3 λεπτά 10 Φεβ 2022
cyber security ey

Έκρηξη των κυβερνοεπιθέσεων μέσα στην πανδημία

Από Παναγιώτης Παπαγιαννακόπουλος

Εταίρος, Συμβουλευτικές Υπηρεσίες EY Ελλάδος. Επικεφαλής Υπηρεσιών Κυβερνοασφάλειας, Προστασίας Δεδομένων και Ιδιωτικότητας της EY στον Νότιο Τομέα της περιοχής της Κεντρικής, Ανατολικής, Νοτιοανατολικής Ευρώπης και Κεντρικής Ασίας (CESA)

Εξωστρεφής, κοινωνικός, καινοτόμος και πελατοκεντρικός. Δημιουργεί σχέσεις εμπιστοσύνης. Πιστεύει ότι οι ομάδες, και όχι τα άτομα, κάνουν τη διαφορά. Xαρούμενος πατέρας δύο κοριτσιών.

3 λεπτά 10 Φεβ 2022

Η συχνότητα των κυβερνοεπιθέσεων σε ελληνικές επιχειρήσεις, οργανισμούς και φορείς ολοένα και αυξάνεται. Βάσει της πρόσφατης παγκόσμιας έρευνας της EY για την ασφάλεια πληροφοριών (Global Information Security Survey), το 86% των ερωτηθέντων υπευθύνων ασφαλείας πληροφοριών στην Ελλάδα ανέφεραν ότι, μόνο μέσα στους τελευταίους 12 μήνες, ο αριθμός των κυβερνοεπιθέσεων, σε σχέση με προηγούμενα έτη, έχει αυξηθεί κατά 10%-20%.

Παράλληλα, με την ταχύτατη εξέλιξη της τεχνολογίας, είναι λογικό να εξελίσσονται και οι κυβερνοεπιθέσεις, τόσο υπό το πρίσμα της πολυπλοκότητας, όσο και υπό αυτό της αποτελεσματικότητάς τους. Νέες απειλές εμφανίζονται διαρκώς, αλλά και ήδη γνωστές, με νέες τεχνικές που δυσκολεύουν το έργο της προστασίας εταιρικών πόρων και δεδομένων. Για παράδειγμα, στην Ελλάδα, κατά το τελευταίο χρονικό διάστημα, παρατηρούνται έντονες κρατικά επιχορηγούμενες επιθέσεις που αποβλέπουν σε πλήγμα κατά κρίσιμων υποδομών της χώρας, αλλά και σε υποκλοπή σημαντικών πληροφοριών.

Παράλληλα, στη χώρα μας, οι επιθέσεις για λύτρα (ransomware) μέσα από καμπάνιες ηλεκτρονικού ψαρέματος (phishing emails) είναι ιδιαίτερα συχνές, με κάποιες από τις πιο σημαντικές να αφορούν εταιρείες που δραστηριοποιούνται στους κλάδους της ναυτιλίας, των τροφίμων, αλλά και σε δημόσιους φορείς. Τέλος, περιστατικά που αφορούν επιθέσεις μέσω κακόβουλου λογισμικού (malware), αλλά και παραμόρφωσης (defacement) ιστοσελίδων, είναι αρκετά συχνά σε κλάδους της οικονομίας, όπου η κυβερνοασφάλεια δεν είναι ακόμη τόσο ώριμη.

Η αύξηση των κυβερνοεπιθέσεων αυξάνει και τα κόστη

Ως κομμάτι του παγκόσμιου χάρτη, η Ελλάδα αντιμετωπίζει τις ίδιες δυσκολίες στη διαχείριση περιστατικών ασφαλείας, όπου, σύμφωνα με έρευνες, πάνω από το 50% των επιχειρήσεων αδυνατεί να ανταποκριθεί σε αυτά. Υπολογίζεται ότι, κατά μέσο όρο, το κόστος των κυβερνοεπιθέσεων στις μικρομεσαίες επιχειρήσεις ανέρχεται έως $50.000, στις μεγάλες επιχειρήσεις (έως 1.000 εργαζομένους) στα $133.000 και, στις εταιρείες που αριθμούν πάνω από 1.000 εργαζομένους, εκτοξεύεται στα $504.000.

Το μέσο κόστος κυβερνοεπιθέσεων έχει καταγράψει νέο ρεκόρ αύξησης, το οποίο, σε σχέση με περυσινά στατιστικά, παρουσιάζεται αυξημένο κατά 10%. Στην Ελλάδα, αλλά και ευρύτερα στην παγκόσμια οικονομία, ο κλάδος που έχει πληγεί περισσότερο είναι αυτός της υγείας, με τους κλάδους των χρηματοοικονομικών υπηρεσιών, των φαρμακευτικών, της τεχνολογίας και της ενέργειας να έπονται, με πολύ μικρή διαφορά μεταξύ τους. Στα παραπάνω, δεν μπορούμε να παραβλέπουμε το κόστος της φήμης που πλήττεται. Σε αρκετές περιπτώσεις, το εν λόγω κόστος ενδέχεται να έχει καθοριστικές συνέπειες στη λειτουργία των επιχειρήσεων.

Σύμφωνα με αποτελέσματα της παγκόσμιας έρευνας της EY, Global Information Security Survey, το 60% των εγχώριων επιχειρήσεων επενδύει στην κυβερνοασφάλεια ποσά μεταξύ $100.000-$500.000 ετησίως. Ωστόσο, το 40% των ερωτηθέντων προειδοποιούν ότι οι υφιστάμενες επενδύσεις δεν επαρκούν για τη διαχείριση των νέων προκλήσεων κυβερνοασφάλειας που αντιμετωπίζουν τους τελευταίους 12 μήνες.

Σε επίπεδο Ευρωπαϊκής Ένωσης, η εικόνα διαφοροποιείται, καθώς παρατηρείται ότι το 50% των επιχειρήσεων επενδύει ποσά που ξεπερνούν τις $500.000, ενώ υφίστανται και περιπτώσεις που οι επενδύσεις μπορεί να φθάσουν μέχρι και τα $50 εκατ.

Η κυβερνοασφάλεια ξεκινάει από τον άνθρωπο

Ωστόσο, οι επενδύσεις από μόνες τους δε διασφαλίζουν την επίτευξη ενός ικανοποιητικού επιπέδου προστασίας έναντι των κυβερνοαπειλών. Οι οργανισμοί θα πρέπει να προσεγγίζουν το ζήτημα της κυβερνοασφάλειας ολιστικά, καθορίζοντας ενιαία στρατηγική, η οποία θα προβλέπει ευθυγράμμιση των αντίστοιχων απαιτήσεων ασφαλείας με τους επιχειρησιακούς στόχους.

Παράλληλα, οι επενδύσεις στη χώρα μας εστίαζαν στην τεχνολογία. 

Είναι σαφές ότι για να αντιμετωπίσει κανείς αποτελεσματικά τις κυβερνοαπειλές, πρέπει να επενδύσει και στον «αδύναμο κρίκο»: τον άνθρωπο. Συστηματική εκπαίδευση και ευαισθητοποίηση των εργαζομένων, προάγοντας την κουλτούρα κυβερνοασφάλειας, αλλά και διαδικασίες και πολιτικές, είναι μερικές από τις κινήσεις που ενισχύουν σε πολύ μεγάλο βαθμό την κυβερνοάμυνα.

Τέλος, είναι πολύ σημαντικό να υπάρχει η υποστήριξη της διοίκησης, αλλά και μία ολοκληρωμένη στρατηγική, η οποία θα εξορθολογεί τις επενδύσεις.

Όπως και στον φυσικό κόσμο, έτσι και στον ψηφιακό, απαιτείται να είμαστε ιδιαίτερα προσεκτικοί με τις προσωπικές πληροφορίες που δημοσιεύουμε σε κοινωνικά μέσα δικτύωσης.

Παράλληλα, πρέπει όλοι μας να υιοθετήσουμε φράσεις ασφαλείας (passphrases) αντί για τους παραδοσιακούς κωδικούς, και τεχνικές αυθεντικοποίησης δύο παραγόντων, όπως, για παράδειγμα, φράση ασφαλείας και μήνυμα στο κινητό με επιπλέον pin, να επικαιροποιούμε το λογισμικό που μεταχειριζόμαστε και να χρησιμοποιούμε μόνο ηλεκτρονικές συσκευές που εμπιστευόμαστε. Τα προηγούμενα είναι μερικά απλά βήματα που μπορούν να προσδώσουν ένα ώριμο επίπεδο ασφαλείας στους χρήστες.

Όλα αυτά θα πρέπει να αποτελούν υποσυνείδητες ενέργειες, που αναπτύσσονται μόνο με συχνή ευαισθητοποίηση όλων μας σε ζητήματα κυβερνοασφάλειας.

*Το παρόν κείμενο αποτελεί προσαρμογή της συνέντευξης του Παναγιώτη Παπαγιαννακόπουλου στη δημοσιογράφο Δέσποινα Κόντη και την εφημερίδα «Η ΚΑΘΗΜΕΡΙΝΗ ΤΗΣ ΚΥΡΙΑΚΗΣ», η οποία δημοσιεύθηκε αρχικά στις 9 Ιανουαρίου 2022.

Περίληψη

Οι επενδύσεις από μόνες τους δε διασφαλίζουν την επίτευξη ενός ικανοποιητικού επιπέδου προστασίας έναντι των κυβερνοαπειλών. Οι οργανισμοί θα πρέπει να προσεγγίζουν το ζήτημα της κυβερνοασφάλειας ολιστικά, καθορίζοντας ενιαία στρατηγική, η οποία εκτός από την ευθυγράμμιση των αντίστοιχων απαιτήσεων ασφαλείας με τους επιχειρησιακούς στόχους, θα πρέπει να επικεντρώνεται και στο ανθρώπινο στοιχείο.

 

Σχετικά με αυτό το άρθρο

Από Παναγιώτης Παπαγιαννακόπουλος

Εταίρος, Συμβουλευτικές Υπηρεσίες EY Ελλάδος. Επικεφαλής Υπηρεσιών Κυβερνοασφάλειας, Προστασίας Δεδομένων και Ιδιωτικότητας της EY στον Νότιο Τομέα της περιοχής της Κεντρικής, Ανατολικής, Νοτιοανατολικής Ευρώπης και Κεντρικής Ασίας (CESA)

Εξωστρεφής, κοινωνικός, καινοτόμος και πελατοκεντρικός. Δημιουργεί σχέσεις εμπιστοσύνης. Πιστεύει ότι οι ομάδες, και όχι τα άτομα, κάνουν τη διαφορά. Xαρούμενος πατέρας δύο κοριτσιών.

  • Facebook
  • LinkedIn