Digital Risk

Η τεχνολογία δεν είναι πανάκεια

Οι επιχειρήσεις έχουν επενδύσει δισεκατομμύρια δολάρια σε τεχνολογίες και λογισμικά που υπόσχονται να κρατήσουν μακριά τις απειλές στον κυβερνοχώρο. Για παράδειγμα, οι συνολικές δαπάνες παγκοσμίως για λογισμικό εντοπισμού ιών ανέρχονται στα 3,77 δισ. δολάρια το 2019, σύμφωνα με την ομάδα έρευνας ARC.

Το λογισμικό αναμφίβολα διαδραματίζει σημαντικό ρόλο στην καταπολέμηση των ψηφιακών απειλών, αλλά άλλοι τομείς έχουν παραμεληθεί. Ηγετικά στελέχη επιχειρήσεων που συμμετείχαν στην έρευνα IBR της Grant Thornton αναφέρουν ότι η υπερβολική εξάρτηση από το λογισμικό είναι το πιο αδύναμο σημείο στη διαχείριση απειλών που σχετίζονται με τον κυβερνοχώρο και την ιδιωτική ζωή. Γενικά, ως ψηφιακές απειλές ορίζουμε εκείνες που παραβιάζουν την ασφάλεια στον κυβερνοχώρο και την ιδιωτικότητα των δεδομένων.

Προκειμένου οι επιχειρήσεις να αντιμετωπίσουν τις ψηφιακές απειλές, θα πρέπει να δράσουν άμεσα, βελτιώνοντας τις εξειδικευμένες ψηφιακές δεξιότητές τους και την ενημέρωση των εργαζομένων τους για την ασφάλεια στον κυβερνοχώρο. Παράλληλα, θα πρέπει να εξερευνήσουν εξειδικευμένες λύσεις ψηφιακής ασφάλειας.

Αυτό δεν σημαίνει πως πρέπει να σπαταλήσουν περισσότερα χρήματα. Σε πολλές περιπτώσεις, θα είναι σε θέση να μειώσουν τις δαπάνες λογισμικού ενισχύοντας παράλληλα τις δυνατότητες του προσωπικού και τις ασφαλιστικές τους προβλέψεις. Το ARC προβλέπει ότι τα έσοδα της αγοράς λογισμικού προστασίας από ιούς θα συρρικνωθούν σε -1,2% CAGR μέσα στα επόμενα πέντε χρόνια.

Καλύτερη ενημέρωση, βελτίωση των δεξιοτήτων

Νέοι τρόποι ευαισθητοποίησης και ενημέρωσης

Οι εταιρείες μπορεί να διαθέτουν εξελιγμένο λογισμικό ασφάλειας, αλλά αυτό δε μπορεί να  εμποδίσει το ανθρώπινο λάθος που κρύβεται πίσω από πολλές παραβιάσεις του κυβερνοχώρου. Άλλωστε, το ανθρώπινο δυναμικό είναι αυτό που απαντά σε ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) και εγκαθιστά μη εξουσιοδοτημένο λογισμικό.

Ωστόσο, οι επιχειρήσεις δαπανούν πολύ περισσότερα χρήματα στο λογισμικό για την ασφάλεια στον κυβερνοχώρο από ότι στην εκπαίδευση των εργαζομένων τους, επομένως δεν αποτελεί έκπληξη το γεγονός ότι θεωρούν την υπερβολική εξάρτηση από την τεχνολογία ως βασική αδυναμία στη διαχείριση του ψηφιακού κινδύνου.

Ο μόνος τρόπος αντιμετώπισης είναι η αύξηση της ευαισθητοποίησης όλων των εργαζομένων για την ασφάλεια στον κυβερνοχώρο. Αλλά πως; Εξάλλου, οι επιχειρήσεις χρησιμοποιούν εδώ και πολλά χρόνια webinars και υποχρεωτικά εκπαιδευτικά προγράμματα για την ασφάλεια στον κυβερνοχώρο, αλλά το ανθρώπινο λάθος εξακολουθεί να τους καθιστά ευάλωτους σε επιθέσεις. Μια νέα μορφή εκπαίδευσης είναι απαραίτητη.

Ο Χρήστος Μακεδόνας, Technology Risk Leader στην Grant Thornton στην Κύπρο αναφέρει ότι θα βοηθούσαν συντομότερες μορφές εκπαίδευσης. "Κανείς δεν έχει το χρόνο να παρακολουθήσει βίντεο διάρκειας μιας ώρας", λέει. "Θα πρέπει να συντομευθούν σε δύο λεπτά το πολύ. Απαραίτητες επίσης είναι και οι οπτικές υπενθυμίσεις - όπως banners και μηνύματα σε οθόνες - για να υπενθυμίζονται στους εργαζομένους οι ορθές πρακτικές.

"Οι επιχειρήσεις θα πρέπει στη συνέχεια να προσομοιώσουν τις απόπειρες "ηλεκτρονικούψαρέματος " (phishing) και οι εργαζόμενοι που ανταποκρίνονται σε αυτές μπορούν στη συνέχεια να λάβουν περαιτέρω εκπαίδευση. Βρήκαμε πως αυτά τα προγράμματα κατάρτισης είναι πολύ πιο επιτυχημένα από τα συμβατικά webinars.

Προσδιορίστε πρώτα τα τρωτά σημεία, επενδύστε αργότερα

Οι επιχειρήσεις πρέπει να αναγνωρίσουν τα σημεία στα οποία είναι ευάλωτες σε επιθέσεις στον κυβερνοχώρο και σε παραβιάσεις της συμμόρφωσης σχετικά με την προστασία των δεδομένων, πριν επενδύσουν σε λογισμικό προστασίας. Αυτό απαιτεί εξειδικευμένες δεξιότητες που οι περισσότερες επιχειρήσεις δεν έχουν.

"Οι επιχειρήσεις χρειάζονται ένα σύνολο δεξιοτήτων που σχετίζονται με την προστασία της ιδιωτικότητας, για να βοηθήσουν στη χαρτογράφηση των δεδομένων τους και να κατανοήσουν τις ρυθμιστικές απαιτήσεις– ειδικά σε ένα περιβάλλον cloud", λέει ο Mike Harris, Partner του τμήματος Cyber Security Services στην Grant Thornton στην Ιρλανδία. "Χρειάζονται επίσης τεχνολογικές δεξιότητες γύρω από τις τεχνολογίες που χρησιμοποιούν".

"Για παράδειγμα, εάν χρησιμοποιείτε υπηρεσίες cloud που παρέχονται από την Amazon ή τη Microsoft (Azure), πρέπει να υπάρχουν οι δεξιότητες ασφαλείας στην εταιρεία για να γνωρίζετε τι θα κάνουν και τι όχι σχετικά με την ασφάλεια στον κυβερνοχώρο. Αυτή η συνιστώσα δεξιοτήτων παραβλέπεται συχνά".

Οι προηγμένες αναλυτικές τεχνολογίες χρειάζονται προηγμένες αναλυτικές σκέψεις

Πολλές επιχειρήσεις έχουν επενδύσει σημαντικά σε προηγμένες τεχνολογίες ασφάλειας στον κυβερνοχώρο, οι οποίες βοηθούν στον εντοπισμό νέων απειλών και τρωτών σημείων.Αυτές όμως είναι τόσο αποτελεσματικές όσο το εργατικό δυναμικό που μπορεί να ερμηνεύσει τα αποτελέσματά τους και να εφαρμόσει τις αντίστοιχες αλλαγές.

"Πολλοί άνθρωποι βλέπουν την τεχνολογία ως μια ασημένια σφαίρα, ωστόσο δεν είναι," λέει ο James Arthur, Partner και  Επικεφαλής στην παροχή συμβουλών στον κυβερνοχώρο στην Grant Thornton. "Πολλές εταιρείες δαπανούν πολλά χρήματα για λογισμικό κυβερνο- ασφάλειας που βασίζεται στην Τεχνητή Νοημοσύνη, σε συμπεριφορικά αναλυτικά στοιχεία, τα οποία μπορεί να είναι πραγματικά χρήσιμα σε ορισμένες περιπτώσεις, ωστόσο κανονικά πρέπει να ξοδέψει κανείς αλόγιστο ανθρώπινο χρόνο για να εξασφαλίσει πως θα προσφέρουν χρήσιμες γνώσεις. Στη συνέχεια, χρειάζεται ένας άνθρωπος στο τέλος αυτής της αλυσίδας που θα μπορεί να εξετάσει τα παραγόμενα στοιχεία και να εφαρμόσει τις αλλαγές. "

Η αυξανόμενη περίπτωση της ασφάλισης στον κυβερνοχώρο

Εξασφαλίστε το αναπόφευκτο

"Υπάρχουν μόνο δύο τύποι εταιρειών: εκείνες που έχουν “χακαριστεί” και εκείνες που θα “χακαριστούν” στο μέλλον. Μάλιστα, κανείς θα ισχυρίζονταν πως μπορούμε να τις συμπτύξουμε και σε μια κατηγορία, δηλαδή σε εταιρείες που έχουν “χακαριστεί” και που θα “χακαριστούν” ξανά". Τάδε έφη Robert Mueller το 2012 και το μήνυμα του πρώην διευθυντή του FBI δεν θα μπορούσε να είναι πιο σαφές και επίκαιρο.

Αναλυτικότερα, η ψηφιακή παραβίαση (hacking) μιας επιχείρησης είναι αναπόφευκτη. Συνεπώς δημιουργείται μια μεγάλη ευκαιρία για επενδύσεις στην ασφάλιση για τον μετριασμό των επιθέσεων στον κυβερνοχώρο, και όχι απλώς στο λογισμικό για την πρόληψή τους.

"Οποιοδήποτε φυσιολογικό πρόγραμμα διαχείρισης ψηφιακού κινδύνου πρέπει να περιέχει στοιχεία ανίχνευσης, απόκρισης και ασφάλισης, διότι στον κυβερνοχώρο συμβαίνουν διάφορα", λέει ο Mike Harris. "Βλέπουμε αυξημένη υιοθέτηση της ασφάλισης που καλύπτει τόσο τις επιθέσεις στον κυβερνοχώρο όσο και τις παραβιάσεις κανονιστικών ρυθμίσεων σχετικά με την ιδιωτική ζωή (privacy). Ενώ όμως είναι επιτακτική και η χρήση της αυξάνεται, η πλειοψηφία των επιχειρήσεων εξακολουθεί να μην έχει αυτό το είδος ασφάλισης. "

Οι επιχειρήσεις ενδέχεται να υποθέτουν πως η γενική ασφάλειά τους, καλύπτει επιθέσεις στον κυβερνοχώρο, αλλά μάλλον θα πρέπει να αντιμετωπίσουν μια δυσάρεστη έκπληξη. Για παράδειγμα, ο ασφαλιστής Hiscox αμφισβητεί επί του παρόντος μια αξίωση από τη δικηγορική εταιρεία DLA Piper - που πιθανόν να είναι αρκετά εκατομμύρια λίρες - με βάση το ότι δεν διέθετε συγκεκριμένη κυβερνo-πολιτική.

Εξαίρεση κάλυψης μέσω εγκληματολογικής έρευνας (Forensics)

Όμως ακόμη και οι επιχειρήσεις που διαθέτουν ασφάλιση στον κυβερνοχώρο δεν μπορούν να επαναπαυθούν. Οι ασφαλιστές ενδέχεται να αρνηθούν να τις αποζημιώσουν εάν θεωρούν ότι η επίθεση αποτελέι πράξη “πολέμου”, η οποία θα μπορούσε να έχει υποστηριχθεί από κρατικούς φορείς.

"Η ασφάλιση είναι μεν αρκετή, αλλά πολλά κρύβονται στις λεπτομέρειες", εξηγεί ο James Arthur. "Έχουμε δει ασφαλιστές να προσπαθούν να αμφισβητήσουν την πληρωμή για επιθέσεις, επειδή η επίθεση έχει εντοπιστεί να προέρχεται από μια ομάδα υποστηριζόμενη από κράτος". Πολλά προγράμματα κακόβουλου λογισμικού σχετίζονται με δραστηριότητες που υποστηρίζονται από κράτη, οπότε οι επιχειρήσεις πρέπει πραγματικά να δώσουν προσοχή στις λεπτομέρειες.

Επιπλέον, οι πολιτικές του κυβερνοχώρου μπορεί να περιέχουν διατάξεις που απαιτούν από τις επιχειρήσεις να εγκαθιστούν συχνά ενημερώσεις και διορθώσεις. Εάν αυτό δεν πραγματοποιείται σε τακτική βάση από το χρήστη, οι ασφαλιστές μπορούν να μην πληρώσουν σε περίπτωση κάποιου συμβάντος.

"Ορισμένες πολιτικές απαιτούν από τις επιχειρήσεις να διατηρούν ενημερωμένη τη διαχείριση των ενημερώσεων ασφαλείας τους πολύ πιο συχνά από ό,τι συνηθίζουν - ή θα ήθελαν, λόγω της αναστάτωσης που μπορεί να προκαλέσει", προσθέτει ο Arthur.

Συνεπώς, οι επιχειρήσεις πρέπει να εξετάσουν έγκαιρα τις λεπτομέρειες της ασφάλειάς τους στον κυβερνοχώρο για να βεβαιωθούν ότι καλύπτονται και μπορούν να συμμορφωθούν με τις απαιτήσεις της.

Συνεργαστείτε με τους ασφαλιστές

Σύμφωνα με τα στοιχεία της έρευνας IBR της Grant Thornton, η πλειοψηφία των επιχειρήσεων θεωρεί πως παρά το γεγονός ότι η ασφάλιση έναντι ψηφιακού κινδύνου έχει αυξηθεί, η πολυπλοκότητα των ασφαλιστικών προσφορών παραμένει ίδια.

"Η ασφαλιστική αγορά για παραβιάσεις στον κυβερνοχώρο και τα δεδομένα δεν είναι σε καμία περίπτωση τόσο ώριμη όσο άλλες ασφαλιστικές αγορές", εξηγεί ο Χρήστος Μακεδόνας. "Οι ασφαλιστές προσπαθούν επί του παρόντος να αξιολογήσουν τους κινδύνους επειδή οι επιχειρήσεις έχουν διαφορετικές ευπάθειες. Δύο εταιρείες του ίδιου τομέα και του ίδιου μεγέθους ενδέχεται να έχουν διαφορετική κουλτούρα και να χρησιμοποιούν διαφορετικές τεχνολογίες, γεγονός που καθιστά πολύ δύσκολη την εκτίμηση του κινδύνου.

“Eίναι όμως πολύ σημαντικό για τις επιχειρήσεις να εξερευνήσουν αυτό το γεγονός και να συνεργαστούν με τους ασφαλιστές ώστε να εξελίξουν την αγορά προς το καλύτερο».

Πέντε προτάσεις για τη δημιουργία μιας ισορροπημένης προσέγγισης απέναντι στον ψηφιακό κίνδυνο

  1. Οι παραδοσιακές προσεγγίσεις για την κατάρτιση σε ζητήματα του κυβερνοχώρου δεν λειτουργούν. Οι επιχειρήσεις θα πρέπει να αναπτύξουν πιο σύντομα, πιο συχνά εκπαιδευτικά βίντεο και να προσομοιώσουν τις απόπειρες ηλεκτρονικού "ψαρέματος" για καλύτερη εκπαίδευση των εργαζομένων τους.

  2. Οι επιχειρήσεις χρειάζονται ικανότητες για τον εντοπισμό και την χαρτογράφηση των ψηφιακών ευπαθειών τους. Πρέπει να προσλάβουν προσωπικό με εξειδικευμένες δεξιότητες στον κυβερνοχώρο που θα ενισχύουν το λογισμικό ασφάλειας. Αυτό θα διασφαλίσει ότι η επένδυσή τους στο λογισμικό προστασίας επικεντρώνεται στις σωστές περιοχές.

  3. Όλες οι επιχειρήσεις θα υποστούν κάποια στιγμή επίθεση στο ψηφιακό τους περιβάλλον - ανεξαρτήτως από το πόσο επενδύουν σε λογισμικό προστασίας. Η γενική ασφάλιση ενδέχεται να μην καλύπτει επιθέσεις στον κυβερνοχώρο, επομένως οι επιχειρήσεις θα πρέπει να διερευνήσουν συγκεκριμένη ασφάλεια έναντι ψηφιακού κινδύνου που καλύπτει τόσο τις επιθέσεις στον κυβερνοχώρο όσο και τις παραβιάσεις της ιδιωτικότητας των δεδομένων.

  4. Η αγορά ασφάλισης στον κυβερνοχώρο είναι σχετικά ανώριμη. Επομένως, οι επιχειρήσεις πρέπει να αφιερώσουν χρόνο στην εκπαίδευση των ασφαλιστικών εταιρειών για τις συγκεκριμένες ευπάθειές τους, έτσι ώστε ο κίνδυνος να εκτιμάται αποτελεσματικά.

  5. Αφού εξασφαλιστεί η ασφάλιση, οι επιχειρήσεις πρέπει να επαγρυπνούν για την τήρηση των όρων και προϋποθέσεων. Εάν αποτύχουν να εγκαταστήσουν εγκαίρως διορθωτικές ενημερώσεις, πιθανόν να ακυρώνουν έτσι την ασφάλιση τους.

Οι συστάσεις αυτές πρέπει να εφαρμόζονται στο πλαίσιο των ειδικών περιβαλλόντων ψηφιακού κινδύνου των επιχειρήσεων, ώστε το πρώτο βήμα για τους επιχειρηματικούς ηγέτες να είναι η κατανόηση των συγκεκριμένων απειλών και ευπαθειώντους. Μόνο τότε θα μπορούν να εφαρμόσουν τις κατάλληλες τεχνολογίες, εκπαιδευτικές πρωτοβουλίες και ασφαλιστική κάλυψη.