Αν οι παραδοσιακοί κατάσκοποι χρειάζονταν να διακινδυνεύσουν τη ζωή τους για να αποκτήσουν πληροφορίες, οι σύχγρονοι μπορούν να κάνουν το ίδιο με λιγότερο κίνδυνο από την οθόνη του υπολογιστή τους.

O Marc Evans, υψηλόβαθμο στέλεχος μιας από τις μεγαλύτερες κατασκευάστριες πολιτικών αεροσκαφών στον κόσμο, είχε μόλις ολοκληρώσει μια πολύ σημαντική συνάντηση με άραβες πελάτες και έστελνε ένα μήνυμα στον προϊστάμενό του. “Patrick, η διαπραγμάτευση πήγε περίφημα, νομίζω ότι θα βάλουν παραγγελία για 11 των 200 θέσεων και 2 των 300”.

Οταν, τελικά, η εταιρεία του έχασε τη δουλειά, ο Marc ήταν ο πρώτος που απολύθηκε, χωρίς όμως κανένας να του εξηγήσει το γιατί. Είχε κάνει κάτι τόσο απλό, αλλά δυστυχώς καταστροφικό για τη συμφωνία. Ανθρωποι των μυστικών υπηρεσιών είχαν πολύ εύκολα μπει στο δωμάτιό του, όπου είχε αφήσει το φορητό του υπολογιστή, με τα έγγραφα σχετικά με την προσφορά. Ετσι, ο ανταγωνισμός κατάφερε να έχει τις πληροφορίες που χρειάζονταν ώστε να κάνει μια πολύ καλύτερη πρόταση.

Το συγκεκριμένο περιστατικό ανήκει σε μια όχι και τόσο νέα κατηγορία παράνομης ή εγκληματικής δραστηριότητας, την οποία σε μια πρόσφατη έκθεσή της, η PriceWaterHouseCoopers, την ονομάζει e-Espionage. Σύμφωνα με έναν ορισμό του UK Centre of Protection of National Infrastructure (CPNI), το e-Espionage είναι η μη εξουσιοδοτημένη και συνήθως εγκληματική ενέργεια πρόσβασης σε εμπιστευτικές πληροφορίες με στόχο τη δημιουργία ανταγωνιστικού πλεονεκτήματος στον εμπορικό ή τον πολιτικό τομέα.

Σε αντίθεση με την παραδοσιακή κατασκοπία, όπου συνήθως ο κατάσκοπος πρέπει να βρίσκεται στον τόπο όπου υπάρχει φυλαγμένη η πληροφορία, στην ηλεκτρονική κατασκοπία, έχει τη δυνατότητα να βρίσκεται αρκετά μακριά ή ακόμα και στη χώρα του, όπου το περιβάλλον για να λειτουργήσει είναι περισσότερο φιλικό. Σύμφωνα με την PwC, κάθε χρόνο ένας αυξανόμενος αριθμός από καλά εκπαιδευμένους και εξοπλισμένους κυβερνο-εγκληματίες αναζητούν μη εξουσιοδοτημένη πρόσβαση σε απόρρητες πληροφορίες εταιρειών και κυβερνήσεων.

Οι αρχές είναι ενήμερες για το πρόβλημα και προσπαθούν να εκπαιδεύσουν τις επιχειρήσεις. Στα τέλη του 2007, ο Jonathan Evans, Γενικός Διευθυντής της MI5, στην οποία υπάγεται και το CPNI, έστειλε ένα εμπιστευτικό γράμμα σε 300 στελέχη μεγάλων χρηματοπιστωτικών και νομικών οργανισμών, προειδοποιώντας για οργανωμένη ενέργεια απέναντι στην οικονομία της Βρετανίας.

Η αντιμετώπιση του e-Espionage δεν είναι μόνο θέμα του IT
Παραδοσιακά, οι εταιρείες έπαιρναν μέτρα απέναντι στο ηλεκτρονικό έγκλημα προσπαθώντας να διαφυλάξουν τις IT υποδομές τους και άρα το θέμα αυτό αφορούσε κυρίως το αντίστοιχο τμήμα. Πλέον, το θέμα αυτό θα πρέπει να μπει στην ατζέντα του διοικητικού συμβουλίου και να τεθεί υπό την αρμοδιότητα μιας ευρύτερης διεύθυνσης ασφάλειας για την οποία το IT θα είναι ένα σημαντικό εργαλείο.

Η τρέχουσα οικονομική κρίση αυξάνει σημαντικά το ρίσκο ηλεκτρονικής κατασκοπίας, κυρίως με διαρροές εκ των έσω. Δυσαρεστημένοι εργαζόμενοι, οι οποίοι είτε δεν πήραν από την εταιρεία τα χρήματα που ζήτησαν, είτε απολύθηκαν είναι πιθανές πηγές διαρροής πληροφορίας σε κυβερνο-εγκληματίες. Η τάση αυτή ενισχύεται και από τον αυξανόμενο ανταγωνισμό για οικονομικούς πόρους, ο οποίος μπορεί να σπρώξει τις επιχειρήσεις να αναζητήσουν μη νόμιμα μέσα, προκειμένου να υπερισχύσουν του ανταγωνιστή τους.

Στις αρχές του 2009, ένα σύστημα ελέγχου κυβερνητικού εγκλήματος με έδρα τον Καναδά, συνέταξε μια αναφορά με τίτλο Tracking Ghostnet: Investigating a Cyber Espionage Network, στην οποία αναλύει τα αποτελέσματα μιας δεκάμηνης έρευνας στο παγκόσμιο δίκτυο ηλεκτρονικών κατασκόπων. Σύμφωνα με την αναφορά, οι κυβερνοεγκληματίες χρησιμοποίησαν malware για να αποκτήσουν πρόσβαση σε 1295 υπολογιστές σε 103 χώρες, περιλαμβανομένων συστημάτων που ανήκουν σε πρεσβείες, υπουργεία εξωτερικών και κάποια που ήταν συνδεδεμένα με τον Δαλάι Λάμα.

Τον Απρίλιο του 2009, η Wall Street Journal δημοσίευσε ένα άρθρο, σύμφωνα με το οποίο κυβερνοεγκληματίες κατάφεραν να διεισδύσουν στο σύστημα μεταφοράς ηλεκτρικής ενέργειας των ΗΠΑ και είχαν υπό τον έλεγχό τους υποσυστήματα, τα οποία θα μπορούσαν να τους επιτρέψουν να δημιουργήσουν σοβαρές δυσλειτουργίες.


Οι εταιρείες πρέπει να περάσουν σε δράσεις
Το πιο σημαντικό ρίσκο για μια εταιρεία που είναι εκτεθειμένη σε κυβερνογκληματίες είναι να δει ατού της να μετατρέπονται σε ατού στα χέρια των ανταγωνιστών της. Παραδοσιακά, η διοίκηση δεν έχει αυτό το ζήτημα στις προτεραιότητες της, γιατί όπως ήδη αναφέραμε το θεωρεί κατά κύριο λόγο ζήτημα του IT. Ωστόσο, για κάποια προϊόντα και υπηρεσίες, η προστασία από κυβερνοεγκληματίες θα πρέπει να εντάσσεται εξ αρχής στη στρατηγική σχεδιασμού του προϊόντος.

Οι εταιρείες που διατηρούν δραστηριότητες εκτός του τόπου έδρας τους (off shoring) ή έχουν εμπιστευτεί τη διαχείριση κάποιων τομέων τους σε τρίτους (outsourcing) χρειάζεται να είναι περισσότερο προσεκτικές. Συνήθως, θεωρούν τα γραφεία τους στο εξωτερικό ή τον outsourcer μικρότερης σημασίας, αλλά παραβλέπουν ότι και τα δύο έχουν πρόσβαση σε κεντρικά συστήματα.

Μερικές φορές οι εταιρείες υποτιμούν αθέλητα και την αξία της πληροφορίας που αποτελεί πνευματική τους ιδιοκτησία. Για παράδειγμα, μια επίθεση σε ένα σύστημα ηλεκτροδότησης θα μπορούσε να αφήσει μια πόλη στο σκοτάδι για μερικές ώρες, όμως η κλοπή κάποιων πατέντων φαρμάκων ή βιομηχανικών υλικών θα μπορούσε να κλείσει μια εταιρεία για πάντα.

Σύμφωνα με μια πρόσφατη έρευνα της PwC, η οποία συμπεριέλαβε 7000 εργαζόμενους από τα επίπεδα CEO, CFO, CIO και CSO από 119 χώρες, περισσότεροι από 3 στους 10 δεν μπορούν να απαντήσουν σε βασικές ερωτήσεις σχετικά με το ρίσκο της εταιρείας τους από ηλεκτρονική κατασκοπεία, ενώ το 35% αυτών παραδέχτηκε πλήρως ότι δεν γνωρίζει πόσες επιθέσεις έχει δεχτεί η εταιρεία του. Ακόμα και στις περιπτώσεις που οι εργαζόμενοι γνώριζαν ότι υπήρχαν περιστατικά στην εταιρεία τους, το 44% αυτών παραδέχτηκαν ότι δεν γνώριζαν τι περιστατικά ήταν αυτά.

Ανάλογα αρνητικά αποτελέσματα είχε παρουσιάσει η ίδια έρευνα και προηγούμενα έτη, παρά το γεγονός ότι στα γραφήματα φαίνεται να υπάρχει κάποια βελτίωση. Η βελτίωση οφείλεται στο ότι η φετινή έρευνα έδινε και τη δυνατότητα της απάντησης «δεν γνωρίζω».

Γνωριμία με τον εχθρό
Η έλλειψη ενημέρωσης της διοίκησης σχετικά με την ποσότητα και το είδος των επιθέσεων που δέχεται κάποιος οργανισμός, είναι το σοβαρότερο ζήτημα που πρέπει να επιλυθεί. Μόνο αν εκτιμηθεί σωστά ο κίνδυνος είναι εφικτό στη συνέχεια να ληφθούν αποφάσεις που θα αντιμετωπίσουν, με τη δημιουργία της κατάλληλης στρατηγικής και φυσικά της εφαρμογής της, η οποία συνεπάγεται αρχικά την κατάλληλη εκπαίδευση του ανθρώπινου δυναμικού και στη συνέχεια τη χρήση των αποτρεπτικών εργαλείων που προσφέρει η τεχνολογία.

e-Espionage και στην Ελλάδα
Ο Αστέριος (Stan) Βουλανάς, Partner (Enterprise Security) της PwC σχολιάζοντας τα αποτελέσματα της έρευνας, τονίζει ότι «Στην Ελλάδα, δεν υφίστανται επίσημα δημοσιοποιημένα στατιστικά στοιχεία σχετικά με την ηλεκτρονική κατασκοπεία. Γνωρίζουμε, όμως, ότι η απειλή της ηλεκτρονικής κατασκοπείας τα τελευταία χρόνια έχει αναπτυχθεί πέραν από τον πολίτικο και στρατιωτικό χώρο και έχει βρει τόπο και στον κόσμο των επιχειρήσεων.

Συνήθως υποκλέπτεται πνευματική ιδιοκτησία μεγάλης αξίας, εμπιστευτικές πληροφορίες πελατών ή άλλα ευαίσθητα δεδομένα μίας επιχείρησης, που μπορούν να χρησιμοποιηθούν για βιομηχανική κατασκοπεία ή και εκβιασμούς. Υπάρχουν περιπτώσεις όπου εταιρείες έχουν ‘μισθώσει’ ηλεκτρονικούς κατάσκοπους για να υποκλέψουν μεγάλης αξίας πληροφορίες των ανταγωνιστών τους.

Τα τελευταία χρόνια έχει αναπτυχθεί μια νέα μέθοδος άντλησης Πληροφοριών (‘phishing’) το ‘whaling’ που απευθύνεται συγκεκριμένα σε ανώτερα στελέχη επιχειρήσεων ή σε άλλους υψηλού επιπέδου στόχους. Η Διοίκηση κάθε επιχείρησης πρέπει να αντιμετωπίσει τέτοιου τύπου απειλές με στοχευόμενες κινήσεις, πέραν από τις ενέργειες του τμήματος Πληροφοριακής.

Πρέπει να ενημερώσει και να εκπαιδεύσει κατάλληλα το προσωπικό της, καθώς και να εφαρμόσει μηχανισμούς ανιχνεύσεις και αποτροπής διαρροής δεδομένων. Θα πρέπει να θυμόμαστε ότι τα φαινόμενα της επιχειρησιακής κατασκοπείας και κατά επέκταση φαινόμενα απάτης είναι πάντα αυξημένα σε περιόδους οικονομικής ύφεσης”.