«Ασπίδα» κατά του ψηφιακού εγκλήµατος

«Ασπίδα» κατά του ψηφιακού εγκλήµατος
Computer keyboard hand grenade

Ποια είναι τα βήµατα που οφείλει να ακολουθήσει κάθε επιχείρηση εάν θέλει να παραµείνει ψηφιακά ασφαλής.

Οικονοµική αβεβαιότητα, γεωπολιτικές απειλές, τροµοκρατία, πολιτική αστάθεια, κυβερνοεπιθέσεις. Και οι πέντε αυτοί παράγοντες έχουν ένα κοινό: Αποτελούν τις µεγαλύτερες απειλές για τις επιχειρήσεις σε ολόκληρο τον κόσµο. Από το 2012, σε µια έρευνα µε τίτλο Οικονομική αστάθεια και ψηφιακή ασφάλεια: Οι δύο μεγαλύτερες απειλές των επιχειρήσεων, η Kaspersky Lab είχε προειδοποιήσει για τις τεράστιες αλλαγές που έχουν ήδη έρθει στον κόσµο των επιχειρήσεων. Δύο χρόνια µετά, τα στοιχεία συνεχίζουν να επαληθεύονται.

Αναλύοντας τη σηµασία της ψηφιακής προστασίας, ο Ντέιβιντ Εµ, επικεφαλής αναλυτής Ασφάλειας στην Παγκόσµια Οµάδα Έρευνας και Ανάλυσης της Kaspersky Lab, παρουσίασε στο Fortune τα πιο πρόσφατα ευρήµατα, τις τάσεις των κυβερνοεγκληµατιών και τους τρόπους µε τους οποίους κάθε εταιρεία µπορεί να προστατευτεί από αυτό που οι άνθρωποι του χώρου της ψηφιακής ασφάλειας χαρακτηρίζουν «αναπόφευκτο». «Μέσα στο 2014, το 94% των επιχειρήσεων αντιµετώπισαν ζητήµατα ψηφιακής ασφάλειας που προέρχονταν εκτός της εταιρείας και το 12% έπεσαν θύµατα στοχευµένων επιθέσεων» τονίζει ο Ντέιβιντ Εµ. «Παγκοσµίως, το µέσο κόστος ενός περιστατικού παραβίασης δεδοµένων ανέρχεται στα 720.000 δολάρια. Ωστόσο, η έρευνα της Kaspersky για τις παγκόσµιες ψηφιακές προκλήσεις το 2014 έδειξε ότι το κόστος µιας επιτυχηµένης στοχευµένης επίθεσης θα µπορούσε να φτάσει µέχρι και τα 2,54 εκατοµµύρια δολάρια».

Η Ελλάδα δεν αποτελεί εξαίρεση σε αυτήν τη «µάχη» για τη διασφάλιση των ευαίσθητων εταιρικών δεδοµένων. Σύµφωνα µε τα πιο πρόσφατα στοιχεία των Kaspersky Lab και B2B International, το 2013 το 96% των ελληνικών επιχειρήσεων αντιµετώπισαν ζητήµατα ψηφιακής ασφάλειας.

Εξηγώντας τους τρόπους µε τους οποίους οι κυβερνοεγκληµατίες µπορούν να κλέψουν τα δεδοµένα µιας εταιρείας, ο Ντέιβιντ Εµ σηµειώνει ότι ένας από τους πλέον τυπικούς µηχανισµούς είναι το backdoor trojan. Ένα «ψηφιακό σκουπίδι» το οποίο εγκαθίσταται σε εταιρικούς υπολογιστές και ελέγχεται από απόσταση για τη συλλογή πληροφοριών. «Για να “µολύνουν” τα θύµατά τους, οι ψηφιακοί εγκληµατίες κάνουν εκτεταµένη χρήση ευπαθειών σε µη ενηµερωµένο λογισµικό και χρησιµοποιούν µεθόδους κοινωνικής µηχανικής, για να ξεγελάσουν το προσωπικό και να το οδηγήσουν στην εκτέλεση κακόβουλου κώδικα, ώστε να αποκτήσουν µια πρώτη πρόσβαση στον οργανισµό που αποτελεί στόχο τους» εξηγεί ο Ντέιβιντ Εµ.

«Κοινωνική µηχανική» ο επικεφαλής ερευνητής της Kaspersky θεωρεί τα ύποπτα emails και τα µηνύµατα αµφιβόλου προέλευσης στα µέσα κοινωνικής δικτύωσης, που σχεδόν όλοι έχουµε κατά καιρούς λάβει. Η µέθοδος phising, όπως είναι γνωστή στον κόσµο της τεχνολογίας, επιχειρεί να «ψαρέψει» δεδοµένα, έστω και από έναν ανυποψίαστο υπάλληλο που βρίσκεται σε υπολογιστή εντός του εταιρικού δικτύου. «Μόλις ένας εργαζόµενος κάνει κλικ σ’ ένα “µολυσµένο” συνηµµένο αρχείο ή σύνδεσµο, το κακόβουλο λογισµικό εγκαθίσταται και οι επιτιθέµενοι προσπαθούν να εξασφαλίσουν πλευρική κίνηση εντός του οργανισµού-στόχου, ώστε να επεκτείνουν τη λειτουργία τους».

Ο ανθρώπινος παράγοντας παίζει εξαιρετικά σηµαντικό ρόλο στην ψηφιακή ασφάλεια µιας επιχειρήσης, υπογραµµίζει ο Ντέιβιντ Εµ. Στην έρευνα της Kaspersky για τις ψηφιακές απειλές των ελληνικών εταιρειών το 2013, το 87% εξ αυτών αντιµετώπισαν εσωτερικά ζητήµατα ασφάλειας κυρίως λόγω απροσεξίας των εργαζοµένων. Μάλιστα, στο 39% των περιπτώσεων, η διαρροή δεδοµένων οφειλόταν σε ανθρώπινο λάθος των στελεχών και στο 18% στη λανθασµένη χρήση βασικών ψηφιακών υπηρεσιών από φορητές συσκευές («έξυπνα» κινητά, tablets).

Προλαµβάνοντας το «κακό»

«Το σηµείο εκκίνησης για κάθε επιχείρηση πρέπει να είναι η αξιολόγηση των κινδύνων» εξηγεί ο Ντέιβιντ, ορίζοντας τον τρόπο µε τον οποίο πρέπει να κινηθεί κάθε εταιρεία που θέλει να διασφαλίσει την ψηφιακή παρουσία της. Όπως τονίζει, οι βασικές ερωτήσεις που πρέπει να τεθούν από κάθε επιχειρηµατία είναι οι εξής: Ποια περιουσιακά στοιχεία διαθέτει η επιχείρησή του (πνευµατική ιδιοκτησία, δεδοµένα πελατών κ.λπ.), ποιοι θα µπορούσαν να θέλουν να της επιτεθούν και µε ποιον τρόπο θα επιχειρούσαν να το κάνουν πράξη;

«Ξεκινώντας απ’ αυτά», λέει ο Ντέιβιντ Εµ, «η επιχείρηση πρέπει να χαράξει µια στρατηγική για τον περιορισµό των κινδύνων. Αυτό περιλαµβάνει τη δηµιουργία “άµυνας σε βάθος”, αν υποθέσουµε ότι ένας εισβολέας µπορεί να προσπεράσει την περιµετρική άµυνα. Η τεχνολογία παίζει σηµαντικό ρόλο (anti-malware λύσεις, firewall κ.λπ.), αλλά δεν αρκεί».

Για τους ειδικούς του χώρου της ψηφιακής ασφάλειας, η υπόθεση αυτή οφείλει να αντιµετωπίζεται ως µια «συνεχής διεργασία». «Θα πρέπει, δηλαδή, να την εντάξουµε στο πρόγραµµά µας, όπως ακριβώς γίνεται µε τις καθηµερινές δουλειές» λέει ο Εµ. Ένας από τους τρόπους µε τους οποίους προτείνει να γίνει αυτό είναι η δηµιουργία µιας οµάδας εργασίας στον τοµέα της ασφάλειας, αντλώντας µέλη από όλα τα τµήµατά της, ώστε να γίνει µια αξιολόγηση της εταιρικής στρατηγικής και να προταθούν αλλαγές όπου χρειάζονται.

Παρ’ όλα αυτά, η χρήση υψηλού επιπέδου λογισµικού ασφάλειας και η σωστή εκπαίδευση του προσωπικού δεν αρκούν για να νιώσει µια επιχείρηση πραγµατικά ασφαλής. Μία από τις πλέον σηµαντικές παραµέτρους είναι η παρουσία ειδικευµένων στελεχών Πληροφορικής µέσα στην εταιρεία. «Οι µικρές και µεσαίες επιχειρήσεις, που δεν διαθέτουν τέτοιες γνώσεις, θεωρούν ότι είναι δυσκολότερο να συµβαδίζουν µε τις εξελίξεις στην ψηφιακή εγκληµατικότητα, να κατανοήσουν ποιες τεχνολογίες απαιτούνται για την αντιµετώπιση των απειλών και να καλλιεργήσουν µια “νοοτροπία ασφάλειας” µεταξύ των εργαζοµένων» λέει ο επικεφαλής ερευνητής της Kaspersky.

Σε αυτόν ακριβώς τον τοµέα έρχεται ο εξειδικευµένος τεχνικός, ο οποίος θα παρέχει και θα αναπτύσσει λύσεις ειδικά προσαρµοσµένες στις ανάγκες των µικροµεσαίων επιχειρήσεων, καθιστώντας την εφαρµογή και τη διαχείρισή τους ευκολότερη.

Ακόµη και αν µια επιχείρηση κάνει τα πάντα τέλεια, δυστυχώς, στον ψηφιακό κόσµο κανείς δεν µπορεί µε βεβαιότητα να πει ότι είναι 100% διασφαλισµένος. Γι’ αυτό κάθε εταιρεία θα πρέπει να είναι προετοιµασµένη για το χειρότερο σενάριο. Όπως λέει ο Ντέιβιντ Εµ, τα πράγµατα έχουν αλλάξει τα τελευταία χρόνια. Το λεγόµενο «στίγµα» στη φήµη µιας επιχείρησης µετά από ένα περιστατικό ψηφιακής παραβίασης παραµένει, αλλά είναι πλέον περιορισµένο. Αυτό το οποίο, όµως, εξακολουθεί να «πονά» τους πάντες, είναι η απώλεια δεδοµένων. «Οι βασικές κινήσεις που πρέπει να κάνουν οι επιχειρήσεις µετά από µια παραβίαση είναι οι εξής: (α) να κατανοήσουν πώς συνέβη η επίθεση, (β) να καταλάβουν πώς κλάπηκαν τα δεδοµένα και (γ) να αποσυνδέσουν τους “µολυσµένους” υπολογιστές, για να αποφευχθεί η περαιτέρω “προσβολή”».

Οι νέες τεχνολογίες στη ζωή των επιχειρήσεων

Η νέα τάση στον ψηφιακό κόσµο των επιχειρήσεων είναι η τεχνολογία cloud. Δηλαδή, η αποθήκευση δεδοµένων στο διαδικτυακό «σύννεφο» µέσω συγκεκριµένων υπηρεσιών, οι οποίες προσφέρουν, µεταξύ άλλων, τεράστια ευελιξία κινήσεων στα στελέχη και άµεση πρόσβαση σε εταιρικά δεδοµένα από όπου και αν βρίσκονται. Εκεί, όµως, καιροφυλακτούν κίνδυνοι που πρέπει να ληφθούν σοβαρά υπόψη. «Όσο αυξάνεται η χρήση τεχνολογιών cloud τόσο αυξάνεται και ο αριθµός των απειλών» αναφέρει ο Ντέιβιντ Εµ. «Είναι σηµαντικό να κατανοήσουν οι επιχειρήσεις ότι, ενώ µπορούν να αναθέσουν τη διαχείριση και την αποθήκευση των δεδοµένων τους σε εξωτερικό συνεργάτη, δεν µπορούν να του αναθέσουν και την ευθύνη για τα ίδια τα δεδοµένα. Αυτό που κάθε επιχείρηση πρέπει να γνωρίζει είναι πως, αν παραβιαστούν τα συστήµατα του παρόχου τους και εκτεθούν τα δεδοµένα, είναι η ίδια υπεύθυνη».

Υπό αυτές τις συνθήκες, τονίζει ο Ντέιβιντ Εµ, οι επιχειρήσεις πρέπει να αξιολογούν τους κινδύνους µε τον ίδιο ακριβώς τρόπο που θα έκαναν αν τα δεδοµένα ήταν αποθηκευµένα στο εσωτερικό τους. Επιπλέον, υπάρχουν και άλλα ζητήµατα που πρέπει να εξεταστούν, όπως η γεωγραφική τοποθεσία όπου θα αποθηκεύονται τα δεδοµένα της εταιρείας, η νοµική δικαιοδοσία που θα ισχύει, τα µέτρα που θα ληφθούν για τη διασφάλισή τους στα συστήµατα του παρόχου τους και τα logistics που αφορούν την πιθανή µετάβαση των δεδοµένων σε κάποιον άλλο πάροχο στο µέλλον.

Μπορεί τα έως τώρα στοιχεία να δείχνουν ότι σχεδόν τα πάντα λειτουργούν εις βάρος των επιχειρήσεων, όµως τα πράγµατα δεν είναι τόσο «µαύρα». Όπως τονίζει ο Ντέιβιντ Εµ, όλα τα στελέχη και οι υπάλληλοι µιας εταιρείας οφείλουν να κατανοήσουν πως στη σύγχρονη ψηφιακή εποχή το ίδιο το επιχειρηµατικό περιβάλλον έχει αλλάξει. Οι εργαζόµενοι είναι πλέον «πάντα online». Γι’ αυτό οι εταιρείες πρέπει να υιοθετήσουν µια προσέγγιση ασφάλειας που να προστατεύει τους εργαζόµενους απ’ όπου και αν εργάζονται, όποιες συσκευές και αν χρησιµοποιούν, αντί να εστιάζουν στην υπεράσπιση µιας «επαγγελµατικής περιµέτρου» που έχει ουσιαστικά «εξατµιστεί» τα τελευταία χρόνια.

Η ραγδαία αύξηση του κυβερνοεγκλήµατος έχει ιδιαίτερη θέση στα στοιχεία που αφορούν το 2014. Σύµφωνα µε έρευνα της Kaspersky, τη χρονιά που µας πέρασε είχαµε ένα δισεκατοµµύριο περισσότερες κυβερνοεπιθέσεις παγκοσµίως, σε σύγκριση µε το 2013. Μία από τις πιο αξιοσηµείωτες ήταν η Carbanak. Μια εκστρατεία που είναι ενεργή τα τελευταία δύο χρόνια και έχει σχεδιαστεί για να διεισδύσει σε τράπεζες σε όλο τον κόσµο και να κλέβει χρήµατα. Υπολογίζεται, µάλιστα, ότι οι ψηφιακοί εγκληµατίες πίσω από τις επιθέσεις κατάφεραν να κλέψουν ένα ποσό της τάξης του ενός δισ. δολαρίων, δηµιουργώντας πλασµατικά υπόλοιπα σε τραπεζικούς λογαριασµούς και εισπράττοντας τα επιπλέον χρήµατα. Τις περισσότερες φορές τέτοιου είδους µεγάλα χτυπήµατα συνιστούν αποτέλεσµα της συνεργασίας µεταξύ του οργανωµένου εγκλήµατος και των λεγόµενων «κυβερνοµισθοφόρων». Δηλαδή, εκείνων των κυκλωµάτων τα οποία χτυπούν ψηφιακούς στόχους επί πληρωµή, δουλεύοντας είτε για εγκληµατικές οργανώσεις, ανταγωνίστριες εταιρείες, ή ακόµη και για ξένες κυβερνήσεις.

Ως εκ τούτου, η Kaspersky προχώρησε στη συνεργασία και την υποστήριξη της Ιντερπόλ, σε µια οργανωµένη προσπάθεια καταπολέµησης των δυσκολότερων κυβερνοεγκληµάτων σε διεθνές επίπεδο. Στο νεόδµητο Παγκόσµιο Κέντρο Καινοτοµίας της Ιντερπόλ στη Σιγκαπούρη, όπου βρέθηκε το Fortune, αναλυτές από όλο τον κόσµο και κορυφαίοι ειδικοί της Kaspersky συνεργάζονται στενά µε τις Αρχές, συµβάλλοντας στις έρευνες και εκπαιδεύοντας τους αξιωµατικούς τους. Πρόκειται για µία από τις σηµαντικότερες κινήσεις συνεργασίας µεταξύ του ιδιωτικού και του δηµόσιου τοµέα, σε έναν κόσµο ο οποίος εισέρχεται όλο και πιο βαθιά στην ψηφιακή εποχή.

* Το άρθρο δημοσιεύεται στο νέο τεύχος του Fortune που κυκλοφορεί