Σε αυτήν τη φάση της εξέλιξης των εργαλείων ασφάλειας και κυβερνοεπιθέσεων, οι ειδικοί συμφωνούν ότι η παραβίαση των συστημάτων μιας εταιρείας είναι σχεδόν αναπόφευκτη. Μάλιστα, υπάρχει ένα μεγάλο ποσοστό εταιρειών που θεωρούν ότι τα συστήματα τους δεν έχουν παραβιαστεί ποτέ, ενώ η πραγματικότητα είναι ότι έχει γίνει παραβίαση, την οποία δεν έχουν διαπιστώσει.

Αν δεχτούμε τα αποτελέσματα μελετών που δημοσιεύουν οι προμηθευτές και λογισμικών και υπηρεσιών κυβερνοασφάλειας, αντιλαμβανόμαστε ένα οξύμωρο. Οι εταιρείες που έχουν ως στόχο να προστατέψουν τις ψηφιακές περιουσίες των πελατών τους, αναφέρουν ότι κάθε χρόνο τα καταφέρνουν και λίγο χειρότερα, καθώς τα περιστατικά παραβίασης αυξάνονται. Πότε λοιπόν οι security managers θα μπορέσουν να ξαποστάσουν ήσυχοι στη σκιά ενός εξωτικού δέντρου σε μια παραλία του Ινδικού Ωκεανού;

Η απάντηση είναι εύκολη. ΠΟΤΕ. Και ο λόγος δεν είναι μόνο ότι αυξάνονται οι απειλές, αλλά και ότι οι άνθρωποι αυτοί έχουν επιλέξει το συγκεκριμένο ρόλο γιατί τους αρέσει να είναι ανήσυχοι. Ίσως κάπου να υπάρχει κάποια μελέτη που σκιαγραφεί τη νοοτροπία των security managers και αποδεικνύει τα λεγόμενα μας, αλλά δεν την βρήκαμε, τουλάχιστον στις δωρεάν διαθέσιμες επιστημονικές έρευνες.
Επομένως, όπως είχε πει στο παρελθόν και ένα διευθυντικό στέλεχος της Symantec, στο πλαίσιο μιας παρουσίασης που είχε δώσει στην Αθήνα, οι κυβερνοεγκληματίες είναι διαρκώς ένα βήμα μπροστά. Τον Μάρτιο του 2018, η αλυσίδα ξενοδοχείων Marriott είχε ανακοινώσει μια διαρροή δεδομένων, η οποία αφορούσε στοιχεία 5,2 εκατομμυρίων πελατών της.
Περίπου ένα έτος μετά, η Facebook, μια εταιρεία τεχνολογίας, η οποία θεωρητικά θα έπρεπε να κατέχει καλύτερα τα θέματα της ψηφιακής ασφάλειας σε σχέση με τη Marriott, ανακοίνωσε μια διαρροή δεδομένων που αφορούσε στοιχεία 530 εκατομμυρίων πελατών της. Και μπορεί μεν η Ελλάδα και οι επιχειρήσεις της να μην ακούγονται σε διεθνές επίπεδο, λόγω μεγέθους, αλλά το Σεπτέμβριο του 2020, η “δική” μας Cosmote, ανακοίνωσε διαρροή δεδομένων που αφορούσε τηλεφωνικές κλήσεις εκατομμυρίων πελατών της.

Επομένως, εάν είναι αυτή η εικόνα για εταιρείες του παραπάνω μεγέθους, οι οποίες λογικά έχουν και αρκετή τεχνογνωσία, μπορούμε να φανταστούμε τι γίνεται στη γειτονιά των εταιρειών με έσοδα από 2 έως 5 εκατομμύρια ευρώ. Αυτό ακριβώς είναι και ένα από τα σημαντικότερα αίτια της συνεχιζόμενης επιτυχημένης δράσης των κυβερνοεγκληματιών. Ακόμα και αν εμείς έχουμε φροντίσει να τοποθετήσουμε τις καλύτερες πόρτες ασφαλείας, μπορεί να είμαστε “μεσοτοιχία” με έναν γείτονα, του οποίου η ασφάλεια είναι “μπάτε σκύλοι αλέστε”. Όπως ξεκάθαρα λέει ο Saryu Nayyar, CEO της εταιρείας Gurucul, η οποία ειδικεύεται σε behavioral security analytics «Δυστυχώς, η προσπάθεια μας να αποτρέψουμε τους κυβερνοεγκληματίες από το να αποκτήσουν πρόσβαση σε λογαριασμούς εργαζόμενων, προμηθευτών ή πελατών μας, είναι σχεδόν αδύνατο, ακόμα και για εταιρείες με τεράστια τεχνογνωσία σε θέματα ασφάλειας.

Οι χρήστες συμπεριφέρονται συχνά χωρίς να σκέφτονται τις συνέπειες και ανοίγουν phishing links σε emails, βάζουν στους υπολογιστές τους κακόβουλα λογισμικά και κάνουν κλικ σε διαφημίσεις που οδηγούν στα “λάθος μέρη”. Όσο πιο ψηλά στη διοίκηση βρίσκεται ένας χρήστης που θα αφήσει το λογαριασμό του να παραβιαστεί, τόσο πιο πολύ πρόσβαση θα δώσει στους κυβερνοεγκληματίες και τόσο μεγαλύτερη ζημιά είναι πιθανό να προκαλέσει στον οργανισμό που εργάζεται».
Σύμφωνα με την εμπειρία του Saryu Nayyar, η παραβίαση λογαριασμών ατόμων σε διοικητικές θέσεις, σχετίζεται με το περισσότερο του 80% των διαρροών προσωπικών δεδομένων.

Οπότε γιατί να πληρώνουμε υπηρεσίες ασφάλειας;
Υπάρχει ένα ανέκδοτο που απαντά αρκετά καλά σε αυτό το ερώτημα. Το ανέκδοτο λέει ότι «Αν πάτε για κυνήγι αρκούδας με ένα φίλο, φροντίστε να τρέχετε γρηγορότερα από αυτόν». Οπότε, ένας λόγος που χρησιμοποιούμε συστήματα ασφάλειας είναι για να στείλουμε στον κυβερνοεγκληματία “άσχημη μυρωδιά” που θα τον αποτρέψει από τα δικά μας συστήματα και θα τον κατευθύνει σε πιο ελυστικά. Ωστόσο, αν τα συστήματά σας έχουν γίνει στόχος για διάφορους λόγους, τότε βάσει αυτών που μας λένε οι προμηθευτές υπηρεσιών ασφάλειας, η παραβίαση είναι σχεδόν αναπόφευκτη. Άρα, ο επόμενος στόχος της στρατηγικής μας, είναι να υποστούμε τη μικρότερη δυνατή ζημιά. Προς αυτήν την κατεύθυνση κινούνται οι πολιτικές Data Loss Prevention (DLP), οι οποίες βάζουν αρκετά εμπόδια στο χρήστη στην προσπάθεια του να ανοίγει αλόγιστα πόρτες που θα μπορούσαν να γίνουν είσοδοι για ανεπιθύμητους. Η αυξανόμενη χρήση των υπηρεσιών cloud δυσκολεύει την εφαρμογή πολιτικών DLP, καθώς σε όσες περισσότερες πόρτες βάζουμε εμπόδια, τόσο δυσκολότερες γίνονται τόσο η επικοινωνία των χρηστών με τα συστήματα, όσο και των συστημάτων μεταξύ τους.

Οπότε, έρχεται η τεχνητή νοημοσύνη και για την ακρίβεια οι εταιρείες που την υλοποιούν και προτείνουν ως λύση την επίβλεψη. Το μεγάλο πλεονέκτημα της τεχνητής νοημοσύνης είναι η ικανότητά της να αναλύει γρήγορα τεράστιες ποσότητες ψηφιακών δεδομένων. Αν λοιπόν τις ορίσουμε ποιες είναι οι “παράξενες” συμπεριφορές, η τεχνητή νοημοσύνη έχει τη δυνατότητα να ελέγχει όλους τους εργαζόμενους, προμηθευτές και πελάτες, ώστε να τις εντοπίζει. Η ίδια τεχνολογία μπορεί να εφαρμοστεί και στις συμπεριφορές των υπολογιστών που ανταλλάσσουν δεδομένα. Για παράδειγμα, μια μεγάλη βιομηχανία, θα μπορούσε να αναθέσει σε μια τεχνητή νοημοσύνη να παρατηρεί όλα τα δεδομένα που παράγει το ERP, σε συνδυασμό με τα καταγραφικά αρχεία από το δίκτυο και τα firewalls. Σε μια τέτοια εφαρμογή, η εταιρεία διαπίστωσε ότι ο τιμοκατάλογος προϊόντων της είχε παραβιαστεί και μια ανταγωνιστική εταιρεία είχε πρόσβαση για περισσότερο από 18 μήνες.

Σύμφωνα με τα πιο φρέσκα δεδομένα του Identity Theft Resource Center, οι διαρροές δεδομένων το 2019, ήταν 17% αυξημένες σε σχέση με το 2018 και η λογική λέει ότι το 2020, το ποσοστό θα είναι ακόμα υψηλότερο, ακόμα και αν υπολογίσουμε μόνο τη διαρροή της Facebook. Μια αλλαγή που βλέπουμε στα στατιστικά, είναι η μετατόπιση των συμβάντων διαρροών προς εταιρείες στον τομέα της υγείας και σε κυβερνητικούς οργανισμούς.

GDPR, αποζημιώσεις, ΤΩΡΑ και λύτρα;
Η διαρροή δεδομένων, εκτός των αποζημιώσεων που μπορεί να συνεπάγεται, εμπίπτει πλέον και στον “τιμοκατάλογο” του GDRP. Όμως, αυτοί δεν είναι οι μόνοι δύο λόγοι που μια εταιρεία θα χρειαστεί να “τιμωρηθεί” για κενά στην ασφάλεια της. Σύμφωνα με τον Guardian, η Colonial Pipeline, ο μεγαλύτερος διαχειριστής του δικτύου καυσίμων στις ΗΠΑ, χρειάστηκε να πληρώσει 4,4 εκατομμύρια δολάρια, προκειμένου μια ομάδα κυβερνοεγκληματιών να ξεκλειδώσει τους υπολογιστές της.
Είναι ενδιαφέρον να αναλογιστούμε ότι ενώ η πολιτική των ΗΠΑ είναι πολύ σκληρή απέναντι σε πληρωμή λύτρων, η Colonial Pipeline δεν δίστασε να πληρώσει τα ζητούμενα, ώστε να λειτουργήσει ξανά το δίκτυο της. Η πληρωμή έγινε με 75 bitcoin, η τιμή του οποίου δυστυχώς για τους κυβερνοεκγληματίες, έπεσε περισσότερο από 30% λίγες μέρες μετά. Μπορούμε να φανταστούμε μόνο τι έχει ακούσει ο Elon Musk που θεωρείται βασικός υπαίτιος για αυτήν την πτώση.

Πέρα από το αστείο, οι απαιτήσεις λύτρων είναι μια επίσης αυξανόμενη τάση στον τομέα της κυβερνοασφάλειας. Το ransomware έχει ως στόχο να κρυπτογραφήσει ιδιωτικά ή επιχειρηματικά δεδομένα με κλειδί που γνωρίζουν μόνο οι κατασκευαστές του. Στη συνέχεια, οι εγκληματίες επικοινωνούν με τον ιδιώτη ή την επιχείρηση και του ζητούν λύτρα, προκειμένου να ξεκλειδώσουν τα δεδομένα. Η κρυπτογράφηση είναι τις περισσότερες φορές αδιαπέραστη, οπότε οι παθόντες πληρώνουν τα λύτρα για να ανακτήσουν τα αρχεία τους. Συχνά, η επικοινωνία ανάμεσα στους εγκληματίες και τους παθόντες γίνεται με ενδιάμεσους, οι οποίοι διαπραγματεύονται το ποσό των λύτρων, ενώ παράλληλα κάνουν και προσπάθειες ανάκτησης των αρχείων. Σύμφωνα με μελέτες των εταιρειών που παρέχουν υπηρεσίες ασφάλειας δεδομένων, το μεγαλύτερο ποσοστό των ransomware επιθέσεων ξεκινούν από έναν χρήση που μπήκε στον “πειρασμό” να ανοίξει το attachment σε ένα email.

Το πιο αποτελεσματικό μέχρι στιγμής ransomware ήταν το WannaCry, το οποίο είχε περίπου 300.000 θύματα σε 150 χώρες. Τα λύτρα ήταν 300 bitcoin, με τιμές 2017 και διπλασιάζονταν αν το θύμα δεν τα είχε πληρώσει 3 μέρες μετά την επίθεση. Το ενδιαφέρον σε αυτό το περιστατικό είναι η αδράνεια που έδειξαν πολλές επιχειρήσεις να επιδιορθώσουν το κενό ασφάλειας που δημιουργούσε το πρόβλημα, με αποτέλεσμα ακόμα και τρεις μήνες μετά την αρχική επίθεση να υπάρχουν περιστατικά ακόμα σε μεγάλες εταιρείες, όπως η LG.

Τα κενά ασφάλειας που είναι διάσπαρτα σε παλιά και νέα συστήματα υπολογιστών, είναι η αχίλλειος πτέρνα που χρησιμοποιεί το ransomware για να “μολύνει” τους υπολογιστές. Μετά το WannacCry, έγινε μια δεύτερη παγκόσμια επίθεση, η οποία σύμφωνα με τους ειδικούς έπληξε 300.000 υπολογιστές παγκοσμίως, αξιοποιώντας το ίδιο κενό ασφάλειας που είχε χρησιμοποιήσει το WannaCry. Φαίνεται δηλαδή σαν οι εταιρείες να αδιαφορούν να προφυλάξουν τα συστήματά τους, αλλά αυτή είναι η μισή αλήθεια. Στην πράξη, κυρίως παλαιά “ξεχασμένα” συστήματα διαφεύγουν της προσοχής των ομάδων ασφάλειας και γίνονται εύκολοι στόχοι.

Κάποια καλά νέα για τις επιχειρήσεις που δεν επείγονται να αποκτήσουν πρόσβαση στα κλειδωμένα αρχεία τους, είναι η δημιουργία του “No More Ransom”, το οποίο ξεκίνησε να λειτουργεί το 2016 με τη συνεργασία των Europol, Dutch National Police και εταιρειών παροχής λύσεων ασφάλειας, όπως η Kaspersky Lab και η McAfee. Το portal προσφέρει εργαλεία αποκρυπτογράφησης, τα οποία ανανεώνονται συχνά και δίνει ευκαιρίες σε επιχειρήσεις να αποφύγουν την πληρωμή των λύτρων. Προσπαθήσαμε να επικοινωνήσουμε με εκπροσώπους της διοίκησης του project, προκειμένου να έχουμε μια εικόνα του ποσοστού των περιπτώσεων που με τη βοήθεια των εργαλείων του προγράμματος αποφεύχθηκε η πληρωμή των λύτρων. Ωστόσο, μέχρι και την ολοκλήρωση του άρθρου δεν είχαμε πάρει απάντηση.

Όσο το δυνατόν λιγότερη ζημιά
Σε αυτήν τη φάση της εξέλιξης των εργαλείων ασφάλειας και κυβερνοεπιθέσεων, οι ειδικοί συμφωνούν ότι η παραβίαση των συστημάτων μιας εταιρείας είναι σχεδόν αναπόφευκτη. Μάλιστα, υπάρχει ένα μεγάλο ποσοστό εταιρειών που θεωρούν ότι τα συστήματα τους δεν έχουν παραβιαστεί ποτέ, ενώ η πραγματικότητα είναι ότι έχει γίνει παραβίαση, την οποία δεν έχουν διαπιστώσει. Η παραβίαση των συστημάτων της Marriott, σύμφωνα με τους ειδικούς σε θέματα ασφάλειας, είχε ξεκινήσει τουλάχιστον τρία χρόνια πριν εντοπιστεί.
Επομένως, στο ερώτημα που θέσαμε και στην αρχή, γιατί να πληρώνουμε για ψηφιακή ασφάλεια, η απάντηση είναι αφενός για να αποτρέπουμε τους κυβερνοεγκληματίες από τα δικά μας συστήματα και αφετέρου για να περιορίσουμε όσο το δυνατόν περισσότερο τη ζημιά που θα υποστεί η εταιρεία, όταν θα παραβιαστούν τα συστήματά της.

Καράβια βγήκαν στη στεριά
Ας φανταστούμε ένα περιστατικό με μια ομάδα κυβερνοεγκληματιών να αποκτά πρόσβαση στο ψηφιακό σύστημα πλοήγησης ενός τάνκερ και να το οδηγεί πάνω στα βράχια της Σαλαμίνας ή ακόμα χειρότερα στη νέα προβλήτα που επιβατικού λιμανιού στον Πειραιά, όπου είναι δεμένο ένα κρουαζιερόπλοιο με 3000 επιβάτες. Περίπου 3.000 άτομα ήταν οι νεκροί από τις επιθέσεις της 11ης Σεπτεμβρίου, για τις οποίες χρειάστηκε να στηθεί μια τεράστια επιχείρηση από την πλευρά των τρομοκρατών.
Οπότε συγκριτικά, το κόστος προετοιμασίας μιας τρομοκρατικής ενέργειας μέσω παραβίασης ψηφιακών συστημάτων, είναι πολλαπλάσια μικρότερο, ενώ επιπλέον η προετοιμασία της δράσης είναι δυσκολότερα εντοπίσιμη. Ακόμη όμως και αν πάμε σε ένα σενάριο που δεν θα είχε κόστος ανθρώπινων ζωών, θα μπορούσαμε να φανταστούμε ένα τάνκερ που περνάει το στενό του Σουέζ και μια παρέμβαση στο σύστημα πλοήγησης το οδηγεί σε μια στραβοτιμονιά με αποτέλεσμα να κλείσει το πέρασμα.

Τα τελευταία χρόνια, η επιβατική και εμπορική ναυτιλία επενδύουν σε νεότευκτα πλοία, τα οποία είναι εξ αρχής βασισμένα σε ψηφιακά συστήματα, αλλά επενδύουν και σε αναβαθμίσεις των αναλογικών συστημάτων στα παλαιότερα πλοία του στόλου τους. Επομένως, είναι δεδομένο ότι την ερχόμενη πενταετία, τα πλοία θα είναι περισσότερο “drone” από ότι σήμερα. Το ερώτημα που μένει να απαντηθεί, είναι αν οι τεχνολογίες ψηφιοποίησης που χρησιμοποιούνται ενσωματώνουν τα ίδια επίπεδα ασφάλειας που χρησιμοποιούνται σε στρατιωτικά drone. Η πτώση δύο αεροσκαφών της εταιρείας Boeing δεν αφήνει πολλά περιθώρια για αισιόδοξες σκέψεις. Έτσι, ενώ μια παραβίαση των ψηφιακών συστημάτων της ναυτιλιακής εταιρείας, όπως συνέβη με τη Maersk, μπορεί να κοστίσει κάποιες εκατοντάδες εκατομμύρια ή ακόμα και δισεκατομμύρια ευρώ, οι απώλειες αυτές είναι ελάχιστες σε σχέση με τις απώλειες ανθρώπινων ζωών.

Με την κυβερνοασφάλεια δεν παίζουμε
H Ελένη Άκουρου, Junior Information Security Analyst, βρίσκεται στη πρώτη γραμμή διασφάλισης της ακεραιότητας της Kaizen gaming, η οποία αποτελεί μια από τις κορυφαίες GameTech εταιρείες στην Ελλάδα και το εξωτερικό και δραστηριοποιείται με τα brands Stoiximan και Betano.
Όταν τη ρωτήσαμε αν την ανησυχεί η αυξημένη δράση των κυβερνοεγκληματιών, μας είπε ότι δεν υπάρχει ανησυχία, υπάρχει εγρήγορση. Η εταιρεία, η οποία διαθέτει ISO 27001 έχει αναλάβει εσωτερικά, με πολυμελή ομάδα, τη δημιουργία και διαχείριση των συστημάτων ασφαλείας.

Παρά τις προσπάθειες παραβίασης, κυρίως με DDOS επιθέσεις, οι κυβερνοεγκληματίες έχουν μείνει έξω από τα συστήματα της εταιρείας. Με τη χρήση WAF (Web Application Firewall) και των υπηρεσιων που προσφέρει από scanners, bots και crawlers έχουμε ένα πρώτο δίχτυ ασφαλείας πριν κάποιος επισκεφθεί τον ιστότοπο μας. Επίσης, το WAF παρέχει προστασία από επιθέσεις Denial of Service με αυτοματοποιημενο τροπο χρηση (π.χ., captcha, block IPs κλπ.). Η καθημερινή μελέτη των συμμετεχόντων στην ομάδα ασφάλειας, η επικαιροποίηση των συστημάτων, ώστε να εντοπίζει πιθανά κενά ασφάλειας και η σωστή εκπαίδευση του ανθρώπινου δυναμικού έχουν συντελέσει σε αυτό το στόχο.

Όπως μας λέει η Ελένη Άκουρου, αν και είναι σημαντικό κόστος για την εταιρεία, οι περισσότεροι εργαζόμενοι χρησιμοποιούν εταιρικούς υπολογιστές για την εργασία εξ αποστάσεως, οπότε σε συνδυασμό με σύγχρονες δικλείδες ασφάλειας απέναντι σε malware, μειώνεται σημαντικά η πιθανότητα παραβίασης από κάποιο ransomware. «Είναι πολύ σημαντικό να προσπαθούμε για τη συνεχή εξέλιξη μας και να μην επαναπαυόμαστε σε υπάρχουσες λύσεις μόνο. Θα πρέπει να υπάρχει μία διαρκής έρευνα νέων τεχνολογιών και λύσεων αναφορικά με την προστασία των συστημάτων. Ο κάθε οργανισμός θα πρέπει να έχει πολύ καλά δομημένες τις εσωτερικές του πολιτικές και διαδικασίες, ούτως ώστε ο κάθε εργαζόμενος να είναι ενήμερος για αυτές και να τις ακολουθεί, επιτυγχάνοντας έτσι μία πολύ καλή οργάνωση των καθημερινών καθηκόντων, καθώς και την αποτροπή παρατυπιών που ενδεχομένως να γεννούν ρίσκα.».