Τελευταία ακούμε και διαβάζουμε πολλά για το κυβερνοέγκλημα και τους hackers. Τι είναι όμως κυβερνοέγκλημα και ποιοι επιδίδονται σε αυτό;

Κυβερνοέγκλημα (cyber crime) είναι παράνομες ψηφιακές ενέργειες που αποσκοπούν στο να προκαλέσουν ζημιά σε επιχειρήσεις ή ιδιώτες. Ο όρος αποδίδεται σε μια μεγάλη γκάμα μεθόδων επίθεσης και αυτοί που τις υποστηρίζουν ή τις εκτελούν χωρίζονται σε τέσσερις μεγάλες κατηγορίες:

• Άτομα (hackers) που δρουν μεμονωμένα, τα οποία θέλουν να επιδείξουν τι μπορούν να κάνουν. 
• Ακτιβιστές, που θέλουν να αναδείξουν μια ιδεολογία ή πολιτική θέση, συνήθως προκαλώντας φόβο και αναταραχή. 
• Οργανωμένο έγκλημα, που εστιάζει αποκλειστικά στο οικονομικό όφελος μέσω πληθώρας μηχανισμών όπως το «ηλεκτρονικό ψάρεμα» (phishing)  ή η πώληση κλεμμένων εταιρικών δεδομένων. 
• Κυβερνήσεις, που αποσκοπούν στη βελτίωση της γεωπολιτικής θέσης τους ή/και σε εμπορικά συμφέροντα. 

Οι επιθέσεις αυτών των κατηγοριών έχουν διαφορετικά χαρακτηριστικά, όπως το είδος του στόχου, οι  μέθοδοι επίθεσης και η κλίμακα του αντίκτυπου που προκαλούν.

Μετά από όλα αυτά τα σημαντικά σκάνδαλα που έχουν προκύψει μπορούμε να θεωρούμε ότι υπάρχει αποτελεσματικός τρόπος να θωρακιστεί μια επιχείρηση απέναντι στις κυβερνοεπιθέσεις;

Όπως μπορούμε να προστατευτούμε απέναντι σε πιο γνωστές και παραδοσιακές μορφές επιθέσεων (π.χ. κλοπές), έτσι μπορούμε να θωρακιστούμε και απέναντι στις κυβερνοεπιθέσεις. Η ολοκληρωμένη προστασία καλύπτει τέσσερις άξονες: πρέπει να προετοιμαστούμε, να προστατευτούμε, να ανιχνεύουμε/εντοπίζουμε και να αντιμετωπίζουμε σωστά τις επιθέσεις όταν συμβαίνουν. Η προετοιμασία αφορά στο να γνωρίζει κάθε επιχείρηση σε τι είδους επιθέσεις είναι εκτεθειμένη και τι είναι πιο σημαντικό να προστατέψει. Η προστασία περιλαμβάνει μέτρα τεχνολογικά, διαδικασίες, οργάνωση αλλά και εγρήγορση, μέσω κατάλληλης και συνεχούς ενημέρωσης του ανθρώπινου δυναμικού. Η ανίχνευση αφορά στη συνεχή παρακολούθηση και έλεγχο για ενδείξεις πιθανών επιθέσεων και στον εντοπισμό τους το συντομότερο δυνατό, ενώ είναι ακόμη σε εξέλιξη. Τέλος, η αντιμετώπιση προϋποθέτει ένα σχέδιο δράσεων που θα βοηθήσουν την επιχείρηση να ελαχιστοποιήσει τις επιπτώσεις μιας κυβερνοεπίθεσης όταν συμβεί. Με βάση την εμπειρία της KPMG, η πλειοψηφία των οργανισμών περιορίζεται στην προστασία, ιδιαίτερα την τεχνολογική.

Μπορεί να εκτιμηθεί το κόστος, σε χρήμα αλλά και σε φήμη,  που θα υποστεί μια επιχείρηση εάν δεχτεί επίθεση στα συστήματα των πληροφοριών της;

Ναι, μπορεί να εκτιμηθεί σε σημαντικό βαθμό μέσω αξιολόγησης των κινδύνων (IT risk assessment). Υπάρχουν συγκεκριμένες μεθοδολογίες που χρησιμοποιούμε για να εκτιμήσουμε τον κίνδυνο και τις επιπτώσεις του. Η αξιολόγηση αυτή, αν και βασίζεται σε πρότυπα, είναι συγκεκριμένη για κάθε επιχείρηση και προϋποθέτει την ενεργή συμμετοχή των στελεχών της, και είναι το πρώτο βήμα για την αντιμετώπιση επιθέσεων.

Ποιο είναι το κόστος που απαιτείται για την προστασία μιας επιχείρησης απέναντι στις κυβερνοεπιθέσεις;

Με βάση την εμπειρία της KPMG, οι επενδύσεις στην κυβερνοασφάλεια κυμαίνονται μεταξύ 3% έως 5% του ετήσιου προϋπολογισμού πληροφορικής. Όπως προανέφερα, η αξιολόγηση κινδύνων πληροφοριών και των επιχειρηματικών επιπτώσεών τους αποτελεί βέλτιστη πρακτική για τον προσδιορισμό των απαιτούμενων επενδύσεων ασφάλειας. Σε κάθε περίπτωση, οι επενδύσεις στην κυβερνοασφάλεια  θα πρέπει να αναθεωρούνται σε ετήσια βάση. Επίσης, οι επενδύσεις δεν πρέπει να περιορίζονται στην τεχνολογική διάσταση ή στην αντιμετώπιση προβλημάτων του παρελθόντος αλλά να αναλώνονται και στην ενσωμάτωση της ασφάλειας στα πληροφοριακά συστήματα που αναπτύσσονται (security by design). Αλλά η επένδυση σε ασφαλή τεχνολογία δεν αρκεί από μόνη της. Χωρίς σωστή διακυβέρνηση, αποτελεσματικές διαδικασίες και την υιοθέτηση κατάλληλης κουλτούρας και συμπεριφορών, οι τεχνολογικές λύσεις δεν θα αξίζουν τα χρήματα που δαπανήθηκαν. Ας μην ξεχνάμε ότι  τα προγράμματα εφαρμόζονται, οι διαδικασίες τηρούνται, οι τεχνολογίες υλοποιούνται, λειτουργούν και συντηρούνται από τα στελέχη των οργανισμών.

Στην ελληνική αγορά έχει γίνει αντιληπτή από τις επιχειρήσεις η αναγκαιότητα για ενίσχυση της κυβερνοασφάλειας; Ποιοι κλάδοι είναι περισσότερο «συνειδητοποιημένοι»;

Η έκταση που παίρνουν τα τελευταία χρόνια οι κυβερνοεπιθέσεις και η προβολή που τυγχάνουν από τα μέσα μαζικής ενημέρωσης έχουν αφυπνίσει πλέον και πολλές ελληνικές επιχειρήσεις. Παραδοσιακά, οι κλάδοι που διέπονται από αυστηρό ρυθμιστικό ή κανονιστικό πλαίσιο (π.χ. χρηματοπιστωτικά ιδρύματα, τηλεπικοινωνίες) έχουν κάνει σημαντικές επενδύσεις για την αντιμετώπιση του κυβερνοεγκλήματος. Σιγά σιγά όμως βλέπουμε και επιχειρήσεις από άλλους κλάδους να κάνουν βήματα για να προστατευθούν. 

Ποια είναι τα πρώτα βήματα που χρειάζεται να κάνει ένας οργανισμός για να έχει ασφάλεια στα πληροφοριακά του συστήματα; Αλλάζει η στρατηγική ανάλογα με το μέγεθος της εταιρείας;

Το πρώτο βήμα είναι να προσδιοριστούν οι κίνδυνοι στους οποίους είναι εκτεθειμένη η επιχείρηση, καθώς και τι θέλει περισσότερο να προστατέψει, και στη συνέχεια να αξιολογήσει κατά πόσο οι υφιστάμενοι μηχανισμοί ασφάλειας προστατεύουν επαρκώς από τους κινδύνους αυτούς. Αυτό διαφοροποιείται σε εύρος και πολυπλοκότητα ανάλογα με το μέγεθος, τη δραστηριότητα και το μοντέλο λειτουργίας της εταιρείας. Σε κάθε περίπτωση, είναι πολύ σημαντικό η στρατηγική της κυβερνοασφάλειας να αποτελεί θέμα στην ατζέντα της Διοίκησης και να μην θεωρείται ως ένα θέμα της διεύθυνσης πληροφορικής. Μόνο έτσι επιτυγχάνεται η εγρήγορση όλου του οργανισμού και η ασφάλεια έναντι των κυβερνοεπιθέσεων γίνεται μέρος της εταιρικής κουλτούρας.

Πώς μπορεί ένας οργανισμός να αξιολογήσει τους υφιστάμενους μηχανισμούς ασφάλειας;

Ένα σημαντικό κριτήριο αξιολόγησης αποτελούν οι επιτυχημένες παραβιάσεις ασφάλειας που έχουν εντοπιστεί. Όμως, οι οργανισμοί δεν πρέπει να επαναπαύονται σε αυτό το γεγονός. Σύμφωνα με το μοντέλο ευφυούς διαχείρισης των κινδύνων του κυβερνοχώρου της KPMG, η επιτυχία του παραβιάσεων ασφάλειας βασίζεται στις εξής διαστάσεις: την τεχνογνωσία, τους πόρους, τα κίνητρα και τον χρόνο που διαθέτουν οι κυβερνοεγκληματίες. Οι διαστάσεις αυτές διαφοροποιούνται σε συνεχή βάση και επηρεάζονται σε μεγάλο βαθμό από το προφίλ του οργανισμού. Επίσης, ενδέχεται η καταγραφή αυτών των περιστατικών από τον οργανισμό να μην είναι πλήρης και αντικειμενική. Οι οργανισμοί θα πρέπει να εκτελούν σε τακτά χρονικά διαστήματα δοκιμές παρείσδυσης (penetration tests). Οι δοκιμές θα πρέπει να πραγματοποιούνται από ανεξάρτητες εταιρείες του χώρου, χωρίς την γνώση των στελεχών του οργανισμού, και να προσομοιώνουν το προφίλ των επιτιθέμενων για κάθε μια διάσταση (τεχνογνωσία, πόροι, κίνητρα και χρόνο). 

Όλο και πιο συχνά ακούμε ότι η κυβερνοασφάλεια βρίσκεται ανάμεσα στις στρατηγικές προτεραιότητες των επιχειρήσεων διεθνώς. Πώς ανταποκρίνεται η KPMG σε αυτή την αυξανόμενη ανάγκη;

Η KPMG, έχοντας αναγνωρίσει αυτή την ανάγκη των επιχειρήσεων, έχει αναδείξει την κυβερνοασφάλεια ως μια από τις έξι πρωτοβουλίες της ανάπτυξής της, ενισχύοντας και εμβαθύνοντας το εύρος των σχετικών υπηρεσιών της με σημαντικές επενδύσεις σε έρευνα και ανάπτυξη (R&D) και σε εξαγορές εταιρειών που εξειδικεύονται στην κυβερνοασφάλεια, με αποτέλεσμα να διακριθεί ως ηγέτης στο χώρο αυτό στη νέα έκθεση της Forrester με τίτλο «The Forrester WaveTM: Information Security Consulting Services, Q1 2016».