Προ λίγων ημερών, η British Airways ανακοίνωσε ότι εξαιτίας "ρήγματος" στους μηχανισμούς κυβερνοασφάλειας, από το οποίο επηρεάστηκαν 380.000 πελάτες της, εκλάπησαν τραπεζικές κάρτες, όπως και προσωπικά στοιχεία χιλιάδων επιβατών, οι οποίοι έκαναν κρατήσεις αεροπορικών εισιτηρίων μεταξύ 21ης Αυγούστου και 5ης Σεπτεμβρίου 2018...
Οι κυβερνοεπιθέσεις συμβαίνουν στο παρόν μας -εδώ και αρκετά χρόνια. Παρόλα αυτά, τα διοικητικά συμβούλια πολλών εταιρειών, ιδίως μικρότερων σε μέγεθος, δείχνουν να πιστεύουν ότι το πρόβλημα δεν τις αφορά, με τη λογική ότι απευθύνονται σε μικρές αγορές, που δεν είναι εύκολα "ορατές" στους επιτήδειους. Και ως αποτέλεσμα, δεν λαμβάνουν μέτρα. "Δεν θα γίνω ο στόχος κάποιου. Δραστηριοποιούμαι σε μια αγορά πολύ μικρότερη από την παγκόσμια, άρα γιατί να γίνω ο στόχος κάποιου;": αυτή η φράση "κλείνει μέσα της" έναν βασικό λόγο για τον οποίο πολλές επιχειρήσεις δεν σπεύδουν σήμερα να επενδύσουν στο cybersecurity (κυβερνοασφάλεια), όπως επισημαίνει σε συνέντευξή του στο ΑΠΕ-ΜΠΕ ο Παναγιώτης Παπαγιαννακόπουλος, υπεύθυνος των υπηρεσιών Cybersecurity, Data Protection & Privacy στην ΕΥ (Ernst & Young), η οποία μετέχει στην 83η ΔΕΘ.
Τα τελευταία χρόνια, σημειώνει, οι κυβερνοεπιθέσεις εξελίσσονται και πλέον ενσωματώνουν τεχνικές, τις οποίες πατροπαράδοτα συστήματα ασφάλειας είναι δύσκολο να εντοπίσουν. Ένα χαρακτηριστικό παράδειγμα είναι οι fileless τεχνικές. Τι σημαίνει αυτό πρακτικά; «Η τάση που είδαμε το 2017 και στις αρχές του 2018 είναι ότι ο τύπος των κυβερνοεπιθέσεων αλλάζει κι απομακρύνεται από τη χρήση κακόβουλων εκτελέσιμων αρχείων προς άλλου τύπου malware. H αλλαγή αυτή σηματοδοτεί μια τεράστια αλλαγή στον τρόπο με τον οποίο γίνονται οι κυβερνοεπιθέσεις και δημιουργεί σοβαρό πρόβλημα για τις "παραδοσιακές" λύσεις κυβερνοασφάλειας, όπως τα antivirus, που βασίζονται σε σημαντικό βαθμό στην ανάλυση εκτελέσιμων αρχείων (σ.σ. αρχεία με κατάληξη .exe, .bat, .vbs, κτλ), προκειμένου να εντοπίσουν τους ιούςτο κακόβουλο λογισμικό» εξηγεί ο κ. Παπαγιαννακόπουλος.
Παρότι, όπως λέει, δεν υπάρχει 100% κυβερνοασφάλεια, ωστόσο οι επιχειρήσεις μπορούν να κάνουν πολλά -ακόμη και με το ελάχιστο δυνατό κόστος- για να αυξήσουν την αποδοτικότητα των μηχανισμών ασφαλείας απέναντι στις κυβερνοεπιθέσεις, π.χ., μέσω της επιμόρφωσης και της κινητοποίησης του ανθρώπινου δυναμικού. Παράλληλα, μπορούν να μετατρέψουν τους κινδύνους στον κυβερνοχώρο σε συγκριτικό πλεονέκτημα, κάνοντας τη σωστή διαχείριση των απειλών, η οποία τους επιτρέπει να βελτιώσουν την εταιρική τους φήμη και να ισχυροποιήσουν το brand τους.
"Οι εταιρείες που λειτουργούν με διαφάνεια γενικότερα ως προς την παρουσία τους στον κυβερνοχώρο και την προστασία των προσωπικών δεδομένων, κερδίζουν την εμπιστοσύνη των πελατών" παρατηρεί και ενδεικτικά αναφέρει την περίπτωση τηλεπικοινωνιακού παρόχου στην Αυστρία, ο οποίος δημιούργησε ένα GDPR dashboard, όπου κάθε πελάτης διαθέτει τη δική του "γωνία" με τα δεδομένα του, ώστε να μπορεί να ελέγχει τη χρήση τους. Χάρη σε αυτή την κίνηση, ο πάροχος αύξησε την πελατειακή του βάση στις νεότερες γενιές, οι οποίες ενστερνίζονται την τεχνολογία σε μεγαλύτερο βαθμό και για τις οποίες η εμπιστοσύνη είναι βασικό κριτήριο επιλογής παρόχου.
Σημειώνεται ότι βάσει πρόσφατης έρευνας της ΕΥ με τίτλο "Global Information Security Survey" και άλλων διεθνών μελετών, πάνω από επτά στους δέκα (ποσοστό 75%) υπευθύνους για το cybersecurity δεν εκπροσωπούνται στα διοικητικά συμβούλια των εταιρειών, το 86% πιστεύει ότι η λειτουργία της κυβερνοασφάλειας δεν ανταποκρίνεται πλήρως στις ανάγκες του οργανισμού και περίπου οι μισοί (49%) δεν έχουν ιδέα για την οικονομική ζημία που μπορεί να υποστεί η επιχείρηση σε περίπτωση κυβερνοεπίθεσης... Κι αυτό παρότι σχεδόν έξι στους δέκα (57%) δηλώνουν ότι έχουν διαπιστώσει κάποιο περιστατικό κυβερνοεπίθεσης πρόσφατα...
Αναλυτικά η συνέντευξη του Παναγιώτη Παπαγιαννακόπουλου στο ΑΠΕ-ΜΠΕ και την Αλεξάνδρα Γούτα:
Οι κυβερνο-απειλές διαρκώς αυξάνονται (και διαφοροποιούνται), με αποτέλεσμα τα "κλασικά" προγράμματα antivirus να μην μπορούν να τις αντιμετωπίσουν. Ωστόσο, ένα μεγάλο μέρος των ιδιωτών και των επιχειρήσεων, ιδίως των μικρομεσαίων, εξακολουθεί να βασίζεται σε "παραδοσιακές" λύσεις για την κυβερνοασφάλεια. Γιατί συμβαίνει αυτό κατά τη γνώμη σας; Είναι θέμα οικονομικής αδυναμίας ή ελλιπούς γνώσης για τους κινδύνους στον κυβερνοχώρο;
Με βάση τα όσα βλέπουμε μέχρι σήμερα στην Ελλάδα, αλλά και από την ξένη αγορά, οι λόγοι είναι αρκετοί. 'Ομως, ο κυριότερος είναι ίσως ότι συχνά το διοικητικό συμβούλιο της επιχείρησης δεν γνωρίζει τι ακριβώς είναι το cybersecurity. Συχνά, τα διοικητικά συμβούλια βλέπουν την κυβερνοασφάλεια ως μια λειτουργία της πληροφορικής, αλλά στην πραγματικότητα δεν είναι τέτοια... Αυτό έχει ως αποτέλεσμα να μη βρίσκουν τους πόρους για να διασφαλίσουν το cybersecurity, ανθρώπινους ή οικονομικούς. Σιγά-σιγά βέβαια αυτό αλλάζει και μάλιστα θα έλεγα με εκθετικό ρυθμό, ιδίως στις μεγάλες εταιρείες. Στις μικρές, το γεγονός ότι δραστηριοποιούνται σε πολύ μικρότερες αγορές από την παγκόσμια, συχνά τις κάνει να πιστεύουν ότι δεν κινδυνεύουν, γιατί δεν θα γίνουν ο στόχος κάποιου. Χρειάζεται όμως να αντιληφθούν ότι δεν είναι απαραίτητο να γίνεις ο στόχος κάποιου. Κυβερνοεπίθεση μπορεί να δεχτείς και από μια λανθασμένη ενέργεια, από κάτι πολύ μικρό...
Η πρόοδος της τεχνολογίας είναι ραγδαία και συνέχεια προκύπτουν καινούργιες απειλές, που απαξιώνουν παλιές λύσεις. Πώς εκτιμάτε ότι θα αλλάξει στην επόμενη 10ετία ο τρόπος με τον οποίο αντιμετωπίζουμε τις κυβερνοαπειλές; Εκτιμάτε ότι θα παραμείνουν ενεργές οι "παραδοσιακές" λύσεις ή θα εκλείψουν και θα δώσουν τη θέση τους σε κάτι ριζικά καινούργιο;
Θεωρώ ότι η τεχνολογία και η κυβερνοασφάλεια κινούνται σε ακριβώς παράλληλους δρόμους. 'Ολες οι νέες τεχνολογίες φέρνουν ευρύτερες προκλήσεις στο κομμάτι των απειλών και ίσως χρειαστεί στα επόμενα χρόνια η χρήση εντελώς καινούργιων εργαλείων, είμαστε άλλωστε στην εποχή της Τεχνητής Νοημοσύνης και του Ιντερνετ των Πραγμάτων. Ισως θα χρησιμοποιούμε και εργαλεία που στηρίζονται σε παραδοσιακές λύσεις, αλλά με ενσωματωμένο το input από τις καινούργιες εξελίξεις και τα νέα δεδομένα.
Ποιο εκτιμάτε ότι μπορεί να είναι (ποσοστιαία) το επιπλέον κόστος, που ενδεχομένως θα χρειαστεί να εντάξει στον προϋπολογισμό της μια επιχείρηση μεσαίου μεγέθους, προκειμένου να προσαρμόσει, επικαιροποιήσει και αναβαθμίσει το cybersecurity με βάση τα νέα δεδομένα;
Δεν υπάρχει κάποιος χρυσός κανόνας ώς προς αυτό. Τα αποτελέσματα των μελετών που βγαίνουν κατά καιρούς είναι σχετικά, αφού βασίζονται σε πολλές υποθέσεις. Κάθε επιχειρηματίας πρέπει να κάνει αρχικά μια μελέτη, για να προσδιορίσει ποια είναι τα ρίσκα του, τι μπορεί να κάνει για την αντιμετώπισή τους και ποια αξία μπορεί να πάρει από την εφαρμογή αντίμετρων. Κάνοντας ακόμη και πάρα πολύ μικρές ενέργειες, αλλά σωστές, μπορεί κάποιος να αυξήσει κάθετα τα επίπεδα κυβερνοασφάλειας στην επιχείρησή του.
Υπάρχουν μέτρα που μπορεί να λάβει μια επιχείρηση σε επίπεδο ανθρώπινων πόρων, ώστε να αυξήσει τις αντοχές της σε cyberattacks, χωρίς να αυξήσει σημαντικά το οικονομικό κόστος αντιμετώπισης των κυβερνοεπιθέσεων;
Η εκπαίδευση και το awareness (επίγνωση για τους κινδύνους) του ανθρώπινου δυναμικού είναι από τα πιο σημαντικά μέτρα που μπορεί να λάβει κάποιος. Αν ο εργαζόμενος δεν γνωρίζει ποια είναι τα ρίσκα και πώς μπορεί να τα αποφύγει, η τεχνολογία από μόνη της δεν μπορεί να κάνει μαγικά, ούτε μπορεί ένα σύστημα από μόνο του να καλύψει όλες τις απειλές. Η εκπαίδευση είναι το πιο σημαντικό μέτρο από όλα, όπως και η ενημέρωση της ίδιας της διοίκησης της επιχείρησης. Και στην Ελλάδα, στις ώριμες εταιρείες, πλέον ενημερώνεται τακτικά το διοικητικό συμβούλιο, για να αντιλαμβάνεται η διοίκηση το ρίσκο και να εγκρίνει πόρους και μέτρα... Ως προς το οικονομικό κόστος, αυτό είναι άμεσα εξαρτώμενο από το τι θέλω να προστατέψω κι αν μπορώ να το προστατέψω με ίδια μέσα ή χρειάζεται ν΄ αναζητήσω εξωτερική βοήθεια... Σε κάθε περίπτωση, το awareness των εργαζομένων είναι πολύ σημαντικό, αφού με μικρό κονδύλιο, μπορεί να αποδώσει πολύ καλά αποτελέσματα. Επιπλέον πάρα πολλά συστήματα υπολογιστικού νέφους (cloud) ενσωματώνουν πλέον δυνατότητες για αύξηση της κυβερνοασφάλειας...
Έχει αρχίσει να ωριμάζει, έστω στις μεγάλες εταιρείες, η ιδέα της δημιουργίας ενδοεταιρικών τμημάτων cybersecurity, που λειτουργούν παράλληλα με τα τμήματα πληροφορικής;
Στις μεγάλες εταιρείες πράγματι συμβαίνει, εδώ και χρόνια, από τότε που έχει ανακύψει το θέμα των κυβερνοαπειλών, να έχουν αυτόνομα τμήματα cybersecurity. Και μάλιστα, τα τμήματα αυτά αναφέρονται απευθείας στη διοίκηση κι αυτό είναι πολύ σημαντικό, γιατί ένα τέτοιο τμήμα βοηθάει όλα τα υπόλοιπα, από το δημιουργικό μέχρι το λογιστήριο.
Έχετε προσδιορίσει ποιο είναι μέσο κόστος μιας επιτυχημένης κυβερνοεπίθεσης για μια επιχείρηση και ποιους τομείς επηρεάζει;
Ο "νούμερο ένα" τομέας που επηρεάζεται είναι η φήμη της εταιρείας. Και υπάρχουν άπειρα παραδείγματα εταιρειών, που δεν διαχειρίστηκαν σωστά την επόμενη μέρα μιας κυβερνοεπίθεσης, με αρνητικά αποτελέσματα για τις ίδιες -και το χαρακτηριστικότερο παράδειγμα ως προς αυτό είναι της Yahoo. Ως προς το πόσο στοιχίζει στην εταιρεία μια κυβερνοεπίθεση, δεν μπορούμε να κάνουμε μια μέση εκτίμηση, αλλά θα αναφέρω το παράδειγμα της πετρελαϊκής Aramco, μίας από τις "επτά αδερφές". Πριν αρκετά χρόνια δέχτηκε ένα μεγάλο hit από malware σε 30.000 υπολογιστές και το κόστος προσδιορίστηκε σε 60 δολάρια ανά υπολογιστή...
Πώς μπορεί να αξιοποιηθεί η κυβερνο-ασφάλεια ώς συγκριτικό πλεονέκτημα, π.χ., για τη διαφοροποίηση του προϊόντος και την ισχυροποίηση ενός brand;
Γενικά η ιστορία δείχνει ότι εταιρείες που αντιμετώπισαν συμβάντα κυβερνοεπιθέσεων με τρόπο διαφανή ως προς το κοινό και έκαναν γενικότερα τις σωστές κινήσεις, έχουν συνήθως θετικά αποτελέσματα, γιατί μια διαχείριση αυτού του είδους αυξάνει σημαντικά την αίσθηση εμπιστοσύνης. Όπως και η γενικότερη διαφάνεια σε θέματα κυβερνοχώρου. Χαρακτηριστικό είναι το παράδειγμα τηλεπικοινωνιακού παρόχου στην Αυστρία, ο οποίος δημιούργησε ένα GDPR dashboard, όπου κάθε πελάτης διαθέτει τη δική του "γωνία" με τα δεδομένα του, ώστε να μπορεί να ελέγχει τη χρήση τους. Χάρη σε αυτή την κίνηση, αύξησε την πελατειακή του βάση στις νεότερες γενιές...
Η τεχνολογία τρέχει τόσο γρήγορα, και στο κομμάτι του κακόβουλου λογισμικού, που αναρωτιέμαι αν τελικά το cybersecurity είναι όντως εφικτό...
Η αλήθεια είναι ότι 100% ασφάλεια δεν υπάρχει. Άρα το καλύτερο που μπορεί να πράξει κάποιος είναι να ενσωματώσει τις δράσεις cybersecurity σε όλη τη λογική λειτουργίας και το σύστημα της εταιρείας, να είναι προετοιμασμένος ν΄αντιμετωπίσει συμβάντα και να έχει δικλείδες ασφαλείας... Χρειάζεται διαρκής ενημέρωση όλων όσοι εμπλέκονται στο σύστημα αυτό...
(ΑΠΕ-ΜΠΕ)