Κυβερνοασφάλεια: Οι προτάσεις του ΣΕΒ για ασφαλείς επιχειρήσεις

Πάνω από το 50% των μεσαίων και μεγάλων επιχειρήσεων αναμένεται να απειληθεί το 2020 από κάποιας μορφής κυβερνοεπίθεση, επισημαίνει ο ΣΕΒ σε σχετική μελέτη με την οποία εφιστά την προσοχή των επιχειρήσεων στο ζήτημα της κυβερνοασφάλειας. Όπως αναφέρει, οι κίνδυνοι του κυβερνοχώρου έχουν αυξηθεί κατακόρυφα και ενώ η πανδημία επιτάχυνε την ψηφιοποίηση δημόσιων οργανισμών και επιχειρήσεων, δεν παρατηρείται ανάλογη αναβάθμιση και αναθεώρηση των συστημάτων και πολιτικών ασφαλείας.

«Ένα σοβαρό περιστατικό μπορεί να διαταράξει την εύρυθμη λειτουργία, ακόμα και να θέσει σε κίνδυνο την επιβίωση της επιχείρησης», αναφέρει ο Σύνδεσμος. «Οι κυβερνο-επιθέσεις μπορούν να πλήξουν την αξιοπιστία της επιχείρησης, να προκαλέσουν οικονομική ζημιά, να διακόψουν την παραγωγική λειτουργία, να υποκλέψουν πνευματική ιδιοκτησία, να διαρρεύσουν εμπιστευτικές πληροφορίες, να διακόψουν την πρόσβαση σε βάσεις δεδομένων, ή ακόμα και να εκβιάσουν για την «απελευθέρωση» των δεδομένων. Επίσης, μπορεί να επιφέρουν νομικούς κινδύνους λόγω ελλιπούς προστασίας προσωπικών δεδομένων (κανόνες GDPR)».

ΑΝΑΛΥΤΙΚΑ

Η ταχεία υιοθέτηση ψηφιακών τεχνολογιών είναι σημαντικός παράγοντας προσαρμογής κάθε επιχείρησης στην 4η Βιομηχανική Επανάσταση. Όμως μαζί με την τεχνολογική προσαρμογή έρχεται και η ανάγκη διαχείρισης των αυξανόμενων κινδύνων του κυβερνοχώρου. Ένα σοβαρό περιστατικό μπορεί να διαταράξει την εύρυθμη λειτουργία, ακόμα και να θέσει σε κίνδυνο την επιβίωση της επιχείρησης. Είναι σημαντικό οι επιχειρήσεις να διαθέτουν αποτελεσματικές στρατηγικές κυβερνοασφάλειας με όλα τα οργανωτικά και τεχνολογικά μέτρα.

Οι κυβερνο-εγκληματίες εκμεταλλεύονται τα κενά ασφαλείας που παρουσιάζονται τόσο λόγω ελλιπούς κατανόησης των νέων τεχνολογιών από την επιχείρηση όσο και ελλιπούς πληροφόρησης στους εργαζόμενους-χρήστες από την επιχείρηση για τις νέες μορφές ψηφιακής παραπλάνησης. Οι κυβερνο-επιθέσεις μπορούν να πλήξουν την αξιοπιστία της επιχείρησης, να προκαλέσουν οικονομική ζημιά, να διακόψουν την παραγωγική λειτουργία, να υποκλέψουν πνευματική ιδιοκτησία, να διαρρεύσουν εμπιστευτικές πληροφορίες, να διακόψουν την πρόσβαση σε βάσεις δεδομένων, ή ακόμα και να εκβιάσουν για την «απελευθέρωση» των δεδομένων. Επίσης, μπορεί να επιφέρουν νομικούς κινδύνους λόγω ελλιπούς προστασίας προσωπικών δεδομένων (κανόνες GDPR).

Κάθε ηλεκτρονική συσκευή, εργαζόμενος, ή εξωτερικός συνεργάτης μπορεί να βρεθεί εκτεθειμένος σε «κυβερνο-κινδύνους». Όμως, λύση δεν είναι η καθυστέρηση της τεχνολογικής αναβάθμισης λόγω φόβου, αλλά μια ξεκάθαρη πολιτική ασφάλειας με συνεχή προσαρμογή του επιπέδου κυβερνοασφάλειας στα τεχνολογικά δεδομένα.

Αύξηση των κινδύνων κατά την πανδημία του κορωνοϊού

Εν μέσω πανδημίας, οι κίνδυνοι του κυβερνοχώρου έχουν αυξηθεί κατακόρυφα. Ενώ η πανδημία επιτάχυνε την ψηφιοποίηση δημόσιων οργανισμών και επιχειρήσεων, δεν παρατηρείται ανάλογη αναβάθμιση και αναθεώρηση των συστημάτων και πολιτικών ασφαλείας. Η αποτελεσματική κυβερνοασφάλεια όμως, προϋποθέτει την επαγρύπνηση των διοικήσεων, επαρκείς προϋπολογισμούς, υλοποίηση προτεραιοποιημένων δράσεων σε επίπεδο τεχνολογίας ασφαλείας, διαδικασιών, διακυβέρνησης και ανθρώπινου δυναμικού. Πρέπει να γίνει άμεσα αντιληπτό ότι όσο γρήγορα εξελίσσονται οι τεχνικές ψηφιακών επιθέσεων, τόσο άμεσα πρέπει να επικαιροποιούνται και οι μέθοδοι προστασίας.

Ποιοι είναι οι κίνδυνοι για τις επιχειρήσεις
Οι επιθέσεις εστιάζουν κυρίως σε τρεις κατηγορίες επιχειρήσεων: Στις βιομηχανικές επιχειρήσεις, στις μεσαίες και μεγάλες επιχειρήσεις ανεξαρτήτως κλάδου, και στις επιχειρήσεις με σημαντικό όγκο εμπιστευτικών πληροφοριών. Οι μικρότερες επιχειρήσεις αντιμετωπίζουν γενικά λιγότερες επιθέσεις, χωρίς αυτό να σημαίνει πως δεν πρέπει να λαμβάνουν μέτρα προστασίας. Ειδικότερα:

• Ο κλάδος της βιομηχανίας αντιμετωπίζει αυξανόμενες απειλές στην εποχή της 4ης Βιομηχανικής επανάστασης. Σε ευρωπαϊκό επίπεδο, το 2018 4 στις 10 βιομηχανικές επιχειρήσεις επηρεάστηκαν από σοβαρό συμβάν ασφάλειας, τα περιστατικά εκβιασμών αυξήθηκαν 3500%, η ψηφιακή απάτη κατά 250%. Η μέση οικονομική ζημιά ανήλθε σε €330.000 ανά περιστατικό ενώ η αντίστοιχη μέση ζημιά από παραβίαση οικονομικών και εμπιστευτικών δεδομένων ήταν €7,5 εκ. Σημειώνεται πως τα νούμερα παρουσιάζουν ισχυρά αυξητική τάση το 2019, ενώ η πανδημία αναμένεται να τα αυξήσει περισσότερο.
• Οι μεσαίες και μεγάλες επιχειρήσεις υιοθετούν εκτενώς νέες ψηφιακές τεχνολογίες (βλέπε πρόσφατη μελέτη σε 16 κλάδους) και βιώνουν ψηφιακές παραβιάσεις ιδιαίτερης σοβαρότητας. Την περίοδο 2014-2019, οι παραβιάσεις αυξήθηκαν κατά 67%, με αποτέλεσμα το 2019, το 40% των επιχειρήσεων να βιώσει ψηφιακές παραβιάσεις, με αυξημένο κόστος και χρόνο αποκατάστασης. Το μέσο κόστος αποκατάστασης μαζί με τη μέση επίπτωση στην καθημερινή λειτουργία υπολογίζεται σε €13 εκ. ανά παραβίαση. Η ζημιά αυτή παρουσιάζει σημαντική αυξητική τάση κατά 72% την τελευταία πενταετία. Το 2020 πάνω από το 50% των μεσαίων και μεγάλων επιχειρήσεων αναμένεται να απειληθεί από κάποιας μορφής κυβερνοεπίθεση.
• Για επιχειρήσεις με σημαντικό όγκο εμπιστευτικών πληροφοριών (όπως η πνευματική ιδιοκτησία), είναι ιδιαίτερα κρίσιμη η επαρκής προστασία. Σε πρόσφατη ανάλυση, το μέσο κόστος αποκατάστασης (τεχνική και λειτουργική) από κυβερνοεπίθεση ανέρχεται σε €3,9 εκ. ανά παραβίαση, ενώ το μέσο χρονικό διάστημα για τον εντοπισμο και περιορισμό του περιστατικού φτάνει τις 280 ημέρες. Στην ίδια ανάλυση αναδεικνύονται και οι συνέπειες της πανδημίας, καθώς 3 στις 4 επιχειρήσεις αναμένουν σημαντική αύξηση του χρόνου εντοπισμού και αποκατάστασης τέτοιων περιστατικών, κυρίως λόγω της δυσκολίας ψηφιακής προστασίας σε περιπτώσεις απομακρυσμένης εργασίας.

Είναι εμφανές ότι η εξέλιξη των τεχνικών των κυβερνοεπιθέσεων συμβαδίζει με την εξέλιξη της τεχνολογίας. Οι οργανισμοί πρέπει να υιοθετήσουν την αντίληψη ότι σε μεσοπρόθεσμο χρονικό ορίζοντα η ασφάλειά τους θα αντιμετωπίσει σημαντικές ψηφιακές προκλήσεις. Για το λόγο αυτό απαιτείται η έγκαιρη προετοιμασία για την άμεση και αποτελεσματική διαχείριση κακόβουλών περιστατικών, ελαχιστοποίηση των οικονομικών επιπτώσεων και επαναφορά των επιχειρησιακών λειτουργιών το συντομότερο δυνατό. Κατά συνέπεια, οι επιχειρήσεις οφείλουν να μεριμνήσουν, ώστε να πορευθούν στη νέα ψηφιακή με ένα συνεκτικό και ισχυρό σχέδιο κυβερνοασφάλειας, που να καλύπτει όλα τα επίπεδα και στάδια λειτουργίας τους.

Το Παρατηρητήριο Ψηφιακού Μετασχηματισμού του ΣΕΒ για την κυβερνοασφάλεια

Το Παρατηρητήριο Ψηφιακού Μετασχηματισμού του ΣΕΒ με τη συνεργασία της Deloitte, προτείνει ένα πλέγμα 35 καλών πρακτικών κυβερνοασφάλειας (ανάλυση εδώ). Επιπλέον, περιέχει έναν οδικό χάρτη προετοιμασίας για την αντιμετώπιση ψηφιακών επιθέσεων, ώστε οι επιχειρήσεις να αναβαθμίσουν την ασφάλειά τους μέσα από την απάντησή τους σε 10 κρίσιμα ερωτήματα:

Επίγνωση: περιλαμβάνει την κατανόηση και αξιολόγηση του κινδύνου και τις απαραίτητες δομές και πόρους ψηφιακής προστασίας
1. Ποιος έχει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO); Έχει η θέση επαρκείς διοικητικές αρμοδιότητες για το σχεδιασμό και εποπτεία της κυβερνοασφάλειας;
2. Διατίθεται επαρκής προϋπολογισμός και ανθρώπινοι πόροι για θέματα κυβερνο-προστασίας;

Προστασία: λειτουργίες και συστήματα που προστατεύονται με καλές πρακτικές και δικλείδες ασφαλείας
3. Ποιες διαδικασίες της επιχείρησης βασίζονται καταλυτικά σε ψηφιακά συστήματα και πως επηρεάζεται η καθημερινή λειτουργία της επιχείρησης από προβλήματα στα συστήματα αυτά;
4. Ποια είναι τα κρίσιμα προϊόντα / υπηρεσίες / πληροφορίες / γραμμές παραγωγής / ΤΠΕ που χρήζουν προστασίας;
5. Ποιοι είναι οι νέοι κίνδυνοι που αναπτύσσονται στον κυβερνοχώρο για τις κρίσιμες διαδικασίες και συστήματα της επιχείρησης;
6. Ποιο είναι το υφιστάμενο και ποιο το επιθυμητό επίπεδο κυβερνοασφάλειας στις διαδικασίες και στα συστήματα της επιχείρησης;

Ανθεκτικότητα: με αρχιτεκτονική ψηφιακής ασφάλειας και συνεχείς προληπτικούς ελέγχους 
7. Ποια πρότυπα ασφαλείας πρέπει να χρησιμοποιήσει η επιχείρηση;
8. Ποιες είναι οι προτεραιότητες για την κυβερνοπροστασία της επιχείρησης, με μεσοπρόθεσμο (1 έτος) και μακροπρόθεσμο ορίζοντα (5 έτη);
9. Πως υιοθετείται μια κουλτούρα ασφαλούς χρήσης ψηφιακών συστημάτων από όλους τους εργαζόμενους;
10. Κάθε πότε γίνονται δοκιμές ανθεκτικότητας της προστασίας και κάθε πότε επικαιροποιείται η στρατηγική;

Οι απαντήσεις κάθε επιχείρησης στις παραπάνω ερωτήσεις θα τη βοηθήσουν να αποτρέψει σημαντικούς κινδύνους κυβερνοασφάλειας, εφόσον στο επόμενο στάδιο συνοδεύονται και από την εφαρμογή ενός αντίστοιχου σχεδίου, προσαρμοσμένου στις ανάγκες της. Μια τέτοια προσέγγιση, πέρα από αυξημένο επίπεδο ασφάλειας κατά τη λειτουργία της επιχείρησης, προσφέρει και ένα σημαντικό ανταγωνιστικό πλεονέκτημα, τόσο μέσω της διασφάλισης της εμπιστοσύνης μετόχων και πελατών στη διοίκηση της επιχείρησης, όσο και μέσα από τη μεγιστοποίηση του οφέλους των τεχνολογιών της 4ης Βιομηχανικής Επανάστασης.

Δείτε εδώ την πλήρη μελέτη και ανάλυση του παρατηρητηρίου ψηφιακού μετασχηματισμού του ΣΕΒ για την κυβερνοασφάλεια.