Μύθος 2: Οι ελληνικες επιχειρησεις δεν αντιµετωπιζουν περιστατικα παραβιασης συστηματων & απωλειας δεδομενων. Νικος Γεωργοπουλος CyRM
Tο 2013 το 96% των ελληνικών επιχειρήσεων αντιµετώπισαν ζητήµατα ψηφιακής ασφάλειας.
Σύμφωνα με τον Ντέιβιντ Εµ, επικεφαλής αναλυτής Ασφάλειας στην Παγκόσµια Οµάδα Έρευνας και Ανάλυσης της Kaspersky Lab, ο οποίος παρουσίασε στο Fortune τα πιο πρόσφατα ευρήµατα, τις τάσεις των κυβερνοεγκληµατιών και τους τρόπους µε τους οποίους κάθε εταιρεία µπορεί να προστατευτεί από αυτό που οι άνθρωποι του χώρου της ψηφιακής ασφάλειας χαρακτηρίζουν «αναπόφευκτο».
«Μέσα στο 2014, το 94% των επιχειρήσεων αντιµετώπισαν ζητήµατα ψηφιακής ασφάλειας που προέρχονταν εκτός της εταιρείας και το 12% έπεσαν θύµατα στοχευµένων επιθέσεων» τονίζει ο Ντέιβιντ Εµ. «Παγκοσµίως, το µέσο κόστος ενός περιστατικού παραβίασης δεδοµένων ανέρχεται στα 720.000 δολάρια. Ωστόσο, η έρευνα της Kaspersky για τις παγκόσµιες ψηφιακές προκλήσεις το 2014 έδειξε ότι το κόστος µιας επιτυχηµένης στοχευµένης επίθεσης θα µπορούσε να φτάσει µέχρι και τα 2,54 εκατοµµύρια δολάρια».
Η Ελλάδα δεν αποτελεί εξαίρεση σε αυτήν τη «µάχη» για τη διασφάλιση των ευαίσθητων εταιρικών δεδοµένων. Σύµφωνα µε τα πιο πρόσφατα στοιχεία των Kaspersky Lab και B2B International, το 2013 το 96% των ελληνικών επιχειρήσεων αντιµετώπισαν ζητήµατα ψηφιακής ασφάλειας.
Εξηγώντας τους τρόπους µε τους οποίους οι κυβερνοεγκληµατίες µπορούν να κλέψουν τα δεδοµένα µιας εταιρείας, ο Ντέιβιντ Εµ σηµειώνει ότι ένας από τους πλέον τυπικούς µηχανισµούς είναι το backdoor trojan. Ένα «ψηφιακό σκουπίδι» το οποίο εγκαθίσταται σε εταιρικούς υπολογιστές και ελέγχεται από απόσταση για τη συλλογή πληροφοριών. «Για να “µολύνουν” τα θύµατά τους, οι ψηφιακοί εγκληµατίες κάνουν εκτεταµένη χρήση ευπαθειών σε µη ενηµερωµένο λογισµικό και χρησιµοποιούν µεθόδους κοινωνικής µηχανικής, για να ξεγελάσουν το προσωπικό και να το οδηγήσουν στην εκτέλεση κακόβουλου κώδικα, ώστε να αποκτήσουν µια πρώτη πρόσβαση στον οργανισµό που αποτελεί στόχο τους» εξηγεί ο Ντέιβιντ Εµ.
«Κοινωνική µηχανική» ο επικεφαλής ερευνητής της Kaspersky θεωρεί τα ύποπτα emails και τα µηνύµατα αµφιβόλου προέλευσης στα µέσα κοινωνικής δικτύωσης, που σχεδόν όλοι έχουµε κατά καιρούς λάβει. Η µέθοδος phising, όπως είναι γνωστή στον κόσµο της τεχνολογίας, επιχειρεί να «ψαρέψει» δεδοµένα, έστω και από έναν ανυποψίαστο υπάλληλο που βρίσκεται σε υπολογιστή εντός του εταιρικού δικτύου. «Μόλις ένας εργαζόµενος κάνει κλικ σ’ ένα “µολυσµένο” συνηµµένο αρχείο ή σύνδεσµο, το κακόβουλο λογισµικό εγκαθίσταται και οι επιτιθέµενοι προσπαθούν να εξασφαλίσουν πλευρική κίνηση εντός του οργανισµού-στόχου, ώστε να επεκτείνουν τη λειτουργία τους».
Ο ανθρώπινος παράγοντας παίζει εξαιρετικά σηµαντικό ρόλο στην ψηφιακή ασφάλεια µιας επιχείρησης.
Στην έρευνα της Kaspersky για τις ψηφιακές απειλές των ελληνικών εταιρειών το 2013:
- το 87% εξ αυτών αντιµετώπισαν εσωτερικά ζητήµατα ασφάλειας κυρίως λόγω απροσεξίας των εργαζοµένων
- στο 39% των περιπτώσεων, η διαρροή δεδοµένων οφειλόταν σε ανθρώπινο λάθος των στελεχών
- στο 18% στη λανθασµένη χρήση βασικών ψηφιακών υπηρεσιών από φορητές συσκευές («έξυπνα» κινητά, tablets).
Πηγή:https://report.kaspersky.com/
Πρόληψη και διαχείριση περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων
«Το σηµείο εκκίνησης για κάθε επιχείρηση πρέπει να είναι η αξιολόγηση των κινδύνων», ορίζοντας τον τρόπο µε τον οποίο πρέπει να κινηθεί κάθε εταιρεία που θέλει να διασφαλίσει την ψηφιακή περιουσία της. Οι βασικές ερωτήσεις που πρέπει να τεθούν από κάθε επιχειρηµατία είναι οι εξής:
- ποια περιουσιακά στοιχεία διαθέτει η επιχείρησή του (πνευµατική ιδιοκτησία, δεδοµένα πελατών κ.λπ.)
- ποιοι θα µπορούσαν να θέλουν να της επιτεθούν
- και µε ποιον τρόπο θα επιχειρούσαν να το κάνουν πράξη;
Λαμβάνοντας υπόψη τα παραπάνω «η επιχείρηση πρέπει να χαράξει µια στρατηγική για τον περιορισµό των κινδύνων. Αυτό περιλαµβάνει τη δηµιουργία “άµυνας σε βάθος”, αν υποθέσουµε ότι ένας εισβολέας µπορεί να προσπεράσει την περιµετρική άµυνα. Η τεχνολογία παίζει σηµαντικό ρόλο, αλλά δεν αρκεί».
Δυστυχώς, υπάρχουν αρκετά παραδείγματα παραβιάσεων συστημάτων επιχειρήσεων που δεν ήταν επαρκώς προετοιμασμένες και δεν κατάφεραν να διαχειριστούν αποτελεσματικά τα εκδηλωθέντα περιστατικά.,
Για το λόγο αυτό θα πρέπει σε κάθε εταιρία να έχει συσταθεί μια Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων η οποία αποτελείται από ανώτατα στελέχη της εταιρίας από τμήματα όπως:
- Information Security
- Πληροφορική
- Νομικη υπηρεσία
- Κανονιστικής Συμμόρφωσης
- Επικοινωνίας
- Εξυπηρέτησης Πελατών
- Οικονομική Διεύθυνση
- Business Continuity
- HR
- Marketing
και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους , επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.
Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.
Η ομάδα αυτή πρέπει να συντονίζεται από τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνοντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης. Όταν συμβεί παραβίαση συστημάτων και διαρροή δεδομένων, θα πρέπει να παρθούν γρήγορα αποφάσεις και πολλές φορές χωρίς δυνατότητα αναίρεσης.
Η ασφάλιση Cyber Insurance ως Εργαλείο Διαχείρισης Περιστατικών Παραβίασης Συστημάτων.
Τα περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών δημιουργούν άμεσες και έμμεσες δαπάνες οι οποίες είναι απραγραμμάτιστες, έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές ενός οργανισμού και επηρεάζουν τον Ισολογισμό της.
Η ασφάλιση Cyber Insurance είναι ένα κρίσιμο κομμάτι της συνολικής στρατηγικής για τη διαχείριση των κινδύνων. Ενώ στον κυβερνοχώρο η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό ασφαλείας, μπορεί:
- να συμπληρώσει την Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων με την παροχή βοήθειας μέσω εξειδικευμένων παρόχων που παρέχουν τις κατάλληλες υποδομές και το κατάλληλο ανθρώπινο δυναμικό,
- να βοηθήσει στην καλύτερη διαχείριση των περιστατικών μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες, τη φήμη της εταιρείας,
- και να καλύψει το χρηματοοικονομικο κόστος του περιστατικού ώστε να μην επηρεαστούν τα χρηματοοικονομικά μεγέθη της εταιρίας.
Νίκος Γεωργόπουλος, ΜΒΑ, CyRM
Cyber Risks Advisor
CROMAR Coverholder at LLOYDS