Ciaran Martin: Από πού… πάνε στην κυβερνοασφάλεια;

Ο Ciaran Martin, Καθηγητής Πρακτικής στη Σχολή Δημόσιας Διοίκησης Blavatnik του Πανεπιστημίου της Οξφόρδης, υπήρξε ο πρώτος Διευθύνων Σύμβουλος και θεμελιωτής -ουσιαστικά- του περίφημου NCSC, του Εθνικού Κέντρου Κυβερνοασφάλειας του Η.Β. Στην αποκλειστική συνέντευξή του στο netweek, παρουσιάζει τα βασικά σημεία ενός πλήρους επιχειρησιακού πλάνου Cyber Security.

Η έλευση της πανδημικής κρίσης μετέβαλε -μεταξύ άλλων- και τον τρόπο με τον οποίο εργάζεται το σύγχρονο ανθρώπινο δυναμικό. Εκ των πραγμάτων, η εξ’ αποστάσεως εργασία έχει αναχθεί στη νέα κανονικότητα, η οποία κάθε άλλο παρά αντιμετωπίζεται με την αίσθηση της προσωρινότητας. Αντιθέτως, αποτελεί σημαντικό μέρος της εργασιακής πραγματικότητας. Γεγονός, που πολλαπλασιάζει τους κινδύνους που δύναται να αντιμετωπίσει κάθε επιχείρηση. Άραγε, υπάρχει κάποιο blueprint, το οποίο υιοθετώντας το ο ιδιοκτήτης είτε ο Διευθύνων Σύμβουλός της θα είναι σε θέση να περιορίσει αισθητά το εν γένει ψηφιακό ρίσκο;

Ο κ. Martin εκτιμά πως βασική προϋπόθεση επιτυχίας είναι η κατανόηση από πλευράς των εμπλεκομένων stakeholders της έκθεσης απέναντι στον κίνδυνο του κυβερνοεγκλήματος, ενόσω αυξάνει η online εργασία. «Έχει παρατηρηθεί πως η πλειοψηφία των επιχειρήσεων δεν διακρίνονται από την κατάλληλη προετοιμασία σε ότι αφορά τα σχέδια ανθεκτικότητας για την παρουσία τους στον κυβερνοχώρο. Αποτελεί κυρίαρχο ζητούμενο, όσο και αναγκαιότητα -πλέον- η έννοια της κυβερνοασφάλειας να ενσωματώνεται πλήρως στην ευρύτερη επιχειρηματική στρατηγική κάθε οργανισμού. Αναμφίβολα, κατά το τελευταίο έτος με την προέλαση της πανδημίας, καταγράφεται μια διαρκώς επιταχυνόμενη “στροφή” προς τον ψηφιακό κόσμο, μεταβάλλοντας τα δεδομένα, μα και τις δομές του ίδιου του εταιρικού γίγνεσθαι. Πλέον, εναπόκειται στους ηγέτες των επιχειρήσεων να διασφαλίσουν ότι οι αυτές είναι σε θέση να προσαρμοστούν αποτελεσματικά στις επιμέρους αλλαγές, καταφέρνοντας να συμβαδίσουν με την παγκόσμια ψηφιοποίηση».

Βέβαια, σε αυτό το σημείο θα πρέπει να επισημανθεί πως σύμφωνα με τα αποτελέσματα πρόσφατων μελετών, η συγκεκριμένη διαδικασία είναι αλληλένδετα συνδεδεμένη με πολλαπλές προκλήσεις. Για παράδειγμα, έχει καταγραφεί πως τα κορυφαία διοικητικά στελέχη αποδεικνύονται κατά 12 φορές πιο πιθανό να αποτελέσουν οι ίδιοι στόχοι κυβερνοεπιθέσεων εν συγκρίσει με το υπόλοιπο ανθρώπινο δυναμικό ενός οργανισμού. Κάτι, που σε συνάρτηση και με άλλους κινδύνους, μπορεί να θέσει σε κίνδυνο την συνολικότερη διαδικασία ψηφιακού μετασχηματισμού της ίδιας της επιχείρησης!

Ψηφιακοί κίνδυνοι και ρίσκα ενόψει!
Υπό αυτό το πρίσμα, χρήσιμο θα ήταν να “ταυτοποιηθούν” οι πλέον άμεσοι κίνδυνοι και τα ρίσκα που πρέπει να υπερβούν οι οργανισμοί και εν γένει εταιρείες στο ψηφιακό περιβάλλον κατά το αμέσως προσεχές χρονικό διάστημα. Ο κ. Martin αποτιμά στην κορυφή τους την “εκρηκτική” ανάπτυξη της διασυνδεδιμότητας, με την πανσπερμία των ανάλογων ψηφιακών συσκευών. «Σήμερα, πλέον, περιστοιχιζόμαστε από έναν… ωκεανό “έξυπνων” συσκευών, σε κάθε πτυχή της καθημερινότητάς μας: Από το σπίτι και το γραφείο, μέχρι τα καταστήματα και τους δρόμους. Έχει υπολογιστεί πως μέχρι τον περασμένο Δεκέμβριο, σε παγκόσμιο επίπεδο υπήρχαν κάτι παραπάνω από 21,7 δισεκατομμύρια συνδεδεμένες συσκευές, το 54% εκ των οποίων αναμένεται να αποτελέσουν μέρος του Internet of Things (IoT). Βέβαια, εξυπακούεται πως με τέτοιο γιγαντιαίο πλήθος συσκευών, αυτομάτως αυξάνεται και ο βαθμός επικινδυνότητας, αλλά και το πόσο ευάλωτες μπορεί να αποδειχθούν. Άλλες μελέτες εκτιμούν πως στα τέλη του τρέχοντος έτους, το 94% των επιχειρήσεων σε διεθνές επίπεδο αναμένεται να αξιοποιούν το IoT. Αναλογιστείτε, λοιπόν, πως η επιτυχής διαδικασία παραβίασης μιας μη προστατευμένης συσκευής μπορεί να οδηγήσει σε μη αναστρέψιμες συνέπειες ολόκληρη την εταιρική υποδομή! Μόνο τον βαθμό κινδύνου να συνειδητοποιήσετε, αρκεί… Ξέρετε, δεν χρειάζεται να σχεδιαστεί κάτι το “εξεζητημένο” από την πλευρά των κυβερνοεγκληματιών, μα για παράδειγμα, το hacking μιας “έξυπνης” κάμερας στην περίμετρο της εταιρείας, είναι αρκετή προκειμένου να αποκτήσουν αυτομάτως πρόσβαση σε κωδικούς σε δωμάτια, χώρους και γραφεία ή να δουν το πρόγραμμα εργασίας του προσωπικού ασφαλείας. Φαινομενικά απλά πράγματα, μα τόσο αποτελεσματικά».

15 δισ. κλεμμένα στοιχεία σύνδεσης και κωδικοί πρόσβασης σε darknet forum το 2020!
Θα πρέπει να σημειωθεί πως η κλοπή δεδομένων συγκαταλέγεται -πλέον- μεταξύ των 10 κορυφαίων παγκόσμιων κινδύνων, γεγονός που συνιστά τεράστια απειλή για τις συναλλαγές και το εμπόριο εν γένει, εξαιτίας και της ευρείας χρήσης της ψηφιακής ταυτότητας. Ο κ. Martin είναι αποκαλυπτικός: «Στην απεικόνιση της σοβαρότητας της δεδομένης κατάστασης συμβάλουν και οι εκτιμήσεις ειδικών περί της κυβερνοασφάλειας, ότι πέρυσι τα πάσης φύσεως darknet forum, αλλά και οι ιστότοποι που εντάσσονται στις τάξεις των e-εγκληματιών, περιείχαν και διακινούσαν κάτι περισσότερα από 15 δισεκατομμύρια κλεμμένα στοιχεία σύνδεσης και κωδικούς πρόσβασης! Όσο για τις πλέον συνήθεις μεθόδους κλοπής των δεδομένων, αυτοί είναι το phishing και το social engineering. Μάλιστα, οι Διευθύνοντες Σύμβουλοι και τα ανώτερα διοικητικά στελέχη αποδεικνύονται ως ιδιαίτερα ευάλωτοι, αποτελώντας τους κορυφαίους στόχους για κάθε συνειδητοποιημένο κυβερνοεγκληματία».

ΑΙ, ΙοΤ, ΑR στην… υπηρεσία των κυβερνοεγκληματιών
Πόσες φορές, άραγε, έχετε ακούσει πως -σχεδόν- πάντοτε οι κυβερνοεγκληματίες βρίσκονται τουλάχιστον ένα βήμα μπροστά από τις Αρχές και τους διώκτες τους και πολλά περισσότερα από τις επιχειρήσεις-στόχους τους; Μάλιστα, η διαρκής μετεξέλιξη της τεχνολογίας, με την ταυτόχρονη δυναμικότερη διείσδυση νέων εκφάνσεών της, όπως λ.χ. τα ΙοΤ, ΑΙ, AR κ.ο.κ., επιτρέπουν στους κυβερνοεγκληματίες να έχουν στην διάθεσή τους ένα εξόχως ευρύ φάσμα επιλογών ώστε να πραγματοποιούν τις επιθέσεις τους, πολλαπλασιάζοντας τον βαθμό δυσκολίας για τον εντοπισμό τους. Πρόσφατα, εξάλλου, είναι και τα περιστατικά με την απώλεια δεκάδων χιλιάδων ευρώ από επιχειρήσεις, εξαιτίας λ.χ. του γεγονότος ότι οι κυβερνοεγκληματίες απέκτησαν πρόσβαση στα προσωπικά δεδομένα του CEO της εταιρείας. «Από την θητεία μου στο NCSC είχα γίνει κοινωνός περιστατικών στα οποία οι επιτιθέμενοι αξιοποίησαν μια τεχνολογία που βασιζόταν στην τεχνητή νοημοσύνη, με βάση την οποία δημιούργησαν εικόνες και ήχους, στην λογική του deepfake, προκειμένου να προσομοιώσουν τη φωνή του Διευθύνοντος Συμβούλου, πείθοντας ταυτόχρονα έναν από τους διευθυντές θυγατρικής εταιρείας να πραγματοποιήσει την μεταφορά χρημάτων προς αδιευκρίνιστο τραπεζικό λογαριασμό. Γίνεται αντιληπτό πως το τοπίο μεταβάλλεται συνεχώς και οι κυβερνοεγκληματίες δεν διστάζουν να πραγματοποιήσουν ένα ποιοτικό… άλμα, μέσω της αξιοποίησης των πλέον σύγχρονων cutting edge τεχνολογιών, εφαρμογών και υπηρεσιών».

Μην πάθετε προκειμένου να μάθετε!
Μπορεί το 2020 να «επλήγη» βάναυσα από την πανδημία του κορωνοϊού, θέτοντας συντριπτικά μεγάλο τμήμα του παγκόσμιου επιχειρείν σε ένα ιδιότυπο καθεστώς ακινησίας και πρόσκαιρης παύσης ή εναλλάξ λειτουργίας ανάλογα με τα στάδια επιβολής lockdown, εντούτοις όμως οι δαπάνες για την κυβερνοασφάλεια εκτιμάται πως υπερέβησαν τα 120 δισεκατομμύρια δολάρια. Μάλιστα, για τον κοινό νου η ψηφιακή έκφανση του επιχειρείν δείχνει ως ένας συμπληρωματικός μονόδρομος, εντούτοις όμως δεν λείπουν αρκετοί εκπρόσωποί του που δεν συμπεριλαμβάνουν την κυβερνοασφάλεια στην ευρύτερη στρατηγική μετασχηματισμού τους. «Πρόκειται για μια επικών διαστάσεων αστοχία, η οποία είναι εξαιρετικά πιθανόν να τους οδηγήσει σε σημαντικό κόστος κατά το εγγύς μέλλον.

Ένας ακόμη λόγος για την top class ιεράρχηση της ασφάλειας στον κυβερνοχώρο είναι και η κλίμακα δυνητικής βλάβης που δύναται να υποστεί μια εταιρεία σε περίπτωση κυβερνοεπίθεσης. Πόσο, μάλλον, από τη στιγμή κατά την οποία η εμφάνιση ενός και μόνου περιστατικού είναι αρκετό για να προκαλέσει σοβαρές οικονομικές ζημιές και ανεπανόρθωτο πλήγμα στην εταιρική φήμη. Υπό αυτό το πρίσμα, η εφαρμογή αυστηρών κανονισμών ή ενός δομημένου Ρυθμιστικού πλαισίου, οι απαιτήσεις της αγοράς ή ένα συμβάν διατάραξης της ασφαλείας ενδέχεται να οδηγήσουν στην ανάγκη αναβάθμισης των αντίστοιχων πληροφοριακών συστημάτων, στον ανασχεδιασμό και την αναθεώρηση επιχειρηματικών διαδικασιών ή στην τροποποίηση των προϊόντων που έχουν ήδη κυκλοφορήσει, με αποτέλεσμα την απώλεια πελατών και την δεδομένη συρρίκνωση των κερδών».

Απαραίτητη η ένταξη της e-ασφάλειας στην εταιρική ψηφιακή στρατηγική ανάπτυξης και μετασχηματισμού
Εκτός, όμως, από την “χαρτογράφηση” των πλέον πιθανών ψηφιακών κινδύνων, εξαιρετικά χρήσιμο για τα κορυφαία διοικητικά στελέχη επιχειρήσεων θα αποδεικνύονταν και μια go-to στρατηγική, με βάση την οποία θα ήταν σε θέση να αποφύγουν τις παγίδες και να υπερκεράσουν τα ψηφιακά ρίσκα που απλώνονται μπροστά τους. Ο πρώην επικεφαλής του National Cyber Security Centre της Μεγάλης Βρετανίας θεωρεί πως οι CEOs οφείλουν να εντάξουν την ασφάλεια στον κυβερνοχώρο στη συνολικότερη ψηφιακή στρατηγική ανάπτυξης και μετασχηματισμού της εταιρείας που διευθύνουν. «Η ανθεκτικότητα στον κυβερνοχώρο θα πρέπει να αποτελεί ζητούμενο, όσο και ακρογωνιαίος λίθος του επιχειρηματικού τους οικοσυστήματος.

Κατ’ επέκταση, πρόκειται για θέματα τα οποία θα πρέπει να απασχολούν και τις συνεδριάσεις των Διοικητικών Συμβουλίων τους. Πόσο, μάλλον, από τη στιγμή κατά την οποία η πιθανή επιτυχή επίθεση από την πλευρά των κυβερνοεγκληματιών, με την ταυτόχρονη κλοπή ευαίσθητων όσο και σημαντικών δεδομένων, δύναται να οδηγήσει στην πρόκληση τεράστιων, αλλά και επιζήμιων εταιρικών… πονοκεφάλων. Πολύ συχνά παροτρύνω τους επικεφαλής επιχειρήσεων και οργανισμών να απευθύνουν “ανοιχτή” πρόσκληση προς τον Chief Information Security Officer (CISO) τους προκειμένου να συμμετάσχει στις εργασίες του Διοικητικού Συμβουλίου. Θα πρέπει, εξάλλου, τα διευθυντικά στελέχη να αντιληφθούν πως οι CISO δεν αποτελούν -πλέον- απλά επαγγελματίες με τεχνολογική κατεύθυνση και προϋπηρεσία, αλλά αντιθέτως συμβάλουν ενεργά ώστε η ίδια η επιχείρηση να κινηθεί προς τα μπροστά με αποφασιστικότητα και ταχύτητα, και κατ’ επέκταση θα πρέπει να συμμετέχουν και στον ευρύτερο στρατηγικό σχεδιασμό των οργανισμών».

Αναπτύξτε ένα πλέγμα πρακτικών διαχείρισης κινδύνων και κρίσεων
Ένα από τα σημεία-“κλειδιά”, σύμφωνα με τον Ciaran Martin, είναι και η ρεαλιστική αξιολόγηση των κινδύνων με την ταυτόχρονη προσθήκη της ασφάλειας στον κυβερνοχώρο στο συνολικότερο προφίλ κινδύνου μιας εταιρείας. Όπως θεωρεί, ο Διευθύνων Σύμβουλος, μα και το Διοικητικό Συμβούλιο του οποίου ηγείται οφείλουν να συζητήσουν, να επεξεργαστούν και εν τέλει να υιοθετήσουν σε εταιρικό επίπεδο ένα πλέγμα πρακτικών διαχείρισης κινδύνων και κρίσεων. «Ας κάνουμε ένα σενάριο εργασίας: Έστω ότι έχει λάβει χώρα ένα περιστατικό ασφάλειας στον κυβερνοχώρο. Ο Οργανισμός χρειάζεται να διαθέτει συγκεκριμένες, ακριβείς, όσο και επαληθευμένες ενέργειες απόκρισης σε τεχνικό επίπεδο, με την ταυτόχρονη ταχεία λήψη αποφάσεων από μέρους του Δ.Σ.

Την ίδια στιγμή, θα πρέπει να υπάρχει αποτελεσματική αλληλεπίδραση μεταξύ τμημάτων, αλλά και θυγατρικών εταιρειών, ενώ κρίσιμος παράγοντας είναι και η χάραξη μιας ξεκάθαρης, όσο και κατά το δυνατόν πιο λεπτομερούς, μα και “διάφανης” γραμμής επικοινωνίας με τους επενδυτές και το κοινό. Όλα αυτά απαιτούν την ύπαρξη ενός συνεκτικού σχέδιο δράσης, αλλά και της ανά τακτά χρονικά διαστήματα διαδικασία εκπαίδευσης κρίσεων στα οποία θα συμμετέχουν από τα ανώτερα και ανώτατα στελέχη μέχρι και τον τελευταίο εργαζόμενο κάθε επιχείρησης».

Φροντίστε για τον διαμοιρασμό της γνώσης στον επιχειρηματικό κόλπο
Η τελευταία πτυχή, αυτή της εκπαίδευσης και της μετάδοσης γνώσης εντός των κόλπων του ίδιου του Οργανισμού, θεωρείται ως μια από τις πλέον εμφανείς μεν, μα ουσιώδους σημασίας δε, Αχίλλειο πτέρνα στην προσπάθεια αποτελεσματικής αντιμετώπισης του κυβερνοεγκλήματος και της διατήρησης ενός “σφικτού” επιπέδου κυβερνοασφάλειας. «Έχει αποδειχθεί στην πράξη πως η ολοκληρωμένη διαδικασία εκπαίδευσης μπορεί να γλιτώσει από πολλά ατυχή, μα και συνάμα δυσάρεστα περιστατικά διάτρησης της περιμέτρου κυβερνοασφάλειας των ίδιων των επιχειρήσεων. Άρα, τάσσομαι αναφανδόν υπέρ της σοβαρής επένδυσης στην εκπαίδευση του συνόλου των στελεχών και υπαλλήλων εταιρειών περί του κυβερνοεπιχειρείν μέσω εξειδικευμένων μαθημάτων, δοκιμών και εκτενών προσομοιώσεων.

Εξάλλου, οι ασκήσεις και οι εκπαιδεύσεις στον κυβερνοχώρο για το προσωπικό συμβάλλουν στην οικοδόμηση μιας κουλτούρας ασφάλειας εντός των ίδιων των Οργανισμών, στην ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο, ενώ ταυτόχρονα δεν επιτρέπουν στους υπαλλήλους να πέφτουν θύματα στοχευμένων όσο και εξελιγμένων μεθόδων social engineering και κλοπής δεδομένων». Υπέρ των θέσεων του νυν Διευθύνοντος Συμβούλου της Paladian Capital Group δείχνουν να συνηγορούν και τα αποτελέσματα πρόσφατης μελέτης, σύμφωνα με την οποία η τακτική εκπαίδευση βελτιώνει τον βαθμό ανθεκτικότητας του προσωπικού στο phishing κατά 9 φορές!

Το outsourcing “σώζει”
Ο κ. Martin ισχυρίζεται πως δεν θα πρέπει να φοβούνται ή να διακρίνονται από αισθήματα συστολής και ανασφάλειας στο άκουσμα του όρου “outsourcing”, λόγω της οικονομοτεχνικής διάστασης του ζητήματος: «Ένα από τα κύρια προαπαιτούμενα στον τομέα της κυβερνοασφάλειας είναι η ύπαρξη πόρων, τόσο οικονομικών, όσο και σε επίπεδο ανθρώπινου δυναμικού. Στο πλαίσιο μιας επιχείρησης ή οργανισμού, το προσωπικό που είναι επιφορτισμένο με την ασφαλή έκθεση της στον κυβερνοχώρο αντιμετωπίζει παρόμοιες μεν απειλές, ωστόσο οι εξειδικευμένες εταιρείες διαθέτουν πολύ περισσότερη εμπειρία, καθώς ασχολούνται καθημερινά με ποικίλου τύπου κυβερνοπεριστατικά και αντίστοιχες επιθέσεις. Παράλληλα, διαθέτουν state-of-the-art εξοπλισμό, το πλέον πρόσφατο εξειδικευμένο λογισμικό, ενώ στελεχώνονται και από υψηλής κατάρτισης στελεχιακό δυναμικό. Αποτέλεσμα; Η επιλογή ενός εξωτερικού εταιρικού συνεργάτη ή συμβούλου στον τομέα της κυβερνοασφάλειας, θα εξοικονομήσει χρήματα, ανθρώπινους πόρους, χρόνο, θα προστατεύσει αποτελεσματικότερα μια επιχείρηση, ενώ η τελευταία θα είναι σε θέση να συνεχίσει απρόσκοπτα να λειτουργεί με βάση το core business της, το οποίο αφενός μεν γνωρίζει καλύτερα έναντι όλων και αφετέρου δε είναι αυτό που της «γεννά» έσοδα και κέρδη. Δεν χωρά αμφιβολία πως η διασφάλιση ενός status ασφαλούς λειτουργίας μιας επιχείρησης στον κυβερνοχώρο αποτελεί ένα ιδιαίτερα πολύπλοκο έργο, για το οποίο εν τέλει ο Διευθύνων Σύμβουλος φέρει και -ως ένα βαθμό- προσωπική ευθύνη.

Σε αυτό το πλαίσιο και επιχειρώντας να καθοδηγήσουν τις εταιρείες τους με ασφάλεια και αποτελεσματικότητα στην επιτυχή υλοποίηση του ψηφιακού μετασχηματισμού, τα στελέχη οφείλουν να συμμετέχουν στη δημιουργία συνεκτικών στρατηγικών ασφάλειας, να διευρύνουν το επίπεδο της γνώσης τους ως προς τη λειτουργία του κυβερνοχώρου, καθώς επίσης και να καθοδηγούν τα στελέχη και τους υπαλλήλους τους με αυτοπεποίθηση, σιγουριά και αισιοδοξία προκειμένου να ανταπεξέλθουν στις προκλήσεις της ψηφιακής εποχής».