Μικρές & Μεσαίες επιχειρήσεις και οι Κίνδυνοι του Κυβερνοχώρου του Νίκου Γεωργόπουλου cyRM, MBA
Όλοι οι οργανισμοί ανεξαρτήτως μεγέθους αντιμετωπίζουν καθημερινά κυβερνοεπιθέσεις και περιστατικά προσπάθειας παραβίασης των συστημάτων τους όμως μια επίθεση σε μια μικρή ή μεσαία επιχείρηση, η οποία είναι περισσότερο ευάλωτη, μπορεί να έχει πιο καταστροφικά αποτελέσματα από ότι σε ένα μεγαλύτερο οργανισμό.
Οι ασφαλιστές, οι διαμεσολαβούντες και οι πάροχοι υπηρεσιών & προϊόντων ασφάλειας πληροφοριακών συστημάτων πρέπει να συνεργαστούν για να προσφέρουν λύσεις και συμβουλές για την βελτίωση του επιπέδου ασφάλειας των επιχειρήσεων αυτών ενόψει και του νέου κανονισμού για την προστασία των προσωπικών δεδομένων (GDPR) ο οποίος απαιτεί από τις εταιρίες να έχουν τα κατάλληλα μέτρα ασφαλείας για την προστασία των πληροφοριών, κατάλληλη εκπαίδευση του ανθρώπινου δυναμικού τους, ενημέρωση των αρμόδιων αρχών εντός 72 ωρών από τον εντοπισμό του συμβάντος και πρόστιμα τα οποία μπορούν να φθάσουν έως 4% του τζίρου της επιχείρησης σε περίπτωση μη συμμόρφωσης στα νέα δεδομένα.
Οι επιθέσεις που δέχονται οι μικρές και μεσαίες πιχειρήσεις διεθνώς βρίσκονται σε άνοδο τα τελευταία χρόνια σύμφωνα με την μελέτη 2016 Internet Security Threat Report της Symantec και αποτελούν ιδανικό στόχο επειδή δεν διαθέτουν τους πόρους, την ευαισθητοποίηση και την κατάρτιση για να προφυλαχθούν από τέτοιες απειλές.
Η πλειοψηφία των ελληνικών επιχειρήσεων είναι μικρές και πολύ μικρές οι οποίες ενώ διαχείριζονται καθημερινά προσωπικά δεδομένα πελατών τους και πληρωμές μέσω πιστωτικών/χρεωστικών καρτών λόγω capital controls δεν είναι ευασθητοποιημένες ούτε διαθέτουν τις κατάλληλες υποδομές και μέτρα προστασίας για να αντιμετωπίσουν τις αυξανόμενες απειλές που σχετίζονται με τον κυβερνοχώρο όπως ransomware, επιθέσεις τύπου social engineering και επιθέσεις άρνησης παροχής υπηρεσίας (DDoS).
Κυβερνοεκβιασμός - Ransomware
To Ransomware είναι κακόβουλο λογισμικό που “κλειδώνει” τις λειτουργίες υπολογιστών και συστημάτων ενώ παράλληλα μπορεί να κρυπτογραφήσει δεδομένα και αρχεία, ζητώντας “λύτρα”, σε κάποιο κρυπτονόμισμα (πχ Bitcoins) , για να ανακτηθεί ο έλεγχος του υπολογιστή ή των συστημάτων και να χρησιμοποιηθούν ξανά τα μολυσμένα αρχεία.. Όπως έχει αποδειχθεί, είναι μια απάτη η οποία εξελίχθηκε από εγκληματικές οργανώσεις που δραστηριοποίουνται στο χώρο του κυβερνοεγκλήματος και επιδιώκουν παράνομο κέρδος.
Οι επιθέσεις ενάντια σε επιχειρήσεις παρουσιάζουν αύξηση με τις ευρείας κλίμακας επιθέσεις ransomware να παραμένουν η πιο διαδεδομένη μορφή της απειλής. Οι επιθέσεις αυτές χαρακτηρίζονται από υψηλό επίπεδο τεχνογνωσίας, ενώ χρησιμοποιούνται τεχνικές που βλέπουμε συχνότερα σε εκστρατείες κυβερνοκατασκοπίας.
Μία επιτυχημένη επίθεση σε έναν οργανισμό, μπορεί ενδεχομένως να μολύνει χιλιάδες υπολογιστές, προκαλώντας μαζική λειτουργική ζημιά και σοβαρή βλάβη στα έσοδα αλλά και στη φήμη. Μόλις οι συμμορίες του κυβερνοεγκλήματος δουν ορισμένες επιχειρήσεις να υποκύπτουν σε αυτές τις επιθέσεις και να πληρώνουν τα λύτρα, όλο και περισσότεροι εισβολείς ακολουθούν στην προσπάθεια να αρπάξουν το μερίδιό τους από τα πιθανά κέρδη.
Οι οργανισμοί θα πρέπει να είναι πλήρως ενημερωμένοι για τις απειλές στις οποίες τους θέτει το ransomware και να χτίζουν κατά προτεραιότητα πάνω στην ασφάλειά τους. Μία πολυεπίπεδη προσέγγιση στην ασφάλεια ελαχιστοποιεί την πιθανότητα μόλυνσης, ενώ είναι επίσης ζωτικής σημασίας και η εκπαίδευση των τελικών χρηστών σχετικά με το ransomware, αφού και οι επικίνδυνοι κυβερνοεγκληματίες βελτιώνουν συνεχώς τις τακτικές επίθεσης που χρησιμοποιούν.
Περιστατικά ransomware παρατηρούνται τον τελευταίο καιρό στην Ελλάδα σε ιδιώτες, ελεύθερους επαγγελματίες (λογιστές, δικηγόρους, μηχανικούς, γιατρούς) και σε επιχειρήσεις (φαρμακευτικές, εταιρίες στοιχημάτων, νοσοκομεία).
Κρατάτε πάντα ενημερωμένο Backup
Δημιουργήστε αντίγραφα ασφαλείας σημαντικών δεδομένων για να καταπολεμήσετε αποτελεσματικά τις επιθέσεις από ransomware. Οι επιτιθέμενοι έχουν επιρροή πάνω στα θύματά τους κρυπτογραφώντας τα πολύτιμα αρχεία τους. Αν η επιχείρηση θύμα έχει αντίγραφα ασφαλείας, μπορεί να αποκαταστήσει τα αρχεία του άμεσα μετά την αντιμετώπιση της επίθεσης.
Κοινωνική Μηχανική – Social Engineering
Η τεχνική του Social Engineering είναι ο ευκολότερος και ο πιο διαδεδομένος τρόπος για έναν απατεώνα να παραβιάσει τα συστήματα ασφαλείας και να αποκτήσει πρόσβαση στα πληροφοριακά συστήματα της επιχείρησης εκμεταλευόμενος τον πιο αδύναμο κρίκο μιας επιχείρησης τον άνθρωπο.
Τα μέσα εξαπάτησης είναι συνήθως απρόσωπα, το e-mail, το τηλέφωνο ή το διαδίκτυο. Οι απατεώνες προσποιούνται ένα συνάδελφο, ένα ανώτερο στέλεχος ή έναν έμπιστο εξωτερικό συνεργάτη - δικηγόρο ή επιθεωρητή. Ο απατεώνας συλλέγοντας πληροφορίες από τα social media για το στόχο του προσπαθεί να βρεί την καλύτερη τακτική προσέγγισης.
Η θέσπιση πολιτικών είναι το πρώτο βήμα για την προστασία της επιχείρησης από Social Engineering, αλλά ίσως το σημαντικότερο είναι η εκπαίδευση των εργαζομένων και η ενημέρωσή τους για τους κινδύνους που απορρέουν από τέτοιου είδους απάτες.
Η ενημέρωση για την ασφάλεια και η συνειδητοποίηση των κινδύνων πρέπει να είναι μέρος της εκπαίδευσης κάθε εργαζόμενου που χρησιμοποιεί το δίκτυο και τα συστήματα πληροφορικής και για να είναι αποτελεσματική πρέπει να είναι συνεχής.
Επιθέσεις Άρνησης Παροχής Υπηρεσίας (DDoS)
Σύμφωνα με μελέτη της Kaspersky οι επιθέσεις DDoS από τις πιο ακριβές ψηφιακές απειλές, με τις οποίες μπορεί να έρθει αντιμέτωπη μία εταιρεία, αν και το κόστος εξαρτάται σε μεγάλο βαθμό από το πόσο γρήγορα ανιχνεύεται η επίθεση.
Τα παραπάνω ευρήματα εντοπίζει έρευνα “Corporate IT Security Risks 2016” των Kaspersky Lab και B2B International, στην οποία συμμετείχαν περισσότεροι από 4.000 εκπρόσωποι επιχειρήσεων από 25 χώρες. Οπως αποδείχτηκε για τις μικρές επιχειρήσεις, οι μεγαλύτερες δαπάνες από επιθέσεις DDoS αφορούσαν σε πληρωμές υπερωριών για τους εργαζόμενους (17%). Ακόμη, οι επιθέσεις DDoS αναφέρθηκαν ως μία από τις πέντε κορυφαίες απειλές που θα μπορούσαν να αναγκάσουν τις εταιρείες να προσλάβουν νέους υπαλλήλους. Ειδικότερα, το 37% των οργανισμών, που έπεσαν θύματα τέτοιων επιθέσεων, σχεδιάζουν, ήδη, να αυξήσουν σημαντικά το προσωπικό τους στον τομέα της ασφάλειας των πληροφοριακών συστημάτων και πληροφορικής.
Άλλα σημαντικά κόστη που σχετίζονται με επιθέσεις DDoS περιελάμβαναν τις αποζημιώσεις πελατών (12%), την αναβάθμιση των υποδομών πληροφορικής και λογισμικού (10%), την εκπαίδευση του προσωπικού (10%) και τα έξοδα δημοσίων σχέσεων για την αποκατάσταση της φήμης μιας εταιρείας (9%).
Το μέσο κόστος μιας επίθεσης DDoS περίπου στα $106.000 για μικρότερες εταιρείες και μέχρι και πάνω από $1,6 εκατ. για μεγαλύτερες επιχειρήσεις.
Αν μια επίθεση ανιχνευτεί στις πρώτες 24 ώρες, τα έξοδα μπορεί να είναι σχεδόν τα μισά σε σύγκριση με μια επίθεση που ανιχνεύεται πάνω από μια ημέρα αργότερα.
Μια επίθεση DDoS μπορεί να απενεργοποιήσει τις online υπηρεσίες μιας επιχείρησης για μεγάλο χρονικό διάστημα, να βλάψει τη φήμη της και να της στερήσει υπάρχοντες ή μελλοντικούς πελάτες
Μεταφορά Κινδύνου – Aσφάλιση Cyber Insurance
Για την αποτελεσματική διαχείριση των παραπάνω κινδύνων μπορεί να χρησιμοποιηθεί η ασφάλιση cyber insurance της οποίας οι ασφαλιστικές καλύψεις αφορούν:
- Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρία στην οποία τα είχαν δώσει
- Ανταπόκριση: Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
- Διακοπή Εργασιών - Κάλυψη για απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
- Κυβερνοεκβιασμό - Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών
- Πρόστιμα - που επιβάλλει η Αρχή Προστασίας Προσωπικών Δεδομένων και θα κληθούν να πληρώσουν οι επιχειρήσεις σε περιπτώσεις περιστατικών απώλειας δεδομένων
Εργαλεία Διαχείρισης Κινδύνου - Risk Management Tools
Κάνοντας κλικ εδώ μπορείτε:
- να βρείτε Οδηγούς Αντιμετώπισης Περιστατικών
- να υπολογίσετε το ενδεικτικό κόστος τους απώλειας δεδομένων
- να βρείτε αναλύσεις ζημιών ασφαλισμένων εταιριών
- να δείτε το Νέο Κανονισμό για τα προσωπικά δεδομένα και το νομικό πλαίσιο που ισχύει διεθνώς