Η συζήτηση περί ηλεκτρονικών και διαδικτυακών κινδύνων δεν είναι καινούρια. Ωστόσο, τα τελευταία δεδομένα δείχνουν πως είναι περισσότερο επίκαιρη από ποτέ.
Οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι αποτελούν καθημερινή πραγματικότητα στον κόσμο των πληροφοριακών συστημάτων. Κάθε εταιρεία που διαχειρίζεται ηλεκτρονικά δεδομένα – ανεξάρτητα από το εάν αυτά βρίσκονται σε υπολογιστές, servers, κινητά τηλέφωνα ή το διαδίκτυο – μπορεί να βρεθεί αντιμέτωπη με αντίστοιχες περιπτώσεις. Σύμφωνα με την έρευνα «2011 Digital Universe Study1» της IDC, μέχρι το 2020 υπολογίζεται πως οι επιχειρήσεις και οι οργανισμοί θα χειρίζονται πενήντα φορές περισσότερα δεδομένα και πληροφορίες σε σχέση με σήμερα. Οσο όμως αυξάνεται ο όγκος των πληροφοριών και των δεδομένων, τόσο αυξάνονται και οι κίνδυνοι. Εδώ έχουμε να κάνουμε με απώλεια ή διαρροή δεδομένων, τόσο από εξωτερικές όσο και από εσωτερικές «επιθέσεις». Υπάρχει μια γενικότερη αντίληψη πως μία εταιρεία πρέπει να είναι αρκετά μεγάλη σε οικονομικά μεγέθη για να πέσει στο στόχαστρο μίας επίθεσης.
Ωστόσο, κάτι τέτοιο δεν ισχύει. Μία επίθεση στα συστήματα, τον server ή την ιστοσελίδα μίας εταιρείας μπορεί να γίνει ανεξάρτητα από το μέγεθος ή τον τομέα δραστηριοποίησης της. Μπορεί να γίνει απλώς και μόνο γιατί ένας hacker θέλει να αποδείξει ότι μπορεί να μπει στα συστήματα της εν λόγω εταιρείας. Πέρα όμως από τις εξωτερικές επιθέσεις, δεν πρέπει να ξεχνάμε τις διαρροές που συμβαίνουν από τους εργαζομένους της ίδιας της εταιρείας. Αν σκεφτούμε μόνο πόσες εταιρείες επιτρέπουν σε εργαζομένους να αντιγράφουν ευαίσθητα δεδομένα σε μη κρυπτογραφημένα USB Flash Drives, μπορούμε να αντιληφθούμε το μέγεθος του κινδύνου.
Οι συνέπειες των συγκεκριμένων απειλών είναι πολλαπλές και συνήθως προκύπτουν αλυσιδωτά: από την ευθύνη για διαρροή ή απώλεια των δεδομένων, μέχρι σημαντικά προβλήματα στο τμήμα ΙΤ μίας εταιρείας, κρίση εταιρικής καθώς και προσωπικής φήμης στελεχών και φυσικά σημαντικές οικονομικές προεκτάσεις, τόσο λόγω των αποζημιώσεων που θα κληθεί να πληρώσει, όσο και εξαιτίας απώλειας κερδών σε ενδεχόμενη διακοπή λειτουργίας του εταιρικού δικτύου. Πώς, λοιπόν, μπορεί να θωρακιστεί μία επιχείρηση έναντι αυτών των απτών απειλών; Μια λύση είναι μέσω ενός κατάλληλου ασφαλιστικού προγράμματος για την αντιμετώπιση αυτών των περιστατικών. Ξεφεύγοντας από τα συνηθισμένα ασφαλιστικά προγράμματα αστικής ευθύνης, μία εταιρεία θα πρέπει να επιλέξει μία εξειδικευμένη ασφαλιστική λύση που να προβλέπει τις πολλαπλές και πολυεπίπεδες επιπτώσεις των διαδικτυακών και ηλεκτρονικών κινδύνων και να συνδυάζει την παραδοσιακή ασφαλιστική κάλυψη με την παροχή επαγγελματικών συμβουλών. Ερευνα της PwC2 αναφέρει πως η παγκόσμια δαπάνη για την ασφάλεια έναντι των ηλεκτρονικών και διαδικτυακών κινδύνων ανήλθε περίπου στα 60 δισ. δολάρια το 2011, ενώ τα επόμενα τρία με πέντε έτη αναμένεται ετήσια αύξηση του ποσού αυτού κατά 10% ετησίως.
Παρόλο που οι εταιρείες στις ΗΠΑ έχουν σίγουρα πιο ψηλά στις προτεραιότητές τους τη συγκεκριμένη κατηγορία κινδύνων, αντίστοιχες τάσεις περιμένουμε σύντομα και στην Ελλάδα για την οποία ισχύει η συνεχώς αυστηρότερη ευρωπαϊκή νομοθεσία. Πέρα όμως από αυτή την προστασία, θα πρέπει να ληφθούν επιπλέον μέτρα που ξεκινούν από τις ίδιες τις εσωτερικές διαδικασίες και την εκπαίδευση των υπαλλήλων. Μέτρα που περιλαμβάνουν τρία απλά βήματα: πρόληψη, ανίχνευση και ανταπόκριση. Κανένα σύστημα δεν είναι ποτέ αρκετά ασφαλές αν δεν γίνονται οι απαραίτητες και συνεχείς βελτιώσεις και έλεγχοι και καμία εταιρεία δεν μπορεί να είναι ποτέ αρκετά ασφαλής, αν οι ίδιοι οι υπάλληλοί της δεν εκπαιδευτούν σωστά – και φυσικά δεν θα μπορέσει να αντιμετωπίσει αντίστοιχους κινδύνους αν δεν έχει λάβει τα κατάλληλα μέτρα για την αντιμετώπισή τους. Τους επόμενους μήνες και χρόνια σίγουρα θα ακούσουμε πολλά περισσότερα περιστατικά σημαντικών διαρροών δεδομένων, με σοβαρές επιπτώσεις τόσο για ιδιώτες όσο και για εταιρείες. Το ερώτημα λοιπόν δεν είναι εάν θα πάρουμε μέτρα για τους συγκεκριμένους κινδύνους, αλλά πόσο επαρκή και ολοκληρωμένα θα είναι τα μέτρα αυτά.
1. http://www.emc.com/collateral/analyst-reports/idc-extracting-value-from-chaos-ar.pdf
2. http://www.pwc.com/en_GX/gx/aerospace-defence/pdf/cyber-security-mergers-acquisitions.pdf