερνοαπειλών

Ανεξάρτητα από τον προϋπολογισμό που διαθέτει μια επιχείρηση για την κυβερνοασφάλεια, μια στοιχειωδώς ικανοποιητική στρατηγική περιλαμβάνει τα εξής:

Ανθρώπινο δυναμικό: Κάθε χρήστης πληροφοριακών συστημάτων, από τον νεοπροσληφθέντα έως τον γενικό διευθυντή, οφείλουν να κατανοούν με τον ίδιο τρόπο τις επιπτώσεις των κυβερνοαπειλών. Κάθε επιχείρηση θα πρέπει, με τον τρόπο που εκείνη θεωρεί εφικτό, να δημιουργήσει κουλτούρα ψηφιακής ευθύνης.

Διαδικασίες: Η επιχειρησιακή συνέχεια παραμένει το κύριο ζητούμενο. Τι κάνουμε λοιπόν για να αποτρέψουμε την παραβίαση ασφάλειας; Τι κάνουμε σε περίπτωση που συμβεί παραβίαση ασφάλειας; Ποιος θα μιλήσει με τον Τύπο; Πώς θα διαχειριστούμε τα άσχημα νέα; Πώς δουλεύουμε την επόμενη μέρα;

Τεχνολογία: Τα τεχνολογικά μέτρα θα πρέπει, ένα προς ένα, να έχουν τεκμηριωμένο «αντίκρισμα» σε αναγνωρισμένες αδυναμίες. Η επικαιροποίηση των μέτρων είναι το ίδιο ή και περισσότερο σημαντική από την πρώτη εφαρμογή τους.