Κυβερνοεπιθέσεις: Πιο επιζήμιες απ’ όσο νομίζουν οι επικεφαλής – Το σκληρό μάθημα της Marks and Spencer
Πολύ περισσότερο απ’ όσο πιστεύουν οι επικεφαλής των εταιρειών διαρκούν οι κυβερνοεπιθέσεις. Αυτό είναι το μάθημα που πήρε και ο Stuart Machin της Marks and Spencer, τέσσερις εβδομάδες μετά την έναρξη μιας επίθεσης που αναμένεται να κοστίσει στην εταιρεία 300 εκατ. λίρες — περίπου το 30% των λειτουργικών της κερδών για το προηγούμενο έτος.
Αυτό που είναι κακό για τα θύματα των χάκερ είναι καλό για τους παρόχους τεχνολογίας, καθώς ενισχύει τη ζήτηση για επενδύσεις στην κυβερνοασφάλεια. Περισσότερες από τέσσερις στις δέκα επιχειρήσεις ανέφεραν περιστατικά παραβίασης ή επιθέσεις το τελευταίο 12μηνο, σύμφωνα με την Έρευνα για τις Παραβιάσεις Κυβερνοασφάλειας της βρετανικής κυβέρνησης. Αν και οι λιανέμποροι, όπως τα Harrods και ο όμιλος σούπερ μάρκετ Co-op, τραβούν την προσοχή των μέσων, άλλοι κλάδοι είναι ακόμη πιο εκτεθειμένοι.
Η τεχνολογία αποτελεί αναπόσπαστο μέρος του «κόστους καθαρισμού». Η M&S, για παράδειγμα, επισπεύδει τα σχέδιά της στον τομέα του ψηφιακού μετασχηματισμού και της τεχνολογίας. Ο βρετανικός όμιλος είχε ήδη διπλασιάσει τις δαπάνες για την κυβερνοασφάλεια από το 2021.
Σε παγκόσμιο επίπεδο, οι επενδύσεις σε λογισμικό κατά των επιθέσεων αυξάνονται με ρυθμούς της τάξης του 15% ετησίως, σύμφωνα με εκτιμήσεις της TD Cowen, και αναμένεται να φτάσουν τα 300 δισ. δολάρια έως το 2028. Αυτό έχει οδηγήσει στην ταχεία ανάπτυξη εταιρειών ασφάλειας όπως η Palo Alto Networks, της οποίας τα έσοδα αυξήθηκαν κατά 15% το τελευταίο τρίμηνο.
Καθώς οι κυβερνοεπιθέσεις εξελίσσονται, οι διοικήσεις πρέπει να τρέχουν για να μην μείνουν πίσω. Τα κακόβουλα λογισμικά (malware) — δηλαδή προγράμματα σχεδιασμένα για να προκαλούν βλάβη — έχουν μειωθεί από το 60% στο 20% των επιθέσεων την τελευταία πενταετία, σύμφωνα με την CrowdStrike. Ωστόσο, οι επιθέσεις «vishing» (τηλεφωνικές κλήσεις με στόχο την υποκλοπή προσωπικών δεδομένων) πενταπλασιάστηκαν το δεύτερο εξάμηνο του περασμένου έτους. Η γενετική τεχνητή νοημοσύνη (generative AI) αποτελεί απειλή λόγω της ικανότητάς της να προσαρμόζεται γρήγορα σε νέα μέτρα άμυνας, αλλά και εργαλείο άμυνας, όταν εκπαιδευτεί για να εντοπίζει και να αντιδρά σε μικροσκοπικές ανωμαλίες.
Οι δαπάνες αποδίδουν καλύτερα όταν οι επικεφαλής των εταιρειών και οι τεχνικοί συμφωνούν ως προς τις σημαντικότερες απειλές. Οι επιχειρήσεις ενσωματώνουν πλέον και κάποιες βασικές γνώσεις κυβερνοασφάλειας στα διοικητικά τους συμβούλια. Τα μέλη των διοικητικών συμβουλίων δεν χρειάζεται να είναι ειδικοί, αλλά πρέπει τουλάχιστον να μπορούν να έχουν ουσιαστική συζήτηση με τους τεχνικούς συμβούλους. Υπάρχει όμως μεγάλη διαφορά ανάμεσα στο να ξέρει κάποιος τι είναι το malware και το vishing, και στο να κατανοεί τις επιπτώσεις του να έχουν τρίτοι εργολάβοι πρόσβαση στα συστήματα της εταιρείας — η ευπάθεια που εκμεταλλεύτηκαν οι χάκερ στην περίπτωση της M&S.
Η ταλαιπωρία για τον βρετανικό όμιλο δεν έχει τελειώσει. Δεν θα μπορέσει να επανεκκινήσει πλήρως τις online πωλήσεις του για αρκετές ακόμη εβδομάδες — ένα τεράστιο πλήγμα, δεδομένου ότι τα δύο τρίτα των πελατών του αγοράζουν τόσο online όσο και στα φυσικά καταστήματα. Και η ζημιά στη φήμη της εταιρείας δεν είναι αμελητέα. Δεν είναι σαφές αν η M&S ήταν ιδιαίτερα ευάλωτη ή απλώς άτυχη. Οι κυβερνοεπιθέσεις συνήθως συνδυάζουν και τα δύο. Ωστόσο, η περίπτωσή της θα πρέπει να λειτουργήσει ως προειδοποίηση για τους υπόλοιπους CEOs, ώστε να ενισχύσουν τις άμυνές τους.
