Βάσει εκτιμήσεων το κόστος της ηλεκτρονικής απάτης και του κυβερνοεγκλήματος ξεπέρασε τα 5 τρισ. δολάρια το 2020, υπερβαίνοντας το αθροιστικό κόστος της εμπορίας ναρκωτικών ουσιών. Ταυτόχρονα, τα παράνομα κέρδη από το κυβερνοέγκλημα άγγιξαν το 1,5 τρισ. δολάρια. Δηλαδή, εάν οι κυβερνοεγκληματίες αναπαριστούσαν ένα κράτος θα συγκαταλέγονταν στους G20, με το 13ο μεγαλύτερο ΑΕΠ παγκοσμίως.
Εχω ερωτηθεί πολλές φορές, «Γιατί να υποκλέψουν τα δεδομένα ενός οργανισμού ή των πελατών», «Τι αξία έχουν;». Το «Σκοτεινό Διαδίκτυο» (Dark Web) είναι ένα μέρος όπου γίνεται αγοραπωλησία ναρκωτικών, όπλων, απαγορευμένων φαρμακευτικών σκευασμάτων και δεδομένων. Υποκλαπέντα προσωπικά και οικονομικά δεδομένα (π.χ. στοιχεία Δ.Τ., διαβατηρίου, κωδικοί πρόσβασης σε social media, πιστωτικές κάρτες, στοιχεία τραπεζικών λογαριασμών), καθώς και ευαίσθητα εταιρικά στοιχεία (π.χ. πνευματικά δικαιώματα) διατίθενται προς πώληση. Σήμερα, η τιμή πώλησης προσωπικών δεδομένων ξεκινά από 30€/άτομο. Οσο πιο «πλήρη» τα δεδομένα με στοιχεία ανθρώπων σε κρατικές θέσεις ή ψηλά στην ιεραρχία εταιρειών τόσο αυξάνεται η τιμή, αγγίζοντας αρκετές χιλιάδες ευρώ.
Μια απλή πράξη, αποτυπώνει το πόσο επικερδές επιχειρηματικό μοντέλο αποτελεί το κυβερνοέγκλημα. Η υποκλοπή μιας βάσης δεδομένων επιχείρησης με 1.000.000 εγγραφές προσωπικών στοιχείων πελατών μπορεί να πουληθεί στο Dark Web για 30 εκατομμύρια ευρώ. Η επόμενη ερώτηση που δέχομαι είναι: «Τι κάνει ο αγοραστής τα δεδομένα από το Dark Web;». Απλά, τα νομισματοποιεί. Μία εύκολη μέθοδος, είναι η έκδοση καρτών και δανείων από χρηματοπιστωτικά ιδρύματα και η αγορά ακριβών ιατρικών σκευασμάτων τα οποία μεταπωλεί στο Dark Web. Αλλος τρόπος νομισματοποίησης δεδομένων πιστωτικών καρτών είναι μέσω online καζίνων ή έκδοσης νέων καρτών για την εκταμίευση μετρητών από ATM. Απόρρητες πληροφορίες επιχειρηματικών κινήσεων ή δεδομένα πατεντών μπορούν να αγοραστούν για εκατομμύρια ευρώ.
Οι εταιρείες τα τελευταία χρόνια επένδυσαν στην υλοποίηση μέτρων ασφαλείας τεχνολογίας, για την προστασία από κυβερνοεπιθέσεις. Προσπάθησαν να διασφαλίσουν την «περίμετρό τους» δημιουργώντας ένα προστατευμένο, εσωτερικό πληροφοριακό περιβάλλον για την ασφαλή αποθήκευση και επεξεργασία ευαίσθητων δεδομένων του οργανισμού και των πελατών τους. Στην πραγματικότητα, η περίμετρος αυτή δεν υφίσταται. Οι τεχνολογικές εξελίξεις των τελευταίων ετών (Cloud, IoT, Mobile, Big Data/AI), έχουν αλλάξει και σε πολλές περιπτώσεις επεκτείνει την περίμετρο των οργανισμών σε φορητές συσκευές (π.χ. κινητά τηλέφωνα, laptops, tablets) και σε τρίτα μέρη που φιλοξενούν υποδομές υπολογιστικού νέφους. Αυτό είναι κάτι που εντείνεται στο πλαίσιο της πανδημίας και της εξ αποστάσεως εργασίας μετατρέποντας τους οργανισμούς σε εύκολο στόχο. Ακόμα, η πανδημία αύξησε την «επιφάνεια επίθεσης» για τους κυβερνοεγκληματίες, καθώς οι οργανισμοί ψηφιοποίησαν πολλές από τις εμπορικές τους συναλλαγές. Χρειάζεται επαναπροσδιορισμός των κανόνων και του τρόπου υλοποίησης μέτρων προστασίας.
Οργανισμοί που έχουν επενδύσει δεκάδες εκατομμύρια στην υλοποίηση τεχνολογικών λύσεων, συνειδητοποιούν ότι η κυβερνοασφάλεια δεν είναι θέμα τεχνολογίας, αφού δεν αποτρέπει το ανθρώπινο λάθος ή την παράλειψη. Στο 90% των επιθέσεων, οι κυβερνοεγκληματίες δεν στοχεύουν τα τεχνολογικά μέτρα ασφάλειας για να διεισδύσουν στην πληροφοριακή υποδομή, αλλά τους υπαλλήλους, μέσω κακόβουλων emails και μηνυμάτων στα social media κάνοντας επιτακτική τη σχετική εκπαίδευση των ανθρώπων.
Παράλληλα, με την υλοποίηση μέτρων πρόληψης, σημαντική είναι η επένδυση σε τεχνολογίες και διαδικασίες αναχαίτισης και γρήγορης ανάκαμψης περιστατικών ασφαλείας. Κάποια στιγμή οι οργανισμοί θα δεχθούν επίθεση, με αποτέλεσμα τη διαρροή πληροφοριών. Η εμπειρία δείχνει ότι οι μακροχρόνιες επιπτώσεις του αναποτελεσματικού χειρισμού ενός περιστατικού ασφαλείας είναι πολύ μεγαλύτερες από τις επιπτώσεις που επιφέρει το ίδιο το περιστατικό. Σε αντίθεση με το «παραδοσιακό» έγκλημα, οι κυβερνοεγκληματίες χρειάζονται σύνδεση στο Διαδίκτυο και ένα laptop και όχι βίαια μέσα. Για αυτό είναι από τις πιο διαδεδομένες μορφές εγκλήματος. Η αξία των ευαίσθητων δεδομένων είναι το καύσιμο των κυβερνοεπιθέσεων. Η έλλειψη δεξιοτήτων και κατάλληλων μέτρων προστασίας είναι το σπίρτο.
* Ο κ. Γιώργος Κολλιδάς είναι Advisory Technology Leader της PwC Ελλάδας.