Κυβερνοεπιθέσεις και τρόποι πρόληψης

Σύμφωνα με έρευνες της Αρχής Ψηφιακής Ασφάλειας Κύπρου, οι κυβερνοεπιθέσεις που στοχεύουν τόσο τον δημόσιο όσο και τον ιδιωτικό τομέα έχουν αυξηθεί δραματικά τους τελευταίους 12 μήνες.

Τα ευρήματα των ερευνών, στις οποίες συμμετείχαν 450 οργανισμοί, έδειξαν ότι το 46% των συμμετεχόντων έπεσαν θύματα παραβιάσεων ασφάλειας, όπως παραβίαση λογισμικών και συστημάτων και επιθέσεις ransomware, με μέσο όρο τρεις με τέσσερις επιθέσεις τον μήνα.

Το 48% των οργανισμών που στοχοποιήθηκαν και παραβιάστηκαν υπέστησαν οικονομικές ζημιές, με μέσο όρο 23.000 ευρώ.

Ο πιο συνηθισμένος τρόπος επίθεσης (36%) από τους κακόβουλους δράστες, για να αποκτήσουν πρόσβαση στα συστήματα ενός οργανισμού, είναι η απάτη μέσω phishing, αλλά και η έλλειψη πολιτικών και διαδικασιών ασφάλειας στο cyberspace, σχετικά με την αναβάθμιση συστημάτων (system patching), για να παραμένουν ενημερωμένα με τις τελευταίες τεχνολογικές εξελίξεις και να μετριάζουν τον κίνδυνο ενάντια στους πιο πρόσφατους τρόπους επίθεσης που υπάρχουν στον «άγριο» χώρο του διαδικτύου.
Μια άλλη πρόσφατη και δημοφιλής μορφή επίθεσης είναι η στόχευση ατόμων μέσω επιθέσεων social engineering (π.χ. phishing, κακόβουλα μηνύματα SMS, κ.λπ.). Από τα 1025 άτομα που συμμετείχαν στην έρευνα, το 40% έπεσε θύμα τέτοιων επιθέσεων και το 19% είχε μέσο όρο οικονομικές ζημιές ύψους 318 ευρώ.
Οι πρόσφατες επιθέσεις με στόχο μεγάλα κυπριακά ιδρύματα του ιδιωτικού και δημόσιου τομέα δείχνουν ότι αυτού του είδους οι επιθέσεις (ransomware, spyware, phishing, παραβίαση λογισμικών ή επιθέσεις πλαστοπροσωπίας) στοχοποιούν αργά αλλά σταθερά οργανισμούς που έχουν ως έδρα τους την Κύπρο, κάτι που είναι εμφανές και από τα πορίσματα του Ευρωβαρόμετρου για τις ΜμΕ (μικρομεσαίες επιχειρήσεις) και τις στατιστικές για το έγκλημα στον κυβερνοχώρο.

Η σωστή εκπαίδευση και ενημέρωση πρέπει να υιοθετηθεί από όλους τους οργανισμούς, για να ενισχύσουν τα επίπεδα ασφάλειας τους στον κυβερνοχώρο και να μπορέσουν να αντιμετωπίσουν τους αυξανόμενους τρόπους επιθέσεων που μπορούν να χρησιμοποιήσουν οι κακόβουλοι χρήστες, με σκοπό την πρόσβαση στα κρίσιμα συστήματα ενός οργανισμού.

Υπάρχουν αρκετοί παράγοντες που συμβάλλουν στην εκτέλεση μιας επίθεσης. Ένας από τους πιο βασικούς λόγους είναι η ελλιπής ενημέρωση εργαζομένων σε θέματα ασφάλειας πληροφοριών. Όσο και αν η διοίκηση επενδύει σημαντικά σε συστήματα και αυτοματοποιημένους ελέγχους, η διαρροή πληροφοριών, που μπορεί να φαίνεται ακίνδυνη τη δεδομένη στιγμή, μπορεί να επιφέρει σοβαρές επιπτώσεις.

Ταυτόχρονα, η απουσία επένδυσης σε εργαλεία και εξιδεικευμένο προσωπικό και η στήριξη του οργανισμού για τη διαφύλαξη των συμφερόντων αποκλειστικά στους εργαζόμενους, οδηγεί σε χαμηλά επίπεδα ασφάλειας.
Η ύπαρξη σωστής ισορροπίας συστημάτων και δικλίδων ασφαλείας με βάση το μέγεθος και τη φύση ενός οργανισμού μπορεί να αποβεί σωτήρια και να αποτρέψει ή τουλάχιστον να παράσχει έγκαιρη ένδειξη ενός συμβάντος ή μιας κακόβουλης δραστηριότητας, δίνοντας έτσι στον οργανισμό χρόνο να προβεί σε απαραίτητες ενέργειες για αποτροπή.

Ένας άλλος βασικός παράγοντας, παρά τους πολυάριθμους κανονισμούς και τις κατευθυντήριες γραμμές που έχουν εκδοθεί σχετικά με τη διαχείριση κινδύνων από τρίτους, οι οργανισμοί (ιδίως μικρού και μεσαίου μεγέθους) έχουν σχεδόν απόλυτη εμπιστοσύνη στους προμηθευτές τους, με αποτέλεσμα να μην αναπτύσσουν επαρκείς εσωτερικές δικλίδες παρακολούθησης.

Αυτό οδηγεί σε αύξηση των απειλών και εσωτερικών κινδύνων, αφήνοντας τους οργανισμούς πιο ευάλωτους σε μεγαλύτερο αριθμό επιθέσεων, που ενδέχεται να μην ανιχνευθούν εγκαίρως.
Δράσεις που οι οργανισμοί μπορούν να υιοθετήσουν για την ενίσχυση του επιπέδου ασφάλειας τους είναι η σωστή και συνεχής εκπαίδευση των εργαζομένων, με διάφορες μεθόδους.

Η συμβατική εκπαίδευση μπορεί να εμπλουτιστεί με μια σειρά διαδραστικών λύσεων που έχουν δημιουργηθεί για τον σκοπό αυτό και να συνοδεύονται από συχνά ενημερωτικά δελτία με συμβουλές και σχετικές πληροφορίες για τις τρέχουσες εξελίξεις.

Παράλληλα, η καταγραφή και η βελτίωση των πολιτικών και διαδικασιών Τεχνολογίας Πληροφοριών, Επικοινωνίας και Ασφάλειας μπορεί να αυξήσει την ευαισθητοποίηση των χρηστών και να υποστηρίξει τη συνεπή και ορθή εκτέλεση των δικλίδων ασφαλείας, όπως ορίζονται από κάθε οργανισμό, με στόχο τη θωράκιση του συνολικού περιβάλλοντος.

Ο συνδυασμός αυτόματων και μη ελέγχων ασφαλείας έχει αποδειχθεί ότι είναι μια από τις πιο σωστές προσεγγίσεις, καθώς ο ανθρώπινος παράγοντας είναι πάντα απαραίτητος.

Οι ενεργές δράσεις μέσω συχνών ελέγχων, όπως penetration testing, οι εκτιμήσεις κινδύνου και οι έλεγχοι ανθεκτικότητας του συνολικού τεχνολογικού περιβάλλοντος, καθώς και τα κατάλληλα εργαλεία παρακολούθησης μπορούν να παρέχουν στους οργανισμούς ασφάλεια σε θεμιτό βαθμό.

Μεγαλύτερες οι ζημιές από την αποφυγή επένδυσης

Εν κατακλείδι, οι οργανισμοί μπορούν να ενισχύσουν τα επίπεδα ασφάλειας τους και να μειώσουν τις σχετικές επιθέσεις, με το να κατανοούν και να αξιολογούν τους αυξανόμενους κινδύνους ασφάλειας.

Πρέπει να βάζουν την ασφάλεια στο cyberspace σε στρατηγική θέση και στον προϋπολογισμό τους, καθώς οι ζημιές από τη μη επένδυση σε θέματα ασφάλειας είναι πολύ μεγαλύτερες.

Η προστασία πληροφοριών και δεδομένων είναι επιτυχής μόνο εάν αφορά μια συλλογική και πολυεπίπεδη προσπάθεια. Η συνεχής βελτίωση όλων των παραμέτρων ενός συστήματος διαχείρισης ασφάλειας πληροφοριών είναι υποχρεωτική, προκειμένου να ανταποκρίνεται στις συνεχείς αλλαγές του τεχνολογικού τομέα.

*Senior Cybersecurity Specialist, Technology Consulting, KPMG Limited
** Cybersecurity Specialist, Technology Consulting, KPMG Limited