Ασφάλεια Διαδικτυακών Κινδύνων

Η εισβολή της Ρωσίας στην Ουκρανία εκτός του ότι είναι η πρώτη σοβαρή στρατιωτική σύρραξη στην Ευρώπη μετά τον Δεύτερο Παγκόσμιο Πόλεμο, αποτελεί παράλληλα και τον πρώτο γενικευμένο κυβερνοπόλεμο στην ιστορία.

Την μέρα της ρωσικής εισβολής, Ρώσοι χάκερς διείσδυσαν στο δορυφορικό δίκτυο Viasat με στόχο να εμποδίσουν την ροή πληροφοριών.

Από τότε καταγράφονται καθημερινά κυβερνοεπιθέσεις με στόχο την παρεμπόδιση της ηλεκτροδότησης, του διαδικτύου αλλά και της ομαλής λειτουργίας δημοσίων και ιδιωτικών εταιρειών.

Πόσο επικίνδυνες είναι όμως οι κυβερνοεπιθέσεις για τις επιχειρήσεις και τι μπορεί να γίνει για να αντιμετωπιστούν.

Το συνολικό κόστος των κυβερνοεπιθέσεων για το 2021 υπολογίζεται να ξεπεράσει τα $6 εκ παγκοσμίως βάση του έγκυρου περιοδικού CyberCrime Magazine. Το ποσό αυτό είναι 25% μεγαλύτερο από το ΑΕΠ της Ιαπωνίας, της τρίτης μεγαλύτερης οικονομίας στον κόσμο.

Με την εισαγωγή του άρθρου 83 για το GDPR τα πράγματα έχουν γίνει ακόμη πιο δύσκολα για τις ευρωπαϊκές επιχειρήσεις. Η αδυναμία ή άρνηση των επιχειρήσεων να υιοθετήσουν πολιτικές προστασίας προσωπικών δεδομένων μπορεί να οδηγήσουν σε πρόστιμα που αντιστοιχούν μέχρι και το 4% των συνολικών τους εσόδων για το προηγούμενο φορολογικό έτος.

Οι κυβερνοεπιθέσεις κατά εταιρειών έχουν συνήθως τους ακόλουθους στόχους:

Ransomware – χάκερς παρεμποδίζουν την ομαλή πρόσβαση στα συστήματα μιας εταιρείας, ζητώντας λύτρα (συνήθως σε κρυπτονομίσματα) για να την επαναφέρουν.
Cyber Extortion – υποκλοπή ευαίσθητων πληροφοριών και απειλή για διαρρεύση τους (π.χ. σε φορολογικές αρχές ή στο ευρύ κοινό) σε περίπτωση που δεν καταβληθούν λύτρα.
Malware – παράνομη εγκατάσταση κακόβουλων λογισμικών προγραμμάτων (ιών) στο δίκτυο μιας εταιρείας, με πρωταρχικό στόχο την πρόκληση βλάβης.
Πώληση προσωπικών δεδομένων** **– με διάφορες τεχνικές (π.χ. phishing, εγκατάσταση κακόβουλου λογισμικού) χάκερς υποκλέπτουν σημαντικές πληροφορίες που είτε πωλούν σε ανταγωνιστές είτε χρησιμοποιούν για να αποσπάσουν χρήματα.
Βιομηχανική κατασκοπεία – Χάκερς υποκλέπτουν πληροφορίες που σχετίζονται με τις στρατηγικές, τα προιόντα, το R&D μιας εταιρείες και πωλούν σε ανταγωνιστές του.
Πλαστοπροσωπία – χάκερς αποκτούν πρόσβαση σε προσωπικούς λογαριασμούς των υπαλλήλων μιας εταιρείας με πρωταρχικό στόχο την απόσπαση χρημάτων.

Έχοντας υπόψη αυτές τις καταστροφικές επιπτώσεις οι εταιρείες θα πρέπει να πραγματοποιήσουν μια σειρά από ενέργειες για να θωρακιστούν:

Οι εταιρείες θα πρέπει να ζητήσουν τη συνδρομή ενός αδειούχου Data Protection Officer (DPO) ο οποίος θα αναλύσει την τρόπο λειτουργίας της εταιρείας και θα προτείνει λύσεις για το πως θα εναρμονιστεί με την οδηγία GDPR. O DPO είναι αυτός που θα λογοδοτεί στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Παράλληλα, ο DPO μπορεί να εκπαιδεύσει μόνιμο προσωπικό για να αναλάβουν τα καθήκοντα του.
Εκπαίδευση των υπαλλήλων για ζητήματα κυβερνοασφάλειας. Οι υπάλληλοι θα πρέπει να είναι σε θέση να αποφύγουν τις πιο συνηθισμένες παγίδες των κυβερνοεπιθέσεων (π.χ. phishing, πλαστοπροσωπία, εισαγωγή στο εταιρικό δίκτυο USB και εξωτερικών σκληρών δίσκων πελατών).
Περιορισμός του δικαιώματος πρόσβασης των υπαλλήλων σε πληροφόρηση που δεν σχετίζεται με τις αρμοδιότητες τους.
Εισαγωγή κωδικού πρόσβασης σε όλους τους υπολογιστές και αλλαγή τους σε τακτά χρονικά διαστήματα.
Εγκατάσταση ενός αξιόπιστου antivirus system, το οποίο θα ανανεώνεται αυτόματα.
Δημιουργία guest wifi, έτσι ώστε να μην παρέχεται πρόσβαση στο βασικό δίκτυο σε επισκέπτες της εταιρείας.
Προσαρμογή των CRM έτσι ώστε να μη αποθηκεύουν αχρείαστη ευαίσθητη πληροφόρηση ή να διαγράφουν αυτόματα αυτή την πληροφόρηση με την πάροδο μιας συγκεκριμένης χρονικής περιόδου.
Τέλος επειδή καμία ενέργεια δεν μπορεί να εγγυηθεί 100% προστασίας οι εταιρείες, ιδιαίτερα αυτές που χειρίζονται ευαίσθητα δεδομένα ενθαρρύνονται να αποκτήσουν ασφάλεια κυβερνοπεθίσεων. Το προιόν αυτό μπορεί να επωμιστεί το κόστος εντοπισμού της ζημίας, αποκατάστασης των δεδομένων, ενημέρωσης των πελατών που επηρέαζονται, και την πληρωμή λύτρων και προστίμων.

Αντώνης Θεοφάνους

Διευθυντής Pitsas Insurances