Μεγάλη απειλή το κυβερνοέγκλημα για τις επιχειρήσεις

Interview of Tassos Procopiou, Partner, Consulting, PwC Cyprus, as appeared in Simerini Newspaper

«Η προστασία μιας επιχείρησης από τα ρίσκα του κυβερνοχώρου ξεκινά από την αναγνώριση και αξιολόγηση των κινδύνων στους οποίους είναι εκτεθειμένη»

Συνέντευξη με τον κ. Τάσο Προκοπίου, Συνέταιρο Συμβουλευτικών Υπηρεσιών για θέματα Τεχνολογίας της PwC

Καθώς η χρήση της τεχνολογίας και του ηλεκτρονικού επιχειρείν εντάσσονται όλο και περισσότερο στην κουλτούρα των επιχειρήσεων στην Κύπρο και παγκοσμίως, παρατηρείται μία ανερχόμενη τάση για δημιουργία και εφαρμογή ψηφιακών επιχειρησιακών μοντέλων, καθώς και για χρήση του διαδικτύου για τη διεκπεραίωση των αγορών και των επιχειρηματικών δραστηριοτήτων τους. Το γεγονός αυτό αυξάνει τους κινδύνους μια επιχείρηση να πέσει θύμα κυβερνοεγκλήματος, όπως διαφαίνεται και μέσα από την έρευνα της PwC «The Global State of Information Security® Survey 2017», τα ευρήματα της οποίας αναλύει ο Τάσος Προκοπίου, Συνέταιρος Συμβουλευτικών Υπηρεσιών για θέματα Τεχνολογίας του οργανισμού.

Παρατηρείται όντως αύξηση των περιστατικών κυβερνοεγκλήματος (cybercrime) και πού την αποδίδετε;

Καθώς διανύουμε την ψηφιακή εποχή, τα λογισμικά συστήματα και η διαδικτυακή υποδομή αποτελούν πλέον τη ραχοκοκαλιά για τη λειτουργία των επιχειρήσεων που επιλέγουν να δραστηριοποιούνται και διαδικτυακά. Εκτός όμως από πολλαπλά οφέλη για τις επιχειρήσεις, το διαδίκτυο ενέχει και κινδύνους, καθώς τα συστήματα έχουν αδυναμίες τις οποίες κάποιοι επιτήδειοι μπορούν να εκμεταλλευτούν. Λόγω της φύσης του, το έγκλημα στο διαδίκτυο λαμβάνει όλο και μεγαλύτερες διαστάσεις και αυτή η τάση καταγράφηκε και το 2016. Οι κυβερνοεγκληματίες εκμεταλλεύονται συγκεκριμένα χαρακτηριστικά του κυβερνοχώρου, όπως η ανωνυμία, ο διασυνοριακός χαρακτήρας, η ταχύτητα, αλλά και η ευκολία με την οποία διεκπεραιώνεται το διαδικτυακό έγκλημα καθώς λαμβάνει χώρα σε ελάχιστο χρόνο και συχνά δεν γίνεται καν αντιληπτό από το θύμα.

Ποιες είναι οι τάσεις που σχετίζονται με την ασφάλεια στον κυβερνοχώρο το 2017;

Από την παγκόσμια έρευνα της PwC «The Global State of Information Security® Survey 2017», έχουν διαφανεί τέσσερις βασικές τάσεις για το 2017 αναφορικά με την ασφάλεια στον κυβερνοχώρο. Αυτές αφορούν την υιοθέτηση από τις επιχειρήσεις νέων τεχνολογιών, μεθόδων και προσεγγίσεων με στόχο τη διασφάλιση του ψηφιακού επιχειρησιακού τους μοντέλου, την αναγνώριση των διαδικτυακών απειλών και ανταλλαγή πληροφοριών σε σχέση με αυτές, τη λήψη μέτρων για τη βελτίωση της ασφάλειας και χρήσης του Internet of Things και την προληπτική προσέγγιση για τη διαχείριση κινδύνων που εγκυμονούν γεωπολιτικές αλλαγές.

Ποιες είναι οι απειλές και οι κίνδυνοι που αντιμετωπίζουν οι εταιρείες στον κυβερνοχώρο και από που προέρχονται;

Οι κίνδυνοι που έχουν προκύψει τα τελευταία χρόνια στον κυβερνοχώρο προέρχονται κυρίως από το οργανωμένο έγκλημα, τους υπάλληλους ή τους συνεργάτες της ίδιας της επιχείρησης που έχουν πρόσβαση στα συστήματά της, τους ακτιβιστές του κυβερνοχώρου (hacktivist), τους τρομοκράτες του κυβερνοχώρου (cyber terrorists), αλλά και μεγάλα κράτη. Τα κίνητρά τους είναι ποικίλα, με κάποιους να ενδιαφέρονται για οικονομικό κέρδος και άλλους να παρακινούνται από εμπορικά, ιδεολογικά, πολιτικά ή γεωπολιτικά συμφέροντα. Η επιτυχία των επιθέσεων βασίζεται στην τεχνογνωσία που έχουν οι κυβερνοεγκληματίες, στους πόρους, στα κίνητρα και στον χρόνο που έχουν στη διάθεσή τους. Οι απειλές και οι μέθοδοι που χρησιμοποιούν διαφοροποιούνται σε μεγάλο βαθμό ανάλογα με το προφίλ της κάθε επιχείρησης. Οι κυβερνοεγκληματίες στοχεύουν είτε απευθείας στις ηλεκτρονικές υποδομές του οργανισμού είτε στους υπαλλήλους του, χρησιμοποιώντας μια γκάμα από μεθόδους. Η πιο συνηθισμένη μέθοδος, η οποία στοχεύει στην επίτευξη πρόσβασης μέσω αδυναμίας του ανθρώπινου παράγοντα, είναι η τεχνική κοινωνικής μηχανικής (social engineering). Συνήθως η προσέγγιση αυτή γίνεται μέσω της αποστολής ηλεκτρονικών μηνυμάτων αλληλογραφίας (email) σε υπαλλήλους του οργανισμού, τα οποία στοχεύουν στην εγκατάσταση κακόβολου λογισμικού στον υπολογιστή του θύματος, το οποίο μπορεί να τους δίνει πρόσβαση στις υποδομές και τα δεδομένα του οργανισμού ή να καθιστά αδύνατη τη χρήση τους.

Μπορεί να εκτιμηθεί το κόστος και οι πιθανές συνέπειες μιας επιτυχημένης κυβερνοεπίθεσης;

Παρά το γεγονός ότι η ασφάλεια στον κυβερνοχώρο είναι ένα από τα φλέγοντα ζητήματα της εποχής μας, σπάνια οι επιχειρήσεις εκτιμούν σωστά το πραγματικό κόστος γι’ αυτές και τις συνέπειες που μπορεί να επιφέρει μια επιτυχημένη επίθεση. Οι επιπτώσεις ενός περιστατικού παραβίασης ασφάλειας διαφέρουν ανάλογα με το είδος και το βαθμό επιτυχίας μιας επίθεσης. Αυτές μπορεί να περιλαμβάνουν, μεταξύ άλλων, πλήγμα ως προς την εμπιστοσύνη προς την επιχείρηση, υποβάθμιση της εμπορικής της επωνυμίας, μείωση των εσόδων, ποινικές διώξεις, απώλεια πνευματικής ιδιοκτησίας, ή ακόμη και πρόστιμο από τις ρυθμιστικές Αρχές. Αξίζει να σημειωθεί ότι σε περίπτωση παραβίασης του νέου νόμου περί προστασίας των προσωπικών δεδομένων της Ευρωπαϊκής Ένωσης που θα εφαρμοστεί τον Μάϊο του 2018, το πρόστιμο μπορεί να ανέλθει μέχρι και στο 4% του κύκλου εργασιών μιας επιχείρησης, γεγονός που μπορεί να χρησιμοποιηθεί ως απειλή από τους κυβερνοεγκληματίες μετά από μία επιτυχημένη επίθεση. Πέρα από τις επιπτώσεις μιας επιτυχημένης παραβίασης, οι επιχειρήσεις θα πρέπει να αναλογιστούν και το κόστος ανάκαμψης της λειτουργίας τους, το κόστος των τεχνικών ερευνών που θα ακολουθήσουν για τη διερεύνηση του συμβάντος περιλαμβανομένου και ενός ενδεχόμενου δικανικού ελέγχου, καθώς επίσης και το κόστος εισαγωγής επιπρόσθετων βελτιώσεων στο πλαίσιο ασφάλειας της επιχείρησης προς αποφυγήν μελλοντικών επιθέσεων.

Τι πρέπει να κάνουν οι εταιρείες για να προστατευθούν από τέτοιου είδους επιθέσεις;

Η προστασία μιας επιχείρησης από τα ρίσκα του κυβερνοχώρου ξεκινά από την αναγνώριση και την αξιολόγηση των κινδύνων στους οποίους είναι εκτεθειμένη, καθώς επίσης και από το τι είναι σημαντικό για αυτήν να προστατέψει. Στη συνέχεια, η επιχείρηση θα πρέπει να αξιολογήσει κατά πόσο οι υφιστάμενοι μηχανισμοί ασφαλείας την προστατεύουν επαρκώς από τους κινδύνους αυτούς και τις ενδεχόμενες επιθέσεις. Η προετοιμασία διαφοροποιείται σε εύρος και πολυπλοκότητα ανάλογα με το μέγεθος, τη δραστηριότητα και το μοντέλο λειτουργίας της εταιρείας και περιλαμβάνει τρεις ενότητες. Η πρώτη ενότητα αφορά το τεχνικό επίπεδο και περιλαμβάνει μηχανισμούς που προστατεύουν, εντοπίζουν και αντιμετωπίζουν σωστά τις επιθέσεις, και βοηθούν επίσης στο δικανικό έλεγχο που έπεται μιας επιτυχημένης παραβίασης. Η δεύτερη ενότητα αφορά τη διακυβέρνηση της κυβερνοασφάλειας (cyber security), τις πολιτικές και διαδικασίες που θα πρέπει να θεσπιστούν και την ενημέρωση και ευαισθητοποίηση του ανθρώπινου δυναμικού. Ως PwC θεωρούμε το κομμάτι αυτό ιδιαίτερα σημαντικό, καθώς το τελευταίο διάστημα έχουμε διαπιστώσει έξαρση στις επιθέσεις κοινωνικής μηχανικής που στοχεύουν στην απόσπαση πληροφοριών από τους χρήστες ή στην εγκατάσταση κακόβολου λογισμικού (π.χ. ransomware) στα συστήματα του οργανισμού. Η τρίτη ενότητα περιλαμβάνει την αντιμετώπιση μιας επιτυχημένης επίθεσης κατά την οποία επιτυγχάνεται παραβίαση των συστήματα της επιχείρησης, και προϋποθέτει ένα σχέδιο δράσεων που θα βοηθήσουν την επιχείρηση να ελαχιστοποιήσει τις επιπτώσεις μιας επίθεσης, όταν αυτή συμβεί. Επιπρόσθετα με τα πιο πάνω, οι επιχειρήσεις θα πρέπει να προβαίνουν σε περιοδική αξιολόγηση των αμυντικών τους μηχανισμών, κυρίως με την πραγματοποίηση δοκιμών παρείσδυσης (penetration tests). Για βέλτιστα αποτελέσματα όμως, η εισαγωγή μέτρων ασφαλείας θα πρέπει να ξεκινά από πολύ νωρίς, και συγκεκριμένα από το στάδιο του σχεδιασμού των συστημάτων και της υποδομής (privacy and security by design), έτσι ώστε κάθε καινούργιο στοιχείο να μην επιφέρει επιπρόσθετα ρίσκα στο υφιστάμενο περιβάλλον της επιχείρησης.

Πώς οι κυπριακές εταιρείες προστατεύονται και ποιοι επιχειρηματικοί τομείς είναι περισσότερο «συνειδητοποιημένοι»;

Η αυξανόμενη έκταση που λαμβάνουν οι κυβερνοεπιθέσεις και η προβολή που τυγχάνουν από τα μέσα μαζικής ενημέρωσης έχουν ευαισθητοποιήσει σε κάποιο βαθμό τις επιχειρήσεις στην Κύπρο. Παρόλα αυτά και με βάση την εμπειρία μας στον τομέα αυτό, η πλειοψηφία των μικρών και μικρομεσαίων οργανισμών περιορίζεται στη λήψη περιορισμένων τεχνολογικών μέτρων σε ότι αφορά στην κυβερνοασφάλεια. Αυτά συνήθως περιορίζονται σε απλή εφαρμογή ενός τοίχου προστασίας (firewall) και ενός λογισμικού αντιμετώπισης ιών (antivirus), που στις πλείστες περιπτώσεις δεν είναι επικαιροποιημένα με τις τελευταίες ενημερώσεις, με αποτέλεσμα η προστασία που παρέχουν να μην είναι επαρκής. Οι πλείστες επιχειρήσεις επίσης υστερούν σε θέματα διαδικασιών, δικλείδων ασφαλείας και ενημέρωσης του ανθρώπινου δυναμικού που θεωρείται ως ο πιο «αδύναμος κρίκος» της αλυσίδας.

Οι μεγάλες επιχειρήσεις;

Οι μεγάλες επιχειρήσεις και ειδικότερα εκείνες που διέπονται από ρυθμιστικό ή κανονιστικό πλαίσιο (π.χ. χρηματοπιστωτικά ιδρύματα), έχουν προβεί σε σημαντικές επενδύσεις για την αντιμετώπιση του κυβερνοεγκλήματος. Σε αρκετές περιπτώσεις όμως, δεν δίνεται η απαραίτητη σημασία στη διασφάλιση του ίδιου επιπέδου ασφάλειας και για συνεργάτες του οργανισμού, με αποτέλεσμα να μειώνεται το συνολικό επίπεδο ασφάλειας. Οι εγκληματίες, εκμεταλλευόμενοι κενά ασφαλείας στα περιβάλλοντα των συνεργατών, χρησιμοποιούν «το μικρό ψάρι» σαν πλατφόρμα για να εξαπολύσουν τις επιθέσεις τους.

Πώς ανταποκρίνεται η PwC στις ανάγκες των εταιρειών για προστασία από τις απειλές στον κυβερνοχώρο;

Η προσέγγιση της PwC έχει διαμορφωθεί με βάση τις διεθνείς βέλτιστες πρακτικές αναφορικά με θέματα ασφάλειας στον κυβερνοχώρο. Έχει ως βασικό άξονά της τη σωστή διαχείριση των κινδύνων που προκύπτουν μετά από αξιολόγηση της τρέχουσας ικανότητας μιας επιχείρησης να αντιμετωπίζει τους κινδύνους στον κυβερνοχώρο και περιλαμβάνει τη διαμόρφωση μιας ευρύτερης στρατηγικής που περιλαμβάνει βραχυπρόθεσμο και μεσοπρόθεσμο πρόγραμμα δράσεων και επενδύσεων σε θέματα κυβερνοασφάλειας.

ΠΛΑΙΣΙΟ 

Έξι τομείς που διέπουν

την κυβερνοασφάλεια 

Η προσέγγιση της PwC στα θέματα κυβερνοασφάλειας στοχεύει στην ενδυνάμωση της εμπιστοσύνης σε έξι τομείς:

• Στο ανθρώπινό δυναμικό και τη δημιουργία σωστής κουλτούρας, περιλαμβανομένου και του σχεδιασμού πολιτικών και διαδικασιών σε θέματα κυβερνοασφάλειας

• Στη χρήση της τεχνολογίας για ενίσχυση των αμυντικών μηχανισμών ενάντια στις απειλές του κυβερνοχώρου

• Στις διασυνδέσεις με εξωτερικούς συνεργάτες με σκοπό την ελαχιστοποίηση της έκθεσης της επιχείρησης σε απειλές μέσω τρίτων

• Στην αναγνώριση και διαχείριση των κινδύνων που προκύπτουν από την εφαρμογή ενός ψηφιακού επιχειρησιακού μοντέλου

• Στην αντιμετώπιση κρίσεων που έπονται μιας ενδεχόμενης παραβίασης των συστημάτων, και Στις προτεραιότητες και την ευθυγράμμιση της επιχειρησιακής στρατηγικής για την ασφάλειά με βάση τους κινδύνους και απειλές στις οποίες είναι εκτεθειμένη η επιχείρηση.