DELOITTE

Οι προκλήσεις των κινδύνων του Κυβερνοχώρου για τους οργανισμούς

oi-prokliseis-ton-kindynon-toy-kyvernochoroy-gia-toys-organismoys-561306937

Η ψηφιακή επανάσταση είναι μια πραγματικότητα. Το επόμενο διάστημα, οι τεχνολογικές καινοτομίες θα είναι οι βασικοί πυλώνες ανάπτυξης για τους οργανισμούς, παρέχοντάς τους άνευ προηγουμένου ευκαιρίες, δημιουργώντας παράλληλα αξία και ανταγωνιστικό πλεονέκτημα. Όμως, για να ευδοκιμήσει ένας οργανισμός στο ψηφιακό μέλλον, απαιτείται μια ισχυρή στρατηγική Κυβερνοασφάλειας η οποία θα τον ωθήσει στο να γίνει όσο το δυνατόν πιο ασφαλής, έτοιμος και ανθεκτικός σε Κυβερνοεπιθέσεις. 

Καθώς οι νέες τεχνολογίες οδηγούν στο φαινόμενο που είναι ευρέως γνωστό ως “digital disruption”, δημιουργούνται νέα είδη απειλών στον Κυβερνοχώρο ενώ ενισχύονται οι υφιστάμενοι κίνδυνοι, απαιτώντας από τους οργανισμούς εξελιγμένες ικανότητες επόμενης γενιάς που θα πρέπει να αναπτυχθούν για την αντιμετώπιση των νέων αυτών απειλών και κινδύνων.

Οι σημαντικότερες τάσεις στην Κυβερνοασφάλεια

Ποιες είναι όμως οι σημαντικότερες τάσεις που διαμορφώνουν την Κυβερνοασφάλεια στην εποχή μας;

  • Έλλειψη περιμέτρου: οι νέες τεχνολογίες, όπως το υπολογιστικό νέφος, θολώνουν το τοπίο όσον αφορά τα τεχνολογικά όρια, αλλά και την περίμετρο που ένας οργανισμός καλείται να θωρακίσει.
  • Νέες τεχνολογίες: η αυξανόμενη χρήση νέων τεχνολογιών (π.χ. ρομποτική, αυτοματοποίηση, τεχνητή νοημοσύνη, ευέλικτη ανάπτυξη, κτλ.) αλλάζουν την ταχύτητα της επιχειρηματικής και τεχνολογικής καινοτομίας, ενισχύοντας τους κινδύνους στον Κυβερνοχώρο και περιπλέκοντας τα προγράμματα προστασίας των οργανισμών, τα οποία συχνά αναπτύσσονται με βάση παραδοσιακές προσεγγίσεις και μεθόδους.
  • Δίκτυα φορητών συσκευών: οι φορητές συσκευές δεν είναι μόνο εργαλείο, αλλά τρόπος ζωής. Με τη χρήση των φορητών συσκευών, δημιουργούνται νέες συμπεριφορές οι οποίες αυξάνουν σημαντικά το πεδίο και εύρος των Κυβερνοεπιθέσεων, καθώς τα δίκτυα φορητών συσκευών είναι εκ φύσεως γεωγραφικά διασκορπισμένα και ανομοιογενή.
  • Τεχνητή νοημοσύνη (AI): η τεχνητή νοημοσύνη αρχίζει να συμπληρώνει ή να αντικαθιστά τους εξειδικευμένους επαγγελματίες, οδηγώντας σε βελτιωμένες δυνατότητες και μειωμένο κόστος. Ωστόσο, δημιουργεί νέους κινδύνους, όπως τα chatbots τα οποία με την «κατάλληλη» κακόβουλη παρέμβαση μπορεί να λειτουργήσουν ως εργαλεία του επιτιθέμενου.
  • Η μεταβαλλόμενη φύση της επιχείρησης: οι καινοτόμοι οργανισμοί δημιουργούν νέα ψηφιακά μοντέλα παροχής υπηρεσιών τα οποία όμως δημιουργούν προκλήσεις Κυβερνοασφάλειας σε όλα επίπεδα του οργανισμού.
  • Συνεργατικές πλατφόρμες: τα λογισμικά που ενσωματώνουν τα κοινωνικά δίκτυα σε επιχειρηματικές διαδικασίες προωθούν την καινοτομία, αλλά παράλληλα αυξάνουν την έκθεση σε εξωτερικούς κινδύνους.

Κίνητρα κυβερνοεπιθέσεων

Είναι χαρακτηριστικό ότι το παγκόσμιο δίκτυο Κυβερνοασφάλειας της Deloitte κατέγραψε αύξηση 25% των Κυβερνοεπιθέσεων το 2020. Οι οργανισμοί αντιμετώπισαν Κυβερνοεπιθέσεις μέσω των δικτύων των εξωτερικών παρόχων και προμηθευτών, μη εξουσιοδοτημένες συναλλαγές και επιθέσεις τύπου ransomware που στόχο είχαν την πληρωμή λύτρων σε κρυπτονομίσματα για τη μη διαρροή εμπιστευτικών εταιρικών δεδομένων ή/και την ολική μη διαθεσιμότητα των πληροφοριακών συστημάτων συμπεριλαμβανομένου των αντιγράφων ασφάλειας και των υποδομών των εναλλακτικών μηχανογραφικών κέντρων. Οι πιο συνηθισμένες μέθοδοι παραβίασης το 2020 ήταν:

  • η κοινωνική μηχανική μέσω της αποστολής κακόβουλης ηλεκτρονικής αλληλογραφίας με θέμα την πανδημία
  • η παραποίηση της ταυτότητας προμηθευτών μέσω ηλεκτρονικής και τηλεφωνικής επικοινωνίας με σκοπό την κατάθεση σημαντικών χρηματικών ποσών σε μη εξουσιοδοτημένους τραπεζικούς λογαριασμούς
  • η παραποίηση της ταυτότητας παρόχων λογισμικών με σκοπό την εγκατάσταση κακόβουλων λογισμικών
  • η παραβίαση των εταιρικών λογαριασμών ηλεκτρονικής αλληλογραφίας που παρέχονται από παρόχους υπολογιστικού νέφους

Όπως παρατηρήθηκε, το πιο σύνηθες κίνητρο των Κυβερνοεγληματιών ήταν το οικονομικό όφελος (σε αντίθεση με το κίνητρο των προηγούμενων χρόνων που ήταν η ενίσχυση της φήμης τους) ενώ οι επιπτώσεις για τους οργανισμούς ήταν πολλαπλές και δυσμενείς. Αρχικά, πλήττεται η φήμη του οργανισμού μέσω της αρνητικής δημοσιότητας και της μείωσης της εμπιστοσύνης από τους πελάτες, τους προμηθευτές και από άλλα σχετιζόμενα τρίτα μέρη. Στη συνέχεια, παρατηρείται απώλεια άμεσων αλλά και έμμεσων οικονομικών εσόδων όπως διοικητικά πρόστιμα από κρατικούς ή ρυθμιστικούς φορείς (π.χ. παραβιάσεις προσωπικών δεδομένων, αποζημίωση τρίτων για μη τήρηση συμβατικών υποχρεώσεων), απώλεια ανταγωνιστικού πλεονεκτήματος και διοικητικών πόρων που κατανεμήθηκαν στην προσπάθεια επίλυσης του περιστατικού Κυβερνοεπίθεσης (π.χ. αποκατάσταση της εμπιστοσύνης των πελατών, επικοινωνία με τις Αρχές, αντικατάσταση υλικών αγαθών, επαναφορά της συνέχειας των εργασιών, κτλ.). Επιπλέον, διακόπτονται κρίσιμες επιχειρησιακές λειτουργίες του οργανισμού για μεγάλο χρονικό διάστημα, κάτι που έχει ως αποτέλεσμα σημαντικές καθυστερήσεις ή ακόμα και πλήρη αποτυχία στην παράδοση προϊόντων και υπηρεσιών από πλευράς του οργανισμού. Τέλος, σημειώνεται κλοπή αγαθών που αποτελούν πνευματική ιδιοκτησία του οργανισμού όπως κλοπή υλικού με δίπλωμα ευρεσιτεχνίας και εμπορικού σήματος, καταστάσεις πελατών και εμπιστευτικών εμπορικών δεδομένων.

Στρατηγική Κυβερνοασφάλειας οργανισμών

Ως επακόλουθο των παραπάνω αλλά και σύμφωνα με πρόσφατη παγκόσμια έρευνα της Deloitte, η Κυβερνοασφάλεια έχει εξελιχθεί σε κρίσιμο τομέα στον οποίο θα πρέπει να εστιάζει το Διοικητικό Συμβούλιο των οργανισμών για την εφαρμογή στρατηγικής και προγράμματος Κυβερνοασφάλειας και την υιοθέτηση εταιρικής κουλτούρας επαγρύπνησης και ανθεκτικότητας.

Συγκεκριμένα, για να είναι αποτελεσματική, η στρατηγική Κυβερνοασφάλειας θα πρέπει να προσδιορίζει το προφίλ κινδύνου του κάθε οργανισμού, το επίπεδο αποδοχής κινδύνων, την αξιολόγηση της αποτελεσματικότητας των υφιστάμενων μέτρων ασφάλειας και στη συνέχεια την υλοποίηση πλαισίων διακυβέρνησης και μηχανισμών ασφάλειας. Η στρατηγική Κυβερνοασφάλειας για την προστασία, την επίγνωση και την ανθεκτικότητα του οργανισμού θα πρέπει να περιλαμβάνει:

  • την εφαρμογή και συντήρηση των θεμελιωδών αρχών της Κυβερνοασφάλειας μέσω της εφαρμογής πλαισίου, προγράμματος, πολιτικών, και διαδικασιών με βάση το προφίλ κινδύνου του οργανισμού
  • την έγκαιρη ανίχνευση, εντοπισμό και περιορισμό συμβάντων για το σύνολο του οργανισμού που δυνητικά μπορούν να εξελιχθούν σε περιστατικά Κυβερνοασφάλειας και,
  • την άμεση και αποτελεσματική διαχείριση περιστατικών ασφάλειας, την ελαχιστοποίηση των επιπτώσεών τους και την επαναφορά των επιχειρησιακών λειτουργιών το συντομότερο δυνατό.

Τα μέλη του Διοικητικού Συμβουλίου των οργανισμών θα πρέπει με τη σειρά τους να :

  • συμμετέχουν στις ασκήσεις/ προσομοιώσεις Κυβερνοασφάλειας για να κατανοούν τις απειλές του Κυβερνοχώρου και τις επιπτώσεις τους
  • ενημερώνονται σε τακτά χρονικά διαστήματα για τους κινδύνους, το επίπεδο ετοιμότητας του οργανισμού για την αντιμετώπιση των Κυβερνοαπειλών και τη συμμόρφωση με το κανονιστικό και θεσμικό πλαίσιο
  • υλοποιούν κατάλληλες δομές διακυβέρνησης και να αναθέτουν ρόλους και αρμοδιότητες Κυβερνοασφάλειας στα ανώτερα διοικητικά στελέχη
  • διασφαλίζουν ότι ο οργανισμός διαθέτει τις κατάλληλες δεξιότητες και πόρους
  • συμμετέχουν στα προγράμματα εκπαίδευσης και ευαισθητοποίησης ασφάλειας πληροφοριών
  • διασφαλίζουν την ενσωμάτωση του πλαισίου Κυβερνοασφάλειας στις επιχειρηματικές διεργασίες και την υιοθέτηση των αρχών της ασφάλειας εξ’ορισμού και από τον σχεδιασμό (security by design & by default) και στο μοντέλο λειτουργίας του οργανισμού
  • αξιολογούν τις στρατηγικές και τις επενδύσεις ασφάλειας πληροφοριών
  • καθοδηγούν τις ομάδες διαχείρισης κρίσεων για την αντιμετώπιση περιστατικών ασφάλειας
  • υποστηρίζουν τις δράσεις διαμοίρασης πληροφοριών Κυβερνοευφυΐας με εξωτερικούς φορείς, και τέλος να προσδιορίζουν και παρακολουθούν, σε τακτά χρονικά διαστήματα, δείκτες απόδοσης, μέτρησης και σύγκρισης.

Η Κυβερνοασφάλεια οφείλει να είναι αρωγός στην επίτευξη των εταιρικών στόχων και κομμάτι της στρατηγικής των οργανισμών. Στην προσπάθεια αυτή, η ηγεσία και τα στελέχη ενός οργανισμού θα πρέπει να υιοθετούν μία εταιρική κουλτούρα επαγρύπνησης και ανθεκτικότητας που θα τους επιτρέπει να έχουν έναν ενεργό ρόλο στην αναβάθμιση της ψηφιακής ασφάλειας.

Επιπλέον οι οργανισμοί θα πρέπει να είναι σε θέση να κατανοούν διαρκώς τις ευκαιρίες και τους κινδύνους που σχετίζονται με την ψηφιακή καινοτομία, να αξιολογούν την ανάγκη προστασίας τους από τις υφιστάμενες απειλές αλλά και να υιοθετούν νέα επιχειρηματικά μοντέλα και νέες στρατηγικές που αξιοποιούν την ψηφιακή τεχνολογία και ευνοούν την ανάπτυξη. Για να επιτύχουν τα παραπάνω, οι οργανισμοί θα πρέπει να κατανοήσουν σε βάθος το προφίλ κινδύνου τους, να αξιολογήσουν το υφιστάμενο επίπεδο των μηχανισμών ασφάλειας και να καταρτήσουν ολιστικό πρόγραμμα Κυβερνοασφάλειας για να θωρακιστούν από τους κινδύνους του Κυβερνοχώρου.

*Χρήστος Βιδάκης, Partner του τμήματος Risk Advisory και Cyber Leader στη Deloitte Ελλάδος