Ας υποθέσουμε ότι εργάζεστε στον υπολογιστή σας γύρω στις 14:00 το μεσημέρι, απαντώντας τα e-mail. Ο καιρός είναι θαυμάσιος, οι δουλειές πηγαίνουν σχετικά καλά μέχρις ότου ανοίγετε ένα φαινομενικά αθώο μήνυμα με ένα επίσης φαινομενικά αθώο προσαρτημένο αρχείο. Η λάθος κίνηση έχει γίνει και στις 14:02 όλη η επιχείρηση βρίσκεται ψηφιακά εκτός λειτουργίας και ένα βήμα πριν βρεθεί εκτός αγοράς.
Το Μάιο του 2017, από ένα και μόνο κακόβουλο λογισμικό κυβερνοεπίθεσης με σκοπό την λήψη λύτρων, το μετέπειτα γνωστό ανά την υφήλιο WannaCry, προκλήθηκαν ζημιές σε χιλιάδες συστήματα και εκτιμώμενη οικονομική απώλεια της τάξεως των 4 δις. δολαρίων. Ένα μήνα αργότερα, μια ακόμη επίθεση με νέο λογισμικό επίσης με σκοπό την λήψη λύτρων, οδήγησε τον διεθνή ναυτιλιακό γίγαντα Maersk σε ζημιές ύψους 300 εκ. δολαρίων.
Έκτοτε, το κυβερνοέγκλημα έχει παγκοσμίως εκθετική άνοδο. Οι δε μέρες όπου οι hackers επιζητούσαν απλώς την φήμη και την προβολή έχουν παρέλθει ανεπιστρεπτί. Σήμερα έχουν σοβαρότατες οικονομικές απαιτήσεις από τα θύματά τους, είναι ικανοί να προκαλέσουν πλήρη αναστολή της λειτουργίας μιας επιχείρησης και σαν να μην έφταναν αυτά, ενοικιάζουν τις «υπηρεσίες» τους σε εκείνους που έχουν την πρόθεση αλλά όχι την γνώση για να προκαλέσουν ψηφιακού τύπου επιθέσεις.
Κυβερνοεπίθεση & Κυβερνοασφάλεια
Ως κυβερνοεπίθεση ορίζουμε ένα πραγματικά πολύ μεγάλο σύνολο ενεργειών, όλες με καταστροφικό σκοπό που εκτείνεται από την κλοπή, την αλλοίωση έως και την ολική διαγραφή δεδομένων. Πολύ διαδεδομένη είναι και η κρυπτογράφηση, το «κλείδωμα» δεδομένων όπου ναι μεν δεν υφίσταται διαγραφή τους αλλά ούτε και είναι προσβάσιμα, μέχρις ότου εκβιαστικά μας αναγκάσουν να «αγοράσουμε» το κλειδί που τα ξεκλειδώνει.
Η κυβερνοασφάλεια με την σειρά της, συνίσταται στην λήψη μιας σειράς μέτρων ώστε να προστατεύσουμε την ακεραιότητα της ψηφιακής υποδομής μας και να επιτύχουμε την ελαχιστοποίηση της ζημίας κάθε είδους και κυριότερα, την απρόσκοπτη επιχειρησιακή συνέχεια. Είναι προφανές ότι δεν πρόκειται για ζήτημα αποκλειστικά τεχνικό. Είναι ουσιαστικά επιχειρησιακό αλλά δυστυχώς απαιτεί και τεχνική κατανόηση, πράγμα που δεν διευκολύνει πάντα τις αποφάσεις.
Η ελληνική επιχείρηση
Οι ελληνικές επιχειρήσεις έχουν παραδοσιακά αναπτύξει ανακλαστικά που αφορούν εμπορικού τύπου κινδύνους και ως εκ τούτου δυσκολεύονται με τις ψηφιακές απειλές, τις οποίες θεωρούν και ελάχιστα πιθανές. Το αποτέλεσμα είναι να μην υπάρχει ικανοποιητική στρατηγική αντιμετώπισης ενώ ο ισχνός προϋπολογισμός τους έχει ήδη διεκδικηθεί από άλλες περιπτώσεις πιο κατανοητών και ορατών κίνδυνων.
Ωστόσο η πραγματικότητα τα τελευταία 2 χρόνια έχει καταδείξει ότι οι hackers δεν στοχεύουν απαραίτητα στις πιο μεγάλες επιχειρήσεις μιας και αυτές έχουν ικανοποιητικότερα αντίμετρα. Τουναντίον. Για το ίδιο χρονικό διάστημα, οι επιθέσεις σε μικρομεσαίες επιχειρήσεις έχουν υπερδιπλασιαστεί παγκοσμίως δεδομένου ότι τελικά ισχύει η απλή λογική της επίθεσης στους πιο αδύναμους, εκείνους με την παλαιότερη τεχνολογία και όσους με κάθε τρόπο αποτελούν τις «εύκολες» περιπτώσεις.
Ο ρόλος της ασφάλισης
Η περίπτωση της ασφάλισης απέναντι στο ενδεχόμενο επιτυχημένης κυβερνοεπίθεσης, αποτελεί ένα ακόμη μέτρο προστασίας σε ένα ολοκληρωμένο πλαίσιο αντιμετώπισης ψηφιακών κινδύνων. Υπάρχουν τουλάχιστον 3 σημαντικοί λόγοι για την περαιτέρω διερεύνηση των ασφαλιστικών επιλογών:
1. Το κυβερνοέγκλημα αυξάνεται και μεταλλάσσεται διαρκώς, πρακτικά εμφανίζοντας τουλάχιστον μια νέα απειλή ανά μήνα. Το ενδεχόμενο να έχουμε παραβίαση ασφάλειας δεδομένων έχει πλέον υψηλότατη πιθανότητα.
2. Οι παραβιάσεις ασφάλειας των πληροφοριακών συστημάτων κοστίζουν σημαντικά. Πέρα από τα συχνότατα λύτρα, υπάρχουν πλέον και τα σημαντικά πρόστιμα του GDPR ενώ ακόμη και αν αγνοήσουμε την άμεση οικονομική διάσταση του ζητήματος, η ζημιά της εταιρικής φήμης είναι προφανώς σημαντική, και σε μεγάλο βαθμό μη διαχειρίσιμη αν δεν υφίσταται συγκεκριμένη στρατηγική.
3. Οι απαιτήσεις προκειμένου να πληροί μια εταιρία τις προϋποθέσεις ασφάλισης, δίνουν μια πρώτη εικόνα των τεχνικών και οργανωτικών προδιαγραφών μιας στρατηγικής ειδικά σε εκείνες τις περιπτώσεις όπου δεν υπάρχει ικανοποιητική εικόνα για το εν λόγω ζήτημα ή το προσεγγίζουν για πρώτη φορά.
Σε κάθε περίπτωση η ασφάλιση απέναντι σε κυβερνοαπειλές απαιτεί ενδελεχή μελέτη και θα πρέπει να έχει σχεδιασθεί με τρόπο λεπτομερή ώστε να υπάρχει εκτενής εξέταση και αναφορά στο τεχνικό ποικιλόμορφο των απειλών, το υφιστάμενο επίπεδο συστημάτων & διαδικασιών ασφάλειας συστημάτων της επιχείρησης, όσο και των πιθανών προθέσεων των επιτεθειμένων.
Τα 3 συστατικά της στρατηγικής διαχείρισης κυβερνοαπειλές.
Ανεξάρτητα από τον προϋπολογισμό που διαθέτει μια επιχείρηση για την κυβερνοασφάλεια, μια στοιχειωδώς ικανοποιητική στρατηγική περιλαμβάνει τα εξής:
• Ανθρώπινο δυναμικό: Κάθε χρήστης πληροφοριακών συστημάτων, από τον νέο-προσληφθέντα έως τον Γενικό Διευθυντή, οφείλουν να κατανοούν με τον ίδιο τρόπο τις επιπτώσεις των κυβερνοαπειλών. Κάθε επιχείρηση θα πρέπει με τον τρόπο που εκείνη θεωρεί εφικτό, να δημιουργήσει κουλτούρα ψηφιακής ευθύνης.
• Διαδικασίες: Η επιχειρησιακή συνέχεια παραμένει το κύριο ζητούμενο. Τι κάνουμε λοιπόν για να αποτρέψουμε την παραβίαση ασφάλειας; Τι κάνουμε σε περίπτωση που συμβεί παραβίαση ασφάλεια; Ποιος θα μιλήσει με τον Τύπο; Πως θα διαχειριστούμε τα άσχημα νέα; Πως δουλεύουμε την επόμενη μέρα;
• Τεχνολογία: Τα τεχνολογικά μέτρα θα πρέπει ένα προς ένα να έχουν τεκμηριωμένο «αντίκρισμα» σε αναγνωρισμένες αδυναμίες. Η επικαιροποίηση των μέτρων είναι ίδιο ή και περισσότερο σημαντική από την πρώτη εφαρμογή τους.
Ο Στέλιος Βογιατζής είναι Director στη Mazars στην Ελλάδα και ειδικεύεται σε έργα που σχετίζονται με τα πληροφοριακά συστήματα, την ασφάλεια των επιχειρήσεων και την ψηφιακή τεχνολογία. Έχει διατελέσει ανώτερο διευθυντικό στέλεχος σε ελληνικές και πολυεθνικές επιχειρήσεις, περιλαμβανομένων των Big4 συμβουλευτικών, καθώς και του δημόσιου τομέα.