Γιατί είναι τόσο σημαντικοί οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι και πώς μπορούμε να προστατευτούμε από αυτούς
Στον κόσμο του διαδικτύου, καμία εταιρία και κανένας ιδιώτης δεν είναι ασφαλής. Το “ψάρεμα” προσωπικών δεδομένων είναι εκεί έξω, συνυφασμένο απόλυτα με την ιντερνετική μας "ζωή".
Η διαρροή και η απώλεια δεδομένων μπορεί να έχουν ως συνέπεια οικονομικές απώλειες για ιδιώτες και επαγγελματίες, καθώς και τη διακινδύνευση της εταιρικής φήμης, όταν μιλάμε για επιχειρήσεις.
Κάθε εταιρία που ασχολείται με ηλεκτρονικά δεδομένα, ανεξάρτητα από το εάν αυτά βρίσκονται σε υπολογιστές, servers ή το διαδίκτυο, μπορεί να βρεθεί αντιμέτωπη με περιπτώσεις "επίθεσης".
Οι κίνδυνοι μπορεί να αφορούν απώλεια ή διαρροή δεδομένων από εσωτερικές ή εξωτερικές "διεισδύσεις" ή αμέλεια στην χρήση.
Μπορεί ακόμη να προέρχονται από ένα μεμονωμένο υπολογιστή, ή μία επίθεση σε μονάδες αποθήκευσης, data warehouses, routers, private ή common servers και clouds. Η επιχείρηση ενδέχεται επίσης να αντιμετωπίσει την αλλοίωση ή ακόμη και τη διακοπή της παρουσίας της στο διαδίκτυο, καθώς και προβλήματα εξυπηρέτησης, αν λόγω επίθεσης διακοπεί ο server της.
Γιατί είναι τόσο σημαντικοί οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι;
Μιλήσαμε με τον Κώστα Βούλγαρη, Financial Lines Head της AIG για την Ελλάδα, την Κύπρο και τη Μάλτα, ο οποίος είναι υπεύθυνος και για το ασφαλιστικό πρόγραμμα προστασίας έναντι ηλεκτρονικών και διαδικτυακών κινδύνων CyberEdge:
"Όσο εξελίσσεται η τεχνολογία, τόσο εξελίσσονται και οι συγκεκριμένοι κίνδυνοι. Ενώ στο παρελθόν οι οργανισμοί επένδυαν μόνο στην ασφάλεια των φυσικών περιουσιακών τους στοιχείων και τις αστικές ευθύνες, σήμερα οφείλουν να εστιάζουν και στην προστασία των δικτύων και των συστημάτων. Εκεί άλλωστε έχει περάσει η “κληρονομιά” τους. Παράλληλα, το θεσμικό πλαίσιο για την προστασία των ευαίσθητων εταιρικών ή προσωπικών δεδομένων γίνεται ολοένα και πιο αυστηρό, ενώ τα συγκεκριμένα περιστατικά θέτουν σημαντικούς κινδύνους για τα οικονομικά στοιχεία, τη συνέχιση της λειτουργίας και τη φήμη της εταιρίας".
Μία εταιρία αντιμετωπίζει την απώλεια ή διαρροή ψηφιακών δεδομένων από το σύστημά της. Θα μπορούσε επίσης να πρόκειται για απώλεια δεδομένων από σταθερό ή φορητό υπολογιστή, smartphone ή tablet. Η διαρροή αυτή μπορεί να οδηγήσει σε κλοπή προσωπικών στοιχείων, παραβίαση πληροφοριών πελατών ή πλήρους κλίμακας επίθεση μέσω του διαδικτύου για την πρόσβαση σε ευαίσθητα και σημαντικά δεδομένα, είτε από τρίτους, είτε από τους ίδιους τους υπαλλήλους της.
Ο κος Βούλγαρης παρομοιάζει τις συνέπειες των συγκεκριμένων κινδύνων στις επιχειρήσεις με το φαινόμενο domino με επιπτώσεις στα οικονομικά μεγέθη, το τμήμα ΙΤ, τη φήμη αλλά και τη διοίκηση της εταιρίας.
Προβλήματα στο τμήμα ΙΤ
Το τμήμα ΙΤ πρέπει να αντιμετωπίσει το οποιοδήποτε πρόβλημα ενώ εξακολουθεί να διαχειρίζεται τα συνήθη ζητήματα της επιχείρησης.
Πρόκειται για διαρροή ή απώλεια δεδομένων ή για κακόβουλη επίθεση από hacker; Πώς χάθηκαν ή διέρρευσαν τα δεδομένα; Έχει το τμήμα ΙΤ εμπειρία σε παραβιάσεις ασφαλείας και μεγάλες επιθέσεις από hacker; Μπορούν να καταστείλουν τη διαρροή; Θα χρειαστεί να διακοπεί η λειτουργία του server ή να αντικατασταθεί το λογισμικό του; Υπάρχει σχέδιο έκτακτης ανάγκης και πώς θα εκτελεστεί;
Κρίση Εταιρικής Φήμης
Οι ειδήσεις των διαρροών εξαπλώνονται γρήγορα, ιδιαίτερα στην εποχή των social media. Τα συγκεκριμένα περιστατικά μπορούν να θέσουν σε κίνδυνο τη φήμη μίας εταιρίας. Σε αυτές τις περιπτώσεις απαιτείται προσεκτική διαχείριση και αντιμετώπιση των Μέσων Mαζικής Ενημέρωσης, των πελατών, του προσωπικού και των ενδιαφερομένων μερών.
Πρέπει να ενημερωθούν οι πελάτες για τη διαρροή ή απώλεια των δεδομένων τους; Ποιος άλλος πρέπει να ενημερωθεί; Ποιος είναι ο καλύτερος τρόπος για να γίνει αυτό; Απαιτείται άμεση και προσεκτικά ελεγχόμενη δράση στον τομέα των Δημοσίων Σχέσεων προκειμένου να ανακτηθεί η εμπιστοσύνη και να προστατευτεί η φήμη της εταιρείας.
Οικονομικές προεκτάσεις
Οι οικονομικές επιπτώσεις αρχίζουν να συσσωρεύονται. Θα κινηθούν δικαστικές διαδικασίες από πρόσωπα που θεωρούν ότι διέρρευσαν τα δεδομένα τους; Τρίτοι οι οποίοι χρειάστηκε να αποζημιώσουν τους δικούς τους πελάτες για τη διαρροή δεδομένων από μία εταιρία ενδέχεται να διεκδικήσουν αποζημίωση. Αυτά προστίθενται στα έξοδα για την εξακρίβωση της προέλευσης της απώλειας ή παραβίασης, την αναδιαμόρφωση των δικτύων, την αποκατάσταση της ασφάλειας και την επαναφορά δεδομένων και συστημάτων. Και όσο η επιχείρηση βρίσκεται ενδεχομένως εκτός λειτουργίας, είναι δυνατό να υπάρξει απώλεια κερδών.
Κρίση στη διοίκηση της εταιρίας
Μια κρίση που σχετίζεται με ηλεκτρονικά δεδομένα μπορεί να επηρεάσει σημαντικά την τιμή της μετοχής, καθώς και τη φήμη των στελεχών και της εταιρίας.
Τι μπορεί να κάνει λοιπόν μια εταιρία για να προστατευτεί από τους συγκεκριμένους κινδύνους; Αφενός, υπάρχουν τα σχετικά ασφαλιστικά προγράμματα που για μια μεσαία επιχείρηση έχουν κόστοςμικρότερο από 600 ευρώ. Ωστόσο, θα πρέπει να εφαρμόσει και ισχυρά μέτρα προστασίας για επιθέσεις στα συστήματά της, αλλά και εκπαίδευση των εργαζομένων της. Οι ειδικοί μάλιστα χρησιμοποιούν συχνά τη φράση "act as you’ve already been hacked".
Τι είναι το phishing ("ψάρεμα") και πώς να προστατευτείτε
Οι απάτες phishing είναι από τις πιο διαδεδομένες και σχετικά εύκολες μορφές απατών στον κυβερνοχώρο. Παρόλο που οι απάτες phishing είναι ευρέως διαδεδομένες παγκοσμίως και επιχειρούνται καθημερινά από εκατοντάδες κακόβουλους χρήστες, είναι εφικτό να καταπολεμηθούν σε μεγάλο βαθμό.
Ένας πολύ καλός τρόπος για την προστασία από απάτες phishing είναι η εγκατάσταση κάποιου αξιόπιστου λογισμικού ασφαλείας, αλλά η καλύτερη προστασίας είναι η εκπαίδευση των χρηστών στο τι είναι το phishing και πως να το διακρίνουν.
Όπως αναφέρει το cybersecurity.gr, η σωστή τεχνική phishing κρύβει τα περισσότερα από τα σημάδια και εκεί κρίνεται ο πιο σημαντικός παράγοντας για μία επιτυχημένη επίθεση phishing: Η οπτική εξαπάτηση. Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία της ψεύτικης ιστοσελίδας.
Αυτό το επιτυγχάνει με:
-Παραπλανητικό κείμενο. Το κείμενο αυτό, που συνήθως είναι οι παραπλανητικοί σύνδεσμοι, μπορεί να χρησιμοποιεί λάθος σύνταξη ή ορθογραφία (π.χ. www.fasebook.com), αναγραμματισμούς (π.χ. www.yutoube.com ) ή να αντικαθιστά παρόμοια γράμματα όπως το αγγλικό μικρό l (L) με το κεφαλαίο Ι (i), κ.λπ.
-Παραπλανητικές εικόνες. Οι εικόνες αυτές, μπορεί να είναι οι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo της Google, αλλά όταν ο χρήστης πατήσει σε αυτές να τον οδηγούν αλλού. Μία εξίσου κοινή μέθοδος είναι εικόνες (ακόμα και κινούμενες) που μιμούνται το λειτουργικό σύστημα του υπολογιστή.
-Παραπλανητικό design. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με το ίδιο ακριβώς design που έχει η αυθεντική.
Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, οι “επιθέσεις” μέσω αυτού είναι επιτυχημένες σε ποσοστό 90%.
Πως να προστατευτείτε από τις επιθέσεις phishing;
-Μεγάλη προσοχή θα πρέπει να δείχνετε στα μηνύματα ηλεκτρονικού ταχυδρομείου (email), ιδιαιτέρως όταν αυτά αναγράφουν πληροφορίες οικονομικής φύσεως ή σας προτρέπουν να πατήσετε σε κάποιο σύνδεσμο και εν συνεχεία να πρέπει να δώσετε ευαίσθητα προσωπικά δεδομένα (π.χ. κωδικό πρόσβασης, όνομα χρήστη κ.λπ.).
-Μην δίνετε ευαίσθητα προσωπικά δεδομένα ιδίως όταν βλέπετε ότι χρησιμοποιούνται τεχνικές εκφοβισμού προκειμένου να τα παρέχετε (π.χ. χρονικές προθεσμίες). Επιπροσθέτως, προτού δώσετε ευαίσθητα προσωπικά δεδομένα σε κάποια φόρμα που σας υποδεικνύεται από κάποιο email, επικοινωνήστε πρώτα με τον αποστολέα του μηνύματος (π.χ. τράπεζα) για την επαλήθευση του.
-Να έχετε ως αρχή ότι δεν συνδεόμαστε με μια ιστοσελίδα πατώντας σε κάποιον σύνδεσμο που υποδεικνύεται μέσα στο email, αλλά πληκτρολογούμε πάντοτε τη διεύθυνση (url) της ιστοσελίδας απευθείας στη γραμμή διεύθυνσης.
-Να δείχνετε μεγάλη προσοχή στα email που περιέχουν ορθογραφικά λάθη ή σας δίνεται η εντύπωση ότι αποτελούν μια αυτοματοποιημένη μετάφραση (π.χ. από το Google translate) ή σας πληροφορούν για λογαριασμούς ή υπηρεσίες που εσείς δεν έχετε.
-Όταν εισάγετε προσωπικά σας δεδομένα σε φόρμα κάποιας ιστοσελίδας, να προσέχετε στη γραμμή διευθύνσεως του browser σας να εμφανίζεται πάντοτε το πράσινο https αντί του http.
-Να έχετε εγκατεστημένα και ενημερωμένα σε καθημερινή βάση στον υπολογιστή σας firewall, anti-spyware και anti-virus λογισμικά.