Γράφει ο Χρήστος Ξενάκης*
Η σύγχρονη εποχή χαρακτηρίζεται από τη γενικευμένη εφαρμογή εξελιγμένων Τεχνολογιών Πληροφορικής και Επικοινωνιών, κάτι το οποίο εντάθηκε από την απότομη έξαρση της πανδημίας COVID-19.
Oι επιχειρήσεις, προκειμένου να καλύψουν τις πρωτοφανείς ανάγκες που εμφανίστηκαν από τη πανδημία, ενίσχυσαν τις επιχειρησιακές τους λειτουργίες, εφαρμόζοντας τεχνολογίες οι οποίες δεν είχαν δοκιμαστεί εκτενώς σε προβλήματα ασφάλειας. Τα προβλήματα ασφάλειας, όμως, δεν μένουν μόνο σε συγκεκριμένες εφαρμογές και συστήματα, αλλά κληροδοτούνται και στις υπόλοιπες ψηφιακές υποδομές ενός οργανισμού.
Παράλληλα, υπάρχουν επίδοξοι χάκερς οι οποίοι επιχειρούν να εκμεταλευτούν τα προβλήματα ασφάλειας των πληροφοριακών συστημάτων, απειλώντας την ομαλή λειτουργία του ψηφιακού οικοσυστήματος μιας επιχείρησης, με αποτέλεσμα η επιχείρηση να γίνεται θύμα ηλεκτρονικής επίθεσης.
Οι περισσότερες ηλεκτρονικές επιθέσεις που αντιμετωπίζουν οι επιχειρήσεις βασίζονται στην κοινωνική μηχανική, την πληρωμή πλαστών τιμολογίων καθώς και προγράμματα κρυπτογράφησης.
Στόχος των επιχειρήσεων είναι να διατηρήσουν και να μη διακινδυνεύσουν την ομαλή λειτουργία τους, καθώς και την εμπιστοσύνη των πελατών τους.‧ Αυτά άλλωστε είναι δύο από τα χαρακτηριστικά που διακυβεύονται μόλις μια επιχείρηση πέσει θύμα ηλεκτρονικής επίθεσης.
Οι επιχειρήσεις, όμως, δεν είναι μόνες τους απέναντι σε αυτόν τον αόρατο ψηφιακό εχθρό. Υπάρχουν λύσεις, που αν εφαρμοστούν σωστά, η επιτυχής αντιμετώπιση απειλών μπορεί να αποτελέσει μια επιπλέον επιχειρησιακή λειτουργία.
Πιο συγκεκριμένα, οι επιχειρήσεις θα πρέπει να επενδύσουν χρόνο, τόσο στην αναδιαμόρφωση των εταιρικών τους διεργασιών, όσο και στην ασφάλιση γνωστή ως Cyber Insurance.
Το Cyber Insurance δεν είναι ένα μαγικό ραβδί το οποίο θα εμποδίσει μια ηλεκτρονική επίθεση, αλλά σε συνδυασμό με την επιχειρησιακή αναδιαμόρφωση, θα φροντίσει να υπάρξουν οι λιγότερες δυνατές απώλειες για την επιχείρηση.
Συγκεκριμένα, στην Cyber ασφάλιση γίνεται προσδιορισμός και ποσοτικοποίηση του ρίσκου σε χρηματικές μονάδες, σχεδιασμός αντίδρασης της επιχείρησης σε τυχόν περιστατικά ασφάλειας, καθώς και συμμόρφωση της επιχείρησης με τις τελευταίες οδηγίες και νομοθετικές ρυθμίσεις για την ασφάλεια ψηφιακών συστημάτων. Επίσης, αρκετές φορές παρέχεται εκπαίδευση και αξιολόγηση των εργαζομένων της επιχείρησης, ώστε να μπορούν να αντιμετωπίσουν επιθέσεις κοινωνικής μηχανικής.
Εμείς, ως Πανεπιστήμιο Πειραιώς, συμμετέχουμε στο Ευρωπαϊκό Έργο SECONDO το οποίο προτείνει μια πλατφόρμα «Economics-of-Security-as-a-Service», ακολουθώντας το πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Η πλατφόρμα αυτή εστιάζει στην εκτίμηση των κινδύνων στον κυβερνοχώρο, όπου, με μία ποσοτικοποιημένη προσέγγιση μπορεί να μετρηθεί η έκθεση στον κυβερνοχώρο.
Επίσης, παρέχει αναλύσεις για αποτελεσματική και αποδοτική διαχείριση κινδύνων, προτείνοντας βέλτιστες επενδύσεις σε μηχανισμούς ασφάλειας για τον περιορισμό του κινδύνου στον κυβερνοχώρο. Τέλος, στοχεύει στον προσδιορισμό των υπολειπόμενων κινδύνων και στην εκτίμηση των ασφαλίστρων.
*Καθηγητής Πανεπιστημίου Πειραιώς, Τμήμα Ψηφιακών Συστημάτων, Διευθυντής του Μεταπτυχιακού Προγράμματος “Ασφάλεια Ψηφιακών Συστημάτων”
