Αν και οι Διευθύνσεις Πληροφορικής κάνουν τα πάντα για να προστατέψουν τις IT υποδομές τους από τις ψηφιακές επιθέσεις δεν μπορούν και δεν είναι δυνατό να εγγυηθούν μια 100% προστασία.

Η φυσική πρόσβαση στο εσωτερικό μιας εταιρείας είναι αρκετά πιο δύσκολη από την ψηφιακή. Στην τελευταία περίπτωση, η πρόσβαση μπορεί να γίνει με πολύ απλό τρόπο, καθώς όλες οι επιχειρήσεις σήμερα συνδέονται με το Internet, αφήνοντας μια κερκόπορτα ανοικτή.

H σύνδεση μιας εταιρείας στο Internet είναι πλέον αναπόφευκτη, οπότε το θέμα δεν είναι αν πρέπει να υπάρχει σύνδεση με το Internet ή όχι, αλλά πόσο προστατευμένη είναι αυτή, αλλά και τι μέτρα έχουν παρθεί για την …επόμενη ημέρα. Χαρακτηριστικό παράδειγμα των κινδύνων που ελλοχεύουν από τη σύνδεση στο Internet είναι τα συστήματα Scada (Supervisory Control and Data Acquisition) που χρησιμοποιούνται σε διάφορες βιομηχανικές εγκαταστάσεις και τα οποία έχουν σχεδιαστεί για την παρακολούθηση και την καθοδήγηση διαφόρων διεργασιών.

Αυτά τα συστήματα δεν προσφέρουν προστασία έναντι επιθέσεων hackers, δημιουργώντας πιθανά σημεία διείσδυσης σε όσες εταιρείες έχουν αποφασίσει να τα ελέγχουν και να τα ρυθμίζουν εξ αποστάσεως μέσω μιας σύνδεσης στο Internet. Βέβαια, υπάρχουν τα firewall και τα antivirus, όπως και άλλοι μηχανισμοί ασφαλείας, ωστόσο δεν μπορούν να εγγυηθούν μια 100% προστασία. Αυτό άλλωστε το γνωρίζουν οι Διευθυντές Πληροφορικής, οι οποίοι αυτό που κάνουν στην προκειμένη περίπτωση είναι διαχείριση πιθανότητας και ρίσκου.

Ενα ακόμα χαρακτηριστικό παράδειγμα είναι οι εσωτερικοί κίνδυνοι, οι οποίοι προέρχονται, για παράδειγμα, από τη χρήση ενός USB drive. Η σύνδεση ενός μολυσμένου USB stick σε ένα σταθμό εργασίας ενδέχεται να μολύνει όλο το εταιρικό δίκτυο. Αλλά και τα διάφορα σύγχρονα προϊόντα δικτύωσης αποτελούν πιθανές κερκόπορτες. Πολλοί κατασκευαστές τέτοιων συσκευών επικεντρώνονται στις λειτουργίες, βάζοντας την ασφάλεια στο περιθώριο.

Ο κίνδυνος των ψηφιακών επιθέσεων θα αυξάνεται όλο και περισσότερο τα επόμενα χρόνια. Και αυτό διότι όλο και περισσότεροι τομείς της καθημερινότητας μας θα συνδέονται και θα εξυπηρετούνται ψηφιακά, όπως και οι περισσότερες δραστηριότητες μιας εταιρείας. Ως εκ τούτου η ασφάλεια ήταν, είναι και θα παραμείνει μείζον θέμα για τη Διεύθυνση Πληροφορικής. Ερωτήματα που αφορούν στην έκθεση της εταιρείας στις απειλές από το Internet, την αντοχή και την ανθεκτικότητα στις κυβερνοεπιθέσεις, τον τρόπο αντίδρασης στην περίπτωση που συμβεί το κακό, αλλά και ο τρόπος διαχείρισης μιας επίθεσης με τις λιγότερες δυνατές επιπτώσεις στη λειτουργία της εταιρείας, βασανίζουν καθημερινά κάθε CIO.

Η προστασία των virtualized και cloud οικοσυστημάτων έχει γίνει προτεραιότητα για πολλούς CIO. Πρόσφατα, άλλωστε, είδαμε να γίνονται θύματα επιθέσεων μεγάλα διεθνή ειδησεογραφικά sites – Washington Post, CNNi, Time- κάτι που καταδεικνύει χαρακτηριστικά το μέγεθος του προβλήματος και των υφιστάμενων κινδύνων.

Το αναπόφευκτο κόστος
Το πρόβλημα γίνεται ακόμα πιο σύνθετο αν αναλογιστεί κανείς ότι τα εργαλείο που απαιτούνται για να διεξάγει κανείς μια επίθεση σε μια εταιρεία διατίθενται ελεύθερα σε οποιονδήποτε, με μόνη προϋπόθεση την ύπαρξη ενός υπολογιστή και μια …χούφτα ευρώ. Σύμφωνα με επίσημα στοιχεία διεθνών μελετών, οργανισμών και εταιρειών που κατασκευάζουν προϊόντα ασφάλειας, το κυβερνοέγκλημα κοστίζει περίπου 400 δισ. δολάρια ετησίως, ένα, ομολογουμένως, τεράστιο ποσό. Η, δε, γκάμα του είναι πολύ ευρεία, καθώς κυμαίνεται από την υποκλοπή κρίσιμων εταιρικών δεδομένων και την εξαπάτηση, έως τη βιομηχανική και κρατική κατασκοπεία.

Ανησυχητική είναι και η αυξανόμενη επέκταση του “cyber crime as a service”, όπου ο καθένας μπορεί να αγοράσει online φθηνά εργαλεία hacking ή δημιουργίας ιών. Ο καθένας μπορεί να γίνει hacker, χωρίς να χρειάζεται να έχει ειδικές τεχνολογικές γνώσεις ή εκπαίδευση. Το μόνο που χρειάζεται είναι να κατεβάσει απλά ένα πρόγραμμα. Στη συνέχεια μπορεί να αγοράσει για λίγα δολάρια χιλιάδες emails ή να ρίξει ένα εταιρικό site.

Λαμβάνοντας, επιπλέον, υπόψιν την τεράστια εξάπλωση του Internet μπορεί να καταλάβει κανείς τους αυξημένους κινδύνους που υπάρχουν. Το χειρότερο από όλα είναι ότι μια επίθεση στην υποδομή ΙΤ δεν επηρεάζει μόνο τη Διεύθυνση Πληροφορικής, αλλά μπορεί να προκαλέσει σημαντικές οικονομικές ζημιές και να κάνει κακό στη φήμη της εταιρείας. Το τελευταίο δεν μπορεί να υποτιμηθεί καθόλου, λαμβάνοντας υπόψη ότι βιώνουμε μια περίοδο κρίσης, όπου η επιτυχία ή αποτυχία μιας εταιρείας κρίνονται από τις λεπτομέρειες.

Οι επιπτώσεις και οι ζημιές που προκαλούνται, λοιπόν, σε μια εταιρεία είναι συνδυαστικές και οδηγούν σε μια αλυσίδα από νομικά, οικονομικά, επικοινωνιακά και τεχνικής φύσης προβλήματα. Σύμφωνα με μια έρευνα της PricewaterhouseCoopers (PwC), η οποία μελετά τον εταιρικό κυβερνοέγκλημα από τη δεκαετία του ’90, οι παραβιάσεις ασφαλείας το 2013 θα κοστίσουν στις μεγάλες εταιρείες από 525.000 έως 990.000 ευρώ κατά μέσο όρο. Για μια μικρομεσαία εταιρεία το κόστος από μια παραβίαση ασφαλείας κυμαίνεται μεταξύ 41.000 και 75.000 ευρώ. Οι επιθέσεις σήμερα, σύμφωνα με την PwC, είναι περισσότερο σύνθετες, ενώ μπορούν να προέλθουν από παντού και με πολλούς διαφορετικούς τρόπους.

Αν και η μελέτη της PwC καταγράφει μια σταθεροποίηση στις επιθέσεις που γίνονται σε μεγάλους οργανισμούς, επισημαίνει ένα μεγάλο άλμα όσον αφορά τις μικρομεσαίες επιχειρήσεις, όπου η σχετική αύξηση ανέρχεται στο 76-87%!


Οι πολυσύνθετες απειλές
Ενας ακόμα παράγοντας που κάνει ακόμα πιο δύσκολα τα πράγματα είναι το γεγονός ότι οι προερχόμενες από το Internet απειλές αλλάζουν συνεχώς με την πάροδο του χρόνου. Από τότε που εμφανίστηκε το πρώτο worm ή από τότε που κάποιος διείσδυσε για πρώτη φορά στο πληροφοριακό σύστημα ενός οργανισμού έχουν αλλάξει πολλά.

Με την πάροδο του χρόνου οι επιτιθέμενοι αλλάζουν τακτικές, δείχνοντας προτίμηση κάθε φορά σε διαφορετικού είδους επιθέσεις, με τις επιθέσεις Distributed Denial of Service (DDoS) και τα botnets να είναι πιο συχνές τον τελευταίο καιρό. Για την αντιμετώπιση των απειλών γίνεται προσπάθεια από όλους, τόσο από την κοινότητα του Internet, όσο και από εταιρείες που κατασκευάζουν σχετικά προϊόντα και λύσεις. Ωστόσο, οι όλο και πιο σοφιστικέ και μεταβαλλόμενες τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, απαιτεί μια συνεχή προσπάθεια, ένα συνεχή αγώνα ταχύτητας, χωρίς, πάλι να μπορεί κανείς να εγγυηθεί μια απόλυτη προστασία και αντιμετώπιση των κινδύνων.

H εξασφάλιση
Tα ουκ ολίγα σοβαρά περιστατικά παραβίασης των δεδομένων σε συνδυασμό με τη μεγάλη εξάρτηση των σύγχρονων επιχειρήσεων από το ΙΤ, ώθησε αρκετές ασφαλιστικές εταιρείες να προσφέρουν προϊόντα που προστατεύουν και διασφαλίζουν τις εταιρείες σε τέτοιες περιπτώσεις. Πρόκειται για προϊόντα που δεν περιορίζονται μόνο στην παραβίαση και υποκλοπή των δεδομένων, αλλά για προϊόντα που προσφέρουν εγγυήσεις και σε άλλες καταστάσεις, όπως είναι η ακούσια (ή εκούσια) διαγραφή δεδομένων, η δυσλειτουργία ενός server και η γενικότερη αστοχία της ΙΤ υποδομής.

Η προστασία δεδομένων και της IT υποδομής γενικότερα αποκτά όλο και μεγαλύτερη σημασία τον τελευταίο καιρό για τις επιχειρήσεις. Σημαντικό δεν είναι μόνο να μην πέσουν στα χέρια των hackers κρίσιμα εταιρικά δεδομένα, αλλά και η κάλυψη στην περίπτωση αστοχίας ενός υπολογιστή ή ενός προγράμματος, καθώς και σε αυτές τις περιπτώσεις οι ζημιές που μπορεί να προκληθούν είναι σημαντικές. Ανάγκη ασφαλιστικής κάλυψης δεν έχουν μόνο οι μεγάλες εταιρείες, ούτε μόνο οι εταιρείες που δραστηριοποιούνται σε συγκεκριμένους τομείς (π.χ. τράπεζες).

Και αυτό διότι κάθε εταιρεία ανεξάρτητα μεγέθους και περιοχής δραστηριοτήτων που διαχειρίζεται ψηφιακά τα δεδομένα της – στους servers, στο cloud, στο site της – είναι εκτεθειμένη σε κινδύνους, ανεξάρτητα του μεγέθους της (όπως είπαμε και πριν αυξήθηκαν σημαντικά τον τελευταίο καιρό οι επιθέσεις στις μικρομεσαίες επιχειρήσεις). Επιπλέον, μπορεί ο χρηματοοικονομικός τομέας να χαρακτηρίζεται από μεγάλο βαθμό επικινδυνότητας, ωστόσο, πολλές ακόμα εταιρείες μπορούν να μπουν στο στόχαστρο και χρειάζονται μια κάλυψη στην περίπτωση που θα συμβεί το μοιραίο.

Σήμερα, οι υποκλοπές δεδομένων, οι παραβιάσεις των προσωπικών δεδομένων και οι πάσης φύσης ψηφιακές επιθέσεις έχουν γίνει καθημερινότητα. Ολα, σχεδόν, τα περιστατικά έχουν δύο κύρια χαρακτηριστικά: μια πολύ αυστηρή νομοθεσία από πίσω και μια σημαντική επίπτωση στη λειτουργία και στη φήμη των εταιρειών, με το συνεπαγόμενο κόστος να είναι δυσβάσταχτο.

Με βάση αυτά τα δεδομένα η ασφαλιστική προστασία έναντι των κινδύνων που προκύπτουν από μια επιτυχημένη επίθεση στα πληροφοριακά συστήματα μιας εταιρείας έρχεται όλο και περισσότερο στο προσκήνιο. Τα ασφαλιστικά προϊόντα που συναντάμε στην αγορά παρέχουν κάλυψη για όλες, σχεδόν, τις επιπτώσεις μιας επίθεσης, παρέχοντας, εν γένει, την απαραίτητη τεχνική υποστήριξη και πραγματογνώμονες, καλύπτοντας τις ζημιές και παρέχοντας νομικές συμβουλές.

Οι κίνδυνοι ενός απλού εταιρικού site

H δημιουργία ενός εταιρικού Web site αποτελεί μια απλή υπόθεση. Οι κίνδυνοι στους οποίους εκτίθεται η εταιρεία μέσα από αυτό, ωστόσο, δεν αποτελούν καθόλου απλή υπόθεση. Στην προκειμένη περίπτωση έχουμε να κάνουμε με άμεσους, αναπτυσσόμενους και πολύπλοκους κινδύνους. Διαδίδοντας πληροφορίες μέσα ένα site του Web, οι επιχειρήσεις εκτίθενται περισσότερο από ποτέ σε κινδύνους όπως είναι οι παραβιάσεις των πνευματικών δικαιωμάτων, η δυσφήμηση και η παραβίαση της ιδιωτικής ζωής, όπως και οι συνήθεις κίνδυνοι που προκύπτουν από μια δραστηριότητα στο Web. Οι παραδοσιακοί μηχανισμοί προστασίας ενδέχεται να μην επαρκούν σε περιπτώσεις όπως είναι:

  • Η μη εξουσιοδοτημένη χρήση στο εταιρικό site μιας φωτογραφίας προστατευμένης με copyright.
  • H διαπίστωση ότι το domain name που αντιστοιχεί στην εταιρική ονομασία έχει ήδη κλειστεί από κάποιον άλλο.
  • Μetatags που χρησιμοποιούνται σε ένα εταιρικό site, αποτελούν trademarks άλλων εταιρειών.
  • Το νεοσύστατο εταιρικό site περιέχει δυσμενή σχόλια για ανταγωνιστές, τα οποία ενδέχεται να προκαλέσουν νομικές κυρώσεις από αυτούς.

Ολα τα παραπάνω δείχνουν την πολυμορφία των κινδύνων που υπάρχουν από τη δημιουργία ενός απλού εταιρικού site και τα νομικά μπλεξίματα που μπορούν να δημιουργήσουν από το πουθενά για μια εταιρεία.