Επιχειρήσεις και ηλεκτρονικό έγκλημα

Διανύουμε την 4η Βιομηχανική Επανάσταση (Industry 4.0), η οποία χαρακτηρίζεται μεταξύ άλλων από υψηλές ταχύτητες συνδεσιμότητας, άπλετη προσβασιμότητα σε δεδομένα και ευρεία ψηφιοποίηση διαδικασιών. Οι τεχνολογίες αυτές εισέβαλαν στο επιχειρείν αλλάζοντας τον τρόπο που εργαζόμαστε και διευκολύνοντας τις επιχειρηματικές μας συναλλαγές. Παράλληλα, η ανάγκη για να ξεπεραστούν οι δυσκολίες που προκάλεσε η πανδημία και η αποστασιοποίηση κατά την τελευταία διετία, επιτάχυνε ακόμα περισσότερο την υιοθέτηση τέτοιων λύσεων στο εργασιακό περιβάλλον. 

Εντούτοις, μαζί με την εξέλιξη της τεχνολογίας, το ίδιο ραγδαία φαίνεται να εξελίσσεται το ηλεκτρονικό έγκλημα και οι κακόβουλες ενέργειες, που σκοπό έχουν είτε να προκαλέσουν ζημιά στα ηλεκτρονικά συστήματα των επιχειρήσεων, είτε να αποκομίσουν οικονομικό όφελος με δόλια μέσα. Λαμβάνοντας όλα αυτά υπόψη, η Ομοσπονδία Εργοδοτών & Βιομηχάνων (ΟΕΒ) κατά καιρούς ενημερώνει τις επιχειρήσεις για τη συνεχή απειλή του ηλεκτρονικού εγκλήματος, προειδοποιώντας για τις αρνητικές επιπτώσεις που μπορεί να προκαλέσει στην αρμονική τους λειτουργία. Εντούτοις, το ηλεκτρονικό έγκλημα συνεχίζεται και μάλιστα το τελευταίο διάστημα παρατηρείται έξαρση. Για το λόγο αυτό, η κάθε επιχείρηση οφείλει να ενημερώνεται για τους κινδύνους που ελλοχεύουν και να γνωρίζει κάποιες από τις μεθόδους που συχνά χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου: 

Το Phishing (παράφραση της λέξης fishing) αποτελεί μια μορφή ηλεκτρονικής απάτης που εστιάζει στη υποκλοπή ή “ψάρεμα” ευαίσθητων πληροφοριών, όπως είναι ονόματα χρήστη, κωδικοί πρόσβασης, αριθμοί PIN, αριθμοί πιστωτικών καρτών κλπ. με σκοπό το κέρδος αυτού που θα τα αποκτήσει.

Οι απατεώνες συνήθως αποστέλλουν μαζικά ηλεκτρονικά μηνύματα ή ακόμα και μηνύματα SMS, με σκοπό να παραπλανήσουν κάποιους από τους αποδέκτες και να αποσπάσουν προσωπικά τους στοιχεία. Σε πολλές περιπτώσεις, τα μηνύματα αυτά παραπέμπουν σε κάποια πλαστή ιστοσελίδα η οποία είναι αντίγραφο άλλης γνωστής ιστοσελίδας (π.χ. τραπεζικού ιδρύματος). Εφόσον ο παραλήπτης πέσει στην παγίδα να καταχωρήσει τα στοιχεία του, αυτά συλλέγονται και μπορούν να χρησιμοποιηθούν από τους εγκληματίες. 

Το Ransomware είναι μια μορφή κακόβουλου λογισμικού, που εφόσον κατορθώσει να παρεισφρήσει σε έναν υπολογιστή ή στο ηλεκτρονικό δίκτυο μιας επιχείρησης, ακολούθως εντοπίζει και αντιγράφει σημαντικά αρχεία ή τα “κλειδώνει” (κρυπτογραφεί) καθιστώντας τα μη προσβάσιμα. Στη συνέχεια, ο εγκληματίας ζητά λύτρα (ransom) από το θύμα του, απειλώντας ότι αν δεν του δοθούν τα απαιτούμενα ανταλλάγματα θα δημοσιεύσει απόρρητα / ευαίσθητα δεδομένα ή θα κρατήσει για πάντα κλειδωμένα τα αρχεία του θύματος.

Για σκοπούς απόκρυψης της ταυτότητας τους, οι απατεώνες συχνά ζητούν να εισπράξουν τη λεία τους σε κρυπτονομίσματα. Επίσης, σε πολλές περιπτώσεις εφόσον το θύμα δεχθεί τους όρους του εγκληματία, τα προβλήματα αυξάνονται αντί να μειώνονται (π.χ. ζητά ακόμα περισσότερα λύτρα ή τα κλειδωμένα αρχεία παραμένουν σε μη-χρησιμοποιήσιμη μορφή). 

Μια άλλη μορφή ηλεκτρονικής απάτης είναι η παραποίηση ηλεκτρονικών μηνυμάτων (email). Στις περιπτώσεις αυτές, οι εγκληματίες του κυβερνοχώρου κατορθώνουν να αλλοιώσουν το περιεχόμενο μηνυμάτων email και να οδηγήσουν το θύμα τους στην καταβολή πληρωμών από εμπορικές συναλλαγές σε λανθασμένους τραπεζικούς λογαριασμούς, αποσπώντας με τον τρόπο αυτό μεγάλα χρηματικά ποσά.

Εγκλήματα και τακτικές όπως αυτές που περιγράφονται πιο πάνω, έχουν καταγραφεί τα τελευταία χρόνια και στην Κύπρο, όπως είναι σε θέση να γνωρίζει η ΟΕΒ. Παράλληλα, η φαντασία και ευρηματικότητα των εγκληματιών συνεχώς γεννά καινούργιες μορφές ηλεκτρονικής απάτης. Κάποια βασικά μέτρα προστασίας που επιβάλλεται να ακολουθεί ο μέσος χρήστης ηλεκτρονικού υπολογιστή σε μια επιχείρηση είναι τα ακόλουθα:

Επιλογή ισχυρών κωδικών πρόσβασης (συνδυασμός γραμμάτων, αριθμών και συμβόλων) και συχνή αλλαγή τους.

Αποφυγή χρήσης του ίδιου κωδικού πρόσβασης σε πολλές εφαρμογές.

Αποφυγή ανοίγματος ιστοσελίδων από email αμφιβόλου προέλευσης.

Χρήση αξιόπιστων προγραμμάτων προστασίας από κακόβουλα λογισμικά.

Συχνή ενημέρωση λογισμικού του υπολογιστή και των προγραμμάτων πλοήγησης.

Συχνή και τακτική φύλαξη αντιγράφων ασφαλείας (backups) σημαντικών δεδομένων, για εύκολη και ανώδυνη επαναφορά σε περίπτωση κυβερνοεπίθεσης ή προσβολής από ιό.

Φύλαξη των αντιγράφων ασφαλείας σε σύστημα εντελώς ανεξάρτητο από τα πρωτότυπα δεδομένα.

Εάν μια επιχείρηση διαπιστώσει ότι έχει πέσει θύμα ηλεκτρονικής απάτης, θα πρέπει να απευθυνθεί άμεσα στην Υποδιεύθυνση Ηλεκτρονικού Εγκλήματος του ΤΑΕ Αστυνομίας Κύπρου (cyberalert.cy). Τα στελέχη της υπηρεσίας διαθέτουν την εμπειρία και τις γνώσεις που χρειάζονται για καλύτερη αντιμετώπιση του κάθε περιστατικού ξεχωριστά. Φυσικά, ο καλύτερος τρόπος αντιμετώπισης του ηλεκτρονικού εγκλήματος σε μια επιχείρηση δεν παύει να είναι η πρόληψη μέσα από τον ασφαλή σχεδιασμό δικτύων, τον σωστό προγραμματισμό και την εφαρμογή αξιόπιστων ηλεκτρονικών συστημάτων. 

Για να επιτευχθούν τα πιο πάνω, είναι απαραίτητη η καθοδήγηση από τους ειδικούς, που δεν είναι άλλοι από τις επιχειρήσεις πληροφορικής. Ο Παγκύπριος Σύνδεσμος Επιχειρήσεων Πληροφορικής (CITEA) ιδρύθηκε το 1987 και από την ίδρυση του μέχρι και σήμερα αποτελεί έναν από τους σημαντικούς επαγγελματικούς συνδέσμους της ΟΕΒ. Οι επιχειρήσεις μέλη του καλύπτουν ολόκληρο το φάσμα του ευρύτερου κλάδου της Πληροφορικής και είναι σε θέση να καθοδηγήσουν τον κάθε επιχειρηματία στην υιοθέτηση και ανάπτυξη ηλεκτρονικών συστημάτων που θα είναι ασφαλή και ανθεκτικά στους κινδύνους που παραμονεύουν στον κυβερνοχώρο.

* Λειτουργός Επιχειρηματικής Ανάπτυξης & Οικονομίας, Ομοσπονδία Εργοδοτών & Βιομηχάνων (ΟΕΒ)