Στην έκδοση οδικού χάρτη δράσης για την κυβερνοασφάλεια στις επιχειρήσεις, που περιλαμβάνει στρατηγικές και αρχιτεκτονικές ψηφιακής άμυνας, προχώρησε ο Σύνδεσμος Επιχειρήσεων και Βιομηχανιών (ΣΕΒ). Με τις κυβερνοεπιθέσεις να μην προκαλούν μόνο κόστος για τις επιχειρήσεις, αλλά να απειλούν και τη λειτουργία τους, η υιοθέτηση ολοκληρωμένης στρατηγικής αποτελεί το άλφα και το ωμέγα.
Είναι ενδεικτικό ότι, σύμφωνα με τον ΣΕΒ, 4 στις 10 ΜμΕ που υφίστανται απώλεια δεδομένων δεν επαναλειτουργούν ποτέ, ενώ τα τρωτά σημεία που χρησιμοποιήθηκαν σε μια κυβερνοεπίθεση το 2022 σε ποσοστό 26% ήταν ήδη γνωστά στις επιχειρήσεις. «Προς την κατεύθυνση αυτή, κάθε επιχείρηση μπορεί να προβεί σε αυτοαξιολόγηση με την καθοδήγηση αξιόπιστων εργαλείων, όπως ο οδηγός αυτοαξιολόγησης της Εθνικής Αρχής Κυβερνοασφάλειας. Υπάρχουν, επίσης, ειδικά σχεδιασμένα εργαλεία αυτοαξιολόγησης για μεσαίες και μικρές επιχειρήσεις, όπως το ερωτηματολόγιο για την κυβερνο-ωριμότητα των ΜμΕ της Ευρωπαϊκής Υπηρεσίας για την Κυβερνοασφάλεια (ENISA)», αναφέρει ο ΣΕΒ. Σημαντική συνιστώσα της θωράκισης έναντι κυβερνοεπιθέσεων είναι και η αναβάθμιση, σε τριμηνιαία βάση, της ασφάλειας των πληροφοριακών συστημάτων, πρακτική που καθιστά κατά 30% περισσότερο ανθεκτικές και βιώσιμες τις επιχειρήσεις.
«Ο ΣΕΒ δίνει στις επιχειρήσεις πρακτικές οδηγίες για τη θωράκισή τους σε κυβερνοεπιθέσεις, καθώς κάθε 10 δευτερόλεπτα συμβαίνει μία επίθεση ransomware, ενώ ένας στους 4 οργανισμούς πέφτει θύμα επίθεσης κάθε εβδομάδα. Οπως η ασφάλεια στον φυσικό κόσμο, έτσι και η ασφάλεια στον κυβερνοχώρο αφορά τις τεχνολογικές υποδομές των επιχειρήσεων, τις διαδικασίες διοίκησης, τους συνεργάτες, αλλά και τους ανθρώπους τους. Είναι αναπόσπαστο κομμάτι της ψηφιακής μετάβασης των επιχειρήσεων, καθώς συνδέεται άμεσα με την επιχειρησιακή τους συνέχεια, τη φήμη και την ακεραιότητα των περιουσιακών τους στοιχείων» ανέφερε ο δρ Γιώργος Ξηρογιάννης, γενικός διευθυντής του ΣΕΒ.
Ο οδικός χάρτης δράσης για την κυβερνοασφάλεια, που παρουσιάστηκε χθες σε εκδήλωση όπου συμμετείχε ο υπουργός Ψηφιακής Διακυβέρνησης Δημήτρης Παπαστεργίου, περιλαμβάνει 10 βήματα για την ενίσχυση της θωράκισης έναντι κυβερνοεπιθέσεων κατά των επιχειρήσεων, τα οποία είναι τα εξής:
1. Ο εντοπισμός των αδύναμων σημείων και η αξιολόγηση των αντοχών της επιχείρησης.
2. Η υιοθέτηση ενεργειών για την αναβάθμιση συστημάτων, την κατάρτιση διαδικασιών και πρωτοκόλλων για τη διαχείριση περιστατικών κυβερνοεπιθέσεων, αλλά και την ευαισθητοποίηση των εργαζομένων.
3. Ο ορισμός ατόμου με αρμοδιότητα και ευθύνες για την κυβερνοασφάλεια.
4. Η παρακολούθηση και θωράκιση των συνδεδεμένων συστημάτων και συσκευών από κακόβουλες απειλές.
5. Η προστασία των ανθρώπων της επιχείρησης μέσω ασκήσεων, σεμιναρίων και ενημερώσεων που καλλιεργούν μια κουλτούρα κυβερνοασφάλειας.
6. Η κατάρτιση ολοκληρωμένου πλάνου επιχειρησιακής συνέχειας που προβλέπει σενάριο αντίδρασης σε κυβερνοκινδύνους, αλλά και προσδιορίζει προδραστικές ενέργειες για τη γρήγορη ανάκαμψη της επιχείρησης σε περίπτωση πλήγματος.
Οδικό χάρτη δράσης για την κυβερνοασφάλεια δημιούργησε ο ΣΕΒ.
7. Η ενεργοποίηση σχεδίου αντιμετώπισης περιστατικών, που προβλέπει τρόπους διαχείρισης ενός περιστατικού κυβερνοασφάλειας.
8. Η εξασφάλιση πιστοποιήσεων κυβερνοασφάλειας.
9. Η προμήθεια υπηρεσιών κυβερνοασφάλισης για τη διαχείριση και χρηματοδότηση περιστατικών κυβερνοκινδύνου, αλλά και για τον μετριασμό του κινδύνου από το πλήγμα στην εταιρική φήμη.
10. Η υιοθέτηση μέτρων κυβερνοπροστασίας κατά μήκος της εφοδιαστικής αλυσίδας και η υιοθέτηση εναρμονισμένων πρακτικών κυβερνοασφάλειας, ώστε να αποφεύγεται η έκθεση πελατών και προμηθευτών σε κυβερνοκινδύνους.
Ενδεχομένως οι επιχειρήσεις να παραγνωρίζουν τον κίνδυνο που δημιουργούν οι κυβερνοεπιθέσεις. Ωστόσο, σύμφωνα με τον ΣΕΒ, μία στις δύο μικρομεσαίες επιχειρήσεις που υφίστανται απώλεια δεδομένων παύουν να λειτουργούν εντός δύο ετών. Ταυτόχρονα, το ίδιο περιστατικό κλοπής δεδομένων μπορεί να καταλήξει σε διπλό ή τριπλό εκβιασμό (double/triple extortion), δηλαδή να απαιτηθούν λύτρα για την «επιστροφή» δεδομένων που έχουν υποκλαπεί αλλά και για την αποκρυπτογράφησή τους. Σε περίπτωση τριπλού εκβιασμού τίθεται και η απειλή επανάληψης της κυβερνοεπίθεσης, ενώ το 57% των επιχειρήσεων που δέχτηκαν κυβερνοεπίθεση αύξησαν τις τιμές των αγαθών και υπηρεσιών τους για να αντεπεξέλθουν στο κόστος αποκατάστασης.