Η λύση του cyber insurance και οι οδηγίες της Εθνικής Αρχής Κυβερνοασφάλειας

του Βάιου Κρόκου

Ο ρόλος του Cyber Insurance δεν είναι απλά χρήσιμος αλλά χρόνο με τον χρόνο κρίνεται ως μια κάλυψη επιτακτική. Ιδιαίτερα τώρα με την ραγδαία αύξηση της τηλεργασίας και την χρήση των σύγχρονων τεχνολογίων μετά το ξέσπασμα της πανδημίας. Οι προβλέψεις άλλωστε για το β’ 6μηνο του 2020 έκαναν λόγο για εκ νέου σημαντική άνοδο των επιθέσεων (+400% τον Μάρτιο σύμφωνα με τα στοιχεία).

Είναι αλήθεια δε, σύμφωνα με σχετικές έρευνες, πως το κόστος αντιμετώπισης μιας επίθεσης είναι ιδιαίτερα υψηλό (αμοιβές δικηγόρων, πρόστιμα, τεχνική αντιμετώπιση κ.α), κάτι που αναδεικνύει ουσιαστικά την χρησιμότητα και το όφελος ενός ασφαλιστηρίου cyber insurance.

Η διατήρηση της εμπιστοσύνης των πελατών τους είναι το σημαντικότερο περιουσιακό στοιχείο των επιχειρήσεων και είναι κρίσιμη για την επιβίωσή τους και τη διατήρηση της φήμης τους. «Έρευνες δείχνουν ότι όταν μια επιχείρηση διαχειριστεί αποτελεσματικά ένα περιστατικό παραβίασης ασφάλειας και η ανάκαμψή της είναι γρήγορη, μπορεί να επωφεληθεί από υψηλότερα επίπεδα ικανοποίησης των πελατών της από ό,τι πριν από την κρίση», αναφέρουν ειδικοί του χώρου.

Ειδικότερα, ενδιαφέροντα είναι τα στοιχεία από μια νέα παγκόσμια έρευνα της Acronis, παγκόσμιου ηγέτη στην προστασία του κυβερνοχώρου κατά την οποία το 31% των εταιρειών δυσκολεύονται να αντιμετωπίσουν τις καθημερινές κυβερνοεπιθέσεις αλλά και να αντεπεξέλθουν στις νέες προκλήσεις προστασίας στην απομακρυσμένη εργασία. Συγκεκριμένα, οι χάκερ στοχεύουν εργαζομένους σε τηλεργασία, ενώ οι τακτικές phishing, οι επιθέσεις κατανεμημένης άρνησης υπηρεσιών (DDoS) και οι επιθέσεις τηλεδιάσκεψης είναι οι πιο κοινές τακτικές που χρησιμοποιούνται, σύμφωνα με το itsecuritypro.gr. Σε άλλα στοιχεία:

-Το 39% των εταιρειών αντιμετώπισαν μια επίθεση κατά τη διάρκεια τηλεδιάσκεψης τους τελευταίους τρεις μήνες, καθώς οι εργαζόμενοι βασίζονται σε εφαρμογές όπως το Zoom, το Cisco Webex και το Microsoft Teams. Η Cisco αποκάλυψε πρόσφατα ένα θέμα ευπάθειας στην εφαρμογή Webex που θα μπορούσε να επιτρέψει στους εισβολείς να ανοίξουν, να διαβάσουν και να κλέψουν δυνητικά πολύτιμο περιεχόμενο.

-Οι επιθέσεις κακόβουλου λογισμικού, όπως το ransomware, έχουν επίσης αυξηθεί κατά τη διάρκεια της πανδημίας, με το 31% των εταιρειών να αναφέρουν καθημερινές κυβερνοεπιθέσεις, με τις μισές (50%) να συμβαίνουν τουλάχιστον μία φορά την εβδομάδα, ακόμα και μέσα στον Ιούλιο. Για παράδειγμα ένας κορυφαίος κατασκευαστής τεχνολογιών GPS φέρεται να κατέβαλε 10 εκατομμύρια δολάρια σε μια επίθεση του ransomware WastedLocker. Τα Κέντρα Ελέγχου και Προστασίας του Κυβερνοχώρου (CPOCs) της Acronis διαπίστωσαν ότι το 35% των υπολογιστικών σημείων πρόσβασης των πελατών εκτέθηκαν σε επιθέσεις κακόβουλου λογισμικού πριν από την ανάπτυξη του Acronis Cyber Protect στο εταιρικό δίκτυο.

-Επιθέσεις Phishing συμβαίνουν αυτήν τη στιγμή σε ιστορικά υψηλά επίπεδα, το οποίο δεν αποτελεί έκπληξη, δεδομένου ότι η έκθεση της Acronis διαπίστωσε ότι μόνο το 2% των εταιρειών υλοποιούν φιλτράρισμα διευθύνσεων web κατά την αξιολόγηση μιας λύσης κυβερνοασφάλειας. Αυτή η αμέλεια αφήνει τους απομακρυσμένους εργαζόμενους ευάλωτους σε sites «ηλεκτρονικού ψαρέματος» – Με τα κέντρα ελέγχου της Acronis να ανακαλύπτουν ότι περίπου το 10% των χρηστών έκαναν κλικ σε κακόβουλους ιστότοπους το Μάιο, τον Ιούνιο και τον Ιούλιο.

Οδηγός Προστασίας από την Εθνική Αρχή Κυβερνοασφάλειας

Καίριες και ιδιαίτερα σημαντικές είναι οι προτάσεις της Εθνικής Αρχής Κυβερνοασφάλειας καθώς δημοσίευσε έναν οδηγό με μέτρα και βασικές κατευθύνσεις για την αποτελεσματική προστασία των πληροφοριακών συστημάτων εταιρειών από κυβερνοεπιθέσεις, στο πλαίσιο της διαρκούς προσπάθειας για την ενημέρωση των επιχειρήσεων σε θέματα ασφάλειας των ψηφιακών υποδομών.

Τα μέτρα που περιλαμβάνονται στον οδηγό διαμορφώνουν ένα σύνολο ενεργειών που ονομάζεται ψηφιακή “άμυνα-σε-βάθος” (defense-in-depth) και περιλαμβάνουν καλές πρακτικές για τον περιορισμό και την αντιμετώπιση των πιο κοινών τύπων επιθέσεων στα συστήματα, τις εφαρμογές και το δίκτυο. Ανεξάρτητα από το αντικείμενο στο οποίο δραστηριοποιείται μία επιχείρηση, η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί υψηλή προτεραιότητα, ειδικά κατά την τρέχουσα περίοδο που ολοένα και περισσότερες καθημερινές δραστηριότητες διενεργούνται μέσω διαδικτύου. Ο σύντομος οδηγός αποτελεί συνέχεια των οδηγιών που είχε εκδώσει το υπουργείο Ψηφιακής Διακυβέρνησης τον περασμένο Μάρτιο σχετικά με την ασφαλή εργασία από το σπίτι και την προστασία εφαρμογών και συστημάτων. Η Εθνική Αρχή Κυβερνοασφάλειας επισημαίνει ότι η ασφάλεια των πληροφοριακών και τηλεπικοινωνιακών υποδομών είναι μια διαρκής διαδικασία και καλεί τόσο τις επιχειρήσεις όσο και τους πολίτες να διατηρούν ενημερωμένο τον εξοπλισμό τους (υπολογιστές, smartphones, tablets, routers κ.τ.λ.) με βάση τις οδηγίες των κατασκευαστών και να εμπιστεύονται μόνο αξιόπιστες πηγές πληροφόρησης για την ενημέρωσή τους σε θέματα προστασίας.

Οδηγίες της Εθνικής Αρχής Κυβερνοασφάλειας για την προστασία των πληροφοριακών υποδομών των επιχειρήσεων από κυβερνοεπιθέσεις

Στο επίκεντρο της προσπάθειας για την ανάπτυξη ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών και των δικτύων πρέπει να βρίσκεται η μεθοδολογία προσέγγισης βάσει κινδύνου, με σκοπό την προστασία της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ιδιωτικότητας. Συγκεκριμένα:

1) Αναπτύξτε πολιτικές ασφάλειας, κατευθυντήριες οδηγίες και διαδικασίες για την προστασία των πληροφοριακών αγαθών και των σχετικών συστημάτων, οι οποίες να επεκτείνονται και σε προμηθευτές υπηρεσιών και αγαθών, καθώς και σε παρόχους υπηρεσιών νέφους (cloud).

2) Χρησιμοποιείτε κατάλληλα παραμετροποιημένο και ενημερωμένο λογισμικό προστασίας από κακόβουλο κώδικα (anti-malware software) με κεντρική διαχείριση. Επίσης, να υφίσταται σχέδιο (patch management) για την προγραμματισμένη εγκατάσταση των ενημερώσεων ασφάλειας (security updates) στα λειτουργικά συστήματα και τις εφαρμογές.

3) Διαχείριση λογαριασμών και έλεγχος πρόσβασης:

* Η πρόσβαση σε πληροφορίες και συστήματα θα πρέπει να γίνεται βάσει ρόλων και καθηκόντων, σύμφωνα με την προσέγγιση “need-to-know-basis” και “least privilege”.

* Η χρήση των λογαριασμών διαχείρισης θα πρέπει να γίνεται αποκλειστικά για διαχειριστικές εργασίες. Ανάλογα με την κρισιμότητα των δεδομένων και των συστημάτων, συστήνονται επιπλέον μέτρα, όπως π.χ. η χρήση υπολογιστών αποκλειστικά για διαχείριση, καθώς και η αυθεντικοποίηση δύο παραγόντων (two-factor-authentication).

*Χρησιμοποιείστε ισχυρούς κωδικούς πρόσβασης (strong passwords). Συνιστάται οι κωδικοί πρέπει να έχουν μήκος τουλάχιστον 10 χαρακτήρων με συνδυασμό κεφαλαίων, μικρών, ειδικών χαρακτήρων και αριθμών.

*Τηρείτε αρχεία καταγραφής (log files) στο δίκτυο, στους servers, στα λειτουργικά συστήματα και τις εφαρμογές, τα οποία θα ελέγχονται τακτικά για ανίχνευση επιθέσεων και προσπαθειών παραβίασης των συστημάτων.

4) Υλοποιήστε πολυεπίπεδη άμυνα:

* Στην εξωτερική περίμετρο με τη χρήση firewalls, IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems), access control lists κ.α..

* Εσωτερικά με την τμηματοποίση του δικτύου (είτε με φυσικό τρόπο είτε με εικονικό τρόπο [virtual lans]) και την υλοποίηση κανόνων πρόσβασης (σε χρήστες και συσκευές) και περιορισμού δικαιωμάτων, καθώς και τη δημιουργία DMZ.

5) Υλοποιήστε σε τακτική βάση προγράμματα ευαισθητοποίησης του προσωπικού και διαμόρφωσης κουλτούρας ασφάλειας (security awareness training). Η συντριπτική πλειοψηφία των σύγχρονων κυβερνοεπιθέσεων ξεκινά με επιθέσεις κοινωνικής μηχανικής (π.χ. phishing email, spam).

6) Η απομακρυσμένη πρόσβαση (remote access) στα συστήματα του Οργανισμού θα πρέπει να γίνεται με τη χρήση VPN με ισχυρή κρυπτογράφηση, καθώς και χρήση αυθεντικοποίησης 2 παραγόντων (two-factor-authentication).

7) Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών (incidence response plan), το οποίο θα περιλαμβάνει σαφείς ρόλους και ενέργειες και θα δοκιμάζεται σε περιοδική βάση.

8) Θα πρέπει να τηρείτε τακτικά αντίγραφα ασφαλείας (backup) των δεδομένων σας, διασφαλίζοντας την αποτελεσματική ανάκτησή τους (recovery) σε περίπτωση απώλειας. Επίσης, τα αντίγραφα ασφαλείας των κρίσιμων και ευαίσθητων δεδομένων θα πρέπει να αποθηκεύονται με ασφαλή τρόπο και περιορισμό πρόσβασης.

9) Εφαρμόζετε μηχανισμούς κρυπτογράφησης στα κρίσιμα και προσωπικά δεδομένα που τηρούνται στον Οργανισμό, προκειμένου να εξασφαλίζεται η εμπιστευτικότητα και η ιδιωτικότητά τους σε όλα τα στάδια του κύκλου ζωής τους.

10) Εφαρμόζετε μέτρα προστασίας και ανάκαμψης από φυσικές και περιβαλλοντικές απειλές (διαταραχή ηλεκτροδότησης, πλημμύρες, πυρκαγιές κ.λπ.).