ΟΙΚΟΝΟΜΙΑ

Παναγιώτης Παπαγιαννακόπουλος στην «Κ»: Εκρηξη κυβερνοεπιθέσεων μέσα στην πανδημία

Ο Παναγιώτης Παπαγιαννακόπουλος, επικεφαλής υπηρεσιών κυβερνοασφάλειας της ΕΥ ΝΑ Ευρώπης, μιλάει στην «Κ»

panagiotis-papagiannakopoylos-stin-k-ekrixi-kyvernoepitheseon-mesa-stin-pandimia-561661024

Ολοένα και πιο συχνά είναι πλέον τα περιστατικά κυβερνοεπιθέσεων εναντίον επιχειρήσεων, οργανισμών και φορέων στην Ελλάδα, καθώς μόνο μέσα στους τελευταίους 12 μήνες ο αριθμός τους έχει αυξηθεί 10%-20% σε σύγκριση με τα προηγούμενα έτη.

Αυτό αναφέρουν σχεδόν 9 στους 10 υπεύθυνοι ασφαλείας πληροφοριών στην Ελλάδα, σε παγκόσμια έρευνα της ΕΥ για την ασφάλεια πληροφοριών, την οποία επικαλείται σε συνέντευξη που παραχώρησε στην «Κ» ο Παναγιώτης Παπαγιαννακόπουλος, εταίρος στο τμήμα συμβουλευτικών υπηρεσιών της EY Ελλάδος και επικεφαλής υπηρεσιών κυβερνοασφάλειας, προστασίας δεδομένων και ιδιωτικότητας της EY στη Νοτιοανατολική Ευρώπη. Ο ίδιος επισημαίνει πως το τελευταίο διάστημα παρατηρούνται κρατικά επιχορηγούμενες επιθέσεις που στοχεύουν να πλήξουν κρίσιμες υποδομές της χώρας, ενώ εξίσου συχνές είναι οι επιθέσεις για λύτρα (ransomware) μέσα από καμπάνιες ηλεκτρονικού ψαρέματος (phishing emails), καθώς και περιστατικά επιθέσεων μέσω κακόβουλου λογισμικού, αλλά και παραμόρφωσης ιστοσελίδων, κυρίως σε κλάδους της οικονομίας όπου η κυβερνοασφάλεια δεν είναι τόσο ώριμη.

Στην Ελλάδα, μεγάλο πλήγμα από τους χάκερ έχουν δεχθεί κλάδοι όπως αυτοί της υγείας, των χρηματοοικονομικών υπηρεσιών, των φαρμακευτικών εταιρειών, της τεχνολογίας και της ενέργειας, ενώ ανησυχητική είναι η διαπίστωση πως παγκοσμίως πάνω από το 50% των επιχειρήσεων αδυνατεί να ανταποκριθεί στη διαχείριση περιστατικών ασφαλείας. Τέλος, ενώ 6 στις 10 εγχώριες επιχειρήσεις επενδύουν στην κυβερνοασφάλεια 100.000-500.000 δολ. ετησίως, σε ευρωπαϊκό επίπεδο το 50% των επιχειρήσεων επενδύει ποσά που ξεπερνούν τις 500.000 δολ., φθάνοντας σε κάποιες περιπτώσεις μέχρι και τα 50 εκατ. δολ.

Πόσο συχνές είναι οι κυβερνοεπιθέσεις εναντίον επιχειρήσεων, αλλά και χρηστών στη χώρα μας και τι περιπτώσεις κυβερνοεπιθέσεων έχουν καταγραφεί το τελευταίο διάστημα σε επιχειρήσεις, οργανισμούς και χρήστες στην Ελλάδα;

– Η συχνότητα των κυβερνοεπιθέσεων σε ελληνικές επιχειρήσεις, οργανισμούς και φορείς ολοένα και αυξάνεται. Βάσει της πρόσφατης παγκόσμιας έρευνας της EY για την ασφάλεια πληροφοριών (Global Information Security Survey), το 86% των ερωτηθέντων υπευθύνων ασφαλείας πληροφοριών στην Ελλάδα ανέφεραν ότι μόνο μέσα στους τελευταίους 12 μήνες ο αριθμός των κυβερνοεπιθέσεων, σε σχέση με προηγούμενα έτη, έχει αυξηθεί κατά 10%-20%.

Παράλληλα, με την ταχύτατη εξέλιξη της τεχνολογίας, είναι λογικό να εξελίσσονται και οι κυβερνοεπιθέσεις, τόσο υπό το πρίσμα της πολυπλοκότητας όσο και υπό αυτό της αποτελεσματικότητάς τους. Νέες απειλές εμφανίζονται διαρκώς, αλλά και ήδη γνωστές, με νέες τεχνικές που δυσκολεύουν το έργο της προστασίας εταιρικών πόρων και δεδομένων. Για παράδειγμα, στην Ελλάδα κατά το τελευταίο χρονικό διάστημα παρατηρούνται έντονες κρατικά επιχορηγούμενες επιθέσεις που αποβλέπουν σε πλήγμα κατά κρίσιμων υποδομών της χώρας, αλλά και σε υποκλοπή σημαντικών πληροφοριών.

Παράλληλα, στη χώρα μας οι επιθέσεις για λύτρα (ransomware) μέσα από καμπάνιες ηλεκτρονικού ψαρέματος (phishing emails) είναι ιδιαίτερα συχνές, με κάποιες από τις πιο σημαντικές να αφορούν εταιρείες που δραστηριοποιούνται στους κλάδους της ναυτιλίας, των τροφίμων, αλλά και σε δημόσιους φορείς. Τέλος, περιστατικά που αφορούν επιθέσεις μέσω κακόβουλου λογισμικού (malware), αλλά και παραμόρφωσης (defacement) ιστοσελίδων, είναι αρκετά συχνά σε κλάδους της οικονομίας όπου η κυβερνοασφάλεια δεν είναι ακόμη τόσο ώριμη.

Ποιο το κόστος των κυβερνοεπιθέσεων για τις ελληνικές επιχειρήσεις και ποιοι κλάδοι φαίνεται να αποτελούν στόχοι των χάκερ;

– Ως κομμάτι του παγκόσμιου χάρτη, η Ελλάδα αντιμετωπίζει τις ίδιες δυσκολίες στη διαχείριση περιστατικών ασφαλείας, όπου, σύμφωνα με έρευνες, πάνω από το 50% των επιχειρήσεων αδυνατεί να ανταποκριθεί σε αυτά. Υπολογίζεται ότι, κατά μέσο όρο, το κόστος των κυβερνοεπιθέσεων στις μικρομεσαίες επιχειρήσεις ανέρχεται έως 50.000 δολ., στις μεγάλες επιχειρήσεις (έως 1.000 εργαζομένους) στις 133.000 δολ. και στις εταιρείες που αριθμούν πάνω από 1.000 εργαζομένους, εκτοξεύεται στις 504.000 δολ.

Οι κλάδοι που έχουν πληγεί περισσότερο είναι αυτοί της υγείας, των χρηματοοικο- νομικών υπηρεσιών, των φαρμακευτικών εταιρειών, της τεχνολογίας και της ενέργειας.

Το μέσο κόστος κυβερνοεπιθέσεων έχει καταγράψει νέο ρεκόρ αύξησης, το οποίο σε σχέση με περυσινά στατιστικά, παρουσιάζεται αυξημένο κατά 10%. Στην Ελλάδα, αλλά και ευρύτερα στην παγκόσμια οικονομία, ο κλάδος που έχει πληγεί περισσότερο είναι αυτός της υγείας, με τους κλάδους των χρηματοοικονομικών υπηρεσιών, των φαρμακευτικών εταιρειών, της τεχνολογίας και της ενέργειας να έπονται, με πολύ μικρή διαφορά μεταξύ τους. Οφείλουμε να σημειώσουμε ότι, στα παραπάνω, δεν μπορούμε να παραβλέπουμε το κόστος της φήμης που πλήττεται. Σε αρκετές περιπτώσεις, το εν λόγω κόστος ενδέχεται να έχει καθοριστικές συνέπειες στη λειτουργία των επιχειρήσεων.

Σε τι επίπεδα κινούνται οι επενδύσεις των εγχώριων εταιρειών και οργανισμών στην κυβερνοασφάλεια, πόσο υπολείπονται έναντι άλλων χωρών της Ε.Ε και τι κινήσεις πρέπει να κάνουν ώστε να προστατευθούν από τις ψηφιακές απειλές;

– Σύμφωνα με αποτελέσματα της παγκόσμιας έρευνας της EY,, το 60% των εγχώριων επιχειρήσεων επενδύει στην κυβερνοασφάλεια ποσά μεταξύ 100.000 δολ.-500.000 δολ. ετησίως. Ωστόσο, το 40% των ερωτηθέντων προειδοποιούν ότι οι υφιστάμενες επενδύσεις δεν επαρκούν για τη διαχείριση των νέων προκλήσεων κυβερνοασφάλειας που αντιμετωπίζουν τους τελευταίους 12 μήνες.

Σε επίπεδο Ε.Ε. η εικόνα διαφοροποιείται, καθώς παρατηρείται ότι το 50% των επιχειρήσεων επενδύει ποσά που ξεπερνούν τις 500.000 δολ., ενώ υφίστανται και περιπτώσεις που οι επενδύσεις μπορεί να φθάσουν μέχρι και τα 50 εκατ. δολ.

Θα πρέπει να σημειωθεί, ωστόσο, πως οι επενδύσεις από μόνες τους δεν διασφαλίζουν την επίτευξη ενός ικανοποιητικού επιπέδου προστασίας έναντι των κυβερνοαπειλών. Οι οργανισμοί θα πρέπει να προσεγγίζουν το ζήτημα της κυβερνοασφάλειας ολιστικά, καθορίζοντας ενιαία στρατηγική, η οποία θα προβλέπει ευθυγράμμιση των αντίστοιχων απαιτήσεων ασφαλείας με τους επιχειρησιακούς στόχους.

Παράλληλα, οι επενδύσεις στη χώρα μας εστίαζαν στην τεχνολογία. Είναι σαφές ότι για να αντιμετωπίσει κανείς αποτελεσματικά τις κυβερνοαπειλές, πρέπει να επενδύσει και στον «αδύναμο κρίκο»: τον άνθρωπο. Συστηματική εκπαίδευση και ευαισθητοποίηση των εργαζομένων, προάγοντας την κουλτούρα κυβερνοασφάλειας, αλλά και διαδικασίες και πολιτικές, είναι μερικές από τις κινήσεις που ενισχύουν σε πολύ μεγάλο βαθμό την κυβερνοάμυνα. Τέλος, είναι πολύ σημαντικό να υπάρχει η υποστήριξη της διοίκησης, αλλά και μία ολοκληρωμένη στρατηγική, η οποία θα εξορθολογεί τις επενδύσεις.

Σε μια εποχή που οι χρήστες στρέφονται όλο και περισσότερο στα ψηφιακά κανάλια, τι θα πρέπει να προσέξουν προκειμένου να προστατεύουν τα προσωπικά τους δεδομένα από τους χάκερ; Σε περίπτωση υποκλοπής τους, τι βήματα θα πρέπει να ακολουθήσουν ώστε να αντιμετωπίσουν τέτοια συμβάντα στην Ελλάδα;

– Οπως και στον φυσικό κόσμο, έτσι και στον ψηφιακό, απαιτείται να είμαστε ιδιαίτερα προσεκτικοί με τις προσωπικές πληροφορίες που δημοσιεύουμε σε κοινωνικά μέσα δικτύωσης.

Παράλληλα, πρέπει όλοι μας να υιοθετήσουμε φράσεις ασφαλείας (passphrases) αντί για τους παραδοσιακούς κωδικούς και τεχνικές αυθεντικοποίησης δύο παραγόντων, όπως, για παράδειγμα, φράση ασφαλείας και μήνυμα στο κινητό με επιπλέον pin, να επικαιροποιούμε το λογισμικό που μεταχειριζόμαστε και να χρησιμοποιούμε μόνο ηλεκτρονικές συσκευές που εμπιστευόμαστε. Τα προηγούμενα είναι μερικά απλά βήματα που μπορούν να προσδώσουν ένα ώριμο επίπεδο ασφαλείας στους χρήστες. Ολα αυτά θα πρέπει να αποτελούν υποσυνείδητες ενέργειες, που αναπτύσσονται μόνο με συχνή ευαισθητοποίηση όλων μας σε ζητήματα κυβερνοασφάλειας.