PwC: Εταιρείες απροστάτευτες στον κυβερνοχώρο
15:09 - 25 Οκτωβρίου 2013
H Έρευνα για την «Κατάσταση του Κυβερνοεγκλήματος 2013»της PwC ΗΠΑ και του περιοδικού CSO αποκαλύπτει ότι ενώ οι απειλές για διάπραξη εγκλημάτων στον κυβερνοχώρο καταγράφουν αύξηση, οι προσπάθειες για την αντιμετώπισή τους παραμένουν έως σήμερα, σε μεγάλο βαθμό, ανεπιτυχείς. Η έκθεση διαπιστώνει τη μικρή μόνο πρόοδο που έχουν κάνει οι οργανισμοί σε ό,τι αφορά την ανάπτυξη των μέσων προστασίας των εργασιών τους από κυβερνοεπιθέσεις, που προέρχονται τόσο εντός όσο και εκτός του οργανισμού. Οι περισσότεροι από τους 500 συμμετέχοντες στην έρευνα, μεταξύ άλλων και εκτελεστικά στελέχη από τις ΗΠΑ, ήταν εμπειρογνώμονες σε θέματα ασφάλειας αλλά και άλλοι ενδιαφερόμενοι από το δημόσιο και τον ιδιωτικό τομέα,. Η έρευνα είναι το αποτέλεσμα της συνεργασίας της PwC, του περιοδικού CSO, των Μυστικών Υπηρεσιών των ΗΠΑ, του Προγράμματος του Ινστιτούτου Μηχανολογίας Λογισμικού CERT® στο Πανεπιστήμιο Carnegie Mellon και του FBI.
«Τα γεγονότα είναι ξεκάθαρα: Οι οργανισμοί του σήμερα δεν λαμβάνουν τα αναγκαία μέτρα για να μετριάσουν τον κίνδυνο του κυβερνοεγκλήματος, παρά το ότι βρίσκονται αντιμέτωποι με ολοένα και πιο σοβαρές και συχνές απειλές», δήλωσε ο David Burg, Διευθυντής Κυβερνοασφάλειας στο Τμήμα Συμβουλευτικών Υπηρεσιών της PwC ΗΠΑ. «Η PwC πιστεύει ότι οι οργανισμοί πρέπει να αναλάβουν δράση άμεσα. Η απειλή για τις αμερικανικές επιχειρήσεις και την υποδομή του έθνους μας είναι πραγματική. Η κυβερνοασφάλεια είναι πλέον απαραίτητη για τις επιχειρήσεις και τα ανώτερα εκτελεστικά στελέχη και τα διοικητικά συμβούλια πρέπει να κατανοήσουν τις προκλήσεις, να εκπαιδεύσουν τους εργαζομένους τους, να ενισχύσουν την ευαισθητοποίηση και να αυξήσουν την επαγρύπνηση, αλλά και να αξιοποιήσουν τις πληροφορίες που έχουν στη διάθεσή τους για τις κυβερνοαπειλές ώστε να μετριάσουν τους κινδύνους που διατρέχουν από επαγγελματίες του κυβερνοεγκλήματος.»
Το πιο ανησυχητικό ίσως πόρισμα της φετινής έρευνας είναι ότι οι οργανισμοί στις ΗΠΑ υποτιμούν τη σοβαρότητα των κινδύνων από κυβερνοεπιθέσεις σε ό,τι αφορά τις επιπτώσεις σε οικονομικό και ρυθμιστικό επίπεδο αλλά και στην ίδια τη φήμη τους», δήλωσε ο Bob Bragdon, αντιπρόεδρος και εκδότης του CSO.
Παρά το ότι η έρευνα επιβεβαίωσε ότι οι επιθέσεις εξακολουθούν να διαφοροποιούνται από τις στοχευμένες και εξειδικευμένες επιθέσεις μέχρι την απλή εκμετάλλευση των τρωτών σημείων μιας επιχείρησης, αποτέλεσμα της χρόνιας έλλειψης επενδύσεων σε προγράμματα ασφάλειας, τεχνολογίες και διαδικασίες, η PwC πιστεύει ότι η πρόκληση της κυβερνοασφάλειας μπορεί – και πρέπει – να αντιμετωπιστεί. Σε πολλές περιπτώσεις, οι εταιρείες είναι σε θέση να μετριάσουν με επιτυχία τις επιθέσεις αυτές χάρη σε μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας που ευθυγραμμίζεται με την επιχειρηματική στρατηγική και περιλαμβάνει επαγρύπνηση και ευαισθητοποίηση γύρω από την πρόληψη των απειλών, ένα αποτελεσματικό πρόγραμμα εντοπισμού περιουσιακών στοιχείων και προστασίας, και θα υποστηρίζεται από προληπτική παρακολούθηση και ενισχυμένες διαδικασίες ανταπόκρισης σε συμβάντα. Επιθέσεις πιο σοβαρής μορφής, συχνά από έθνη-κράτη, πρέπει να τυγχάνουν χειρισμού σε συνεργασία με κυβερνητικούς φορείς.
Για δεύτερη συνεχόμενη χρονιά, οι συμμετέχοντες δήλωσαν ότι τα εσωτερικά εγκλήματα (33,73%) ενδέχεται να προκαλούν σε έναν οργανισμό μεγαλύτερη ζημιά από τις εξωτερικές επιθέσεις (31,34%). Η έρευνα διαπίστωσε ότι:
• Το 17% των συμμετεχόντων που είχαν υποστεί επίθεση εντός του οργανισμού δεν γνώριζαν ποιες θα ήταν οι συνέπειες,
• 33% των συμμετεχόντων δεν διέθεταν τυποποιημένο σχέδιο ανταπόκρισης σε περίπτωση απειλών εντός του οργανισμού,
• Διπλάσιος αριθμός συμμετεχόντων δήλωσε ότι, εντός του οργανισμού, «άτομα χωρίς κακόβουλες προθέσεις» προκαλούν απώλεια πιο ευαίσθητων δεδομένων από ό,τι άτομα με κακόβουλες προθέσεις, και
• Από αυτούς που δεν γνώριζαν ποιες είναι οι διαδικασίες χειρισμού των εσωτερικών απειλών, η πλειοψηφία ανάφερε ότι τα περιστατικά τύγχαναν χειρισμού εντός του οργανισμού, χωρίς τη λήψη νομικών μέτρων ή την εμπλοκή αστυνομικών αρχών.
«Ένα από τα βασικά στοιχεία της αντιμετώπισης εσωτερικών επιθέσεων είναι η κατάρτιση και η ευαισθητοποίηση των εργαζομένων», πρόσθεσε ο Burg. «Τα άτομα που συνιστούν απειλή εντός του οργανισμού συχνά δίνουν από νωρίς κάποιες ενδείξεις κακόβουλης πρόθεσης που τα συστήματα ασφάλειας των πληροφοριών δεν μπορούν να ανιχνεύσουν, αλλά τις οποίες ενδέχεται να προσέξουν εργαζόμενοι και διευθυντές, και να δράσουν ανάλογα.»
Η ενδεχόμενη απειλή από άτομα εντός του οργανισμού δεν μπορεί να υποτιμηθεί ή να αγνοηθεί ως μη έχουσα συνέπειες», δήλωσε ο Ed Lowry, Ειδικός Πράκτορας στο Τμήμα Ποινικών Ερευνών των Μυστικών Υπηρεσιών των ΗΠΑ. «Στο σημερινό περιβάλλον, κάθε επιχειρηματικό μοντέλο πρέπει να περιλαμβάνει ένα ολοκληρωμένο σχέδιο κυβερνοασφάλειας που θα καλύπτει τις απειλές κατά της ασφάλειας τόσο για τα φυσικά όσο και για τα πληροφοριακά συστήματα. Το σχέδιο αυτό πρέπει να περιλαμβάνει την εκπαίδευση, την κατάρτιση και την ευαισθητοποίηση όλων των εργαζομένων και τις επιπρόσθετες διαδικασίες ελέγχου που θα συμβάλουν στο μετριασμό των τρωτών σημείων.»
«Θα πρέπει να ξεπεράσουμε τους περιορισμούς που αφορούν ζητήματα ιδιωτικής ζωής και ευθύνης και τα οποία προκύπτουν από τις αναφορές κυβερνοεπιθέσεων του ιδιωτικού τομέα στην κυβέρνηση», δήλωσε ο Βοηθός Εκτελεστικός Διευθυντής του FBI, Richard McFeely. «Στις περιπτώσεις όπου είναι δυνατό να ξεπεραστούν τα εμπόδια αυτά, έχουμε δει πρόσφατα αξιοσημείωτα παραδείγματα του τι μπορούν να πετύχουν από κοινού ο ιδιωτικός τομέας και η κυβέρνηση στην αντιμετώπιση των εχθρών τους στον κυβερνοχώρο.»
«Το κυβερνοέγκλημα μπορεί να επηρεάσει ολόκληρο το επιχειρηματικό οικοσύστημα μιας εταιρείας και συνεπώς ένα ισχυρό πρόγραμμα κυβερνόαμυνας είναι απαραίτητο για όλους τους οργανισμούς», πρόσθεσε ο Burg. «Οι επιχειρηματικοί ηγέτες πρέπει σήμερα να εντείνουν τις προσπάθειές τους και να υιοθετήσουν μια προληπτική στάση ώστε να προστατεύσουν το επιχειρηματικό τους οικοσύστημα.»