Περισσότερες από 2000 κυβερνοεπιθέσεις έκαστη, με στόχο παραβιάσεις ασφαλείας δέχονται κάθε εβδομάδα οι επιχειρήσεις και οργανισμοί παγκοσμίως, σύμφωνα με συγκλίνοντα στοιχεία διεθνών ερευνών. Ιδίως οι μικρές και μικρομεσαίες επιχειρήσεις παρουσιάζουν συχνά σημαντικά κενά ασφαλείας, που τις κάνουν πιο ευάλωτες σε αυτή την «καταιγίδα» και βρίσκονται μπροστά σε οικονομικές, λειτουργικές και νομικές συνέπειες, που ενίοτε είναι δύσκολο να διαχειριστούν.
Ωστόσο, η πολιτική κυβερνοασφάλειας ή η εκπαίδευση των εργαζομένων, ώστε να αποφεύγουν τις όλο πιο περίτεχνες ηλεκτρονικές παγίδες, σε πολλές περιπτώσεις δεν αποτελεί προτεραιότητα για τους ιδιοκτήτες, είτε γιατί ανησυχούν για το κόστος της είτε γιατί ρίχνουν το βάρος σε άλλα πεδία. Κι αυτό ενώ η επιδεξιότητα των κυβερνοεγκληματιών αυξάνεται διαρκώς, με τη χρήση εργαλείων Τεχνητής Νοημοσύνης, αλλά και με τη διαθεσιμότητα υπηρεσιών Ransom-as-a-Service (RaaS).
Τα παραπάνω προέκυψαν από συζητήσεις του ΑΠΕ-ΜΠΕ με τρεις καθηγητές του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης (ΑΠΘ), στο περιθώριο εκδήλωσης που διοργάνωσε, με την ευκαιρία της 89ης ΔΕΘ, η Περιφέρεια Κεντρικής Μακεδονίας-Αντιπεριφέρεια Ψηφιακής Διακυβέρνησης, σε συνεργασία με το ΑΠΘ, την Google.org, τον Σύνδεσμο Εξαγωγέων-ΣΕΒΕ και τα επιμελητήρια Εμποροβιομηχανικό και Επαγγελματικό Θεσσαλονίκης (ΕΒΕΘ και ΕΕΘ).
Στα 1000 ευρώ ανά επίθεση το μέσο κόστος για τις ΜΜΕ
«Η πιθανότητα να επιτευχθεί παραβίαση ασφαλείας από αυτές τις επιθέσεις είναι 50% και το μέσο κόστος ειδικά για τις μικρομεσαίες διαμορφώνεται σε περίπου 1000 ευρώ ανά επίθεση. Αυτό που κυρίως χτυπούν οι κυβερνοεγκληματίες είναι η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων» λέει στο ΑΠΕ-ΜΠΕ ο καθηγητής του Τμήματος Πληροφορικής του ΑΠΘ, Παναγιώτης Κατσαρός, ο οποίος αναφέρθηκε σε μέτρα που διαμόρφωσε η Εθνική Αρχή Κυβερνοασφάλειας της Μεγάλης Βρετανίας, τα οποία -εφόσον εφαρμοστούν σωστά και με συνέπεια- εκτιμάται ότι μπορούν να προστατέψουν τις ΜΜΕ από το 80% των κυβερνοεπιθέσεων.
Τα μέτρα αυτά, που δεν έχουν μεγάλο κόστος, είναι η δημιουργία αντιγράφων ασφαλείας δεδομένων (backup), η προστασία από κακόβουλο λογισμικό και περιεχόμενο μέσω προγραμμάτων antivirus και firewalls, η εκπαίδευση των εργαζομένων (καθώς ο ανθρώπινος παράγοντας ευθύνεται για σχεδόν όλες τις επιτυχημένες επιθέσεις), η επιβεβαίωση της ασφάλειας των έξυπνων κινητών του ανθρώπινου δυναμικού, ιδιαίτερα των εταιρικών και η εφαρμογή πολιτικής διαχείρισης passwords (κωδικών ασφαλείας) του προσωπικού.
Τι να προσέχουμε στα passwords
«Ποτέ δεν αφήνουμε ένα προεπιλεγμένο password σε μια συσκευή. Αλλάζουμε το password πολύ συχνά και δεν χρησιμοποιούμε το ίδιο σε όλα τα προγράμματα και εφαρμογές. Δεν σχηματίζουμε προβλέψιμους κωδικούς ασφαλείας (π.χ., που περιέχουν την ημερομηνία γέννησης ή το όνομά μας). Φροντίζουμε τα passwords μας να περιέχουν συνδυασμό διάφορων χαρακτήρων (π.χ., πεζά και κεφαλαία γράμματα, αριθμούς και ειδικά σύμβολα). Χρησιμοποιούμε εργαλεία όπως η επαλήθευση δύο βημάτων ή το Google Authenticator ή, για να μην επιβαρύνονται οι εργαζόμενοι με την απομνημόνευση πολλών διαφορετικών και δύσκολων κωδικών, διαθέτουμε ως επιχείρηση εταιρικό λογισμικό διαχείρισης passwords» εξηγεί ο κ. Κατσαρός.
Μέχρι 24/9 οι αιτήσεις για τον δεύτερο κύκλο σεμιναρίων ΑΠΘ- Google
Κατά τον καθηγητή, το ΑΠΘ μπορεί να σταθεί δίπλα στις μικρές και μικρομεσαίες επιχειρήσεις στην προσπάθεια για περισσότερη κυβερνοασφάλεια. «Η Google χρηματοδοτεί επιμορφωτικά σεμινάρια (για την κυβερνοασφάλεια) στο ΑΠΘ για φοιτητές/τριες, που αφού λάβουν την απαιτούμενη εκπαίδευση, κάνουν πρακτική άσκηση σε τοπικές επιχειρήσεις και οργανισμούς. Περίπου 85 φοιτητές/τριες όλων των ειδικοτήτων παρακολούθησαν τον πρώτο κύκλο και 45 έχουν ήδη κάνει την πρακτική τους άσκηση. Το ΑΠΘ είναι μέρος ενός δικτύου πανεπιστημίων σε όλη την Ευρώπη, που συνεργάζονται για να διαμορφώσουν το πρόγραμμα των σεμιναρίων και η Google παρέχει τα κεφάλαια για να χρηματοδοτηθεί η πρακτική άσκηση των παιδιών σε επιχειρήσεις και οργανισμούς» επισημαίνει.
Μάλιστα, μέσω του προγράμματος, σις επόμενες ημέρες θα εγκατασταθεί στο Τμήμα Πληροφορικής υπολογιστικό κέντρο εκπαίδευσης στην κυβερνοασφάλεια (ανοιχτό σε φοιτητές όλων των τμημάτων), στο οποίο -μετά τη λήξη του προγράμματος- θα μπορούν να εκπαιδεύονται και στελέχη επιχειρήσεων και οργανισμών.
Επιπλέον, επίκειται δεύτερος κύκλος σεμιναρίων, που αυτή τη φορά απευθύνονται ειδικά σε φοιτητές/τριες των τμημάτων πληροφορικής και ηλεκτρολόγων μηχανικών και των τριών πανεπιστημίων της Θεσσαλονίκης. «Δεχόμαστε αιτήσεις μέχρι 24 Σεπτεμβρίου (τα σεμινάρια θα ξεκινήσουν στις 29), στο cyberseminars.auth.gr Σκοπός της Google είναι, όταν τελειώσει το πρόγραμμα στος τέλος του 2026, να μείνει στο πανεπιστήμιο ένα γραφείο με δύο δραστηριότητες: την πρακτική άσκηση φοιτητών/τριών και την παροχή υπηρεσιών κυβερνοασφάλειας σε ΜΜΕ» επισήμανε ο κ.Κατσαρός, προσθέτοντας ότι έτσι επιτυγχάνεται και η πολυπόθητη σύνδεση πανεπιστημίου- κοινωνίας.
«Έχουμε άλλες προτεραιότητες»
Την εκτίμηση ότι το 70%- 80% των ελληνικών ΜΜΕ που δεν έχουν ΙΤ support (υποστήριξη από τμήμα πληροφορικής) κινδυνεύουν να πέσουν ανά πάσα στιγμή θύματα κυβερνοεπίθεσης, διατυπώνει ο καθηγητής του Τμήματος Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών του ΑΠΘ, Ανδρέας Συμεωνίδης.
«Συχνά οι ΜΜΕ έχουν λογική τύπου "είμαστε πολύ μικροί για να μας χτυπήσουν", αλλά τα πράγματα δεν είναι έτσι. Οι έρευνες μιλούν για 2000 επιθέσεις εβδομαδιαίως, αλλά στο μεσοδιάστημα αυτές μπορεί να έχουν φτάσει στις 5.000 ή στις 6.000. Η κατάσταση ξεφεύγει, αλλά πολλοί εξακολουθούν να αντιμετωπίζουν τον κυβερνοέγκλημα σαν αυτό που ήταν κάποτε στις ταινίες, με τους μεμονωμένους χάκερ με τις κουκούλες. Δεν είναι πια έτσι. Κάποιοι θα κλείσουν σε μια νύχτα» επισημαίνει ο κ.Στεφανίδης, σύμφωνα με τον οποίο στη Μεγάλη Βρετανία για παράδειγμα, με την πρωτοβουλία Cyber Εssentials, η κυβέρνηση θέλει να ενεργοποιήσει περισσότερο τον κόσμο των ΜΜΕ γύρω από την ανάγκη αύξησης της κυβερνοασφάλειας.
Προσθέτει ότι ακόμη και εκπρόσωποι μεγάλων επιχειρήσεων, όταν ερωτώνται γιατί δεν εφαρμόζουν πιο συνεκτική πολιτική κυβερνοσφάλειας ή γιατί δεν εκπαιδεύουν το προσωπικό, «απαντούν "ξέρουμε ότι πρέπει να το κάνουμε, αλλά έχουμε άλλες προτεραιότητες αυτή τη στιγμή". Υπάρχουν επιχειρήσεις που μπορεί να δίνουν περισσότερο βάρος στο να ετοιμάσουν την υποχρεωτική αναφορά για την κοινοτική οδηγία NIS2, ώστε να φύγει από την πλάτη τους, παρά στο να εκπαιδεύσουν το προσωπικό ή να κάνουν μια αξιολόγηση ασφαλείας» λέει χαρακτηριστικά ο καθηγητής.
Οι ύπουλες επιθέσεις
Επισημαίνει δε ότι ενώ οι επιθέσεις με ransomware (σ.σ. κρυπτογράφηση δεδομένων μιας επιχείρησης, με απαίτηση λύτρων ώστε ο ιδιοκτήτης ν΄ ανακτήσει πρόσβαση σε αυτά) μπορεί να αποδειχτούν καταστροφικές, συχνά ακόμη πιο επιζήμιες είναι εκείνες που αρχικά δεν καταλαβαίνεις ότι συνέβησαν.
Όπως εξηγεί, κακόβουλο λογισμικό μπορεί να «μπει» στα συστήματα μιας επιχείρησης και να μη γίνει αντιληπτό επί χρόνια, αλλά κάποια στιγμή, όταν συγκεντρώσει ό,τι χρειάζεται, να χρησιμοποιήσει την πληροφορία και τα δεδομένα είτε για να χτυπήσει πιο καίρια την ίδια την επιχείρηση είτε άλλον στόχο.
«Πχ, μια μικρή επιχείρηση θα πληρώσει έναν πιτσιρικά για να της φτιάξει πολύ φθηνά ένα eshop (ηλεκτρονικό κατάστημα) με μηδενική ασφάλεια, μια "τρύπα" ασφάλειας στο Διαδίκτυο στην οποία θα τρυπώσουν ένα σωρό bots. Κάποια στιγμή, η εταιρεία που έχει το eshop μπορεί να κάνει συμφωνία με μια μεγάλη επιχείρηση. Τότε το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει τα δεδομένα που έχει μαζέψει από τη μικρή επιχείρηση, για να χτυπήσει τη μεγάλη. Ή μπορεί να χτυπηθεί ένας χρήστης, όταν χρησιμοποιεί το ίδιο password στους τραπεζικούς του λογαριασμούς και για πληρωμές σε ένα eshop» σημειώνει.
Το "νούμερο ένα" ρίσκο για μια επιχείρηση
Υπενθυμίζει δε τη φράση του Ρόμπερτ Μίλερ, πρώην διευθυντή του FBI, ο οποίος είχε υποστηρίξει ότι υπάρχουν μόνο δύο κατηγορίες επιχειρήσεων: αυτές που έχουν ήδη χακαριστεί και αυτές που θα χακαριστούν στο μέλλον. «Ευτυχώς υπάρχουν εργαλεία για ν' αποτιμήσεις και να περιορίσεις τον κίνδυνο, αλλά όλα αρχίζουν από τη συνειδητοποίηση ότι το "νούμερο ένα" ρίσκο για μια επιχείρηση σήμερα δεν είναι το οικονομικό, αλλά το να χάσει τα δεδομένα της. Χρειάζεται λοιπόν πολιτική ασφάλειας και εκπαίδευση του προσωπικού. Δεν μπορείς να έχεις eshop και ο χειριστής του να μην έχει περάσει εκπαίδευση για κυβερνοασφάλεια -και όμως αυτό συμβαίνει συχνότατα στις ΜΜΕ» καταλήγει.
Η απώλεια του «χρυσού» των δεδομένων, το χτύπημα στη φήμη και οι μηνύσεις
Όταν το κυβερνοέγκλημα βρει τον στόχο του, επιχειρήσεις και οργανισμοί καλούνται να διαχειριστούν επιπτώσεις σε τρία επίπεδα: οικονομικές, λειτουργικές και νομικές, όπως επισημαίνει ο Πέτρος Νικοπολιτίδης, καθηγητής του Τμήματος Πληροφορικής του ΑΠΘ. Το αίτιο των οικονομικών απωλειών είναι προφανές: η ανάγκη καταβολής λύτρων (εφόσον πρόκειται για χτύπημα με ransomware), η απώλεια εσόδων λόγω διακοπής λειτουργίας (όταν π.χ., το ηλεκτρονικό κατάστημα μιας επιχείρησης «πέσει», χάνει πελάτες τουλάχιστον για όσο διάστημα μείνει εκτός), το κόστος της αποκατάστασης (η επιχείρηση θα χρειαστεί να πληρώσει, αν δεν το έχει, για εξειδικευμένο προσωπικό που θα αναλάβει την αποκατάσταση ή για νέα συστήματα και λογισμικό) και οι αποζημιώσεις (πχ, για διαρροή δεδομένων καταναλωτών ή για πρόστιμα ρυθμιστικών αρχών).
Επιπλέον, εξηγεί ο κ.Νικοπολιτίδης, η εταιρεία δέχεται πλήγμα στη φήμη της, κάτι που σημαίνει ότι πιθανότατα ο ανταγωνισμός αποκτά πλεονέκτημα, ενδέχεται να μπει στη διαδικασία διαχείρισης μηνύσεων εκμέρους καταναλωτών και πελατών, αλλά και να χάσει πρόσβαση σε πολύτιμα αρχεία και δεδομένα. Σε όλα αυτά θα πρέπει να προστεθεί το πλήγμα που θα δεχτεί η ψυχολογία των εργαζομένων της.
«Γι' αυτό και χρειάζεται οι επιχειρήσεις ν' αναγνωρίσουν την απειλή και να ευαισθητοποιηθούν. Να γίνει σαφές ότι αν μια εταιρεία βγάζει χρήματα από το Διαδίκτυο, πχ, μέσω ενός online shop ή έστω έχει συνδεδεμένα στο δίκτυο συστήματα και προγράμματά της, τότε χρειάζεται οπωσδήποτε να αυξήσει την κυβερνοασφάλεια» τονίζει ο κ. Νικοπολιτίδης.
Σχολιάζοντας τον στόχο της εκδήλωσης, ο αντιπεριφερειάρχης Ψηφιακής Διακυβέρνησης, Νίκος Τζόλλας, δήλωσε ότι η αντιπεριφέρεια, σε συνεργασία με το ΑΠΘ και την Google, ενισχύει την ψηφιακή εκπαίδευση και κουλτούρα σε θέματα κυβερνοασφάλειας μέσα από ημερίδες και σεμινάρια.
ΑΠΕ-ΜΠΕ
