Αυξάνεται ο cyber κίνδυνος για τον κλάδο της βιομηχανίας

*Άρθρο του Mark Camillo, επικεφαλής του κλάδου cyber της AIG για την Ευρώπη, τη Μέση Ανατολή και την Αφρική

Μετάφραση – επιμέλεια: Λαλέλα Χρυσανθοπούλου

Όταν εξετάζουμε ποιοι επιχειρηματικοί κλάδοι είναι πιο ευάλωτοι σε cyber επιθέσεις, η βιομηχανία σπανίως «φιγουράρει» στην κορυφή των σχετικών λιστών. Αυτό, ωστόσο, δεν σημαίνει ότι δεν απειλείται.

Σύμφωνα με πρόσφατη μελέτη της Ένωσης Βιομηχανιών ΕΕ για την κυβερνοασφάλεια, το 48% των ερωτηθέντων ανέφεραν ότι είχαν πέσει θύματα τουλάχιστον μίας cyber επίθεσης. Οι μισοί δε από αυτούς υπέστησαν χρηματοοικονομική ζημία ή διαταραχή επιχειρηματικής δραστηριότητας ως αποτέλεσμα της επίθεσης.

Την ίδια στιγμή, η έκθεση της NTT Security Global Threat Intelligence Report (την οποία μπορείτε να κατεβάσετε στον ακόλουθο σύνδεσμο (https://www.nttsecurity.com/docs/librariesprovider3/resources/gbl-ntt-security-2018-gtir-summary-uea.pdf?sfvrsn=e8c7f625_4) έδειξε ότι η βιομηχανία είναι ο τέταρτος κλάδος όσον αφορά στον αριθμό των cyber επιθέσεων που δέχεται, πίσω μόνο από τον χρηματοοικονομικό κλάδο, τον κλάδο υψηλής τεχνολογίας και τον κλάδο επαγγελματικών υπηρεσιών.

Πλην όμως, υπάρχει μια θεμελιώδης διαφορά μεταξύ των υψηλού προφίλ cyber επιθέσεων που έρχονται στη δημοσιότητα και των επιθέσεων που υφίστανται οι βιομηχανίες: Σε άλλους τομείς, η απειλή επικεντρώνεται στα δεδομένα των πελατών, ενώ στις βιομηχανικές εταιρείες η cyber απειλή αμφισβητεί ευθέως την επιχειρησιακή τους ικανότητα.

Λόγω του υψηλού βαθμού αυτοματοποίησης των συστημάτων των βιομηχανιών, οι cyber επιθέσεις μπορούν να έχουν καταστροφικές επιπτώσεις στην παραγωγική τους δυνατότητα, τις γραμμές εφοδιασμού και τα συστήματα σχεδιασμού τους.

Οι βιομηχανίες αντιμετωπίζουν ορισμένα κρίσιμα ζητήματα: Πρώτον, διαχειρίζονται διασυνδεδεμένες εφοδιαστικές αλυσίδες που συνδέουν τους προμηθευτές, τους εργολάβους και τους πελάτες. Αυτό όχι απλώς συνεπάγεται περισσότερα «σημεία εισόδου» για μια cyber επίθεση, αλλά και εγείρει τον κίνδυνο εισαγωγής και εξαγωγής κακόβουλου λογισμικού από και προς κρίσιμους επιχειρηματικούς εταίρους.

Δεύτερον, οι περισσότερες βιομηχανίες λειτουργούν 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα σε διαφορετικές πλατφόρμες και συστήματα με διαφορετικούς βαθμούς πολυπλοκότητας. Με δεδομένο το ότι η βαθμιαία «απόσυρση» των παλαιών τεχνολογιών και η αντικατάστασή τους με νέες δεν είναι διόλου εύκολη υπόθεση –καθώς μεταξύ άλλων μπορεί να επιβραδύνει και την παραγωγή–, οι cyber εγκληματίες γνωρίζουν ότι μεγάλος αριθμός βιομηχανιών λειτουργούν με συστήματα και λογισμικό που έχουν πολλά ευάλωτα σημεία, τα οποία εύκολα μπορούν να εκμεταλλευθούν.

Οι πιο επιτυχημένες cyber επιθέσεις στον βιομηχανικό κλάδο μέχρι στιγμής είχαν ως στόχο εταιρείες με φτωχά διαπιστευτήρια cyber ασφάλειας. Τέτοιες επιθέσεις έχουν ως κίνητρο το χρηματοοικονομικό κέρδος και συχνά παίρνουν τη μορφή “phishing” (παραπλανητικά ηλεκτρονικά μηνύματα), μέσω των οποίων οι κακοποιοί εκμεταλλεύονται τα τρωτά σημεία του ανθρώπινου δυναμικού για να αποκτήσουν πρόσβαση στα συστήματα της εταιρείας ή επιθέσεις με εισαγωγή κακόβουλου λογισμικού (ransomware) που βάζουν στο στόχαστρο συστήματα πληροφορικής ανεπαρκώς προστατευμένα, κρυπτογραφώντας κρίσιμα δεδομένα έως ότου πληρωθούν τα ζητούμενα λύτρα.

Πίσω στα βασικά

Η αποτελεσματική αντιμετώπιση των cyber κινδύνων ξεκινά από την κατανόηση ορισμένων βασικών αρχών: Οι βιομηχανίες πρέπει να αποδεχθούν ότι υπάρχει πολύ υψηλή πιθανότητα η εταιρεία τους να γίνει στόχος cyber επίθεσης κάποια στιγμή.

Το μέγεθος της επιχείρησης δεν έχει σημασία. Οι χάκερς δεν βάζουν στο στόχαστρό τους μόνο πολυεθνικούς κολοσσούς. Δεν έχουν κανένα πρόβλημα να απαιτήσουν μερικές χιλιάδες δολάρια ή ευρώ από μικρομεσαίες επιχειρήσεις, για τις οποίες το τελικό κόστος είναι πολύ μεγαλύτερο, λόγω της παύσης επιχειρηματικής δραστηριότητας και του πλήγματος στη φήμη τους.

Είναι επίσης ζωτικής σημασίας να διασφαλιστεί ότι όλοι στην επιχείρηση καταλαβαίνουν τη σοβαρότητα του ζητήματος. Από τους απλούς υπαλλήλους ώς τα στελέχη της διοίκησης, όλοι πρέπει να έχουν συναίσθηση των απειλών που αντιμετωπίζουν, του τι πρέπει να κάνουν και –ακόμη σημαντικότερο– του τι δεν πρέπει να κάνουν.

Οι άνθρωποι είναι, διαχρονικά, ο αδύναμος κρίκος μιας εταιρείας όσον αφορά στη cyber ασφάλεια. Είτε επειδή κάποιος ξεχνά ένα laptop στο τρένο, είτε επειδή ανοίγει ένα μολυσμένο με ιό ηλεκτρονικό μήνυμα, είτε επειδή επιτρέπει (ακουσίως ή μη) σε κάποιον τρίτο να χρησιμοποιήσει τους κωδικούς του για να εισέλθει στο σύστημα της εταιρείας, το ανθρώπινο σφάλμα είναι η βασική αιτία των cyber προβλημάτων.

Είναι απαραίτητο οι εταιρείες να δημιουργήσουν μια θετική κουλτούρα cyber ασφάλειας, κατά τον ίδιο τρόπο που χειρίζονται θέματα υγιεινής και ασφάλειας στην εργασία.

Πραγματικά, η συντριπτική πλειονότητα των cyber επιθέσεων είναι απλές στη φύση τους, μη στοχευμένες και όχι ιδιαίτερα εξεζητημένες. Είναι σχεδιασμένες για να στοχεύουν συστήματα που δεν διαθέτουν ούτε τα πιο στοιχειώδη εχέγγυα ασφαλείας. Μιλάμε για το ψηφιακό ισοδύναμο ενός κλέφτη που προσπαθεί να παραβιάσει την εξωτερική πόρτα ενός σπιτιού να δει αν είναι ξεκλείδωτη. Οπότε οι βιομηχανίες πρέπει να έχουν κατ’ ελάχιστον ένα ψηφιακό τείχος ασφαλείας (firewall), να έχουν εγκαταστήσει λογισμικό προστασίας από ιούς στους Η/Υ και να επιλέγουν τις ασφαλέστερες προδιαγραφές για τις συσκευές και το λογισμικό τους.

Αν και ο κίνδυνος μιας cyber επίθεσης δεν μπορεί ποτέ να εξαλειφθεί πλήρως, ολοκληρωμένα σχέδια cyber προστασίας (όπως π.χ. το Cyber Essentials στη Μ. Βρετανία) καθώς και το πλαίσιο προτύπων (standards framework) για τη διαχείριση συστημάτων πληροφορικής, το ISO 27001, ενισχύουν σημαντικά την αρχιτεκτονική cyber ασφάλειας μιας βιομηχανίας.

Σε τελική ανάλυση, όσον αφορά στις συναλλαγές με τρίτα μέρη που διαχειρίζονται τα δεδομένα τους, οι βιομηχανίες πρέπει να είναι εξαιρετικά προσεκτικές, καθώς ανοίγουν μια «κερκόπορτα» στην επιχείρησή τους. Αυτό σημαίνει ότι πρέπει να ελεγχθεί πως οι πάροχοι (των υπηρεσιών επεξεργασίας δεδομένων) έχουν τα απαραίτητα αμυντικά συστήματα και ότι πρέπει να έχει προβλεφθεί συμβατική υποχρέωση αποζημίωσης αν κάτι πάει στραβά.

Τα καλά νέα είναι ότι η βιομηχανία υιοθετεί βέλτιστες πρακτικές, ευθυγραμμισμένες με όσα προαναφέρθηκαν: Το 50% των ερωτωμένων σε σχετική έρευνα της AIG (σε συνεργασία με την EEF) στις αρχές του έτους απάντησαν ότι έχουν ήδη λάβει κάποια μέτρα πρόληψης των cyber επιθέσεων. Είναι ωστόσο ανησυχητικό ότι το 14,5% των βιομηχάνων απάντησαν ότι δεν έχουν λάβει κανένα μέτρο, κάτι που σημαίνει ότι έχουν υψηλή έκθεση σε cyber επιθέσεις.

Ο cyber κίνδυνος τείνει να εξελιχθεί σε «συστημικό» κίνδυνο για τη βιομηχανία, καθώς οι γραμμές παραγωγής αυτοματοποιούνται ολοένα και περισσότερο, με μεγαλύτερη εξάρτηση από την τεχνητή νοημοσύνη και τη ρομποτική, και τα Big Data καθοδηγούν τον σχεδιασμό της παραγωγής και τη βελτιστοποίηση των διαδικασιών.

Για πολλές βιομηχανίες, ο κίνδυνος να πέσουν θύμα μιας cyber επίθεσης θα βαίνει αυξανόμενος. Οι ασφαλιστικές εταιρείες προσφέρουν ένα «στρώμα» προστασίας για την αποκατάσταση της δραστηριότητας και την αποζημίωση μιας βιομηχανίας μετά από μια επίθεση, όμως το κέντρο βάρους πρέπει να πέσει στη διαχείριση του σχετικού κινδύνου και στο να πράξουν οι βιομηχανίες ό,τι απαιτείται για να ελαχιστοποιηθεί ο κίνδυνος παραβίασης των συστημάτων ασφαλείας τους.

Aναδημοσίευση από το Insurance World