Η κυβερνοασφάλεια την εποχή του κορωνοϊού!
11:26 - 15 Απριλίου 2020
Οι ανθρωποκεντρικές κυβερνοαπειλές μπορούν να προκαλέσουν τεράστια ζημιά σε επιχειρήσεις κάθε μεγέθους, από τις μικροσκοπικές των 2-4 ατόμων μέχρι κολοσσούς πολλών χιλιάδων, αλλά και σε επαγγελματίες κάθε κλάδου από λογιστές και γιατρούς μέχρι συμβούλους επιχειρήσεων.
Η κρίση της ασθένειας του κορωνοϊού αναγκάζει εκατοντάδες εκατομμύρια ανθρώπους να τηλεργάζονται από το σπίτι, άλλα τόσα νοικοκυριά να παραγγέλνουν πλείστα αγαθά μέσω του διαδικτύου και μεγαλύτερους αριθμούς πολιτών να τηλεπικοινωνούν με φίλους, συγγενείς, αρχές, συνεργάτες, γιατρούς και φαρμακοποιούς. Αποτέλεσμα, κατά την Europol, κατακόρυφη αύξηση των κυβερνοεπιθέσεων.
Το κυβερνοέγκλημα αφορά την κλοπή ταυτοτήτων, στοιχείων τραπεζικών λογαριασμών, πιστωτικών και χρεωστικών καρτών, χρημάτων, πελατών, συνδρομητών, εμπορικών και τεχνολογικών μυστικών, ιατρικών στοιχείων, κά., αλλά και την αμαύρωση φήμης και την καταστροφή σημαντικών δεδομένων και συσκευών. Ακόμη, η μη λήψη ικανοποιητικών μέτρων προστασίας οδηγεί στην επιβολή τεράστιων προστίμων, όταν υποκλέπτονται προσωπικά στοιχεία πολιτών. Τέλος, συχνά επιτυγχάνεται εκβιασμός και καταβολή λύτρων!
Το κυβερνοέγκλημα δεν επηρεάζει μόνον τον ιδιωτικό τομέα, αλλά και τις κυβερνητικές υπηρεσίες, τις δημόσιες αρχές και τα πολιτικά κόμματα με προέλευση μάλιστα όχι μόνον ιδιώτες κυβερνοεγκληματίες αλλά και κυβερνοτρομοκράτη.
Προβάλλει ενώπιον δημόσιων και ιδιωτικών οργανισμών, επιχειρήσεων, επαγγελματιών και πολιτών ένα σοβαρό πρόβλημα προστασίας που συνεχώς οξύνεται!
Αν οι μεγάλοι οργανισμοί και επιχειρήσεις είναι σε θέση να πάρουν σοβαρά ή χαλαρά τεχνικά μέτρα προστασίας, εντέλει η κυβερνοασφάλεια τους εξαρτάται από τον ανθρώπινο παράγοντα στον ίδιο βαθμό όπως και του ελεύθερου επαγγελματία και του πολίτη.
Αυτά δείχνουν πλείστες πρόσφατες διεθνείς έρευνες ανάμεσα σε διευθυντικά στελέχη εταιρειών και κυβερνητικών υπηρεσιών, διευθυντές πληροφορικής και τεχνολογίας, αρχιλογιστές και άλλους.
Οκτώ στους δέκα δήλωσαν ότι ο οργανισμός τους υπέστη τουλάχιστον μια επιτυχή κυβερνοεπίθεση τα τελευταία τρία χρόνια με έξι στους δέκα να αναφέρουν τουλάχιστον τέσσερις. Οι μισοί ανέμεναν να υποστούν παρόμοιες τα επόμενα τρία χρόνια.
Ταυτόχρονα, όμως, παραδέχθηκαν ότι βρίσκονταν ακόμη στα πρώτα στάδια διαμόρφωσης μιας αποτελεσματικής στρατηγικής αποφυγής και άμυνας κατά των κυβερνοεπιθέσεων. Αρκετοί ανέφεραν ότι οι οργανισμοί τους δεν αντιλαμβάνονται το μέγεθος των κυβερνοκινδύνων και τις πιθανές συνέπειες.
Ο ανθρώπινος παράγοντας
Ενώ πολλοί οργανισμοί σε όλους τους τομείς της οικονομίας αναπτύσσουν βαθμιαία την τεχνολογική τους κυβερνοασφάλεια, η έκθεση τους σε κυβερνοαπειλές που αφορούν τον άνθρωπο αυξάνονται αντί να μειώνονται.
Η πλειοψηφία των πετυχημένων παραβιάσεων, δήλωσαν οι μισοί, ήταν αποτέλεσμα ανθρώπινων αδυναμιών, που αφορούσαν κυρίως απειλές, εκβιασμό, κλοπή δεδομένων, μηνυμάτων και κωδικών πρόσβασης (password) και την εγκατάσταση λογισμικού υποκλοπής και δολιοφθοράς. Οι τεχνολογικές αδυναμίες, αν και σοβαρές, έρχονται σε δεύτερη μοίρα.
Τα πλέον ευάλωτα θύματα είναι τα διευθυντικά στελέχη και οι υπάλληλοι (σχεδόν ένας στους δύο) των εταιρειών και οι πελάτες τους (ένας στους δύο) και οι συνεργάτες προμήθειας και μεταπώλησης (ένας στους τέσσερεις), που προφανώς βρίσκονται πέρα από τον έλεγχο τους.
Η αντιμετώπιση
Βαθμιαία, η καταπολέμηση του κυβερνοεγκλήματος καθίσταται το πρώτο μέλημα των οργανισμών και των επαγγελματιών (αν και δυστυχώς πολύ λιγότερο μέχρι τώρα των πολιτών στην προσωπική τους σφαίρα).
*Προέδρου του δ.σ του International CyberSecurity Institute www.icsi.co.uk
Η κρίση της ασθένειας του κορωνοϊού αναγκάζει εκατοντάδες εκατομμύρια ανθρώπους να τηλεργάζονται από το σπίτι, άλλα τόσα νοικοκυριά να παραγγέλνουν πλείστα αγαθά μέσω του διαδικτύου και μεγαλύτερους αριθμούς πολιτών να τηλεπικοινωνούν με φίλους, συγγενείς, αρχές, συνεργάτες, γιατρούς και φαρμακοποιούς. Αποτέλεσμα, κατά την Europol, κατακόρυφη αύξηση των κυβερνοεπιθέσεων.
Το κυβερνοέγκλημα αφορά την κλοπή ταυτοτήτων, στοιχείων τραπεζικών λογαριασμών, πιστωτικών και χρεωστικών καρτών, χρημάτων, πελατών, συνδρομητών, εμπορικών και τεχνολογικών μυστικών, ιατρικών στοιχείων, κά., αλλά και την αμαύρωση φήμης και την καταστροφή σημαντικών δεδομένων και συσκευών. Ακόμη, η μη λήψη ικανοποιητικών μέτρων προστασίας οδηγεί στην επιβολή τεράστιων προστίμων, όταν υποκλέπτονται προσωπικά στοιχεία πολιτών. Τέλος, συχνά επιτυγχάνεται εκβιασμός και καταβολή λύτρων!
Το κυβερνοέγκλημα δεν επηρεάζει μόνον τον ιδιωτικό τομέα, αλλά και τις κυβερνητικές υπηρεσίες, τις δημόσιες αρχές και τα πολιτικά κόμματα με προέλευση μάλιστα όχι μόνον ιδιώτες κυβερνοεγκληματίες αλλά και κυβερνοτρομοκράτη.
Προβάλλει ενώπιον δημόσιων και ιδιωτικών οργανισμών, επιχειρήσεων, επαγγελματιών και πολιτών ένα σοβαρό πρόβλημα προστασίας που συνεχώς οξύνεται!
Αν οι μεγάλοι οργανισμοί και επιχειρήσεις είναι σε θέση να πάρουν σοβαρά ή χαλαρά τεχνικά μέτρα προστασίας, εντέλει η κυβερνοασφάλεια τους εξαρτάται από τον ανθρώπινο παράγοντα στον ίδιο βαθμό όπως και του ελεύθερου επαγγελματία και του πολίτη.
Αυτά δείχνουν πλείστες πρόσφατες διεθνείς έρευνες ανάμεσα σε διευθυντικά στελέχη εταιρειών και κυβερνητικών υπηρεσιών, διευθυντές πληροφορικής και τεχνολογίας, αρχιλογιστές και άλλους.
Οκτώ στους δέκα δήλωσαν ότι ο οργανισμός τους υπέστη τουλάχιστον μια επιτυχή κυβερνοεπίθεση τα τελευταία τρία χρόνια με έξι στους δέκα να αναφέρουν τουλάχιστον τέσσερις. Οι μισοί ανέμεναν να υποστούν παρόμοιες τα επόμενα τρία χρόνια.
Ταυτόχρονα, όμως, παραδέχθηκαν ότι βρίσκονταν ακόμη στα πρώτα στάδια διαμόρφωσης μιας αποτελεσματικής στρατηγικής αποφυγής και άμυνας κατά των κυβερνοεπιθέσεων. Αρκετοί ανέφεραν ότι οι οργανισμοί τους δεν αντιλαμβάνονται το μέγεθος των κυβερνοκινδύνων και τις πιθανές συνέπειες.
Ο ανθρώπινος παράγοντας
Ενώ πολλοί οργανισμοί σε όλους τους τομείς της οικονομίας αναπτύσσουν βαθμιαία την τεχνολογική τους κυβερνοασφάλεια, η έκθεση τους σε κυβερνοαπειλές που αφορούν τον άνθρωπο αυξάνονται αντί να μειώνονται.
Η πλειοψηφία των πετυχημένων παραβιάσεων, δήλωσαν οι μισοί, ήταν αποτέλεσμα ανθρώπινων αδυναμιών, που αφορούσαν κυρίως απειλές, εκβιασμό, κλοπή δεδομένων, μηνυμάτων και κωδικών πρόσβασης (password) και την εγκατάσταση λογισμικού υποκλοπής και δολιοφθοράς. Οι τεχνολογικές αδυναμίες, αν και σοβαρές, έρχονται σε δεύτερη μοίρα.
Τα πλέον ευάλωτα θύματα είναι τα διευθυντικά στελέχη και οι υπάλληλοι (σχεδόν ένας στους δύο) των εταιρειών και οι πελάτες τους (ένας στους δύο) και οι συνεργάτες προμήθειας και μεταπώλησης (ένας στους τέσσερεις), που προφανώς βρίσκονται πέρα από τον έλεγχο τους.
Η αντιμετώπιση
Βαθμιαία, η καταπολέμηση του κυβερνοεγκλήματος καθίσταται το πρώτο μέλημα των οργανισμών και των επαγγελματιών (αν και δυστυχώς πολύ λιγότερο μέχρι τώρα των πολιτών στην προσωπική τους σφαίρα).
- Πώς αντιμετωπίζουν την κυβερνοαπειλή οι οργανισμοί;
- Με συστηματική, δομημένη προσπάθεια καλλιέργειας μιας κουλτούρας κυβερνοασφάλειας που να καλύπτει όλο το προσωπικό, κάθε μονάδας και ειδικότητας και τα δίκτυα επικοινωνίας του:
- Ενδελεχή έλεγχο πριν από την πρόσληψη.
- Υποχρεωτική υπογραφή συμφωνιών εμπιστευτικότητας.
- Διαμόρφωση και εφαρμογή πολιτικής ασφάλειας πληροφοριών.
- Συχνή επιμόρφωση των υπαλλήλων στην κυβερνοασφάλεια.
- Εισαγωγή αυτοματοποιημένων προσομοιωμένων κυβερνοεπιθέσεων (simulated fake phishing attacks) που ενισχύουν την πρακτική επιμόρφωση και ελέγχουν την ικανότητα του καθενός/καθεμιάς να αντιμετωπίζει σωστά τις κυβερνοεπιθέσεις.
- Περιορισμό των προσβάσεων στο διαδίκτυο και σε προσωπικό ταχυδρομείο.
- Προσφορά κινήτρων για καλή έγγραμμη συμπεριφορά.
- Τονισμό των συνεπειών άγνοιας και αμέλειας.
- Παρακολούθηση ύποπτης/παράξενης δραστηριότητας/ συμπεριφοράς.
- Εφαρμογή πολιτικής εξάλειψης/μείωσης του κινδύνου:
- Υποχρεωτική χρήση ισχυρών κωδικών και πολυεπίπεδος έλεγχος αυθεντικότητας.
- Επιμόρφωση των υπαλλήλων να ανιχνεύουν και να καταγγέλλουν ύποπτα μηνύματα.
- Ίσως η μεγαλύτερη αδυναμία στην επίτευξη υψηλής κυβερνοασφάλειας να είναι η επικοινωνία με εξωτερικούς προμηθευτές/εργολάβους/συνεργάτες και η πρόσληψη υπαλλήλων μερικής/προσωρινής απασχόλησης.
- Η έλλειψη αφοσιωμένης και αποτελεσματικής ηγεσίας: η κυβερνοασφάλεια χρειάζεται τον ΤΣΑΡΟ της σε κάθε οργανισμό/εταιρεία.
- Η διαμόρφωση και εφαρμογή πολιτικής κυβερνοασφάλειας.
- Παρακολούθηση ασυνήθιστης δραστηριότητας/συμπεριφοράς.
- Περιορισμός προσβάσεων.
- Συχνή επιμόρφωση όλου του προσωπικού στην κυβερνοασφάλεια.
- Η έκθεση των υπαλλήλων όσο γίνεται πλησιέστερα στις διάφορες κυβερνοαπειλές με τη χρήση προσομοιωμένων κυβερνοεπιθέσεων (simulated fake cyberattacks) για ενίσχυση της επιμόρφωσης τους.
- Η συμπλήρωση της επιμόρφωσης με τεστ ασφαλείας ώστε να ολοκληρωθεί η επιμόρφωση και να οξυνθεί η ευθυγράμμιση με την πολιτική κυβερνοασφάλειας.
*Προέδρου του δ.σ του International CyberSecurity Institute www.icsi.co.uk