Ασφάλεια στον κυβερνοχώρο - ο αυξημένος λειτουργικός κίνδυνος των εταιρειών λόγω τεχνολογίας του Δημήτρη Τανού

09/01/2016 05:35

Η δυνατότητα αξιοποίησης της τεχνολογίας μεγαλώνει σημαντικά με συνέπεια η κάθε εταιρεία, ανάλογα με τα συστήματα που έχει, να μπορεί να αποκτήσει σημαντική πληροφόρηση. Η καταναλωτική συμπεριφορά των πελατών και προσωπικά δεδομένα, όπως εισόδημα και οικογενειακή κατάσταση, αποτελούν ορισμένα μόνο από τα στοιχεία που κάθε εταιρεία θέλει να γνωρίζει. Η πηγή της πληροφόρησης αυτής αποτελεί και στόχο κακόβουλων ενεργειών από ανθρώπους που θέλουν να έχουν αυτή την πληροφόρηση.

 

Οι εταιρείες-στόχος αυτών των ενεργειών είναι τα πιστωτικά ιδρύματα, οι ασφαλιστικές εταιρείες, οι εταιρείες λιανικού εμπορίου, όπως και οι εταιρείες παροχής υγειονομικής και νοσοκομειακής περίθαλψης. Οι «επιθέσεις» στις εταιρείες αυτές έχουν αυξηθεί σημαντικά τα τελευταία χρόνια. Πρόσφατα ο τραπεζικός κολοσσός JP Morgan ανακοίνωσε παράβαση σε περίπου 100 εκατ. τραπεζικούς λογαριασμούς πελατών εκ των οποίων 85 εκατ. ήταν τις ίδιας της τράπεζας από «επίθεση» που δέχθηκε στα πληροφοριακά του συστήματα. Τέτοιου είδους επιθέσεις έχουν ανακοινώσει ότι έχουν δεχτεί εταιρείες όπως η Fiat Chrysler και η Uber αλλά και το Ηνωμένο Βασίλειο ανακοίνωσε πως 9 στις 10 εταιρείες έχουν δεχθεί μια επίθεση στα πληροφοριακά τους συστήματα τους τελευταίους 12 μήνες. Αυτό το διάστημα κάποιες ελληνικές τράπεζες έχουν πέσει επίσης θύματα τέτοιου είδους επιθέσεων, εκβιαζόμενες μάλιστα να πληρώσουν λύτρα ώστε να μην καταρρεύσουν τα συστήματά τους.

 

Είναι αναμφίβολο πλέον ότι η κυβερνοασφάλεια, δηλαδή η προστασία των εμπιστευτικών πληροφοριών πελατών και άλλων συνεργατών, αποτελεί μια από τις πιο μεγάλες ανησυχίες των διευθυντών μεγάλων πολυεθνικών εταιρειών.

 

Μέσα σε αυτό το πλαίσιο οι εταιρείες θα πρέπει να προστατευτούν από αυτές τις σημαντικές απειλές λόγω των σημαντικών οικονομικών και όχι μόνο επιπτώσεων που προκαλούνται. Η απαξίωση του εμπορικού σήματος και της φήμης της εταιρείας, η απώλεια εσόδων, το κόστος αντικατάστασης των κλεμμένων πληροφοριών, οι δαπάνες δικαστικών ενεργειών και τυχόν πρόστιμα από τις εποπτικές αρχές είναι κάποιες από τις επιπτώσεις που μπορεί να προκληθούν και να επιβαρύνουν τις εταιρείες.

 

Οι διοικήσεις των εταιρειών θα πρέπει να αξιολογούν τους κινδύνους που επηρεάζουν την ασφάλεια του κυβερνοχώρου σε όλο το φάσμα των πληροφοριακών τους συστημάτων, στο οποίο περιλαμβάνονται και τα συστήματα που συνδέονται με τη χρηματοοικονομική αναφορά.

 

Από την εμπειρία μας βοηθώντας τις εταιρείες να είναι προετοιμασμένες για μια τέτοια πράξη θεωρούμε πως πρέπει να κινούνται σε τέσσερις πυλώνες:

 

  • Πρόληψη
  • Βελτίωση
  • Εντόπιση
  • Ανταπόκριση

 

Η απειλή αυτή δεν είναι πρωτόγνωρη για όσους ασχολούνται με πληροφοριακά συστήματα. Η ραγδαία ανάπτυξη όμως του όγκου της πληροφόρησης και των συναλλαγών που γίνονται ηλεκτρονικά σε συνδυασμό με την πολυπλοκότητα των πολλών συστημάτων καθιστά πιο ευάλωτη την εταιρεία σε μια τέτοια επίθεση. Οι εταιρείες επίσης καλύπτονται μέσω ασφαλιστικών συμβολαίων. Η ασφαλιστική κάλυψη μπορεί να καλύψει σε ένα βαθμό ή και ολόκληρο το ποσό της χρηματικής ζημίας. Δεν μπορεί όμως να καλύψει την ζημία από την έλλειψη εμπιστοσύνης που μπορεί να υπάρχει ως αντίκτυπο. Πως θα αντιδρούσατε εσείς αν ξέρατε ότι η δική σας τράπεζα δεν μπορεί να εξασφαλίσει ότι τα στοιχεία της πιστωτικής σας κάρτας δεν μπορούν να κλαπούν; Εκτός από αυτό υπάρχει και το κόστος της αποκατάστασης και βελτίωσης των συστημάτων αλλά και το κόστος νομικών ενεργειών εναντίον της εταιρείας.

 

Ως ελεγκτές και σύμβουλοι εταιρειών συμβουλεύουμε τους πελάτες μας να αξιολογήσουν τον «πλούτο» των δεδομένων που διαθέτουν ώστε να προβούν στις κατάλληλες ενέργειες για την προστασία αυτών πριν να είναι αργά. Ως εκ τούτο, μια σημαντική πρόκληση για τις εταιρείες είναι να διαθέτουν επαρκώς εξοπλισμένα συστήματα ώστε να βρίσκονται ένα βήμα μπροστά από τους εγκληματίες του κυβερνοχώρου . Επιπλέον οι εταιρείες μπορούν να απευθυνθούν σε εξωτερικούς συμβούλους/ελεγκτές οι οποίοι μπορούν να παρέχουν στις διοικήσεις των εταιρειών πληροφορίες και συστάσεις που αντικατοπτρίζουν κορυφαία πρότυπα αλλά και να μοιραστούν τις εμπειρίες που έχουν κερδίσει μέσω της αλληλεπίδρασης με άλλες εταιρείες

 
Του Δημήτρη Τανού, Διευθυντής, Ελεγκτικές Υπηρεσίες
Πηγή https://www.kpmg.com/GR/EL/IssuesAndInsights/ArticlesPublications/Pages/cubersecurity-operational-risk.aspx