Ο Γιάννης Γιαννακάκης, DPO, κάτοχος της υψηλότερης αναγνώρισης στον χώρο του Data Privacy (Fellow of Information Privacy [FIP] από τον ΙΑPP), International Advisory Board Member του Cyber Rescue Alliance και συνιδρυτής του DPO Academy δίνει τη δική του οπτική για την κρισιμότητα του cyber security σήμερα, συνεχίζοντας το μπαράζ των καθημερινών συνεντεύξεων του NetFAX με CISOs και διευθυντικά στελέχη της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Ποιες είναι οι μεγαλύτερες προκλήσεις που αντιμετωπίζουν σήμερα οι επιχειρήσεις όσον αφορά το cyber security; Γιατί πρέπει να δώσουν μεγάλη σημασία στην προστασία των πληροφοριακών τους συστημάτων τους;
Μια από τις μεγαλύτερες προκλήσεις για τις επιχειρήσεις διεθνώς είναι η σημαντική αύξηση των επιθέσεων με phishing emails, τα οποία έχουν εξελιχθεί σημαντικά, αξιοποιώντας τεχνικές Machine Learning και AI (Artificial Intelligence). Μελέτη της Verizon κατέδειξε ότι το ποσοστό των χρηστών που άνοιξαν phishing emails αυξήθηκαν κατά 30% το 2018.

Όπως είναι γνωστό μέσω των phishing emails οι εισβολείς μπορούν να εγκαταστήσουν κακόβουλο λογισμικό στα πληροφοριακά συστήματα και να υποκλέψουν τα στοιχεία πρόσβασης (login credentials) σε αυτά, ή ακόμα και τα στοιχεία πιστωτικών καρτών, όπως και να αποκτήσουν πρόσβαση σε βάσεις δεδομένων .

Η συνεχώς αυξανόμενη εξάπλωση του ransomware, μέσω της οποίας οι εισβολείς μπορούν να «κλειδώσουν» ένα πληροφοριακό σύστημα, απαιτώντας λύτρα για να το αποδεσμεύσουν, είναι ακόμα θέμα που απασχολεί τις Διευθύνσεις cyber security των εταιρειών. Πλέον, οι επιθέσεις με ransomware έχουν προχωρήσει σε ένα ανώτερο επίπεδο και εστιάζουν όχι μόνο σε εταιρείες, αλλά και σε ιδιώτες με περιουσίες μεγάλης αξίας.

Μεγάλο πρόβλημα αποτελούν και οι κατευθυνόμενες κυβερνοεπιθέσεις, που ουκ ολίγες φορές οργανώνονται από συγκεκριμένα κράτη, θέτοντας ως στόχο τις κρίσιμες υποδομές αντιπάλων οικονομιών (για παράδειγμα, τηλεπικοινωνιακές υποδομές, μεταφορές, χρηματοπιστωτικά ιδρύματα κ.λπ.) έχοντας ως σκοπό να προκαλέσουν χάος και να δημιουργήσουν πανικό.

Το τελευταίο διάστημα έχουν ενταθεί και οι επιθέσεις τύπου cryptojacking, ήτοι οι επεμβάσεις των hackers σε συναλλαγές με κρυπτονομίσματα ( bitcoins), με στόχο την παραβίαση συστημάτων χρηστών που χρησιμοποιούν κρυπτονομίσματα, ώστε να τους τα κλέψουν.

Έντονο προβληματισμό και συζητήσεις έχουν προκαλέσει, επίσης, οι συνδεδεμένες συσκευές του ΙοΤ, οι οποίες, πέραν των σημαντικών πλεονεκτημάτων που προσφέρουν, κρύβουν αρκετούς κινδύνους, καθώς αποτελούν ελκυστικούς στόχους για τους hackers. Οι οποίοι όταν αποκτήσουν τον έλεγχό τους μπορούν να προκαλέσουν χάος ή να κλειδώσουν συστήματα, αποσκοπώντας σε οικονομικό όφελος.

Τέλος, μια μεγάλη πρόκληση αποτελεί η σημαντική έλλειψη εξειδικευμένων στελεχών στην ασφάλεια των πληροφοριακών συστημάτων και την κυβερνοασφάλεια . Η τεράστια αύξηση των κυβερνοεπίθεσεων παγκοσμίως δημιούργησε μια σοβαρή αδυναμία κάλυψης της ζήτησης σε στελέχη με εμπειρία και γνώση στον τομέα της κυβερνοασφάλειας.

Σε κάθε περίπτωση, ο κίνδυνος των κυβερνοεπιθεσεων και της παραβίασης ασφαλείας των πληροφοριακών συστημάτων συγκαταλέγεται πλέον μεταξύ των κορυφαίων ρίσκων για τις επιχειρήσεις, απαιτώντας ανάλογη αντιμετώπιση. Η υποβάθμιση αυτού του κινδύνου είναι πιθανόν να οδηγήσει στη μείωση της εμπορικής φήμης της εταιρείας και τη διακοπή των δραστηριοτήτων της για μικρό ή και μεγάλο χρονικό διάστημα, οδηγώντας ακόμα και σε οριστική παύση της λειτουργίας της.

Πόσο καλά προετοιμασμένες οι ελληνικές επιχειρήσεις όσον αφορά τις σύγχρονες απειλές; Tι συμβουλές θα δίνατε σε εκείνες τις εταιρείες που θέλουν να θωρακίσουν τα πληροφοριακά τους συστήματα ένεκα των επιθέσεων; Ποια είναι εκείνα τα σημεία που πρέπει να προσέξει μια επιχείρηση όσον αφορά το cyber security (π.χ. cloud, ανθρώπινος παράγοντας, κενά ασφαλείας κ.λπ.);
Οι ελληνικές επιχειρήσεις στη συντριπτική πλειοψηφία τους δεν έχουν αντιληφθεί τον κίνδυνο που συναρτάται με την κυβερνοασφάλεια και δεν επενδύουν σημαντικά κεφάλαια στην αναβάθμιση της ασφαλείας των πληροφοριακών τους συστημάτων. Όσο και αν φαίνεται απίστευτο, υπάρχουν ακόμα επιχειρήσεις στην Ελλάδα που δεν έχουν εγκαταστήσει firewall στις βάσεις δεδομένων τους, και σε κάποιες περιπτώσεις ούτε καν antimalware.

Αυτό είχε ως αποτέλεσμα να παρατηρηθεί το 2018 μια σημαντική αύξηση των κυβερνοεπιθέσεων σε ελληνικές εταιρείες, κυρίως από το χώρο των τροφίμων, της υγείας και των ασφαλειών, αλλά και σε επιπλέον κλάδους, καθώς οι εισβολείς εισέβαλαν με ιδιαίτερη ευκολία στα πληροφοριακά συστήματά των εταιρειών, εγκαθιστώντας κακόβουλο λογισμικό, κλειδώνοντάς τα και απαιτώντας λύτρα.

Οι ελληνικές επιχειρήσεις χρειάζεται να αυξήσουν σημαντικά τη δαπάνη για την αναβάθμιση της φυσικής και ηλεκτρονικής ασφαλείας των πληροφοριακών συστημάτων τους – εγκαθιστώντας σε ευρεία έκταση firewalls, antimalware, password change policy information security policy – και να αντιληφθούν τη σημασία της διαρκούς εκπαίδευσης του προσωπικού σε θέματα κυβερνοασφαλειας, αξιοποιώντας εξειδικευμένους συμβούλους κι εντείνοντας τις εκπαιδεύσεις του προσωπικού τους (οι οποίες πρέπει να γίνονται τουλάχιστον μια φορά το τρίμηνο).

Πώς πιστεύετε ότι πρέπει να αντιδράσει μια εταιρεία αν γίνει το αναπάντεχο και πέσει θύμα κυβερνοεπίθεσης;
Όταν μια εταιρεία δεχθεί μια κυβερνοεπιθεση θα πρέπει, καταρχάς, να εφαρμόσει το Incident Response Plan της, το οποίο οφείλει να έχει καταρτίσει με την ενεργοποίηση της ομάδας αντιμετώπισης κρίσεων.

Με αυτόν τον τρόπο θα μπορέσει να οργανώσει μια μεθοδική και οργανωμένη αντίδραση με στόχο τον άμεσο περιορισμό τη ζημιάς, τη μείωση της εσωτερικής και εξωτερικής έκθεσης της εταιρείας , την ενδεχόμενη ενεργοποίηση του Cyber Privacy Insurance (αν έχει) που θα καλύψει το κόστος της ζημιάς που τυχόν θα υποστεί σε μεγάλη -εάν όχι σε πλήρη- έκταση και την αποφυγή με κάθε τρόπο σπασμωδικών αντιδράσεων χωρίς οργανωμένο πλάνο, οι οποίες συνήθως αυξάνουν αντί να περιορίζουν τη ζημιά από την κυβερνοεπίθεση.

Το Incident Response Plan πρέπει να συντάσσεται από εξειδικευμένους επαγγελματίες της ασφαλείας πληροφοριακών συστημάτων και πάντα σε συνδυασμό με το Business Continuity Plan και το Data Recovery Plan, προκειμένου να ελεγχθεί ο αντίκτυπος της επίθεσης και να διαφυλαχθεί το εταιρικό image της επιχείρησης. Συνίσταται επίσης η εμπλοκή κι εξειδικευμένων συμβούλων σε θέματα Crisis Management.

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα; Πώς εκτιμάτε ότι θα εξελιχθεί το τοπίο των απειλών στο μέλλον, συναρτήσει, μάλιστα, των ευρωπαϊκών κανονισμών GDPR και NIS;
H έναρξη εφαρμογής του GDPR και της ευρωπαϊκής κοινοτικής οδηγίας ΝΙS δημιουργούν ένα νέο πλαίσιο στην προστασία των δεδομένων και τη θωράκιση των πληροφοριακών συστημάτων. Η πλήρης ενσωμάτωση του πλαισίου αυτού στην επιχειρησιακή καθημερινότητα των εταιρειών, με την ένταξη βασικών αρχών που προβλέπονται στην προαναφερόμενη νομοθεσία, όπως είναι το Privacy by Design και Security by Design, προσφέρουν σοβαρά όπλα στην αντιμετώπιση των συνεχών εξελισσόμενων μεθόδων των εισβολέων.

Η ανάπτυξη νέων κατηγοριών εισβολέων, όπως των hactivists (όπως είναι, για παράδειγμα, οι Anonymous) των κρατικά ελεγχόμενων ομάδων hackers, των μεμονωμένων εισβολέων (script kiddies) με απεριόριστα μέσα και οικονομικούς πόρους, η ανάπτυξη του Internet of Things (ΙοΤ) και του Blockchain σε νέους τομείς (όπως η εφοδιαστική αλυσίδα) δημιουργούν ένα νέο τοπίο με απεριόριστες δυνατότητες αλλά και αυξημένα ρίσκα από πλευράς cyber security.

Ο ψηφιακός μετασχηματισμός των εταιρειών τις οδηγεί στη νέα εποχή, δημιουργώντας την επιτακτική ανάγκη για άμεση αντιμετώπιση των αυξημένων κινδύνων που αυτή η εποχή φέρνει μαζί της. Η νέα εποχή επιτάσσει την αποτελεσματική προστασία των πληροφοριακών συστημάτων, συμπεριλαμβανομένων όχι μόνο των managed αλλά και των unmanaged devices, με αναβάθμιση των συστημάτων, με διαρκή εκπαίδευση του προσωπικού και την ανάπτυξη των κατάλληλων πολιτικών και διαδικασιών πρόληψης, αλλά και αντίδρασης σε κυβερνοεπιθεσεις. Και κυρίως με την αποδοχή του κινδύνου από τις κυβερνοεπιθέσεις, ως εκ των κορυφαίων παραγόντων επιβίωσης των εταιρειών στην ψηφιακή εποχή.

Who’s Who
O Iωάννης Ε. Γιαννακάκης είναι δικηγόρος στον Αρειο Πάγο, συνιδρυτής της δικηγορικής εταιρείας G+P Law Firm, DPO, κάτοχος της υψηλότερης αναγνώρισης στον χώρο του Data Privacy (Fellow of Information Privacy [FIP] από τον ΙΑPP), International Advisory Board Member του Cyber Rescue Alliance και συνιδρυτής του DPO Academy. Εξειδικεύεται σε θέματα προστασίας προσωπικών δεδομένων και αποτελεί τον πλέον διεθνώς πιστοποιημένο Έλληνα Νομικό στον τομέα της προστασίας προσωπικών Δεδομένων, κατέχοντας μια πληθώρα από διεθνώς αναγνωρισμένες πιστοποιήσεις.